Método y producto de software para gestionar intercambio de datos en un sistema de seguridad crítico muy dinámico.

Un sistema de seguridad crítico muy dinámico (1) que comprende por lo menos un aparato electrónico (3),

por lomenos un dispositivo de interfaz hombre-máquina (7) diseñado para permitir que un usuario interactúe con por lomenos un aparato electrónico (3); y un dispositivo de procesamiento (5) conectado a por lo menos un aparatoelectrónico (3) y por lo menos un dispositivo de interfaz hombre-máquina (7) y programado para gestionarintercambio de datos en el sistema de seguridad crítico muy dinámico (1); en donde el dispositivo de procesamiento(5) se diseña para almacenar y ejecutar un programa de software de gestión de intercambio de datos con base enmódulos que incluye los siguientes módulos de software:

* una interfaz hombre- máquina (23) diseñada para visualizar el dispositivo de interfaz hombre-máquina (7);

* una interfaz de aparato (24) diseñada para visualizar el aparato electrónico (3);

* una base de datos compartida (25) diseñada para almacenar los datos que se van a compartir entre la interfazhombre- máquina (23) y la interfaz de aparato (24);

* un controlador (26) diseñado para gestionar el intercambio de los datos que se van a compartir entre la interfazhombre- máquina (23) y la interfaz de aparato (24); y

* un programador (28) diseñado para programar la operación de la interfaz hombre- máquina (23), la interfaz deaparato (24), la base de datos compartida (25) y el controlador (26);

en donde la interfaz hombre- máquina (23) comprende los siguientes módulos.

Método y producto de software para gestionar intercambio de datos en un sistema de seguridad crítico muy dinámico

Campo técnico

La presente invención se relaciona de manera general con el manejo de intercambio de datos en un sistema muy dinámico, a saber un sistema donde se requieren tiempos de ciclos de procesamiento de datos de menos de diezmilésimas de un segundo, que opera en un contexto crítico para seguridad de propiedad y por encima de todo para la seguridad personal, particularmente en un contexto donde están presentes diversas clases de dispositivos electrónicos, tales como, por ejemplo, ordenadores y equipos electrónicos para accionamiento, medición y control, visualización y monitoreo, y en los que se cargan aplicaciones de software, las fallas de los cuales, adicionalmente podrían producir daño considerable a la propiedad, también ponen en riesgo la vida humana.

Más en detalle, la presente invención se relaciona con un método y un producto de software para el manejo de utilización de datos entre los módulos de software productores de datos y los módulos de software consumidores de datos en un sistema muy dinámico que opera en un contexto crítico para seguridad personal y de propiedad.

La presente invención puede encontrar aplicación útil en innumerables sectores tecnológicos de los cuales, solamente por vía de ejemplo no limitativo, se puede mencionar el campo aeronáutico, y más específicamente sistemas de aviónica para aeronaves, el campo ferroviario, y más específicamente sistemas de manejo y control para trenes eléctricos de alta velocidad, en náutica, y más específicamente sistemas de manejo y control de hidroplanos, el campo de las centrales nucleares, y más específicamente el sistema de control para el núcleo del reactor, etc.

Técnica antecedente Como se conoce, los sistemas críticos de seguridad con altas dinámicas, en general, pueden incluir una pluralidad de aparatos electrónicos, tales como sensores y accionadores, y un sistema de control central, que comprenden a su vez una pluralidad de dispositivos de interfaz hombre-máquina (HMI) a través de los cuales un usuario, por ejemplo un operador de la plataforma de referencia (un piloto de la aeronave en el caso de una plataforma de avión) , puede interactuar con los equipos electrónicos, por ejemplo, para hacer selecciones o emitir comandos, por medio de un ordenador de control central a los equipos electrónicos y las interfaces hombre-máquina a través de un bus de comunicaciones.

Los aparatos electrónicos, tales como sensores y accionadores, y los dispositivos de interfaz de hombre-máquina intercambian datos a través de una aplicación de software, que se carga sobre el sistema de control central e implementa una relación directa de uso entre los módulos de gestión de software asociados con los dispositivos de interfaz de hombre-máquina y los módulos de gestión de software asociados con los aparatos correspondientes.

Una de las principales limitaciones de este tipo de mecanismo de intercambio de datos entre los módulos de gestión de software asociados con los dispositivos de interfaz de hombre-máquina y los módulos de gestión de software asociados con los aparatos electrónicos radica en el manejo de los accesos concurrentes y contradictorios a los datos del mismo módulo de gestión de software asociado con un aparato electrónico por diferentes módulos de gestión de software asociados con los respectivos dispositivos de interfaz hombre-máquina. Este problema se resuelve actualmente mediante el uso de técnicas de tipo de semáforo, a través de las cuales el acceso a los datos de un mismo módulo de software de gestión, asociado con un aparato electrónico, se habilitan a más de uno de los módulos de software de gestión, asociados con sus respectivos dispositivos de interferencia humana, sobre la base de pre-establecer prioridades.

El principal inconveniente inherente en utilizar relaciones directas de uso entre módulos de gestión de software asociados con los dispositivos de interfaz de hombre-máquina y los módulos de gestión de software asociados con los aparatos electrónicos reside en el hecho de que, en el caso que se agregue un nuevo aparato electrónico o un nuevo dispositivo de interfaz hombre-máquina, o incluso cuando se actualizan, es necesario tomar acción sobre ambas relaciones de uso que involucran estos módulos de gestión de software y sobre el manejo de acceso concurrente a los datos, haciendo así la aplicación de software insuficientemente flexible y haciendo los tiempos de desarrollo, validación y certificación de los aspectos críticos de seguridad extremadamente largos y onerosos.

En el campo de sistemas que se operan en contextos críticos de seguridad, se hacen incluso más complejos por los requerimientos solicitados para las aplicaciones en plataformas muy dinámicas, se percibe la necesidad de la creación de una arquitectura de software que permita que se logren los siguientes objetos de diseño:

• capacidad de implementar una pluralidad de dispositivos de interfaz de hombre-máquina y una variedad de sensores/accionadores a través de una abertura y configuración modular, donde el número de dispositivos de interfaz de hombre-máquina y el número de sensores/accionadores son funciones del nivel de seguridad, y por lo tanto del nivel de redundancia, solicitado por la plataforma bajo el desarrollo,

• comunicación entre una pluralidad de dispositivos de interfaz de hombre-máquina y sensores/accionadores que se logra a través de una pluralidad de instancias de una clase de software igual, únicamente definido,

• desacoplamiento de la arquitectura de software entre la pluralidad de dispositivos de interfaz de hombre-máquina y la pluralidad de sensores/accionadores que permite alta capacidad de mantenimiento de la aplicación de software y facilidad de expansión,

• capacidad de resolver posibles conflictos de acceso para las estructuras de datos compartidos, que se pueden lograr a través de una matriz de regla/prioridad, y

• una aplicación de software de conformidad con los requerimientos de procesos necesarios para apoyar los procesos de certificación asociados con aplicación de software crítico de seguridad, de acuerdo con el estándar RTCA-D0178B en el caso específico de una aeronave.

F. BUSCHMANN, R. MEUNIER, H. ROHNERT, P. SOMMERLAD, M. STAHL: “Pattern-Oriented Software Architecture Vol. 1 A System of Patterns” 30 de septiembre 1996 (1996-09-30) , JOHN WILEY & SONS, GREAT BRITAIN, describe una arquitectura de software orientada a patrón diseñada para aplicaciones que necesitan interfaces de usuario flexibles y extensibles, o aplicaciones que proporcionan servicios relacionados con la ejecución de las funciones de usuario, tales como programar o deshacer. Se propone una solución en donde un patrón de diseño de Procesador de Comando separa una solicitud para un servicio desde su ejecución. Un componente de procesador de comando gestiona la solicitud como objetos separados, programa su ejecución, y proporciona servicios adicionales tales como el almacenamiento de objetos de solicitud para deshacerlos más adelante.

D. SCHMIDT, M. STAHL, H. ROHNERT, F. BUSCHMANN: “Pattern-Oriented Software Architecture Vol. 2 Patterns for Concurrent and Networked Objects” 31 de enero 2000 (2000-01-31) , JOHN WILEY & SONS, GREAT BRITAIN describe una arquitectura de software orientada a patrón diseñada para aplicaciones que contienen objetos cuyos métodos se solicitan simultáneamente mediante múltiples subprocesos de cliente y a menudo modifican el estado de sus objetos, en donde para dichas ejecutar correctamente aplicaciones simultáneas, es necesario sincronizar y programar el acceso a los objetos. Se propone una solución en donde un patrón de diseño de Objeto de Monitor actualmente sincroniza la ejecución del método para asegurar que solo un método en un momento se ejecuta dentro de un objeto. También permite que los métodos del objeto programen de forma cooperativa sus secuencias de ejecución.

Descripción de la invención El propósito de la presente invención es proporcionar una arquitectura de software para gestión de intercambio de datos en un sistema muy dinámico, a saber un sistema donde se requieren tiempos de ciclos de procesamiento de datos de menos de diezmilésimas de un segundo, que operen en un contexto crítico para seguridad personal y de propiedad, que permite que los inconvenientes de los sistemas conocidos se superen de manera general, por lo menos en parte, y, más específicamente, para alcanzar los objetivos de diseño indicados anteriormente.

De acuerdo con la presente invención se proporcionan... [Seguir leyendo]

1. Un sistema de seguridad crítico muy dinámico (1) que comprende por lo menos un aparato electrónico (3) , por lo menos un dispositivo de interfaz hombre-máquina (7) diseñado para permitir que un usuario interactúe con por lo menos un aparato electrónico (3) ; y un dispositivo de procesamiento (5) conectado a por lo menos un aparato electrónico (3) y por lo menos un dispositivo de interfaz hombre-máquina (7) y programado para gestionar intercambio de datos en el sistema de seguridad crítico muy dinámico (1) ; en donde el dispositivo de procesamiento (5) se diseña para almacenar y ejecutar un programa de software de gestión de intercambio de datos con base en módulos que incluye los siguientes módulos de software:

• una interfaz hombre- máquina (23) diseñada para visualizar el dispositivo de interfaz hombre-máquina (7) ;

• una interfaz de aparato (24) diseñada para visualizar el aparato electrónico (3) ;

• una base de datos compartida (25) diseñada para almacenar los datos que se van a compartir entre la interfaz hombre- máquina (23) y la interfaz de aparato (24) ;

• un controlador (26) diseñado para gestionar el intercambio de los datos que se van a compartir entre la interfaz hombre- máquina (23) y la interfaz de aparato (24) ; y

• un programador (28) diseñado para programar la operación de la interfaz hombre- máquina (23) , la interfaz de aparato (24) , la base de datos compartida (25) y el controlador (26) ;

en donde la interfaz hombre- máquina (23) comprende los siguientes módulos:

• un administrador de interfaz (29) para cada dispositivo de interfaz hombre-máquina (7) y diseñado para establecer una comunicación entre el dispositivo de interfaz hombre-máquina respectivo (7) y la base de datos compartida (25) ; y

• un administrador de selección (30) diseñado para gestionar selecciones hechas por un usuario; en donde cada administrador de interfaz (29) se diseña para:

-adquirir una entrada de datos (31) en el dispositivo de interfaz correspondiente hombre-máquina (7) ;

-enviar la entrada de datos (31) al administrador de selección (30) ;

- adquirir los datos (36, 37) almacenados en la base de datos compartida (25) para el dispositivo de interfaz hombremáquina respectivo (7) ; e

-ingresar los datos adquiridos en el dispositivo de interfaz hombre-máquina respectivo (7) ; y en donde el administrador de selección (30) se diseña para:

-recopilar las entradas de datos (31) hechas en el dispositivo de interfaz hombre- máquina (7) ; y

- enviar las entradas de datos recopilados al controlador (26) ; en donde el controlador (26) comprende el siguiente módulo:

• un traductor (32) diseñado para:

-adquirir una entrada de datos (31) enviada por el administrador de selección (30) ;

-validar la entrada de datos adquirida (31) de acuerdo con un estado operacional actual del sistema de seguridad crítico muy dinámico (1) ;

-transformar la entrada de datos adquirida (31) en un comando (33) para el aparato electrónico (7) ; y

-almacenar el comando (33) en la base de datos compartida (25) para que esté disponible para la interfaz de aparato (24) ;

y en donde la interfaz de aparato (24) comprende el siguiente módulo:

• un administrador de aparato (35) para cada aparato electrónico (3) y diseñado para establecer una comunicación entre el aparato electrónico respectivo (3) y la base de datos compartida (25) ; en donde cada administrador de aparato (35) se diseña para:

-adquirir un comando (33) almacenado en la base de datos compartida (25) para el aparato electrónico respectivo (3) ;

-legalizar el comando adquirido (33) en el aparato electrónico respectivo (3) ; y

-generar y almacenar en la base de datos compartida (25) los datos que se relacionan con la operación del aparato electrónico respectivo (3) y/o del sistema de seguridad crítico muy dinámico (1) para que esté disponible a la interfaz hombre- máquina (23) ;

por lo cual la gestión de intercambio de programa de software de datos se convierte en configurable de tal manera que una adición de un aparato electrónico (3) o del dispositivo de interfaz hombre-máquina (7) requiere una adición de un administrador de aparato respectivo (35) o de un administrador de interfaz (29) y posiblemente la actualización de cartografía entre las entradas de datos (31) y comandos (33) en el traductor (32) , en la medida en que no se tengan que modificar las relaciones de uso entre la interfaz hombre- máquina (23) , la base de datos compartida (25) , y el controlador (26) .

2. El sistema de la reivindicación 1, en donde el administrador de selección (35) se diseña adicionalmente para:

-resolver los accesos concurrentes en conflicto con el aparato electrónico (3) .

3. El sistema de las reivindicaciones 1 o 2, en donde cada administrador de aparato (35) se diseña adicionalmente para:

-gestionar apropiadamente los conflictos entre comandos (33) y restricciones operativas del aparato electrónico (3) ; y

- en caso de conflictos entre comandos (33) y restricciones operativas del aparato electrónico (3) , modificar la ejecución de los comandos (33) de acuerdo con lo anterior en base a criterios predefinidos, y modificar los datos (36, 37) almacenados en la base de datos compartida (25) y afectados por la modificación de la ejecución de los comandos (33) .

4. El sistema de cualquier reivindicación precedente, en donde la base de datos compartida (25) comprende los siguientes módulos:

• un almacenamiento de aparato (38) diseñado para almacenar comandos (33) y datos (36) que se relacionan con el aparato electrónico (3) ; y

• un almacenamiento de sistema inicuamente de (39) para almacenar datos (37) que se relaciona con el sistema de seguridad crítico muy dinámico (1) .

5. El sistema de cualquier reivindicación precedente, en donde el programador (28) se diseña para operar de forma secuencial:

• la interfaz hombre- máquina (23) para adquirir una entrada de datos (31) hecha en un dispositivo de interfaz hombre-máquina (7) ;

• el controlador (26) para adquirir y transformar la entrada de datos (31) en un comando (33) para un aparato electrónico (3) y enviar el comando (33) a la base de datos compartida (25) ;

• la base de datos compartida (25) para almacenar el comando (33) para hacerlo disponible a la interfaz de aparato (24) ;

• la interfaz de aparato (24) para adquirir el comando (33) desde la base de datos compartida (25) y ejecutarlo en el aparato electrónico (3) ; y

• la interfaz hombre- máquina (23) para adquirir parámetros (36, 37) almacenados en la base de datos compartida

(25) y visualizarlos en el dispositivo de interfaz hombre-máquina (7) .

PROGRAMADOR

INTERFAZ DE

CONTROLADORINTEFAZ DEAPARATO HOMBRE-MÁQUINA TRADUCTOR

SELECCIONES SELECCIONES

COMANDOS

NAVEGADOR

BASE DE DATOS COMPARTIDOS

COMANDOS

VALORES ACTUALES

VALORES ACTUALES

VALORES ACTUALES VALORES ACTUALES