BR102018009506A2 - cobertura de falha para múltiplas falhas em sistemas redundantes - Google Patents

cobertura de falha para múltiplas falhas em sistemas redundantes Download PDF

Info

Publication number
BR102018009506A2
BR102018009506A2 BR102018009506-4A BR102018009506A BR102018009506A2 BR 102018009506 A2 BR102018009506 A2 BR 102018009506A2 BR 102018009506 A BR102018009506 A BR 102018009506A BR 102018009506 A2 BR102018009506 A2 BR 102018009506A2
Authority
BR
Brazil
Prior art keywords
group
track
control system
status
controller
Prior art date
Application number
BR102018009506-4A
Other languages
English (en)
Inventor
Gen Matsui
Original Assignee
The Boeing Company
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by The Boeing Company filed Critical The Boeing Company
Publication of BR102018009506A2 publication Critical patent/BR102018009506A2/pt

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64CAEROPLANES; HELICOPTERS
    • B64C13/00Control systems or transmitting systems for actuating flying-control surfaces, lift-increasing flaps, air brakes, or spoilers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D45/00Aircraft indicators or protectors not otherwise provided for
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64CAEROPLANES; HELICOPTERS
    • B64C19/00Aircraft control not otherwise provided for
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Computer Security & Cryptography (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

um método e sistema para o gerenciamento de um sistema de controle possuindo redundância tripla para uma aeronave. o método compreende o recebimento de um grupo de mensagens a partir de uma faixa transmissora em um controlador incluindo três faixas nas quais uma falha de primeira faixa ocorreu previamente. o método identifica um indicador de atividade, um status gerado por cada faixa em um grupo de faixas, e um valor de verificação de redundância cíclica gerado por cada faixa no grupo de faixas no grupo de mensagens. o valor de verificação de redundância cíclica gerado por uma faixa no grupo de faixas é gerado utilizando-se uma chave designada para a faixa. o método desativa o controlador quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens que indica que uma falha de segunda faixa ocorreu.

Description

Relatório Descritivo da Patente de Invenção para COBERTURA DE FALHA PARA MÚLTIPLAS FALHAS EM SISTEMAS REDUNDANTES.
Antecedentes [0001] A presente descrição refere-se geralmente a aeronaves, e em particular, à cobertura de falha para múltiplas falhas em sistemas redundantes da aeronave.
[0002] A redundância é implementada em muitos sistemas em uma aeronave com o intuito de fornecer um nível desejado de desempenho, além de um nível desejado de segurança. Por exemplo, um sistema de controle de voo de aeronave, para uma aeronave, inclui superfícies de controle de voo, acionadores, válvulas, servos, controladores e outros componentes que são utilizados para controlar o voo da aeronave.
[0003] Um sistema de controle de voo de aeronave pode empregar a redundância tripla na arquitetura de processamento de dados. Essa redundância tripla é empregada para realizar as funções de controle e detecção de falha no sistema de controle de voo da aeronave. Em tal sistema, três unidades de computação individuais podem realizar computações idênticas ou quase idênticas. Uma unidade de computação também é referida como uma faixa. Frequentemente, se espera que essas faixas gerem resultados idênticos ou quase idênticos sob condições normais, e uma seleção é feita a partir de seus resultados computacionais. Em paralelo, seus resultados são tipicamente comparados com a detecção e isolamento de falha.
[0004] Com um sistema redundante triplo, 1 - Fail Operative indica uma única falha e 2 Fail Safe indica uma falha dupla. Nesse contexto, 1 - Fail Operative significa que se uma das três faixas redundantes no sistema falhar, então, o sistema continua a operar e fornece sinais de controle necessários para as duas faixas restantes. A operação continuada frequentemente permite a detecção e o desligamento da faixa
Petição 870180038817, de 10/05/2018, pág. 70/161
2/31 que apresentou a falha. Essa operação continuada suporta a alta integridade de uma forma que reduz a possibilidade de um resultado errôneo, e alta disponibilidade. Consequentemente, o sistema pode continuar a operar seguindo uma falha de faixa singular.
[0005] Com um sistema redundante triplo, se outra faixa falhar subsequentemente, então, o sistema de computação não fornece mais o resultado necessário para a realização de uma função desejada. Com esse status, o sistema pode ser colocado em 2 - Fail Safe, que é um status à prova de falhas no qual os resultados de controle do sistema não são mais aplicados ou utilizados.
[0006] Por exemplo, com um sistema de controle de voo de aeronave, 1 - Fail Operative significa que um acionador controlado pelo sistema pode continuar a ser controlado depois de uma falha de faixa singular. Quando o acionador não é mais controlável pelo sistema com um nível desejado de desempenho, o sistema pode ser colocado no status 2 - Fail Safe, no qual o sistema é incapaz de controlar o acionador. Nesse status, o modo de by-pass pode ser empregado, no qual o acionador pode ser acionado de volta por uma carga de ar ou por outros acionadores na superfície de controle de voo, com baixa resistência.
[0007] Tipicamente, o dispositivo eletrônico implementado em uma faixa é considerado complexo. Por exemplo, os componentes para a faixa podem incluir um microprocessador, um processador de sinal digital (DSP), um conjunto de porta programável em campo (FPGA), ou alguma combinação dos mesmos. Como resultado disso, todos os modos em potencial da operação indesejada ou comportamentos nos quais devem falhar, podem ser mais difíceis de prever do que o desejado.
[0008] Adicionalmente, a declaração automática de falha por uma faixa não é considerada como apresentando uma cobertura total da falha. Portanto, a detecção de falha se baseia basicamente na comparação entre as
Petição 870180038817, de 10/05/2018, pág. 71/161
3/31 faixas independentes. Uma primeira falha de faixa, tal como a determinação de qual faixa apresenta a operação indesejada, é relativamente simples de detectar e isolar. Essa detecção pode ser realizada utilizando-se a votação de maioria.
[0009] Quando a operação indesejada de uma faixa é detectada, essa faixa pode ser desligada pelas outras duas faixas quando essas faixas concordam com o desligamento. O sistema pode continuar a operar com as duas faixas restantes, alcançando, assim, um sistema 1 Fail Operative. Uma falha de segunda faixa também pode ser endereçada de forma similar através da comparação entre as duas faixas restantes.
[0010] Se pelo menos uma das duas faixas restantes decidir que o resultado da outra faixa difere significativamente do seu próprio, todo o sistema pode ser desligado ou colocado em um status inativa, de modo que um sistema 2 - Fail Safe seja alcançado. Em alguns casos, o sistema 2 - Fail Operative em um sistema redundante triplo pode ser alcançado para casos de falha limitada que resultem em uma declaração automática correta.
[0011 ] A cobertura da falha para a falha de primeira faixa é relativamente simples visto que, no momento da falha da primeira faixa, as outras duas faixas estão saudáveis. As duas faixas saudáveis podem, ambas, concordar em votar pelo desligamento da faixa com falha e manter essa faixa desligada, fornecendo, assim, uma cobertura total de falha. [0012] O status se torna mais complexa para um status na qual uma falha de segunda faixa ocorre com as duas faixas restantes. Por exemplo, a segunda faixa falha e essa faixa vota para trazer a primeira faixa, previamente com falha, do status desligado, de modo que a primeira faixa, previamente com falha, participe ativamente do voto. Como resultado disso, as duas faixas com falha podem assumir o controle do sistema. Por exemplo, as duas faixas com falha podem votar para desligar
Petição 870180038817, de 10/05/2018, pág. 72/161
4/31 a última faixa saldável.
[0013] Portanto, seria desejável se ter um método e aparelho que levassem em consideração pelo menos algumas das questões discutidas acima, além de outras possíveis questões. Por exemplo, seria desejável se ter um método e aparelho que superasse um problema técnico com o gerenciamento de um sistema de controle de modo que uma falha de segunda faixa fosse gerenciada para se alcançar um sistema à prova de falhas que evitasse a operação indesejada do sistema. Sumário [0014] Uma modalidade da presente descrição fornece um método de gerenciamento de um sistema de controle possuindo redundância tripla para uma aeronave. O método compreende o recebimento de um grupo de mensagens de uma faixa transmissora em um controlador incluindo três faixas nas quais uma falha de primeira faixa ocorreu previamente. O método identifica um indicador de atividade, um status gerada por cada faixa em um grupo de faixas, e um valor de verificação de redundância cíclica gerado por cada faixa no grupo de faixas no grupo de mensagens. O valor de verificação de redundância cíclica gerado por uma faixa no grupo de faixas é gerado utilizando-se uma chave designada à faixa. O método desativa o controlador quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência do indicador de atividade está presente ou uma falta de correspondência do valor de verificação de redundância cíclica está presente no grupo de mensagens que indica que uma falha de segunda faixa ocorreu.
[0015] Outra modalidade da presente descrição fornece um sistema de controle possuindo redundância tripla para uma aeronave. O sistema de controle compreende um sistema eletrônico de controle de voo configurado para receber um grupo de mensagens de uma faixa transmissora em um controlador, incluindo três faixas nas quais uma falha de primeira faixa ocorreu previamente. O sistema de controle identifica um
Petição 870180038817, de 10/05/2018, pág. 73/161
5/31 indicador de atividade, um status gerada por cada faixa em um grupo de faixas, e um valor de verificação de redundância cíclica gerado por cada faixa no grupo de faixas, no grupo de mensagens. O valor de verificação de redundância cíclica gerado por uma faixa no grupo de faixas é gerado utilizando-se uma chave designada à faixa. O sistema de controle desativa o controlador quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência do indicador de atividade está presente, ou uma falta de correspondência do valor de verificação de redundância cíclica está presente no grupo de mensagens que indica que uma falha de segunda faixa ocorreu.
[0016] Outra modalidade da presente descrição fornece um método para o gerenciamento de um sistema de controle para uma aeronave. O método compreende o recebimento de um grupo de mensagens em um sistema eletrônico de controle de voo a partir de uma faixa transmissora em uma unidade eletrônica remota incluindo três faixas para a redundância tripla, na qual uma falha de primeira faixa ocorreu previamente. O método identifica, pelo sistema eletrônico de controle de voo, um indicador de atividade, um status gerada pela faixa transmissora, e um valor de verificação de redundância cíclica no grupo de mensagens, com base em uma chave designada para a faixa transmissora. O método realiza, pelo sistema eletrônico de controle de voo, uma ação com relação à unidade eletrônica remota quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência do valor de verificação de redundância cíclica está presente no grupo de mensagens que indica que uma falha de segunda faixa ocorreu.
[0017] Outra modalidade adicional da presente descrição fornece um método de gerenciamento de sistema de controle compreendendo redundância tripla para uma aeronave. O método compreende o recebimento de um grupo de mensagens de uma faixa transmissora em um
Petição 870180038817, de 10/05/2018, pág. 74/161
6/31 controlador, incluindo três faixas nas quais uma falha de primeira ocorreu previamente. O método identifica uma falta de correspondência de indicador de atividade e de dados de verificação de erro gerada por um grupo de faixas no grupo de mensagens, com base em um grupo de chaves designadas para o grupo de faixas. O método desativa o controlador quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência de dados de verificação de erro está presente no grupo de mensagens, o que indica que uma falha de segunda faixa ocorreu.
[0018] As características e funções podem ser alcançadas independentemente em várias modalidades da presente descrição ou podem ser combinadas em outras modalidades nas quais detalhes adicionais podem ser observados com referência à descrição e desenhos a seguir. Breve Descrição dos Desenhos [0019] Os recursos de novidade consideradas características das modalidades ilustrativas são apresentadas nas reivindicações em anexo. As modalidades ilustrativas, no entanto, além de um modo preferido de uso, objetivos e características adicionais das mesmas, serão mais bem compreendidas por referência à descrição detalhada de uma modalidade ilustrativa da presente descrição, que segue, quando lida em conjunto com os desenhos em anexo, nos quais:
[0020] figura 1 é uma ilustração de um diagrama em bloco de um ambiente redundante triplo de acordo com uma modalidade ilustrativa; [0021] figura 2 é uma ilustração de um diagrama em bloco de um sistema de controle de acordo com uma modalidade ilustrativa;
[0022] figura 3 é uma ilustração de um fluxograma de um processo para o gerenciamento de um sistema de controle possuindo redundância tripla de acordo com uma modalidade ilustrativa;
[0023] figura 4 é uma ilustração de um fluxograma de processo
Petição 870180038817, de 10/05/2018, pág. 75/161
7/31 para monitoramento das faixas de acordo com uma modalidade ilustrativa;
[0024] figura 5 é uma ilustração de um fluxograma de um processo para determinação de se uma falta de correspondência do valor de redundância cíclica está presente de acordo com uma modalidade ilustrativa;
[0025] figura 6 é uma ilustração de um diagrama em bloco de um sistema de processamento de dados de acordo com uma modalidade ilustrativa;
[0026] figura 7 é uma ilustração de um diagrama em bloco de um método de fabricação e serviço de aeronaves de acordo com uma modalidade ilustrativa; e [0027] figura 8 é uma ilustração de um diagrama em bloco de uma aeronave na qual uma modalidade ilustrativa pode ser implementada. Descrição Detalhada [0028] As modalidades ilustrativas reconhecem e levam em consideração uma ou mais considerações diferentes. Por exemplo, as modalidades ilustrativas reconhecem e levam em consideração que os sistemas redundantes triplos atuais podem não manusear uma falha de uma segunda faixa de forma tão eficiente quanto se deseja. Por exemplo, as modalidades ilustrativas reconhecem e levam em consideração que é indesejável se possuir faixas operando de uma forma indesejável obtendo controle de um sistema em uma aeronave. As modalidades ilustrativas reconhecem e levam em consideração que os dispositivos eletrônicos simples independentes podem ser utilizados para construir uma lógica aderente para acompanhar a sequência de eventos, de modo que a segunda faixa com falha não possa reativar a primeira faixa com falha e a última faixa saudável restante tenha a autoridade de desligar o sistema e colocar o sistema em um status à prova de falhas. As modalidades ilustrativas reconhecem e levam em consideração que uma
Petição 870180038817, de 10/05/2018, pág. 76/161
8/31 dificuldade com essa abordagem envolve um mecanismo de retenção de memória de uma sequência de eventos que sobrevive aos ciclos de energia, sem depender de dispositivos complexos que podem não funcionar como desejado.
[0029] Dessa forma, as modalidades ilustrativas fornecem um método, aparelho e sistema para o gerenciamento de um sistema de controle. Um processo está presente para o gerenciamento de um sistema de controle possuindo redundância tripla para uma aeronave. O processo recebe um grupo de mensagens de uma faixa transmissora em um controlador incluindo três faixas nas quais uma falha de primeira faixa ocorreu previamente. Um indicador de atividade, um status gerada por cada faixa no grupo de faixas, e um valor de verificação de redundância cíclica gerado por cada faixa no grupo de faixas são identificados na mensagem. O valor de verificação de redundância cíclica gerado por uma faixa no grupo de faixas é gerado utilizando-se uma chave designada para a faixa. O controlador é desativado quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens que indica que uma falha de segunda faixa ocorreu.
[0030] Com referência agora às figuras e com referência em particular à figura 1, uma ilustração de um diagrama em bloco de um ambiente redundante triplo é apresentada de acordo com uma modalidade ilustrativa. Nesse exemplo ilustrativo, o ambiente de redundância tripla 100 pode incluir a plataforma 102 na forma de aeronave 104.
[0031 ] Como apresentado, o sistema de controle 106 na aeronave 104 controla a operação do sistema 108. No exemplo ilustrativo, o sistema 108 pode assumir várias formas. Por exemplo, o sistema 108 pode ser selecionado a partir de pelo menos um dentre um acionador, uma válvula, um servo, uma superfície de controle de voo, e sistema de entretenimento em
Petição 870180038817, de 10/05/2018, pág. 77/161
9/31 voo, um sistema de combustível, um motor, um sistema de controle ambiental, um piloto automático, um sistema de trem de pouso ou algum outro tipo adequado de sistema.
[0032] Como utilizada aqui, a frase pelo menos um dentre, quando utilizada com uma lista de itens, significa que combinações diferentes de um ou mais dos itens listados podem ser utilizadas, e apenas um de cada item na lista pode ser necessário. Em outras palavras, pelo menos um dentre significa que qualquer combinação de itens e número de itens pode ser utilizada a partir da lista, mas nem todos os itens na lista são exigidos. O item pode ser um objeto, uma coisa ou uma categoria em particular.
[0033] Por exemplo, sem limitação pelo menos um dentre o item A, o item B ou o item C pode incluir item A, item A e B ou item B. O exemplo também pode incluir o item A, o item B e o item C; ou o item B e o item C. Obviamente, muitas combinações desses itens podem estar presentes. Em alguns exemplos ilustrativos, pelo menos um dentre pode ser, por exemplo, sem limitação, dois do item A, um do item B e dez do item C; quatro do item B e sete do item C; ou outras combinações adequadas.
[0034] Nesse exemplo em particular, o sistema de controle 106 pode ser implementado no sistema de computador 142. O sistema de computador 142 é um sistema de hardware físico e inclui um ou mais sistemas de processamento de dados. Quando mais de um sistema de processamento de dados está presente, esses sistemas de processamento de dados estão em comunicação um com o outro utilizando um meio de comunicações. O meio de comunicações pode ser uma rede. Os sistemas de processamento de dados podem ser selecionados a partir de pelo menos um dentre um computador, um computador servidor, unidades substituíveis de linha, um tablet, ou algum outro sistema de processamento de dados adequado.
Petição 870180038817, de 10/05/2018, pág. 78/161
10/31 [0035] Como apresentado, o sistema de controle 106 compreende sistema eletrônico de controle de voo 110 e controlador 112. Nesse exemplo ilustrativo, o controlador 112 controla o sistema 108 na forma de superfície de controle de voo 114. No exemplo ilustrativo, esse controle pode estar em controle direto no qual o controlador 112 controla um acionador conectado à superfície de controle de voo 114. A superfície de controle de voo 114 pode assumir formas diferentes. Por exemplo, a superfície de controle de voo 114 pode ser selecionada a partir de um grupo que compreende um aileron, um elevador, um leme, um spoiler, um flap, um slat, um freio a ar, e algum outro tipo adequado de superfície de controle de voo.
[0036] Nesse exemplo ilustrativo, o sistema eletrônico de controle de voo 110 funciona como o controle principal 146, enquanto que o controlador 112 é um controlador de nível inferior. O sistema eletrônico de controle de voo 110 pode monitorar e controlar um ou mais controladores, em adição ao controlador 112. Esses outros controladores podem controlar outros controles de superfície plana para a aeronave 104, em adição à superfície de controle de voo 114.
[0037] O controlador 112 pode controlar outros sistemas ou componentes no sistema 108 ou outros sistemas, em adição a ou no lugar da superfície de controle de voo 114. Por exemplo, o sistema 108 pode controlar pelo menos um dentre um acionador, uma válvula, um servo, um sistema de entretenimento em voo, um sistema de combustível, um motor, um sistema de controle ambiental, um piloto automático, um sistema de trem de pouso, ou algum outro componente ou sistema adequado.
[0038] Nesse exemplo ilustrativo, o sistema eletrônico de controle de voo 110 é configurado para receber um grupo de mensagens 116 da faixa transmissora 118 nas faixas 120 no controlador 112, que inclui três faixas. Como apresentado, o grupo de mensagens 116 pode ser criptografado.
Petição 870180038817, de 10/05/2018, pág. 79/161
11/31
Como utilizado aqui, um grupo de, quando utilizado com referência a um item, significa um ou mais itens. Por exemplo, um grupo de mensagens 116 é uma ou mais mensagens.
[0039] Nesse exemplo ilustrativo, a falha de primeira faixa 122 ocorreu previamente no controlador 112. Durante a operação do sistema de controle 106, o sistema eletrônico de controle de voo 110 identifica o indicador de atividade 124, o status 126 gerado por cada faixa em um grupo de faixas 120, dados de verificação de erro 144 gerados por cada faixa no grupo de faixas 120 no grupo de mensagens 116. O grupo de faixas sendo compreendido de faixas 120 que ainda são consideradas saudáveis ou operacionais com um nível desejado de desempenho. Nesse exemplo ilustrativo, os dados de verificação de erro 144 assumem a forma de valor de verificação de redundância cíclica 128.
[0040] Como apresentado, a informação pode ser enviada em uma ou mais mensagens 116. Em outras palavras, o indicador de atividade 124, o status 126 para cada faixa, e o valor de verificação de redundância cíclica 128 para cada faixa podem estar presentes em uma única mensagem. Por exemplo, se duas faixas estiverem ativas, uma única mensagem pode incluir o indicador de atividade 124, duas mensagens de status, e dois valores de verificação de redundância cíclica.
[0041] Como apresentado, o valor de verificação de redundância cíclica 128 gerado pela faixa 130 no grupo de faixas 120 é gerado utilizando-se a chave 132 designada à faixa 130. Nesse exemplo ilustrativo, o valor de verificação de redundância cíclica 128 pode ser baseado adicionalmente no indicador de atividade 124 e status 126 no grupo de mensagens 116.
[0042] Nesse exemplo ilustrativo, o sistema eletrônico de controle de voo 110 é configurado para calcular o valor de verificação de redundância cíclica local 138 para o grupo de mensagens 116 utilizando o indicador de atividade 124, o status 126, e chave local 140 para a faixa
Petição 870180038817, de 10/05/2018, pág. 80/161
12/31
130 no grupo de faixas 120 no grupo de mensagens 116. A chave local 140 para a faixa 130 é uma chave designada à faixa 130 que está localizada no sistema eletrônico de controle de voo 110. A chave local 140 não é transmitida entre o sistema eletrônico de controle de voo 110 e o controlador 112 quando da realização das verificações de redundância cíclica nesses exemplos ilustrativos.
[0043] O sistema eletrônico de controle de voo 110 desativa o controlador 112 quando pelo menos uma dentre uma anomalia é indicada no status 126, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens 116 recebidas da faixa transmissora 118 no controlador 112 que indica que a falha de segunda faixa 134 ocorreu. Nesse exemplo ilustrativo, o controlador 112 é a unidade eletrônica remota 136. Por exemplo, o sistema eletrônico de controle de voo 110 pode desativar o controlador 112 removendo a energia do controlador 112.
[0044] O sistema de controle 106 e os diferentes componentes no sistema de controle 106 podem ser implementados em software, hardware, firmware ou uma combinação dos mesmos. Quando o software é utilizado, as operações realizadas pelo sistema de controle 106 podem ser implementadas no código de programa configurado para rodar no hardware, tal como uma unidade de processador. Quando o firmware é utilizado, as operações realizadas pelo sistema de controle 106 podem ser implementadas no código de programa e dados, e armazenadas na memória persistente para rodar em uma unidade de processador. Quando o hardware é empregado, o hardware pode incluir circuitos que operam para realizar as operações no sistema de controle 106. [0045] Nos exemplos ilustrativos, o hardware pode assumir uma forma selecionada a partir de pelo menos um dentre um sistema de circuito, um circuito integrado, um circuito integrado específico de aplicativo
Petição 870180038817, de 10/05/2018, pág. 81/161
13/31 (ASIC), um dispositivo lógico programável, ou algum outro tipo adequado de hardware configurado para realizar várias operações. Com um dispositivo lógico programável, o dispositivo pode ser configurado para realizar várias operações. O dispositivo pode ser reconfigurado posteriormente ou pode ser permanentemente configurado para realizar as várias operações. Os dispositivos lógicos programáveis incluem, por exemplo, um conjunto lógico programável, uma lógica de conjunto programável, um conjunto lógico programável em campo, um conjunto de porta programável em campo, e outros dispositivos de hardware adequados. Adicionalmente, os processos podem ser implementados em componentes orgânicos integrados com os componentes inorgânicos e podem ser compreendidos totalmente de componentes orgânicos, excluindo um ser humano. Por exemplo, os processos podem ser implementados como circuitos em semicondutores orgânicos.
[0046] Em um exemplo ilustrativo, uma ou mais soluções técnicas estão presentes e superam o problema técnico com o gerenciamento de um sistema de controle de modo que uma falha de segunda faixa seja gerenciada para se alcançar um sistema que não opera de uma forma indesejada. Como resultado disso, uma ou mais soluções técnicas podem fornecer um efeito técnico para se detectar de forma mais eficiente quando uma faixa em um controlador está operando de uma forma indesejável e gerenciar essa faixa em comparação com as técnicas atuais para redundância em um sistema redundante triplo.
[0047] Adicionalmente, uma ou mais soluções técnicas incluem um controlador principal, tal como um sistema eletrônico de controle de voo 110, que monitora os dados de um controlador de nível inferior, tal como o controlador 112, para determinar se uma falha de segunda linha ocorreu no controlador de nível inferior. Nessas uma ou mais soluções técnicas, o controlador principal determina e controla as ações com relação a pelo menos um dentre um controlador 112 e sistema 108 controlado
Petição 870180038817, de 10/05/2018, pág. 82/161
14/31 pelo controlador 112.
[0048] Dessa forma, uma ou mais questões com os sistemas de controle atuais, nos quais o controlador monitora e controla as faixas dentro do controlador, podem ser reduzidas. Por exemplo, um status pode ser evitada, na qual uma faixa que apresentou previamente falha que foi desligada pode ser reinicializada por uma segunda faixa com falha, resultando em duas faixas que podem operar de uma forma indesejável assumindo o controle do controlador e o sistema controlado pelo controlador.
[0049] Como resultado disso, o sistema de computador 142 opera como um sistema de computador de finalidade especial no qual o sistema de controle 106 no sistema de computador 142 permite o gerenciamento de controle depois de uma falha de primeira faixa ter ocorrido. Em particular, o sistema de controle 106 transforma o sistema de computador 142 em um sistema de computador de finalidade especial em comparação com os sistemas de computador geral atualmente disponíveis que não possuem o sistema de controle 106.
[0050] A ilustração do ambiente redundante triplo 100 na figura 1 não deve implicar em limitações físicas ou arquitetônicas à forma na qual uma modalidade ilustrativa pode ser implementada. Outros componentes, em adição a ou no lugar dos ilustrados, podem ser utilizados. Alguns componentes podem ser desnecessários. Além disso, os blocos são apresentados para ilustrar alguns componentes funcionais. Um ou mais desses blocos podem ser combinados, divididos ou combinados e divididos em blocos diferentes quando implementados em uma modalidade ilustrativa.
[0051] Por exemplo, apesar de os exemplos ilustrativos serem descritos com relação à plataforma 102 na forma da aeronave 104, outro exemplo ilustrativo pode ser aplicado a outros tipos de plataformas. A plataforma 102 pode ser, por exemplo, uma plataforma móvel, uma plataforma estacionária,
Petição 870180038817, de 10/05/2018, pág. 83/161
15/31 uma estrutura com base terrestre, uma estrutura com base aquática, e uma estrutura com base espacial. Mais especificamente, a plataforma 102 pode ser um navio de superfície, um tanque, um transporte pessoal, um trem, uma espaçonave, uma estação espacial, um satélite, um submarino, um automóvel, uma fábrica de energia, uma ponte, uma represa, uma casa, uma instalação de fabricação, uma construção, e outras plataformas adequadas.
[0052] Em outro exemplo ilustrativo, os dados de verificação de erro 144 podem assumir outras formas além do valor de verificação de redundância cíclica 128. Por exemplo, os dados de verificação de erro 144 podem ser selecionados a partir de pelo menos um dentre os bits de paridade, uma soma de verificação, valores de verificação de redundância longitudinal, ou outros tipos de dados utilizados para verificação de erros nas mensagens transmitidas, pacotes ou outras formas de informação. Em outras palavras, um ou mais tipos de dados de verificação de erro 144 podem ser utilizados.
[0053] Como outro exemplo, o status 126 pode ser omitida das mensagens 116. Em alguns casos, a verificação de erro pode ser realizada sem se enviar o status 126. O status 126 pode ser utilizado na geração de dados de verificação de erro 144, tal como o valor de verificação de redundância cíclica 128. Com esse exemplo, uma anomalia e status podem ser detectados através de uma falta de correspondência da verificação de redundância cíclica. Nesse exemplo, uma anomalia está presente quando uma falta de correspondência do indicador de atividade para uma falta de correspondência de valor de verificação de redundância cíclica está presente.
[0054] Em outro exemplo ilustrativo adicional, a status 126 da faixa transmissora 118 pode ser enviada sem os dados de verificação de erro 144. Com esse exemplo, uma anomalia está presente quando o status 126 indica que uma falta de correspondência do indicador de atividade
Petição 870180038817, de 10/05/2018, pág. 84/161
16/31 está presente.
[0055] Em outro exemplo ilustrativo adicional, o status 126 pode ser enviado pela faixa transmissora 118 sem a verificação de erro e a outra faixa nas faixas 120, além da faixa transmissora 118, gera o valor de verificação de redundância cíclica 128 sem status 126. Nesse caso, uma anomalia é detectada quando uma falta de correspondência do indicador de atividade ocorre.
[0056] Com referência agora à figura 2, uma ilustração de um diagrama em bloco de um sistema de controle é apresentada de acordo com uma modalidade ilustrativa. Nesse exemplo apresentado, o sistema de controle 200 é um exemplo de uma implementação para o sistema de controle 106 da figura 1.
[0057] Nesse exemplo ilustrativo, o sistema de controle 200 inclui o sistema eletrônico de controle de voo (FEC) 202 e unidade eletrônica remota (REU) 204. A unidade eletrônica remota 204 é um exemplo do controlador 112 da figura 1.
[0058] Como apresentado, a unidade eletrônica remota 204 inclui três faixas, faixa 1 206, faixa 2 208 e faixa 3 210. Essas faixas fornecem a redundância tripla no sistema de controle 200. Como apresentado, a faixa 1 206 é a faixa transmissora 212. A faixa transmissora 212 se comunica diretamente com o sistema eletrônico de controle de voo 202. As outras faixas enviam informação através da faixa transmissora 212.
[0059] Nesse exemplo ilustrativo, uma falha de primeira faixa ocorreu previamente. Como apresentado, a faixa 3 210 falhou e foi desativada. A faixa de transmissão 212 e a faixa 2 208 são faixas ativas na unidade eletrônica remota 204.
[0060] Como apresentado, o sistema eletrônico de controle de voo 202 gera e envia o indicador de atividade 214 para a faixa transmissora 212 e faixa 2 208. Nesse exemplo ilustrativo, o indicador de atividade 214 é um valor numérico que aumenta cada vez que o indicador de atividade
Petição 870180038817, de 10/05/2018, pág. 85/161
17/31
214 é gerado. No exemplo ilustrativo, o indicador de atividade 214 muda continuamente durante a operação do sistema de controle 200. Se muito retardo ocorrer na operação da unidade eletrônica remota 204, o indicador de atividade retornado não corresponderá ao indicador de atividade 214. A quantidade de retardo que é muita pode ser selecionada com base em quanto do retardo resulta em uma operação indesejável da unidade eletrônica remota 204.
[0061] A faixa 2 208 gera o status 2 216. O status pode indicar anomalias que a faixa 2 208 identifica. Essa anomalia pode ser para a faixa 2 208 ou faixa transmissora 212. A faixa 2 208 possui um gerador de verificação de redundância cíclica (CRC) 230 que gera o valor de verificação de redundância cíclica (CRC2) 218 utilizando o indicador de atividade 215, a status 2 216, e a chave 2 220. A chave 2 220 é a chave designada para a faixa 2 208. A faixa 2 208 envia mensagem 222 para a faixa transmissora 212. De forma ideal, o indicador de atividade 215 deve possuir o mesmo valor que o indicador de atividade 214. A mensagem 222 contém a status 2 216 e o valor de verificação de redundância cíclica 218.
[0062] Nesse exemplo ilustrativo, a faixa transmissora 212 gera a status 1 224. A status 1 224 inclui indicações de anomalias que a faixa transmissora 212 pode identificar para a faixa transmissora 212 ou faixa 2 208. A faixa transmissora 212 possui um gerador de verificação de redundância cíclica (CRC) 232 que gera o valor de verificação de redundância cíclica (CRC1) 226 utilizando o indicador de atividade 248, status 1 224 e chave 1 228. A chave 1 228 é uma chave designada para a faixa transmissora 212.
[0063] Adicionalmente, o gerador de verificação de redundância cíclica 232 é ilustrado como um componente separado do gerador de verificação de redundância cíclica 230. Em alguns exemplos ilustrativos, esses dois blocos podem ser combinados com os valores de verificação
Petição 870180038817, de 10/05/2018, pág. 86/161
18/31 de redundância cíclica sendo gerados por um componente físico singular.
[0064] Como apresentado, a faixa transmissora 212 cria e envia a mensagem 234. Nesse exemplo, a mensagem 234 inclui indicador de atividade 248 status 1 224, valor de verificação de redundância cíclica 226, status 2 216 e valor de verificação de redundância cíclica 218. O indicador de atividade 248 pode ser igual ao indicador de atividade 214 ou pode ser um valor diferente.
[0065] A mensagem 234 é enviada para o sistema eletrônico de controle de voo 202. Como apresentado, a mensagem 234 é processada pelo monitor de falha de faixa dupla 236. O monitor de falha de faixa dupla 236 inicia a operação quando uma primeira faixa falha na unidade eletrônica remota 204. O monitor de falha de faixa dupla 236 monitora as mensagens de entrada, tal como a mensagem 234, para determinar se uma faixa dentre as duas faixas restantes na unidade eletrônica remota 204 falhou.
[0066] O monitor de falha dupla de faixa 236 examina o status gerado por cada faixa na unidade eletrônica remota 204 para determinar se qualquer um dos status indica que uma anomalia ou falha ocorreu na faixa transmissora 212 ou faixa 2 208. Adicionalmente, o monitor de falha de faixa dupla 236 também monitora uma falta de correspondência do indicador de atividade onde o indicador de atividade 214 não corresponde ao indicador de atividade 248 na mensagem 234.
[0067] Na determinação de se uma falta de correspondência do valor de verificação de redundância cíclica está presente, o monitor de falha de faixa dupla 236 gera o valor de verificação de redundância cíclica local (LCRC1) 238 para transmissão e o valor de verificação de redundância cíclica local (LCRC2) 240 para a faixa 2 208. Esses valores são gerados utilizando-se chaves locais 242, tal como a chave local 1 244 e a chave local 2 246. A chave local 1 244 é uma chave local para a chave
Petição 870180038817, de 10/05/2018, pág. 87/161
19/31
228 e a chave local 2 246 é uma chave local para a chave 2 220. [0068] Esses valores de verificação de redundância cíclica local são comparados com os valores de verificação de redundância cíclica na mensagem 222 para determinar se uma falta de correspondência de valor de verificação de redundância cíclica está presente. O uso de chaves auxilia na redução da possibilidade de algum processo para o componente poder gerar um status de contravenção para uma faixa.
[0069] No exemplo ilustrativo, cada faixa utiliza o indicador de atividade 214 para gerar o valor de verificação de redundância cíclica. Se novos dados não forem passados por uma faixa particular ou dados forem passados lentamente, o indicador de atividade retornado, o indicador de atividade 248 na mensagem 234, não corresponderá ao indicador de atividade 214.
[0070] Se pelo menos uma dentre uma anomalia for indicada no status, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens, uma falha de segunda faixa está presente. Nesse exemplo ilustrativo, a energia é removida da unidade eletrônica remota 204 quando uma falha de segunda faixa foi identificada pelo monitor de falha de faixa dupla 236.
[0071] Voltando-se agora para a figura 3, uma ilustração de um fluxograma de um processo para o gerenciamento de um sistema de controle possuindo redundância tripla é apresentada de acordo com uma modalidade ilustrativa. O processo ilustrado na figura 3 pode ser implementado no sistema eletrônico de controle de voo 110 no sistema de controle 106 na figura 1. As diferentes operações ilustradas na figura 3 podem ser implementadas como código de programa, hardware, ou combinação dos mesmos em um sistema de processamento de dados utilizado para implementar um sistema eletrônico de controle de voo, tal como o sistema de computador 142 na figura 1.
Petição 870180038817, de 10/05/2018, pág. 88/161
20/31 [0072] O processo começa com o recebimento de um grupo de mensagens a partir de uma faixa transmissora em um controlador incluindo três faixas nas quais uma falha de primeira faixa ocorreu previamente (operação 300). O processo identifica um indicador de atividade, um status gerada por cada faixa em um grupo de faixas, e um valor de verificação de redundância cíclica gerado por cada faixa no grupo de faixas no grupo de mensagens (operação 302). O valor de verificação de redundância cíclica gerado por uma faixa no grupo de faixas é gerado utilizando-se uma chave designada à faixa.
[0073] O processo desativa o controlador quando pelo menos uma dentre uma anomalia é indicada no status, uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência do valor de verificação de redundância cíclica está presente no grupo de mensagens, indicando que uma falha de segunda faixa ocorreu (operação 304). O processo termina depois disso.
[0074] Com referência à figura 4, uma ilustração de um fluxograma para um processo de monitoramento de faixas é apresentada de acordo com uma modalidade ilustrativa. O processo ilustrado na figura 4 pode ser implementado no sistema eletrônico de controle de voo 202 no sistema de controle 200 na figura 2. Esse processo também pode ser implementado no monitor de falha de faixa dupla 236 no sistema eletrônico de controle de voo 202 no sistema de controle 200 da figura 2. As diferentes operações na figura 2 podem ser implementadas como código de programa, hardware ou combinação dos mesmos em um sistema de processamento de dados utilizado para se implementar um sistema eletrônico de controle de voo, tal como o sistema de computador 142 da figura 1.
[0075] O processo começa pelo recebimento de uma mensagem de uma faixa transmissora em um controlador (operação 400). O processo identifica um indicador de atividade, um status da faixa transmissora,
Petição 870180038817, de 10/05/2018, pág. 89/161
21/31 um status de uma segunda faixa operacional, um valor de verificação de redundância cíclica gerado pela faixa transmissora, e um valor de verificação de redundância cíclica gerado pela segunda faixa operacional (operação 402). O processo determina se uma anomalia está presente utilizando a informação identificada na mensagem (operação 404). Nesse exemplo ilustrativo, uma anomalia está presente, nesse exemplo, quando pelo menos um dentre uma anomalia é indicada no status, uma falta de correspondência de indicador de atividade está presente ou uma falta de correspondência de dados de verificação de erro está presente no grupo de mensagens.
[0076] Se uma anomalia estiver presente, o processo realiza uma ação corretiva (operação 406), com o processo sendo encerrado logo depois. Essa ação corretiva pode assumir várias formas. Por exemplo, o processo pode remover energia do controlador, desconectar o controlador de um barramento de comunicações, desligar o controlador, reinicializar o controlador, ou realizar alguma outra ação.
[0077] Com referência novamente à operação 404, se uma anomalia não estiver presente, o processo retorna para a operação 400. Com esse processo, o controlador é aliviado da responsabilidade de colocação do controlador em um modo à prova de falhas.
[0078] Com referência agora à figura 5, uma ilustração de um fluxograma de processo para determinação de se uma falta de correspondência de valor de redundância cíclica está presente é apresentada de acordo com uma modalidade ilustrativa. O processo ilustrado na figura 5 pode ser implementado no sistema eletrônico de controle de voo 110 no sistema de controle 106 na figura 1. As diferentes operações ilustradas na figura 5 podem ser implementadas como código de programa, hardware ou combinação dos mesmos em um sistema de processamento de dados utilizado para implementar um sistema eletrônico de controle de voo, tal como o sistema de computador 142 na figura 1.
Petição 870180038817, de 10/05/2018, pág. 90/161
22/31 [0079] O processo começa pelo cálculo de um valor de verificação de redundância cíclica local para um grupo de mensagens utilizando um indicador de atividade, um status, e uma chave local para uma faixa em um grupo de faixas no grupo de mensagens (operação 500). A chave local é uma chave localizada no sistema eletrônico de controle de voo 110 da figura 1. A chave local não é transmitida em qualquer comunicação entre o sistema eletrônico de controle de voo 110 e o controlador 112 durante a operação normal da aeronave 104 ilustrada na figura 1.
[0080] O processo identifica um valor de verificação de redundância cíclica em uma mensagem recebida a partir de um controlador (operação 502). Uma determinação é feita quanto ao fato de uma correspondência estar presente entre o valor de verificação de redundância cíclica e o valor de verificação de redundância cíclica (operação 504). Se uma correspondência não estiver presente, o processo indica que uma falta de correspondência ocorreu (operação 506), com o processo sendo encerrado depois disso. Do contrário, o processo indica que a correspondência está presente (operação 508), com o processo sendo encerrado depois disso.
[0081] Os fluxogramas e os diagramas em bloco nas diferentes modalidades apresentadas ilustram a arquitetura, funcionalidade e operação de algumas possíveis implementações de aparelhos e métodos em uma modalidade ilustrativa. A esse respeito, cada bloco nos fluxogramas ou diagramas em bloco podem representar pelo menos um dentre um módulo, um segmento, uma função ou uma parte de uma operação ou etapa. Por exemplo, um ou mais dos blocos podem ser implementados como código de programa, hardware ou uma combinação de código de programa e hardware. Quando implementado em hardware, o hardware pode, por exemplo, assumir a forma de circuitos integrados que são fabricados ou configurados para realizar uma ou mais operações nos fluxogramas ou diagramas em bloco. Quando implementado
Petição 870180038817, de 10/05/2018, pág. 91/161
23/31 como uma combinação de código de programa e hardware, a implementação pode assumir a forma de firmware. Cada bloco nos fluxogramas ou diagramas em bloco pode ser implementado utilizando-se sistemas de hardware de finalidade especial para realizar as operações diferentes ou combinações de hardware de finalidade especial e código de programa rodado pelo hardware de finalidade especial.
[0082] Em algumas implementações alternativas de uma modalidade ilustrativa, a função ou funções notadas nos blocos podem ocorrer fora da ordem notada nas figuras. Por exemplo, e alguns casos dois blocos ilustrados em sucessão podem ser realizados substancialmente de forma simultânea, ou os blocos podem, algumas vezes, ser realizados na ordem inversa, dependendo da funcionalidade envolvida. Além disso, outros blocos podem ser adicionados, em adição aos blocos ilustrados, em um fluxograma ou diagrama em bloco.
[0083] Voltando-se agora à figura 6, uma ilustração de um diagrama em bloco de um sistema de processamento de dados é apresentada de acordo com uma modalidade ilustrativa. O sistema de processamento de dados 600 pode ser utilizado para implementar o sistema de computador 142 na figura 1. Nesse exemplo ilustrativo, o sistema de processamento de dados 600 inclui a estrutura de trabalho de comunicações 602, que fornece comunicações entre a unidade de processador 604, a memória 606, o armazenamento persistente 608, a unidade de comunicações 610, a unidade de entrada/saída 612, e o monitor 614. Nesse exemplo, a estrutura de trabalho de comunicações 602 pode assumir a forma de um sistema de barramento.
[0084] A unidade de processador 604 serve para executar instruções para software que podem ser carregadas na memória 606. A unidade de processador 604 pode ser um número de processadores, um núcleo de múltiplos processadores, ou algum outro tipo de processador, dependendo da implementação em particular.
Petição 870180038817, de 10/05/2018, pág. 92/161
24/31 [0085] A memória 606 e o armazenador persistente 608 são exemplos dos dispositivos de armazenamento 616. Um dispositivo de armazenamento é qualquer peça de hardware que seja capaz de armazenar informação, tal como, por exemplo, sem limitação, pelo menos um dos dados, código de programa na forma funcional, ou outra informação adequada com base temporária, uma base permanente, ou tanto com base temporária quanto com base permanente. Os dispositivos de armazenamento 616 também podem ser referidos como dispositivos de armazenamento legível por computador nesses exemplos ilustrativos. A memória 606, nesses exemplos, pode ser, por exemplo, uma memória de acesso randômico ou qualquer outro dispositivo de armazenamento volátil ou não volátil. Armazenamento persistente 608 pode assumir várias formas, dependendo da implementação particular.
[0086] Por exemplo, o armazenador persistente 608 pode conter um ou mais componentes ou dispositivos. Por exemplo, o armazenador persistente 608 pode ser um disco rígido, um disco rígido de estado sólido, uma memória flash, um disco ótico regravável, uma fita magnética regravável, ou alguma combinação do acima. O meio utilizado pelo armazenador persistente 608 também pode ser removível. Por exemplo, um disco rígido removível pode ser utilizado para o armazenador persistente 608.
[0087] A unidade de comunicações 610, nesses exemplos ilustrativos, fornece a comunicação com outros sistemas de processamento de dados ou dispositivos. Nesses exemplos ilustrativos, a unidade de comunicações 610 é um cartão de interface de rede.
[0088] A unidade de entrada/saída 612 permite a entrada e saída de dados com outros dispositivos que podem ser conectados ao sistema de processamento de dados 600. Por exemplo, a unidade de entrada/saída 612 pode fornecer uma conexão para o registro de usuário através de pelo menos um dentre um teclado, um mouse ou algum outro
Petição 870180038817, de 10/05/2018, pág. 93/161
25/31 dispositivo de entrada adequado. Adicionalmente, a unidade de entrada/saída 612 pode enviar a saída para uma impressora. O monitor 614 fornece um mecanismo para exibir informação para um usuário. [0089] Instruções para pelo menos um dentre o sistema operacional, aplicativos ou programas podem estar localizadas em dispositivos de armazenamento 616, que estão em comunicação com a unidade de processador 604 através da estrutura de rede de comunicações 602. Os processos das diferentes modalidades podem ser realizados pela unidade de processador 604 utilizando instruções implementadas por computador, que podem ser localizadas em uma memória, tal como a memória 606.
[0090] Essas instruções são referidas como código de programa, código de programa utilizável por computador, ou código de programa legível por computador que possa ser lido e executado por um processador na unidade de processador 604. O código de programa em diferentes modalidades pode ser consubstanciado em diferentes meios de armazenamento físico ou legível por computador, tal como memória 606 ou armazenador persistente 608.
[0091] O código de programa 618 é localizado em uma forma funcional no meio legível por computador 620 que é seletivamente removível e pode ser carregado em ou transferido para o sistema de processamento em dados 600 para execução pela unidade de processador 604. O código de programa 618 e o meio legível por computador 620 formam um produto de programa de computador 622 nesses exemplos ilustrativos. Em um exemplo, o meio legível por computador 620 pode ser o meio de armazenamento legível por computador 624 ou meio de sinal legível por computador 626.
[0092] Nesses exemplos ilustrativos, o meio de armazenamento legível por computador 624 é um dispositivo de armazenamento físico ou tangível utilizado para armazenar o código de programa 618 em vez de
Petição 870180038817, de 10/05/2018, pág. 94/161
26/31 um meio que propaga ou transmite o código de programa 618.
[0093] Alternativamente, o código de programa 618 pode ser transferido para o sistema de processamento de dados 600 utilizando meio de sinal legível por computador 626. O meio de sinal legível por computador 626 pode ser, por exemplo, um código de programa contendo sinal de dados propagado 618. Por exemplo, o meio de sinal legível por computador 626 pode ser pelo menos um dentre um sinal eletromagnético, um sinal ótico, ou qualquer outro tipo adequado de sinal. Esses sinais podem ser transmitidos através de pelo menos um dos links de comunicações, tal como os links de comunicações sem fio, um cabo de fibra ótica, um cabo coaxial, um fio, ou qualquer outro tipo adequado de link de comunicações.
[0094] Os diferentes componentes ilustrados para o sistema de processamento de dados 60 não devem fornecer limitações arquitetônicas à forma na qual as diferentes modalidades podem ser implementadas. As modalidades ilustrativas diferentes podem ser implementadas em um sistema de processamento de dados incluindo componentes em adição a ou no lugar dos ilustrados para o sistema de processamento de dados 600. Outros componentes ilustrados na figura 6 podem variar dos exemplos ilustrativos ilustrados. As diferentes modalidades podem ser implementadas utilizando-se qualquer dispositivo de hardware ou sistema capaz de rodar o código de programa 618.
[0095] As modalidades ilustrativas da presente descrição podem ser descritas no contexto de método de fabricação e de serviço de aeronaves 700 como ilustrado na figura 7 e aeronave 800 como ilustrado na figura 8. Voltando-se primeiramente à figura 7, uma ilustração de um diagrama em bloco de um método de fabricação e serviço de aeronaves é apresentada de acordo com uma modalidade ilustrativa. Durante a pré-produção, o método de fabricação e serviço de aeronaves 700 pode incluir a especificação e projeto 702 de aeronave 800 na figura 8 e obtenção de material 704.
Petição 870180038817, de 10/05/2018, pág. 95/161
27/31 [0096] Durante a produção, fabricação de componente e subconjunto 706 e integração de sistema 708 da aeronave 800 na figura 8 ocorre. Depois disso, a aeronave 800 na figura 8 pode passar por certificação e distribuição 710 a fim de ser colocada em serviço 712. Enquanto em serviço 712 para um cliente, a aeronave 800 na figura 8 é programada para manutenção e serviço de rotina 714, que pode incluir modificação, reconfiguração, renovação, e outra manutenção ou serviço.
[0097] Cada um dos processos do método de fabricação e serviço de aeronaves 700 pode ser realizado por um integrador de sistema, uma terceira parte, um operador ou alguma combinação dos mesmos. Nesses exemplos, o operador pode ser um cliente. Para fins dessa descrição, um interrogador de sistema pode incluir, sem limitação, qualquer número de fabricantes de aeronave e subempreiteiros de sistema principal; uma terceira parte pode incluir, sem limitação, qualquer número de vendedores, subempreiteiros e fornecedores; e um operador pode ser uma companhia aérea, uma companhia de leasing, uma entidade militar, uma organização de serviço e assim por diante.
[0098] Com referência agora à figura 8, uma ilustração de um diagrama em bloco de uma aeronave é apresentada onde uma modalidade ilustrativa pode ser implementada. Nesse exemplo, a aeronave 800 é produzida pelo método de fabricação e serviço de aeronave 700 na figura 7 e pode incluir a fuselagem da aeronave 802 com pluralidade de sistemas 804 e o interior 806. Exemplos dos sistemas 804 incluem um ou mais dentre o sistema de superfície de controle de voo 807, sistema de propulsão 808, sistema elétrico 810, sistema hidráulico 812, um sistema ambiental 814. Qualquer número de outros sistemas pode ser incluído.
[0099] Apesar de um exemplo aeroespacial ser ilustrado, diferentes modalidades ilustrativas podem ser aplicadas a outras indústrias, tal
Petição 870180038817, de 10/05/2018, pág. 96/161
28/31 como a indústria automotiva. Aparelhos e métodos consubstanciados aqui podem ser empregados durante pelo menos um dos estágios do método de fabricação e serviço de aeronaves 700 na figura 7.
[0100] Em um exemplo ilustrativo, os componentes ou subconjuntos produzidos na fabricação de componente e subconjunto 706 na figura 7 podem ser fabricados ou produzidos de uma forma similar aos componentes ou subconjuntos produzidos enquanto a aeronave 800 está a serviço 712 na figura 7. Como outro exemplo adicional, uma ou mais modalidades de aparelho, modalidades de método ou uma combinação dos mesmos podem ser utilizados durante os estágios de produção, tal como a fabricação de componente e subconjunto 706 e integração de sistema 708 na figura 7.
[0101] Por exemplo, o sistema de controle 106 na figura 1 e o sistema de controle 200 na figura 2 podem ser implementados na aeronave 800 durante pelo menos uma dentre a fabricação de componente e subconjunto 706 ou a integração de sistema 708 para controlar diferentes sistemas nos sistemas 804. Como apresentado, o sistema de controle 106 na figura 1 e o sistema de controle 200 na figura 2 podem ser utilizados para controlar pelo menos um dentre o sistema de superfície de controle de voo 807, sistema de propulsão 808, sistema elétrico 810, sistema hidráulico 812, sistema ambiental 814, ou outros sistemas para a aeronave 800.
[0102] Uma ou mais modalidades de aparelho, modalidades de método ou uma combinação das mesmas podem ser utilizadas enquanto a aeronave 800 está a serviço 712, durante a manutenção e o serviço 714 na figura 7, ou ambos. O uso de um número de diferentes modalidades ilustrativas pode acelerar substancialmente a montagem da aeronave 800, reduzir o custo da aeronave 800, ou acelerar a montagem da aeronave 800 e reduzir o custo da aeronave 800. Por exemplo, o sistema de controle 106 na figura 1 e o sistema de controle 200 na figura 2 podem operar enquanto a
Petição 870180038817, de 10/05/2018, pág. 97/161
29/31 aeronave 800 está a serviço 712. Adicionalmente, o sistema de controle 106 na figura 1 e o sistema de controle 200 na figura 2 podem ser adicionados como novos componentes ou atualizações quando a aeronave 800 na figura 8 é programada para manutenção e serviço de rotina 714 na figura 7, o que pode incluir modificação, reconfiguração, renovação e outros tipos de manutenção e serviço.
[0103] Dessa forma, um ou mais exemplos ilustrativos fornecem um método e aparelho para o gerenciamento de um sistema de controle possuindo uma redundância tripla. Em um exemplo ilustrativo, uma solução técnica está presente e fornece um efeito técnico de gerenciamento de uma falha de segunda faixa. Em um exemplo ilustrativo, uma solução técnica utiliza uma faixa saudável para detectar e reportar a ocorrência da falha de segunda faixa para um controlador principal, tal como um sistema eletrônico de controle de voo, e permite que o sistema eletrônico de controle de voo desligue o acionador se tal falha for reportada no controlador. No exemplo ilustrativo, a energia é removida da unidade eletrônica remota funcionando como um controlador como um mecanismo ilustrativo no qual um desligamento de acionador pode ser alcançado.
[0104] No exemplo ilustrativo, os dados são transmitidos fora de uma faixa, a faixa transmissora. Essa faixa transmissora pode ser uma segunda faixa com falha. Os dados são recebidos por um controlador principal, tal como um sistema eletrônico de controle de voo. A análise dos dados enviados pela faixa transmissora é utilizada pelo sistema eletrônico de controle de voo para determinar se a falha ocorreu.
[0105] Nos exemplos ilustrativos, os dados incluem pelo menos um dentre um indicador de atividade, um status, e dados de verificação de erro. Essa informação pode ser utilizada para proteger contra o caso no qual a faixa transmissora, que é considerada saudável, se torna uma faixa com falha.
Petição 870180038817, de 10/05/2018, pág. 98/161
30/31 [0106] Por exemplo, cada faixa gera um status que contém indicações de se uma anomalia é observada pela faixa. Esse status, juntamente com outros parâmetros, é enviada para a faixa transmissora. A faixa transmissora transmite a informação em uma ou mais mensagens para o sistema eletrônico de controle de voo.
[0107] Se qualquer uma das duas faixas restantes indicar uma anomalia através do status, o sistema eletrônico de controle de voo desliga o acionador. O desligamento pode ser realizado pela remoção de energia elétrica a partir do controlador para o acionador. A fim de se proteger contra a faixa transmissora com falha interrompendo esse percurso de comunicação ou corrompendo os dados, dados de verificação de erro são incluídos na mensagem. Dessa forma, o sistema eletrônico de controle de voo pode detectar se o percurso de dados é interrompido ou os dados foram corrompidos.
[0108] A descrição de diferentes modalidades ilustrativas foi apresentada para fins de ilustração e descrição e não deve ser exaustiva ou limitada às modalidades na forma descrita. Diferentes exemplos ilustrativos descrevem componentes que realizam as ações ou operações. Em uma modalidade ilustrativa, um componente pode ser configurado para realizar a ação ou operação descrita. Por exemplo, o componente pode ter uma configuração ou projeto para uma estrutura que fornece ao componente uma capacidade de realizar a ação ou operação que é descrita nos exemplos ilustrativos com sendo realizada pelo componente.
[0109] Muitas modificações e variações serão aparentes aos versados na técnica. Adicionalmente, diferentes modalidades ilustrativas podem fornecer diferentes características em comparação com outras modalidades desejáveis. Apesar de um exemplo ilustrativo ter sido descrito com relação a uma unidade eletrônica remota que controla o sistema eletrônico de controle de voo, outros exemplos ilustrativos podem ser aplicados a outros sistemas de controle. Por exemplo, outro exemplo
Petição 870180038817, de 10/05/2018, pág. 99/161
31/31 ilustrativo pode ser aplicado a um controlador controlando as válvulas em uma eclusa para uma represa ou algum outro tipo de sistema redundante triplo no qual a disponibilidade seja importante.
[0110] A modalidade ou modalidades selecionadas são escolhidas e descritas a fim de melhor explicar os princípios das modalidades, a aplicação prática e para permitir que outros versados na técnica compreendam a descrição para várias modalidades com várias modificações como adequado ao uso em particular contemplado.

Claims (13)

1. Método de gerenciamento de um sistema de controle (106) possuindo a redundância tripla para uma aeronave (104), caracterizado pelo fato de o método compreender:
receber um grupo de mensagens (116) a partir de uma faixa transmissora (118) em um controlador (112) incluindo três faixas nas quais uma falha de primeira faixa (122) ocorreu previamente;
identificar um indicador de atividade (124), um status (128) gerada por cada faixa em um grupo de faixas (120), e um valor de verificação de redundância cíclica (128) gerado por cada faixa no grupo de faixas (120) no grupo de mensagens (116), onde o valor de verificação de redundância cíclica (128) gerado utilizando-se uma chave (132) designada para a faixa; e desabilitar o controlador (112) quando pelo menos uma dentre uma anomalia é indicada no status (128), uma falta de correspondência de indicador está presente, ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens (116) que indica que uma falha de segunda faixa (134) ocorreu.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de compreender adicionalmente:
calcular um valor de verificação de redundância cíclica local (138) para o grupo de mensagens (116) utilizando o indicador de atividade (124), o status (128) e uma chave local (140) para a faixa no grupo de faixas (120) no grupo de mensagens (116) onde o grupo de mensagens (116) é criptografado.
3. Método, de acordo com as reivindicações 1 a 2, caracterizado pelo fato de compreender adicionalmente:
gerar o indicador de atividade (124); e enviar o indicador de atividade (124) para o controlador
Petição 870180038817, de 10/05/2018, pág. 101/161
2/5 (112).
4. Método, de acordo com as reivindicações 1 a 3, caracterizado pelo fato de o valor de verificação de redundância cíclica (128) ser adicionalmente baseado no indicador de atividade (124) e no status (128).
5. Método, de acordo com as reivindicações 1 a 4, caracterizado pelo fato de o controlador (112) controlar pelo menos um dentre um acionador, uma válvula, um servo, uma superfície de controle de voo, um sistema de entretenimento em voo, um sistema de combustível, um motor, um sistema de controle ambiental, um piloto automático, ou um sistema de engrenagem de trem de pouso.
6. Método, de acordo com as reivindicações 1 a 5, caracterizado pelo fato de a anomalia ser indicada no status (128) e ser selecionada a partir de pelo menos uma dentre uma declaração própria de uma falha pela faixa transmissora (118), uma falha da segunda faixa, ou uma liberação de uma faixa com falha de um estado de desligamento.
7. Sistema de controle (106) possuindo a redundância tripla para uma aeronave (104), o sistema de controle (106) sendo caracterizado pelo fato de o sistema de controle (106) compreender:
um sistema eletrônico de controle de voo (110) configurado para receber um grupo de mensagens (116) a partir de uma faixa transmissora (118) em um controlador (112), incluindo três faixas, nas quais uma falha de primeira faixa (122) ocorreu previamente; identificar um indicador de atividade (124), um status (128) gerada por cada faixa em um grupo de faixas (120) e um valor de verificação de redundância cíclica (128) gerado por cada faixa no grupo de faixas (120) no grupo de mensagens (116), onde o valor de verificação de redundância cíclica (128) gerado por uma faixa no grupo de faixas (120) é gerado utilizando-se uma chave (132) projetada para a faixa; e desativar o controlador (112) quando pelo menos uma dentre uma anomalia é indicada no status (128), uma
Petição 870180038817, de 10/05/2018, pág. 102/161
3/5 falta de correspondência de indicador de atividade está presente ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens (116) que indica que uma falha de segunda faixa (134) ocorreu.
8. Sistema de controle (106), de acordo com a reivindicação
7, caracterizado pelo fato de o sistema eletrônico de controle de voo (110) ser configurado para calcular um valor de verificação de redundância cíclica local (138) para o grupo de mensagens (116) utilizando o indicador de atividade (124), o status (128) e uma chave local (14) para a faixa no grupo de faixas (120) no grupo de mensagens (116) onde o grupo de mensagens (116) é criptografado.
9. Sistema de controle (106), de acordo com as reivindicações 7 a 8, caracterizado pelo fato de o controlador (112) controlar pelo menos um dentre um acionador, uma válvula, um servo, uma superfície de controle de voo, um sistema de entretenimento em voo, um sistema de combustível, um motor, um sistema de controle ambiental (106), um piloto automático, ou um sistema de engrenagem de trem de pouso.
10. Sistema de controle (106), de acordo com as reivindicações 7 a 9, caracterizado pelo fato de a anomalia ser indicada na status (128) e ser selecionada a partir de pelo menos um dentre uma declaração própria de uma falha pela faixa transmissora (118), uma falha de uma segunda faixa, ou uma liberação de uma faixa com falhas de um estado de desligamento.
11. Método de gerenciamento de um sistema de controle (106) para uma aeronave (104), caracterizado pelo fato de o método compreender:
receber um grupo de mensagens (116) em um primeiro sistema eletrônico de controle de voo (110) a partir de uma faixa transmissora (118) em uma unidade eletrônica remota (136) incluindo três faixas para a redundância tripla na qual uma falha de primeira faixa (122) ocorreu previamente;
Petição 870180038817, de 10/05/2018, pág. 103/161
4/5 identificar, pelo sistema eletrônico de controle de voo (110), um indicador de atividade (124), uma status (128) gerada pela faixa transmissora (118), e um valor de verificação de redundância cíclica (128) no grupo de mensagens (116) com base em uma chave (132) designada para a faixa transmissora (118); e realizar, pelo sistema eletrônico de controle de voo (110), uma ação com relação à unidade eletrônica remota (136) quando pelo menos uma dentre uma anomalia é indicada na status (128), uma falta de correspondência do indicador de atividade está presente, ou uma falta de correspondência de valor de verificação de redundância cíclica está presente no grupo de mensagens (116) que indica que uma falha de segunda faixa (134) ocorreu.
12. Método, de acordo com a reivindicação 11, caracterizado pelo fato de a ação ser selecionada a partir de um dentre a desativação de um controlador (112), a desativação de uma faixa no controlador (112), a ativação de outro controlador e a reinicialização do controlador (112).
13. Método de gerenciamento de um sistema de controle (106) possuindo redundância tripla para uma aeronave (104), caracterizado pelo fato de o método compreender:
receber um grupo de mensagens (116) a partir de uma faixa transmissora (118) em um controlador (112) incluindo três faixas nas quais uma falha de primeira faixa (122) ocorreu previamente;
identificar um indicador de atividade (124) e falta de correspondência de dados de verificação de erro gerada por um grupo de faixas (120) no grupo de mensagens (116) com base em um grupo de chaves designado para o grupo de faixas (120); e desativar o controlador (112) quando pelo menos um dentre uma anomalia é indicada em um status (128), uma falta de correspondência de indicador de atividade está presente, ou uma falta de correspondência
Petição 870180038817, de 10/05/2018, pág. 104/161
5/5 de dados de verificação de erro está presente no grupo de mensagens (116) que indica que uma falha de segunda faixa (134) ocorreu.
BR102018009506-4A 2017-06-29 2018-05-10 cobertura de falha para múltiplas falhas em sistemas redundantes BR102018009506A2 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/637,670 US10571914B2 (en) 2017-06-29 2017-06-29 Fault coverage for multiple failures in redundant systems
US15/637,670 2017-06-29

Publications (1)

Publication Number Publication Date
BR102018009506A2 true BR102018009506A2 (pt) 2019-01-15

Family

ID=62909343

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102018009506-4A BR102018009506A2 (pt) 2017-06-29 2018-05-10 cobertura de falha para múltiplas falhas em sistemas redundantes

Country Status (7)

Country Link
US (1) US10571914B2 (pt)
EP (1) EP3422125B1 (pt)
JP (1) JP7132765B2 (pt)
CN (1) CN109213118B (pt)
BR (1) BR102018009506A2 (pt)
CA (1) CA3003039C (pt)
RU (1) RU2758229C2 (pt)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11099936B2 (en) * 2018-09-11 2021-08-24 Embraer S.A. Aircraft integrated multi system electronic architecture
CN109828449A (zh) * 2019-01-25 2019-05-31 杭州电子科技大学 一种三模冗余控制计算表决系统及方法
JP7386108B2 (ja) * 2020-03-09 2023-11-24 ナブテスコ株式会社 航空機用の多重化制御装置
US11851088B2 (en) * 2020-03-11 2023-12-26 Baidu Usa Llc Method for determining capability boundary and associated risk of a safety redundancy autonomous system in real-time
US11720067B2 (en) * 2020-03-30 2023-08-08 General Electric Company Method for handling a simultaneous failure of all channels of a multi-channel engine controller for a gas turbine engine
CN111930036A (zh) * 2020-07-24 2020-11-13 中国航空工业集团公司西安飞行自动控制研究所 一种民机作动器的主备控制切换系统和方法
WO2022026293A1 (en) * 2020-07-29 2022-02-03 SkyRyse, Inc. Redundancy systems for small fly-by-wire vehicles
CN112526979B (zh) * 2020-12-16 2023-06-09 中国兵器装备集团自动化研究所 一种多重冗余架构的串行通信接口诊断系统及方法
CN114706369A (zh) * 2022-04-13 2022-07-05 中国第一汽车股份有限公司 一种自动驾驶控制器测试系统、自动驾驶控制器及车辆
CN115657450B (zh) * 2022-12-28 2023-03-31 广东美的制冷设备有限公司 工业机器人的安全控制系统、电路及方法
CN117149533B (zh) * 2023-11-01 2024-01-23 成都正扬博创电子技术有限公司 一种能够自动适配多余度配置的综合控制计算机系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3928456A1 (de) * 1989-08-29 1991-03-07 Nord Micro Elektronik Feinmech Verfahren und schaltungsanordnung zum bilden eines auswertungssignals aus einer mehrzahl redundanter messsignale
SU1802607A1 (ru) * 1990-11-06 1994-07-30 Московский институт электромеханики и автоматики Устройство контроля многоканальной системы управления
FR2878953B1 (fr) * 2004-12-03 2007-01-26 Thales Sa Architecture d'un systeme embarque d'aide au pilotage d'un aeronef
RU2324624C1 (ru) * 2006-11-17 2008-05-20 ОАО "ОКБ им. А.С. Яковлева" Самолет с системой формирования резервной информации о пространственном положении летательного аппарата
WO2008122820A2 (en) * 2007-04-05 2008-10-16 Bombardier Inc. Multi-axis serially redundant, single channel, multi-path fly-by-wire flight control system
US7877627B1 (en) * 2008-12-18 2011-01-25 Supercon, L.L.C. Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
US8598840B2 (en) * 2010-04-15 2013-12-03 Launchpoint Energy And Power Llc Fault-tolerant battery management system, circuits and methods
US9327600B1 (en) * 2011-09-06 2016-05-03 Neeme Systems Solutions, Inc. Aircraft utilities and power distribution system
WO2013120031A1 (en) * 2012-02-10 2013-08-15 Merlin Technology, Inc. Autopilot control arrangement and methods
US9150308B2 (en) * 2012-02-10 2015-10-06 Merlin Technology, Inc. Rotorcraft autopilot system, components and methods
RU2551813C1 (ru) * 2013-12-16 2015-05-27 Российская Федерация, от имени которой выступает Министерство обороны Российской Федерации Устройство управления резервированной с выбором среднего арифметического значения выходных параметров системой
CN104238435B (zh) * 2014-05-27 2017-01-18 北京航天自动控制研究所 一种三冗余控制计算机及容错控制系统
US9493231B2 (en) * 2015-03-20 2016-11-15 The Boeing Company Flight control system command selection and data transport
EP3303126B1 (en) * 2015-05-29 2020-09-02 Verity AG An aerial vehicle
CN105279049A (zh) * 2015-06-16 2016-01-27 康宇星科技(北京)有限公司 一种故障自主恢复三模冗余容错计算机ip核的设计方法
CN106227195B (zh) * 2016-08-30 2019-03-12 北京精密机电控制设备研究所 一种故障检测判断补偿式三冗余伺服控制方法
US10248484B2 (en) * 2017-02-21 2019-04-02 Intel Corporation Prioritized error-detection and scheduling

Also Published As

Publication number Publication date
JP7132765B2 (ja) 2022-09-07
CN109213118B (zh) 2021-03-12
RU2758229C2 (ru) 2021-10-26
EP3422125B1 (en) 2021-11-03
CN109213118A (zh) 2019-01-15
EP3422125A1 (en) 2019-01-02
US20190004515A1 (en) 2019-01-03
JP2019031272A (ja) 2019-02-28
RU2018114969A (ru) 2019-10-23
US10571914B2 (en) 2020-02-25
CA3003039A1 (en) 2018-12-29
RU2018114969A3 (pt) 2021-08-12
CA3003039C (en) 2022-12-06

Similar Documents

Publication Publication Date Title
BR102018009506A2 (pt) cobertura de falha para múltiplas falhas em sistemas redundantes
CA2918108C (en) Flight control system command selection and data transport
US10120772B2 (en) Operation of I/O in a safe system
US20160283314A1 (en) Multi-Channel Network-on-a-Chip
US8775867B2 (en) Method and system for using a standby server to improve redundancy in a dual-node data storage system
US9367375B2 (en) Direct connect algorithm
US20160004241A1 (en) Control device
JP2022088346A (ja) コア同期のためのデバッグトレースストリーム
CN110140112B (zh) 锁步系统的周期性非侵入性诊断
US9665447B2 (en) Fault-tolerant failsafe computer system using COTS components
US11577859B1 (en) Fault resilient airborne network
CN108572893B (zh) 用于安全系统的端到端fpga诊断的方法和系统
KR20120136955A (ko) 안전 무결성 확보를 위한 열차제어 시스템
US9772897B1 (en) Methods and systems for improving safety of processor system
CA2930522C (en) Remote shutdown via fiber

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]