[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2004528637A - 放射線イベント後にフライト・クリティカル・コンピュータを回復する方法 - Google Patents

放射線イベント後にフライト・クリティカル・コンピュータを回復する方法 Download PDF

Info

Publication number
JP2004528637A
JP2004528637A JP2002572087A JP2002572087A JP2004528637A JP 2004528637 A JP2004528637 A JP 2004528637A JP 2002572087 A JP2002572087 A JP 2002572087A JP 2002572087 A JP2002572087 A JP 2002572087A JP 2004528637 A JP2004528637 A JP 2004528637A
Authority
JP
Japan
Prior art keywords
memory
program
damaged
controller
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002572087A
Other languages
English (en)
Other versions
JP2004528637A5 (ja
Inventor
リウ,チャン−ユー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell International Inc
Original Assignee
Honeywell International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell International Inc filed Critical Honeywell International Inc
Publication of JP2004528637A publication Critical patent/JP2004528637A/ja
Publication of JP2004528637A5 publication Critical patent/JP2004528637A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1492Generic software techniques for error detection or fault masking by run-time replication performed by the application software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1492Generic software techniques for error detection or fault masking by run-time replication performed by the application software
    • G06F11/1494N-modular type
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)

Abstract

複数のデータ・パーティションを含むオペレーショナル・プログラムの複数のバージョンを実行すること(ステップ33〜34)によってリアルタイム・コンピュータ・システムを回復する方法および装置が記載されている。複数のデータ・パーティションのそれぞれが、オペレーショナル・プログラムの1つのバージョンに関連付けられ、オペレーショナル・プログラムの複数あるバージョンのうちの1つが、「コントローラ」プログラムであり、他のバージョンが、「アイデンティティ・オブザーバー」プログラムである。コントローラメモリ・パーティションが損傷を受けると(ステップ35)、損傷を受けたメモリは、無傷のデータで上書きされる(ステップ37)。

Description

【技術分野】
【0001】
本発明は、リアルタイム・コンピュータ・システムに関し、より詳細には、過渡的放射現象(例えば、半導体素子内のトレースに宇宙線が衝突することによって生じるような過渡的放射現象)後に、リアルタイム・コンピュータ・システムを回復する方法に関する。
【背景技術】
【0002】
いくつかの種類の放射線は、マイクロ電子デバイス内で悪影響を誘発することが知られている。陽子および重イオンを含む宇宙放射線の高エネルギー粒子は、例えばフライト・クリティカル・コンピュータ、搭載衛星、高高度飛行する宇宙船および航空機などの電子装置の異常を引き起こす恐れがあることが良く知られている。単一の高エネルギー粒子は、内部の記憶素子の状態を変化させるのに十分な電荷を集積回路に蓄積する可能性があり、またさらに、複雑な内部動作の原因となる場合もある。可観測な状態の変化は、ビット・フリップ、ラッチした出力状態、および短絡を含むことができる。例えばロジック「0」からロジック「1」へというようなビット・フリップは、シングル・イベント・アップセット(SEU:Single Event Upset)として周知の過渡的故障モードの一例である。ラッチした出力状態は、シングル・イベント・ラッチアップ(SEL:Single Event Latch−up)として周知の潜在的な突発的故障モードの一例である。集積回路内の短絡は、冗長回路構成によって一般に軽減されるハード障害を一般に生じる。宇宙船をシングル・フライト・クリティカル・コンピュータ障害から保護するには、一般に冗長コンピュータが使用される。
【0003】
図1は、一般に宇宙船に搭載して使用することのできる三重冗長フライト・クリティカル・コンピュータのアーキテクチャを示している。冗長センサ15は、第1のコンピュータ11、第2のコンピュータ12、および第3のコンピュータ13に、入力を供給する。各コンピュータは、入力17、プロセッシング18、および出力19を含む。冗長コンピュータ11〜13のそれぞれからの出力は、冗長センサ16に送られる。さらに冗長コンピュータ11〜13は、コンピュータにデータ交換を可能にするクロス・チャネル・データ・リンク(CCDL:Cross−Channel Data Link)14と相互接続されている。
【0004】
未検出の過渡的故障は、ハード障害に発展する危険性があるので、例えば宇宙船航行コンピュータのような各フライト・クリティカル・コンピュータは、SEUおよびSELの両方を検出し、これらの両方から回復することができるということが重要である。当技術分野では、例えば電源をサイクル動作(オン、オフ、オン)することによるなどの再初期化方式によって、フライト・クリティカル・コンピュータを回復するということが知られている。コンピュータに対して電源をサイクル動作することは、エラーを誘発したSEUまたはSELを取り除くが、このことは、宇宙船を安定化させるようなタスクのために、コンピュータが使用不可能となる期間が生じる原因ともなる。
【0005】
図2は、宇宙船に搭載されていることが見られるような一般的なフライト・クリティカル・コンピュータのブロック図を示す。コンピュータは、中央処理装置(CPU)21を含み、中央処理装置(CPU)21は、アドレス・バス22とデータ・バス23とによって、不揮発性メモリ(NVM:NonVolatile Momory)24と、メモリ・マップされた入出力コントローラ25と、ランダム・アクセス・メモリ(RAM)ハードウェア・モジュール26〜28と、に接続されている。入出力コントローラ25は、例えばアナログ/デジタル変換器を使用して、入力17に接続されており、また、例えばリレー・ドライバを使用して、出力19に接続されている。オペレーショナル・フライト・プログラム(OFP:Operational Flight Program)は、初期化シーケンス中にランダム・メモリ・モジュール26〜28にロードされ、次いで実行される。
【0006】
CCDL14を介して別のコンピュータにアクセスせず、再初期化せずに、放射線環境でフライト・クリティカル・コンピュータを回復する周知の方法は、ランダム・アクセス・メモリ(RAM)26〜28に記憶されているコンピュータの状態データを、オペレーショナル・フライト・プログラム(OFP)の実行中に、放射線硬化した一時記憶装置に保存するというものである。例えばパリティ・チェックによるなどしてシングル・イベント・アップセット(SEU)が検出された場合、データは、その一時記憶装置からランダム・アクセス・メモリ(RAM)26〜28に、ダンプされ戻される。しかしこの従来技術による方式は、一時記憶装置内におけるデータの完全性を保証することができず、また冗長コンピュータ11〜13に、同期を失わせる危険性もある。さらに、回復したコンピュータは、次のSEUが発生する前に再度承認される必要があり、また、例えば軌道離脱燃焼の初期化など、再初期化がその期間中に実用的ではないミッションの重要な局面が、ある場合がある。
【0007】
最近では、耐故障性制御システムの研究・設計に、多大な努力が払われている。この研究の初期の関心は、制御システムに対する、故障検出、識別、および再構成(FDIR:Fault Detection, Identification and Reconfiguration)の適用である。飛行制御システムでのFDIRの共通目的は、欠陥のあるセンサ、欠陥のあるアクチュエータ、および制御表面設備破損による、輸送手段の損害を防止することである。一般的なFDIRの設計は、フライト・クリティカル・コンピュータ11が、欠陥のあるセンサ15からの誤ったデータの使用することと、欠陥のあるアクチュエータ16に対する不適切な制御の送出することと、を防止することを目指している。一般的なフライト・クリティカル・コンピュータは、故障検出/識別アルゴリズムと故障対処/再構成アルゴリズムとの両方を含む。故障検出/識別アルゴリズムは、一般に、制御法則に組み込まれているが、様々な制御ループの欠陥のあるコンポーネントを検出するように考案されている。再構成アルゴリズムは、一般に、例えば「ハードオーバー(hard−over)」アクチュエータのような欠陥のあるコンポーネントによって生じる悪影響を取り消す、輸送手段専用の適応性のある機構である。
【0008】
フライト・クリティカル・コンピュータを放射線イベントから自律的に高速で回復する機構が、長い間求められてきた。そのような機構は、当業者で既に使用可能な物理的冗長性と、故障の検出、識別、および再構成(FDIR)とを強化すべきものである。
【発明の開示】
【課題を解決するための手段】
【0009】
(発明の概要)
リアルタイムの自己回復機能は、フライト・クリティカル・コンピュータシステムでは現在使用されていない。考慮すべき事柄の1つは、デバイスのSEU率を正確に予測することが困難であるということである。さらに、自律的回復も、考慮すべき事柄を引き起こす原因となっている。何故ならば、無支援の、すなわち命令を受けていないコンピュータの回復は、フライト・クリティカル・コンピュータが、擬似警報によってシステム・リセットを実行し得ることを意味するからである。
【0010】
フライト・クリティカル・コンピュータのリアルタイムの自己回復に関する本発明は、アプリケーション・ソフトウェアでそれを実現することができるように、解析冗長性の概念に基づいていており、各フライト・クリティカル・コンピュータのサバイバビリティを高めるために、追加の放射線硬化したデバイスまたは他の独自開発の回路構成を必要としない。本発明の方法は、現在使用可能なリアルタイム・オペレーティングシステム(RTOS:Real−Time Operating System)ソフトウェア又は従来技術で使用可能なオペレーショナル・フライト・プログラム(OFP)に対する大幅な変更を必要とせず、より高速な中央処理装置(CPU)およびより大きな記憶容量を有するハードウェア・メモリ・モジュールを使用することが有利である。
【0011】
解析冗長性は、物理的冗長性からの出力に相当する合成出力を生成するために、オペレーショナル・フライト・プログラム(OFP)で処理されるシステム変数間の関数関係を使用する。これらの合成出力は、フライト・クリティカル・コンピュータ11〜13のそれぞれの中央処理装置(CPU)21で同一または類似のオペレーショナル・フライト・プログラム(OFP)の複数のバージョンを連続的に実行して、それらの結果を比較することによって、作成される。このようにして、本発明者の発明の一態様によれば、同一または類似のコンピュータプログラムの複数のバージョンは、あらかじめ1つのコピーを実行するために必要な時間枠内において、同一プロセッサ上で実行される。本発明者の発明の一態様は、それら複数のOFPのそれぞれが、別個のハードウェア・ランダム・アクセス・メモリ(RAM)モジュールに配置された専用メモリ・パーティションに関連付けられるというものである。
【0012】
例えば図2に示す一般的なフライト・クリティカル・コンピュータは、OFPの3つのバージョンを有する場合があるが、その場合、各バージョンは、RAMモジュール26、27、および28に、それぞれ配置される。本発明者の発明によれば、例えば宇宙線イベントによって生じるようなシングル・イベント・アップセット(SEU)の影響は、1つのメモリ・パーティションに含まれるデータ値で顕在化する。
【0013】
オペレーショナル・フライト・プログラム(OFP)のうちの1つは、「コントローラ」OFPに指定されており、その他のOFPは、「オブザーバー」OFPに指定されている。コントローラOFPは、フライト・クリティカル・コンピュータに取り付けられたデバイスの制御を担当している。オブザーバーOFPは、コントローラOFPのコピーであってもよく、或いは、コントローラのすべての状態を複製する代替設計であってもよい。
【0014】
各OFPは、故障検出/分離アルゴリズムを含み、そのOFPから生じたデータが、他のOFPから生じたデータと比較される。コントローラOFPが、無効であると宣言されている場合、オブザーバーのうちの1つが、コントローラに指定される。本発明者の発明の別の態様において、有効なOFPに関連付けられたメモリ・パーティションのデータ・イメージをコピーすることによって、それぞれの無効なOFPが回復される。コントローラOFPは、データセット回復後に、オブザーバーOFPになる。
なお、本発明者の発明は、図面を検討することによって、完全に理解することができる。
【発明を実施するための最良の形態】
【0015】
本発明を実現するモード
アイデンティティ・オブザーバーは、メモリ・モジュールの別個のデータ・パーティションにおけるコントローラのオペレーショナル・フライト・プログラムの状態データを複製する。本発明者の発明の一態様によれば、欠陥のあるコントローラは、欠陥のあるデータ・パーティションのデータ・イメージを正常なデータ・パーティションのデータ・イメージで置き換えることによって、回復することができる。耐故障性制御の見地から見たそのような方式を適用する方法を、以下で説明する。
【0016】
図1を再度参照すると、本発明者の発明を使用することができる汎用輸送手段管理システム(VMS:Vehicle Management System)の機能コンポーネントが示されており、汎用輸送手段管理システム(VMS)は、数レーンの冗長輸送手段管理コンピュータ(VMC:Vehicle Management Computer)11〜13と、冗長入力センサ15と、冗長出力アクチュエータ16と、を含んでいる。冗長なシステムのすべてのレーンで、同一のハードウェアおよびソフトウェアを使用することができる。VMCは、例えば、飛行モード・ロジックおよび制御法則を実行し、入力信号と出力信号を管理するフライト・クリティカル・コンピュータであってよい。一般に、VMCは、以下のタスクの一部またはすべてを実行することができる:
・航行および誘導
・飛行管制
・推力制御
・火器管制
・武器庫管理
・ミッション管理。
【0017】
冗長フライト・クリティカル・コンピュータ11〜13は、冗長性管理システム(RMS:Redundancy Management System)によって管理される。RMSは、入力信号と出力信号で起こり得る故障を検出してこれに対処する耐故障性機構である。一実施形態では、RMSは、故障検出に関して多数決を使用する。冗長コンピュータは、専用クロス・チャネル・データ・リンク(CCDL)14を使用して相互に通信するが、そのリンクでRMSは、各レーンから選択されたデータを投票用に分配する。一般に、冗長性管理システム(RMS)は、以下のタスクの一部またはすべてを実行することができる:
・故障検出/分離
・故障への対処
・冗長コンポーネントの再構成
・欠陥のあるコンポーネントの回復
・レーンの再承認。
【0018】
アイデンティティ・オブザーバーが元のシステムに対する解析冗長性という特徴を有していると仮定するならば、アイデンティティ・オブザーバーは、元のシステムの状態ベクトルを回復するように設計することができる。VMS機能を元のシステムと想定し、本明細書で使用する「コントローラ」という用語が一般にVMS機能を示すと想定すると、アイデンティティ・オブザーバーは、コントローラの状態データを追跡するように、構築することができる。
【0019】
アイデンティティ・オブザーバーは、コントローラに直列に接続されているが、これはコントローラの計算とオブザーバーの計算とを連続して実行することができるということを意味している。これによって、本発明者らは、本発明者らの単一オブザーバーの概念を一連のオブザーバーの概念に拡大することが可能になる。アレイのアイデンティティ・オブザーバーを、相応に設計することができる。これによって、コントローラと一連のオブザーバーの両方で、データの回復が可能となる。
【0020】
再度図2を参照すると、それぞれの分割されたランダム・アクセス・メモリ(RAM)ハードウェア・モジュール26〜28は、専用データ・メモリ・パーティション・マネージャによって、操作される。同様に、プログラム・メモリに常駐しているプログラム・コードも、専用プログラム・パーティション・マネージャによって、操作される。入力信号管理(ISM:Input Signal Management)ブロックに接続されているハードウェア・タイマーは、実行時オペレーショナル・フライト・プログラム(OFP)の実行をスケジュール設定するように、考案されている。故障検出、識別、および回復(FDIR)手順の起動を調整するために、別のハードウェア・タイマーが、FDIRブロックに接続されている。
【0021】
本発明者の発明の一実施形態の方法ステップを示す図3と、コンピュータ・メモリ割り振り方式を示す図7とを次に参照する。まずメモリ・ブロックを分離して、空間冗長性を提供するために、プログラム・メモリ空間(ソフトウェア)は、システムRAM26〜28のバンク(ハードウェア)に従って分割されるが(ステップ31)、この場合、各メモリ・パーティションは、飛行コンピュータのハードウェア・メモリ・デバイスに対応している。図7に示すようにプログラム・メモリ・データ・セグメント71とプログラム・メモリ・コード・セグメント73とを含むハードウェア分離メモリ・ブロック70は、オペレーショナル・フライト・プログラム(OFP)の状態データに対処するように、割り振られている。本発明者の発明の一態様において、ハードウェア分離メモリ・ブロックは、コントローラ・オペレーショナル・フライト・プログラム(OFP)に割り当てられており、別個のハードウェア分離メモリ・ブロックは、オブザーバー・オペレーショナル・フライト・プログラム(OFP)のそれぞれに割り当てられている。本発明者の発明の別の態様において、各OFPの実行時部分は、その割り当てられたパーティション内のRAMにのみアクセスするように、カプセル化されている。
【0022】
実行可能なオペレーショナル・フライト・プログラム(OFP)の1つのバージョンは、フライト・クリティカル・コンピュータの不揮発性メモリ(NVM)24から、それぞれのハードウェア分離メモリ・ブロック70にダウンロードされ(ステップ32)、各ハードウェア分離メモリ・ブロックは、システムRAM26〜28のそれぞれのバンクに含まれている。OFPの各バージョンは、他の各バージョンの「アイデンティティ・オブザーバー」だが、これは、すべての状態変数が、OFPの反復の終わりにおいて、対応する値を有していることを意味している。
【0023】
時間冗長性を提供するために、コントローラ・オペレーショナル・フライト・プログラム(OFP)が実行され(ステップ33)、次いで、各オブザーバーOFPが、所定の順番で実行される(ステップ34)。本発明者の発明の好ましい一実施形態では、各OFPの順序付けられた実行は、専用のハードウェア・タイマーによって、スケジュール設定される。
【0024】
コントローラOFPメモリ・パーティションが損傷を受けているか否かを判定するために、コントローラOFPの出力に、故障検出/分離(FDI:Fault Detection and Isolation)手順が、実行される(ステップ35)。現在「コントローラ」OFPであるメモリ・パーティションが損傷を受けていると判定されると、別のメモリ・パーティションが、「コントローラ」になるように、割り当てられる(ステップ36)。
【0025】
一実施形態では、図4に示すように、コントローラOFPメモリ・パーティション内のデータは、他の「オブザーバー」メモリ・パーティションの対応するデータに対してコントローラOFPメモリ・パーティション内のデータの多数決を実行(ステップ351)することによって、チェックされる。パーティション内のデータが、多数決の結果と一致しない場合、それは、損傷を受けているものとマーク付けされる(ステップ352)。コントローラOFPパーティション内のデータが、損傷を受けている場合、「新しいコントローラを割り当てよ」を、設定することができる(ステップ353)。他の実施形態では、異なる故障検出/分離方式(例えば、パリティ・チェックまたはクロス・チャネル比較)が、多数決の代わりに、または、多数決に加えて使用される。
【0026】
図3を参照すると、メモリ・パーティションのうちの1つで、エラーのあるデータが検出された場合、そのデータは、損傷を受けていないメモリ・パーティションからの無傷のデータで、上書きされる(ステップ37)。これによって、フライト・クリティカル・コンピュータは、1回の反復(時間枠)内にシングル・イベント・アップセット(SEU)から回復することが可能になることが有利である。
【0027】
図5は、データを上書きする方法ステップ(ステップ37)のサブステップを詳述している。複数のシングル・イベント・アップセット(SEU)が発生していることを示す、複数のメモリ・パーティションが損傷を受けているか否かがまず判定される(ステップ371)。例えば、複数のメモリ・パーティションが損傷を受けている場合、「クロス・チャネル・データ・リンクを使用せよ」フラグを設定することができ(ステップ372)、メモリ・パーティションが損傷を受けているコンピュータをリセットして、当業者には周知の方法を使用して、クロス・チャネル・データ・リンク14を介してそのメモリ・パーティションを再構成することができる。
【0028】
シングル・イベント・アップセット(SEU)に対応して1つのメモリ・パーティションで、損傷を受けたデータが発生した場合、その損傷を受けたデータは、上述した故障検出、識別、および再構成(FDIR)機能によって判定されたように、無傷のデータで上書きされる(ステップ373)。好ましい実施形態では、損傷を受けたデータが、図7に示すようにコードセグメント72に配置されている場合、無傷のデータは、不揮発性メモリ(NVM)24に含まれるコード・ファームウェアに上書きされ(ステップ374)、これによって、NVMにある可能性のあるデータ・エラーが排除される。
【0029】
本発明は、フライト・クリティカル・コンピュータをCPU、プログラム・メモリ・データ・セグメント71、およびプログラム・メモリ・コード・セグメント73内のSEU誘発エラーから、回復されることが有利である。正常なメモリ・パーティション内のデータ・イメージを複製することによって、欠陥のあるコンピュータは、最低回数のOFP反復で、回復することができる。
【0030】
図6は、損傷を受けたメモリ・パーティションが損傷を受けた後、飛行コンピュータの動作を続行するか否かを判定するステップ(ステップ38)のサブステップを詳述している。損傷を受けたメモリ・パーティションを再検証するために各パーティションに含まれるデータに関する多数決がまず実行される(ステップ381)。損傷を受けていると判定された(ステップ382)メモリ・パーティションごとに、オペレーショナル・フライト・プログラムおよびデータが、クロス・チャネル・データ・リンク(CCDL)14から、各損傷を受けたメモリ・パーティションに、ダウンロードされる(ステップ383)。各パーティションに含まれるデータに関して、別の多数決が実行され(ステップ385)、複数のメモリ・パーティションが損傷を受けたままであるか否かが判定される(ステップ385)。複数のメモリ・パーティションが損傷を受けている場合、飛行コンピュータがオフラインで取られるべきであるということを示す「続行を止められたし」フラグが設定される(ステップ386)。
【0031】
アイデンティティ・オブザーバー
ルーエンバーガー(Luenberger)のアイデンティティ・オブザーバー定理に従って構成されたアイデンティティ・オブザーバーのブロック図を示す図8を次に参照する。完全に観測可能な有限次元の時間不変動的システムを、以下の線形定係数微分方程式によって説明する。
【0032】
【数1】
Figure 2004528637
【0033】
上式でxc(k)∈Rnは、システム状態のベクトルであり、xc(0)およびyc(0)は、システムの初期状態のベクトルであり、u(k)∈Rmは、システム入力のベクトルであり、yc(k)∈Rpは、システム出力のベクトルである。A、B、C、およびDは、適切に大きさを示した実数の定数行列である。
【0034】
上記方程式のどのコンポーネントのデータの摂動も、出力の異常y(t)を生じる。外乱がどのコンポーネントの大きさを変更したかを識別するために、元のシステムの数学的記述で構築されたオブザーバーを、元のシステムの状態を追跡するために、使用することができる。複数ある周知のオブザーバー設計のうち、元のシステムに対して高度の冗長性を所有するものが、アイデンティティ・オブザーバーである。アイデンティティ・オブザーバーは、元のシステムのすべての状態変数を再構成する。
【0035】
本発明者の発明で使用するのに適したシステムは、コントローラOFPとオブザーバーOFPとを含む。システムRAMは、OFPごとに分割されている。パーティションのサイズは、メモリ・アドレスの直接マッピングを可能にするように、均等に割り振られている。各OFPのプログラム・コードは、冗長プログラム・メモリに常駐している。実行時OFPブロック、FDIRブロック、データ回復アルゴリズムのブロック、およびプログラム回復アルゴリズムのブロックは、リアルタイム・プログラム実行を表す方法で、配置されている。このアーキテクチャは、例えば入力信号管理(ISM)および出力信号管理(OSM)のような他の必須の機能ブロックを含む。
【0036】
図8に示すルーエンバーガーのアイデンティティ・オブザーバーは、以下の線形定係数微分方程式に従って、構成される。
【0037】
【数2】
Figure 2004528637
【0038】
【数3】
Figure 2004528637
【0039】
上式で、xo(k)∈Rnは、オブザーバー状態のベクトルであり、yo(k)∈Rpは、オブザーバー出力のベクトルであり、K∈Rnxpは、元のシステムの状態ベクトルを近似するためにオブザーバーの状態ベクトルを動かす係数行列である。他のコンポーネントは、元のシステムで指定されたコンポーネントと同一である。
【0040】
オブザーバーの状態ベクトルxo(0)の初期状態が、元のシステムの状態ベクトルxc(0)の初期状態に等しい場合、アイデンティティ・オブザーバーは、元のシステムの解析的に冗長なシステムである。他の場合は、適切に指定されたK行列が、オブザーバーと元のシステムの間のエラーベクトルを0に動かすことができる。
【0041】
実施形態の一例
本節では、回復のためのコントローラ・オブザーバー設計で、本発明者の発明に従い、K行列例を使用して、システム・アーキテクチャの一例を示すために、高度保持自動操縦コントローラを取り上げる。ピッチ軸に沿った航空機力学の数学的表現例は、この全状態フィードバック制御システムのプラントとして、機能する。プラントは、sドメインの状態空間方程式と出力方程式によって、方程式4に記述した連続系である。
【0042】
【数4】
Figure 2004528637
【0043】
プラントは、入力hrefとz0(t)および出力p0(t)を使用して、第1のメモリ・パーティションMP0で、コントローラHにより安定化される。プラントの表現を方程式5に示す。
【0044】
【数5】
Figure 2004528637
【0045】
図17は、本発明者の発明の一例である実施形態を実施する制御システムのブロック図を示している。このブロック図は、マスター・スケジューラ171、実行時コントローラ172、オブザーバー173〜174、FDIRモジュール176、および特定の他の機能ブロックから構成されている。航空機力学ピッチ軸のような航空機プラント180は、連続的に接続されたコントローラ172とオブザーバー173〜174によって制御される。コントローラとオブザーバーの間で初期状態を等しく保つ機構が、マスター・スケジューラ171に常駐している。一実施形態では、第1のオブザーバー173と第2のオブザーバー174は、コントローラ172と同じアーキテクチャおよびセッティングを使用する。さらに一対ごとの比較を使用する故障検出(FD)プロセスは、出力間の誤差を生成し、これは、方程式6に示すように、第2のメモリ・パーティションMP1で、第1のオブザーバーに追加される。
【0046】
【数6】
Figure 2004528637
【0047】
第3のメモリ・パーティションMP2の第2のオブザーバーは、第1のオブザーバーと同様の方法で、構成されている。方程式7は、第2のオブザーバーの表現を示している。
【0048】
【数7】
Figure 2004528637
【0049】
各パーティションの故障モードMPi,statusは、当業者に周知の故障分離プロセスによって評価される。メモリ・パーティションのうちの1つで異常が検出されると、まず出力優先Tokenoutputが、故障対処に関して評価され、次いで、欠陥のあるメモリ・パーティションを回復するために、データ・イメージ複製プロセスMRが開始される。コントローラが出力優先を保持するので、欠陥のあるコントローラの場合は出力優先のトークンが変更する。出力優先のトークンは、メモリ・パーティションの故障モードに従って割り当てられる。トークンを取得するメモリ・パーティションのデータ・イメージは、欠陥のあるメモリ・パーティションのデータ・イメージに取って替わるベースラインとして機能する。一般化されたプロセスが、方程式8で数学的に示される。
【0050】
【数8】
Figure 2004528637
【0051】
さらに図2を参照すると、システムRAM26〜28はコントローラ172とオブザーバー173〜174の動作に対処するために、分割される。十分なメモリも、FDIR機能に割り当てられる。任意の所与の2つのパーティション間でメモリ・アドレスを直接的にマッピングすることを可能にするために、パーティションのサイズは、コントローラとオブザーバーの間で、均等に割り振られる。各メモリ・パーティションは、透視メモリ・パーティションを構成するために、専用メモリ・パーティション・マネージャによって操作される。メモリ・マネージャは、コントローラ172とオブザーバー173〜174の初期状態を、等しく保つ。マスター・スケジューラブロックは、初期状態を保持しながら、事前定義された時間枠内で実行時コントローラとオブザーバーを起動するように、考案されている。故障検出プロセスは、コントローラ172およびオブザーバー173〜174からの出力の準備に従って、進行する。最後のFDIR手順は、プラント180に対する制御の出力の前に、トリガされる。さらに、FDIRプロセスは、欠陥のあるコントローラまたは欠陥のあるオブザーバーでメモリ回復手順を開始するように、メモリ回復マネージャ182〜184に命令する。
【0052】
基準入力href=1000.0が与えられると、60秒の非実時間シミュレーションが、Mathworks社製のSIMULINK(商標)によって実行された。SEUが、15.0秒間に5.0秒間隔で発生すると想定した場合、それらのイベントをシミュレーションするために、データ・エラーが注入された。図9〜図13は、検出されたシングル・イベント・アップセット(SEU)の順番を示している。図9に示すように、SEUは、第1のメモリ・パーティションのコントローラで、10.0秒の時点で検出されている。図10は、SEUが第2のメモリ・パーティションのオブザーバーで、15.0秒の時点で検出されていることを示しており、図11は、SEUが第3のメモリ・パーティションのオブザーバーで、20.0秒の時点で検出されていることを示している。図14〜図15は、各SEUの検出後にトリガされたメモリ回復の試みの順番および継続時間を示している。図16は、そのようなシナリオにおける制御システムの時間応答を示している。
【0053】
本発明者の発明は、放射線によって生じたシングル・イベント・アップセット後のフライト・クリティカル・コンピュータの実時間の回復を提供することが有利である。例示の実施形態に示すように、コントローラの性能は、SEUが連続して発生した後で、劣化しない。
【0054】
代替実施形態
本発明の趣旨または範囲を逸脱せずに代替実施形態を考案することができる。
【0055】
本明細書で使用した略語リスト
本明細書で使用した略語のリストをアルファベット順で以下に示す。
CCA 回路カードアセンブリ
CCDL クロス・チャネル・データ・リンク
CPU 中央処理装置
FDIR 故障検出、識別、および再構成
I/O 入出力
ISM 入力信号管理
NVM 不揮発性メモリ
OFP オペレーショナル・フライト・プログラム
OSM 出力信号管理
PID 比例、積分および導関数(コントローラ)
RAM ランダム・アクセス・メモリ
RMS 冗長性管理システム
RTOS リアルタイム・オペレーティングシステム(ソフトウェア)
SEL シングル・イベント・ラッチアップ
SEU シングル・イベント・アップセット
VMC 輸送手段管理コンピュータ
CPU 中央処理装置
CPU 中央処理装置
【図面の簡単な説明】
【0056】
【図1】従来技術に見られるような一組の三重冗長フライト・クリティカル・コンピュータを示す図である。
【図2】メモリ・マップされた入力と出力を含む一般的なフライト・クリティカル・コンピュータの内部ブロック図である。
【図3】本発明の一例である実施形態によるフライト・クリティカル・コンピュータを回復する手順を示す流れ図である。
【図4】本発明による、図3の手順の具体的な詳細を示す図である。
【図5】本発明による、図3の手順の具体的な詳細を示す図である。
【図6】本発明による、図3の手順の具体的な詳細を示す図である。
【図7】メモリ・マップされた入力と出力を含む一般的なフライト・クリティカル・コンピュータの内部ブロック図を示す別個のハードウェア・モジュールに含まれるメモリ・パーティションのレイアウトを示す図である。
【図8】本発明者の発明で使用するのに適したルーエンバーガーのアイデンティティ・オブザーバー定理に従って構成されたアイデンティティ・オブザーバーのブロック図である。
【図9】本発明者の発明の一例である一実施形態に関する出力優先のトークンを示す図である。
【図10】本発明者の発明の一例である実施形態に関するメモリ・パーティション1に対するエラー検出フラグを示す図である。
【図11】本発明者の発明の一例である実施形態に関するメモリ・パーティション2に対するエラー検出フラグを示す図である。
【図12】本発明者の発明の一例である実施形態に関するメモリ・パーティション3に対するエラー検出フラグを示す図である。
【図13】本発明者の発明の一例である実施形態に関するメモリ・パーティション1におけるメモリ回復フラグを示す図である。
【図14】本発明者の発明の一例である実施形態に関するメモリ・パーティション2におけるメモリ回復フラグを示す図である。
【図15】本発明者の発明の一例である実施形態に関するメモリ・パーティション3におけるメモリ回復フラグを示す図である。
【図16】本発明者の発明の一例である実施形態に関する「高度」対「高度基準」の時間応答を示す図である。
【図17】本発明者の発明の一例である実施形態のシステム・アーキテクチャを示す図である。

Claims (9)

  1. メモリ・モジュールを有するコンピュータのリアルタイム回復方法であって、
    各メモリ・モジュールを複数のメモリ・パーティションに分割するステップであって、各メモリ・パーティションが、コンピュータのハードウェア・デバイスに対応する、ステップと、
    コンピュータに対するオペレーショナル・プログラムの1つのバージョンを前記メモリ・パーティションのそれぞれにダウンロードするステップであって、1つのパーティションの1つのバージョンが、コントローラに指定されており、他のパーティションの残りのバージョンが、オブザーバーに指定されている、ステップと、
    前記コントローラ・プログラムと前記オブザーバー・プログラムを実行するステップと、
    前記コントローラ・プログラムを含んでいるメモリ・パーティションが損傷を受けているか否かを判定するステップであって、そのように判定された場合、前記オブザーバー・プログラムのうちの1つを新しいコントローラ・プログラムに指定するステップと、
    損傷を受けたパーティションを無傷のデータで上書きするステップと、
    を含む方法。
  2. 請求項1に記載の方法であって、該方法はさらに、前記損傷を受けたパーティションの前記コントローラ・プログラムをオブザーバー・プログラムに再指定するステップを含む方法。
  3. フライト・コンピュータのリアルタイム自己回復方法であって、
    プログラム・メモリ空間を複数のメモリ・パーティションに分割するステップであって、各メモリ・パーティションが、フライト・コンピュータのハードウェア・デバイスに対応する、ステップと、
    オペレーショナル・フライト・プログラムの1つのバージョンを前記メモリ・パーティションのそれぞれにダウンロードするステップであって、オペレーショナル・フライト・プログラムの1つのバージョンが、コントローラに指定されており、オペレーショナル・フライト・プログラムの残りのバージョンが、オブザーバーに指定されている、ステップと、
    コントローラ・オペレーショナル・フライト・プログラムを実行するステップと、
    前記オブザーバー・オペレーショナル・フライト・プログラムのそれぞれを連続的に実行するステップと、
    前記コントローラ・オペレーショナル・プログラムを含んでいるメモリ・パーティションが損傷を受けているか否かを判定するステップであって、そのように判定された場合、前記複数のオブザーバー・オペレーショナル・フライト・プログラムのうちの1つをコントローラ・オペレーショナル・フライト・プログラムに割り当てるステップと、
    損傷を受けたメモリ・パーティションを無傷のデータで上書きするステップと、
    を含む方法。
  4. 請求項3に記載の方法であって、コントローラ・オペレーショナル・フライト・プログラムを実行する前記ステップ、および、前記オブザーバー・オペレーショナル・フライト・プログラムのそれぞれを連続的に実行する前記ステップが、専用ハードウェア・タイマーによって、それぞれに開始される、方法。
  5. 請求項3に記載の方法であって、前記オブザーバー・オペレーショナル・フライト・プログラムのそれぞれを連続的に実行する前記ステップがさらに、
    前記メモリ・パーティションのそれぞれに含まれているデータに関して多数決を実行するステップと、
    前記多数決の結果と一致しない各メモリ・パーティション内のデータをマーク付けするステップと、
    前記コントローラ・オペレーショナル・フライト・プログラムを含んでいるメモリ・パーティション内のデータが損傷を受けている場合にフラグをセットするステップと、
    を含む、方法。
  6. 請求項3に記載の方法であって、損傷を受けたメモリ・パーティションを無傷のデータで上書きする前記ステップがさらに、
    複数の前記メモリ・パーティションが損傷を受けているか否かを判定するステップであって、そのように判定された場合、
    複数のメモリ・パーティションが損傷を受けていることを示すフラグをセットするステップと、
    前記第2のフラグがセットされていない場合、損傷を受けたメモリ・パーティションのデータを上書するステップと、
    を含む、方法。
  7. 請求項6に記載の方法であって、該方法はさらに、損傷を受けたデータが前記損傷を受けたメモリ・パーティションのコードセグメント内にあるか否かを判定するステップであって、そのように判定された場合、コード・ファームウェアを無傷のデータで上書するステップを含む、方法。
  8. 請求項6に記載の方法であって、複数のメモリ・パーティションが損傷を受けていることを示す前記フラグがセットされている場合、該方法はさらに、
    オペレーショナル・フライト・プログラムの1つのバージョンをクロス・チャネル・データ・リンクから前記メモリ・パーティションのそれぞれにダウンロードするステップと、
    前記メモリ・パーティションのそれぞれに含まれているデータに関して多数決を実行するステップと、
    前記多数決の結果と一致しない各メモリ・パーティション内のデータを、損傷を受けているとマーク付けするステップと、
    複数の前記メモリ・パーティション内のデータが損傷を受けている場合、第2のフラグをセットするステップと、
    を含む方法。
  9. 請求項3に記載の方法であって、前記コントローラ・オペレーショナル・フライト・プログラムを含んでいるメモリ・パーティションが損傷を受けている場合、該方法はさらに、
    前記コントローラ・オペレーショナル・フライト・プログラムをオブザーバー・オペレーショナル・フライト・プログラムに再指定するステップを
    含む方法。
JP2002572087A 2001-03-12 2002-03-12 放射線イベント後にフライト・クリティカル・コンピュータを回復する方法 Pending JP2004528637A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US27554401P 2001-03-12 2001-03-12
PCT/US2002/007666 WO2002073505A1 (en) 2001-03-12 2002-03-12 Method of recovering a flight critical computer after a radiation event

Publications (2)

Publication Number Publication Date
JP2004528637A true JP2004528637A (ja) 2004-09-16
JP2004528637A5 JP2004528637A5 (ja) 2005-12-22

Family

ID=23052751

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002572087A Pending JP2004528637A (ja) 2001-03-12 2002-03-12 放射線イベント後にフライト・クリティカル・コンピュータを回復する方法

Country Status (9)

Country Link
US (1) US6954875B2 (ja)
EP (1) EP1379950A4 (ja)
JP (1) JP2004528637A (ja)
KR (1) KR20030082983A (ja)
AU (1) AU2002245678C1 (ja)
CA (1) CA2440887A1 (ja)
IL (1) IL157911A0 (ja)
NZ (1) NZ528503A (ja)
WO (1) WO2002073505A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008215345A (ja) * 2007-01-30 2008-09-18 Hispano Suiza 航空機エンジンの監視方法
JP2010083480A (ja) * 2008-09-30 2010-04-15 General Electric Co <Ge> 飛行制御システムを再起動するための方法およびシステム
JP2014146197A (ja) * 2013-01-29 2014-08-14 Mitsubishi Heavy Ind Ltd システム管理装置およびシステム
JP2016031657A (ja) * 2014-07-29 2016-03-07 三菱重工業株式会社 システム管理装置およびシステム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6813527B2 (en) 2002-11-20 2004-11-02 Honeywell International Inc. High integrity control system architecture using digital computing platforms with rapid recovery
US7112479B2 (en) * 2004-08-27 2006-09-26 Micron Technology, Inc. Methods of forming gatelines and transistor devices
FR2881243B1 (fr) * 2005-01-24 2007-04-27 Peugeot Citroen Automobiles Sa Procede et systeme de reconfiguration par poursuite de calculateurs redondants d'une architecture distribuee tolerante aux fautes, notamment de vehicule automobile
US7789345B2 (en) * 2005-03-03 2010-09-07 Nabtesco Corporation Actuator control apparatus
US20100318245A1 (en) * 2005-03-03 2010-12-16 Nabtesco Corporation Flight control system
US9195397B2 (en) 2005-04-20 2015-11-24 Axxana (Israel) Ltd. Disaster-proof data recovery
CN100543691C (zh) * 2005-04-20 2009-09-23 阿克萨纳(以色列)有限公司 远程数据镜像系统
ES2328057T3 (es) 2006-05-16 2009-11-06 Saab Ab Sistema de control tolerante a fallos.
ATE550762T1 (de) * 2006-06-07 2012-04-15 Bae Sys Inf & Elect Sys Integ Universelle nicht flüchtige hilfsvorrichtung zur unterstützung von rekonfigurierbaren verarbeitungssystemen
EP2201456A4 (en) * 2007-10-08 2012-02-15 Axxana Israel Ltd SYSTEM FOR QUICK DATA RECOVERY
JP5095344B2 (ja) * 2007-10-19 2012-12-12 本田技研工業株式会社 データ書き込み装置
EP2286343A4 (en) * 2008-05-19 2012-02-15 Axxana Israel Ltd ROBUST DATA STORAGE IN THE EVENT OF REPLICATION ERRORS AND ROLLING DISASTERS
WO2010076755A2 (en) * 2009-01-05 2010-07-08 Axxana (Israel) Ltd Disaster-proof storage unit having transmission capabilities
US8751860B2 (en) 2009-06-03 2014-06-10 Micron Technology, Inc. Object oriented memory in solid state devices
WO2011067702A1 (en) 2009-12-02 2011-06-09 Axxana (Israel) Ltd. Distributed intelligent network
FR2978264B1 (fr) * 2011-07-18 2014-06-27 Airbus Operations Sas Un procede de rechargement automatique de logiciel et un dispositif de rechargement automatique de logiciel
KR101333468B1 (ko) * 2012-04-25 2013-11-26 한국항공우주산업 주식회사 비행제어컴퓨터의 채널 아이디 점검 방법 및 그 방법을 실행하기 위한 컴퓨터 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
US9104639B2 (en) 2012-05-01 2015-08-11 SEAKR Engineering, Inc. Distributed mesh-based memory and computing architecture
US10769028B2 (en) 2013-10-16 2020-09-08 Axxana (Israel) Ltd. Zero-transaction-loss recovery for database systems
WO2016013116A1 (ja) * 2014-07-25 2016-01-28 株式会社日立製作所 ストレージ装置
US10379958B2 (en) 2015-06-03 2019-08-13 Axxana (Israel) Ltd. Fast archiving for database systems
US10592326B2 (en) 2017-03-08 2020-03-17 Axxana (Israel) Ltd. Method and apparatus for data loss assessment

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5134619A (en) * 1990-04-06 1992-07-28 Sf2 Corporation Failure-tolerant mass storage system
US5363502A (en) * 1990-06-08 1994-11-08 Hitachi, Ltd. Hot stand-by method and computer system for implementing hot stand-by method
DE69131551T2 (de) * 1990-11-09 2000-02-17 Emc Corp., Hopkinton Logische Aufteilung eines Speichersystems mit redundanter Matrix
US5530949A (en) * 1991-03-19 1996-06-25 Fujitsu Limited Transmission equipment
US5649089A (en) * 1994-11-30 1997-07-15 Motorola, Inc. Method and apparatus for maintaining a redundant database system
DE19525149A1 (de) * 1995-07-11 1997-01-16 Telefunken Microelectron Verfahren zum selbsttätigen Erkennen und Korrigieren eines ungültigen Datensatzes und System zu seiner Durchführung
US5793943A (en) * 1996-07-29 1998-08-11 Micron Electronics, Inc. System for a primary BIOS ROM recovery in a dual BIOS ROM computer system
TW400469B (en) * 1997-07-08 2000-08-01 Winbond Electronics Corp Device capable of fixing programs in embedded microprocessor
US6430663B1 (en) * 1998-07-06 2002-08-06 Adaptec, Inc. Methods for selecting a boot partition and hiding a non-selected partition
US6195695B1 (en) * 1998-10-27 2001-02-27 International Business Machines Corporation Data processing system and method for recovering from system crashes
TW446864B (en) * 1999-05-11 2001-07-21 Micro Star Int Co Ltd Automatic BIOS backup method
JP4462697B2 (ja) * 2000-01-31 2010-05-12 株式会社日立製作所 記憶制御装置
US6615375B1 (en) * 2000-02-03 2003-09-02 International Business Machines Corporation Method and apparatus for tolerating unrecoverable errors in a multi-processor data processing system
US6665813B1 (en) * 2000-08-03 2003-12-16 International Business Machines Corporation Method and apparatus for updateable flash memory design and recovery with minimal redundancy
US6941488B2 (en) * 2000-08-04 2005-09-06 Seagate Technology Llc Retrieval of a single complete copy from multiple stored copies of information

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008215345A (ja) * 2007-01-30 2008-09-18 Hispano Suiza 航空機エンジンの監視方法
JP2010083480A (ja) * 2008-09-30 2010-04-15 General Electric Co <Ge> 飛行制御システムを再起動するための方法およびシステム
JP2014146197A (ja) * 2013-01-29 2014-08-14 Mitsubishi Heavy Ind Ltd システム管理装置およびシステム
JP2016031657A (ja) * 2014-07-29 2016-03-07 三菱重工業株式会社 システム管理装置およびシステム

Also Published As

Publication number Publication date
WO2002073505A1 (en) 2002-09-19
AU2002245678C1 (en) 2005-10-13
EP1379950A4 (en) 2009-11-11
EP1379950A1 (en) 2004-01-14
KR20030082983A (ko) 2003-10-23
CA2440887A1 (en) 2002-09-19
NZ528503A (en) 2004-06-25
US6954875B2 (en) 2005-10-11
IL157911A0 (en) 2004-03-28
US20030033553A1 (en) 2003-02-13
AU2002245678B2 (en) 2005-01-27

Similar Documents

Publication Publication Date Title
JP2004528637A (ja) 放射線イベント後にフライト・クリティカル・コンピュータを回復する方法
AU2002245678A1 (en) Method of recovering a flight critical computer after a radiation event
Sklaroff Redundancy management technique for space shuttle computers
AU767024B2 (en) Systems and methods for fail safe process execution, monitoring and output control for critical systems
JP7427366B2 (ja) 運用環境用の仮想化されたアビオニクスシステム
US6470430B1 (en) Partitioning and monitoring of software-controlled system
JP2003518289A (ja) 間欠誤りに耐性のあるソフトウェアシステムおよびそのシステムにおける制御処理
US7971095B2 (en) Fault recovery for real-time, multi-tasking computer system
Schagaev et al. Software design for resilient computer systems
Höflinger et al. Dynamic fault tree analysis for a distributed onboard computer
Holzmann Conquering complexity
Liu A study of flight-critical computer system recovery from space radiation-induced error
Kahe Triple-triple redundant reliable onboard computer based on multicore microcontrollers
Ramos et al. High-performance, dependable multiprocessor
Kahe Reliable flight computer for sounding rocket with dual redundancy: design and implementation based on COTS parts
Hopkins Jr et al. The evolution of fault tolerant computing at the Charles Stark Draper Laboratory, 1955–85
Li et al. Transient fault tolerance on multicore processor in amp mode
Bavuso Advanced reliability modeling of fault-tolerant computer-based systems
Kazi et al. Design and Validation Architecture of the Dream Chaser® Fault Tolerant Flight Computer
HILLS et al. Fault tolerant avionics
KR102419017B1 (ko) 인공위성 제어 장치 및 방법
Henkel et al. Mitigating and Recovering from Radiation Induced Faults in Non-Hardened Spacecraft Flash Memory
Siewiorek et al. Fault tolerant architectures for space and avionics
Kniga et al. Organization of onboard digital computer system with reconfiguration
Malhotra Fault models of the UoSAT prototype parallel on-board computer

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070618

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071108