CN100363899C - 容错计算机控制系统 - Google Patents
容错计算机控制系统 Download PDFInfo
- Publication number
- CN100363899C CN100363899C CNB2004100430453A CN200410043045A CN100363899C CN 100363899 C CN100363899 C CN 100363899C CN B2004100430453 A CNB2004100430453 A CN B2004100430453A CN 200410043045 A CN200410043045 A CN 200410043045A CN 100363899 C CN100363899 C CN 100363899C
- Authority
- CN
- China
- Prior art keywords
- data
- converting unit
- data source
- data item
- output terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
- G06F11/184—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
一种容错计算机控制系统,包含几个计算机(P0、P1、P2),该计算机冗余工作并以从传感器(S0、S1、S2)和输入装置(V0、V1)得到的标记为基础控制致动器(A0、A1、A2)。由每台计算机发射的每个数据项通过不同的通讯路径同时发送到每个致动器,这样在正常操作中,每个致动器通过不同的路径接收每个数据项。甚至在出现故障的情况下该系统仍能完全发挥作用,而不需要数据项的任何改线发送,这使得系统更容易设计、分析和测试,从而提高了它的可靠性。
Description
技术领域
本发明涉及一种容错计算机控制系统,该系统例如可应用于控制交通工具或其它危险装置。
背景技术
随着计算机系统在人类生活的许多应用领域的重要性越来越大,它们的可靠性变得越来越重要,这是因为一个错误可能带来可怕的后果,包括损伤或灾难。这种计算机系统的实例除了用在医疗系统中外,也用在交通工具制导或控制系统,例如火车制导系统或飞机控制系统。
电子计算机典型的“故障间的平均时间”大约为104小时,而这个时间对于危险的应用来说高得不能接受。因此,使用几台并行的计算机、通过冗杂的操作提高系统可靠性已经是惯用做法。
传统的冗余系统一般采用多台计算机,这些计算机在一个网络中起着数据源的作用。这个网络包括许多通信链路,每条通信链路将一台计算机和数据接收器相连接,数据接收器例如是一个飞机上副翼的致动器。计算机生成包含控制副翼运行的数据项。副翼接收所有数据项并将其组合,例如通确定一个中间值生成一个容错的数据项。
这种系统不能在发生故障的通信链路上传递数据项。为了克服这个缺陷,曾经提出应用额外的通信链路使计算机互连。如果发现一给定的计算机和数据接收器间的通信链路出现故障,从给定的计算机发出的数据项则改线发送给其它的计算机和一条可替换的通信链路。由于这种系统可能包括大量的计算机和接收器,甚至还包括大量的通信链路,在一条通信链路发生故障再改线发送数据项的必要步骤可能变得相当复杂。而且,为所有可能出现的错误和改线发送配置所进行的分析和测试会变得十分复杂和昂贵,否则就不能实现。
发明内容
因此,本发明所要解决的问题是提供一种上面提及的方法和系统,该方法和系统比较易于执行、分析和测试,同时能保持低的故障危险。
为解决该问题,根据本发明的一个方面的一种容错计算机控制系统包括:
多个冗余的数据源,用于生成冗余的数据项;
多个数据接收器,用于接收冗余的数据项并将它们组合成一个容错数据项;
一个转换组件,该转换组件具有多个输入端和多个输出端,其中每个输入端与一个数据源或一个输出端连接,每个输出端与一个输入端或一个数据接收器连接,每个数据接收器通过独立的接收器通信链路与至少两个输出端连接,
其中该转换组件被配置成通过至少两条不同的接收器通信链路将任何一个所说数据源与每个所说数数据接收器连接,该计算机控制系统被配置成通过至少两条不同的接收器通信链路中的每一条将每个数据项从任一给定数据源传递给任一给定数据接收器,这样给定的数据接收器通过至少两条接收器信链路接收到相同的数据项,
其特征在于转换组件分为多个转换单元,每个转换单元的每个输入端或者与一个数据源连接,或者通过一条转换通信链路与另一个转换单元的一个输出端连接,每个转换单元通过至少两条转换通信链路与其它转换单元连接,每条转换通信链路将一个转换单元的一个输出端与另一个转换单元的一个输入端连接,每个数据接收器通过接收器通信链路与至少两个不同的转换单元连接。在正常的操作中,每个数据接收器通过独立的通信链路接收每个数据项至少两次。尽管这需要额外增加频带宽度,但它有这样的优点,就是如果通信链路中出现故障无需改线发送数据项,也就是说,当出现故障时信息流不必非得重新调整,这使得系统更加可靠,并且更易于分析和测试。这样很容易预知系统能够处理哪些类型的故障,而不需要测试出潜在故障所有可能的组合。
如上所述,在本发明的容错计算机控制系统中,转换组件被分为多个转换单元,其中每一个转换单元通过至少两条转换通信链路与其它的转换单元连接,并且其中任一数据接收器与至少两个不同的转换单元连接。以这种方式细分的转换组件,使得系统在任意一个转换单元出现故障时仍能提供更好的性能。在一个优选的实施例中,就是将一个转换单元附加于每一个数据源,更优选的是,每一个转换单元的一个输入端与它的数据源的一个输出端相连。
在另一个优选的实施例中,一个同步传送方案应用于在每一个数据源附着冗余的时间窗的情况。在每一个时间窗口,转换组件将所有的接收器通信链路与附加时间窗的数据源连接。这又会导致所需频带宽度增大,但是它有助于保持系统简单。除了这些,它还可以防止有缺陷的数据源连续阻塞接收器通信链路,这是因为每个数据只在有它的数据窗口中源可以通过通信链路。如果转换组件被分为上面提及的互相连接的转换单元,可以应用相同的方案防止转换通信链路的堵塞。
在另一个优选的实施例中,一个特殊的密钥附属于每一个数据源。由每个数据源发送的数据项被相应的密钥进行数字标记,并且当数据项在数据接收器中的接收时检查该标记。利用这样的标记方案则为检查出不可靠的信息提供了更大的可能性。
本发明尤其适用于控制交通工具的方向和/或速度。在优选的应用中,它用于控制飞机。
附图说明
在阅读下面详细描述的说明书时,可以对本发明进行更好的理解,同时除了前面阐明的那些目的之外的目的也会变得更清楚。该说明书参照附图进行说明,其中:
图1是根据本发明的容错计算机系统的方框图。
图2表示一个数据源的一个转换单元。
图3是数据通讯的时间表。
图4A、4B、4C是数据接收器接收到的冗杂数据项表。
图5表示根据本发明的计算机系统控制的飞机。
图6是图1的简化图解。
图7是本发明可选择的实施例。
具体实施方式
图1的系统由三台冗杂的计算机P0、P1和P2运行,这三台计算机处理从三个传感器S0、S1和S2以及两台输入装置V0和V1发出的标记,并控制三个致动器A0、A1和A2。一个转换单元SU0、SU1或SU2附属于每台计算机。
在一个具体实施例中,此处所示的系统可以控制交通工具,其中传感器SO、S1和S2例如测量交通工具的位置、姿态和/或速度,输入装置V0和V1是由使用者操作的控制器,A0、A1和A2是控制交通工具动力和操纵机构的致动器。
基于可靠性的原因,至少有两个冗余的传感器用来测量计算机P0、P1和P2用的每个参数,并且所提供的输入装置LV0、LV1是双倍的。
计算机P0、P1和P2根据由传感器S0、S1和S2和输入装置LV0、LV1提供的输入量以及储存在计算机中的状态变量生成控制致动器A0、A1和A2的命令。计算机P0、P1和P2独立地工作。它们是冗余的,即在系统不出现故障时,由计算机生成的命令完全相同,因此是冗余的。命令以数据项的形式传送给致动器A0、A1和A2。后面的数据项与已经接收到的冗余的数据项组合以确定一个纠错数据项。这一点会在下面更加详细的描述。
必须注意的是,对于绝大多数的应用来说,部件的相应数目会比在图1中示出的数目大的多。但是,本系统的构造可以很容易地按比例满足任何复杂系统的需要。
下面,对这个构造进行更详细的描述。在本说明书中,每台计算机P0、P1和P2(或者,更准确的说,它的输出端与转换单元连接)被看作是发送数据项的“数据源”,这些数据项由致动器A0、A1和A2接收。每个致动器A0、A1和A2被看作是接收数据项的“数据接收器”。
多个通信链路用来连接系统的各个部分。输入通信链路LS0、LS1、LS2、LV0和LV1将每个传感器S0、S1和S2以及每个输入装置V0和V1连接到每台计算机P0、P1和P2上。转换通信链路LPiPj将各个转换单元SU0、SU1、SU2互相连接起来(此处i和j是介于0和转换单元数减1之间的整数)。接收器通信链路LPiAk将每个转换单元SUi和数据接收器Ak连接(此处k是介于0和致动器数减1之间的整数)。每个数据接收器Ak与至少两条接收器通信链路LPiAk连接,这些接收器通信链路通向不同的转换单元SUi。
每条转换通信链路LPiPj是点到点的连接,并且将一个转换单元SUi的一个输出端与另一个转换单元SUj的输入端连接。类似的,每条接收器通信链路LPiAk是将转换单元SUi的一个输出端连接到一个致动器Ak之间的点到点的连接。
优选的,接收器通信链路LPiAk是光缆,这是为了剩余系统的可靠数据传输和安全的电流保护,这是因为在许多应用中致动器可能操纵高功率的设备。其它的通信链路可以是光纤、电线或无线链接或其它。
转换单元SU0、SU1或SU2的构造在图2中示出。在所示的实施例中,每个转换单元SUi有三个输入端I0-I2和五个输出端O0-O4。一个转换开关(多路标记分离器)S0-S4提供给每个输出端,这样每个输出端Oi可以有选择的连接到输入端Ij的任一端。
每个输入端I0和I2都与一条转换通信链路LPjLPi、LPj’LPi连接,用来从两个其它的转换单元SUj和SUj’接收数据项。输入端I1与附属于转换单元的数据源连接。
每个输出端O0和O4都与一条转换通信链路LPiLPj、LPiLPj’连接,用来向两个其它的转换单元SUj和SUj’发送数据项。输出端O1和O2与接收器通信链路LPiAk和LPiAk’连接,用来向接收器Ak和Ak’发送数据项。输出端O3与附属于转换单元的计算机的一个数据输入端连接。
一个转换控制台10用来根据来自时钟单元的标记设定转换开关Si。
每个转换单元SU0、SU1或SU2都装有它自己的时钟单元11和它自己的控制台10,从而能够自主的设定转换。时钟单元11保持同步。对于本领域的技术人员来讲,保持时钟单元同步的各种容错方法是熟知的,其中一些方法在卡奈尔(Cornell)大学计算机科学学院的Fred.B.Schneider于1987年8月在“拜占庭式时钟同步理解协议”(“Understanding Protocols for Byzantine ClockSynchronization”)中描述过。优选的,时钟单元11与由数据源加在每一个数据项或者至少一部分数据项上添加的时间标记同步,其中每个转换单元抽取从不同的数据源传递来的数据项的时间标志,并由此确定一个总的时间,例如,通过找出在同一时间接收到的时间标志的中间值和通过计算出相对于它自己的时钟的偏差来确定一个总的时间。
如图3所示,为了调整系统中的通讯,一个时间窗附加于每个数据源,其中优选的是窗口等长并以规则周期重复。不等长的数据窗口也可以用,尤其是在数据源中之一具有更多的数据需要传输的时候。在一个给定的时间窗口,转换单元SUi以这种方式设定转换开关,以使所有转换开关通信链路LPiPj以及所有接收器通信链路LPiAk都与附加窗口的数据源连接。
这些从图3中可以看到并将在下面进一步解释,额外的时间窗口可以用于从致动器Ai的传输。
数据源也是同步的,例如通过它们附加在数据转换开关的时钟单元,并且数据源只在它们的数据窗口范围内传递数据项,其中,每个数据窗口的最前端和后端保持不用,以解决同步错配和标记延迟的问题。
图3中窗口的长度主要取决于待传输数据的数量和传输一条消息所允许的最大的延迟时间。对于绝大多数的交通工具控制系统来说,发现大约10ms的窗口长度是合适的。
为了在同一时间完全把通信链路归结于单独的数据源而采用固定的计时方案,这样会产生提高频带宽度的要求。但是,在许多应用中,目前可得到的通信链路为支持这种协定提供了充足的频带宽度。
从上面的描述中越来越清晰的看到,每个数据源Pi将它的所有数据项同时传递给所有数据接收器Ak,每个数据接收器通过至少两条不同的接收器通信链路LPjAk同时接收每个数据项。因此,在正常操作中,数据接收器至少两次从每个数据源接收每个烽据项,因为所有数据源都生成冗余的数据项,所以数据接收器通过网络中不同的路径接收到每个数据项的六种冗余版本的一组数据。
图4A、4B和4C中对数据接收器A0进行了说明。数据接收器试图接收一组中所有六条数据项并且例如通过下面描述以核实一个校验和或数字标记,能够确定它们的实际完整性。在传输中没有任何错误时,如图4A所示,每个数据项被标记“ok”。如果通信链路LP1P0出现一个故障,如图4B所示,只有五个数据项是有效的。即使除了这个故障,通信链路LP2A0出错,两个数据项仍然是有效的,如图4C所示。
从接收到的冗余的有效数据项中,数据接收器利用已知的交换-恒定技术(中值、大多数...)生成一个纠错数据项。例如,如果数据项规定了一个数字参数,那么由有效数据项给定的参数的中间值就被确定了。
如上所述,数据项可以包括一个数字标记。为了生成一个数字标记(和选择的,加密),一个特殊的密钥归属于每个数据源P0、P1或P2。利用这个特殊的密钥,每个数据源产生一个本领域的技术人员熟知的数字标记,即,一个取决于数据项中待传输的消息和这个密钥的标记值,其中用于生成标记的运算法则是,如果利用特定的密钥或者不用密钥生成一特定的标记值,就能证明具有足够的可靠性。为了提高安全性,可以利用基于不对称的密钥的标记方案。但是必须注意的是,可用于本发明上下文中的标记方案可能比那些通常用于数据通讯中的标记配置更简单和具有较小的防干扰能力,这是因为本发明中的标记配置主要用于必须防止系统故障而不是防止故意干扰。
当一个数据接收器从一个给定的数据源接收到一条消息时,它通过检验标记是否与数据源的密钥相匹配从而检验数据项的有效性。否则,数据项会被标记为无效。
本系统的一个应用在图5中示意性的表示出来。此图示出了一架垂直升降的飞机20,例如在WO 01/30652中披露的那样,该飞机装有多个可倾斜的驱动部件21,每个驱动部件包含一个电动风扇。驱动部件21为飞机提供姿态控制、提升和前进的推力。每个驱动部件21包含一个驱动控制部件,该驱动控制部件控制驱动部件的倾斜角度和推力。每个驱动控制部件从上述数据接收器Aj、Ai中的一个接收它的设置信息。除此之外,姿态传感器Sm、Sn和其它类型的传感器与输入装置V0和V1一起安装在飞机中,其目的是将输入数据提供给计算机Pi。
为了讨论本发明的很多变型中的一些改进,现在我们参考图6,该图示意性的表示出图1中的实施例。
从图6可以看出,本发明的具体实施例的一个优点在于,每个数据接收器Ak通过冗余的路径从所有数据源Pi接收数据,即使用于一个给定的接收器Ak的接收器通信链路LpiAk的数目(即2)比数据源的数目(即3)少。这是由于这样一个事实,转换单元SUi允许每个数据源Pi使用一个给定数据接收器的两条接收器通信链路。
如果为每个数据项提供可选择的路径,那么与每个数据接收器连接的接收器通信链路最小数目是2。为了提高可靠性,可以为每个数据接收器提供两条以上的接收器通信链路。
在图6的实施例中,每个转换单元SUi被连接用于与另外两个转换单元发送和接收数据,因此在转换单元之间提供了可选择的路径。为了提高可靠性,这个数目可以大于2,但是每个转换单元也可以只有一条单独的转换通信链路。在图6的实施例中,一个转换单元SUi附加于每一台计算机Pi。优选的,每台计算机和每个转换单元位置上彼此接近,使它们可以共享一些机械或电子部件。但是,优选的是转换单元可以独立于它附属的计算机而运行,即计算机在它的数括处理过程中出现故障时,转换单元应仍能继续运行。
计算机和与它相连接的转换单元的近距离放置是优选的但不是必需的。转换单元可以放置在任何位置。但是,如果计算机和它的转换单元之间的距离变大,介于它们之间的通信链路出现故障的危险就会增加。在那种情况下建议在计算机和转换单元之间提供额外的冗余的通信链路。
图7示出了有四台计算机Pi和仅有两个转换单元SUi的实施例。在此,每个转换单元有四个输入端和六个输出端,各个转换S有四个可能的位置。此外,转换开关根据附加当前窗口的数据源而被定位,这样该数据源的标记被发送到所有接收器通信链路和转换通信链路。
必须注意的是,在上述描述以及附图中,只描述和展示了部件间最重要的一些通信链路。除了这些,网络还可以包括更多的通信链路,例如从致动器回到计算机或回到一个独立的监控部件。类似的,转换单元除了包括连接到接收器通信链路和转换通信链路的转换开关外,还可以包括为其它类型的接收器输送数据的额外的转换开关,例如转换开关S3就是为计算机的输入端输送数据项。
例如,如果希望致动器A0、A1、A2能够把反馈信息传递给计算机P0、P1、P2,那么介于转换单元SUi和致动器之间的通信链路可能是双向的。例如,一条反馈链LAiPk可能由每个致动器通向与之连接的两个转换单元,如图1中致动器A1的虚线部分所示。到每个转换单元中的转换开关S0-S4的输入端的数目可以相应的增加2个,这样输入端可以在附属于致动器的时间窗内将反馈链LAiPk连接到转换单元的输出端(见图3)。换句话说,致动器A0、A1、A2也可以作为数据源。但是,与计算机P0、P1和P2相比,它们通常不是冗余的数据源,但是它们能通过冗余的路径把数据传输到选定的接收器中。
此处所用的术语“系统”应理解为指定的一种装置,该装置包含数据源和数据接收器,同时还包含连接它们的网络,但是它常常用作指定一种操作该装置的方法。
Claims (17)
1.一种容错计算机控制系统,该系统包括:
多个冗余的数据源,用于生成冗余的数据项;
多个数据接收器,用于接收冗余的数据项并将它们组合成一个容错数据项;
一个转换组件,该转换组件具有多个输入端和多个输出端,其中每个输入端与一个数据源或一个输出端连接,每个输出端与一个输入端或一个数据接收器连接,每个数据接收器通过独立的接收器通信链路与至少两个输出端连接,
其中该转换组件被配置成通过至少两条不同的接收器通信链路将任何一个所说数据源与每个所说数据接收器连接,该计算机控制系统被配置成通过至少两条不同的接收器通信链路中的每一条将每个数据项从任一给定数据源传递给任一给定数据接收器,这样给定的数据接收器通过至少两条接收器通信链路接收到相同的数据项,
其特征在于转换组件分为多个转换单元,每个转换单元的每个输入端或者与一个数据源连接,或者通过一条转换通信链路与另一个转换单元的一个输出端连接,每个转换单元通过至少两条转换通信链路与其它转换单元连接,每条转换通信链路将一个转换单元的一个输出端与另一个转换单元的一个输入端连接,每个数据接收器通过接收器通信链路与至少两个不同的转换单元连接。
2.根据权利要求1所述的系统,其中每条接收器通信链路将恰好一个输出端连接到恰好一个接收器。
3.根据前面任何一项权利要求所述的系统,其特征是用于每个数据接收器的接收器通信链路的数目小于数据源的数目。
4.根据权利要求3所述的系统,其中用于每个数据接收器的接收器通信链路的数目是2。
5.根据权利要求1或2所述的系统,其特征是对于每个转换单元来说,每个输出端能够与每个输入端连接。
6.根据权利要求1或2所述的系统,其特征是两条转换通信链路附加到每个转换单元的输入端上和/或恰好两条转换通信链路附加到每个转换单元的输出端上。
7.根据权利要求1或2所述的系统,其特征是转换单元的数目与数据源的数目相当,每个转换单元附加到一个数据源上,每个转换单元的一个输入端连接到它附属的数据源上,转换单元的一个输出端连接到它附属的数据源上。
8.根据权利要求1或2所述的系统,其特征是冗余时间窗附加到每个数据源上,在每个时间窗内,转换组件将所有接收器通信链路连接到起因于时间窗的数据源上,而剩余的数据源与接收器通信链路断开。
9.根据权利要求8所述的系统,其特征是在每个时间窗内,转换组件将所有的转换通信链路连接到起因于时间窗的数据源上,而剩余的数据源与转换通信链路断开。
10.根据权利要求8所述的系统,其特征是至少部分数据项带有时间标记,每个转换单元包含一个由时间标记同步的时钟(11)。
11.根据权利要求10所述的系统,其特征是每个转换单元被配置成组合多个接收到的带有时间标记的数据项,以确定一个时基。
12.根据权利要求1或2所述的系统,其特征是一个特殊的密钥附加到每个数据源上,并且每个数据源被配置成为每个数据项生成一个数字标记,该数据项是利用它的特殊的密钥传送的,数据接收器被配置成在收到数据项时校验标记的有效性。
13.根据权利要求1或2所述的系统,其特征是该数据接收器被配置成校验每个接收到的数据项的有效性,并且被配置成仅利用一组冗杂的数据项中那些有效的数据项。
14.根据权利要求1或2所述的系统,其特征是该数据接收器包括致动器。
15.根据权利要求1或2所述的系统,还包括为从该数据接收器到该转换组件传输数据的反馈链。
16.一种交通工具,包含前面任何一项权刷要求所述的系统,其中该数据接收器控制交通工具的动力和操纵机构。
17.一种飞机,包含:
权利要求1至15任何一项所述的系统;
至少一个驱动部件(21),该驱动部件提供姿态控制以及产生向上和向前的推力;以及
一个控制该驱动部件的倾斜角度和推力的驱动控制部件,其中该驱动控制部件由该数据接收器中的一个控制。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03001308.0 | 2003-01-23 | ||
| EP03001308A EP1443399B1 (en) | 2003-01-23 | 2003-01-23 | Fault tolerant computer controlled system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1550988A CN1550988A (zh) | 2004-12-01 |
| CN100363899C true CN100363899C (zh) | 2008-01-23 |
Family
ID=32605236
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100430453A Expired - Fee Related CN100363899C (zh) | 2003-01-23 | 2004-01-20 | 容错计算机控制系统 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7263630B2 (zh) |
| EP (1) | EP1443399B1 (zh) |
| JP (1) | JP4309296B2 (zh) |
| CN (1) | CN100363899C (zh) |
| AT (1) | ATE431944T1 (zh) |
| AU (1) | AU2004200226B2 (zh) |
| CA (1) | CA2455478A1 (zh) |
| DE (1) | DE60327687D1 (zh) |
| HK (1) | HK1069890A1 (zh) |
| RU (1) | RU2333528C2 (zh) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4490963B2 (ja) | 2003-02-15 | 2010-06-30 | ガルフストリーム・エアロスペース・コーポレイション | 航空機キャビン大気組成制御方法 |
| DE102004049558A1 (de) | 2004-10-12 | 2006-04-27 | Volkswagen Ag | Verfahren und Vorrichtung zur Steuerung einer Kraftfahrzeugbeleuchtung |
| US7337044B2 (en) * | 2004-11-10 | 2008-02-26 | Thales Canada Inc. | Dual/triplex flight control architecture |
| US20060176823A1 (en) * | 2005-02-10 | 2006-08-10 | Barajas Leandro G | Smart actuator topology |
| JP2006344087A (ja) * | 2005-06-10 | 2006-12-21 | Hitachi Ltd | 制御装置のタスク管理装置、及び、制御装置のタスク管理方法 |
| DE102005060720A1 (de) * | 2005-12-19 | 2007-06-28 | Siemens Ag | Überwachungssystem, insbesondere Schwingungsüberwachungssystem und Verfahren zum Betrieb eines solchen Systems |
| EP1977297A4 (en) * | 2006-01-17 | 2010-02-24 | Gulfstream Aerospace Corp | APPARATUS AND METHOD FOR CONTROLLING RELIEF USED IN DISTRIBUTED FLIGHT CONTROL SYSTEM |
| WO2007084529A2 (en) * | 2006-01-17 | 2007-07-26 | Gulfstream Aerospace Corporation | System and method for an integrated backup control system |
| FR2907234B1 (fr) * | 2006-10-13 | 2009-01-16 | Thales Sa | Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande |
| SE530628C3 (sv) * | 2006-12-12 | 2008-08-19 | Scania Cv Ab | Ledstyrsystem |
| US8948960B2 (en) * | 2007-11-30 | 2015-02-03 | Honeywell International Inc. | Systems and methods for arbitrating sensor and actuator signals in a multi-channel control system |
| US8255732B2 (en) * | 2008-05-28 | 2012-08-28 | The United States Of America, As Represented By The Administrator Of The National Aeronautics And Space Administration | Self-stabilizing byzantine-fault-tolerant clock synchronization system and method |
| FR2941551B1 (fr) | 2009-01-28 | 2011-06-03 | Airbus France | Circuit electronique de determination d'une donnee representative d'un parametre de l'air et systeme comprenant un tel circuit |
| FR2941912B1 (fr) * | 2009-02-10 | 2011-02-18 | Airbus France | Systeme de commande de vol et aeronef le comportant |
| CN101576835B (zh) * | 2009-05-31 | 2010-12-01 | 北京控制工程研究所 | 一种满足拜占庭协议的两轮通信方法 |
| US8228009B2 (en) * | 2009-07-27 | 2012-07-24 | Parker-Hannifin Corporation | Twin motor actuator |
| JP4956603B2 (ja) * | 2009-12-04 | 2012-06-20 | 株式会社東芝 | 分散システムおよび論理時間調整方法 |
| EP2442229A1 (en) * | 2010-07-28 | 2012-04-18 | Siemens Aktiengesellschaft | High reliability method of data processing, and controller unit |
| FR2992122B1 (fr) * | 2012-06-15 | 2014-06-27 | Thales Sa | Dispositif de conversion securise de commandes numeriques en signaux analogiques de puissance pour aeronef |
| KR101704787B1 (ko) * | 2014-12-31 | 2017-02-22 | 주식회사 효성 | 제어기의 이중화 시스템 |
| US20180044034A1 (en) * | 2015-03-27 | 2018-02-15 | Astronautics Corporation Of America | Auxiliary Security System for Aircraft Black Box System |
| US9764853B2 (en) * | 2015-04-01 | 2017-09-19 | The Boeing Company | Motionless flight control surface skew detection system |
| US9563523B2 (en) * | 2015-04-16 | 2017-02-07 | GM Global Technology Operations LLC | Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems |
| US10025344B2 (en) | 2015-04-21 | 2018-07-17 | The United States Of America As Represented By The Administrator Of Nasa | Self-stabilizing distributed symmetric-fault tolerant synchronization protocol |
| US10328872B2 (en) * | 2016-06-29 | 2019-06-25 | Hamilton Sundstrand Corporation | Methodology for simplification of aircraft harnessing in multi-redundant control systems |
| CN106354141B (zh) * | 2016-11-02 | 2019-09-13 | 北京汽车集团有限公司 | 一种驾驶控制系统和方法 |
| US10248430B2 (en) * | 2016-12-16 | 2019-04-02 | Hamilton Sundstrand Corporation | Runtime reconfigurable dissimilar processing platform |
| JP2019070902A (ja) * | 2017-10-06 | 2019-05-09 | 横河電機株式会社 | 制御システム、制御方法及び等値化装置 |
| JP2019179964A (ja) * | 2018-03-30 | 2019-10-17 | 株式会社Subaru | 航空機 |
| JP2021525673A (ja) | 2018-05-31 | 2021-09-27 | ジョビー エアロ, インコーポレイテッドJoby Aero, Inc. | 電力システムアーキテクチャとこれを用いたフォールトトレラントvtol航空機 |
| US12006048B2 (en) | 2018-05-31 | 2024-06-11 | Joby Aero, Inc. | Electric power system architecture and fault tolerant VTOL aircraft using same |
| WO2020009871A1 (en) | 2018-07-02 | 2020-01-09 | Joby Aero, Inc. | System and method for airspeed determination |
| WO2020061085A1 (en) * | 2018-09-17 | 2020-03-26 | Joby Aero, Inc. | Aircraft control system |
| EP3626571B1 (en) | 2018-09-18 | 2022-08-17 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Control architecture for a vehicle |
| US10983534B2 (en) | 2018-12-07 | 2021-04-20 | Joby Aero, Inc. | Aircraft control system and method |
| US20200331602A1 (en) | 2018-12-07 | 2020-10-22 | Joby Aero, Inc. | Rotary airfoil and design method therefor |
| US10845823B2 (en) | 2018-12-19 | 2020-11-24 | Joby Aero, Inc. | Vehicle navigation system |
| US11230384B2 (en) | 2019-04-23 | 2022-01-25 | Joby Aero, Inc. | Vehicle cabin thermal management system and method |
| CN116646641B (zh) | 2019-04-23 | 2024-09-13 | 杰欧比飞行有限公司 | 电池热管理系统及方法 |
| US10988248B2 (en) | 2019-04-25 | 2021-04-27 | Joby Aero, Inc. | VTOL aircraft |
| US11273906B2 (en) * | 2019-05-10 | 2022-03-15 | Honeywell International Inc. | Redundant fly-by-wire systems with fault resiliency |
| GB2585185B (en) * | 2019-06-24 | 2021-12-08 | Windracers Ltd | Method of controlling an aircraft |
| WO2021248116A1 (en) | 2020-06-05 | 2021-12-09 | Joby Aero, Inc. | Aircraft control system and method |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4532630A (en) * | 1981-05-28 | 1985-07-30 | Marconi Avionics Limited | Similar-redundant signal systems |
| US4644538A (en) * | 1982-06-16 | 1987-02-17 | The Boeing Company | Autopilot flight director system |
| US5357425A (en) * | 1991-02-13 | 1994-10-18 | General Electric Company | Method and apparatus for controlling a real time system |
| US5648898A (en) * | 1994-12-19 | 1997-07-15 | Caterpillar Inc. | Method for programming a vehicle monitoring and control system |
| US6085350A (en) * | 1998-03-04 | 2000-07-04 | Motorola, Inc. | Single event upset tolerant system and method |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS59212902A (ja) * | 1983-05-18 | 1984-12-01 | Hitachi Ltd | 多重化制御装置 |
| JP4603222B2 (ja) | 1999-10-26 | 2010-12-22 | フランツ・ブーヒャー | 飛行機及び飛行機の操縦方法 |
| US6883065B1 (en) * | 2001-11-15 | 2005-04-19 | Xiotech Corporation | System and method for a redundant communication channel via storage area network back-end |
-
2003
- 2003-01-23 AT AT03001308T patent/ATE431944T1/de not_active IP Right Cessation
- 2003-01-23 DE DE60327687T patent/DE60327687D1/de not_active Expired - Lifetime
- 2003-01-23 EP EP03001308A patent/EP1443399B1/en not_active Expired - Lifetime
-
2004
- 2004-01-20 CA CA002455478A patent/CA2455478A1/en not_active Abandoned
- 2004-01-20 CN CNB2004100430453A patent/CN100363899C/zh not_active Expired - Fee Related
- 2004-01-21 AU AU2004200226A patent/AU2004200226B2/en not_active Ceased
- 2004-01-22 RU RU2004102029/09A patent/RU2333528C2/ru not_active IP Right Cessation
- 2004-01-23 US US10/763,507 patent/US7263630B2/en not_active Expired - Fee Related
- 2004-01-23 JP JP2004015857A patent/JP4309296B2/ja not_active Expired - Fee Related
-
2005
- 2005-02-02 HK HK05100868.4A patent/HK1069890A1/xx not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4532630A (en) * | 1981-05-28 | 1985-07-30 | Marconi Avionics Limited | Similar-redundant signal systems |
| US4644538A (en) * | 1982-06-16 | 1987-02-17 | The Boeing Company | Autopilot flight director system |
| US5357425A (en) * | 1991-02-13 | 1994-10-18 | General Electric Company | Method and apparatus for controlling a real time system |
| US5648898A (en) * | 1994-12-19 | 1997-07-15 | Caterpillar Inc. | Method for programming a vehicle monitoring and control system |
| US6085350A (en) * | 1998-03-04 | 2000-07-04 | Motorola, Inc. | Single event upset tolerant system and method |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1443399B1 (en) | 2009-05-20 |
| CA2455478A1 (en) | 2004-07-23 |
| US7263630B2 (en) | 2007-08-28 |
| RU2004102029A (ru) | 2005-07-10 |
| AU2004200226B2 (en) | 2008-10-30 |
| JP4309296B2 (ja) | 2009-08-05 |
| HK1069890A1 (en) | 2005-06-03 |
| US20040195460A1 (en) | 2004-10-07 |
| JP2004342077A (ja) | 2004-12-02 |
| DE60327687D1 (de) | 2009-07-02 |
| ATE431944T1 (de) | 2009-06-15 |
| RU2333528C2 (ru) | 2008-09-10 |
| EP1443399A1 (en) | 2004-08-04 |
| AU2004200226A1 (en) | 2004-08-12 |
| CN1550988A (zh) | 2004-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100363899C (zh) | 容错计算机控制系统 | |
| US5218465A (en) | Intelligent interconnects for broadband optical networking | |
| CN104054265A (zh) | 容错功率半导体开关设备控制系统 | |
| US20230319006A1 (en) | System and methods for message redundancy | |
| US20080052417A1 (en) | Data transfer method and data transfer apparatus | |
| CN104054243A (zh) | 开关控制系统 | |
| US5923840A (en) | Method of reporting errors by a hardware element of a distributed computer system | |
| US20110204857A1 (en) | Systems and Methods for Controlling Electronic Circuitry with Separated Controllers | |
| EP1897286B1 (en) | Communication network system | |
| US20080168302A1 (en) | Systems and methods for diagnosing faults in a multiple domain storage system | |
| US20100208581A1 (en) | Data transfer system, data transmitting device, data receiving device and data transfer method | |
| US6725419B1 (en) | Automation system and method for operating an automation system | |
| US10740199B2 (en) | Controlling device, controlling method, and fault tolerant apparatus | |
| JP6356325B1 (ja) | リレー制御装置 | |
| CN111698016A (zh) | 用于数据传输的设备和方法 | |
| KR100922725B1 (ko) | 이더넷 물리계층에서 상태정보 시그널링에 의한 이더넷링크 이중화 장치 및 그 방법 | |
| US11677440B2 (en) | Power path identification in a power distribution system | |
| US7440398B2 (en) | Fault tolerant communication apparatus | |
| US7724642B2 (en) | Method and apparatus for continuous operation of a point-of-sale system during a single point-of-failure | |
| KR100458829B1 (ko) | 에이티엠 교환기에서의 자동 절체 장치 | |
| JPH0923254A (ja) | 系間データリンク方式 | |
| CN113824698A (zh) | 一种保障民用航空电子系统数据完整性的方法 | |
| JPH11275063A (ja) | デジタル伝送装置 | |
| CN1996825A (zh) | 一种基于纠错码的传送设备交叉单元保护方法和装置 | |
| JPS62281628A (ja) | デ−タ通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080123 Termination date: 20120120 |