CN110058972A - 用于实现至少一个关键功能的电子计算机及相关电子装置 - Google Patents

用于实现至少一个关键功能的电子计算机及相关电子装置 Download PDF

Info

Publication number
CN110058972A
CN110058972A CN201811598878.4A CN201811598878A CN110058972A CN 110058972 A CN110058972 A CN 110058972A CN 201811598878 A CN201811598878 A CN 201811598878A CN 110058972 A CN110058972 A CN 110058972A
Authority
CN
China
Prior art keywords
electronic computer
key function
computer
control module
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811598878.4A
Other languages
English (en)
Inventor
若埃尔·博松
弗雷德里克·克莱门特
帕特里克·卡多特
马克·弗梅
让-克里斯托夫·雷库劳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Publication of CN110058972A publication Critical patent/CN110058972A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Hardware Redundancy (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)
  • Input From Keyboards Or The Like (AREA)

Abstract

本发明涉及一种电子计算机(11),所述电子计算机被配置为实现至少一个关键功能并输出相关联的输出数据项,并且包括:至少一个控制模块(24),所述控制模块被配置为实现相应的关键功能并传送至少一个相关联的输出数据项;另一电子计算机(11)的控制模块(24)的至少一个监控模块(26),所述监控模块被配置为实现与被监控的控制模块(24)所实现的相应关键功能相同的相应关键功能,其中,每个模块(24,26)被配置为从相关联的模块(24,26)接收对应关键功能的实现结果,并且当检测到不一致时,禁止传送至少一个相关联的输出数据项。

Description

用于实现至少一个关键功能的电子计算机及相关电子装置
技术领域
本发明涉及一种被配置为实现至少一个关键功能的电子计算机。
本发明还涉及一种包括多个这种电子计算机的电子装置。
本发明还涉及一种用于实现至少一个关键功能的方法,其中,该方法由这种电子计算机实现。
本发明还涉及一种包括计算机程序的计算机可读介质,所述计算机程序包括当由计算机执行时实现这种方法的软件指令。
本发明涉及包括至少一个电子系统的设施或设备的安全性,其中,该设备优选为运载工具,例如,空中运载工具,特别是飞行器、铁路运载工具或机动车辆。或者,该设施可以是化工厂或发电厂。
特别地,本发明涉及关键功能的实现,关键功能即对于装置或设施的安全至关重要的功能。这种关键功能的示例是运载工具控制命令,例如,飞行器飞行控制、运载工具制动系统、化工厂或发电厂的紧急停工。
背景技术
“电子计算机”是指包括其自身资源的计算实体。电子计算机可以设置在单独的外壳中或者安装在机架中的模块上或者与其他元件一起设置在外壳中的电子卡上。
“关键功能”是指必须监控其实现以确保装置或系统安全运行的功能。这种关键功能通常还需要关键功能的实现链和关键功能的监控链的冗余,以确保缺陷或错误的检测以及功能的可用性。
“关键功能的实现”是指执行一个或多个计算,以从至少一个输入数据项生成与该关键功能相关联的至少一个输出数据项。然后,本领域技术人员将会理解,输出数据项的性质和数量以及执行的计算表征了关键功能。
在航空电子领域,例如由ARP-4754A(航空航天推荐作法)标准定义关键功能。
已知一种电子系统,其包括由旨在提供至少一个命令的电子计算机组成的称为“COM”(因命令Command一词而得名)的控制计算机以及由用于监控命令以检测任何不一致并因此确保命令完整性的电子计算机组成的称为“MON”(因监控Monitor一词而得名)的监控计算机。在监控期间检测到不一致的情况下,其中,两个电子计算机在不查找缺陷来源的情况下停止服务,以确保系统的完整性。这个系统称为COM/MON对。
包括至少一个COM/MON对的系统具有检测其中一个电子计算机上的至少一个异常的能力。该系统然后称为失效安全(FAIL SAFE)系统。
为了获得在检测到其中一个电子计算机上的异常之后能够继续以足够的完整性水平运行(至少FAIL SAFE)的系统,必须具有至少两个并行的COM/MON对。该系统然后称为失效可操作(FAIL OPERATIONAL)系统。
因此,这种系统需要大量的计算机来确保令人满意的完整性水平,但是这涉及到大量的占地面积和质量。
发明内容
本发明的目的是提供一种电子计算机,提供改进的操作可用性,同时要求减少占地面积和质量。
为此,本发明的目的是一种电子计算机,所述电子计算机被配置为实现至少一个关键功能,其中,所述电子计算机能够传送与每个关键功能相关联的至少一个输出数据项,其中,所述电子计算机包括:
至少一个控制模块,其中,每个控制模块被配置为实现相应的关键功能,并且传送与关键功能相关联的至少一个输出数据项;
另一电子计算机的控制模块的至少一个监控模块,其中,每个监控模块被配置为实现与被监控的控制模块所实现的相应关键功能相同的相应关键功能;
每个控制模块被配置为从另一电子计算机的相关联的监控模块接收实现相应的关键功能的结果,并且在检测到其实现相应的关键功能的结果与从另一电子计算机的监控模块接收的结果不一致的情况下,禁止传送所述至少一个相关联的输出数据项;
每个监控模块被配置为从另一电子计算机的相关联的控制模块接收实现相应关键功能的结果,并且在检测到其实现相应关键功能的结果与从另一电子计算机的控制模块接收的结果不一致的情况下,禁止控制模块传送所述至少一个相关联的输出数据项。
根据本发明的其他有利方面,电子计算机包括单独或以任何技术上可行的组合采取的一个或多个以下特征:
所述至少一个控制模块和所述至少一个监控模块中的每个模块安装在相应的分区中;
电子计算机包括其自身的电源和其自身的计算机单元;
关键功能是航空电子功能;
电子计算机符合ARINC 653标准;并且
电子计算机符合DO297标准。
本发明还涉及一种电子装置,包括N个电子计算机,其中,N是大于或等于2的整数,并且其中,如上定义每个电子计算机。
根据本发明的其他有利方面,该电子装置包括单独或以任何技术上可行的组合采取的一个或多个以下特征:
对于每个电子计算机,所述一组电子计算机包括由所述电子计算机的监控模块监控的控制模块,并且包括监控所述电子计算机的控制模块的监控模块的所有电子计算机是独立的;
电子计算机的数量N是偶数,并且对于给定的关键功能,(N/2)个电子计算机包括(N/2-1)个控制模块和(N/2)个监控模块,其中,(N/2)个其他电子计算机包括(N/2-1)个监控模块;
电子计算机的数量N是奇数,并且对于给定的关键功能,每个电子计算机包括((N-1)/2)个控制模块和((N-1)/2)个监控模块;
每个电子计算机对于每个关键功能最多包含(N-1)个模块;
至少三个控制模块与相同的关键功能相关联。
本发明还涉及一种用于实现至少一个关键功能的方法,其中,所述方法由电子计算机实现并且包括以下步骤:
对至少一个关键功能进行第一实现并且传送与该关键功能相关联的至少一个输出数据项;
对与由另一电子计算机实现的关键功能相同的至少一个关键功能进行第二实现;
从另一电子计算机对与第一实现相对应的关键功能的实现结果进行第一接收,并且当检测到第一实现相应关键功能的第一实现的结果与从另一电子计算机接收到的结果不一致时,禁止传送所述至少一个相关联的输出数据项;
从另一电子计算机对与所述第二实现相对应的关键功能的实现结果进行第二接收,并且当检测到相应关键功能的第二实现的结果与从另一电子计算机接收的结果不一致时,禁止由所述另一电子计算机传送至少一个相关联的输出数据项。
本发明还涉及一种包括软件指令的计算机程序,当由计算机执行时,该软件指令实现上述方法。
附图说明
本发明的这些特征和优点将在阅读下面的描述时变得更加明显,仅通过非限制性示例的方式并参考附图给出下面的描述,其中:
图1示出了根据本发明的电子计算机的示意图;
图2示出了根据本发明第一实施方式的电子装置的示意图,该电子装置实现关键功能并且包括图1的两个电子计算机;
图3示出了根据本发明第二实施方式的电子装置的示意图,该电子装置实现关键功能并且包括图1的三个电子计算机;
图4示出了根据本发明第三实施方式的电子装置的示意图,该电子装置实现关键功能并且包括图1的四个电子计算机;
图5示出了根据本发明第四实施方式的电子装置的示意图,该电子装置实现两个关键功能并且包括图1的三个电子计算机;
图6示出了根据本发明的用于实现关键功能的方法的流程图。
具体实施方式
图2至图5表示根据本发明的电子装置10的各种实施方式,该电子装置10被配置为实现至少一个关键功能,包括多个电子计算机11。
在图1中可见的每个电子计算机11能够接收至少一个输入数据项,根据至少一个输入数据项实现至少一个关键功能,并且输出与每个关键功能相关联的至少一个输出数据项。
电子计算机11例如是航空电子计算机。电子计算机11随后承载在空中运载工具上,特别是飞行器上。然后,由电子计算机11实现的关键功能是航空电子关键功能,例如,飞行器的飞行控制功能或制动功能。然后,电子计算机11优选地符合DO297标准(集成模块化航空电子装置开发指南和认证考虑)。
在图1中,电子计算机11包括:存储器12,所述存储器能够存储与每个关键功能相关联的至少一个软件应用程序;计算机单元14,所述计算机单元能够执行每个软件应用程序,以实现每个关键功能,其中,计算机单元14包括资源16并托管任务管理器18;电源20;以及至少一个输出端口22,该输出端口22被配置为输出与每个关键功能相关联的至少一个输出数据项。
电子计算机11有利地包括其自身的计算单元14和其自身的电源20。电子计算机11例如具有独立于其他电子模块的电子模块的形式,并且被配置为安装在机架(未示出)中,或者具有独立于其他电子卡的电子卡的形式,并且被配置为安装在电子外壳中。或者,电子计算机11可以具有其自身的电子外壳,并且是唯一位于与盒子相关联的保护外壳内的计算机。
根据本发明,电子计算机11还包括至少一个控制模块24和另一电子计算机11的控制模块24的至少一个监控模块26,所述控制模块24被配置为实现相应的关键功能。
术语“另一电子计算机的控制模块”被理解为表示控制模块安装在另一电子计算机上。
电子计算机11优选地符合ARINC 653标准和/或DO297标准,允许资源16的时间和空间划分,同时确保软件应用程序相对于控制单元14的独立性。分区允许几个不同的关键功能在同一电子计算机11上共存。
因此,电子计算机11包括几个独立的计算机分区27,并且至少一个控制模块24和至少一个监控模块26中的每个模块安装在相应的分区27中。特别地,电子计算机11包括每个实现的关键功能的不同分区27。
在图1的示例中,示出了单个控制模块24和单个监控模块26。然而,本领域技术人员将理解,在本发明的某些实施方式中,电子计算机11包括多个控制模块24和/或多个监控模块26,这将在后面描述。
在图2的示例中,第一电子计算机11的监控模块26被配置为监控第二电子计算机11的控制模块24,而第二电子计算机11的监控模块26被配置为监控第一电子计算机11的控制模块24。术语“第一电子计算机”被理解为表示在图的顶部,而“第二电子计算机”被理解为表示在图中的“第一电子计算机”下方。
每个软件应用程序旨在由计算机单元14执行,以便实现相关联的关键功能并提供与关键功能相关联的至少一个输出数据项。每个软件应用程序然后被配置为使用计算机单元14的资源16。
计算机单元14的资源16是软件应用程序可用的物理或逻辑元件。
资源16例如是处理型资源、输入和输出资源、航空电子网络专用的资源(例如,ARINC 664网络的通信路由器)、图形型资源、大容量存储器型资源或逻辑输出。
任务管理器18优选地是用于对不同应用程序进行排序的实时监控器,通过实现计算机分区27来确保适当的隔离,以满足安全目标。
或者,任务管理器18可以是操作系统。然后,每个软件应用程序被配置为向由计算机单元14托管的操作系统18发出一个或多个调用。操作系统18可以是例如符合ARINC 653标准的操作系统或者POSIX操作系统或者管理程序或者中间件。本领域技术人员将理解,操作系统18广泛定义,并且更一般地,是被配置为向每个应用程序提供不同类型的服务的至少一个基本软件的集合。因此,服务是基本软件的功能,该功能可以由软件应用程序使用并且可以通过调用(也称为对(OS的)服务的调用)或者系统调用来达到。基本软件的示例是提供这种服务的ARINC 653或POSIX OS。
电源20能够接收电力,并向电子计算机11及其各种部件提供电流。
控制模块24被配置为接收至少一个输入数据项,从至少一个输入数据项实现相应的关键功能,并且能够传送对应于该关键功能的至少一个输出数据项。
特别地,控制模块24被配置为与计算机单元14通信。控制模块24能够向计算机单元14发送执行命令,使得计算机单元14执行与控制模块24相关联的关键功能相关联的软件应用程序。控制模块24被配置为接收与关键功能相关联的至少一个输出数据项。控制模块24能够经由输出端口22传送至少一个输出数据项。
控制模块24由另一电子计算机11的监控模块26监控,然后被配置为向相关联的监控模块26发送关键功能的实现结果。
控制模块24被配置为在检测到其实现各个关键功能的结果与从模块接收的结果之间的不一致的情况下,禁止传送至少一个相关联的输出数据项。通过两个结果之间的比较并且例如通过检测大于预定阈值的差值,检测到另一不一致。在图2至图5中由指向开关28的实线箭头示出控制模块24禁止输出数据项。事实上,每个电子计算机11可能会由于电子计算机11的硬件组件的至少一个故障而遇到材料故障和/或由于软件应用程序中的错误而遇到软件异常,并且必须禁止相应的关键功能。在没有硬件和软件异常的情况下,电子计算机11能够令人满意地实现至少一个关键功能,并且处于所谓的功能状态。
监控模块26被配置为接收至少一个输入数据项,并实现与监控控制模块24实现的关键功能相同的关键功能。监控模块26被配置为向相关联的控制模块24发送关键功能的实现结果。
控制模块24还被配置为从相关联的监控模块26接收相应关键功能的实现结果。
如果包括控制模块24的电子计算机11和包括监控模块26的另一电子计算机11均处于功能状态,则每个模块24、26能够令人满意地实现相关联的关键功能,并且控制模块24没有检测到关键功能的实现结果之间的不一致。
在电子计算机11的硬件故障的情况下,电子计算机11中包括的模块24、26不能以令人满意的方式实现关键功能,并且电子计算机11处于称为功能失调的状态,可能被与电子计算机11的控制模块24相关联的另一电子计算机11的监控模块26检测到。如果包括控制模块24的电子计算机11处于功能状态,而包括监控模块26的另一电子计算机11处于功能失调状态,则监控模块26不能以令人满意的方式实现关键功能,然后,控制模块24能够通过比较关键功能的实现结果来检测不一致。
在软件故障的情况下,电子计算机11不能令人满意地实现与故障软件应用程序相关联的关键功能。然而,电子计算机11能够实现与无故障软件应用程序相关联的任何其他关键功能。然后,电子计算机11处于降级状态。如果包括控制模块24的电子计算机11处于功能状态,并且包括监控模块26的另一电子计算机11处于降级状态,并且如果模块24、26的相应关键功能与故障软件应用程序相关联,则监控模块26不能令人满意地实现关键功能,然后,控制模块24能够通过比较关键功能的实现结果来检测不一致。
监控模块26被配置为从相关联的控制模块24接收相应关键功能的实现结果。监控模块26被配置为在检测到其实现相应关键功能的结果与从另一电子计算机11的控制模块24接收到的结果不一致的情况下,禁止另一电子计算机11的控制模块24传送至少一个相关联的输出数据项。在图2至图5中由指向另一开关29的虚线箭头示出监控模块26禁止输出数据项。监控模块26检测到的不一致可能是由于硬件故障和/或软件错误造成的。
因此,由输出端口22传送的输出数据项被配置为被相应的控制模块24和/或与控制模块24相关联的监控模块26禁止。
因此,这种系统的实现很简单,因为与基于几个单元之间的投票的现有系统不同,不需要定位硬件故障或软件错误的来源。
此外,该对由控制模块24和监控模块26组成,监控模块26与检测一个电子计算机11上的至少一个异常的能力相关联,因此是FAIL SAFE的。
在图2中,根据第一实施方式的电子装置10被配置为实现给定的关键功能,包括如上所述的两个电子计算机11和输出端子30,其中,输出端子30能够在电子装置10外部提供与关键功能相关联的至少一个输出数据项。
每个电子计算机11还包括两个独立的计算机分区27,其中,每个模块24、26安装在相应的计算机分区27上。
根据该第一实施方式,第一电子计算机11的监控模块26被配置为监控第二电子计算机11的控制模块24,而第二电子计算机11的监控模块26被配置为监控第一电子计算机11的控制模块24。每个控制模块24被配置为与和关键功能的实现结果相关联的监控模块26通信,以便检测可能的不一致性并禁止传送至少一个相关联的输出数据项。
如图2所示,根据第一实施方式的电子装置10能够检测两个电子计算机11中的一个上的硬件故障,禁止传送由故障电子计算机11传送的输出数据,并且传送另一电子计算机11的输出数据项。此外,电子装置10能够检测模块24、26上的软件错误,并禁止传送与包括缺陷模块24、26的模块对24、26相关联的输出数据项。然后,电子装置10仍然能够传送输出数据,此外,还能够检测这对操作模块24、26上的硬件故障或额外软件错误。如图2所示,根据第一实施方式的电子装置10然后对于软件错误是FAIL OPERATIONAL的。
因此,尽管现有技术COM/MON系统需要两对电子计算机,但是根据第一实施方式的电子装置10仅包括两个电子计算机11,以实现具有相同安全级别的关键功能。然后,根据本发明的电子装置10可以减少电子计算机11的数量,导致更小的尺寸和质量。
在图3中,根据第二实施方式的电子装置10被配置为实现给定的关键功能,并且包括如上所述的三个电子计算机11。
每个电子计算机11还包括两个独立的计算机分区27,其中,每个模块24、26安装在相应的计算机分区27上。
第一电子计算机11的监控模块26被配置为监控第二电子计算机11的控制模块24,其中,第二电子计算机11的监控模块26被配置为监控第三电子计算机11的控制模块24,而第三电子计算机11的监控模块26被配置为监控第一电子计算机11的控制模块24。
每个控制模块24被配置为与相关联的监控模块26一起传送关键功能的实现结果,以便检测可能的不一致性并禁止传送至少一个相关联的输出数据项。
图3所示的根据第二实施方式的电子装置10能够检测到比图2所示的根据第一实施方式的电子装置10更多的硬件故障或软件错误。而现有技术的COM/MON系统需要两对电子计算机来实现关键功能并检测硬件故障或软件错误,其中,根据第二实施方式的电子装置10仅包括三个电子计算机11,以实现关键功能并检测硬件故障或两个软件错误。因此,根据第二实施方式的电子装置10可以减少必要的计算机数量,同时允许检测另一软件错误。
在图4中,根据第三实施方式并且被配置为实现给定关键功能的电子装置10包括如上所述的四个电子计算机11。
每个电子计算机11还包括三个独立的计算机分区27,其中,每个模块24、26安装在相应的计算机分区27上。
每个电子计算机11包括三个模块24、26。特别地,前两个电子计算机11包括两个控制模块24和监控模块26,而后两个电子计算机11包括控制模块24和两个监控模块26。
如图4所示,第一电子计算机11的监控模块26被配置为监控第二电子计算机11的第一控制模块24;而第二电子计算机11的监控模块26被配置为监控第三电子计算机11的控制模块24;而第三电子计算机11的第一监控模块26被配置为监控第一电子计算机11的第一控制模块24。
第三电子计算机11的第二监控模块26被配置为监控第四电子计算机11的控制模块24;而第四电子计算机11的第一监控模块26被配置为监控第一电子计算机11的第二控制模块24;而第四电子计算机11的第二监控模块26被配置为监控第二电子计算机11的第二控制模块24。
图4所示的根据第三实施方式的电子装置10能够检测到比图3所示的根据第二实施方式的电子装置10更多的硬件故障或软件错误。
在图5中,根据第四实施方式的电子装置10被配置为实现两个关键功能,即,第一关键功能和第二关键功能。包括如上所述的三个电子计算机11和两个输出端子30,其中,每个输出端子30能够提供与电子装置10外部的两个关键功能中的一个相关联的至少一个输出数据项。
每个电子计算机11包括两个控制模块24和两个监控模块26。
在图5的示例中,每个电子计算机11还包括四个独立的计算机分区27,其中,每个模块24、26安装在相应的计算机分区27上。
第一电子计算机11的两个控制模块24能够实现第一关键功能。第二电子计算机11的两个控制模块24能够实现第二关键功能。第三电子计算机11的每个控制模块24能够在第一和第二关键功能中实现不同的关键功能。
如图5所示,第一电子计算机11的第一监控模块26被配置为监控第三电子计算机11的第二控制模块24;而第一电子计算机11的第二监控模块26被配置为监控第二电子计算机11的第一控制模块24;并且第二电子计算机11的第一监控模块26被配置为监控第一电子计算机11的第二控制模块24。
第二电子计算机11的第二监控模块26被配置为监控第三电子计算机11的第一控制模块24;而第三电子计算机11的第一监控模块26被配置为监控第一电子计算机11的第一控制模块24;并且第三电子计算机11的第二监控模块26被配置为监控第二电子计算机11的第二控制模块24。
鉴于上述各种示例,本领域技术人员将理解,本发明可概括为包括N个电子计算机11的电子装置10,其中,N是大于或等于2的整数。
优选地,当电子计算机11的数量N为偶数,并且对于给定的关键功能,(N/2)个电子计算机11包括(N/2-1)个控制模块24和(N/2)个监控模块26时,(N/2)个其他电子计算机11均包括(N/2)个控制模块24和(N/2-1)个监控模块26。
优选地,当电子计算机11的数量N为奇数时,对于给定的关键功能,每个电子计算机11包括((N-1)/2)个控制模块24和((N-1)/2)个监控模块26。
然后,电子装置10能够使用更少数量的电子计算机11来实现具有所需安全和冗余级别的至少一个关键功能。
根据本发明的优选实施方式,对于每个电子计算机11,包括由电子计算机11的监控模块26监控的控制模块24的一组电子计算机11和包括监控电子计算机11的控制模块24的监控模块26的一组电子计算机11是独立的。
例如,在根据第三实施方式的电子装置10中,如图4所示,第一电子计算机11的控制模块24由第三和第四电子计算机11的监控模块26监控,而第一电子计算机11的模块26监控第二电子计算机11的控制模块24。
电子装置10的这种架构提供了更好的冗余,并确保了更好的操作可用性。事实上,每个电子计算机11因此依赖于几个其他的电子计算机11,并且因此在电子计算机11出现异常的情况下受影响较小。
根据本发明的补充方面,每个电子计算机11在物理上不同于另一电子计算机11,并且从材料的角度来看,以不同的形式制成,例如,用于另一电子计算机11的现场可编程门阵列(FPGA)或专用集成电路(ASIC)。因此,如果在某一类型的结构上出现一般故障,则并非所有的电子计算机11同时变得有缺陷,并且保持了电子装置10的完整性。由于这种物质上的不同作为可选的补充,关键功能的实现更加安全。
可选地或除了上述补充方面之外,从软件的角度来看,与关键功能相关联的模块24、26中的每个模块与另一模块24、26不同,并且从软件的角度来看,例如,通过使用不同的编程语言,以不同的形式制成。因此,如果某种类型的软件出现软件错误,则与相同关键功能相关联的所有模块24、26不会同时出现缺陷。由于这种可选软件的不同,关键功能的实现更加安全。
根据本发明的另一补充方面,电子计算机11的每个模块24、26的角色被配置为在电子计算机11的操作期间被修改。例如,控制模块24能够成为监控模块26,或者实现第一关键功能的控制模块24能够成为实现不同于第一关键功能的第二关键功能的控制模块24。换言之,每个电子计算机11是动态可重新配置的。因此,在影响一个或多个电子计算机11的硬件故障或软件错误的情况下,电子装置10被配置为动态重新配置,以便以期望的安全级别实现关键功能。
现在将借助于图6解释根据本发明的电子计算机11的操作,图6示出了根据本发明的实现关键功能的方法的流程图,其中,该方法由电子装置10内的电子计算机11实现。
上述方法以一个或多个软件程序的形式实现,即,以计算机程序的形式,也能够记录在可由计算机读取的介质(未示出)上。计算机可读介质例如是适于存储电子指令并且能够耦合到计算机系统的总线的介质。例如,可读介质可以是磁盘或软盘、光盘、CDROM、磁光盘、ROM存储器、RAM存储器、任何类型的非易失性存储器(例如,EPROM、EEPROM、FLASH、NVRAM)、磁卡或光卡。包括软件指令的计算机程序然后存储在可读介质上。
为了简化描述,将针对根据第一实施方式的电子装置10描述该方法,该电子装置10包括两个电子计算机11并实现给定的关键功能,如图2所示。
本领域技术人员将理解,该方法可应用于根据本发明的任何类型的电子装置10,并且特别地,对于第二、第三、第四实施方式,与下面描述的第一实施方式类似。
在步骤100期间,关键功能的第一实现由每个控制模块24执行。然后,控制模块24将与关键功能相关联的输出数据项传送到相关联的监控模块26,并通过输出端口22传送输出数据。
在步骤110中,关键功能的第二实现由每个监控模块26执行。接下来,监控模块26将与关键功能相关联的输出数据传送给相关联的控制模块24。
术语“第一实现”和“第二实现”用作简单的术语,但并不意味着方法步骤之间的任何时间关系。第一实现可以在第二实现之前、同时或之后执行。
在步骤120中,每个控制模块24从相关联的监控模块26接收对应于第二实现的关键功能的实现结果。在检测到相应关键功能的第一实现的结果与从相关联的监控模块26接收的结果不一致的情况下,然后禁止传送由开关28表示的相关联的输出数据项。
在步骤130中,每个监控模块26从相关联的控制模块24接收对应于第一实现的关键功能的实现结果。在检测到相应关键功能的第二实现的结果与从相关联的控制模块24接收的结果之间不一致的情况下,禁止传送由开关29表示的相关联的输出数据项。
如果控制模块24和监控模块26没有检测到不一致,则在步骤140中,仅由每个控制模块24传送与关键功能相关联的输出数据。
在可选步骤150期间,每对模块24、26向另一对模块24、26发送指示其上安装有模块24、26的电子计算机11处于功能、降级还是功能失调状态的信息。此外,每对模块24、26向另一对模块24、26发送指示是否禁止传送相关联的输出数据项的信息。
本领域技术人员将理解,步骤150是在软件故障的情况下有利地实现的步骤,但是为了获得在提供总体减小的尺寸和质量的同时提供更好的操作可用性的电子计算机,这不是必需的。
作为可选的补充,在功能或降级状态中安装在电子计算机11上但其相关联的软件应用程序没有缺陷的模块对24、26中,并且在没有禁止传送输出数据的电子计算机11上,可以将索引分配给每对模块24、26。
通过输出端子30提供仅仅从具有较低索引的一对模块24、26中输出的输出数据项,作为电子装置10外部的最终输出数据项。据说接合具有最低索引的一对模块24、26。
每对模块24、26的索引定期变化,以避免未被检测到的或所谓的休眠故障,然后形成令牌。
因此,与现有技术的一些方法不同,根据本发明的方法不实现不同模块对24、26之间的投票算法。

Claims (10)

1.一种电子计算机(11),所述电子计算机被配置为实现至少一个关键功能,其中,所述电子计算机(11)能够传送与每个关键功能相关联的至少一个输出数据项,并且其中,所述电子计算机(11)包括:
至少一个控制模块(24),其中,每个控制模块(24)被配置为实现相应的关键功能,并且能够传送与该关键功能相关联的至少一个输出数据项;
另一电子计算机(11)的控制模块(24)的至少一个监控模块(26),其中,每个监控模块(26)被配置为实现与被监控的控制模块(24)所实现的相应关键功能相同的相应关键功能;
其中,每个控制模块(24)被配置为从另一电子计算机(11)的相关联的监控模块(26)接收实现相应的关键功能的结果,并且在检测到该每个控制模块(24)实现相应的关键功能的结果与从另一电子计算机(11)的所述监控模块(26)接收的结果不一致的情况下,禁止传送所述至少一个相关联的输出数据项,
其中,每个监控模块(26)被配置为从另一电子计算机(11)的相关联的控制模块(24)接收实现相应关键功能的结果,并且在检测到该每个监控模块(26)实现相应关键功能的结果与从另一电子计算机(11)的所述控制模块(24)接收的结果不一致的情况下,禁止所述控制模块(24)传送所述至少一个相关联的输出数据项。
2.根据权利要求1所述的电子计算机(11),其中,所述电子计算机(11)包括多个独立的计算机分区(27),并且所述至少一个控制模块(24)和所述至少一个监控模块(26)中的每个模块安装在相应的分区(27)中。
3.根据权利要求1或2所述的电子计算机(11),其中,所述电子计算机(11)包括其自身的电源(20)和其自身的计算机单元(14)。
4.根据权利要求1或2所述的电子计算机(11),其中,所述关键功能是航空电子功能。
5.一种电子装置(10),包括N个电子计算机(11),其中,N是大于或等于2的整数,并且其中,每个电子计算机(11)为根据权利要求1或2所述的电子计算机。
6.根据权利要求5所述的电子装置(10),其中,对于每个电子计算机(11),包括由所述电子计算机(11)的监控模块(26)监控的控制模块(24)的一组电子计算机(11)与包括监控所述电子计算机(11)的控制模块(24)的监控模块(26)的所有电子计算机(11)是独立的。
7.根据权利要求5或6所述的电子装置(10),其中,电子计算机(11)的数量N是偶数,并且对于给定的关键功能,(N/2)个电子计算机(11)包括(N/2-1)个控制模块(24)和(N/2)个监控模块(26),而(N/2)个其他电子计算机(11)包括(N/2)个控制模块(24)和(N/2-1)个监控模块(26)。
8.根据权利要求5或6所述的电子装置(10),其中,电子计算机(11)的数量N是奇数,并且对于给定的关键功能,每个电子计算机(11)包括((N-1)/2)个控制模块(24)和((N-1)/2)个监控模块(26)。
9.一种用于实现至少一个关键功能的方法,其中,所述方法由电子计算机(11)实现并且包括以下步骤:
对至少一个关键功能进行第一实现(100)并且传送与该关键功能相关联的至少一个输出数据项;
对与由另一电子计算机实现的关键功能相同的至少一个关键功能进行第二实现(110);
从另一电子计算机(11)对与所述第一实现相对应的关键功能的实现结果进行第一接收(120),并且当检测到相应关键功能的第一实现的结果与从所述另一电子计算机(11)接收到的结果不一致时,禁止传送所述至少一个相关联的输出数据项;
从另一电子计算机(11)对与所述第二实现相对应的关键功能的实现结果进行第二接收(130),并且当检测到相应关键功能的第二实现的结果与从所述另一电子计算机(11)接收的结果不一致时,禁止由所述另一电子计算机(11)传送至少一个相关联的输出数据项。
10.一种计算机可读介质,包括计算机程序,所述计算机程序包括软件指令,当被计算机执行时,所述软件指令实现根据权利要求9所述的方法。
CN201811598878.4A 2017-12-26 2018-12-25 用于实现至少一个关键功能的电子计算机及相关电子装置 Pending CN110058972A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1701366 2017-12-26
FR1701366A FR3075997B1 (fr) 2017-12-26 2017-12-26 Calculateur electronique de mise en oeuvre d'au moins une fonction critique, dispositif electronique, procede et programme d'ordinateur associes

Publications (1)

Publication Number Publication Date
CN110058972A true CN110058972A (zh) 2019-07-26

Family

ID=62222713

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811598878.4A Pending CN110058972A (zh) 2017-12-26 2018-12-25 用于实现至少一个关键功能的电子计算机及相关电子装置

Country Status (5)

Country Link
US (1) US10929262B2 (zh)
EP (1) EP3506096B1 (zh)
CN (1) CN110058972A (zh)
CA (1) CA3027277A1 (zh)
FR (1) FR3075997B1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110781055A (zh) * 2019-10-15 2020-02-11 中国航空无线电电子研究所 一种嵌入式分区实时操作系统的服务组件运行状态监控方法
CN112904753A (zh) * 2019-11-19 2021-06-04 通用电气航空系统有限公司 创建可有资格的参数数据项(pdi)以限定电力系统控制器的功能的方法和过程
CN114802283A (zh) * 2022-06-27 2022-07-29 宁波均胜智能汽车技术研究院有限公司 智能驾驶故障处理系统及方法、智能车辆、可读存储介质

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3103340B1 (fr) * 2019-11-18 2021-10-15 Airbus Operations Sas Système avionique d’un aéronef.
US20230227174A1 (en) * 2020-10-08 2023-07-20 Thales Canada Inc. Simplex flight control computer to be used in a flight control system
FR3115594B1 (fr) * 2020-10-27 2022-09-23 Thales Sa Système électronique pour la mise en œuvre d’une fonction critique, procédé et programme d’ordinateur associés
CN114313314A (zh) * 2021-12-31 2022-04-12 浙江时空道宇科技有限公司 一种卫星在轨数字基带平台
DE102022205521A1 (de) * 2022-05-31 2023-11-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren für einen Betrieb eines Steuergeräts eines Fahrzeuges

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550736A (en) * 1993-04-27 1996-08-27 Honeywell Inc. Fail-operational fault tolerant flight critical computer architecture and monitoring method
US6367031B1 (en) * 1998-12-17 2002-04-02 Honeywell International Inc. Critical control adaption of integrated modular architecture
US7430670B1 (en) * 1999-07-29 2008-09-30 Intertrust Technologies Corp. Software self-defense systems and methods
FR3030793B1 (fr) * 2014-12-19 2018-02-16 Clearsy Procede d'arret d'urgence et systeme securitaire associe

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110781055A (zh) * 2019-10-15 2020-02-11 中国航空无线电电子研究所 一种嵌入式分区实时操作系统的服务组件运行状态监控方法
CN110781055B (zh) * 2019-10-15 2023-03-10 中国航空无线电电子研究所 一种嵌入式分区实时操作系统的服务组件运行状态监控方法
CN112904753A (zh) * 2019-11-19 2021-06-04 通用电气航空系统有限公司 创建可有资格的参数数据项(pdi)以限定电力系统控制器的功能的方法和过程
CN114802283A (zh) * 2022-06-27 2022-07-29 宁波均胜智能汽车技术研究院有限公司 智能驾驶故障处理系统及方法、智能车辆、可读存储介质
CN114802283B (zh) * 2022-06-27 2022-11-01 宁波均胜智能汽车技术研究院有限公司 智能驾驶故障处理系统及方法、智能车辆、可读存储介质

Also Published As

Publication number Publication date
EP3506096B1 (fr) 2020-06-17
CA3027277A1 (fr) 2019-06-26
FR3075997A1 (fr) 2019-06-28
US20190196927A1 (en) 2019-06-27
EP3506096A1 (fr) 2019-07-03
US10929262B2 (en) 2021-02-23
FR3075997B1 (fr) 2020-01-10

Similar Documents

Publication Publication Date Title
CN110058972A (zh) 用于实现至少一个关键功能的电子计算机及相关电子装置
US8442702B2 (en) Fault diagnosis device and method for optimizing maintenance measures in technical systems
EP3422125B1 (en) Fault coverage for multiple failures in redundant systems
CN109976141B (zh) Uav传感器信号余度表决系统
CN105988480B (zh) 飞行控制系统命令选择和数据传输
CN103544092A (zh) 一种基于arinc653标准机载电子设备健康监控体系
US8996735B2 (en) Remote data concentrator
EP2710473B1 (en) Distributed avionics system and method for backup handling in an avionics system
CN110955571B (zh) 面向车规级芯片功能安全的故障管理系统
US8527714B2 (en) Secure avionics equipment and associated method of making secure
US9367375B2 (en) Direct connect algorithm
US20080304418A1 (en) Maintenance system for a set of equipment
EP0743600B1 (en) Method and apparatus for obtaining high integrity and availability in a multi-channel system
US10540218B2 (en) Processor system and method for monitoring processors
US9002541B2 (en) Method, device, and computer redable media for automatic management of configuration and reconfiguration of a plurality of systems of an aircraft
US11577859B1 (en) Fault resilient airborne network
Nag et al. A novel multi-core approach for functional safety compliance of automotive electronic control unit according to ISO 26262
EP3043323A2 (en) Aircraft active history memory module
CN103926885B (zh) 集中装置、方法、计算机可读介质和飞行器
KR101581309B1 (ko) 보드단위별 연동고장검출 및 배제 방식 항공전자장비
CN106940667B (zh) 检验具有多个计算单元的系统中的计算结果的方法和设备
CN105404278B (zh) 一种安全关键软件的健康管理方法
US10712736B2 (en) Controlling an aircraft comprising a plurality of loadable configuration sever data based on detecting one or more diagnostic test interfaces
Yadav et al. Functional Safety for Braking System through ISO 26262, Operating System Security and DO 254
CN114791830B (zh) 用于控制和自动重启技术装置的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination