[发明专利]用于在分布式实时系统形成软件故障包容单元的方法和设备

说明书

技术领域

本发明涉及用于在同时执行多个分布式应用程式系统的分布式实时系统中限制软件错误的影响的方法。

本发明亦涉及用于实行这样的方法的用于实体电脑节点的通信控制器。

本发明额外地涉及用于实行这样的方法的用于个人电脑的通信控制器。

本发明属于电脑工程领域，其描述了新颖的方法和其辅助硬件，如可在分布式实时电脑系统软件故障包容单元(SWFCU)内形成的辅助硬件，从而限制任何发生的软件错误的后果到清楚划定的区域。

背景技术

在很多实时应用程式中，需执行不同重要性的工作。在联合电脑体系结构中，这些工作各在分布式硬件系统上进行，其带有专用电脑节点和专用通信系统，从而使低重要性类别的系统的错误不能影响较高重要性类别的系统。此解决做法使用大量电脑、高的通信用布线支出，因此导致高成本。

从性能来看，更高的集成密度所达致电脑硬件日益上升的效率使能够集成很多不同重要性的应用程式系统到单一高效分布式电脑系统。然而，只有当分布式应用程式系统的应用程式软件可由系统体系结构和认证系统软件封装，使得能确保在应用程式系统中的任何软件错误无论在时间上或数值上均无法影响另一应用程式系统的功能，这才是可行的。

发明内容

本发明的目的是公开用于在分布式电脑系统内提供分布式应用程式系统的空间和时间上封装的新方法，使一些不同重要性的分布式应用程式系统能集成于单一分布式电脑系统上。

此目的以引言中所述的那类方法来实现，其中根据本发明，各应用程式系统形成被封装的软件故障包容单元(SWFCU)，其中软件故障包容单元包含分布式应用程式系统的软件，所述软件在一个或多个虚拟电脑节点和一个或多个专用电脑节点执行，并通过一个或多个被封装的虚拟通信系统交换讯息，其中通信系统包括通信控制器、切换单元和实体连接，其中某软件故障包容单元的软件错误的直接影响保持限于该软件故障包容单元。

因此，如在分布式电脑体系结构提供一些应用程式系统，区分以下类型的电脑节点为有利的：实体电脑节点为带有中央处理机、存储和通信接口的电脑，例如个人电脑。共用电脑节点为在其上提供一些应用程式系统的实体电脑节点，例如通过管理程序(hypervisor)或相应的如由标准ARINC 653[6]所限定的分区操作系统装有一些虚拟机的个人电脑。管理程序在空间上和时间上把每个虚拟机相对于其它虚拟机封装。虚拟电脑节点为共用电脑节点的虚拟机的其中之一，包括相关的通信控制器，其封装虚拟机的讯息。专用电脑节点为实体电脑节点(包括通信控制器)，其只提供单一应用程式系统。

实体通信系统容许实体电脑节点的通信控制器之间的讯息传输。实体通信系统包括安装在电脑中的通信控制器、实体线路和切换单元。一些分区，即虚拟通信系统，可通过时间控制被布置于实体通信系统上。分区在发送讯息时处于活跃状态。因此，当一些分区在指定的时间间隔内为活跃，实体通信系统控制把哪个讯息在哪个时间经实体线路发送到哪个分区。

当对于某分区的通信行为的时间保证不能被同时活跃的其他分区的行为所影响时，分区为被封装的。当实体通信系统为时间控制通信系统时，则存在着被封装的分区。由于用于数据传输的周期性时段和因而的带宽在时间控制通信系统中被预先指定给个别参与者的，布置于实体通信系统上的分区的相互时间影响被排除。

讯息以预先限定的方式被指定所谓的虚拟连结，其中虚拟连结<标识>指定虚拟连结的名称。虚拟连结有单一个预先限定的发送器和预先限定的一组接收器。讯息可以时间触发或限制速率的方式或按照尽力而为的原则被发送。时间触发意指讯息在同步时间的基础上于预先限定时刻发送。限制速率意指在一个虚拟连结的两个讯息之间遵守预先限定的最小间隔。尽力而为意指不能保证讯息的发送[4]。

在分区中，讯息可从一个或多个虚拟连结被发送。根据其讯息通信的类别，我们提及的是时间触发分区、限制速率分区，或尽力而为分区。此外，按照多个原则发送讯息的分区为可能的；这样的分区称为混合分区。在下文中，通信系统内被识别的通信信道将被命名为：虚拟连结<标识>，其中<标识>指定虚拟连结的名称。在分区内的一些虚拟连结可为同时活跃。

被提供作为时间控制通信系统和在其中一个或多个限制速率分区和/或尽力而为分区和/或混合分区为活跃的实体通信系统没有指定时段给限制速率/尽力而为/混合分区的各个别讯息，而仅是指定时段给对应的分区的所有讯息的总计。因而确保不同分区的讯息在时间上不能受影响。