符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)與方法
【專利摘要】本發(fā)明揭示了符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)與方法�,通過將A級(jí)軟件和D級(jí)軟件從空間、時(shí)間上進(jìn)行了隔離��,同時(shí)由于通過內(nèi)存管理單元設(shè)置限制了D級(jí)軟件訪問的Flash的范圍���,它即使錯(cuò)誤的訪問了存放A級(jí)軟件代碼的Flash地址也不會(huì)出現(xiàn)直接從D級(jí)軟件跳轉(zhuǎn)到A級(jí)軟件運(yùn)行的情況�����,因此可以確保D級(jí)軟件運(yùn)行時(shí)A級(jí)軟件不會(huì)運(yùn)行���,用以解決現(xiàn)有技術(shù)無法將低等級(jí)軟件與高等級(jí)軟件從空間和時(shí)間上隔離開來、無法避免低等級(jí)軟件的故障“傳染”到高等級(jí)軟件中以及無法保證高等級(jí)軟件完整性的問題�����。
【專利說明】符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)與方法
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明涉及軟件運(yùn)行控制領(lǐng)域�����,特別是指符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)與方法。
【【背景技術(shù)】】
[0002]民用飛機(jī)中的軟件設(shè)計(jì)保障等級(jí)��,即常說的軟件等級(jí)�,可分為5個(gè)等級(jí),分別是A級(jí)(災(zāi)難性的)�,B級(jí)(危險(xiǎn)的),C級(jí)(重要的)��,D級(jí)(次要的)和E級(jí)(無影響)�����。軟件等級(jí)是由安全性評(píng)估過程根據(jù)失效條件引起的危害性分析決定的���,軟件等級(jí)越高,軟件發(fā)生故障時(shí)對(duì)飛機(jī)飛行安全產(chǎn)生的危害越大��。
[0003]A級(jí)軟件作為最高等級(jí)的軟件����,它的開發(fā)成本最為昂貴,根據(jù)D0-178B的要求�,它需要滿足66個(gè)目標(biāo),而D級(jí)軟件只需要滿足28個(gè)目標(biāo)�����。D級(jí)軟件相對(duì)于A級(jí)軟件:
[0004]I)不需要開發(fā)底層需求;
[0005]2)不需要做 MCDC (Modified Condition Decision Coverage)覆蓋測(cè)試�����;
[0006]3)不需要代碼評(píng)審����;
[0007]4)對(duì)獨(dú)立性要求非常低;
[0008]5)對(duì)配置管理的要求非常低等等���。
[0009]據(jù)統(tǒng)計(jì)��,D級(jí)軟件的開發(fā)成本僅為A級(jí)軟件的四分之一��。
[0010]通常�����,具有不同功能的軟件模塊會(huì)被編譯成一個(gè)可執(zhí)行文件在單個(gè)CPU上運(yùn)行���,然而如果不同的軟件模塊被定義成不同的等級(jí),這種不同等級(jí)的軟件被編譯成一個(gè)可執(zhí)行文件的軟件架構(gòu)很難滿足民用飛機(jī)對(duì)于軟件分區(qū)隔離的要求��,因?yàn)榉謪^(qū)要求對(duì)不同軟件模塊進(jìn)行隔離,對(duì)它們能夠訪問的硬件進(jìn)行隔離�����,低等級(jí)的軟件故障不能“傳染”到高等級(jí)的軟件中��。然而�,高等級(jí)軟件和低等級(jí)軟件運(yùn)行在同一個(gè)CPU上面,需要訪問共同的硬件���,幾乎不可能做到高等級(jí)軟件只訪問某些硬件,低等級(jí)軟件只訪問其他的硬件��,并且高等級(jí)軟件和低等級(jí)軟件是被聯(lián)編成一個(gè)可執(zhí)行文件���,它們的代碼夾雜在一起執(zhí)行��,無法把它們從空間和時(shí)間上隔離開來��,無法做到低等級(jí)軟件的故障不會(huì)“傳染”到高等級(jí)軟件中�����,無法保證高等級(jí)軟件的完整性(低等級(jí)軟件會(huì)影響高等級(jí)軟件)���。
[0011]正是由于不同等級(jí)軟件共存于一個(gè)可執(zhí)行文件時(shí)無法滿足高等級(jí)軟件的完整性����,所以這種軟件架構(gòu)只能把原本可以設(shè)計(jì)為低等級(jí)的軟件提升為高等級(jí)軟件來開發(fā)�����,大大增加了開發(fā)成本���。
【
【發(fā)明內(nèi)容】
】
[0012]本發(fā)明的目的在于提供一種符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)與方法�����,用以解決現(xiàn)有技術(shù)無法將低等級(jí)軟件與高等級(jí)軟件從空間和時(shí)間上隔離開來�、無法避免低等級(jí)軟件的故障“傳染”到高等級(jí)軟件中以及無法保證高等級(jí)軟件完整性的問題��。[0013]為實(shí)現(xiàn)上述目的����,實(shí)施本發(fā)明的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng),應(yīng)用于航空全雙工交換式以太網(wǎng)交換機(jī)中���,該控制系統(tǒng)包括:
[0014]第一存儲(chǔ)單元�,其中存儲(chǔ)有引導(dǎo)軟件、默認(rèn)軟件和默認(rèn)配置表�����,該第一存儲(chǔ)單元受硬件保護(hù)����,其中存儲(chǔ)的引導(dǎo)軟件、默認(rèn)軟件和默認(rèn)配置表不支持現(xiàn)場(chǎng)加載����;
[0015]第二存儲(chǔ)單元,其支持外部的數(shù)據(jù)加載器的數(shù)據(jù)加載�����,并支持現(xiàn)場(chǎng)加載功能����,通過第二存儲(chǔ)單元��,新的OPS軟件和OPS配置表可加載到交換機(jī)中�;其中第一存儲(chǔ)單元中的默認(rèn)軟件和第二存儲(chǔ)單元中的OPS軟件都分成了 A級(jí)和D級(jí),其中A級(jí)軟件被編譯為一個(gè)可執(zhí)行文件���,D級(jí)軟件被編譯為另外一個(gè)可執(zhí)行文件����;另外,外部數(shù)據(jù)加載請(qǐng)求的監(jiān)聽����、是否允許或拒絕數(shù)據(jù)加載的判斷都由A級(jí)軟件實(shí)現(xiàn),而數(shù)據(jù)加載功能由D級(jí)軟件實(shí)現(xiàn)�����;并且第二存儲(chǔ)單元內(nèi)還存儲(chǔ)有新的加載軟件飛機(jī)部件���,該新的加載軟件飛機(jī)部件包括OPS軟件或OPS配置表��,其通過現(xiàn)場(chǎng)加載的方式加載到第二存儲(chǔ)單元�����;
[0016]加載單元���,其與第一存儲(chǔ)單元與第二存儲(chǔ)單元連接,用以將第一存儲(chǔ)單元與第二存儲(chǔ)單元中不同的軟件或配置表加載到CPU的隨機(jī)存儲(chǔ)器中;
[0017]NVM (非易失性隨機(jī)存儲(chǔ)器)單元�,其與加載單元連接,設(shè)有熱啟動(dòng)標(biāo)志與數(shù)據(jù)加載標(biāo)志��,該兩個(gè)標(biāo)志可被修改��;
[0018]CPU隨機(jī)存儲(chǔ)器��,與加載單元連接����,接收加載單元加載的軟件或配置表等并運(yùn)行;
[0019]內(nèi)存管理單元�����,由引導(dǎo)軟件進(jìn)行設(shè)置���,使CPU只能訪問CPU隨機(jī)存儲(chǔ)器和用于存放新的加載軟件飛機(jī)部件的第二存儲(chǔ)器中設(shè)定的地址范圍���。
[0020]為實(shí)現(xiàn)上述目的���,實(shí)施本發(fā)明的利用上述的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)對(duì)符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制方法�,該方法包括如下步驟:
[0021]交換機(jī)上電后,默認(rèn)運(yùn)行引導(dǎo)軟件��,引導(dǎo)軟件讀到NVM單元中的熱啟動(dòng)標(biāo)志為0����,則把第二存儲(chǔ)單元的A級(jí)OPS軟件和OPS配置表加載到CPU隨機(jī)存儲(chǔ)器中運(yùn)行,并進(jìn)入OPS模式,在此模式下A級(jí)OPS軟件會(huì)監(jiān)聽外部數(shù)據(jù)加載請(qǐng)求�����;如果收到外部數(shù)據(jù)加載請(qǐng)求,并且目前的條件允許接受外部數(shù)據(jù)加載���,則A級(jí)OPS軟件會(huì)把NVM單元中的熱啟動(dòng)標(biāo)志置I,并寫一個(gè)值到NVM單元中的數(shù)據(jù)加載標(biāo)志里�,然后復(fù)位重啟����;如果當(dāng)前條件不允許接受外部數(shù)據(jù)加載,則A級(jí)OPS軟件會(huì)拒絕外部數(shù)據(jù)加載請(qǐng)求��;
[0022]復(fù)位重啟后�,引導(dǎo)軟件再次運(yùn)行,當(dāng)讀取到NVM單元中的熱啟動(dòng)標(biāo)志為1��,并根據(jù)NVM單元中的數(shù)據(jù)加載標(biāo)志���,把第二存儲(chǔ)單元中的D級(jí)OPS軟件加載到CPU隨機(jī)存儲(chǔ)器運(yùn)行并進(jìn)入數(shù)據(jù)加載模式�����;在運(yùn)行D級(jí)OPS軟件之前���,引導(dǎo)軟件通過內(nèi)存管理單元設(shè)置��,使CPU只能訪問CPU隨機(jī)存儲(chǔ)器和用于存放新的加載軟件飛機(jī)部件的第二存儲(chǔ)單元地址范圍�����,然后跳轉(zhuǎn)到已經(jīng)加載到CPU隨機(jī)存儲(chǔ)器的D級(jí)OPS軟件運(yùn)行�����;D級(jí)OPS軟件負(fù)責(zé)具體的數(shù)據(jù)加載�����,將接收到的新的加載軟件飛機(jī)部件燒寫到第二存儲(chǔ)單元的上述地址��,把NVM單元中的熱啟動(dòng)標(biāo)志置1�,并寫另一個(gè)值到NVM單元中的數(shù)據(jù)加載標(biāo)志里����,然后復(fù)位重啟;
[0023]復(fù)位重啟后����,引導(dǎo)軟件再次運(yùn)行,它讀取NVM單元中的熱啟動(dòng)標(biāo)志為1��,并根據(jù)NVM單元中的數(shù)據(jù)加載標(biāo)志�,把A級(jí)OPS軟件加載到CPU隨機(jī)存儲(chǔ)器運(yùn)行并進(jìn)入OPS模式,A級(jí)OPS軟件根據(jù)數(shù)據(jù)加載標(biāo)志的值得知有新的加載軟件飛機(jī)部件被接收到���,則A級(jí)OPS軟件對(duì)新的加載軟件飛機(jī)部件做CRC校驗(yàn)�,如果CRC校驗(yàn)通過��,則把新的加載軟件飛機(jī)部件覆蓋到第二存儲(chǔ)單元中原來存放A級(jí)OPS軟件�����、D級(jí)OPS軟件或OPS配置表的相應(yīng)的地址�,并發(fā)送數(shù)據(jù)加載成功的確認(rèn)幀到外部數(shù)據(jù)加載器,并把NVM單元中的熱啟動(dòng)標(biāo)志清O并復(fù)位重啟;
[0024]復(fù)位重啟后���,引導(dǎo)軟件再次運(yùn)行�,讀取到NVM單元中的熱啟動(dòng)標(biāo)志為0,則把第二存儲(chǔ)單元A級(jí)OPS軟件和OPS配置表加載到CPU隨機(jī)存儲(chǔ)器中運(yùn)行�。
[0025]與現(xiàn)有技術(shù)相比較,本發(fā)明通過將A級(jí)軟件和D級(jí)軟件從空間���、時(shí)間上進(jìn)行了隔離�����,同時(shí)由于通過內(nèi)存管理單元設(shè)置限制了 D級(jí)軟件訪問的Flash的范圍�,它即使錯(cuò)誤的訪問了存放A級(jí)軟件代碼的Flash地址也不會(huì)出現(xiàn)直接從D級(jí)軟件跳轉(zhuǎn)到A級(jí)軟件運(yùn)行的情況���,因此可以確保D級(jí)軟件運(yùn)行時(shí)A級(jí)軟件不會(huì)運(yùn)行���,再者A級(jí)軟件或D級(jí)軟件運(yùn)行時(shí)都獨(dú)占了所有資源,并且D級(jí)OPS軟件只在數(shù)據(jù)加載模式下運(yùn)行�����,在其他模式下不會(huì)運(yùn)行����,而AFDX交換機(jī)離開數(shù)據(jù)加載模式的唯一方法是復(fù)位重啟,重啟后D級(jí)軟件可能發(fā)生的錯(cuò)誤都被清除了���,這些錯(cuò)誤不會(huì)傳染到A級(jí)軟件�����,從而解決現(xiàn)有技術(shù)無法將低等級(jí)軟件與高等級(jí)軟件從空間和時(shí)間上隔離開來���、無法避免低等級(jí)軟件的故障“傳染”到高等級(jí)軟件中以及無法保證高等級(jí)軟件完整性的問題。
【【專利附圖】
【附圖說明】】
[0026]圖1為實(shí)施本發(fā)明的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)的組成示意圖�����。
[0027]圖2為實(shí)施本發(fā)明的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)在AFDX交換機(jī)上的具體應(yīng)用示意圖���。
【【具體實(shí)施方式】】
[0028]為更清楚的了解實(shí)施本發(fā)明的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制方法��,以下以航空全雙工交換式以太網(wǎng)(Avionic Full-Duplex Switched Ethernet)交換機(jī)(以下簡(jiǎn)稱AFDX交換機(jī))軟件為例進(jìn)行說明�。
[0029]AFDX交換機(jī)是在航電系統(tǒng)中用于信息傳輸?shù)娘w機(jī)數(shù)據(jù)網(wǎng)路交換機(jī)��,AFDX交換機(jī)目前已經(jīng)在飛機(jī)的航電系統(tǒng)中廣泛使用�。AFDX交換機(jī)作為民用飛機(jī)上的通訊設(shè)備,駐留在它里面的軟件是需要作為A級(jí)軟件來設(shè)計(jì)的��。但A級(jí)軟件開發(fā)相當(dāng)昂貴�,成本非常高�,在實(shí)際使用過程中���,ARINC615A數(shù)據(jù)加載功能只是在地面維護(hù)時(shí)使用�����,因此它可以作為D級(jí)軟件來設(shè)計(jì)����。本發(fā)明能夠使低等級(jí)軟件和高等級(jí)軟件能夠在單個(gè)處理器上共存��,并且符合民用飛機(jī)對(duì)不同軟件等級(jí)的要求���。本發(fā)明能夠確保低等級(jí)軟件(比如D級(jí)軟件)運(yùn)行時(shí)不會(huì)影響高等級(jí)軟件(比如A級(jí)軟件)���,低等級(jí)軟件的故障不會(huì)“傳染”到高等級(jí)軟件,并且只需要做少量的分區(qū)分析即可滿足民用飛機(jī)軟件中的完整性需求�,從而大大降低了民用飛機(jī)軟件的開發(fā)成本。
[0030]在具體實(shí)施時(shí)����,本發(fā)明將不同軟件等級(jí)的軟件編譯成多個(gè)可執(zhí)行文件而不是一個(gè)可執(zhí)行文件,并在單個(gè)CPU上運(yùn)行,并通過如下的方法以實(shí)現(xiàn)不同軟件等級(jí)的軟件互相隔離的目的����。
[0031]請(qǐng)參閱圖1所示,為實(shí)施本發(fā)明的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)的組成示意圖�,該符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)包括:
[0032]第一存儲(chǔ)單元,其中存儲(chǔ)有引導(dǎo)軟件����、默認(rèn)軟件和默認(rèn)配置表��,該第一存儲(chǔ)單元受硬件保護(hù)��,其中存儲(chǔ)的引導(dǎo)軟件��、默認(rèn)軟件和默認(rèn)配置表只能在在工廠改寫而不支持現(xiàn)場(chǎng)加載����;
[0033]第二存儲(chǔ)單元,其支持外部的數(shù)據(jù)加載器的數(shù)據(jù)加載���,并支持現(xiàn)場(chǎng)加載功能�����,通過第二存儲(chǔ)單元�,新的OPS軟件和OPS配置表可加載到交換機(jī)中;其中第一存儲(chǔ)單元中的默認(rèn)軟件和第二存儲(chǔ)單元中的OPS軟件都分成了 A級(jí)和D級(jí)����,其中A級(jí)軟件被編譯為一個(gè)可執(zhí)行文件,D級(jí)軟件被編譯為另外一個(gè)可執(zhí)行文件�����;另外���,對(duì)于外部數(shù)據(jù)加載請(qǐng)求的監(jiān)聽�、是否允許或拒絕數(shù)據(jù)加載的判斷都由A級(jí)軟件實(shí)現(xiàn)����,而單純的數(shù)據(jù)加載功能由D級(jí)軟件實(shí)現(xiàn);并且第二存儲(chǔ)單元內(nèi)還存儲(chǔ)有新的加載軟件飛機(jī)部件��,其可通過現(xiàn)場(chǎng)加載的方式加載到第二存儲(chǔ)單元��,該新的加載軟件飛機(jī)部件包括OPS軟件或OPS配置表�����;
[0034]加載單元,其與第一存儲(chǔ)單元與第二存儲(chǔ)單元連接�����,用以將第一存儲(chǔ)單元與第二存儲(chǔ)單元中不同的軟件或配置表加載到CPU的隨機(jī)存儲(chǔ)器(RAM)中�����;
[0035]NVM單元���,其與加載單元連接����,設(shè)有熱啟動(dòng)標(biāo)志與數(shù)據(jù)加載標(biāo)志���,該兩個(gè)標(biāo)志可被修改;
[0036]CPU隨機(jī)存儲(chǔ)器���,與加載單元連接�,接收加載單元加載的軟件或配置表等并運(yùn)行��;
[0037]內(nèi)存管理單元����,由引導(dǎo)軟件進(jìn)行設(shè)置���,使CPU只能訪問CPU隨機(jī)存儲(chǔ)器和用于存放新的加載軟件飛機(jī)部件(LSAP)的第二存儲(chǔ)單元的設(shè)定的地址范圍。
[0038]上述的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)的運(yùn)行方法具體包括如下步驟:
[0039]上電后��,默認(rèn)運(yùn)行引導(dǎo)軟件���,引導(dǎo)軟件讀到NVM單元中的熱啟動(dòng)標(biāo)志為0��,則把第二存儲(chǔ)單元的A級(jí)OPS軟件和OPS配置表加載到CPU隨機(jī)存儲(chǔ)器中運(yùn)行�,并進(jìn)入OPS模式����,在此模式下A級(jí)OPS軟件會(huì)監(jiān)聽外部數(shù)據(jù)加載請(qǐng)求。如果收到外部數(shù)據(jù)加載請(qǐng)求,并且目前的條件(如飛機(jī)在地面并且允許進(jìn)行數(shù)據(jù)加載)允許接受外部數(shù)據(jù)加載����,則A級(jí)OPS軟件會(huì)把NVM單元中的熱啟動(dòng)標(biāo)志置1,并寫一個(gè)值到NVM單元中的數(shù)據(jù)加載標(biāo)志(615A標(biāo)志)里���,然后復(fù)位重啟�����。如果當(dāng)前條件不允許接受外部數(shù)據(jù)加載�����,則A級(jí)OPS軟件會(huì)拒絕外部數(shù)據(jù)加載請(qǐng)求����。
[0040]復(fù)位重啟后,引導(dǎo)軟件再次運(yùn)行�,當(dāng)讀取到NVM單元中的熱啟動(dòng)標(biāo)志為1,并根據(jù)NVM單元中的數(shù)據(jù)加載標(biāo)志�����,把第二存儲(chǔ)單元中的D級(jí)OPS軟件加載到CPU隨機(jī)存儲(chǔ)器運(yùn)行并進(jìn)入數(shù)據(jù)加載模式��。在運(yùn)行D級(jí)OPS軟件之前�,引導(dǎo)軟件通過內(nèi)存管理單元(MMU)設(shè)置�,使CPU只能訪問CPU隨機(jī)存儲(chǔ)器和用于存放新的加載軟件飛機(jī)部件(LSAP)的現(xiàn)場(chǎng)可加載FLASH地址范圍,然后跳轉(zhuǎn)到已經(jīng)加載到CPU隨機(jī)存儲(chǔ)器的D級(jí)OPS軟件運(yùn)行���。D級(jí)OPS軟件負(fù)責(zé)具體的數(shù)據(jù)加載���,它把接收到的新的加載軟件飛機(jī)部件(LSAP)燒寫到用于上述內(nèi)存管理單元設(shè)置的存放新的加載軟件飛機(jī)部件(LSAP)的現(xiàn)場(chǎng)可加載FLASH地址��,把NVM單元中的熱啟動(dòng)標(biāo)志置1��,并寫另一個(gè)值到NVM單元中的數(shù)據(jù)加載標(biāo)志(615A標(biāo)志)里�����,然后復(fù)位重啟����。
[0041]復(fù)位重啟后��,引導(dǎo)軟件再次運(yùn)行����,它讀取NVM單元中的熱啟動(dòng)標(biāo)志為1,并根據(jù)NVM單元中的數(shù)據(jù)加載標(biāo)志�,把A級(jí)OPS軟件加載到CPU RAM運(yùn)行并進(jìn)入OPS模式,A級(jí)OPS軟件根據(jù)數(shù)據(jù)加載標(biāo)志的值得知有新的加載軟件飛機(jī)部件被接收到��,則A級(jí)OPS軟件對(duì)新的加載軟件飛機(jī)部件做CRC校驗(yàn)��,如果CRC校驗(yàn)通過���,則把新的加載軟件飛機(jī)部件覆蓋到原來存放A級(jí)OPS軟件��、D級(jí)OPS軟件或OPS配置表的現(xiàn)場(chǎng)可加載Flash地址���,并發(fā)送數(shù)據(jù)加載成功的確認(rèn)幀到外部數(shù)據(jù)加載器�����,并把NVM單元中的熱啟動(dòng)標(biāo)志清O并復(fù)位重啟���;在上述的過程中,出于安全的考慮�����,不能讓D級(jí)軟件有直接寫在原來訪問存A級(jí)OPS軟件�����、D級(jí)OPS軟件或OPS配置表地址的機(jī)會(huì)���,不然D級(jí)軟件運(yùn)行時(shí)�,如果出錯(cuò)它可能會(huì)跳轉(zhuǎn)到A級(jí)軟件運(yùn)行���,從而可能會(huì)把D級(jí)軟件的故障傳染到A級(jí)軟件��,并且D級(jí)軟件無法保證新LSAP的完整性����。所以采用了 D級(jí)軟件把新的LSAP寫到第二存儲(chǔ)單元的一個(gè)臨時(shí)地址(即內(nèi)存管理單元設(shè)置的存放新的加載軟件飛機(jī)部件(LSAP)的現(xiàn)場(chǎng)可加載FLASH地址)��,然后由A級(jí)軟件來對(duì)新LSAP做完整性檢查(CRC校驗(yàn))�����,校驗(yàn)成功后才把新LSAP寫到正確的地址(即原來存放A級(jí)OPS軟件���、D級(jí)OPS軟件或OPS配置表的現(xiàn)場(chǎng)可加載Flash地址)中去����。
[0042]復(fù)位重啟后�,引導(dǎo)軟件再次運(yùn)行,讀取到NVM單元中的熱啟動(dòng)標(biāo)志為0��,則把A級(jí)OPS軟件和OPS配置表加載到CPU隨機(jī)存儲(chǔ)器中運(yùn)行����,如此剛加載成功的新的加載軟件飛機(jī)部件(包括OPS軟件或OPS配置表)就可以在交換機(jī)中運(yùn)行。
[0043]如圖2所示���,為實(shí)施本發(fā)明的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)在AFDX交換機(jī)上的具體應(yīng)用��。
[0044]在具體實(shí)施時(shí)�,AFDX交換機(jī)中有2片F(xiàn)lash (快閃存儲(chǔ))芯片,一片為工廠維護(hù)Flash芯片(即第一存儲(chǔ)單元)�����,它受硬件保護(hù)���,駐留在它里面的引導(dǎo)軟件��、默認(rèn)軟件和默認(rèn)配置表只能在工廠改寫而不支持現(xiàn)場(chǎng)加載���;另一片為現(xiàn)場(chǎng)可加載Flash芯片(即第二存儲(chǔ)單元),它支持ARINC615A數(shù)據(jù)加載�����,可以在現(xiàn)場(chǎng)加載新的OPS軟件和OPS配置表到交換機(jī)中����。因?yàn)槟J(rèn)軟件和OPS軟件都具備ARINC615A數(shù)據(jù)加載功能,所以把默認(rèn)軟件和OPS軟件都分成了 A級(jí)和D級(jí),A級(jí)軟件被編譯為一個(gè)可執(zhí)行文件���,D級(jí)軟件被編譯為另外一個(gè)可執(zhí)行文件。為了滿足安全性要求�,對(duì)ARINC615A數(shù)據(jù)加載請(qǐng)求的監(jiān)聽、是否允許/拒絕ARINC615A數(shù)據(jù)加載的判斷都放在A級(jí)軟件中實(shí)現(xiàn)�����,而純粹的ARINC615A數(shù)據(jù)加載功能(TFTP協(xié)議等)則在D級(jí)軟件里實(shí)現(xiàn)��。
[0045]正常情況下�����,交換機(jī)上電后默認(rèn)運(yùn)行引導(dǎo)軟件��,引導(dǎo)軟件讀到NVM單元中的熱啟動(dòng)標(biāo)志為0��,得知需要把A級(jí)OPS軟件和OPS配置表加載到CPURAM中運(yùn)行�,并進(jìn)入OPS模式,在此模式下A級(jí)OPS軟件會(huì)監(jiān)聽ARINC615A數(shù)據(jù)加載請(qǐng)求���。如果收到了 ARINC615A數(shù)據(jù)加載請(qǐng)求����,并且目前的條件允許接受ARINC615A數(shù)據(jù)加載,則A級(jí)OPS軟件會(huì)把NVM單元中的熱啟動(dòng)標(biāo)志置1�����,并寫一個(gè)值到NVM單元中的615A標(biāo)志里���,然后復(fù)位重啟��。但如果當(dāng)前條件不允許接受ARINC615A數(shù)據(jù)加載����,則A級(jí)OPS軟件會(huì)拒絕ARINC615A數(shù)據(jù)加載請(qǐng)求�����。
[0046]復(fù)位重啟后�,引導(dǎo)軟件再次運(yùn)行,它讀取到NVM單元中的熱啟動(dòng)標(biāo)志為1��,并根據(jù)NVM單元中的615A標(biāo)志����,得知這一次需要把D級(jí)OPS軟件加載到RAM運(yùn)行并進(jìn)入數(shù)據(jù)加載模式���。出于安全性考慮,在運(yùn)行D級(jí)OPS軟件之前�����,引導(dǎo)軟件通過內(nèi)存管理單元(MMU)設(shè)置�,使CPU只能訪問CPURAM���,和用于存放新的加載軟件飛機(jī)部件(LSAP )的現(xiàn)場(chǎng)可加載FLASH地址范圍���,然后跳轉(zhuǎn)到已經(jīng)加載到CPU RAM的D級(jí)OPS軟件運(yùn)行。D級(jí)OPS軟件負(fù)責(zé)具體的數(shù)據(jù)加載�,它把接收到的新的加載軟件飛機(jī)部件(LSAP)燒寫到用于存放它的現(xiàn)場(chǎng)可加載FLASH地址,把NVM單元中的熱啟動(dòng)標(biāo)志置1,并寫另一個(gè)值到NVM單元中的615A標(biāo)志里����,然后復(fù)位重啟。
[0047]復(fù)位重啟后�����,引導(dǎo)軟件再次運(yùn)行����,它讀取NVM單元中的熱啟動(dòng)標(biāo)志為1����,并根據(jù)NVM單元中的615A標(biāo)志����,得知這一次需要把A級(jí)OPS軟件加載到CPU RAM運(yùn)行并進(jìn)入OPS模式。A級(jí)OPS軟件根據(jù)615A標(biāo)志的值得知有新的加載軟件飛機(jī)部件被接收到����,于是A級(jí)OPS軟件對(duì)新的加載軟件飛機(jī)部件做CRC校驗(yàn),如果CRC校驗(yàn)通過����,則把新的加載軟件飛機(jī)部件覆蓋到原來存放A級(jí)OPS軟件、D級(jí)OPS軟件或OPS配置表的現(xiàn)場(chǎng)可加載Flash地址��,并發(fā)送最后的ARINC615A數(shù)據(jù)加載成功的確認(rèn)幀到ARINC615A數(shù)據(jù)加載器����,最后把NVM單元中的熱啟動(dòng)標(biāo)志清O并復(fù)位重啟。
[0048]復(fù)位重啟后����,引導(dǎo)軟件再次運(yùn)行���,它讀取到NVM單元中的熱啟動(dòng)標(biāo)志為0,得知要把A級(jí)OPS軟件和OPS配置表加載到CPU RAM中運(yùn)行���,這樣剛剛加載成功的新的LSAP (包括OPS軟件或OPS配置表)就可以運(yùn)行于交換機(jī)了����。
[0049]從上述步驟可以得出A級(jí)軟件不會(huì)受D級(jí)軟件錯(cuò)誤的影響是因?yàn)橛幸韵聶C(jī)制:
[0050](I)A級(jí)軟件和D級(jí)軟件從空間�、時(shí)間上進(jìn)行了隔離����。
[0051](2)由于通過內(nèi)存管理單元設(shè)置限制了 D級(jí)軟件訪問的Flash的范圍,它即使錯(cuò)誤的訪問了存放A級(jí)軟件代碼的Flash地址也不會(huì)出現(xiàn)直接從D級(jí)軟件跳轉(zhuǎn)到A級(jí)軟件運(yùn)行的情況��,因此可以確保D級(jí)軟件運(yùn)行時(shí)A級(jí)軟件不會(huì)運(yùn)行�。
[0052](3) A級(jí)軟件或D級(jí)軟件運(yùn)行時(shí)都獨(dú)占了所有資源。
[0053](4) D級(jí)OPS軟件只在數(shù)據(jù)加載模式下運(yùn)行�,在其他模式下不會(huì)運(yùn)行。
[0054](5) AFDX交換機(jī)離開數(shù)據(jù)加載模式的唯一方法是復(fù)位重啟�����,重啟后D級(jí)軟件可能發(fā)生的錯(cuò)誤都被清除了��,也就是說這些錯(cuò)誤不會(huì)傳染到A級(jí)軟件。
[0055]出于安全性考慮�,D級(jí)OPS軟件只實(shí)現(xiàn)數(shù)據(jù)加載操作,而以下三個(gè)數(shù)據(jù)加載相關(guān)的任務(wù)則在A級(jí)OPS軟件中實(shí)現(xiàn):
[0056]( I)接受/拒絕數(shù)據(jù)加載請(qǐng)求�;
[0057](2)檢查接收到的新的加載軟件飛機(jī)部件(LSAP)的完整性,即CRC校驗(yàn)��;
[0058](3)發(fā)送加載成功的消息給數(shù)據(jù)加載器����。
[0059]這3個(gè)任務(wù)需要在A級(jí)軟件里實(shí)現(xiàn)是為了保證數(shù)據(jù)加載的正確開始和結(jié)束:
[0060](I)第一個(gè)任務(wù)可以阻止錯(cuò)誤的進(jìn)入數(shù)據(jù)加載模式;
[0061](2)第二���、第三個(gè)任務(wù)用來確認(rèn)數(shù)據(jù)加載是否成功����。
[0062]可以理解的是��,對(duì)本領(lǐng)域普通技術(shù)人員來說�����,可以根據(jù)本發(fā)明的技術(shù)方案及其發(fā)明構(gòu)思加以等同替換或改變�,而所有這些改變或替換都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
【權(quán)利要求】
1.一種符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)����,應(yīng)用于航空全雙工交換式以太網(wǎng)交換機(jī)中��,其特征在于該控制系統(tǒng)包括: 第一存儲(chǔ)單元���,其中存儲(chǔ)有引導(dǎo)軟件、默認(rèn)軟件和默認(rèn)配置表��,該第一存儲(chǔ)單元受硬件保護(hù)�,其中存儲(chǔ)的引導(dǎo)軟件、默認(rèn)軟件和默認(rèn)配置表不支持現(xiàn)場(chǎng)加載�; 第二存儲(chǔ)單元,其支持外部的數(shù)據(jù)加載器的數(shù)據(jù)加載�����,并支持現(xiàn)場(chǎng)加載功能�����,通過第二存儲(chǔ)單元��,新的OPS軟件和OPS配置表可加載到交換機(jī)中���;其中第一存儲(chǔ)單元中的默認(rèn)軟件和第二存儲(chǔ)單元中的OPS軟件都分成了 A級(jí)和D級(jí)���,其中A級(jí)軟件被編譯為一個(gè)可執(zhí)行文件,D級(jí)軟件被編譯為另外一個(gè)可執(zhí)行文件����;另外,外部數(shù)據(jù)加載請(qǐng)求的監(jiān)聽���、是否允許或拒絕數(shù)據(jù)加載的判斷都由A級(jí)軟件實(shí)現(xiàn)�,而數(shù)據(jù)加載功能由D級(jí)軟件實(shí)現(xiàn)���;并且第二存儲(chǔ)單元內(nèi)還存儲(chǔ)有新的加載軟件飛機(jī)部件�,該新的加載軟件飛機(jī)部件包括OPS軟件或OPS配置表�,其通過現(xiàn)場(chǎng)加載的方式加載到第二存儲(chǔ)單元; 加載單元�����,其與第一存儲(chǔ)單元與第二存儲(chǔ)單元連接����,用以將第一存儲(chǔ)單元與第二存儲(chǔ)單元中不同的軟件或配置表加載到CPU的隨機(jī)存儲(chǔ)器中; 非易失性隨機(jī)存儲(chǔ)器單元���,其與加載單元連接����,設(shè)有熱啟動(dòng)標(biāo)志與數(shù)據(jù)加載標(biāo)志,該兩個(gè)標(biāo)志可被修改����; CPU隨機(jī)存儲(chǔ)器,與加載單元連接����,接收加載單元加載的軟件或配置表等并運(yùn)行; 內(nèi)存管理單元���,由引導(dǎo)軟件進(jìn)行設(shè)置�����,使CPU只能訪問CPU隨機(jī)存儲(chǔ)器和用于存放新的加載軟件飛機(jī)部件的第二存儲(chǔ)器中設(shè)定的地址范圍。
2.一種利用權(quán)利要求1所述的符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制系統(tǒng)對(duì)符合民用飛機(jī)不同軟件等級(jí)要求的軟件運(yùn)行控制方法�����,該方法包括如下步驟: 交換機(jī)上電后��,默認(rèn)運(yùn)行引導(dǎo)軟件,引導(dǎo)軟件讀到非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志為0����,則把第二存儲(chǔ)單元的A級(jí)OPS軟件和OPS配置表加載到CPU隨機(jī)存儲(chǔ)器中運(yùn)行,并進(jìn)入OPS模式�,在此模式下A級(jí)OPS軟件會(huì)監(jiān)聽外部數(shù)據(jù)加載請(qǐng)求;如果收到外部數(shù)據(jù)加載請(qǐng)求����,并且目前的條件允許接受外部數(shù)據(jù)加載,則A級(jí)OPS軟件會(huì)把非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志置1����,并寫一個(gè)值到非易失性隨機(jī)存儲(chǔ)器單元中的數(shù)據(jù)加載標(biāo)志里,然后復(fù)位重啟����;如果當(dāng)前條件不允許接受外部數(shù)據(jù)加載,則A級(jí)OPS軟件會(huì)拒絕外部數(shù)據(jù)加載請(qǐng)求���; 復(fù)位重啟后�,引導(dǎo)軟件再次運(yùn)行���,當(dāng)讀取到非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志為1���,并根據(jù)非易失性隨機(jī)存儲(chǔ)器單元中的數(shù)據(jù)加載標(biāo)志��,把第二存儲(chǔ)單元中的D級(jí)OPS軟件加載到CPU隨機(jī)存儲(chǔ)器運(yùn)行并進(jìn)入數(shù)據(jù)加載模式����;在運(yùn)行D級(jí)OPS軟件之前�,引導(dǎo)軟件通過內(nèi)存管理單元設(shè)置,使CPU只能訪問CPU隨機(jī)存儲(chǔ)器和用于存放新的加載軟件飛機(jī)部件的第二存儲(chǔ)單元地址范圍����,然后跳轉(zhuǎn)到已經(jīng)加載到CPU隨機(jī)存儲(chǔ)器的D級(jí)OPS軟件運(yùn)行;D級(jí)OPS軟件負(fù)責(zé)具體的數(shù)據(jù)加載���,將接收到的新的加載軟件飛機(jī)部件寫到上述內(nèi)存管理單元設(shè)置的第二存儲(chǔ)單元中存放新的加載軟件飛機(jī)部件的地址�����,把非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志置1��,并寫另一個(gè)值到非易失性隨機(jī)存儲(chǔ)器單元中的數(shù)據(jù)加載標(biāo)志里�,然后復(fù)位重啟����; 復(fù)位重啟后,引導(dǎo)軟件再次運(yùn)行����,它讀取非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志為.1,并根據(jù)非易失性隨機(jī)存儲(chǔ)器單元中的數(shù)據(jù)加載標(biāo)志�����,把A級(jí)OPS軟件加載到CPU隨機(jī)存儲(chǔ)器運(yùn)行并進(jìn)入OPS模式���,A級(jí)OPS軟件根據(jù)數(shù)據(jù)加載標(biāo)志的值得知有新的加載軟件飛機(jī)部件被接收到�,則A級(jí)OPS軟件對(duì)新的加載軟件飛機(jī)部件做CRC校驗(yàn)����,如果CRC校驗(yàn)通過,則把新的加載軟件飛機(jī)部件覆蓋到第二存儲(chǔ)單元中原來存放A級(jí)OPS軟件��、D級(jí)OPS軟件或OPS配置表的相應(yīng)的地址����,并發(fā)送數(shù)據(jù)加載成功的確認(rèn)幀到外部數(shù)據(jù)加載器,并把非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志清O并復(fù)位重啟��; 復(fù)位重啟后,引導(dǎo)軟件再次運(yùn)行�,讀取到非易失性隨機(jī)存儲(chǔ)器單元中的熱啟動(dòng)標(biāo)志為0,則把第二存儲(chǔ)單元A級(jí)OPS軟件和OPS配置`表加載到CPU隨機(jī)存儲(chǔ)器中運(yùn)行�����。
【文檔編號(hào)】G06F9/44GK103631591SQ201310628727
【公開日】2014年3月12日 申請(qǐng)日期:2013年11月29日 優(yōu)先權(quán)日:2013年11月29日
【發(fā)明者】潘超軍 申請(qǐng)人:中國(guó)航空無線電電子研究所