专利名称:由单处理器执行多种不同重要级别的功能的方法及装置的制作方法
技术领域:
本发明涉及一种允许由多功能单处理器执行的方法及器件,用于工业过程控制,其中的一些功能要求具有高级别的操作安全性。
它特别适用、但不只是适用于飞行器(aerodyne)上的计算机,这些计算机用来提供不同的飞行控制功能。这类设备当前的发展趋势在于获得飞行控制任务的更高自动化,特别是在飞行器的驾驶方面。该趋势导致了设备更复杂、更庞大、更消耗能源以及成本更高,这些都为设备的维护增加了困难。
为了解决这个问题,看起来要将这些设备集成起来并使它模块化。为此,已经提出了一种结构,该结构将不同的电子模块集成在电子框架(rack)——或叫电子盒(cabinet)内,这些模块用于采集那些产生于传感器和其他机载设备如飞行指令生成器的信息。
已经尝试了将包含周期性执行多任务的处理器组化在同一个模块内的工作,对于必要的计算与处理操作,令同一处理器处于时分模式已使该项工作成为可能。
然而,对安装于飞行器上的设备来说,重要性的级别通常与所执行的每一项功能以及该功能所使用的数据相联系。每一级别的安全性对应于有关权威部门用于确证航空设备可靠程度而要求的一个最大故障率。因此,具有最重要级别的功能是指那些其故障可导致灾难性后果的功能。所以这些功能必须表现出非常低的故障可能性(<10-9/飞行小时)。类似地,最重要的数据是指那些如果再也无法得到或出错时将引发灾难性事件的数据。当然,数据的重要性与使用该数据的功能的重要性无关,具有不同重要级别的多个功能可以使用同一个数据。
由多项功能共享同一个处理器,会导致同一个处理器执行重要性不同的任务,因此会显著增加一些不太重要之功能——如与设备维护相关的功能,扰乱甚至关断最重要功能的执行过程的危险。因此有必要制订特殊的规定以便使装载的功能,特别是那些最重要的功能,可以以确证机载设备的权威部门所要求的安全级别来运行。
为此,冗余结构已经被提出,在此种结构中,所有的模块,特别是那些应用于重要功能的模块,均为三重设计,该方式下,重要功能甚至可以在有故障的情况下继续执行。然而,以降低成本、所需模块数目、电力消耗及浪费、故障率和增加设备维护简便性的观点来看,这种解决方案并没有太多的好处。
而且,这种冗余结构意味着不仅复制重要的功能,还复制诸如维护功能等非重要功能。
本发明的目的是消除这些缺点。为此,提出了一种用于多功能之单处理器的执行过程的方法,其中每一项功能均组化了若干项任务。该单处理器具有对用于程序、数据及输入输出寄存器的可寻址空间进行寻址操作的能力,输入输出寄存器允许处理器与其环境进行通讯。
根据本发明,该方法的特征在于,包括-分配由处理器执行之每一项功能的访问权利,-将处理器可寻址空间分成可寻址分区,并将每一个可寻址分区与其中一个功能的访问权利相联系,这样允许每一个功能能访问至少一个可寻址分区-将处理器的使用时间划分为周期(cyclic)时间片段,将每一个周期时间片段与所有功能中的一个功能访问该时间片段的权利相联系,在此方法下,允许每一个功能能够在至少一个时间片段的过程中得以执行,-在每一个新时间片段的开始,确认处理器已经终止前一个功能的执行,若前一个功能的执行未终止,送一个出错信号给处理器;更新当前访问权利,该权利对应于与新的时间片段相关联的访问权利;激活相应功能的任务;-处理器每一次访问可寻址分区期间,读取与被访问的可寻址分区相关的访问权利;将该访问权利和与当前时间片段相关联的访问权利进行比较;在比较出现不一致的情况下,向处理器发送一个错误信号这些规定允许由一个单处理器以完全独立的方式执行多个功能,使防止处理器产生的一个寻址错误导致修改已分配给其他功能的存贮器空间成为可能,而该错误信号是处理器在执行一个功能时产生的。同时防止因超过一项功能所分配时间而产生的执行错误去扰乱下一个功能的执行。在周期时间片段中可能出现的错误将因此严格限制于该时间片段,不会影响下一个时间片段内执行的功能。
在这种方式下,将具有不同重要级别的功能组合到同一个模块中已经成为可能,该模块包括一个单处理器,不会引致出现错误之风险的增加。
因此再不需要全部使用双重或三重结构,而仅仅是在最重要的功能采用双重或三重结构。本发明可显著地减少这类设备的成本、体积和电力浪费。
另外,由于故障仅限于被影响的功能,所以设备的维护,特别是错误定位及修理操作可显著地变得更容易一些。
就工业过程的实时控制而言,被执行的功能通常都包括几项阶段执行的任务,每一项任务均有一个重要性级别。此文中,与本发明相关的方法还包括-将可寻址空间的分区划分成可寻址区域,将这些区域与访问权利相联系,-按照任务的不同重要级别,将每个可寻址分区的区域的访问权利分配给与该可寻址分区对应的功能的各项任务,-在每一个任务的激活过程中,更新当前访问权利,和-在每一次访问可寻址区域的过程中,将与可寻址区域相关的访问权利和当前正在执行的任务的访问权利进行比较。
本发明涉及的方法还包括分配给每一项任务一个最短和最长的执行时间,在每一项任务执行结束时检查这些时间是否相符,当条件不满足时发送一个错误信号。
该项规定允许处理器对任务的执行进行更精确的检查,因此可以更好地检测到错误。
为进一步限制寻址错误的出现,用于每一个时间片段的由处理器寻址的空间区域均由未被使用之区域分隔,因此使防止一些寻址错误引发存储器的错误修改或错误输出成为可能。
依据本发明的另一个特征,用于程序和数据的存储器的未用区域用可由处理器执行的代码充填,使终止或关断后者成为可能,因此可能导致超过分配给当前正在执行的任务的最长时间。
以下部分将参考附图,借助一个非限定例子,描述本发明涉及的装置的一个实施例,其中
图1表示安装于飞行器上的电子设备,其组合了若干模块;图2以更具体的细节表现一个模块的处理单元;图3举例说明本发明中处理单元的操作方式;图4表示一个处理单元的存储器之一部分的组织;图5表示储存于存储器内的访问权利之编码;图6举例说明将处理器的使用分配成为周期时间片段(slice)。
图1中所示电子设备1采用了电子框架的形式,其中插入并互联了模块21至25,模块IOM25负责管理非重要、模拟和离散数据的输入和输出,模块IOP24集中非重要的数字数据,模块FGM23负责处理与自动控制相关的重要数据,模块SPM22负责提供防止发生延误危险之功能,初级电源模块PPSM21组合了28-伏初级电压预调制功能,该初级电压由飞行器的两根总电源线26和27提供,其他模块22至25均含一个二级电源电路,包括低成本的变压器,用于提供适用于自身需要的电压。
除了用于管理模拟和离散数据的模块25,其他模块22至24均包含一个位于微处理器卡30上的处理单元及特殊的但具有类似结构的扩展卡31至33,该扩展卡特别用于模块的输入和输出任务。用于管理模拟和离散数据的模块25也包含两块卡28和29,但两者均致力于输入和输出的管理,不带有处理器。
应该注意的是,在设备,如1的若干部分中,两个相同模块在冗余模式或补充处理操作中可能表现相同的处理状况,依赖于所执行功能的重要性。因此该结构提供大量的适应与配置可能性。
在图2中,处理单元40包含一个由时钟71调制的微处理器70,其操作方式由watchdog电路75监视,watchdog由另一个时钟76调制。微处理器70通过地址与数据总线72连接到不易失型程序存储器81,连接到易失型数据存储器82,如ASIC电路73。由微处理器70提供的访问地址在送上总线72之前被一个地址解码器74处理。
模块22至24的处理单元是相同的。但是,由这些不同的卡中的每一个所执行之功能可能是非常不同的类型,不同的持续时间,特别地,不同的重要级别。因此必须采取特殊的措施来确保含有多个任务的功能的正确执行。因此,举例来说,模块IOP24具有下列功能-将非重要数据集中于处理组件1和2中,该数据源自飞行器的不同系统及与电子设备面板相关联的部分-参数的形成及检查逻辑发生和预定的冗余功能-收集及整形送至飞行编码器的数据
-送至全体人员的报警信号的产生及视听报警设施的启动-与其他设备的联系,如地面接近报警系统(GPWS),以及-检测系统及故障定位,后者的重要程度比其他功能要低。
为禁止一个功能扰乱其他功能,特别是一个不太重要的功能关断一个更重要功能的执行,ASIC电路73包括-用于管理处理单元40之输入输出的电路77,其可能为离散的或串行的ARINC数字型429,-用于管理外围设备的电路78包含在微处理器70寻址的区域间快速转移数据的装置,为处理器70记录时间及生成周期性中断头的部分,以界定周期时间片段,以及-用于检查访问由处理器70寻址的空间之电路79,该项检查成为访问由微处理器执行的不同任务的一项功能,这些访问权利存储于由总线72编址的另一个非易失性存储器80中,其数据口连接到ASIC电路73。
访问检查电路79包含用于检查微处理器70寻址的空间之寻址位置(plane)的装置79,该空间包括存储器81,82和输入及输出寄存器,该寄存器可由负责管理输入和输出的电路77所访问。
而且,存储器80接到数据总线的高端位,因此使储存于存储器中的访问权利与微处理器寻址的空间的每一个设置,如512个字节,相联系成为可能。
如图3所示,用于检查访问可由微处理器寻址的空间之电路79包含一个寄存器111,内含与当前周期时间片段相联系的授权访问权利,这项权利由微处理器70在每一个时间片段开始时更新,如一个中断标示的那样。该电路连接到非易失性存储器80的数据总线上,该存储器包含微处理器70寻址的空间的每一个区域的访问权利。
在图4中,包含程序的存储器81与包含数据的存储器82分隔成分区114p,115p,114d,115d,分别分配到两个不同的功能F1,F2,分区114p和115p分别包含由微处理器70可执行的程序,使执行功能F1,F2成为可能。分区114d和115d分别包含F1,F2专用的数据。既然每一项功能包含若干任务J11,J12,J21,那么分区114p,115p,114d,115d轮流被分成若干个区域116p,117p,118p,116d,117d,118d,每一个存储区域包含有针对相应功能Fi的一项任务Jij的程序,或在需要时,被用来储存数据。
因此,由微处理器寻址的空间被分成分区,在同一分区内部又分成区域,每一个区域与一项访问权利相联系。
而且,由每一个周期性任务使用的存储器区域被存储器的未用区域所隔离(图4中所示的阴影区域),所以保证一些地址错误不会对其他功能产生影响。
当微处理器70以给定地址访问存储器81,82中的一个的时候,后者在地址总线72a上向微处理器70之可寻址空间中的已编址存贮区域和存贮器80发送信息,存储器80便向检查服务电路79提供该已编址区域的访问权利。检查服务电路79包含一个比较器113,它比较产生于寄存器111的访问权利和读自存储器80的访问权利。
若比较器探测出差别,当操作为写访问时,它将禁止微处理器70访问已编址的存储器区域,并且为微处理器70生成一个存储器访问侵入中断边界。当操作为读访问时,它仅简单地发一个信号指明读取发生在一个禁止区域内。若从存储器80中读出的访问权利与存贮在寄存器111中的访问权利相一致,则数据可于数据总线72d之上在微处理器和存储器区域间进行交换。
图5中,存储于存储器80中的访问权利字(word)每一个均包含4个字段,即对应于重要级别的字段121,对应于分区数的字段122,写保护字段123和读保护字段124。
根据本发明的一个扩展,比较器113可以进一步被授权访问对应于与当前时间片段中功能相同之功能的区域,其访问权利级别低于当前任务的级别,这样就在执行一项功能的任务时建立起一套等级制度。
寻址错误的检测使得抵消可能产生的失误成为可能,这种抵消是通过预先排除存储器中任何错误修改或错误访问输出寄存器来实现的,作为失误严重性的表现,该错误将挂起任务或缺省该功能。这样做可以防止任何误传播到由微处理器执行的其他功能,也可以防止误传播到可寻址空间的其他部分中去。
根据图6所示,本发明所涉及的方法使使用同一处理器分别执行多个功能成为可能,每一个功能包含多个任务,微处理器70的使用时间被周期性中断IT RTC分隔成若干段,而IT RTC是由外围管理电路78的实时时钟产生的。当微处理器执行功能F1,F2,F3时,两个IT RTC中断之间的时间间隔本身又被中断ITS2,ITS3分隔成许多时间片段,ITS2和ITS3分离开来作为时间功能,该时间分配给每一个功能F1,F2,F3。上述两个中断也是由管理电路78产生的。
功能F1包含六个任务J11至J16,J11在每一个IT RTC中断处被执行,同时用于标示分配给F1的分区的开始,任务J12,J13和J14(未表示出来)依次跟随J11被执行,任务J15跟随J12,J13,J14中的一个在每一个分配给F1的分区内执行,任务J16作为背景任务在分配给F1的分区剩余时间内执行。类似地,功能F2包含两个任务J21和J22,任务J21在每一个ITS2中断处执行且作为分配给F2之分区开始的标示,任务J22作为背景任务在分配给F2的分区剩余时间内执行。功能F3包含5个任务,即跟随每一个ITS3中断而执行的任务J31,J32和J33及J34(未标示出来),这些任务跟随J31而执行,任务J35作为背景任务在分配给F3的分区剩余时间内执行。
中断IT RTC,ITS2和ITS3是可以屏蔽的,即在处理器执行一个不能被中断的代码序列的情况下,这些中断是可以延迟发出的。为了防止在这样一个代码序列中产生的错误干扰其他功能的执行,一个不可屏蔽的中断IT EndS3,IT EndS1和IT EndS2在相应时间片段刚刚正常结束时由外围管理电路78生成,当每一个周期的所有任务执行完毕后微处理器70将在系统层面上关闭这些中断。
在这种方式下,在正常操作过程中,这些中断不出现,但是若功能F1,F2,F3的执行对于一个给定周期超时的时候,这些中断将出现,因此在这种情况下使防止该项功能的活动在下一个周期中受到延迟成为可能。
微处理器70在存储器81中储存了一张表,该表描述了每一个周期中任务的顺序,每一个周期由中断IT RTC,ITS2和ITS3来界定的,这张表还描述了分配给每一个任务的访问权利。在开始每一项任务时,微处理器用这张表中分配给该任务的访问权利来更新寄存器111。
另外,还可以做出在表中为每一项工作分配最短与最长时间的规定。在每一项任务的开始和结束,处理器可以访问包含在外围管理电路78上的时间记数器去测量执行时间是否在最短值和最长值之间。如果不是,他将通知软件错误管理器考虑该错误并且可能挂起后续任务或所涉及的功能以抵消错误的影响。
为进一步提高微处理器可循址空间的结构的操作安全性,存储器81,82中的未用区域由微处理器70的可执行代码充填——若可被微处理器执行的话,这些代码将导致比如终止或关断,因此分配给该任务的最长时间将被超过。
权利要求
1.一种多功能单处理器的执行方法,每一项功能均组化了若干项任务,该处理器寻址访问可寻址的空间,其包括程序存储器(81),数据存储器(82)和允许处理器与其环境进行通信的输入输出寄存器(77),其特征在于,该方法包括-分配访问由微处理器(70)执行的每一项功能(F1,F2)的访问权利;-将处理器可寻址空间分成可寻址分区,并将每一个可寻址分区与多个功能之一的访问权利相联系,这样允许每一个功能能访问至少一个可寻址分区;-将处理器的使用时间划分为周期时间片段,并将每一个周期时间片段与其中一个功能的访问权利相联系,在此方法下,允许每一个功能能够在至少一个时间片段的过程中得以执行;-在每一个新时间片段的开始,确认处理器已经终止前一个功能的执行,若前一个功能的执行未终止,送一个出错信号给处理器,更新当前访问权利,该权利对应于与新的时间片段相关联的访问权利,并激活相应功能的任务;-在处理器(70)每一次访问可寻址分区期间,读取与被访问分区相关的访问权利;将该访问权利和与当前时间片段相关联的访问权利进行比较,在比较出现不一致的情况下,向处理器发送一个错误信号。
2.如权利要求1所述的方法,其特征在于多个功能阶段性执行,每一项任务有一个重要性级别,该方法进一步包含-将可寻址空间的分区划分成多个可寻址区域,将这些区域与访问权利相联系,-按照任务的不同重要级别将每一个可寻址分区之区域的访问权利分配给对应于该可寻址分区的功能的各任务,-在每一个任务的激活过程中,更新当前的访问权利,和-在每一次访问可寻址区域的过程中,将与可寻址区域相关的访问权利和当前正在执行的任务的访问权利进行比较。
3.如权利要求1或2所述的方法,其特征在于进一步包含分配给每一项任务一个最短和最长的执行时间,在任务执行结束时检查执行任务所持续的时间是否处于最短值和最长值之间,当条件不满足时发送一个错误信号。
4.如权利要求1或2所述的方法,其特征在于,在每一个时间片段上使用的由处理器寻址的空间区域均由未被使用之区域分隔。
5.如权利要求4所述的方法,其特征在于,在程序的存储器(81)和用于数据的存储器(82)的未用区域用可由处理器(70)执行的代码充填,使终止或关断后者成为可能,因此可能导致超过分配给当前正在执行之任务的最长时间。
6.如上述权利要求之一所述的方法,其特征在于,处理器(70)访问可寻址空间的一个区域是被授权的——若对于同一个周期时间片段当前任务的访问权利高于该可寻址区域的访问权利。
7.如上述权利要求之一所述的方法,其特征在于,与每一项任务相关联的访问权利均包含一个读访问授权字段和一个写访问授权字段,该方法还包括在写访问被禁止时禁止访问存储器的一个区域,和在读访问被禁止时发出信号。
8.一种实现上述权利要求之一的方法的装置,其特征在于,它包括-用于将微处理器可寻址空间分成可寻址分区及可寻址区域,并用于给由微处理器执行的每一项功能和每一项任务分别分配至少一个可寻址分区和至少一个可寻址区域的装置(79);-用于将处理器的使用的时间分成周期时间片段,并将这些时间片段分配给每一项执行的功能的装置(79);-用于在分配给一项功的能的时间片段内以预定次序顺序激活该功能的各项任务的装置;-用于更新和储存(111)对应当前执行之任务的访问权利的装置,和在访问每一个可寻址区域的过程中检查分配给当前任务访问权利是否相应于被访问区域的访问权利的装置(113)。
9.如权利要求8所述的装置,其特征在于,还包括用于检查每一项任务的执行时间是否符合该任务最短持续时间与最长持续时间的装置,当这些持续时间未被遵守时发送一个错误信号。
10.如权利要求8或9所述的装置,其特征在于,还包括用于检查处理器(70)可寻址空间的可寻址位置(plane)的装置,该空间包括存储器(81,82)和输入输出寄存器。
11.如权利要求8至10所述的装置,其特征在于,时间周期片段由应用于处理器的中断来界定,当处理器正在执行不可中断之程序序列时,该中断信号可能被延迟。
12.如权利要求11所述的装置,其特征在于,包括用于产生一个中断的装置,该中断不能被非中断程序序列屏蔽,在周期时间片断刚刚开始后,当此刻处于上一个时间片段所执行的功能未结束时,发送错误信号,以表明该功能的执行是错误的。
全文摘要
为了由单处理器(70)执行多种功能,该处理器可以访问可寻址空间,该可寻址空间包括程序存储器(81)、数据存储器(82)和输入输出寄存器(77),该方法包括:为每一个功能分配访问权利,将可寻址空间分成分区,每一个均与一项功能的访问权利相联系,将处理器的使用时间分成与功能的访问权利相联系的周期时间片段,在每一个新的时间片段开始时确认处理器已经结束上一个功能的执行,并激活相应功能的任务,每一次处理器(70)访问可寻址空间期间,比较(113)当前周期时间片段(111)的访问权利与被访问区域的访问权利,在两者不一致时,发送出一个错误信号。
文档编号G06F12/14GK1249044SQ9880284
公开日2000年3月29日 申请日期1998年2月20日 优先权日1997年2月25日
发明者热拉尔·科拉, 奥利维耶里·勒博尔涅, 罗贝尔·维拉尔 申请人:塞克斯丹航空电子公司