用于监控排序任务的协调执行的方法

用于监控排序任务的协调执行的方法
【专利摘要】本发明涉及用于通过电子卡监控排序任务的协调执行的方法，该电子卡包括被同步到确定的时间周期的同一时钟的至少一个第一处理器和第二处理器，该方法包括：由第一处理器在存储装置中记录第一标识符的步骤，该第一标识符表征在其期间执行了第一排序任务的时间周期；由第二处理器在存储装置中记录第二标识符的步骤，该第二标识符表征在其期间执行了第一附属任务的时间周期；由第一处理器比较第一标识符和第二标识符的步骤；和在比较失败的情况下由第一处理器发信号以便用信号通知处理器的协调的故障的步骤。
【专利说明】用于监控排序任务的协调执行的方法
【技术领域】
[0001]本发明涉及包括若干用于执行功能任务的处理器的电子系统的一般领域。本发明更具体地应用于采取航空器机载电子计算机形式的电子系统。
【背景技术】
[0002]以常规方式，参考图1，飞行计算机包括主印刷电路卡CP和两个辅助印刷电路卡CA1、CA2。以传统方式，每个主卡CP和辅助卡CAl、CA2包括适合于实施程序PROG中定义的功能任务的处理器PP1、PA1、PA2，所述程序PROG被传送到主卡CP并且被主卡CP的处理器PPl解译。
[0003]各种卡CP、CA1、CA2的处理器PP1、PA1、PA2由例如通信总线的通信链路L1、L2链接。通过示例，每个辅助卡CA1、CA2包括辅助处理器PA1、PA2，所述辅助处理器PA1、PA2的功能之一在于管理计算机的输入和输出数据。以下，输入/输出数据被标明I/O数据。例如，辅助卡CA1、CA2的辅助处理器PA1、PA2读取由航空器产生的数据并且向航空器的设备分派命令。数据的读取和命令的发出是由辅助卡CA1、CA2的辅助处理器PA1、PA2实施的功能任务的示例。
[0004]换句话说，主卡CP的主处理器PPl解译程序的功能任务并且经由通信链路L1、L2将他们中一些传送到辅助卡CA1、CA2的辅助处理器PA1、PA2以便这些后者实施数据的读取或者发布命令。
[0005]以常规方式，程序PROG的功能任务被排序并且必须以确定的顺序被实施。为允许有序地执行程序PROG的任务，主卡CP拥有使得有可能同步任务执行的时钟。功能任务的指令此后被传送到辅助卡之一的辅助处理器PA1、PA2。
[0006]为确保计算机的可靠性，具有用于检查主处理器PPl的任务执行与辅助处理器PAU PA2的任务执行的协调的装置是必要的。实际上，考虑到辅助卡CA1、CA2必须对监控输入/输出是高度易反应的(reactive)，辅助处理器PA1、PA2的时钟比主处理器PPl的时钟显著更快。换句话说，主处理器PPl和辅助处理器PAl是异步的。
[0007]为允许协调异步处理器，现有技术公开了主处理器PPl和辅助处理器PA1、PA2之间的DMA (代表“Direct Memory Access”(直接存储器存取))方法,所述方法使得有可能核实两个处理器PP1、PAl或PP1、PA2协调地通信。
[0008]这个DMA链路允许异步处理器的相互监控但是实现仍然是复杂的，因为它必须一方面确保主处理器PPl是健康的并且另一方面确保辅助处理器PAl或PA2是健康的。这样的同步装置实现是困难的并且对当前规范不再是适当的，因此构成第一缺点。
[0009]此外，考虑到将由计算机的主卡CP执行的功能任务的数目，提议借助于包括两个主处理器PPl、PP2的主卡CP，所述两个主处理器PPl、PP2通过主通信链路LP以这样的方式链接在一起，即当使得有可能并行实施若干任务时，在两个主处理器PPl和PP2之间以分布式方式执行功能任务。此外，如在图2中所说明的，每个主处理器PP1、PP2通过辅助通信链路L11、L12、L21、L22被链接到辅助处理器PA1、PA2。[0010]因此，对于包括排序功能任务S1、S2和S3的程序PR0G，任务SI和S3可以由第一主处理器PPl实施而任务S2由第二主处理器PP2实施。结果就是同步两个主处理器PP1、PP2的操作是必要的以便即时地检测主处理器PP1、PP2之一的或主通信链路LP的可能误操作。
[0011 ] 当然,在不存在同步的情况下，误操作只能晚地由一致性(coherence )检查设备观测到，因此表现了缺点。此外，为协调两个主处理器PP1、PP2，根据现有技术的DMA链路不能被实现，因为它只适合于异步操作。
[0012]为实施协调的即时解决方案将在于使主处理器PPl根据“主-从”原理控制第二主处理器PP2。虽然如此，考虑到“主”处理器的误操作将直接引起“从”处理器的误操作，这样的解决方案的可靠性不是令人满意的。
[0013]因此，存在确保协调由包括多个处理器的机载系统所执行的任务的需要，以便可靠地监控并且在误操作的情况下能够易反应地切换(toggle)到机载备用系统。

【发明内容】

[0014]为此，本发明涉及用于通过电子卡监控排序任务的协调执行的方法，所述电子卡包括被同步到确定的时间周期的同一时钟的至少一个第一处理器和一个第二处理器，其中排序任务的执行分布在处理器之间，在所述方法中:
-在确定的时间周期上，第一处理器执行第一排序任务而第二处理器执行第一附属任
务;
-在相继的时间周期上，第二处理器执行继第一排序任务之后的第二排序任务；
所述方法包括:
-由第一处理器在存储装置中记录第一标识符的步骤，所述第一标识符表征在其期间执行了第一排序任务的时间周期，其中在执行第一排序任务之后在确定的时间周期期间实施记录步骤；
-由第二处理器在存储装置中记录第二标识符的步骤，所述第二标识符表征在其期间执行了第一附属任务的时间周期，其中在执行第一附属任务之后在确定的时间周期期间实施记录步骤；
-由第一处理器比较被记录在存储装置中的第一标识符和第二标识符的步骤，其中在相继的时间周期期间实施比较步骤；和
-在比较失败的情况下由第一处理器发信号以便用信号通知处理器的协调的故障(defect)的步骤。
[0015]凭借根据本发明的监控方法，第一处理器可以保证第二处理器在确定的时间周期上协调地执行排序任务。因此，可以最佳地一个接另一个地执行排序任务，而没有错误的风险。有利地，监控方法使得有可能检测有关处理器和/或存储装置的大量误操作。此外，这个检测是易反应的(reactive)因为误操作在其发生的时间周期中被检测到，这相比于现有技术是有利的。这个反应性使得有可能在发信号期间将功能任务转移到备用电子卡，所述备用电子卡代理失效的电子卡并且因此保证功能任务的执行的可靠性。
[0016]优选地，第一处理器在相继的时间周期上执行第二附属任务，在执行第二附属任务之前在相继的时间周期期间实施比较步骤。因此，在相继的时间周期开始时易反应地确定是否发生了协调的故障，其中这是有利的。
[0017]根据本发明的一个方面，附属任务(也就是说没有必要被排序的任务)可以是哑任务(mute task)并且不包括任何指令。换句话说，这样的附属任务对应于处理器的休止周期。
[0018]优选地，相继的时间周期是直接跟随确定的时间周期的时间周期，但是不言而喻，相继的时间周期可以是在时间上与确定的时间周期相间隔的若干时钟循环。
[0019]优选地，所述方法包括由第二处理器比较被记录在存储装置中的第一标识符和第二标识符的步骤，其中在执行第二排序任务之前在相继的时间周期期间实施比较步骤，以及在比较的失败的情况下由第二处理器发信号以便用信号通知处理器的协调的故障的步骤。
[0020]有利地，第二处理器可以保证第一处理器在恰当时机与处理器的同步一致地执行排序任务。换句话说，处理器相互地彼此监控，因此改善了功能任务的执行的可靠性。
[0021]优选地，在执行第一附属任务和第一排序任务之后直接实现记录步骤。因此，处理器在执行了功能任务的指令之后直接执行记录指令使得存储装置包括最新信息。
[0022]仍然优选地，在每个时间周期实现监控方法的步骤。因此，在例如包括所述电子卡的航空器的飞行的整个持续时间的时间期间实时监控电子卡。
[0023]优选地，标识符是整数以便区别相继的时间周期。
[0024]根据本发明的优选方面，存储装置采取被链接到两个处理器的RAM存储器的形式。考虑到记录步骤可以发生在不同时刻，这样的RAM存储器易于在电子卡上实现并且使得有可能充当媒介物。
[0025]优选地，每个处理器通过通信链路被链接到RAM存储器。在监控期间，通信链路的任何故障由延迟或标识符的变形表明并且导致发信号，例如发出警报。换句话说，监控方法是可靠的并且涵盖电子卡的任何误操作。
[0026]根据本发明的实施例，存储装置属于处理器中至少之一或是独立于处理器。
[0027]优选地，电子卡是电子设备的主电子卡，所述主电子卡包括至少两个被同步到确定的主时间周期的主时钟的主处理器，其中电子设备此外包括至少一个辅助电子卡，所述辅助电子卡包括至少一个被同步到确定的辅助时间周期的辅助时钟的辅助处理器，其中辅助时钟比主时钟更快，排序任务必须由主处理器和辅助处理器之一同时实施，在所述方法中:
-在确定的主时间周期上，第一主处理器执行第一排序任务而在多个辅助时间周期上，辅助处理器执行第一排序任务的指令；
-在相继的主时间周期上，第一主处理器执行第二排序任务；
所述方法包括:
-在每个主时间周期开始时由第一主处理器将协调标记发出到辅助处理器的步骤；
-在每个辅助时间周期结束时由辅助处理器将基于最后接收的协调标记所形成的响应字发出到第一主处理器的步骤；
-由第一主处理器关于发出的第一协调标记验证所接收的响应字的步骤，其中在发出新协调标记之前在相继的主时间周期开始时实施验证步骤；和
-如果接收的响应字不是有效的则由第一主处理器发信号以便用信号通知辅助处理器的协调的故障的步骤。
[0028]有利地，每个主处理器监控辅助处理器，因此保证所述方法的大的可靠性。此外，由于主处理器相互地彼此监控，提供允许易反应地(例如小于IOms)和系统地检测任何误操作的、完整和冗余的监控方法。所述监控方法易于实施，因此促进了其安装和其到多个不同卡的应用。
[0029]优选地，电子设备包括至少两个辅助电子卡，主电子卡的每个主处理器通过每个辅助处理器监控排序任务的执行的协调。当保证相同的可靠性水平和相同的复杂性水平时，这样的监控方法对若干辅助卡是有利地可概括的。
[0030]本发明对于监控在航空器上的机载计算机类型的电子设备是特别有利的。
[0031]本发明此外涉及用于通过包括主电子卡和至少一个辅助电子卡的电子设备监控排序任务的协调执行的方法,所述主电子卡包括至少一个被同步到主时间周期的主时钟的主处理器，所述辅助电子卡包括至少一个被同步到辅助时间周期的辅助时钟的辅助处理器，其中辅助时钟比主时钟更快，排序任务必须由处理器同时实施，在所述方法中:
-在确定的主时间周期上，主处理器执行第一排序任务而在多个辅助时间周期上，辅助处理器执行第一排序任务的指令；
-在相继的主时间周期上，主处理器执行第二排序任务；
所述方法包括:
-在每个主时间周期开始时由主处理器将协调标记发出到辅助处理器的步骤；
-在每个辅助时间周期结束时由辅助处理器将基于最后接收的协调标记所形成的响应字发出到主处理器的步骤；
-由主处理器关于发出的第一协调标记验证所接收的响应字的步骤，其中在发出新协调标记之前在相继的时间周期开始时实施验证步骤；和
-如果接收的响应字不是有效的则由主处理器发信号以便用信号通知辅助处理器的协调的故障的步骤。
[0032]所述方法有利地允许主处理器简单地和易反应地监控辅助处理器，其中系统地和有规则地分派协调标记。这对于属于不同卡的两个异步处理器是特别有利的。由于监控只由主处理器实施，误操作的检测是非常易反应的(例如小于10ms)，其中主处理器被其他装置监控。所述监控方法易于实现，因此促进其安装和其到多个不同卡的应用。
[0033]优选地，发信号步骤包括发出警报的步骤。
[0034]优选地，辅助卡和主卡通过至少一个辅助通信链路链接。在监控期间，通信链路的任何故障由延迟或协调标记的变形表明并且导致警报的发出。换句话说，监控方法是可靠的并且涵盖电子设备的任何误操作。
[0035]仍然优选地，根据辅助通信链路的拓扑来定义协调标记的特性以便允许高亮所述辅助通信链路的当前故障，优选地，所述辅助通信链路的两个相继位的粘附。
[0036]因此，对于采取包括8根导线的通信总线形式的通信链路，协调标记是在32位上编码的十六进制整数。
[0037]优选地，交替地分派协调标记以便区别两个主时间周期。仍然优选地，被分派的协调标记在数目上是两个。
[0038]根据本发明的一个方面，响应字是最后接收的协调标记的补码。这样的响应字一方面对于辅助处理器是易于形成的并且另一方面对于主处理器是易于比较的。这对于具有在其中形成响应字的短持续时间的辅助时间周期的辅助处理器是特别有利的。
[0039]优选地，主处理器只保存最后接收的响应字以便加速监控方法。
[0040]根据优选方面，电子设备包括两个辅助电子卡，所述辅助电子卡包括至少一个被同步到辅助时间周期的辅助时钟的辅助处理器，主处理器监控每个辅助处理上排序任务的执行的协调。因此，可以增加辅助卡的数目而不影响监控的可靠性。
[0041]根据另一优选方面，主电子卡包括至少两个被同步到主时间周期的同一主时钟的主处理器，每个主处理器监控辅助处理器上排序任务的执行的协调。因此，以两种独立的方式监控每个辅助处理器，其中主处理器能够相互彼此监控。
【专利附图】

【附图说明】
[0042]在阅读只通过示例给出的跟随的描述并且参考附图时将更好地理解本发明，其中:
-图1是根据现有技术具有只包括单一主处理器的主卡的计算机的示意图(已经被评论的);
-图2是根据现有技术具有包括两个主处理器的主卡的计算机的示意图(已经被评论
的)；
-图3是根据本发明具有包括两个主处理器的主卡的计算机的示意图；
-图4是用于协调两个主处理器的方法的示意性图表；
-图5A是协调两个同步主处理器的第一示范实现；
-图5B表示在实现图5A的第一示例期间RAM存储器的状态；
-图6A是在协调的故障期间协调两个同步主处理器的第二示范实现；
-图6B表示在实现图6A的第二示例期间RAM存储器的状态；
-图7是用于协调主处理器与辅助处理器的方法的示意性图表；
-图8是协调主处理器与辅助处理器的第一示范实现；
-图9是在协调的故障期间协调主处理器与辅助处理器的第二示范实现；和 -图10是根据本发明的计算机的示意图，在其上指示了被实现的监控方法。
[0043]应当注意的是图详细阐明了本发明以便实现本发明，其中如果适当，所述图当然能够用来更好地定义本发明。
【具体实施方式】
[0044]将针对采取在航空器上的机载电子计算机形式的电子设备来介绍本发明。不言而喻，本发明适用于包括多个计算处理器的任何类型的电子设备，诸如例如用于铁路行业、移动电话、航天业或汽车行业的电子设备。
[0045]在这个示例中，如在图3中所说明的，计算机包括主印刷电路卡CP和两个辅助印刷电路卡CA1、CA2。为具有显著的计算能力，主卡CP包括两个主处理器PP1、PP2以便并行实施功能任务。如随后将详细介绍的，主处理器PP1、PP2通过通信链路链接以便允许在处理器PP1、PP2之间的数据交换。
[0046]对于其部分，每个辅助卡CA1、CA2包括辅助处理器PA1、PA2用于处理由主处理器PP1、PP2提供的功能任务。为此，如在图3中所说明的，每个辅助处理器PA1、PA2通过辅助通信链路L11、L12、L21、L22链接到每个主处理器PPl、PP2。优选地，通信链路Lll、L12、L2UL22采取包括8根导线的通信总线形式，用于在32位上编码的数据的通信。
[0047]在这个示范实施例中，辅助卡CA1、CA2的辅助处理器PA1、PA2适合于管理飞行计算机的输入和输出数据。以下，输入/输出数据被标明I/o数据。例如，辅助卡CA1、CA2的处理器PA1、PA2读取由航空器产生的数据并且发布命令到航空器的设备。
[0048]在软件程序PROG中定义这些功能任务，所述软件程序PROG被提供给飞行计算机并且由主卡CP的主处理器PP1、PP2解译。为提高计算能力并且合理地对各种主处理器PP1、PP2进行加载，功能任务分布在两个主处理器PP1、PP2之间用于他们被主电子卡CP执行。这些功能任务包括一组指令，所述一组指令的部分可以被委托给一个或多个辅助处理器PA1、PA2用于他们的执行。由辅助处理器PA1、PA2处理的、由功能任务产生的指令随后被标明功能指令。
[0049]主处理器PP1、PP2被同步到时间周期T的同一主时钟H以便允许功能任务的执行的最佳链锁(chaining)。通过示例,主时钟H的时间周期T是5ms。
[0050]每个辅助处理器PA1、PA2被同步到时间周期t的辅助时钟H1、H2，所述辅助时钟H1、H2比主时钟H更快。通过示例，每个辅助时钟H1、H2的时间周期t是500 μ S。换句话说，每个辅助处理器ΡΑ1、ΡΑ2是主处理器PP1、PP2 10倍那么快地运行，其中主处理器ΡΡ1、ΡΡ2和辅助处理器PAl、 ΡΑ2是异步的。
[0051]根据本发明，各种处理器ΡΡ1、ΡΡ2、ΡΑ1、ΡΑ2的协调的监控由以下实施:
-专用于监控同步处理器的第一监控方法10 (图4)和
-专用于监控同步/异步处理器的第二监控方法20 (图7)。
[0052]根据本发明，软件程序PROG包括被排序的功能任务S1-S4，也就是说，他们必须根据升序关系被执行。当然，功能任务S3可以包括必须在功能任务S2期间被计算的参数。
[0053]如在图3中所说明的，主电子卡CP包括存储装置，所述存储装置优选地采取被链接到两个主处理器ΡΡ1、ΡΡ2的RAM存储器4形式，但是不言而喻，存储装置可以采取不同的形式，例如，在两个主处理器ΡΡ1、ΡΡ2之间共享的在主处理器ΡΡ1、ΡΡ2内部的存储器或在主电子卡CP外部的存储器的形式。此外，存储装置4可以采取单元存储块的形式或连接或彼此独立的多个存储模块的形式。
[0054]仍然参考图3，在本发明的这个实施例中，第一主处理器PPl通过第一主链路LPl链接到RAM存储器4而第二主处理器ΡΡ2通过第二主链路LP2链接到RAM存储器4。在这个示例中，主链路LP1、LP2采取包括8根导线的通信总线的形式，用于在32位上编码的数据的通信。
[0055]在跟随的示例中，功能程序包括四个排序功能任务S1-S4，所述功能任务S1-S4除了功能任务S2之外必须由第一主处理器PPl执行，所述功能任务S2必须由第二主处理器ΡΡ2执行。功能任务S1-S4必须在时间周期Τ1-Τ4上被分别执行。
[0056]当主处理器ΡΡ1、ΡΡ2没有被排序功能任务S1-S4之一的执行占用时，如在图5Α中所说明的，它执行附属任务(或后台任务)附、吧、01、1?1。这些附属任务可以在于例如没有任何排序约束的循环任务或功能任务的执行。
[0057]附属任务可以是哑任务并且不包括任何指令。根据后者的假定，这样的附属任务对应于处理器的休止周期。
[0058]第一监控方法10
凭借根据本发明的第一监控方法10，通过主处理器PP1、PP2的、排序功能任务S1-S4的执行的协调被确保。
[0059]参考图5A，在确定的时间周期Tl上，第一主处理器PPl执行第一排序任务SI而第二处理器PP2执行第一附属任务NI。在相继的时间周期T2上，第一主处理器PPl执行第二附属任务N2而第二主处理器PP2执行继第一排序任务SI之后的第二排序任务S2。
[0060]根据本发明，参考图4，所述方法包括由第一主处理器PPl在RAM存储器4中记录第一标识符IDl的步骤11，所述第一标识符IDl表征在其期间执行了第一排序任务SI的时间周期Tl。在这个示例中，第一标识符IDl对应于有关的时间周期的参考(ID1=T1)。不言而喻，标识符可以对应于关于有关的时间周期的任何信息(时间周期的名称、相对或绝对参考等等)。
[0061]如在图5A中所说明的，在执行第一排序任务SI之后在确定的时间周期Tl期间实施记录步骤11。在这个示例中，这个记录步骤11采取由第一主处理器PPl向RAM存储器4写的步骤的形式。在这个示例中，参考图5B，RAM存储器4包括专用于第一标识符IDl的存储空间，第一主处理器PPl经由第一主通信链路LPl向所述存储空间写。
[0062]类似地，参考图4，所述方法包括由第二主处理器PP2在RAM存储器4中记录第二标识符ID2的步骤12，所述第二标识符ID2表征在其期间执行了第一附属任务NI的时间周期Tl。如在图5A中所说明的，在执行第一附属任务NI之后在确定的时间周期Tl期间实施记录步骤12。类似地，第二标识符ID2对应于有关的时间周期的参考(ID2=T1)。
[0063]在这个示例中，这个记录步骤12采取由第二主处理器PP2向RAM存储器4写的步骤的形式。类似地，参考图5B，RAM存储器4包括专用于第二标识符ID2的存储空间，第二主处理器PP2经由第二主通信链路LP2向所述存储空间写。
[0064]优选地，标识符ID1、ID2是在32位上编码的整数并且采取居于I和24之间的值，其中这对确保两个相继的时间周期Tl、T2的差别是足够的。虽然如此，不言而喻，标识符ID1、ID2可以采取不同的值。
[0065]执行记录步骤11、12的时刻取决于在有关时间周期上执行功能任务的持续时间。因此，参考图5A，在时间周期Tl上的写步骤12早于在时间周期T2上的写步骤11。
[0066]仍然参考图4，所述方法包括由第一主处理器PPl比较被记录在RAM存储器4中的第一标识符IDl和第二标识符ID2的步骤13。在由第一主处理器PPl执行第二附属任务N2之前在相继的时间周期T2期间实施比较步骤13以便避免两个主处理器PP1、PP2之间的任何时间偏移。
[0067]此外，第二附属任务N2只当比较步骤13已终止时开始以便考虑在第一主处理器PPl和RAM存储器4之间的通信滞后。
[0068]参考图5A和5B，在比较步骤13期间，专用于RAM存储器4的标识符IDl、ID2的存储空间由第一主处理器PPl读取并且然后被相互比较。如果标识符ID1、ID2不相等，所述方法包括发信号步骤15，优选地，由第一主处理器PPl发出警报ALARM以用信号通知主处理器PP1、PP2的协调的故障。仍然参考图5A和5B，当标识符ID1、ID2都等于Tl时，没有警报发出。[0069]参考图4，所述方法包括由第二主处理器PP2比较被记录在存储装置4中的第一标识符IDl和第二标识符ID2的步骤14。类似地，在由第二主处理器PP2执行第二排序任务S2之前在相继的时间周期T2期间实施比较步骤14，以及如果标识符ID1、ID2不相等则由第二主处理器PP2发出15警报以用信号通知主处理器PP1、PP2的协调的故障。
[0070]如果没有发生协调的故障，如在图5A中所说明的，继由主处理器PP1、PP2执行功能任务N2、S2之后发生新记录步骤11、12。对于哑附属任务，也就是说，摆脱了指令，继比较步骤之后直接实施记录步骤。
[0071]图5A和5B的示例说明了排序功能任务S1-S4的协调执行，其中比较步骤13、14核实主处理器PP1、PP2在相同时间时刻T1-T4期间执行他们的任务。为此，没有警报发出。
[0072]图6A和6B的示例说明了在时间周期T1-T4上排序功能任务S1-S4的执行，在所述时间周期T1-T4期间发生了误操作。在这个示例中，第二主处理器PP2在第一时间周期Tl期间执行第一附属任务NI并且在RAM存储器4中记录其第二标识符ID2=T1 (记录步骤12)。其后，第二主处理器PP2在第二时间周期T2期间执行第二排序任务S2。由于误操作，如在图6A中所说明的，时间周期T2的持续时间被延长。由此结果就是第一主处理器PPl比第二排序任务S2更快地执行其第二附属任务N2。
[0073]在附属任务N2结束时，第一主处理器PPl向RAM存储器4写第一标识符ID1=T2(记录步骤11)。在第三时间周期T3开始时，在由第一主处理器PP2执行第三排序任务S3之前，第一主处理器PPl比较被记录在RAM存储器4中的第一标识符IDl和第二标识符ID2(比较步骤13)。参考图6B，值T2的第一标识符IDl和值Tl的第二标识符ID2不相等。由此结果就是由主处理器PPl立即发出警报以表示协调的故障。因此，警报正好是从第一时间周期Tl发出的，因此保证了易反应性监控。有利地，即使在观测到控制的故障之前切换到备用电子设备是可能的。
[0074]警报可以采取不同的形式，例如，视觉或声音信号、紧急命令、切换到另一个机载设备的控制等等。
[0075]因此，有利地，第一主处理器PPl和第二主处理器PP2相互地彼此监控以检测处理器PP1、PP2的任何时间去同步、功能任务的执行的任何协调故障、主处理器的警戒的任何故障(处理器的停止运转、功能任务的执行的停止运转)。此外，在主处理器PP1、PP2之间的主通信路径LP1、LP2的或RAM存储器4的任何故障被立即检测到，这也是有利的。
[0076]第二监控方法20
如之前所指示的，软件程序PROG包括被排序的功能任务S1-S4，也就是说，他们必须根据升序关系被执行。
[0077]当功能任务S1-S4被主处理器PPl、PP2之一实施时，有关的主处理器可以将有关的功能任务的指令转包给辅助处理器PA1、PA2。为改善处理反应性，辅助处理器PA1、PA2和主处理器PPl、PP2是异步的。
[0078]凭借随后将介绍的监控方法，根据本发明，在主处理器PP1、PP2和辅助处理器PA1、PA2之间确保排序功能任务S1-S4的执行的协调。
[0079]通过示例，参考图7至9，将针对排序功能任务S1、N2的处理介绍在第一主处理器PPl和第一辅助处理器PAl之间的协调的监控。每个功能任务S1、N2分别包括功能指令S1、n2，所述功能指令S1、n2必须以由第一辅助处理器PAl协调的方式被执行。[0080]由于主处理器PPl、PP2和辅助处理器PAl、PA2不是同步的，参考图4之前介绍的第一监控方法10不能被实现。
[0081]参考图8，在持续时间5ms的确定的时间周期Tl上，第一主处理器PPl执行第一排序任务SI而在单独持续时间500 μ S的大约10个辅助时间周期tl-tio上，第一辅助处理器PAl执行第一功能指令Si。
[0082]在相继的时间周期T2上，第一主处理器PPl执行第二附属任务N2而在大约10个时间持续时间tll-t20上，第一辅助处理器PAl执行第二附属指令n2。
[0083]根据本发明，参考图7和8，所述方法包括在每个主时间周期T1-T2开始时由第一主处理器PPl将协调标记MA、Mb发出到第一辅助处理器PAl的步骤21。在这个示例中，在主时间周期Tl开始时，第一主处理器PPl经由辅助通信线Lll将第一协调标记Ma发出到第一辅助处理器PAl。
[0084]继发出第一协调标记Ma之后，所述方法包括由第一辅助处理器PAl发出基于最后接收的协调标记Ma所形成的响应字ACK的步骤22。响应字ACK在每个辅助时间周期tl_t 10结束时被分派给第一主处理器PPl。因此，如在图8中所说明的，在主时间周期Tl期间，由第一辅助处理器PAl分派10个响应字ACK。
[0085]优选地，响应字ACK是所接收的最后接收的协调标记Ma的补码。换句话说，如在图8中所说明的，响应字ACK等于。
[0086]优选地，主处理器PPl只保存最后接收的响应字ACK。换句话说，最后接收的响应字ACK改写之前接收的响应字。
[0087]继发出响应字ACK之后，所述方法包括由第一主处理器PPl关于发出的第一协调标记Ma验证所接收的响应字ACK的步骤23，其中在发出新协调标记Mb之前在相继的时间周期T2开始时实施验证步骤23。因此，`第一主处理器PPl检查所接收的响应字ACK的一致性以便确保通信链路Lll和第一辅助处理器PAl没有失效并且没有使由第一主处理器PPl最初分派的协调标记Ma “变形”。
[0088]最后，所述方法包括发信号步骤24，优选地，如果接收的响应字ACK不是有效的则由第一主处理器PPl发出警报以便表示在第一主处理器PPl和第一辅助处理器PAl之间的协调的故障。
[0089]在这个示例中，参考图8，在相继的时间周期T2开始时，第一主处理器PPl核实所接收的响应字ACK的确是最初分派的第一协调标记Ma的补码。由于这是在图8的示例中的情况，没有警报发出。因此，在第二时间周期T2开始时由第一主处理器PPl分派新协调
标记Mb并且由第一辅助处理器PAl分派多个响应字ACK( --；)。通过确保协调标记Μα、Μβ
被适当接收，第一主处理器PPl可以核实第一辅助处理器PAl的完整性以及辅助通信链路Lll的完整性。
[0090]在这个示例中，每个辅助通信链路L11、L12、L21、L22采取具有8根导线的总线链路的形式，用于在32位上编码的数据的通信。
[0091]优选地，协调标记Ma、Mb数目上是两个并且在主时间周期Tl、Τ2开始时交替地被发出。定义协调标记\、Mb的固有特性以便使得有可能检测协调标记\、Mb的位的传输的故障。此外，两个协调标ΕΜΑ、ΜΒ关于彼此被定义以便有利于传输故障的识别。优选地，定义协调标记Ma、Mb以允许检测确定的故障，例如两个相继位的粘附。
[0092]这样的协调标记\、Mb与通信总线拓扑有关并且使得有可能为每个辅助通信链路LlU L12、L21、L22相关地核实粘附位类型的任何故障。优选地，所述方法实现多于两个的不同协调标记以便允许准确和快速核实辅助通信链路L11、L12、L21、L22的导线组。
[0093]有利地，实施第二监控方法20是灵活的因为它不寻求测量响应字ACK组确实被第一主处理器PPl接收而只是所执行的任务被适当协调。为此，辅助时间周期tl-t20比主时间周期Tl更短是必要的。
[0094]现在参考图9的示例，第一辅助处理器PAl经历了误操作，所述误操作阻止它在第二主时间周期T2开始时接收第二协调标记Mb。由此结果就是第一辅助处理器PAl继续发
出第一协调标记51:的补码作为响应字ACK，而不是发出第一协调标记?ζ的补码。
[0095]因此，在第三主时间周期Τ3开始时的比较步骤23期间，第一主处理器PPl比较最后分派的协调标记Mb和最后接收的响应字。由于响应字?ζ不是最后分派的协调标记Mb的补码，所述方法发出警报以表示协调的故障。
[0096]因此，警报正好是从第三时间周期Τ3开始发出的，因此保证易反应性监控。有利地，即使在观测到控制的故障之前切换到备用电子设备是可能的。
[0097]因此，有利地，第一主处理器PPl监控第一辅助处理器PAl以及将第一主处理器PPl链接到第一辅助处理器PAl的通信链路Lll以便检测处理器ΡΡ1、PAl的时间协调的任何故障、功能任务的执行的协调的 任何故障、处理器的警戒的任何故障(处理器的停止运转、功能任务的执行的停止运转)。因此，具有最长时间周期的处理器可以监控具有最短时间周期的处理器。
[0098]优选地，第二监控方法20包括预备初始化阶段，在所述预备初始化阶段期间，主处理器PPi发出初始化标记并且响应地接收经补码的标记。
[0099]设各的全局监控
有利地，与其主电子卡CP和其辅助卡CAl、CA2被看作整体的设备通过之前详述的监控方法准确和易反应地监控。
[0100]因此，凭借第二监控方法20，每个辅助处理器PA1、PA2被每个主处理器PP1、PP2监控，因此改善了针对异步或同步处理器上功能任务的执行的协调的监控的可靠性。第二监控方法20此外保证在每个主处理器PP1、PP2和每个辅助处理器PA1、PA2之间的辅助通信链路L11、L12、L21、L22的完整性。
[0101]第二监控方法允许具有最长时间周期的处理器(主处理器)监控具有最短时间周期的处理器(辅助处理器)。在考虑了主处理器PP1、PP2互相彼此监控的事实的本发明中，这不展示任何缺点。因此，每个处理器至少被另一个处理器监控，因此保证了计算机的监控的可靠性。
[0102]顺便提及，第二监控方法20也适用于协调两个同步处理器。根据这个假定，每时钟循环只传输一个响应字。
[0103]第一监控方法10使得有可能确保同步主处理器PP1、PP2的协调的相互监控，以及主通信链路LP1、LP2的完整性。
[0104]因此，可以为包括至少三个不同处理器或至少两个同步处理器的卡完全监控处理器组，因此授予电子卡上的显著可靠性。
[0105]第一监控方法10特别适合于监控包括延伸在两个处理器之间的两根通信导线的串行路径以便检测截止(cutoff)或粘附位。第二监控方法20特别适合于监控包括多于两根的通信导线的并行通信路径的完整性。
[0106]为监控处理器的计算的完整性，两种监控方法10、20有利地实施比较步骤，因为响应字(补码)的计算，所述比较步骤直接用于第一监控方法10或间接用于第二监控方法20。
[0107]考虑到监控方法10、20的实现，一方面对于同步处理器和另一方面对于异步处理器，最佳地监控计算机。
[0108]不言而喻，本发明涉及包括多于两个的主处理器的主卡CP以及包括多于一个的辅助处理器的辅助卡。当然，两种方法使得有可能一方面解决同步处理器之间的协调并且同样解决在非同步处理器之间的协调。因此所述协调方法对包括任意数目的主处理器和任意数目的辅助处理器的卡是可概括的。
【权利要求】
1.一种用于通过电子卡监控排序任务的协调执行的方法，所述电子卡包括被同步到确定的时间周期的同一时钟的至少一个第一处理器和一个第二处理器，其中排序任务的执行分布在处理器之间，在所述方法中: -在确定的时间周期上，第一处理器执行第一排序任务而第二处理器执行第一附属任务; -在相继的时间周期上，第二处理器执行继第一排序任务之后的第二排序任务； 所述方法包括: -由第一处理器在存储装置中记录第一标识符的步骤，所述第一标识符表征在其期间执行了第一排序任务的时间周期，其中在执行第一排序任务之后在确定的时间周期期间实施记录步骤； -由第二处理器在存储装置中记录第二标识符的步骤，所述第二标识符表征在其期间执行了第一附属任务的时间周期，其中在执行第一附属任务之后在确定的时间周期期间实施记录步骤； -由第一处理器比较被记录在存储装置中的第一标识符和第二标识符的步骤，其中在相继的时间周期期间实施比较步骤；和 -在比较失败的情况下由第一处理器发信号以便用信号通知处理器的协调的故障的步骤。
2.如权利要求1中所述的监控方法，其中第一处理器在相继的时间周期上执行第二附属任务，在执行第二附属任务之前在相继的时间周期期间实施比较步骤。
3.如权利要求1至2之一中所`述的监控方法，其中所述方法包括: -由第二处理器比较被记录在存储装置中的第一标识符和第二标识符的步骤，其中在执行第二排序任务之前在相继的时间周期期间实施比较步骤；和 -在比较失败的情况下由第二处理器发信号以便用信号通知处理器的协调的故障的步骤。
4.如权利要求1至3之一中所述的监控方法，其中在执行第一附属任务和第一排序任务之后直接实施记录步骤。
5.如权利要求1至4之一中所述的监控方法，其中在每个时间周期实施所述监控方法的步骤。
6.如权利要求1至5之一中所述的监控方法，其中存储装置采取被链接到两个处理器的RAM存储器的形式。
7.如权利要求1至5之一中所述的监控方法，其中存储装置独立于处理器。
8.如权利要求1至6之一中所述的监控方法，其中存储装置属于至少一个处理器。
9.如权利要求1至8之一中所述的监控方法，其中电子卡是电子设备的主电子卡，所述主电子卡包括至少两个被同步到确定的主时间周期的主时钟的主处理器，其中电子设备此外包括至少一个辅助电子卡，所述辅助电子卡包括至少一个被同步到确定的辅助时间周期的辅助时钟的辅助处理器，其中辅助时钟比主时钟更快，排序任务必须由主处理器和辅助处理器之一同时实施，在所述方法中: -在确定的主时间周期上，第一主处理器执行第一排序任务而在多个辅助时间周期上，辅助处理器执行第一排序任务的指令；-在相继的主时间周期上，第一主处理器执行第二排序任务； 所述方法特征在于它包括: -在每个主时间周期开始时由第一主处理器将协调标记发出到辅助处理器的步骤； -在每个辅助时间周期结束时由辅助处理器将基于最后接收的协调标记所形成的响应字发出到第一主处理器的步骤； -由第一主处理器关于发出的第一协调标记验证所接收的响应字的步骤，其中在发出新协调标记之前在相继的主时间周期开始时实施验证步骤；和 -如果接收的响应字不是有效的则由第一主处理器发信号以便用信号通知辅助处理器的协调的故障的步骤。
10.如前述权利要求中所述的监控方法，其中电子设备包括至少两个辅助电子卡，主电子卡的每个主处理器通过每个辅助处理器监控排序任务的执行的协调。
【文档编号】G06F15/163GK103577262SQ201310324409
【公开日】2014年2月12日 申请日期:2013年7月30日 优先权日:2012年7月30日
【发明者】G.托斯特, D.罗布莱罗马蒂内, T.德让, S.德纳维尔, L.马利埃, H.布卢安 申请人:空中客车运营简化股份公司