专利名称::安全航空电子设备以及相关的安全方法安全航空电子设备以及相关的安全方法本发明的领域是航空电子设备领域。更确切地说,本发明涉及飞机的机载设备,其提供与用于支持飞机内部通信的航空电子网络的通信接口,例如,用于ARINC664航空电子网络(尤其是AFDX全双工航空电子网络)的通信接口,或者CAN总线、USB或HDLC式接口。迄今为止,航空电子系统包括越来越智能化的传感器或执行机构类型的遥控设备。尤其涉及到关键的飞行控制设备,例如电磁活门,其不仅由中央控制器控制,而且还适于产生用于中央控制器的传动比。因此,一般来说,航空电子设备执行关键性功能,其在于提供未检测到的可能对飞机及其乘员的安全造成灾难性后果的故障信息。在本发明的应用方面,关键功能尤其由下述航空参考文献加以确定CS25.1309/ARP-4754/D0-254/D0-178B。迄今为止,通常的做法是研制执行AFDX全双工航空电子设备接口功能的ASIC(或FPGA、PLD)类型的专用电子部件,这种部件连接于处理器,处理器还执行设备的其它功能,尤其是关键功能。但是,该解决方案很复杂,成本高,因为必须研制ASIC部件,以确保良好的设计保险指标(D0-254技术规格的指标A和B)。本发明旨在提出可克服该缺陷的技术,可更为简单和成本不太高地执行AFDX全双工航空电子设备接口的功能,而完全确保航空电子系统的安全性。为此,本发明提出一种电子设备,其包括处理器、存储器和通信组件,通信组件确保与航空电子数据网络的接口,其特征在于,通信组件和处理器装在微控制器中,以致存储器为处理器和通信组件之间所共有,其特征还在于,它还包括监控存储器访问的监控组件,其配置成检测通信组件在存储器的非授权地址区的访问。该设备的一些优选的但为非限制性的方面如下-监控组件配置成在通信组件对非授权地址区进行写访问的情况下,触发中断和重置微控制器;-非授权地址区相应于为处理器上执行的软件保留的地址区;-非授权地址区在设计电子设备时预先确定;-处理器和通信组件用公共总线连接于存储器;-处理器包括存储器管理单元,其负责处理器所要求的主存储器的访问;-通信组件提供与航空电子网络的AFDX全双工航空电子设备接口;-处理器配置成在来自于通信组件的数据在航空电子网络上传输之前,计算这些数据的帧的检验和;-监控组件是根据D0-254技术规格的电子装置;以及-处理器的程序设计成根据D0-254技术规格执行关键性功能。根据第二方面,本发明涉及电子设备的安全方法,所述电子设备包括处理器和确保与航空电子数据网络的接口的通信组件,处理器和通信组件装在微控制器中,以致其共用同一存储器,所述方法包括监控共有的存储器的访问,以检测通信组件在非授权地址区的访问。根据下面参照附图对作为非限制性实施例给出的优选实施方式的详细说明,本发明的其它特征、目的和优越性将得到更好的理解,附图如下图1是示出根据本发明的第一方面的一可行实施方式的设备的示意图;图2示出根据本发明的第一方面的一可行实施方式的设备的通信组件所进行的存储器访问;图3是原理示意图,示出用于安装在根据本发明的第一方面的设备中监控存储器访问的监控组件的一可行实施方式。根据第一方面,本发明涉及一种设备,其包括处理器、存储器和通信组件,确保与航空电子网络的通信接口。根据本发明,其提出集中与航空电子网络(在后述的本发明的非限制性实施例中为AFDX全双工航空电子设备网络)的接口功能,在同一个微控制器类型的部件上具有航空电子设备的其它功能,AFDX全双工航空电子设备的功能被授权给微控制器的复杂的内部专用外围设备。因此,根据本发明的第一方面的设备包括通信组件(负有AFDX全双工航空电子设备接口功能)和处理器(负有设备的其它功能尤其是关键功能),两者都装在同一个微控制器类型的部件中。图1示出根据本发明的第一方面的航空电子设备的原理示意图。所述设备尤其包括装有处理器芯体2的微控制器1、用于确保与航空电子网络接口的通信组件3、以及尤其装有存储器控制器和总线控制器的接口单元10。微控制器1例如是Freescale公司的MPC8270微控制器。在与该MPC8270微控制器相关的术语中,处理器称为处理器芯片(“PowerPC芯片”),通信组件称为通信处理器组件。应当指出,图1仅示出理解本发明所需的微控制器1的构件。通信组件3尤其包括RAM型存储器4,例如DPRAM存储器(双信道随机访问存储器),以及通信处理器5,其配有微处理器和ROM型或RAM型存储器6,限定通信组件3工作的微代码存储在其中。在这里示出的实施方式中,通信组件3的两个Ethernet控制器7a、7b(通常是快速通信控制器FCC)用于实现与AFDX全双工航空电子设备网络的接口操作。Ethernet控制器7a、7b通过接口8(例如,如EthernetIEEE802.3标准规定的媒体独立MII接口,特别是通过信道FCC的MII接口),与收发组件9a、9b(例如若是AFDX全双工航空电子设备总线则为LXT973型的)通信。系统接口单元10通过存储器总线12连接于主存储器11,主存储器11例如为RAM型存储器。应当指出,处理器2还包括存储器管理单元MMU,其负责处理器2所要求的主存储器11的访问,确保在处理器芯片2上软件操作的框架内本发明的应用领域所需的安全等级。所述操作总体上如下-AFDX全双工航空电子设备数据帧通过处理器2在主存储器11中写或读;-AFDX全双工航空电子设备数据帧由通信组件3通过由通信组件3启动的直接访问存储器DMA,在主存储器11中写或读;-处理器2和通信组件3在系统接口单元10的总线控制器的控制下,共用总线12;-交换由存储在主存储器中的帧描述符控制。更确切地说,对于每个Ethernet控制器7a、7b(图2中标以FCCl和FCC2)来说,帧在通信组件中配置在RAM型存储器4中,以对应于主存储器11中的缓存描述符表(图2中的“BD表”),缓存描述符表尤其包括指向主存储器11中接收的或待传输的AFDX全双工航空电子设备帧存储在其中的缓存表(图2中为“Buffertable(缓存表)”)的指针域;-只有指向主存储器中缓存描述符表的地址的指针存储在通信组件3的RAM存储器4中(不由误差校正码ECC保护)。在本发明的应用方面,微控制器1(例如Freescale公司的MPC8270微控制器)的处理器2不需要特殊的调整实际上,从确认的角度看,处理器由其支持的软件的检验(DO178B标准)加以验证。相反,通信组件3并不布置成确保设计保险。实际上,限定通信组件工作的微代码由微控制器的设计者研制。不过,设计者既不提供通信组件调整的支持,也不提供设备方面、微代码方面的支持,以致通信组件3是一个其研制保险指标由于缺少资料而并不公知的组件;因此,航空电子学验证方面“复杂组件”的调整难以获得。因此,待解决的问题之一是确保通信组件3的异常和故障对系统的安全没有灾难性的影响。实际上,如前所示,处理器2和通信组件3通过公共总线12连接于主存储器11。因此,通信组件3的故障方式可导致在存储器11的非所需访问,因此,处理器2所使用的存储在存储器11中的数据或编码会发生变化。如果处理器2执行关键性功能,那么,该故障方式可对航空电子系统的安全造成灾难性影响,因为处理器2没有任何检测其编码或数据的这种变化的装置。因此,力求防止通信组件3的这种故障方式对航空电子系统的安全的影响。这里,应当指出,全双工航空电子设备帧的接收后面不予说明,因为AFDX全双工航空电子设备数据的丢失或错误的AFDX全双工航空电子设备数据的接收被视为对航空电子系统的安全没有影响。图2示出主存储器11,其例如由通信组件3示出。存储器11分成两个程序块-非授权区12通信组件3在该区12的访问相应于通信组件3失去功用或指针变化所引起的错误;_授权区13,其包含通信组件3处理的数据。这些区域尤其必须在设计航空电子设备时预先确定。优选地,存储器11的非授权区12相应于存储器11的为处理器2所保留的单元。因此,处理器2使用的程序和数据用于存储在该非授权区12中。在图2中-用箭头14示出数据通信组件3在存储器11的授权区13的正常访问;-用箭头15示出数据通信组件3在存储器11的非授权区12的异常访问;-用箭头15示出数据通信组件3由于意外情况或破坏的指针而在存储器11的授权区13的异常访问。根据本发明,如图1所示,根据本发明的第一方面的设备还包括监控主存储器11的访问的监控组件17,其被配置成检测通信组件3在非授权地址区12的访问。因此,组件17被配置成检测在主存储器11的非授权区12的所有异常访问(图2中的访问15)。组件17可使用监控微控制器外部的硬件监控机构。主存储器11访问的监控组件17在写入存储器11之前监控数据来源,并分析存储地址,以检测组件(这里是通信组件3)在非授权区的可能寻址。因此,主存储器11访问的监控组件17监控通信组件3的情况,如处理器2和通信组件3之间所共用的总线12—侧所示。组件17尤其可配置成在非授权地址区12写时,在通信组件3访问的情况下触发中断。处理器2可配置成在监控组件触发中断时产生异常。组件17也可配置成在非授权地址区12写时通信组件3访问的情况下,使处理器2的整个功能复原。通信功能也可复原,以切断输出信道,防止传输任何可能是错误的数据。当非授权区12相应于处理器2使用的编码和数据时,应当指出,本发明可检测通信组件3的故障情况,其故障会改变处理器2使用的编码和数据,从而改变处理器2所执行的关键功能。根据一可行的实施方式,主存储器11访问的监控组件17监控处理代码TC信号和微控制器1的地址,在监测到下面的逻辑方程时产生中断-处理代码相应于通信组件3的访问请求;以及_存储器以写方式寻址;以及_被寻址的存储器区在授权区13之外,以进行来自通信组件3的处理。优选地,存储器访问的监控组件17是可编程的组件(PLD组件),其根据D0-254技术规格的指标A研制起来特别简单。因此,研制该组件所需的资源是组合逻辑系统、由单个时钟控制的锁,不使用状态机。图3是这种可编程组件的一实施方式的工作原理图。该组件具有第一触发器18,其尤其在输入端I接收在微控制器1和主存储器11之间的共有总线12上通过的信号。时钟信号CK提供给第一触发器18,以致其在时钟信号前沿上复制输入信号(从而使在共有总线上通过的信号标准化,尤其是使对应于通信组件在主存储器访问的信号标准化)。复制的输入信号例如应用上述逻辑方程提供给地址解码组件19,以提供可能在授权区之外进行写访问的预警输出信号。该输出信号提供给第二触发器20,其以由时钟信号CK限定的速度进行复制,以提供表示寻址可能错误的输出信号S。根据本发明的一优选实施方式,实施第二安全机构,以防通信组件3出现任何故障,导致AFDX全双工航空电子设备帧错误的传输。尤其涉及到防止通信组件3例如由于通信组件3的设计错误而在主存储器11的授权区13的任何异常访问(图2中的访问16)。为此,处理器2配置成对来自通信组件3的数据帧在其在航空电子网络上传输之前计算检验和(例如通过周期性冗余检验CRC)。这样,通信组件3改变的帧可由与根据本发明的第一方面的设备连接的装置,通过AFDX全双工航空电子设备网络予以检测。最后,应当理解,本发明不限于根据第一方面的设备,而是也涵盖了电子设备的安全方法,所述电子设备包括处理器和确保与航空电子数据网络的接口的通信组件,处理器和通信组件装在微控制器中,以致其共用同一存储器,所述方法包括使用监控共有存储器访问的监控组件,以检测通信组件在非授权地址区的访问。权利要求1.电子设备,包括处理器O)、存储器(11)和通信组件(3),所述通信组件C3)确保与航空电子数据网络的接口,其特征在于,所述通信组件C3)和处理器(装在微控制器(1)中,以致存储器(11)为处理器和通信组件之间所共用,其特征还在于,所述电子设备还包括监控存储器(17)的访问的监控组件,所述监控组件被配置成检测通信组件C3)在存储器(11)的非授权地址区(12)的访问。2.根据权利要求1所述的设备,其特征在于,所述监控组件(17)被配置成在通信组件(3)对非授权地址区进行写入访问的情况下,触发中断并重置微控制器。3.根据权利要求1至2中之一所述的设备,其特征在于,所述非授权地址区对应于在处理器上执行的软件所保留的地址区。4.根据权利要求1至3中之一所述的设备,其特征在于,所述非授权地址区在设计所述电子设备时预先确定。5.根据权利要求1至4中之一所述的设备,其特征在于,所述处理器和通信组件通过公共总线(1连接到所述存储器。6.根据权利要求1至5中之一所述的设备,其特征在于,所述处理器包括存储器管理单元,其负责处理器所要求的主存储器的访问。7.根据权利要求1至6中之一所述的设备,其特征在于,所述通信组件提供与航空电子网络的AFDX全双工航空电子设备接口。8.根据权利要求1至7中之一所述的设备,其特征在于,所述处理器被配置成对来自所述通信组件的数据帧在其在航空电子网络上传输之前计算检验和。9.根据权利要求1至8中之一所述的设备,其特征在于,所述监控组件是根据D0-2M技术规格的简单的电子装置。10.根据权利要求1至9中之一所述的设备,其特征在于,所述处理器被编程为根据D0-254技术规格执行关键性功能。11.电子设备的安全方法,所述电子设备包括处理器和确保与航空电子数据网络的接口的通信组件,所述处理器和通信组件装在微控制器中,以致其共用同一存储器,所述方法包括使用监控组件,监控对共用存储器的访问,以检测通信组件在非授权地址区的访问。全文摘要本发明根据第一方面涉及电子设备,其包括处理器(2)、存储器(11)和通信组件(3),所述通信组件(3)确保与航空电子数据网络的接口,其特征在于,通信组件(3)和处理器(2)装在微控制器(1)中,以致存储器(11)为处理器和通信组件之间所共有,其特征还在于,它还包括监控组件,其监控存储器(17)的访问,并且被配置成检测通信组件(3)在存储器(11)的非授权地址区(12)的访问。根据第二方面,本发明涉及处理器的安全方法,以防复杂的外围设备出现故障。文档编号H04L12/54GK102217250SQ200980145972公开日2011年10月12日申请日期2009年11月6日优先权日2008年11月17日发明者艾迪恩尼·拉巴里,菲利普·沃戈腾伯格尔申请人:萨热姆防务安全公司