專利名稱:用于飛行器駕駛的高操作安全性�����、低成本的模塊結構的制作方法
技術領域:
本發(fā)明與一套電子設備部件的模塊結構相關����,它使得控制一個需要高操作安全性的工業(yè)過程成為可能。
它尤其����,但不唯一����,適用于完成各種不同的飛行控制功能的機載電子設備部件����。顯然,當前此種設備的開發(fā)越來越多地著眼于飛行控制任務的自動化����,特別是飛行器駕駛的自動化。這種趨勢導致設備越來越復雜����、龐大、耗能�����、昂貴����、難以維護��。
為解決此問題,人們已尋求把這些設備集成并制成具有標準尺寸的模塊����。為此,已有一種結構被提出���,該結構把不同的電子模塊一起放到電子機盒或機架中�����。這些模塊采集來自于傳感器和其他機載設備的原始信息�,同時獲取飛行控制指令���。
人們也已嘗試在同一模塊上集成并分享不同的功能�,這對于由工作在時分模式的單處理器裝置執(zhí)行的必要的處理和計算是可能的��。
然而��,在機載中��,嚴酷度的等級一般與每個被執(zhí)行的功能以及此功能用到的數(shù)據(jù)有關���。每個嚴酷度等級與檢驗航空設備的權威機構所要求的最大失效率相對應�����。因此��,有最嚴酷等級的功能對應于那些其失效可導致災難性后果的功能��。所以����,這些功能應具有極低的失效概率(每小時飛行的失效機率低于10-9)。同樣地�����,最關鍵的數(shù)據(jù)是那些如果失效或出錯就可能導致災難性事件的數(shù)據(jù)���。顯然���,數(shù)據(jù)的關鍵性與使用這些數(shù)據(jù)的功能的嚴酷度無關,相同的數(shù)據(jù)可能用在具有不同嚴酷度的功能里�����。
因此�����,同一處理器被幾種功能分享暗示著具有不同嚴酷度等級的功能由同一處理器完成�����,這大大增加了諸如有關設備維護這樣具有低嚴酷度等級的功能干擾甚或阻斷具有最高嚴酷度等級��,即其故障可導致災難性后果的功能的執(zhí)行的風險�����。所以有必要采取特殊措施使得被執(zhí)行的功能�����,尤其是那些具有最高嚴酷度等級的功能以檢驗機載設備的權威機構所要求的安全等級來完成���。
為此�����,一種冗余結構被提出�����,在這種結構中�����,所有的模塊��,特別是那些完成關鍵功能的模塊被做成一式三份��,使得關鍵的功能即使在出故障后也能被執(zhí)行�。然而,從降低成本����、必要模塊的數(shù)量、電源消耗和損耗���、有效性(失效率)和設備維護設施的角度考慮�,這種解決方案顯示出很少的好處��。
而且�,這種冗余結構的解決方案不僅復制了關鍵的功能,也復制了如維護功能這樣的非關鍵性的功能�。
本發(fā)明的目的是消除這些缺陷。為此,本發(fā)明提出一種用于工業(yè)過程控制的電子設備部件的模塊化結構�,它一方面包含了容納由電源模塊提供能量的數(shù)據(jù)匯集模塊和處理模塊的容納裝置�,另一方面也包含了關鍵的顯示設備和通過數(shù)據(jù)傳輸裝置把關鍵的傳感器,非關鍵的傳感器和執(zhí)行機構相連接起來的組件�。
據(jù)此發(fā)明,這種結構的特征在于關鍵的傳感器把它們的關鍵信息一方面直接傳輸給關鍵的顯示設備��,另一方面直接傳輸給容納裝置中的匯集和處理模塊�。基于來自關鍵的和非關鍵傳感器的數(shù)據(jù)�����,匯集模塊通過一個多接收器的串行數(shù)據(jù)總線獲得用于顯示設備和處理模塊的非關鍵性數(shù)據(jù)����。處理模塊基于來自關鍵的傳感器的數(shù)據(jù)和匯集模塊輸出的非關鍵的數(shù)據(jù)獲得用于執(zhí)行機構的命令。
到這種結構的所有單元的關鍵性數(shù)據(jù)的傳輸分別由單獨的總線完成�����。消除關鍵數(shù)據(jù)在同一總線上的匯集避免了在一條總線出現(xiàn)故障后��,所有的設備均不能工作����。因此����,這種結構通過防止錯誤的擴散使錯誤僅限于受影響的模塊�。所以不必再使用一種完全的一式兩份或一式三份的結構,而只需把關鍵的功能做成一式兩份或一式三份���。因此本發(fā)明基本上使降低這樣設備的成本��、尺寸和電源消耗成為可能����。
而且�����,由于把錯誤僅限制在受影響的模塊����,給設備維護,特別是故障檢測和修復操作提供了極大的方便��。
顯示設備包含處理裝置��,它用于直觀顯示源于傳感器、測量儀器和其他設備的數(shù)據(jù)�����。
這樣�����,顯示設備可以不依賴于處理模塊的有效性�,直接提供過程控制的所有信息�����,特別是關鍵信息�����。
根據(jù)本發(fā)明的一項特征�,每個處理和數(shù)據(jù)匯集模塊都包含一相同的裝有一個處理器的處理卡和一塊提供處理卡和模塊的輸入、輸出連接的輸入/輸出卡���。處理卡包含一個裝有程序的存儲器�����,該程序控制處理器完成模塊功能���。
這樣做�����,在一定程度上���,使得降低模塊的設計和制造成本、簡化維護工作成為可能�����。這是因為如果一個模塊中的一塊處理卡出現(xiàn)故障��,它可以在飛行器上直接由另一處理卡代替��,此卡上已預先裝載有與該模塊功能一致的程序���。
這些設備部件執(zhí)行諸如飛行器自動駕駛��、失速保護�、數(shù)據(jù)匯集和集中維護等功能���。
根據(jù)本項發(fā)明��,下面將以非限定舉例的方式����,參照附圖闡述該設備的實施例,附圖中
圖1根據(jù)本項發(fā)明以框圖的形式表示一種機載電子設備部件結構�;圖2把幾個模塊放在一起,詳細表示圖1所示的設備�����;圖3根據(jù)本項發(fā)明�,舉出一個模塊的例子���,給出更多的細節(jié)����;圖4根據(jù)本項發(fā)明��,給出一個模塊的處理單元���;圖5根據(jù)本項發(fā)明�����,給出一個電源模塊���;圖6根據(jù)本項發(fā)明�,給出一個電源模塊�;
圖7闡明一個處理單元的操作;圖8表示一個處理單元部分存儲器的構成����;圖9從周期時隙的角度闡明處理器的分享使用����;圖10闡明圖1所示結構中不同單元之維護的構成���。
圖1所示的機載電子設備部件的結構使完成飛行器自動駕駛�����、提供失速保護、完成這些設備部件的數(shù)據(jù)匯集和集中維護成為可能�。為此�,它包含五個關鍵的直觀顯示設備3-7����;兩個裝有兩個相同的模塊處理組件IFC1和IFC2(集成飛行盒)的容納裝置��;兩個主參考系統(tǒng)8����、9�,它們是傳送關鍵數(shù)據(jù)的傳感器,并且舉例說每個都包括一個AHRS(飛行姿態(tài)方向參考系統(tǒng))姿態(tài)單元和一個用于采集和處理艙外空氣相關數(shù)據(jù)的ADC(空氣數(shù)據(jù)計算機)系統(tǒng)�,使可以短期采集飛行參數(shù);兩個引擎參數(shù)測量設備FADEC1和FADEC2(全權數(shù)字引擎計算機)10��、11����;一組執(zhí)行機構12和用于傳輸諸如傳感器�,測量通信和報警設備的非關鍵數(shù)據(jù)的外圍設備部件I1-I10 13���。
每個關鍵的直觀顯示設備3-7包含一個直觀顯示屏,一個數(shù)據(jù)采集接口��,處理這些數(shù)據(jù)的裝置,特別是獲取對每個要顯示的數(shù)據(jù)項所規(guī)定的符號的裝置�。PFD1和PFD2 3、7這兩個顯示屏用于顯示飛行數(shù)據(jù)���。ED顯示屏用于顯示引擎操作參數(shù),MFD1和MFD2這兩個顯示屏�。通常稱為“多功能”顯示屏���,允許顯示與飛行控制相關的其他參數(shù)。
對飛行安全致關重要的數(shù)據(jù)��,如由主參考系統(tǒng)8和9輸出的數(shù)據(jù)��,通過特定的各自的串行數(shù)字鏈路14����、15����,被直接傳輸?shù)斤@示它們的關鍵直觀顯示設備3����、4�����、6、7和處理組件的容納裝置1����、2�����。同樣,引擎參數(shù)測量設備10����、11的關鍵數(shù)據(jù)也通過各自的串行鏈路16�、17傳輸?shù)疥P鍵直觀顯示設備4到6和處理組件的容納裝置1���、2�����。
而且,其他由處理組件的容納裝置1��、2交換并且在直觀顯示設備3-7上顯示的其他非關鍵數(shù)據(jù)通過ARINC 429類串行總線18���、19以復用方式被傳輸。舉例來說��,它采用一種安全等級符合要求的冗余方式����,且由于采用相同的處理組件而降低了成本,把信息傳播到各模塊�。另外,這些總線允許一個發(fā)送器訪問幾個接收器��,一個接收器的失效不會妨礙其他接收器的接收。
如圖2所示,處理組件的容納裝置1����、2呈現(xiàn)為電子機架的形式���,模塊21-25插在里面并相互連接起來。每個處理組件1�、2包含一個管理非關鍵的離散或模擬數(shù)據(jù)的輸入輸出的模塊IOM 25,一個匯集非關鍵數(shù)字數(shù)據(jù)的模塊IOP 24�����,一個處理有關自動駕駛的關鍵數(shù)據(jù)的模塊FGM 23���,和一個完成防失速風險功能的模塊SPM 22�。
為了以最低成本分配電源供電����,每個處理組件1�����、2包含一個主電源模塊PPSM 21�,把飛行器上兩個通用直流電源線26���、27提供的28V額定電壓的主壓的預穩(wěn)壓功能放在一起�,其他模塊22-25包含一個由低成本電壓變換器構成的二次電源電路以產(chǎn)生匹配于他們各自需求的電源電壓。特別是模塊21為把預穩(wěn)壓電壓傳送到其他模塊22-25���,要完成限制過壓的功能����,對與雷電相關的瞬間電壓限幅���,補償瞬間的電壓跌落��。這是因為飛行器上的通用電源提供的電壓容易有較大的波動從18V到32V���,這些波動在瞬間可能變化于12V到48V之間����。主電源模塊PPSM 21把一套相對龐大�、昂貴的部件集成到一塊電子卡34上����。目的是用表現(xiàn)為較小的波動范圍,比如18V到32V之間的預穩(wěn)壓電壓為不同的模塊供電��,這樣的電壓可以適合于合并到每一個模塊22-25中的廉價的變換器����,并可提供這些模塊所使用的不同的電壓����。
除離散和模擬數(shù)據(jù)管理模塊25,其他模塊22-24����,每個模塊都包含同樣的微處理器卡30和一個專用但結構相似的特別用來完成各模塊輸入輸出任務的擴展卡31-33��,離散和模擬數(shù)據(jù)管理模塊25也包含兩個卡28���、29����,但它們均用于輸入輸出管理而不含有處理器。
應該注意的是在兩個處理組件1�����、2中的兩個相同的模塊可以以冗余模式或互補模式執(zhí)行處理操作�,這取決于被執(zhí)行功能的嚴酷度�����。因此����,這種結構提供了很多適應性和配置性的選項。
圖3表示了裝有計算裝置的模塊22�����、23、24的一個例子����,在圖3中,微處理器卡30包含有一個包含一個DC電壓變換器的二次電源41,該電壓變換器接收18V~32V的預穩(wěn)壓電壓��,以產(chǎn)生卡上各元件所需的電源電壓��,同時為相關的擴展卡31′供電����。
一個通過緩存和格式化設備46、47�、利用對處理組件1�����、2來說是內(nèi)部的數(shù)字部線39進行通信的處理單元40�����,如不僅提供與處理組件的各模塊間的鏈路�,也提供與相關的擴展卡31′之間的鏈路的ARINC 429類型“后面板”總線。
和一個如FPROM或EEPROM的非易失性維護存儲器43�,該存儲器實時存儲用于維護的所有數(shù)據(jù)��,特別是自檢結果和用于故障定位和原因查找的數(shù)據(jù)�����。
本處理卡30也集成了所有的處理模塊為直接與處理單元1���、2外的環(huán)境通信所需的所有的輸入/輸出接口。因此它包含了一個如ARINC 429類的外部數(shù)字鏈路61����,該鏈路通過一塊用于防電磁輻射和雷電的保護電路42和緩存與格式化設備44��、45與處理單元40鏈接起來。
而且��,處理單元40通過一條串行線60與擴展卡31′鏈接起來�,使它與后者交換通常稱為輔助操作數(shù)據(jù)的離散數(shù)據(jù)成為可能。
每個擴展卡31′包含一個由諸如ASIC電路組成的可編程自動序列發(fā)生器50�,它與一個裝有順序的線性的指令序列的如PROM類的非易失性存儲器62相關聯(lián)。該自動單元根據(jù)從例如串行線60接收到的指令����,管理與之相關的存儲器的裝載和分配給它且不能被處理模塊卡30的通用接口執(zhí)行的任務(如模擬數(shù)據(jù)采集、音頻信號產(chǎn)生等)的完成��。
為此�����,自動單元50使用緩存與格式化設備58��、59連接到“后面板”數(shù)字總線39��,特別地�,這樣就可以與處理單元40通信。它也使用如防雷電和電磁輻射的保護電路49直接連到處理單元1����、2外面的環(huán)境中����,其目的是�����,通過一個特定的接口與匹配電路52和一個復用器57接收離散數(shù)據(jù)���,和利用一個特定的接口與匹配電路53��,一個復用器56和一個模/數(shù)轉(zhuǎn)換器55接收模擬數(shù)據(jù)�,通過一個數(shù)/模轉(zhuǎn)換器54和一個特定的接口與匹配電路51送出模擬數(shù)據(jù)���。
每個擴展卡31′也可以包含一個和處理卡30上和存儲器43用途相同的非易失性維護存儲器���。此維護存儲器可由模塊的處理卡或擴展卡30′上直接提供的其他裝置所管理。
離散和模擬輸入輸出管理模塊25的兩塊卡28和29的構造類似于剛剛描述過的卡31′的結構布局�����,特別是卡里都包含ASIC電路50�����。但是卡28���、29中的一個還包含一個與電源電路41相同類型的二次電源來給模塊25的卡28����、29提供電源��。這兩塊卡中至少有一塊卡里包含一個非易失性維護存儲器�����。
從硬件的觀點看����,這種結構表現(xiàn)出使用較少的具有相同結構的基本卡的優(yōu)點,即處理卡30和擴展卡31-33具有與輸入/輸出卡28�、29基本相似的結構,其結果為顯著的規(guī)模經(jīng)濟�。
值得注意的是,在由兩塊卡組成的模塊22-25中�,這兩塊卡僅通過機架1、2的后面板連接器互連����,只要把一塊卡插入此連接器就能保證另一塊卡的完全連接�。這種安排可以簡化維護操作�,也消除了在更換模塊內(nèi)的板卡時發(fā)生連接錯誤的風險。
圖4中����,處理單元40包含一個由時鐘71同步的,其操作受到由另外的時鐘76同步的“看門狗”電路75監(jiān)視的微處理器70�。微處理器70通過地址和數(shù)據(jù)總線72鏈接到非易失性的程序存儲器81和易失性的數(shù)據(jù)存儲器82,同時鏈接到ASIC電路73���。微處理器70提供的訪問地址在送到總線72上之前由地址譯碼器74處理��。
ASIC電路73包含有用于管理處理單元40的輸入/輸出的可以是離散的或串行的數(shù)字429 ARINC類型的裝置77�,提供在微處理器70可尋址空間內(nèi)進行同步于時鐘的高速數(shù)據(jù)傳輸服務的裝置78�,和提供根據(jù)分配給在其上完成的不同任務的訪問權監(jiān)視對微處理器70可尋址空間的訪問服務的裝置79,該訪問權被存儲在另外的通過總線72尋址且其數(shù)據(jù)端口連接到ASIC電路73的非易失性存儲器80內(nèi)�����。
在軟件方面�����,所有帶有相同微處理器的板卡30都包含相同的操作軟件來完成啟動微處理器的通用功能,板卡的初始化和自檢功能���,對包含被處理組件1����、2所完成的操作所使用的通用功能庫的多任務系統(tǒng)的實時管理功能��。從開發(fā)成本和生產(chǎn)應用的時間規(guī)模的觀點來看�����,這些安排可以獲得相當?shù)暮锰帯?br>
在圖5中��,主電源模塊21的板卡34對加在其輸入端的飛行器的每個28V電源線89�、90順序級聯(lián)有一個峰值限制設備93���、94��,它由并聯(lián)在各自的電源線和地之間的齊納二極管和/或如壓敏電阻這樣類似設備組成����。該設備可以消除如由雷電所引起的超過80V的脈沖�,一個連到峰值限制設備93、94輸出端的低通濾波電路91�、92���,用于根據(jù)輸入端電壓是否存在來決定是否對其余電路供電的自動切換裝置106、107�,當飛行器的兩個電源網(wǎng)絡89、90都有效時���,該裝置配置成選擇其中的一個�����,和一個執(zhí)行電壓峰值限制和濾波電路91�����、92輸出電流限制的電壓預調(diào)整電路95����、96���。
主電源模塊21的板卡34還包含一個連接到兩個電壓預調(diào)整電路95��、96的升壓/調(diào)整器電路100����,當輸入電壓降到最小值12V時,該電路可為其余電路提供28V的電壓幾十秒����,如30秒,和一個連接到升壓/穩(wěn)壓器電路100輸出端的電流分配電路98��。分配電路98包含一個由例如一組電容組成的儲能器104和一組為機架1����、2的其他模塊22-25提供28V預調(diào)整DC電壓的電子電路斷路器101-103��。
值得注意的是�����,儲能器104被安排在可以給它提供很高且相當穩(wěn)定的電壓的電壓升壓/調(diào)整器電路100的輸出端��。由于電容上的電荷正比于加在其兩端的電壓��,因此無論電網(wǎng)提供的電壓如何變化���,儲能器104上存儲的能量都相當穩(wěn)定而且比較高����。
憑借這些方案,主電源模塊21能夠通過維持對模塊22-25的供電來補償幾十毫秒的斷電(如20~200ms)��。
電路斷路器101-103設計成在負載發(fā)生短路時自動斷開電源�,在短路排除后又自動接通。因此����,他們?yōu)橹麟娫茨K21提供了單獨的保護以防止可能在模塊22-25內(nèi)或在這些模塊與電路斷路器之間的連接上發(fā)生的短路,因此在模塊發(fā)生短路時保證了電源的有效性和故障不再擴散���。
預調(diào)整電路95����、96每一個都包含一個阻塞二極管以避免在電路被切斷時電容104放電到電網(wǎng)上�。
憑借儲能器104和電壓升壓/穩(wěn)壓器100,主電源模塊21能夠通過維持對模塊22-25的供電來補償幾十毫秒(如20~200ms)的斷電���。
而且����,模塊21的板卡34還分別包含兩個并聯(lián)到濾波器91�����、92的輸出與電壓升壓/穩(wěn)壓器的輸出之間的斷電檢測設備108、109�。當斷電時間超過儲能器104的有效作用時間,斷電檢測設備108����、109用信號108a、109a指示模塊22-25將在接近幾毫秒(2~20ms)的時間內(nèi)完全失去電源����。信號108a的109a的出現(xiàn)要觸發(fā)一個存儲器的存儲過程把相當關鍵的飛行參數(shù)存入一個由電池或電容供電的存儲器。寫存儲器的時間在2~20ms的量級上�,而把這些參數(shù)存儲到存儲器里所需的時間在200ms到5s之間��。
某個電子電路斷路器101-103也可能在電網(wǎng)斷電的情況下��,為避免其負載過重而不希望用備用電網(wǎng)為一個或多個模塊22-25供電��,使用主網(wǎng)絡檢測器108輸出的信號99斷開電源��。
而且�,板卡34也包含一個如FPROM類型的非易失性維護存儲器105,用來存儲如電路斷路器101-103的斷電和改變了開關106�����、107狀態(tài)的電網(wǎng)斷電這樣的所有可能簡化板卡維護的事件。存儲器105的內(nèi)容被為校驗每一次寫操作而對該存儲器有讀寫操作的模塊22-25更新���。該存儲器也能被斷電檢測器108��,109�,電路斷路器101-103和開關設備106���,107所更新����,為此���,它們分別有一個二進制輸出以給出電路斷路器或開關設備的狀態(tài)��。
該主電源模塊21的板卡34給設備1的其他模塊22-25提供可利用集成二次電源單元41被其他模塊適應的預調(diào)整電壓�����,該單元比若有必要使飛行器的每個電網(wǎng)提供的電壓直接適合每個模塊的需求表現(xiàn)出更簡單��、體積更小且必然更便宜的結構��。
因此�����,在圖6中�����,每個二次電源單元41包含一個接收28V預調(diào)整電壓的輸入濾波器131����,可以消除可能出現(xiàn)在電路斷路器101-103和電源單元41之間的連接線上的高頻成份。輸入濾波器131的輸出連接到包含有在電氣上被脈沖變壓器隔離的初級單元和次級單元的DC電壓變換器132�。因此這些模塊的電源在電氣上與主電源模塊21隔離開來。變換器132是諸如在0V切換的“回掃”開關模式的變換器���。次級單元能提供模塊所需的不同的電壓V1��、V2、V3�����,如5V和±15V����,該電壓事先由輸出濾波器133���,134濾波以消除由開關模式變換器132所引入的高頻成份。
而且變換器132在電壓上隨動于一個包含接收控制信號的初級電路135和隔離開來的提供控制信號的次級電路136的控制電路��,135���、136這兩個電路在電氣上被脈沖變壓器137隔離��。次級控制電路136測量濾波器133�����、134輸出的一路電壓如電壓V1�,以產(chǎn)生要傳輸?shù)匠跫夒娐?35的控制信號���。初級電路135基于額定最大輸出功率把該信號變換為要施加于開關模式變換器132的開關晶體管上的第二控制信號���。利用變換器132的變壓器的磁藕合和電路的對稱性可完成其他輸出電壓V2、V3的調(diào)節(jié)����。這樣的變換器在輸出端不需要任何最小負載��。
如果出現(xiàn)故障�����,模塊21-25的各種板卡可以只要通過把它們從它們所插入的機架上抽出來而很容易地拆卸�。利用板卡上的連接器通過連接適當?shù)木S護工具可以做任何的故障查找工作����,該工具裝備有用于讀取和更新模塊的維護存儲器43、105的裝置����。
如先前提到的,模塊22-24的處理卡30是相同的���。然而��,這些板卡所完成的任務可能分屬不同的類別�,有不同的周期��,而且最主要的有不同的嚴酷度等級��。因此有必要采取特定的措施以保證任務的正確完成��。
因此����,舉例地說,模塊IOP24完成如下任務—在處理組件1�����、2中����,匯集來自飛行器各系統(tǒng)的,特別是用于儀表面板的電子儀表系統(tǒng)的非關鍵數(shù)據(jù)�����,—獲取由冗余功能輸出并供其使用的參數(shù)和控制邏輯�����,—收集并對用于飛行記錄儀的數(shù)據(jù)格式化���,—產(chǎn)生用于機組人員和開啟視聽警報設備告警信號����,—與諸如地面防撞報警系統(tǒng)(GPWS)等其他設備通信,—系統(tǒng)測試和運轉(zhuǎn)不安全性定位���,后者比其他各項的嚴酷度都低����。
為防止一個功能干擾另一個功能����,特別是一個較為不關鍵的功能阻斷一個較為關鍵的功能,ASIC電路包含有—用于管理處理單元40的輸入/輸出的電路77���,可以是離散的或串行的ARINC數(shù)字處理類型429�。
—包含用于微處理器70可尋址空間內(nèi)的高速數(shù)據(jù)傳輸(DMA)的裝置����、以便限定周期性時隙的外設管理電路78,—用于根據(jù)分配給由處理器完成的不同任務的訪問權限����,控制對微處理器70可尋址空間的訪問的電路79,訪問權限被存儲在另外的非易失性存儲器80內(nèi)���,該存儲器通過總線和連接到ASIC電路73的數(shù)據(jù)端口尋址��。
訪問控制電路79包含用于控制對處理器70可尋址空間進行尋址的裝置79��,該空間包含存儲器81��、82和可通過輸入/輸出管理電路77訪問的輸入輸出寄存器�����。
而且���,存儲器80連接到地址總線的高位上,這使得它與存儲在存儲器中的�����,為微處理器可尋址空間設定的�����,比如512字節(jié)的訪問權聯(lián)系起來����。
如圖7所示,控制對微處理器70可尋址空間訪問的電路79包含一個裝有經(jīng)授權的對應于當前時隙的訪問權的、在每個新時隙開始時被處理器70所更新的且以中斷為標記的寄存器111�����,該電路與包含微處理器70可尋址空間的每一區(qū)間訪問權的非易失性存儲器80的數(shù)據(jù)總線相連���。
在圖8中���,裝程序的存儲器81和裝數(shù)據(jù)的存儲器82被分成區(qū)域114p、115p����、114d和115d,分別分配給功能F1��,F(xiàn)2�,區(qū)域114p和115p分別裝有由處理器70運行各自完成功能F1,F(xiàn)2的程序�。由于每個功能包含幾個任務J11,J12�,J21,區(qū)域114p��,115p����,114d和115d通過對應于功能Fi的任務Jij又依次分成幾個裝載程序���,或者用于存儲數(shù)據(jù)的區(qū)間。
因此微處理器可尋址空間被劃分為區(qū)域和同一區(qū)域內(nèi)的區(qū)間�,每個區(qū)間與訪問權相關聯(lián)�。
有利的是,可被每個周期性的任務所使用的存儲器區(qū)間彼此被未用到的區(qū)間(圖8中的陰影部分)隔離�,這使得某些尋址錯誤不會影響其他的功能。
當微處理器70訪問81����、82中的一個存儲器的一個給定地址時,該地址從地址總線72a發(fā)送到微處理器70可尋址空間內(nèi)的存儲器區(qū)間�,也發(fā)送到隨即把尋址區(qū)間的訪問權送至監(jiān)視設備79的存儲器80。監(jiān)視設備79包含一個用來比較來自寄存器111的訪問權和從存儲器80中讀取的訪問權的比較器113��。
如果比較器檢測出不同�,當涉及寫訪問時,它禁止微處理器70訪問被尋址的存儲器區(qū)間��,并產(chǎn)生一個存儲器訪問無效中斷����,送至微處理器70�。當涉及讀訪問時�,它僅通知讀操作發(fā)生在一個禁止區(qū)間。如果從存儲器80讀取的訪問權與存儲在寄存器111中的一致�����,數(shù)據(jù)可以在微處理器和存儲器區(qū)間之間的數(shù)據(jù)總線72d上相互交換���。
每個存儲在存儲器80中的訪問權字包含四個字段��,即對應于嚴酷度等級的字段121��,對應于區(qū)域號的字段122�,寫保護字段123和讀保護字段124�。
根據(jù)本發(fā)明的一個變體,比較器113可以授權訪問對應于與當前時隙所執(zhí)行的功能相同的功能的區(qū)間�����,且它的訪問權級別低于當前任務的訪問權級別�����,這樣做的目的是在一個功能的各任務執(zhí)行的訪問權內(nèi)建立等級結構�。
這種對尋址錯誤的檢測可以通過防止任何的存儲器的錯誤變動或?qū)敵黾拇嫫鞯腻e誤訪問來抑制錯誤��,以及根據(jù)錯誤的嚴重性��,停止任務或錯誤功能的運行�。用這種方法���,可以防止任何故障傳播到微處理器所執(zhí)行的其他功能和可尋址空間的其他部分�����。
依照圖9,本發(fā)明的方法可以使用同一處理器分別運行幾個功能����,這些功能每個都包含幾個任務,微處理器70的使用時間被一個外設管理電路78的實時時鐘所產(chǎn)生的周期性中斷RTC IT分成時間段����,作為希望分配給每個功能F1、F2��、F3的時間的一項功能���,兩個RTC IT中斷之間的時間間隔本身被彼此間隔開的中斷ITS2�����、ITS3分成與微處理器所執(zhí)行的功能F1�、F2、F3一樣多的時隙���,這些中斷也是由管理電路78產(chǎn)生的����。
功能F1包含六個任務J11~J16���,任務J11在每個標志著分配給F1的時段開始的RTC IT中斷處運行�,任務J12�����,J13和J14緊接在任務J11后面交替運行(未示出)���,任務J15在每一分配給F1的時段內(nèi)緊接在任務J12��,J13�����,J14中的一個的后面運行�����,任務J16作為后臺的任務在分配給F1的時段的剩余時間內(nèi)運行�。同樣地,功能F2包含兩個任務J21和J22���,任務J21在每個標志著分配給F2的時段開始的中斷ITS2處運行���,任務J22作為后臺的任務在分配給F2的時段的剩余時間內(nèi)運行。功能F3包含5個任務��,即任務J31在每個ITS3中斷后運行��,任務J32和任務J33��、J34(未示出)緊接在任務J31后面交替運行��,任務J35作為后臺的任務在分配給F3的時段的剩余時間內(nèi)運行�����。
中斷RTC IT���、ITS2和ITS3可被屏蔽��,那就是說���,在微處理器運行一系列不應該被中斷的代碼時,他們被延后執(zhí)行��。為了防止該系列代碼執(zhí)行過程中出現(xiàn)的錯誤干擾其他功能的執(zhí)行���,外設管理電路78緊接在對應時隙的正常結尾后面產(chǎn)生一個不可屏蔽中斷End S3IT���,End S1 IT,End S2 IT��,當每一個周期的所有任務均已執(zhí)行后�,該中斷被微處理器70系統(tǒng)地使這些中斷無效。
這樣����,在正常操作中,該中斷不會出現(xiàn)���,但是如果給定周期的功能F1��、F2�����、F3的運行時間超過了周期的長度��,該中斷就會出現(xiàn)�,在這種情況下,它可以避免在接下來的周期內(nèi)運行的功能的啟動被延遲�����。
微處理器70可訪問存儲在存儲器81內(nèi)的描述由中斷RTC IT�����,ITS2和ITS3所界定的每個周期的任務和分配給每個任務的訪問權的表�。在啟動每一任務的時候,微處理器用該表中分配給該任務的訪問權更新寄存器111���。
而且,可采取措施在該表中給每個任務的執(zhí)行分配最小時間和最大時間���。然后����,微處理器可以在每個任務和開頭和結尾處訪問包括在外設管理電路78內(nèi)的一個時間計數(shù)器,并且可以檢查這樣測量的運行時間是在最小時間和最大時間之間����。如果不是這樣的情況,那么微處理器調(diào)用軟件錯誤管理器去處理錯誤�,而且如果合適的話,中斷有問題的任務或功能的后續(xù)運行�����,以抑制錯誤的影響����。
為了進一步增加由微處理器可尋址空間的結構帶來的操作安全性,可以由微處理器70在存儲器81��、82的未用區(qū)間填充可執(zhí)行代碼�,如果這些代碼碰巧被微處理器執(zhí)行,舉例來說��,該代碼將停下來或被鎖定�����,因而引起超過分配給該任務的最大時間。
圖10表示在圖1中以框圖形式示出的用于工業(yè)過程控制的電子設備的不同單元的維護的組織情況��。幾個關鍵的直觀顯示設備3-7��,處理組件2的容納裝置��,引擎參數(shù)測量設備10����、11和產(chǎn)生非關鍵數(shù)據(jù)的外圍設備13被維護總路線鏈接到處理組件1的容納裝置上,它封裝有一個維護單元�,通過通信總線鏈接到包括用于直觀顯示電子控制設備各單元的操作狀態(tài)的設備和用于隨后整理分析目的的記錄設備的維護終端20。
權利要求
1.用于工業(yè)過程控制的電子設備部件的模塊結構��,一方面包含容納由電源模塊(21)提供能量的數(shù)據(jù)匯集模塊(24�,25)和處理模塊(22-24)的容納裝置(1,2)���,另一方面����,包含關鍵的顯示設備(3-7)��,和通過數(shù)據(jù)傳輸裝置連接到關鍵的傳感器(8-11)�,非關鍵的傳感器(13)和執(zhí)行機構(12)的組件。其特征在于關鍵的傳感器(8-11)把它們的關鍵信息一方面直接傳輸給關鍵的顯示設備(3-7)���,另一方面?zhèn)鬏斀o容納裝置(1�����,2)中的匯集和處理模塊(24�,25)��,匯集模塊(24����,25)在來自于關鍵的(8-11)和非關鍵的(13)傳感器的數(shù)據(jù)的基礎上,通過一種多接收器串行數(shù)字總線獲取用于顯示設備(3-7)和處理模塊(22-24)的非關鍵數(shù)據(jù)���,處理模塊在來自于關鍵的傳感器(8-11)的數(shù)據(jù)和由匯集模塊(24��,25)輸出的非關鍵數(shù)據(jù)的基礎上���,獲取用于執(zhí)行機構(12)的命令。
2.根據(jù)權利要求1的電子設備部件的模塊結構����,其特征在于顯示設備(3-7)包含用于分析和直觀顯示源于關鍵傳感器(8-11)和非關鍵傳感器(13)而傳輸過來的數(shù)據(jù)的裝置����。
3.根據(jù)權利要求1或2的電子設備部件的模塊結構����,其特征在于每一個處理模塊(22-24)和數(shù)據(jù)匯集模塊都包含有同樣的處理卡(30),該卡上裝備有處理器和提供處理卡(30)與模塊(21-24)的直接輸入輸出之間連接的輸入/輸出卡(31��,31′�����,32��,33)���,處理卡包含存儲器(81)�����,它里面裝載著可以控制處理器的程序����,以完成模塊的功能。
4.根據(jù)以上權利要求中的任一個的電子設備部件的模塊結構��,其特征在于處理模塊(22-25)和數(shù)據(jù)匯集模塊被集成在一個機架上(1��,2)����,機架上包含主電源模塊(21)來完成加在機架上呈現(xiàn)為很寬的變化范圍的主電壓的預穩(wěn)壓功能��,為了提供呈現(xiàn)為較小變化范圍的預穩(wěn)壓主電壓�,機架上每個處理和數(shù)據(jù)匯集模塊(22-25)都包括DC電壓轉(zhuǎn)換器設備(41)以接收預穩(wěn)壓主電壓并提供給模塊(22-25)所需的電壓。
5.根據(jù)權利要求4的電子設備部件的模塊化結構�����,其特征在于主電源模塊(21)包含用于濾波(91�����,92)和過壓限幅(93�����,94)的裝置和連接到儲能設備(104)���、用于補嘗短時間電壓跌落的裝置��。
6.根據(jù)權利要求4或5的電子設備部件的模塊結構�,其特征在于主電源模塊(21)還包含一個電子電路斷路器(101-103),用于保護由機架(1���,2)供電的每個模塊(22-25)的短路���,該電路斷路器連接到機架上模塊的變換器設備(41)上,以給它提供一路預穩(wěn)壓的主電壓��。
7.根據(jù)權利要求3-6中的任一個的電子設備部件的模塊結構�����,其特征在于每個模塊(21-25)包含非易失性維護存儲器(43�,105),它里面存儲自檢結果和所有可能有助于模塊維護的事件��。
8.根據(jù)權利要求3-7中的任一個的電子設備部件的模塊結構��,其特征在于每個處理卡(22-24)都包含設備(73)����,該設備包含有—用于把微處理器可尋址空間分成可尋址的區(qū)域和可尋址的區(qū)間����、并分別為微處理器所執(zhí)行的每個功能和每個任務分配至少一個可尋址區(qū)域或至少一個可尋址區(qū)間的裝置(79)�,—用于把微處理器的利用時間分成周期性時隙,并把這些時隙分別分配給每個功能的運行的裝置(79)�����?�!糜谠诜峙浣o該功能的時隙里以預定的順序連續(xù)啟動每個功能的各任務的裝置���。—用于更新和存儲與被執(zhí)行的任務相對應的訪問權的裝置(111)和用于在每次訪問可尋址區(qū)間時檢查分配給當前任務的訪問權與那些被尋址的區(qū)間一致的裝置(113)�。
9.根據(jù)權利要求3-8中的任一個的電子設備部件的模塊結構,其特征在于可被處理器完成的每一任務所使用的存儲器部分被未被使用的區(qū)域所隔離�����。
10.根據(jù)權利要求9的電子設備部件的模塊結構�,其特征在于程序和數(shù)據(jù)存儲器(81,82)的未用區(qū)間填充了可被處理器(70)執(zhí)行的代碼���,通過處理器的停止或阻斷����,允許指出存儲器訪問錯誤。
11.根據(jù)權利要求3-10中的任一個的電子設備部件的模塊結構����,其特征在于所有的處理卡(22-24)都在存儲器里存儲了同樣的操作軟件,該軟件包含板卡的初始化和自檢功能��,多任務系統(tǒng)的實時管理功能����,和所有的處理模塊的共用功能庫。
12.根據(jù)權利要求1的的電子設備部件的模塊結構�����,其特征在于它包括一個維護單元和通過通信總線連接到維護單元上的維護終端(20)���,該維護單元放在一個容納裝置(1)中�,通過維護總線與另一個容納裝置(2)�、各顯示設備(3-7)、引擎參數(shù)測量設備(10�����,11)和非關鍵的傳感器(13)相連。
全文摘要
該電子設備的模塊結構包含數(shù)據(jù)匯集器模塊,處理模塊和顯示裝置(3-7)��。通過數(shù)據(jù)傳輸裝置與傳感器(13)測量儀器(8���、9���、13)和執(zhí)行機構(12)相連的數(shù)據(jù)匯集器模塊只匯集用于工業(yè)過程的非關鍵性數(shù)據(jù),這些數(shù)據(jù)通過帶有多接收器的串行數(shù)據(jù)總線傳輸?shù)狡渌K,其他模塊包含用于通過分別在顯示裝置和過程中執(zhí)行駕駛的功能之間,在傳感器(13),測量儀器(8、9�����、13)和執(zhí)行機構(12)之間的單獨的串行數(shù)字鏈路直接接收關鍵數(shù)據(jù)的裝置(14�����、15)���。
文檔編號G05B15/00GK1250530SQ9880334
公開日2000年4月12日 申請日期1998年2月20日 優(yōu)先權日1997年2月25日
發(fā)明者多米尼克·盧瓦斯, 讓-皮埃爾·勒杜, 帕特里克·薩迪耶 申請人:塞克斯丹航空電子公司