JP5283650B2 - 過渡エラー制約を受ける電子システムのためのメモリアクセス監視装置 - Google Patents
過渡エラー制約を受ける電子システムのためのメモリアクセス監視装置 Download PDFInfo
- Publication number
- JP5283650B2 JP5283650B2 JP2010057535A JP2010057535A JP5283650B2 JP 5283650 B2 JP5283650 B2 JP 5283650B2 JP 2010057535 A JP2010057535 A JP 2010057535A JP 2010057535 A JP2010057535 A JP 2010057535A JP 5283650 B2 JP5283650 B2 JP 5283650B2
- Authority
- JP
- Japan
- Prior art keywords
- error
- time
- voting
- microprocessor
- errors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1497—Details of time redundant execution on a single processing unit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1438—Restarting or rejuvenating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1466—Key-lock mechanism
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- For Increasing The Reliability Of Semiconductor Memories (AREA)
- Retry When Errors Occur (AREA)
Description
−周囲環境に重イオンが含まれる、宇宙、原子及び航空産業
−重大な電磁環境の影響を受ける自動車産業
−一部は銀河系の外から発生する宇宙放射線、また一部は非常に高いエネルギーイオンからなる銀河系内の宇宙放射線
−地球大気と太陽粒子との間の相互作用に続いて発生した閉じこみ電子と陽子で構成される放射線帯
−陽子と重イオンを放出する太陽の爆発
−コロナプラズマの蒸発により発生する太陽風であって、これにより、低エネルギー陽子とイオンが太陽の引力から抜け出せるようになる、である。
−不良回避:実際に使用される前に、静的データの系統的更新;部品が使用される前に、部品不良を検出するために、「オフ−ライン」自己試験(標準作動中ではない)
参考文献〔9〕は、トランジットエラーに依存する電子或いはデジタルシステムに対する処理手順の一般的概要を示し,且つ処理手段として,空間的冗長度と時間的冗長度を記述している。
参考文献〔10〕は、エラーに依存する電子システムに対する処理手順を公表している。このシステムは,冗長シーケンスの使用を回避するために単一の物理的チャネルの使用を支援する。
参考文献〔11〕は、メモリ管理及び仮想メモリをイネーブルにするためいに最近のマイクロプロセッサに適用されるプロセスを記述している。情報に対して制限されるアクセス原則が考察される。頁或いはその一部へのあるアクセス権は、各処理毎に与えられ、これらのアクセス権は,リアルタイムで制御される。衛星の挙動に管理に関するエラーについても、例えば,リアクションホイールのような、挙動及びオービット制御システムにおける媒体臨界アクチュエータで発生された悪いコマンドが考えられた。次に、単一事象が低いが,十分には低くないことが判ると,この現象は,二つのタイプの制御に関して無視され得る。
−最大限界制御:火器推進ユニット、バッテリー管理など。一年に数回衛星を失う危険は認められない。
−中間限界制御:リアクションホイール、電磁カプラーなど。飛行、特に商業衛星飛行(観測、電気通信)は、これらのエラー、エラーが限界に近いものであっても、によって発生する姿勢の乱れは認められない。
−タイミングよくタスクの実行の複製および生成されたテーブル票決と、
−テーブル票決による全データエラーの検出と、
−アクセス権の票決および検査のためのハードウェアおよびソフトウェアセキュリティ装置によるエラーの順序付の検出と、
−アプリケーションに透過である修正とを含み、あらゆることはリアルタイムサイクルに「穴」があるかのように行われる。
−ソフトウェアの場合:
・表で票決される変数のグルーピング、
・通常異なるアプリケーションで再使用可能である「コマンドの票決および生成」モジュール、
・本発明による方法の管理(時間重複、メモリアクセスおよび時間バリデーションウィンドウを監視するハードウェア装置、およびエラー修正の管理)。
−ハードウェアの場合:
・メモリアクセスおよび時間バリデーションの監視;これらは、FPGA回路、あるいは(さらによい)マイクロプロセッサ(アドレス復号化等)に通常関連したASIC回路に統合されねばならない普通の部品であり、これらは異なる用途でも再使用可能である。
・通常のフォールトトレラント機構による重要なコマンドのエレクトロニクスの保護(例えば、計装)。
−非常に小さいハードウェアの開発、
−非常に小さいソフトウェアの開発、
−他のフォールトトレラントアーキテクチャと比較される周期的に起きる費用(唯一つのコンピュータ)の最少化、
を有し、これらの特徴はフォールトトレラントアプリケーションでしばしば見つけられるものではない。
−主要なサプライヤーはもはやこの市場に供給しないために、この使用は「高信頼性」部品の有効性の確認された減少の問題を解決する。
−コストの減少、バジェットコンテキストによって刺激される様相。「高信頼性部品」項目は装置の全開発費用で無視できなく、その周期的に起こる費用において無視する。
−エレクトロニクスの容積の減少および/または機能性の増加のためにより高い実行機能/部品の使用。
−宇宙に反動的なアクセスを与えるためにプロジェクトの開発時間を減少させ、一般的には「高信頼性」部品に対する調達時間は1年あるいは2年である。
キーの固有定義に関連するこの装置の固有機能を規定することも可能である:例えば、
−セグメントの中の1つが、コンピュータの例外状態の機能としアクセスできる書き込み許可を有するので、重要なデータ(例えば、コード)の確実な記憶を可能にする、
−重要なデータの確実な記憶を可能にするセグメントが対(「旧」セグメントおよび「新」セグメント)(フリップフロップで作動する)でグループ化される。
−マイクロプロセッサ周辺に作られる制御装置11と、
−マスメモリ12と、
−パワーインターフェイス13、ペイロードインターフェイス15、パイロテクニクスインターフェイス16、サーマルインターフェイス17、姿勢および軌道制御システムインターフェイス18と、
−データバス19を介して連結されることと、
−リモートコントロール−リモート測定インターフェイス14と、
−監視および再構成エレクトロニクス20と、
−交換パワーを生成するDC−DCコンバータ21は、ACを供給し、パーマネントパワーは、APを供給することと、を備えている。
−データエラーと、
−サブクラスにも共有される順序付けエラー:
・「ソフトクラッシュ」:不正な接続だが、マイクロプロセッサは、指示により位相に戻り、多少不安定で、指示の順序付けを続行することが可能である;
・「ハードクラッシュ」:マイクロプロセッサは、操作可能でなく、たとえば、マイクロプロセッサは、指示と位相が同じでなく、マイクロプロセッサは、データを指示レジスタにロードし、スタックポインタが妨害されて、指示順序付けがブロックされ、不可能なイベント、無限ループなどを待つ。
−これは、捕捉がアクセスされ、あるいは大部分のセンサ/アクチュエータが制御される周波数であること、
−かなり制限された数の「アクティブ」データが、リアルタイムサイクルの終りに使用可能である;多量の中間データがなく、そしてローカル変数が使用されていないこと、
・検出のために、それらは、票決される一連のテーブルに格納されていることと、
・単純で、良好に配置された再開始コンテキストが修正のために使用可能であること。
−図5A:本発明による方法を有さないシーケンスであり、コマンドは、それにもかかわらず、処理の終りに分類されている、
−図5B:本発明による方法を有するシーケンス。
−データ捕捉、
−コマンドの計算で処理、
−コマンドの送信、
−タスクの取り消しおよび待機、この場合、「Scrub+Standby(取り消し+待機)」と呼ばれる。
−仮想チャネル♯1(ChV ♯1)の捕捉、
−仮想チャネル♯1の処理;結果は、テーブルTAB ♯1に格納される、
−仮想チャネル♯2(ChV ♯2)の捕捉、
−仮想チャネル♯2の処理;結果は、テーブルTAB ♯2に格納される、
−テーブルTAB ♯1およびTAB ♯2の票決、
−コマンドの生成、
−タスクの取り消しおよび待機。
−タスクの時間複写、
−テーブルへの変数の配置、
−確実な票決、
−再開始による修正、
−ハードウェア構造の管理、
を管理する。
−3つのエラー制約領域(時間、ソフトウェアおよびハードウェア)、
−テーブルに変数/データを配置、
−処理の時間複写、
−各処理の結果の比較によるエラー検出を可能にするユニークな確実なソフトウェア票決モジュール、その票決モジュールは、さらに、コマンドを生成する、
−票決の完全性をチェックするのに関係するソフトウェア監視プロセッサ、
−エラー検出および修正コードによる特異イベントに対して保護される制御装置メモリプレーン、
−前のエレメントを有して、再開始コンテキストを確実にバックアップし、かつアドレスエラーを検出するのに使用されるハードウェアアクセス権制御装置に関連するメモリセグメンテーション、
−アクセス権を制御するハードウェア装置を介して、データバスを通って制御エレクトロニクスに転送することをチェックし、エラー制約領域の境界を画定すること、
−エラーが生ずる場合、再開始による修正。
最大エラー制約領域60は、図8に示されるように、捕捉エレクトロニクス41と、制御装置40とから構成される;この図は、図4と同一参照符号を使用している。したがって、エラーが、捕捉あるいは処理を妨害する場合、このエラーは、制御エレクトロニクス43に通過させることができない。この結果、捕捉エレクトロニクス41において、あるいは制御装置40において、特異イベントに続いて生ずるエラーは、不良な衛星用コマンドを生成しないし、またミッションを妨害しない。
−修正がリアルタイムサイクルの粒度に基づいているので、リアルタイムサイクルによるエラーの時間制約、
−メモリアクセス監視装置により、ソフトウェアタスクによる、そしてメモリアクセスの監視により、仮想チャネルによるエラー制約。
本発明による方法のオペレーションは、特に、票決されるデータを含む一連のテーブルに基づく(その結果、これらのテーブルは、複写され、1つのセットは、ChV ♯1によって管理され、もう1つのセットは、ChV ♯2によって管理される)。これらのテーブルは、通常のソフトウェアテーブルとは異なり、デュプレックスオペレーションに特有なので、「時間多重化されたデュプレックステーブル」と呼ばれる。たとえば、
−捕捉テーブル(TAB−Acq)、
−制御テーブル(TAB−Cde)、
−コンテキストテーブル(TAB−Ctxt)。
上記に定義される参照ソフトウェアアーキテクチャと比較すれば、本発明による方法は、コマンドが、図3に示されるように、計算されるとき生成されないことを強要するが、むしろどちらかと言えば、それらは、票決を待つテーブルに格納される(図5Bを参照)。処理が2つの仮想チャネルのために終了されるとき、テーブルは票決されて、そして不一致が検出されない場合だけ、票決モジュールがコマンドを生成する;この場合、2つのコマンドテーブルの1つは、バス45を介して制御エレクトロニクス43を通って、制御装置40に送信される。
−シーケンサ/リアルタイムエグゼクティブ(ETR)、
−タスクA、
−シーケンサ/リアルタイムエグゼクティブ、
−タスクB、
−シーケンサ/リアルタイムエグゼクティブ、
−タスクC,
−シーケンサ/リアルタイムエグゼクティブ、
−タスクの取り消しおよび待機。
−仮想チャネルNo.1 捕捉、
−仮想チャネルNo.1 処理、
−仮想チャネルNo.2 捕捉、
−仮想チャネルNo.2 処理、
−票決およびコマンドの生成。
・仮想チャネル No.1(ChV♯1)のための「処理」モジュールの間:
−ChV♯1のデータの捕捉およびTAB−Acq♯11への格納、
−TAB−Acq♯1およびTAB−Ctxt−Old♯1から開始するChV♯1と関連する処理の実行;この処理の結果は、TAB−Cde♯1テーブルおよびTAB−Ctxt−New♯1テーブルに格納される;コマンドは、アクチュエータに送信される制御装置によって生成されない。
−ChV♯2のデータの捕捉およびTAB−Acq♯2への格納、
−TAB−Acq♯2およびTAB−Ctxt−Old♯2から開始するChV♯2に関連する処理の実行;この処理の結果は、TAB−Cde♯2テーブルおよびTAB−Ctxt−New♯2テーブルに格納される;コンピュータは、なんら出力を生成しない。
−逐語的にTAB−Cde♯1とTAB−Cde♯2の比較、
−逐語的にTAB−Ctxt−New No.1とNo.2との比較、
−エラーが検出されない場合、方法は続行し、さもなければ、待機に配置、
−インデックスを変更することによってコンテキストテーブルをスワッピングする:TAB−Ctxt−NewとTAB−Ctxt−oldとを置き換えて、次のリアルタイムサイクルのためのコンテキストとして使用される、
−コマンドの生成、2つのTAB−Cdeテーブルの1つが、データバスを介してコマンドエレクトロニクスにコマンドリクエストを転送するために、連続して空にされる、
−時間多重化されたデュプレックスパラメータの初期化(時間多重化されたデュプレックステーブル、時間多重化されたデュプレックス管理変数)。
最小として、票決されるのに必要とするデータは、図10に示されるような処理モジュールからの様々な出力である、すなわち:
−不正な動作を生成しないために、コンピュータ(コマンド)から出力されるデータ65、
−再開始コンテキストは異常がないであることを必要とするので、再開始のために使用されるデータ66(コンテキスト−サイクルNが障害状態である場合、異常のないデータN−1は、再開始のために格納される)。
−票決保全装置が画定される場合、特異イベントに耐性のある外部部品を使用する必要がない;アーキテクチャは、したがって、簡素化される;票決は、本発明による方法における他の場所で必要な少数のハードウェア装置からのサポートで、ソフトウェア全体においてマイクロプロセッサ自体によって行われることが可能である。
−ソフトウェア票決は、複写されない。
−マイクロプロセッサおよび制御装置モジュールが、票決の開始に異常のない状態であることをチェックすること、
−コマンドの生成を認可するために、票決が行われている間に票決が完結することをチェックすること。
a)票決の開始時に連結されるマイクロプロセッサの状態と、制御装置モジュールの状態とをチェックすること:スタックポインタが認可された領域内にあることをチェックすること、マイクロプロセッサおよび制御装置カード構成レジスタをチェックすること、
b)票決の間のエラーの確率を最小にするために、可能な場合、キャッシュを禁止すること、
d)票決することが行われることを表示し、そして2つのメモリ領域ChV♯1、ChV♯2への同時アクセスを認可するメモリアクセス監視装置のためのキーを活動化する、
f)Vote−Key(票決−キー)が、1に等しいことをチェックし、次に、それを2にセットすること(すなわち、コマンド生成)、
h)票決が行われることを表示するメモリアクセス監視装置キーを禁止すること、
i)テストe、f、gの結果が正しい場合、次に、時間バリデーションウインドウシステムを使用して、バスカプラー時間バリデーションウインドウを開くこと、
j)コマンドカード構成レジスタを再初期化すること、
l)コマンドカード構成レジスタをチェックし、そして、検出されるエラータイプの関数としてアクションを行う(通常コマンド再送信);
時間ウインドウは終了されるか、あるいは終了するかである。
m)Vote−Key(票決−キー)が、2に等しいことをチェックし、次に、それを3にセットすること(すなわち、交換および初期化)、
n)メモリに格納される一対の「old(古い)」と「New(新しい)」インデックスを逆転することによって、タスクKのためのコンテキストテーブルをスワッピングすること、
p)「Old(古い)」テーブルを「New(新しい)」テーブルに転送し、そして、この転送をチェックするために票決すること;この転送は、タスクが実行されるたびに、変数が組織的に更新されない場合、変数が長期間有効であることを確かめるために必要である、
q)Vote−Key(票決−キー)が3に等しいことをチェックし、次に、0にセットすること(すなわち、禁止されている)、
r)キャッシュの妥当性を検査すること。
当業者に周知であるSoftware Monitoring Prosess(ソフトウェア監視方法)は、ソフトウェア自体へのマイクロプロセッサ指示の正しいなシーケンスの制御を受け渡す手段である。ソフトウェアは、リニア基本セグメント、換言すれば、2つの結合間のセグメントに分割される。リニアセグメントは、それ自体、分岐指示を含んでいないので、マイクロプロセッサが、このセグメントの第1の指示を実行すると、それは、このセグメントの最後の指示が実行されるまで続行する必要がある。
−マイクロプロセッサが、他の場所でなく、出口ポイントで正しく、前のセグメントから実際に出たことを確認するために、Software Monitoring(ソフトウェア監視)方法キーの値は、各セグメントの開始にチェックされ、そして、さらに、そのセグメントが、互いに次々と正しく連鎖されることがチェックされること、
−次に、Software Monitoring(ソフトウェア監視)方法キーが、セグメントの開始でのこのチェック直後、現在のセグメントに対応する値にセットされること、
−マイクロプロセッサが、各セグメントの終りに、他の場所でなく、正しいエントリポイントで現在のセグメントを実際に実行したことがチェックされること。
メモリプレーンは、従来、休止エラーを検出して、修正するべくメモリプレーン全体を読み取るために、修正コード(EDAC)と、取り消しタスクとによって特異イベントに対して保護されている。これは、同一ワードの多重エラーが検出されること、および/または修正されることができないので必要である。
−修正コード(EDAC)の使用による特異イベントに関係する信頼性メモリと、
−アクセス権を監視することによって、アドレスエラー、指示エラー、マイクロプロセッサクラッシュなどに続く不正な書き込みのための信頼性メモリと、に基づいている。
Memory Access Monitoring(メモリアクセス監視)(SAM)装置は、従来のブロックメモリ保護ユニットから導出されるハードウェア装置である。それは、境界が画定されたメモリ領域にアクセスしようとするマイクロプロセッサが、実際に、この領域へのアクセス権を有していることをチェックするのに使用される。
−セグメントのサイズは、任意であり、アプリケーションの関数として画定されること、
−アクセス認可は、メモリアクセス監視装置の内部のレジスタに記憶されるキーをプログラミングすることによって行われ、これらのキーの定義および組合せが、本発明による方法に特有である。
−コードエラーは、2つの仮想チャネルに共通のエラーモードであり、そして票決によって検出されないので、コードを記憶する領域への書き込みアクセスを防止するキーであって、このキーは、メモリだけを読み取るコードがRAMに転送されるとき、コンピュータの初期化の間だけメモリへの書き込みを認可する、
−仮想シーケンスが現在の ChV♯1、あるいはChV♯2であることを表示し、そして、ChV♯1が実行されるとき、マイクロプロセッサが、ChV♯2テーブルを含むメモリ領域にアクセスすることを防止するキー(逆もまた同じ)であって、このキーは、1つの仮想シーケンスが別のものに生ずるエラーに不浸透性になることを可能にする、
−現在のタスクを表示し、そしてマイクロプロセッサが、現在実行されるこのソフトウェアタスクのためのテーブルを含むメモリ領域だけにアクセスすることを可能とするキーであって、このキーは、1つのタスクが、別のタスクに生ずるエラーに不浸透性になることを可能にする、
−スワッピングで作業する2つの「Old(古い)」/「New(新しい)」テーブルセットが、「Old(古い)」領域と、「New(新しい)」領域とであることを表示するキーであって、書き込みは、「Old(古い)」領域において禁じられている。
Time Validation Window(時間バリデーションウインドウ)(FVT)システムは、革新的なハードウェア装置である。それは、従来の時間カウンタを使用して行われる。それは、ハードウェアエラーを制約る。それは、
−コマンドエレクトロニクス管理コードを実行するクラッシュしたマイクロプロセッサが、アクセス権を正しく肯定応答することなく、コマンドを生成することを防止するように、
−不正な「コマンドに対応するアドレスに書き込む」タイプの指示を実行するマイクロプロセッサが、偶然にコマンドを生成することを禁ずるように、構成されている。
修正は、下記のシーケンスに従って実行される:
−エラーが検出されるとき、現在のリアルタイムサイクル(♯N)は、禁止され、そしてコマンドは生成されない;マイクロプロセッサは、待機モードに進み、次のリアルタイムサイクルを待つ、
−次のリアルタイムサイクルN+1は、前のコンテキストN−1から実行され、信頼性のないコンテキストNからは実行されず、そして現在のサイクルN+1のための捕捉から実行される。
ソフトウェアタスクの順序付けを可能にするシーケンサ、あるいはリアルタイムエグゼクティブは、直接に保護されない。対象は、市販のエグゼクティブを使用し、そのため、フォールトトレラント構造を含むように、それに何らかの変更をすることがない。
本発明による方法に対する変形は、特に、その特徴のいくつかを簡素化することによって可能であり、たとえば、
−票決保全構造の簡素化:チェックサム計算の削除、十分であると考慮されるソフトウェア監視方法によるチェック、
−メモリアクセス監視装置の簡素化:2つのシーケンス間の同一エラーの可能性が、極めて少ないので、ChV♯1とChV♯2との間の不浸透性仕切りが不要(現在の仮想シーケンスを表示するキーの削除)。
本発明による方法は、最も包括的で、最も徹底的な可能性のあるバリデーションを生成し、かつ最大に可能性のあるエラー適用範囲比率を測定するために、開発された。
目的は、これを最後にこの方法を有効にするために、代表的な宇宙アプリケーションを表わすハードウェアおよびソフトウェア実施形態(モックアップ)を有することである。宇宙プロジェクトは、実際には、予備段階における様々な可能性のある解決法を分析している。新しい解決法について、モックアップが、正しいオペレーションと、プロジェクトチームがその使用について決定する前に、かなりの遅延を生ずる必要性への適合とを説明する試みにおいて使用されている。
方法は、障害の注入によって妥当性が検査される。したがって、独立した対象で2つのタイプの注入がある。
−第1の段階において、確定的エラーがソフトウェアによって注入される。この注入は同期であるので、エラーシナリオは、方法が障害状態であるとき、再プレイされることが可能である。この段階は、このように、方法の妥当性を検査するのに、かつ可能な場合、エラー検出/修正パフォーマンスを改善するために、それを修正するのに使用されることが可能である。
−第2の段階において、ランダムエラーは、粒子加速器を使用することによって、粒子ビームを本実施形態のメイン部品に印加して注入される(重イオン、プロトン)。この段階は、前の段階に相補的であり、注入されたエラースペクトルがより広いので、端から端にバリデーションを可能にする。さらに、エラーの分布が、リアルアプリケーション環境を表わすので、それは、方法のエラー適用範囲比率を精密に測定することが可能である。
開発されたハードウェア実施形態は、主として、処理ユニット、捕捉ユニットおよび可観測性ユニットの3つの部分から構成されている。
開発されたソフトウェアアプリケーション(すなわち、ソフトウェア実施形態)は、宇宙において、あるいは他のアプリケーションにおいて、搭載リアルタイムアプリケーションをできるだけ表わすために、下記の特徴を有している:
−後で、市販用リアルタイムエグゼクティブと置き換えられる周期シーケンサに基づく順序付け、
−異なるプライオリティを有するいくつかのメインアプリケーションタスク(たとえば、6個)、それらのいくつかは、周期的であり、その他は、非同期であり、非周期的である;それらのタスクの1つは、宇宙機の姿勢制御プログラムのコアである、
−アプリケーションは、リアルタイムクロックの制御のもとに実行されるリアルタイムサイクルに基づき、アプリケーションタスクは、異なる間隔を有している、
−いくつかのアプリケーションタスク、たとえば、3つのアプリケーションは、より優先度の高いタスクによって割り込まれる、
−ソフトウェアは、捕捉チャネルから生ずる外部非同期イベントに対してリアルタイムで作用する。
C1 C2 Cn センサ
Ph1 Ph2 Ph3 メイン位相
1 仮想チャネル
10 搭載管理ユニット
11 制御装置
12 マスメモリ
13 パワーインターフェイス
14 リモートコントロール−リモート測定インターフェイス
15 ペイロードインターフェイス
16 パイロテクニクスインターフェイス
17 サーマルインターフェイス
18 姿勢および軌道制御システムインターフェイス
19 データバス
20 監視および再構成エレクトロニクス
21 DC−DCコンバータ
25 太陽熱発電機
26 バッテリ
27 デュプレクサ
28 29 アンテナ
31 ペイロード
32 アビオニクスバス
33 高速シリアルリンク
35 展開可能なシステム
36 ヒータおよびサーミスタンス
37 リザーバ圧力センサ
40 制御装置
41 捕捉エレクトロニクス
42 センサ
43 制御エレクトロニクス
44 アクチュエータ
45 データバス
47 仮想チャネル
48 仮想チャネル
49 確実な票決モジュール
50 第1のマイクロプロセッサモジュール
51 メモリアクセス監視および時間バリデーションウインドウモジュール
52 バス
53 エラー検出および修正メモリ
54 バスカプラー
55 データバス
60 最大エラー制約領域
65 データ
66 データ
Claims (5)
- マイクロプロセッサの周りに形成された制御装置およびメモリを含むコンピュータのメモリアクセスを監視する装置であって、前記メモリが、セグメントに分割され、各セグメントが前記装置で利用可能なキーの全部あるいはいくつかの論理機能によって規定されるアクセス権を有し、各セグメントへの前記アクセス権がリアルタイムで検査され、いくつかのセグメントに対するアクセスが、マイクロプロセッサが適切な作動状態にあるという非常に高い可能性がある場合に許可されるだけであり、したがって重要なデータの確実な記憶を可能にし、前記セグメントの中の1つが前記コンピュータの例外状態でアクセス可能な書き込み許可を有し、したがって重要なデータの確実な記憶を可能にし、前記例外状態は、コンピュータが正常であるという高い可能性を得るためにコンピュータの正常性が事前にチェックされる低頻度の状態として定義されることを特徴とする装置。
- 非隣接セグメントのセットが、前記装置にあるキーのプログラミングに応じて、いくつかのセグメントに対して読み出し専用でおよび他のセグメントに対して読み出し/書き込みでアクセス可能である請求項1に記載の装置。
- セグメントサイズが、所定の用途に対して最適化できるように任意である請求項1に記載の装置。
- 利用可能なキーのセットの定義、これらのキーに対する論理的組合せ機能および前記キーのプログラミングの機能としての前記アクセス可能なセグメントの構成が固有である請求項1に記載の装置。
- 重要なデータの確実な記憶を可能にするセグメントがフリップフロップで作動する対で記憶される請求項1に記載の装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9812745A FR2784475B1 (fr) | 1998-10-12 | 1998-10-12 | Procede de traitement d'un systeme electronique soumis a des contraintes d'erreurs transitoires |
FR98/12745 | 1998-10-12 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000576368A Division JP4671507B2 (ja) | 1998-10-12 | 1999-10-11 | 過渡エラー制約を受ける電子システムのための処理手順 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010134967A JP2010134967A (ja) | 2010-06-17 |
JP5283650B2 true JP5283650B2 (ja) | 2013-09-04 |
Family
ID=9531439
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000576368A Expired - Lifetime JP4671507B2 (ja) | 1998-10-12 | 1999-10-11 | 過渡エラー制約を受ける電子システムのための処理手順 |
JP2010057535A Expired - Lifetime JP5283650B2 (ja) | 1998-10-12 | 2010-03-15 | 過渡エラー制約を受ける電子システムのためのメモリアクセス監視装置 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000576368A Expired - Lifetime JP4671507B2 (ja) | 1998-10-12 | 1999-10-11 | 過渡エラー制約を受ける電子システムのための処理手順 |
Country Status (7)
Country | Link |
---|---|
US (1) | US6839868B1 (ja) |
EP (2) | EP1121642B1 (ja) |
JP (2) | JP4671507B2 (ja) |
DE (1) | DE69905272T2 (ja) |
ES (1) | ES2192863T3 (ja) |
FR (1) | FR2784475B1 (ja) |
WO (1) | WO2000022529A1 (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6701480B1 (en) * | 2000-03-08 | 2004-03-02 | Rockwell Automation Technologies, Inc. | System and method for providing error check and correction in memory systems |
JP4856848B2 (ja) | 2001-10-11 | 2012-01-18 | アルテラ コーポレイション | プログラマブルロジックリソース上のエラー検出 |
JP3722057B2 (ja) * | 2001-11-30 | 2005-11-30 | ソニー株式会社 | データ記録再生装置及びデータ記録再生方法、並びにデジタルカメラ |
US20040019895A1 (en) * | 2002-07-29 | 2004-01-29 | Intel Corporation | Dynamic communication tuning apparatus, systems, and methods |
US20050193283A1 (en) * | 2003-12-30 | 2005-09-01 | Reinhardt Steven K. | Buffering unchecked stores for fault detection in redundant multithreading systems using speculative memory support |
US7328377B1 (en) | 2004-01-27 | 2008-02-05 | Altera Corporation | Error correction for programmable logic integrated circuits |
DE102004019371B4 (de) * | 2004-04-21 | 2006-04-13 | Siemens Ag | Verfahren zur Wiederherstellung eines Betriebszustands eines Systems |
US7166847B2 (en) * | 2004-06-30 | 2007-01-23 | Intel Corporation | System with response to cosmic ray detection |
DE102004037713A1 (de) * | 2004-08-04 | 2006-03-16 | Robert Bosch Gmbh | Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms |
DE102004051966A1 (de) * | 2004-10-25 | 2006-05-04 | Robert Bosch Gmbh | Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms |
DE102005023296B4 (de) * | 2005-05-12 | 2007-07-12 | Siemens Ag | Zugbeeinflussungssystem |
US7272681B2 (en) * | 2005-08-05 | 2007-09-18 | Raytheon Company | System having parallel data processors which generate redundant effector date to detect errors |
JP2007133807A (ja) * | 2005-11-14 | 2007-05-31 | Hitachi Ltd | データ処理システム、ストレージ装置及び管理装置 |
US8024639B2 (en) | 2006-06-23 | 2011-09-20 | Schweitzer Engineering Laboratories, Inc. | Software and methods to detect and correct data structure |
US20080080114A1 (en) * | 2006-09-29 | 2008-04-03 | Schweitzer Engineering Laboratories, Inc. | Apparatus, systems and methods for reliably detecting faults within a power distribution system |
US7702971B2 (en) * | 2007-06-06 | 2010-04-20 | Dell Products L.P. | System and method for predictive failure detection |
US20110099439A1 (en) * | 2009-10-23 | 2011-04-28 | Infineon Technologies Ag | Automatic diverse software generation for use in high integrity systems |
US20110208948A1 (en) * | 2010-02-23 | 2011-08-25 | Infineon Technologies Ag | Reading to and writing from peripherals with temporally separated redundant processor execution |
US8516356B2 (en) | 2010-07-20 | 2013-08-20 | Infineon Technologies Ag | Real-time error detection by inverse processing |
US8441768B2 (en) | 2010-09-08 | 2013-05-14 | Schweitzer Engineering Laboratories Inc | Systems and methods for independent self-monitoring |
US9007731B2 (en) | 2012-03-26 | 2015-04-14 | Schweitzer Engineering Laboratories, Inc. | Leveraging inherent redundancy in a multifunction IED |
US8955157B2 (en) * | 2012-07-03 | 2015-02-10 | Honeywell International Inc. | Method and apparatus for differential power analysis protection |
US9270792B2 (en) | 2012-11-21 | 2016-02-23 | Ubiquiti Networks, Inc. | Method and system for improving wireless link efficiency |
EP3279796B1 (en) * | 2016-08-02 | 2020-07-15 | NXP USA, Inc. | Resource access management component and method therefor |
IT201800007412A1 (it) * | 2018-07-23 | 2020-01-23 | Sistema elettronico modulare per la verifica della corretta esecuzione di operazioni eseguite dal sistema stesso | |
US11323362B2 (en) | 2020-08-07 | 2022-05-03 | Schweitzer Engineering Laboratories, Inc. | Resilience to single event upsets in software defined networks |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5329039A (en) * | 1976-08-30 | 1978-03-17 | Hitachi Ltd | Operation processing unit |
JPS5488748A (en) * | 1977-12-26 | 1979-07-14 | Hitachi Ltd | Error detection system |
JPS5561863A (en) * | 1978-11-01 | 1980-05-09 | Hitachi Ltd | Information processor |
US4371930A (en) * | 1980-06-03 | 1983-02-01 | Burroughs Corporation | Apparatus for detecting, correcting and logging single bit memory read errors |
EP0133005B1 (en) * | 1983-07-29 | 1991-02-27 | Westinghouse Brake And Signal Holdings Limited | Safe operation proving of a controlled system |
US4683532A (en) * | 1984-12-03 | 1987-07-28 | Honeywell Inc. | Real-time software monitor and write protect controller |
JPS62293441A (ja) * | 1986-06-12 | 1987-12-21 | Nec Corp | デ−タ出力方式 |
US5434999A (en) * | 1988-11-09 | 1995-07-18 | Bull Cp8 | Safeguarded remote loading of service programs by authorizing loading in protected memory zones in a terminal |
JPH03100847A (ja) * | 1989-09-14 | 1991-04-25 | Fujitsu Ltd | メモリの書込み禁止回路 |
JPH03147159A (ja) * | 1989-11-02 | 1991-06-24 | Nitsuko Corp | メモリ保護方式 |
JPH04253244A (ja) * | 1991-01-29 | 1992-09-09 | Nec Corp | プログラム暴走時のメモリ内データ保護回路 |
US5504814A (en) * | 1991-07-10 | 1996-04-02 | Hughes Aircraft Company | Efficient security kernel for the 80960 extended architecture |
US5596739A (en) * | 1994-02-08 | 1997-01-21 | Meridian Semiconductor, Inc. | Method and apparatus for detecting memory segment violations in a microprocessor-based system |
US5590277A (en) * | 1994-06-22 | 1996-12-31 | Lucent Technologies Inc. | Progressive retry method and apparatus for software failure recovery in multi-process message-passing applications |
JPH0822419A (ja) * | 1994-07-08 | 1996-01-23 | Mitsubishi Electric Corp | 誤書込防止方式 |
JPH0883191A (ja) * | 1994-09-13 | 1996-03-26 | Fujitsu Ltd | マイクロプロセッサの故障阻止方法とその装置 |
US5845331A (en) * | 1994-09-28 | 1998-12-01 | Massachusetts Institute Of Technology | Memory system including guarded pointers |
JPH08115230A (ja) * | 1994-10-18 | 1996-05-07 | Fujitsu Ltd | プロセッサの制御方法及びプログラム監視装置 |
US5485577A (en) * | 1994-12-16 | 1996-01-16 | General Instrument Corporation Of Delaware | Method and apparatus for incremental delivery of access rights |
JP3072048B2 (ja) * | 1996-03-19 | 2000-07-31 | 株式会社東芝 | 計算機システムおよび計算機システムのソフトウェア故障回復方法 |
JPH09259043A (ja) * | 1996-03-22 | 1997-10-03 | Sharp Corp | メモリ保護メカニズム |
US5963191A (en) * | 1997-03-25 | 1999-10-05 | International Business Machines Corporation | Method and system for denying graphical pointer access to a widget of a data processing system graphical user interface |
JP3085917B2 (ja) * | 1997-04-10 | 2000-09-11 | 三菱電機株式会社 | 耐ソフトウェア障害構成を有したデータ処理装置 |
JP3790323B2 (ja) * | 1997-04-16 | 2006-06-28 | 株式会社ルネサステクノロジ | データ転送制御装置、マイクロコンピュータ及びデータ処理システム |
US6212635B1 (en) * | 1997-07-18 | 2001-04-03 | David C. Reardon | Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place |
EP1000395B1 (en) * | 1997-07-28 | 2004-12-01 | Intergraph Hardware Technologies Company | Apparatus and method for memory error detection and error reporting |
-
1998
- 1998-10-12 FR FR9812745A patent/FR2784475B1/fr not_active Expired - Fee Related
-
1999
- 1999-10-11 ES ES99947525T patent/ES2192863T3/es not_active Expired - Lifetime
- 1999-10-11 EP EP99947525A patent/EP1121642B1/fr not_active Expired - Lifetime
- 1999-10-11 US US09/807,077 patent/US6839868B1/en not_active Expired - Lifetime
- 1999-10-11 DE DE69905272T patent/DE69905272T2/de not_active Expired - Lifetime
- 1999-10-11 JP JP2000576368A patent/JP4671507B2/ja not_active Expired - Lifetime
- 1999-10-11 WO PCT/FR1999/002430 patent/WO2000022529A1/fr active IP Right Grant
- 1999-10-11 EP EP02076483A patent/EP1267265A3/fr not_active Withdrawn
-
2010
- 2010-03-15 JP JP2010057535A patent/JP5283650B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
DE69905272T2 (de) | 2003-12-11 |
FR2784475B1 (fr) | 2000-12-29 |
EP1121642A1 (fr) | 2001-08-08 |
EP1267265A3 (fr) | 2005-08-17 |
JP2002527820A (ja) | 2002-08-27 |
DE69905272D1 (de) | 2003-03-13 |
EP1121642B1 (fr) | 2003-02-05 |
JP2010134967A (ja) | 2010-06-17 |
JP4671507B2 (ja) | 2011-04-20 |
US6839868B1 (en) | 2005-01-04 |
FR2784475A1 (fr) | 2000-04-14 |
WO2000022529A1 (fr) | 2000-04-20 |
EP1267265A2 (fr) | 2002-12-18 |
ES2192863T3 (es) | 2003-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5283650B2 (ja) | 過渡エラー制約を受ける電子システムのためのメモリアクセス監視装置 | |
Powell et al. | GUARDS: A generic upgradable architecture for real-time dependable systems | |
Pignol | COTS-based applications in space avionics | |
US7024594B2 (en) | Software system tolerating transient errors and control process in such a system | |
JP2002527820A5 (ja) | 過渡エラー制約を受ける電子システムのための処理手順 | |
Butler | A primer on architectural level fault tolerance | |
Hitt et al. | Fault-tolerant avionics | |
Pignol | DMT and DT2: two fault-tolerant architectures developed by CNES for COTS-based spacecraft supercomputers | |
Wilfredo | Software fault tolerance: A tutorial | |
Schagaev et al. | Software design for resilient computer systems | |
Heidergott | SEU tolerant device, circuit and processor design | |
Fuchs et al. | Bringing fault-tolerant Gigahertz-computing to space: A multi-stage software-side fault-tolerance approach for miniaturized spacecraft | |
Matthews et al. | NSEU impact on commercial avionics | |
Adams et al. | Techniques for transient error recovery and avoidance in redundant processing systems | |
Mulcare | Fault-Tolerant Avionics | |
Lee et al. | Fault recovery time analysis for coarse-grained reconfigurable architectures | |
Murray et al. | Highly reliable multiprocessors | |
Paiva | Fault Injector to Verify and Validate Nanosatellites | |
Schoppers et al. | Availability Vs. Lifetime Trade-Space In Spacecraft Computers | |
Aidemark et al. | Using Massive Time Redundancy to Achieve Nodelevel Transient Fault Tolerance | |
Lahoz | Meta-Requirements for Space Systems | |
Di Mascio et al. | Computer Science Review | |
Sabogal | Strategies for Selective and Adaptive Resilience in Reconfigurable Space Systems and Apps | |
Zhai et al. | A software approach to protecting embedded system memory from single event upsets | |
Aydos | Parity-based Error Detection with Recomputation for Fault-tolerant Spaceborne Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100315 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120807 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121106 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121109 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130108 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130405 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130430 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130528 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5283650 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |