FR3130414A1 - Procédé de calcul haute intégrité sur calculateur mono-composant - Google Patents

Procédé de calcul haute intégrité sur calculateur mono-composant Download PDF

Info

Publication number
FR3130414A1
FR3130414A1 FR2113531A FR2113531A FR3130414A1 FR 3130414 A1 FR3130414 A1 FR 3130414A1 FR 2113531 A FR2113531 A FR 2113531A FR 2113531 A FR2113531 A FR 2113531A FR 3130414 A1 FR3130414 A1 FR 3130414A1
Authority
FR
France
Prior art keywords
integrity
result
difference
calculation
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2113531A
Other languages
English (en)
Inventor
Sophie GOURDONNEAU
Marc KAUFMANN
Cedric Moreau
Louis-Theophile THIRION
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Safran Electronics and Defense SAS
Original Assignee
Safran Electronics and Defense SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Safran Electronics and Defense SAS filed Critical Safran Electronics and Defense SAS
Priority to FR2113531A priority Critical patent/FR3130414A1/fr
Publication of FR3130414A1 publication Critical patent/FR3130414A1/fr
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

TITRE : Procédé de calcul haute intégrité sur calculateur mono-composant Un aspect de l’invention concerne un procédé de mise en œuvre d’un calcul principal par un processeur (P) comprenant : Première et seconde mises en œuvre (11,13) du calcul principal pour obtenir un premier résultat (RA) et un second résultat (RB),Calcul d’intégrité (12) du premier résultat (RA) pour obtenir une première intégrité (I_RA),Calcul d’intégrité (13) du second résultat (RB) pour obtenir une seconde intégrité (I_RB),Première et seconde comparaisons (15, 17) du premier et du deuxième résultat (RA, RB) pour obtenir une première différence de résultat ((RB-RA)1) et une seconde différence de résultat ((RB-RA)2),Première et seconde comparaisons (16, 18) de la première et de la seconde intégrité (I_RA, I_RB) pour obtenir une première différence d’intégrité ((I_RB-I_RA)1) et une seconde différence d’intégrité ((I_RB-I_RA)2),Lorsque chaque différence est nulle parmi la première différence de résultat ((RB-RA)1), la première différence d’intégrité ((I_RB-I_RA)1), la seconde différence de résultat ((RB-RA)2) et la seconde différence d’intégrité ((I_RB-I_RA)2), fourniture (Res) du résultat du calcul principal étant le premier résultat (RA) et/ou le deuxième résultat (RB). Figure à publier avec l’abrégé : Figure 3

Description

Procédé de calcul haute intégrité sur calculateur mono-composant
DOMAINE TECHNIQUE DE L’INVENTION
Le domaine technique de l’invention est celui du traitement de données critiques.
La présente invention concerne un procédé de calcul haute intégrité sur calculateur mono-composant et en particulier un procédé permettant une redondance du calcul sans redondance du composant mettant en œuvre le calcul.
ARRIERE-PLAN TECHNOLOGIQUE DE L’INVENTION
Dans le cadre de l’évolutions des mobilités, et en particulier de l’évolution des véhicules aéroportés de plus faible dimension et de l’augmentation de la valeur associée au traitement de la donnée, il est nécessaire de créer des systèmes d’acquisition fiables, compacts, peu énergivores et à bas coût.
En parallèle, la maintenance programmée est de moins en moins plébiscitée au profit de solutions permettant d’effectuer la maintenance en fonction de l’état mesuré réel. Cela permet du report de maintenance. Les systèmes de mesure de l’état réel sont des systèmes hautement critiques.
Il existe actuellement beaucoup de systèmes de capture et de traitement de la donnée.
Certains de ces systèmes existants sont faiblement ou moyennement critiques et ne permettent pas d’avoir une intégrité suffisante pour du réaliser du report de maintenance pour des pièces critiques.
Certains autres de ces systèmes existants permettent d’avoir une intégrité suffisante pour une application à du report de maintenance mais sont basés sur de la redondance d’unité de calcul et sont donc plus chers et plus complexes.
En aéronautique, il est exigé sur les systèmes critiques d’avoir un haut niveau d’intégrité conjugué à une haute disponibilité. Pour y répondre, une architecture matérielle est habituellement faite de plusieurs calculateurs. Par exemple, peuvent être mises en œuvre une redondance de deux processeurs appelés COM pour « computation » (« calcul » en français) et MON pour monitoring (« contrôle » en français) et/ou une redondance de deux processeurs appelés PRIM pour « Primaire » et SEC pour « secondaire ». Le principe de ces redondances est de vérifier, respectivement par le processeur secondaire ou de contrôle, les opérations réalisées respectivement par le processeur principal ou de calcul.
Certaines applications telles que le contrôle à des fins de maintenance nécessitent toujours un très haut niveau d’intégrité des données. Pour ces systèmes, utiliser une architecture traditionnelle DAL (« Development Assurance Level » pour « Niveau d’Assurance de Développement » en français) de niveau A, c’est-à-dire de niveau critique tel que défini par les normes ED-12C et DO-178C « Software considerations in airborne systems and equipment certification » (« Considérations logicielles dans la certification des systèmes et équipements aéroportés » en français), est très coûteux.
Il existe donc un besoin de pouvoir assurer, par un système de contrôle à des fins de maintenance, une haute intégrité des calculs tout en ayant un coût limité.
L’invention offre une solution aux problèmes évoqués précédemment, en permettant un haut niveau d’intégrité des calculs tout en diminuant les coûts de développement, de production et de possession.
Un aspect de l’invention concerne ainsi un procédé de mise en œuvre d’un calcul principal par un processeur pour fournir un résultat du calcul, le procédé comprenant les étapes de :
  • Première mise en œuvre du calcul principal pour obtenir un premier résultat,
  • Calcul d’intégrité du premier résultat pour obtenir une première intégrité,
  • Seconde mise en œuvre du calcul principal pour obtenir un second résultat,
  • Calcul d’intégrité du second résultat pour obtenir une seconde intégrité,
  • Première comparaison du premier résultat et du deuxième résultat pour obtenir une première différence de résultat,
  • Première comparaison de la première intégrité et de la seconde intégrité pour obtenir une première différence d’intégrité,
  • Seconde comparaison du premier résultat et du deuxième résultat pour obtenir une seconde différence de résultat,
  • Seconde comparaison de la première intégrité et de la seconde intégrité pour obtenir une seconde différence d’intégrité,
  • Lorsque chaque différence est nulle parmi la première différence de résultat, la première différence d’intégrité, la seconde différence de résultat et la seconde différence d’intégrité, fourniture du résultat du calcul principal, le résultat du calcul principal étant le premier résultat et/ou le deuxième résultat.
Grâce à l’invention, il est possible de proposer une haute intégrité des calculs sans avoir à utiliser un système coûteux et complexe comprenant plusieurs processeurs. L’invention, au contraire de l’art antérieur, propose un procédé permettant une haute intégrité de calcul dans un unique processeur. Ce procédé redonde le calcul principal et des calculs d’intégrité, ce qui permet d’éviter de redonder le matériel et de limiter les risques d’intrusion et de compromission des données en limitant les échanges entre composants matériels.
L’invention trouve une application particulièrement pertinente dans les systèmes aéronautiques et notamment dans les systèmes de contrôle à des fins de maintenance, pour lesquels la perte de la donnée n'entraîne pas de conséquences catastrophiques contrairement à la corruption non détectée des données.
Outre les caractéristiques qui viennent d’être évoquées dans le paragraphe précédent, le procédé selon un aspect de l’invention peut présenter une ou plusieurs caractéristiques complémentaires parmi les suivantes, considérées individuellement ou selon toutes les combinaisons techniquement possibles :
  • lorsqu’au moins une différence n’est pas nulle parmi la première différence de résultat, la première différence d’intégrité, la seconde différence de résultat et la seconde différence d’intégrité, une alerte de défaut d’intégrité du processeur est émise,
  • une alerte de défaut d’intégrité du processeur est émise et le procédé est arrêté lorsqu’un calcul de test d’intégrité préliminaire mis en œuvre avant la première mise en œuvre du calcul principal indique que le processeur P n’est pas intègre,
  • une alerte de défaut d’intégrité du processeur est émise et le procédé est arrêté lorsqu’un calcul de test d’intégrité postérieur mis en œuvre après la dernière mise en œuvre du calcul principal indique que le processeur P n’est pas intègre,
  • une alerte de défaut d’intégrité du processeur est émise et le procédé est arrêté lorsqu’un calcul de test d’intégrité mis en œuvre après chaque mise en œuvre du calcul principal indique que le processeur P n’est pas intègre.
  • les premier et second calculs d’intégrité se basent sur une fonction de contrôle de redondance cyclique et la première intégrité et la seconde intégrité obtenues sont le résultat de l’application de la fonction de contrôle de redondance cyclique respectivement au premier résultat et au second résultat.
  • le procédé comprend en outre au moins les étapes de :
    • Stockage, dans une mémoire, du premier résultat et de la première intégrité,
    • Stockage, dans la mémoire, du second résultat et de la seconde intégrité.
  • lorsque chaque différence est nulle parmi la première différence de résultat, la première différence d’intégrité, la seconde différence de résultat et la seconde différence d’intégrité, au moins une étape de stockage, dans la mémoire, du résultat du calcul principal.
  • lorsqu’au moins une différence n’est pas nulle parmi la première différence de résultat, la première différence d’intégrité, la seconde différence de résultat et la seconde différence d’intégrité, le procédé comprend une étape de suppression de la mémoire du premier résultat, du second résultat, de la première intégrité et de la seconde intégrité.
Un autre aspect de l’invention porte sur un système embarqué configuré pour mettre en œuvre le procédé selon l’invention, le système embarqué comprenant au moins un processeur et une mémoire.
Encore un autre aspect de l’invention porte sur un aéronef comprenant le système embarqué selon l’invention.
L’invention est particulièrement intéressante pour les systèmes dont le besoin porte sur un haut niveau d’intégrité des résultats de calculs, et pour lesquels la haute disponibilité des résultats est moins importante.
L’invention et ses différentes applications seront mieux comprises à la lecture de la description qui suit et à l’examen des figures qui l’accompagnent.
BREVE DESCRIPTION DES FIGURES
Les figures sont présentées à titre indicatif et nullement limitatif de l’invention.
  • La montre une représentation schématique d’un premier mode de réalisation d’un procédé de mise en œuvre de calcul principal selon l’invention,
  • La montre une représentation schématique d’un système pour la mise en œuvre d’un procédé selon l’invention,
  • La montre une représentation schématique d’un deuxième mode de réalisation d’un procédé de mise en œuvre de calcul principal selon l’invention.

Claims (11)

  1. Procédé de mise en œuvre d’un calcul principal par un processeur (P) pour fournir un résultat du calcul, le procédé étant caractérisé en ce qu’il comprend les étapes de :
    • Première mise en œuvre (11) du calcul principal pour obtenir un premier résultat (RA),
    • Calcul d’intégrité (12) du premier résultat (RA) pour obtenir une première intégrité (I_RA),
    • Seconde mise en œuvre (13) du calcul principal pour obtenir un second résultat (RB),
    • Calcul d’intégrité (14) du second résultat (RB) pour obtenir une seconde intégrité (I_RB),
    • Première comparaison (15) du premier résultat (RA) et du deuxième résultat (RB) pour obtenir une première différence de résultat ((RB-RA)1),
    • Première comparaison (16) de la première intégrité (I_RA) et de la seconde intégrité (I_RB) pour obtenir une première différence d’intégrité ((I_RB-I_RA)1),
    • Seconde comparaison (17) du premier résultat (RA) et du deuxième résultat (RB) pour obtenir une seconde différence de résultat ((RB-RA)2),
    • Seconde comparaison (18) de la première intégrité (I_RA) et de la seconde intégrité (I_RB) pour obtenir une seconde différence d’intégrité ((I_RB-I_RA)2),
    • Lorsque (Verif1) chaque différence est nulle (O) parmi la première différence de résultat ((RB-RA)1), la première différence d’intégrité ((I_RB-I_RA)1), la seconde différence de résultat ((RB-RA)2) et la seconde différence d’intégrité ((I_RB-I_RA)2), fourniture (Res) du résultat du calcul principal, le résultat du calcul principal étant le premier résultat (RA) et/ou le deuxième résultat (RB).
  2. Procédé selon la revendication précédente selon lequel lorsqu’au moins une différence n’est pas nulle (N) parmi la première différence de résultat ((RB-RA)1), la première différence d’intégrité ((I_RB-I_RA)1), la seconde différence de résultat ((RB-RA)2) et la seconde différence d’intégrité ((I_RB-I_RA)2), une alerte de défaut d’intégrité (Anom) du processeur (P) est émise.
  3. Procédé selon l’une quelconque des revendications précédentes selon lequel une alerte de défaut d’intégrité (Anom) du processeur (P) est émise et le procédé est arrêté lorsqu’un calcul de test d’intégrité préliminaire (T1) mis en œuvre avant la première mise en œuvre (11) du calcul principal indique que le processeur (P) n’est pas intègre.
  4. Procédé selon l’une quelconque des revendications précédentes selon lequel une alerte de défaut d’intégrité du processeur (P) est émise et le procédé est arrêté lorsqu’un calcul de test d’intégrité postérieur (T2) mis en œuvre après la dernière mise en œuvre (13) du calcul principal indique que le processeur (P) n’est pas intègre.
  5. Procédé selon l’une quelconque des revendications 1 à 3 selon lequel une alerte de défaut d’intégrité du processeur (P) est émise et le procédé est arrêté lorsqu’un calcul de test d’intégrité mis en œuvre après chaque mise en œuvre (11,13) du calcul principal indique que le processeur (P) n’est pas intègre.
  6. Procédé selon l’une quelconque des revendications précédentes selon lequel les premier et second calculs d’intégrité (12,14) se basent sur une fonction de contrôle de redondance cyclique et la première intégrité (I_RA) et la seconde intégrité (I_RB) obtenues sont le résultat de l’application de la fonction de contrôle de redondance cyclique respectivement au premier résultat (RA) et au second résultat (RB).
  7. Procédé selon l’une quelconque des revendications précédentes comprenant en outre au moins les étapes de :
    • Stockage, dans une mémoire (M), du premier résultat (RA) et de la première intégrité (I_RA),
    • Stockage, dans la mémoire (M), du second résultat (RB) et de la seconde intégrité (I_RB).
  8. Procédé selon la revendication précédente comprenant en outre, lorsque chaque différence est nulle (O) parmi la première différence de résultat ((RB-RA)1), la première différence d’intégrité ((I_RB-I_RA)1), la seconde différence de résultat ((RB-RA)2) et la seconde différence d’intégrité ((I_RB-I_RA)2), au moins une étape de stockage, dans la mémoire (M), du résultat du calcul principal.
  9. Procédé selon l’une quelconque des revendications 5 ou 6 selon lequel lorsqu’au moins une différence n’est pas nulle (N) parmi la première différence de résultat ((RB-RA)1), la première différence d’intégrité ((I_RB-I_RA)1), la seconde différence de résultat ((RB-RA)2) et la seconde différence d’intégrité ((I_RB-I_RA)2), le procédé comprend une étape de suppression (Dest) de la mémoire (M) du premier résultat (RA), du second résultat (RB), de la première intégrité (I_RA) et de la seconde intégrité (I_RB).
  10. Système embarqué (S) configuré pour mettre en œuvre le procédé selon l’une quelconque des revendications précédentes, le système embarqué (S) comprenant au moins un processeur (P) et une mémoire (M).
  11. Aéronef comprenant le système embarqué (S) selon la revendication 10.
FR2113531A 2021-12-15 2021-12-15 Procédé de calcul haute intégrité sur calculateur mono-composant Pending FR3130414A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2113531A FR3130414A1 (fr) 2021-12-15 2021-12-15 Procédé de calcul haute intégrité sur calculateur mono-composant

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2113531A FR3130414A1 (fr) 2021-12-15 2021-12-15 Procédé de calcul haute intégrité sur calculateur mono-composant
FR2113531 2021-12-15

Publications (1)

Publication Number Publication Date
FR3130414A1 true FR3130414A1 (fr) 2023-06-16

Family

ID=81448904

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2113531A Pending FR3130414A1 (fr) 2021-12-15 2021-12-15 Procédé de calcul haute intégrité sur calculateur mono-composant

Country Status (1)

Country Link
FR (1) FR3130414A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180165814A1 (en) * 2016-12-13 2018-06-14 Qualcomm Incorporated Data content integrity in display subsystem for safety critical use cases
WO2020201509A1 (fr) * 2019-04-04 2020-10-08 Thales Unite et systeme de reference inertielle a integrite amelioree et procedes de controle d'integrite associes
CN112860500A (zh) * 2021-02-22 2021-05-28 四川腾盾科技有限公司 一种多余度飞机管理计算机板卡上电自检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180165814A1 (en) * 2016-12-13 2018-06-14 Qualcomm Incorporated Data content integrity in display subsystem for safety critical use cases
WO2020201509A1 (fr) * 2019-04-04 2020-10-08 Thales Unite et systeme de reference inertielle a integrite amelioree et procedes de controle d'integrite associes
CN112860500A (zh) * 2021-02-22 2021-05-28 四川腾盾科技有限公司 一种多余度飞机管理计算机板卡上电自检测方法

Similar Documents

Publication Publication Date Title
US10831602B2 (en) Dynamically merging parity data for multiple data stripes
EP3506096B1 (fr) Calculateur électronique de mise en oeuvre d'au moins une fonction critique, dispositif électronique, procédé et programme d'ordinateur associés
CN110750592B (zh) 数据同步的方法、装置和终端设备
US20110082841A1 (en) Analyzing Backup Objects Maintained by a De-Duplication Storage System
US8483386B2 (en) Share generation apparatus, reconstruction apparatus, verification apparatus, and secret sharing system
CN106650478B (zh) 一种数据操作的管理装置及方法
FR3130414A1 (fr) Procédé de calcul haute intégrité sur calculateur mono-composant
CN114513498B (zh) 文件传输校验方法、装置、计算机设备和存储介质
FR3023047A1 (fr) Procede de gestion de messages de panne d'un vehicule automobile
US10673801B2 (en) Dynamic communication session management
CN111522873B (zh) 区块生成方法、装置、计算机设备和存储介质
US10169180B2 (en) Replicating test code and test data into a cache with non-naturally aligned data boundaries
CN114399472A (zh) 承载鞍故障检测方法、装置、计算机设备和存储介质
US10599552B2 (en) Model checker for finding distributed concurrency bugs
RU2809645C2 (ru) Система dag-awtc-реестров с использованием консенсусного механизма bft-верификации
CN107346273A (zh) 一种数据恢复方法、装置及电子设备
US11430534B2 (en) Method for testing storage systems, electronic device, and computer program product
US11675847B2 (en) Retrieval device, retrieval method, program, and recording medium
US11973776B2 (en) Intelligent monitoring and logging platform
US11290259B2 (en) Data distribution platform
US11803864B2 (en) Distributed ledgers for enhanced chain of custody certification
CN113538147B (zh) 股权详情数据生成方法、装置及电子设备
US20240119064A1 (en) Apparatus and method for synchronizing block in blockchain network
US10884846B2 (en) Method for checking the availability and integrity of a distributed data object
CN116938768A (zh) 扫描引擎稳定性测试方法、装置、电子装置和存储介质

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230616

PLFP Fee payment

Year of fee payment: 3