專利名稱：：安全航空電子設(shè)備以及相關(guān)的安全方法安全航空電子設(shè)備以及相關(guān)的安全方法本發(fā)明的領(lǐng)域是航空電子設(shè)備領(lǐng)域。更確切地說(shuō)，本發(fā)明涉及飛機(jī)的機(jī)載設(shè)備，其提供與用于支持飛機(jī)內(nèi)部通信的航空電子網(wǎng)絡(luò)的通信接口，例如，用于ARINC664航空電子網(wǎng)絡(luò)(尤其是AFDX全雙工航空電子網(wǎng)絡(luò))的通信接口，或者CAN總線、USB或HDLC式接口。迄今為止，航空電子系統(tǒng)包括越來(lái)越智能化的傳感器或執(zhí)行機(jī)構(gòu)類型的遙控設(shè)備。尤其涉及到關(guān)鍵的飛行控制設(shè)備，例如電磁活門，其不僅由中央控制器控制，而且還適于產(chǎn)生用于中央控制器的傳動(dòng)比。因此，一般來(lái)說(shuō)，航空電子設(shè)備執(zhí)行關(guān)鍵性功能，其在于提供未檢測(cè)到的可能對(duì)飛機(jī)及其乘員的安全造成災(zāi)難性后果的故障信息。在本發(fā)明的應(yīng)用方面，關(guān)鍵功能尤其由下述航空參考文獻(xiàn)加以確定CS25.1309/ARP-4754/D0-254/D0-178B。迄今為止，通常的做法是研制執(zhí)行AFDX全雙工航空電子設(shè)備接口功能的ASIC(或FPGA、PLD)類型的專用電子部件，這種部件連接于處理器，處理器還執(zhí)行設(shè)備的其它功能，尤其是關(guān)鍵功能。但是，該解決方案很復(fù)雜，成本高，因?yàn)楸仨氀兄艫SIC部件，以確保良好的設(shè)計(jì)保險(xiǎn)指標(biāo)(D0-254技術(shù)規(guī)格的指標(biāo)A和B)。本發(fā)明旨在提出可克服該缺陷的技術(shù)，可更為簡(jiǎn)單和成本不太高地執(zhí)行AFDX全雙工航空電子設(shè)備接口的功能，而完全確保航空電子系統(tǒng)的安全性。為此，本發(fā)明提出一種電子設(shè)備，其包括處理器、存儲(chǔ)器和通信組件，通信組件確保與航空電子數(shù)據(jù)網(wǎng)絡(luò)的接口，其特征在于，通信組件和處理器裝在微控制器中，以致存儲(chǔ)器為處理器和通信組件之間所共有，其特征還在于，它還包括監(jiān)控存儲(chǔ)器訪問(wèn)的監(jiān)控組件，其配置成檢測(cè)通信組件在存儲(chǔ)器的非授權(quán)地址區(qū)的訪問(wèn)。該設(shè)備的一些優(yōu)選的但為非限制性的方面如下-監(jiān)控組件配置成在通信組件對(duì)非授權(quán)地址區(qū)進(jìn)行寫訪問(wèn)的情況下，觸發(fā)中斷和重置微控制器；-非授權(quán)地址區(qū)相應(yīng)于為處理器上執(zhí)行的軟件保留的地址區(qū)；-非授權(quán)地址區(qū)在設(shè)計(jì)電子設(shè)備時(shí)預(yù)先確定；-處理器和通信組件用公共總線連接于存儲(chǔ)器；-處理器包括存儲(chǔ)器管理單元，其負(fù)責(zé)處理器所要求的主存儲(chǔ)器的訪問(wèn)；-通信組件提供與航空電子網(wǎng)絡(luò)的AFDX全雙工航空電子設(shè)備接口；-處理器配置成在來(lái)自于通信組件的數(shù)據(jù)在航空電子網(wǎng)絡(luò)上傳輸之前，計(jì)算這些數(shù)據(jù)的幀的檢驗(yàn)和；-監(jiān)控組件是根據(jù)D0-254技術(shù)規(guī)格的電子裝置；以及-處理器的程序設(shè)計(jì)成根據(jù)D0-254技術(shù)規(guī)格執(zhí)行關(guān)鍵性功能。根據(jù)第二方面，本發(fā)明涉及電子設(shè)備的安全方法，所述電子設(shè)備包括處理器和確保與航空電子數(shù)據(jù)網(wǎng)絡(luò)的接口的通信組件，處理器和通信組件裝在微控制器中，以致其共用同一存儲(chǔ)器，所述方法包括監(jiān)控共有的存儲(chǔ)器的訪問(wèn)，以檢測(cè)通信組件在非授權(quán)地址區(qū)的訪問(wèn)。根據(jù)下面參照附圖對(duì)作為非限制性實(shí)施例給出的優(yōu)選實(shí)施方式的詳細(xì)說(shuō)明，本發(fā)明的其它特征、目的和優(yōu)越性將得到更好的理解，附圖如下圖1是示出根據(jù)本發(fā)明的第一方面的一可行實(shí)施方式的設(shè)備的示意圖；圖2示出根據(jù)本發(fā)明的第一方面的一可行實(shí)施方式的設(shè)備的通信組件所進(jìn)行的存儲(chǔ)器訪問(wèn)；圖3是原理示意圖，示出用于安裝在根據(jù)本發(fā)明的第一方面的設(shè)備中監(jiān)控存儲(chǔ)器訪問(wèn)的監(jiān)控組件的一可行實(shí)施方式。根據(jù)第一方面，本發(fā)明涉及一種設(shè)備，其包括處理器、存儲(chǔ)器和通信組件，確保與航空電子網(wǎng)絡(luò)的通信接口。根據(jù)本發(fā)明，其提出集中與航空電子網(wǎng)絡(luò)(在后述的本發(fā)明的非限制性實(shí)施例中為AFDX全雙工航空電子設(shè)備網(wǎng)絡(luò))的接口功能，在同一個(gè)微控制器類型的部件上具有航空電子設(shè)備的其它功能，AFDX全雙工航空電子設(shè)備的功能被授權(quán)給微控制器的復(fù)雜的內(nèi)部專用外圍設(shè)備。因此，根據(jù)本發(fā)明的第一方面的設(shè)備包括通信組件(負(fù)有AFDX全雙工航空電子設(shè)備接口功能)和處理器(負(fù)有設(shè)備的其它功能尤其是關(guān)鍵功能)，兩者都裝在同一個(gè)微控制器類型的部件中。圖1示出根據(jù)本發(fā)明的第一方面的航空電子設(shè)備的原理示意圖。所述設(shè)備尤其包括裝有處理器芯體2的微控制器1、用于確保與航空電子網(wǎng)絡(luò)接口的通信組件3、以及尤其裝有存儲(chǔ)器控制器和總線控制器的接口單元10。微控制器1例如是Freescale公司的MPC8270微控制器。在與該MPC8270微控制器相關(guān)的術(shù)語(yǔ)中，處理器稱為處理器芯片(“PowerPC芯片”)，通信組件稱為通信處理器組件。應(yīng)當(dāng)指出，圖1僅示出理解本發(fā)明所需的微控制器1的構(gòu)件。通信組件3尤其包括RAM型存儲(chǔ)器4，例如DPRAM存儲(chǔ)器(雙信道隨機(jī)訪問(wèn)存儲(chǔ)器)，以及通信處理器5，其配有微處理器和ROM型或RAM型存儲(chǔ)器6，限定通信組件3工作的微代碼存儲(chǔ)在其中。在這里示出的實(shí)施方式中，通信組件3的兩個(gè)Ethernet控制器7a、7b(通常是快速通信控制器FCC)用于實(shí)現(xiàn)與AFDX全雙工航空電子設(shè)備網(wǎng)絡(luò)的接口操作。Ethernet控制器7a、7b通過(guò)接口8(例如，如EthernetIEEE802.3標(biāo)準(zhǔn)規(guī)定的媒體獨(dú)立MII接口，特別是通過(guò)信道FCC的MII接口)，與收發(fā)組件9a、9b(例如若是AFDX全雙工航空電子設(shè)備總線則為L(zhǎng)XT973型的)通信。系統(tǒng)接口單元10通過(guò)存儲(chǔ)器總線12連接于主存儲(chǔ)器11，主存儲(chǔ)器11例如為RAM型存儲(chǔ)器。應(yīng)當(dāng)指出，處理器2還包括存儲(chǔ)器管理單元MMU，其負(fù)責(zé)處理器2所要求的主存儲(chǔ)器11的訪問(wèn)，確保在處理器芯片2上軟件操作的框架內(nèi)本發(fā)明的應(yīng)用領(lǐng)域所需的安全等級(jí)。所述操作總體上如下-AFDX全雙工航空電子設(shè)備數(shù)據(jù)幀通過(guò)處理器2在主存儲(chǔ)器11中寫或讀；-AFDX全雙工航空電子設(shè)備數(shù)據(jù)幀由通信組件3通過(guò)由通信組件3啟動(dòng)的直接訪問(wèn)存儲(chǔ)器DMA，在主存儲(chǔ)器11中寫或讀；-處理器2和通信組件3在系統(tǒng)接口單元10的總線控制器的控制下，共用總線12；-交換由存儲(chǔ)在主存儲(chǔ)器中的幀描述符控制。更確切地說(shuō)，對(duì)于每個(gè)Ethernet控制器7a、7b(圖2中標(biāo)以FCCl和FCC2)來(lái)說(shuō)，幀在通信組件中配置在RAM型存儲(chǔ)器4中，以對(duì)應(yīng)于主存儲(chǔ)器11中的緩存描述符表(圖2中的“BD表”)，緩存描述符表尤其包括指向主存儲(chǔ)器11中接收的或待傳輸?shù)腁FDX全雙工航空電子設(shè)備幀存儲(chǔ)在其中的緩存表(圖2中為“Buffertable(緩存表)”)的指針域；-只有指向主存儲(chǔ)器中緩存描述符表的地址的指針存儲(chǔ)在通信組件3的RAM存儲(chǔ)器4中(不由誤差校正碼ECC保護(hù))。在本發(fā)明的應(yīng)用方面，微控制器1(例如Freescale公司的MPC8270微控制器)的處理器2不需要特殊的調(diào)整實(shí)際上，從確認(rèn)的角度看，處理器由其支持的軟件的檢驗(yàn)(DO178B標(biāo)準(zhǔn))加以驗(yàn)證。相反，通信組件3并不布置成確保設(shè)計(jì)保險(xiǎn)。實(shí)際上，限定通信組件工作的微代碼由微控制器的設(shè)計(jì)者研制。不過(guò)，設(shè)計(jì)者既不提供通信組件調(diào)整的支持，也不提供設(shè)備方面、微代碼方面的支持，以致通信組件3是一個(gè)其研制保險(xiǎn)指標(biāo)由于缺少資料而并不公知的組件；因此，航空電子學(xué)驗(yàn)證方面“復(fù)雜組件”的調(diào)整難以獲得。因此，待解決的問(wèn)題之一是確保通信組件3的異常和故障對(duì)系統(tǒng)的安全沒(méi)有災(zāi)難性的影響。實(shí)際上，如前所示，處理器2和通信組件3通過(guò)公共總線12連接于主存儲(chǔ)器11。因此，通信組件3的故障方式可導(dǎo)致在存儲(chǔ)器11的非所需訪問(wèn)，因此，處理器2所使用的存儲(chǔ)在存儲(chǔ)器11中的數(shù)據(jù)或編碼會(huì)發(fā)生變化。如果處理器2執(zhí)行關(guān)鍵性功能，那么，該故障方式可對(duì)航空電子系統(tǒng)的安全造成災(zāi)難性影響，因?yàn)樘幚砥?沒(méi)有任何檢測(cè)其編碼或數(shù)據(jù)的這種變化的裝置。因此，力求防止通信組件3的這種故障方式對(duì)航空電子系統(tǒng)的安全的影響。這里，應(yīng)當(dāng)指出，全雙工航空電子設(shè)備幀的接收后面不予說(shuō)明，因?yàn)锳FDX全雙工航空電子設(shè)備數(shù)據(jù)的丟失或錯(cuò)誤的AFDX全雙工航空電子設(shè)備數(shù)據(jù)的接收被視為對(duì)航空電子系統(tǒng)的安全沒(méi)有影響。圖2示出主存儲(chǔ)器11，其例如由通信組件3示出。存儲(chǔ)器11分成兩個(gè)程序塊-非授權(quán)區(qū)12通信組件3在該區(qū)12的訪問(wèn)相應(yīng)于通信組件3失去功用或指針變化所引起的錯(cuò)誤；_授權(quán)區(qū)13，其包含通信組件3處理的數(shù)據(jù)。這些區(qū)域尤其必須在設(shè)計(jì)航空電子設(shè)備時(shí)預(yù)先確定。優(yōu)選地，存儲(chǔ)器11的非授權(quán)區(qū)12相應(yīng)于存儲(chǔ)器11的為處理器2所保留的單元。因此，處理器2使用的程序和數(shù)據(jù)用于存儲(chǔ)在該非授權(quán)區(qū)12中。在圖2中-用箭頭14示出數(shù)據(jù)通信組件3在存儲(chǔ)器11的授權(quán)區(qū)13的正常訪問(wèn)；-用箭頭15示出數(shù)據(jù)通信組件3在存儲(chǔ)器11的非授權(quán)區(qū)12的異常訪問(wèn)；-用箭頭15示出數(shù)據(jù)通信組件3由于意外情況或破壞的指針而在存儲(chǔ)器11的授權(quán)區(qū)13的異常訪問(wèn)。根據(jù)本發(fā)明，如圖1所示，根據(jù)本發(fā)明的第一方面的設(shè)備還包括監(jiān)控主存儲(chǔ)器11的訪問(wèn)的監(jiān)控組件17，其被配置成檢測(cè)通信組件3在非授權(quán)地址區(qū)12的訪問(wèn)。因此，組件17被配置成檢測(cè)在主存儲(chǔ)器11的非授權(quán)區(qū)12的所有異常訪問(wèn)(圖2中的訪問(wèn)15)。組件17可使用監(jiān)控微控制器外部的硬件監(jiān)控機(jī)構(gòu)。主存儲(chǔ)器11訪問(wèn)的監(jiān)控組件17在寫入存儲(chǔ)器11之前監(jiān)控?cái)?shù)據(jù)來(lái)源，并分析存儲(chǔ)地址，以檢測(cè)組件(這里是通信組件3)在非授權(quán)區(qū)的可能尋址。因此，主存儲(chǔ)器11訪問(wèn)的監(jiān)控組件17監(jiān)控通信組件3的情況，如處理器2和通信組件3之間所共用的總線12—側(cè)所示。組件17尤其可配置成在非授權(quán)地址區(qū)12寫時(shí)，在通信組件3訪問(wèn)的情況下觸發(fā)中斷。處理器2可配置成在監(jiān)控組件觸發(fā)中斷時(shí)產(chǎn)生異常。組件17也可配置成在非授權(quán)地址區(qū)12寫時(shí)通信組件3訪問(wèn)的情況下，使處理器2的整個(gè)功能復(fù)原。通信功能也可復(fù)原，以切斷輸出信道，防止傳輸任何可能是錯(cuò)誤的數(shù)據(jù)。當(dāng)非授權(quán)區(qū)12相應(yīng)于處理器2使用的編碼和數(shù)據(jù)時(shí)，應(yīng)當(dāng)指出，本發(fā)明可檢測(cè)通信組件3的故障情況，其故障會(huì)改變處理器2使用的編碼和數(shù)據(jù)，從而改變處理器2所執(zhí)行的關(guān)鍵功能。根據(jù)一可行的實(shí)施方式，主存儲(chǔ)器11訪問(wèn)的監(jiān)控組件17監(jiān)控處理代碼TC信號(hào)和微控制器1的地址，在監(jiān)測(cè)到下面的邏輯方程時(shí)產(chǎn)生中斷-處理代碼相應(yīng)于通信組件3的訪問(wèn)請(qǐng)求；以及_存儲(chǔ)器以寫方式尋址；以及_被尋址的存儲(chǔ)器區(qū)在授權(quán)區(qū)13之外，以進(jìn)行來(lái)自通信組件3的處理。優(yōu)選地，存儲(chǔ)器訪問(wèn)的監(jiān)控組件17是可編程的組件(PLD組件)，其根據(jù)D0-254技術(shù)規(guī)格的指標(biāo)A研制起來(lái)特別簡(jiǎn)單。因此，研制該組件所需的資源是組合邏輯系統(tǒng)、由單個(gè)時(shí)鐘控制的鎖，不使用狀態(tài)機(jī)。圖3是這種可編程組件的一實(shí)施方式的工作原理圖。該組件具有第一觸發(fā)器18，其尤其在輸入端I接收在微控制器1和主存儲(chǔ)器11之間的共有總線12上通過(guò)的信號(hào)。時(shí)鐘信號(hào)CK提供給第一觸發(fā)器18，以致其在時(shí)鐘信號(hào)前沿上復(fù)制輸入信號(hào)(從而使在共有總線上通過(guò)的信號(hào)標(biāo)準(zhǔn)化，尤其是使對(duì)應(yīng)于通信組件在主存儲(chǔ)器訪問(wèn)的信號(hào)標(biāo)準(zhǔn)化)。復(fù)制的輸入信號(hào)例如應(yīng)用上述邏輯方程提供給地址解碼組件19，以提供可能在授權(quán)區(qū)之外進(jìn)行寫訪問(wèn)的預(yù)警輸出信號(hào)。該輸出信號(hào)提供給第二觸發(fā)器20，其以由時(shí)鐘信號(hào)CK限定的速度進(jìn)行復(fù)制，以提供表示尋址可能錯(cuò)誤的輸出信號(hào)S。根據(jù)本發(fā)明的一優(yōu)選實(shí)施方式，實(shí)施第二安全機(jī)構(gòu)，以防通信組件3出現(xiàn)任何故障，導(dǎo)致AFDX全雙工航空電子設(shè)備幀錯(cuò)誤的傳輸。尤其涉及到防止通信組件3例如由于通信組件3的設(shè)計(jì)錯(cuò)誤而在主存儲(chǔ)器11的授權(quán)區(qū)13的任何異常訪問(wèn)(圖2中的訪問(wèn)16)。為此，處理器2配置成對(duì)來(lái)自通信組件3的數(shù)據(jù)幀在其在航空電子網(wǎng)絡(luò)上傳輸之前計(jì)算檢驗(yàn)和(例如通過(guò)周期性冗余檢驗(yàn)CRC)。這樣，通信組件3改變的幀可由與根據(jù)本發(fā)明的第一方面的設(shè)備連接的裝置，通過(guò)AFDX全雙工航空電子設(shè)備網(wǎng)絡(luò)予以檢測(cè)。最后，應(yīng)當(dāng)理解，本發(fā)明不限于根據(jù)第一方面的設(shè)備，而是也涵蓋了電子設(shè)備的安全方法，所述電子設(shè)備包括處理器和確保與航空電子數(shù)據(jù)網(wǎng)絡(luò)的接口的通信組件，處理器和通信組件裝在微控制器中，以致其共用同一存儲(chǔ)器，所述方法包括使用監(jiān)控共有存儲(chǔ)器訪問(wèn)的監(jiān)控組件，以檢測(cè)通信組件在非授權(quán)地址區(qū)的訪問(wèn)。權(quán)利要求1.電子設(shè)備，包括處理器O)、存儲(chǔ)器(11)和通信組件(3)，所述通信組件C3)確保與航空電子數(shù)據(jù)網(wǎng)絡(luò)的接口，其特征在于，所述通信組件C3)和處理器(裝在微控制器(1)中，以致存儲(chǔ)器(11)為處理器和通信組件之間所共用，其特征還在于，所述電子設(shè)備還包括監(jiān)控存儲(chǔ)器(17)的訪問(wèn)的監(jiān)控組件，所述監(jiān)控組件被配置成檢測(cè)通信組件C3)在存儲(chǔ)器(11)的非授權(quán)地址區(qū)(12)的訪問(wèn)。2.根據(jù)權(quán)利要求1所述的設(shè)備，其特征在于，所述監(jiān)控組件(17)被配置成在通信組件(3)對(duì)非授權(quán)地址區(qū)進(jìn)行寫入訪問(wèn)的情況下，觸發(fā)中斷并重置微控制器。3.根據(jù)權(quán)利要求1至2中之一所述的設(shè)備，其特征在于，所述非授權(quán)地址區(qū)對(duì)應(yīng)于在處理器上執(zhí)行的軟件所保留的地址區(qū)。4.根據(jù)權(quán)利要求1至3中之一所述的設(shè)備，其特征在于，所述非授權(quán)地址區(qū)在設(shè)計(jì)所述電子設(shè)備時(shí)預(yù)先確定。5.根據(jù)權(quán)利要求1至4中之一所述的設(shè)備，其特征在于，所述處理器和通信組件通過(guò)公共總線(1連接到所述存儲(chǔ)器。6.根據(jù)權(quán)利要求1至5中之一所述的設(shè)備，其特征在于，所述處理器包括存儲(chǔ)器管理單元，其負(fù)責(zé)處理器所要求的主存儲(chǔ)器的訪問(wèn)。7.根據(jù)權(quán)利要求1至6中之一所述的設(shè)備，其特征在于，所述通信組件提供與航空電子網(wǎng)絡(luò)的AFDX全雙工航空電子設(shè)備接口。8.根據(jù)權(quán)利要求1至7中之一所述的設(shè)備，其特征在于，所述處理器被配置成對(duì)來(lái)自所述通信組件的數(shù)據(jù)幀在其在航空電子網(wǎng)絡(luò)上傳輸之前計(jì)算檢驗(yàn)和。9.根據(jù)權(quán)利要求1至8中之一所述的設(shè)備，其特征在于，所述監(jiān)控組件是根據(jù)D0-2M技術(shù)規(guī)格的簡(jiǎn)單的電子裝置。10.根據(jù)權(quán)利要求1至9中之一所述的設(shè)備，其特征在于，所述處理器被編程為根據(jù)D0-254技術(shù)規(guī)格執(zhí)行關(guān)鍵性功能。11.電子設(shè)備的安全方法，所述電子設(shè)備包括處理器和確保與航空電子數(shù)據(jù)網(wǎng)絡(luò)的接口的通信組件，所述處理器和通信組件裝在微控制器中，以致其共用同一存儲(chǔ)器，所述方法包括使用監(jiān)控組件，監(jiān)控對(duì)共用存儲(chǔ)器的訪問(wèn)，以檢測(cè)通信組件在非授權(quán)地址區(qū)的訪問(wèn)。全文摘要本發(fā)明根據(jù)第一方面涉及電子設(shè)備，其包括處理器(2)、存儲(chǔ)器(11)和通信組件(3)，所述通信組件(3)確保與航空電子數(shù)據(jù)網(wǎng)絡(luò)的接口，其特征在于，通信組件(3)和處理器(2)裝在微控制器(1)中，以致存儲(chǔ)器(11)為處理器和通信組件之間所共有，其特征還在于，它還包括監(jiān)控組件，其監(jiān)控存儲(chǔ)器(17)的訪問(wèn)，并且被配置成檢測(cè)通信組件(3)在存儲(chǔ)器(11)的非授權(quán)地址區(qū)(12)的訪問(wèn)。根據(jù)第二方面，本發(fā)明涉及處理器的安全方法，以防復(fù)雜的外圍設(shè)備出現(xiàn)故障。文檔編號(hào)H04L12/54GK102217250SQ200980145972公開(kāi)日2011年10月12日申請(qǐng)日期2009年11月6日優(yōu)先權(quán)日2008年11月17日發(fā)明者艾迪恩尼·拉巴里,菲利普·沃戈騰伯格爾申請(qǐng)人:薩熱姆防務(wù)安全公司