Quand est-ce que le signal MissionAbort doit être envoyé ? Quand on sort des Safety Constraints ? Qu’est ce que fait F_MM de MissionAbort ?
Réponse initiale
Oui, des safety constraints un tout petit peu plus tolérantes (sur les durées d’échappées permises, pas sur la position des frontières) que celles de F_FC.
F_EL joue le role de « safety monitor » de F_FC pour parer à une faute de développement dans F_FC sur les aspects safety.
Dès l’incément 2, il sera physiquement indépendant de MMS (réparti sur EPS et HBS).
F_MM, quand il reçoit MissionAbort de F_EL, comprend qu’il est disqualifié : normalement c’est lui qui décide, si on le fait à sa place c’est qu’il a raté qqch, il n’a plus qu’à se taire et se faire oublier (désactivation de toutes les fonctions du MMS).
Document: UseCaseDevelopment/Layer1_MMS/RESSAC_muXAV_SystemRQ_MMS_SW_Incr1.doc Commit: 74aa074
Quand est-ce que le signal MissionAbort doit être envoyé ? Quand on sort des Safety Constraints ? Qu’est ce que fait F_MM de MissionAbort ?
Réponse initiale