UN PROCEDIMIENTO PARA ASEGURAR LA FUNCION DE SALVAGUARDAR EN UN SISTEMA ELECTRICO DE UN VEHICULO, Y SISTEMA ELECTRICO CORRESPONDIENTE.
Un sistema eléctrico para un vehículo, que comprende:
- un portador (3) de información digital para transferencia de datos digitales;
- un primer dispositivo (1) de computación, dispuesto para ejecutar un primer software (P1) de aplicación instalado en el primer dispositivo (1) de computación, y
- un segundo dispositivo (2) de computación dispuesto para ejecutar un segundo software (P2) de aplicación, diferente de dicho primer software (P1) de aplicación, instalado en el segundo dispositivo de computación y que comprende además un software (P1') de aplicación de salvaguarda instalado en el segundo dispositivo (2) de computación, idéntico al primer software (P1) de aplicación, en el que el segundo dispositivo (2) de computación está configurado para iniciar una ejecución del software (P1') de aplicación de salvaguarda instalado, cuando se produce un error en el primer dispositivo (1) de computación, en paralelo con la ejecución del segundo software (P2) de aplicación, con lo que el primer y el segundo dispositivos de computación comprenden un sistema operativo de partición dispuesto para dividir la memoria y el tiempo de CPU entre particiones asignadas estáticamente de una manera fija, de manera que cada partición tenga una cierta cantidad de memoria y de tiempo de CPU asignada a la misma, que no puede ser incrementada ni disminuida, y con lo que el primer software (P1) de aplicación, el segundo software (P2) de aplicación y el software (P1') de aplicación de salvaguarda están dispuestos para ser ejecutados en particiones separadas
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E06126461.
Solicitante: SAAB AB.
Nacionalidad solicitante: Suecia.
Dirección: KVARNSTIGEN 3,SE-61633, ABY.
Inventor/es: JANSSON,TOMAS, HOLMLUND,LARS.
Fecha de Publicación: .
Fecha Solicitud PCT: 19 de Diciembre de 2006.
Fecha Concesión Europea: 16 de Junio de 2010.
Clasificación Internacional de Patentes:
- G06F11/20P4
Clasificación PCT:
- G06F11/20 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › G06F 11/00 Detección de errores; Corrección de errores; Monitorización (detección, corrección o monitorización de errores en el almacenamiento de información basado en el movimiento relativo entre el soporte de registro y el transductor G11B 20/18; monitorización, es decir, supervisión del progreso del registro o reproducción G11B 27/36; en memorias estáticas G11C 29/00). › utilizando un enmascaramiento activo del defecto, p. ej. desconectando los elementos debilitados o insertando los elementos de recambio.
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia, Ex República Yugoslava de Macedonia, Albania.
Fragmento de la descripción:
Un procedimiento para asegurar la función de salvaguardar en un sistema electrónico de un vehículo, y sistema eléctrico correspondiente.
Campo de la invención
La presente invención se refiere a un procedimiento para asegurar la función de salvaguarda en un sistema eléctrico, y a un sistema eléctrico para un vehículo. Específicamente, la presente invención se refiere a un sistema eléctrico redundante con una función de salvaguarda de acuerdo con el preámbulo de las reivindicaciones 1 y 9 independientes anexas.
Antecedentes de la invención
En el campo de la aviónica, siempre ha sido de alta prioridad y de gran interés centrarse en la fiabilidad de los sistemas eléctricos. Por supuesto, es de gran importancia que cada sistema sea fiable en un vehículo aéreo con el fin de obtener la función de vuelo apropiadamente. Genéricamente, la fiabilidad ha sido resuelta mediante la provisión de sistemas de salvaguarda respecto a los sistemas principales, mientras que el sistema de salvaguarda se hace cargo del control cuando se establece que un sistema principal está fuera de funcionamiento. En algunos de los sistemas eléctricos de un vehículo aéreo, tal como los sistemas de control de vuelo y similares, es importante que no se introduzca ningún retardo durante la transferencia de control, ejecutándose la salvaguarda generalmente en tales sistemas en paralelo con el sistema principal. Esto significa que el sistema de salvaguarda es sustancialmente una réplica del sistema principal, tanto en hardware como en software, y que el sistema de salvaguarda debe actualizar los parámetros del sistema de la misma manera que el sistema principal, lo que se traduce en altos costes debido a la duplicación del hardware y similar. La fiabilidad es, por lo tanto, un parámetro que se encuentra bajo continuo desarrollo con el fin de resolver el problema y mantener los costes al mínimo. Se debe entender que el coste de la duplicación del hardware y similar, es muy alto y es algo que debe ser evitado, si es posible, durante las nuevas construcciones así como durante el desarrollo de los sistemas ya existentes.
En los sistemas actuales, la fiabilidad se resuelve ya sea proporcionando componentes de muy alta fiabilidad o ya sea con hardware redundante, como se ha definido anteriormente, y la duplicación de la funcionalidad con diferentes programas. Los sistemas redundantes, no solo generan altos costes, sino que también introducen un factor que afecta negativamente a la tasa de fallos, puesto que se introducen nuevos componentes que también pueden fallar. También, resulta muy costoso crear soluciones de software para aplicaciones especialmente adaptadas, en las que cada programa de software de aplicación está adaptado con rutinas y procedimientos que monitorizan otro software de aplicación. Resulta por lo tanto deseable en la industria de la aviónica proporcionar una alta fiabilidad de las funciones del sistema a bajo coste y bajo volumen, con el fin de evitar llenar el aeroplano con equipamiento de salvaguarda. Es además deseable proporcionar funciones de fiabilidad en un sistema que genere un bajo incremento de peso con el fin de que se mantenga el consumo de combustible tan bajo como sea posible, que la menor carga útil genere menos peso total, lo que da como resultado que el aeroplano consuma menos combustible, y que el esfuerzo sobre el cuerpo del aeroplano se reduzca.
Se conoce el hecho de conmutar de una unidad de hardware a otra unidad de hardware en un sistema eléctrico cuando una unidad de hardware falla, con el fin de obtener una alta fiabilidad del sistema. El documento de Patente GB 2.410.573 se refiere a un sistema redundante en el que dos estaciones de aplicación similares conmutan información; el estado de la primera aplicación es transferido a la segunda aplicación a intervalos regulares, con el fin de transferir el control a la segunda aplicación cuando la primera aplicación falla. La estación de aplicación que ejecuta la salvaguarda constantemente, comprende un hardware y un software que incrementan los costes, el peso y el volumen, con el fin de ser introducidos en un sistema eléctrico de un vehículo.
El documento EP0760503 muestra un sistema de servidor de red controlador de averías, en el que múltiples servidores actúan simultáneamente como servidores de salvaguarda cada uno con los otros, incluso mientras están proporcionando sus propios servicios de servidor al sistema.
El documento US 4 590 554 describe un sistema de ordenador en paralelo que tiene un procesador de tarea primaria, un segundo procesador de tarea primaria, y un procesador de tarea secundaria que actúa como salvaguarda para el segundo procesador de tarea primaria.
En vista de lo anterior, un objeto consiste en proporcionar un sistema eléctrico redundante, que no afecte a los costes, al peso y al volumen tanto como los sistemas convencionales.
Sumario de la invención
Con el fin de lograr el citado objeto de la invención se proporciona un sistema y un procedimiento de acuerdo con las reivindicaciones 1 y 9 independientes anexas.
La presente invención divulga un sistema eléctrico para un vehículo que comprende un portador de información digital para transferencia de datos digitales; un primer dispositivo (1) de computación dispuesto para ejecutar un primer software de aplicación instalado en el primer dispositivo de computación; y un segundo dispositivo de computación dispuesto para ejecutar un segundo software de aplicación, diferente de dicho primer software de aplicación, instalado en el segundo dispositivo de computación. El segundo dispositivo de computación comprende además un software de aplicación de salvaguarda instalado en el segundo dispositivo de computación, idéntico al primer software de aplicación, en el que el segundo dispositivo de computación está configurado para iniciar una ejecución del software de aplicación de salvaguarda instalado, cuando se produce un error en el primer dispositivo de computación, en paralelo con la ejecución del segundo software de aplicación. El primer software de aplicación, el segundo software de aplicación y el software de aplicación de salvaguarda, están dispuestos de modo que se ejecutan en partes de memoria separadas.
El sistema eléctrico puede incluir además el segundo dispositivo de computación que comprende un primer programa de instrucción, en el que el primer programa de instrucción está dispuesto para ejecutar la segunda aplicación en el segundo dispositivo de computación; y un segundo programa de instrucción, en el que el segundo programa de instrucción está dispuesto para ejecutar la segunda aplicación y la aplicación de salvaguarda.
Además, el sistema eléctrico de acuerdo con la invención incluye una configuración, en la que el segundo dispositivo de computación está dispuesto de modo que ejecuta el primer programa de instrucción cuando el sistema eléctrico está operando de manera normal, es decir, cuando el primer software de aplicación se está ejecutando apropiadamente en el primer dispositivo de computación, y el segundo dispositivo de computación está dispuesto para ejecutar el segundo programa de instrucción cuando el sistema eléctrico está operando en modo de salvaguarda, es decir, cuando el primer software de aplicación ha fallado en el sistema.
Adicionalmente, el sistema eléctrico puede divulgar además que el segundo dispositivo de computación esté configurado para activar un proceso de reprogramación en un sistema operativo del segundo dispositivo de computación, dispuesto para conmutar desde el primer programa de instrucción al segundo programa de instrucción cuando se detecta un error en el primer dispositivo de computación.
El sistema eléctrico conforme a la invención puede divulgar además que el segundo dispositivo de computación esté dispuesto con una función de monitorización configurada para activar el proceso de reprogramación en el segundo dispositivo de computación.
La invención puede comprender además un segundo dispositivo de computación que esté dispuesto con una función de monitorización para monitorizar al menos el primer dispositivo de computación.
La invención se refiere además a un sistema eléctrico en el que el primer dispositivo de computación está enviando continuamente la condición de ejecución del primer software de aplicación, y en el que la función de monitorización está configurada para monitorizar datos enviados por el bus de datos, y cuando no se detecta una condición de ejecución esperada procedente del primer dispositivo de computación...
Reivindicaciones:
1. Un sistema eléctrico para un vehículo, que comprende:
- un portador (3) de información digital para transferencia de datos digitales;
- un primer dispositivo (1) de computación, dispuesto para ejecutar un primer software (P1) de aplicación instalado en el primer dispositivo (1) de computación, y
- un segundo dispositivo (2) de computación dispuesto para ejecutar un segundo software (P2) de aplicación, diferente de dicho primer software (P1) de aplicación, instalado en el segundo dispositivo de computación y que comprende además un software (P1') de aplicación de salvaguarda instalado en el segundo dispositivo (2) de computación, idéntico al primer software (P1) de aplicación, en el que el segundo dispositivo (2) de computación está configurado para iniciar una ejecución del software (P1') de aplicación de salvaguarda instalado, cuando se produce un error en el primer dispositivo (1) de computación, en paralelo con la ejecución del segundo software (P2) de aplicación, con lo que el primer y el segundo dispositivos de computación comprenden un sistema operativo de partición dispuesto para dividir la memoria y el tiempo de CPU entre particiones asignadas estáticamente de una manera fija, de manera que cada partición tenga una cierta cantidad de memoria y de tiempo de CPU asignada a la misma, que no puede ser incrementada ni disminuida, y con lo que el primer software (P1) de aplicación, el segundo software (P2) de aplicación y el software (P1') de aplicación de salvaguarda están dispuestos para ser ejecutados en particiones separadas.
2. Un sistema eléctrico de acuerdo con la reivindicación 1, en el que el segundo dispositivo de computación comprende un primer programa de instrucción (M1), en el que el primer programa de instrucción está dispuesto para ejecutar la segunda aplicación (P2) en el segundo dispositivo (2) de computación; y un segundo programa de instrucción (M2), en el que el segundo programa de instrucción está dispuesto para ejecutar la segunda aplicación (P2) y la aplicación (P1') de salvaguarda.
3. Un sistema eléctrico de acuerdo con la reivindicación 2, en el que el segundo dispositivo (2) de computación está dispuesto para ejecutar el primer programa de instrucción cuando el sistema eléctrico está funcionando en un modo normal, es decir, cuando el primer software (P1) de aplicación está ejecutándose apropiadamente en el primer dispositivo (1) de computación, y el segundo dispositivo de computación está dispuesto para ejecutar el segundo programa de instrucción cuando el sistema eléctrico está funcionando en modo de salvaguarda, es decir, cuando el primer software (P1) de aplicación ha fallado en el sistema.
4. Un sistema eléctrico de acuerdo con la reivindicación 3, en el que el segundo dispositivo (2) de computación está configurado para activar un proceso de reprogramación en un sistema operativo del segundo dispositivo (2) de computación, dispuesto para conmutar desde el primer programa de instrucción (MS1) al segundo programa de instrucción (MS2) cuando se detecta un error en el primer dispositivo (1) de computación.
5. Un sistema eléctrico de acuerdo con la reivindicación 4, en el que el segundo dispositivo (2) de computación está dispuesto con una función (5) de monitorización, configurada para activar el proceso de reprogramación en el segundo dispositivo (2) de computación.
6. Un sistema eléctrico de acuerdo con cualquiera de las reivindicaciones 1-5, en el que el segundo dispositivo (2) de computación está dispuesto con una función (5) de monitorización, para monitorizar al menos el primer dispositivo (1) de computación.
7. Un sistema eléctrico de acuerdo con la reivindicación 6, en el que el primer dispositivo de computación está enviando continuamente la condición de ejecución del primer software (P1) de aplicación, y en el que la función (4) de monitorización está configurada para monitorizar datos enviados por el bus (3) de datos, y cuando no se detecta en el bus (3) de sistema una condición de ejecución esperada procedente del primer dispositivo (1) de computación, la función de monitorización está configurada para dar instrucciones al segundo dispositivo (2) de computación para que inicie la ejecución del tercer software (P1') de aplicación.
8. Un sistema eléctrico de acuerdo con la reivindicación 1, en el que el sistema eléctrico es un sistema no-crítico que no es sensible a los retardos.
9. Un procedimiento para asegurar la función de salvaguarda en un sistema eléctrico de un vehículo que comprende un portador (3) de información digital para transferencia de datos digitales, un primer dispositivo (1) de computación dispuesto para ejecutar un primer software (P1) de aplicación instalado en el primer dispositivo (1) de computación, y un segundo dispositivo (2) de computación dispuesto para ejecutar un segundo software (P2) de aplicación instalado en el segundo dispositivo de computación, diferente de dicho primer software (P1) de aplicación, y un tercer software (P1') de aplicación de salvaguarda, idéntico al primer software de aplicación, en el que el primer y el segundo dispositivos de computación comprenden un sistema operativo de partición dispuesto para dividir la memoria y el tiempo de CPU entre particiones asignadas estáticamente de una manera fija, de modo que cada partición tenga una cierta cantidad de memoria y de tiempo de CPU asignada a la misma, que no puede ser ni incrementada ni reducida, comprendiendo dicho procedimiento las etapas de:
- determinar que se ha producido un error en el primer dispositivo de computación, e
- iniciar una ejecución de la aplicación de salvaguarda en una primera partición que tiene una cierta cantidad de memoria y de tiempo de CPU asignada a la misma, en paralelo mientras se está ejecutando continuamente el segundo software (P2) de aplicación en una segunda partición que tiene una cierta cantidad de memoria y de tiempo de CPU asignada a la misma.
10. Un procedimiento de acuerdo con la reivindicación 9, en el que el proceso de iniciación comprende la etapa de conmutar desde un programa de instrucción original que se ejecuta en el segundo dispositivo de computación, a un segundo programa de instrucción.
11. Un procedimiento de acuerdo con cualquiera de las reivindicaciones 9-10, en el que el procedimiento comprende además la etapa de:
- monitorizar el portador de información digital utilizando una función de monitorización que se ejecuta en el segundo dispositivo de computación, realizando también dicha función de monitorización la citada etapa de determinación.
12. Un procedimiento de acuerdo con la reivindicación 11, en el que la función de monitorización realiza además la monitorización de las condiciones de ejecución del primer software (P1) de aplicación enviadas en la información digital desde el primer dispositivo de computación.
13. Un procedimiento de acuerdo con la reivindicación 12, en el que la función de monitorización determina además que se ha producido un error en el primer dispositivo de computación cuando ninguna condición de ejecución del primer software (P1) de aplicación es monitorizada en el portador de información digital.
14. Un procedimiento de acuerdo con cualquiera de las reivindicaciones 9-13, en el que el procedimiento comprende además, después de la citada etapa de iniciación, las etapas de:
a. determinar que el primer software de aplicación está a nivel alto y ejecutándose en el primer dispositivo de computación, y
b. conmutar de nuevo al estado de ejecución original que realiza la primera aplicación en el proceso cuando se determina que el primer software de aplicación está a nivel alto y ejecutándose de nuevo en el primer dispositivo de computación.
Patentes similares o relacionadas:
Restauración de aceleración de servicio, del 10 de Junio de 2020, de Microsoft Technology Licensing, LLC: Un método para restaurar la aceleración del servicio para un servicio, el método que comprende: determinar que la aceleración del servicio para el […]
Procedimiento para hacer funcionar un sistema de transmisión de datos y sistema de transmisión de datos, del 29 de Abril de 2020, de Siemens Mobility GmbH: Procedimiento para hacer funcionar un sistema de transmisión de datos en el que - un primer equipo de transmisión de datos está conectado […]
Procedimiento y aparato para la eliminación y la adición de CPU en caliente durante el funcionamiento, del 25 de Marzo de 2020, de HUAWEI TECHNOLOGIES CO., LTD.: Un procedimiento de eliminación de unidades centrales de procesamiento CPU en caliente, donde el procedimiento se puede aplicar a un único servidor con una primera […]
Inducción de un nodo en un grupo, del 4 de Diciembre de 2019, de Wandisco, Inc: Un método implementado por ordenador para un nodo inductor en un sistema informático distribuido para inducir un nodo inducido en el sistema informático distribuido […]
Estación de control para vehículos aéreos no tripulados y procedimiento de trabajo, del 14 de Agosto de 2019, de Airbus Defence and Space SA: Estación de control para vehículos aéreos no tripulados , que comprende sistemas críticos que implementan funciones relacionadas con la seguridad, […]
Sistemas y métodos para comunicaciones tolerantes a fallos, del 27 de Mayo de 2019, de SAS Institute Inc: Un método implementado por ordenador, que comprende: transmitir, de un nodo de control primario conectado a uno o más nodos trabajadores […]
Procedimiento y dispositivo de parada de un aparato eléctrico alimentado por una pluralidad de fuentes de energía, aparato equipado con tal dispositivo y sistema que incluye tal aparato, del 24 de Abril de 2019, de MGE-UPS SYSTEMS: Procedimiento de parada de un aparato eléctrico que tiene una duración de parada durante la cual la alimentación eléctrica del aparato no debe perturbarse, […]
Sistema informático de soporte de basculamiento en un sistema de procesamiento de flujo de eventos, del 3 de Abril de 2019, de SAS Institute Inc: Un soporte legible por ordenador no transitorio en el que se memorizan instrucciones legibles por ordenador que, cuando se ejecutan por un dispositivo informático, […]