CN104468691B - 用于飞行器的控制系统和飞行器 - Google Patents
用于飞行器的控制系统和飞行器 Download PDFInfo
- Publication number
- CN104468691B CN104468691B CN201410475108.6A CN201410475108A CN104468691B CN 104468691 B CN104468691 B CN 104468691B CN 201410475108 A CN201410475108 A CN 201410475108A CN 104468691 B CN104468691 B CN 104468691B
- Authority
- CN
- China
- Prior art keywords
- grade
- computer
- physical location
- control
- dal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 title abstract description 12
- 238000000275 quality assurance Methods 0.000 claims abstract description 57
- 238000004891 communication Methods 0.000 claims abstract description 27
- 238000013461 design Methods 0.000 claims description 20
- 230000007613 environmental effect Effects 0.000 claims description 8
- 230000004888 barrier function Effects 0.000 claims 1
- 238000009472 formulation Methods 0.000 claims 1
- 239000000203 mixture Substances 0.000 claims 1
- 238000000034 method Methods 0.000 description 10
- 238000011161 development Methods 0.000 description 9
- 238000004364 calculation method Methods 0.000 description 6
- 238000004378 air conditioning Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 101000983970 Conus catus Alpha-conotoxin CIB Proteins 0.000 description 3
- 101000932768 Conus catus Alpha-conotoxin CIC Proteins 0.000 description 3
- 238000013016 damping Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64C—AEROPLANES; HELICOPTERS
- B64C19/00—Aircraft control not otherwise provided for
Landscapes
- Engineering & Computer Science (AREA)
- Aviation & Aerospace Engineering (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Feedback Control In General (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
提供用于飞行器的控制系统和飞行器,控制系统包括至少两个通信网络和与通信网络之一连接的受控装置控制单元。控制系统根据具有DAL‑A质量保障等级要求的功能确定受控装置的控制命令。控制系统还包括一组至少三个物理单元及DAL‑A硬件和软件质量保障等级的选择逻辑单元,每个物理单元包括电源、网络接口装置和至少两个计算机,各物理单元的电源及网络接口装置为至少三种不同类型;各计算机为至少两种不同类型且包括至少两种不同类型的操作系统;各计算机均具有DAL‑C、DAL‑D或DAL‑E硬件和/或软件质量保障等级,至少六个计算机配置成独立地确定与该功能对应的受控装置的控制命令;选择逻辑单元配置成从计算机确定的控制命令中选择被控制单元用来控制受控装置的有效控制命令。
Description
技术领域
本发明涉及飞行器控制系统。现代飞行器、特别是运输机包括控制系统,该控制系统使得能够驱动所述飞行器的各种功能:飞行控制、飞行管理系统(FMS)类型的飞行管理、飞行告警系统(FWS)警示管理、数据下载等。该控制系统通常包括一组计算机,该组计算机可以同样很好地作为专用于各种功能因而被命名为线路可更换单元(LRU)的计算机,或者将各种功能编程到其中的通用计算机。这些通用计算机构成被称为综合模块化航电系统(IMA)的综合模块化航电系统架构。出于适航性的原因,认证机构要求在飞行器中实施的各种功能具有足以确保飞行器安全的质量保障等级。该质量保障等级通常被称为设计保障等级(DAL)。在文件EurocaeED-79A/SAEARP4754A中体现了与飞行器的各种功能的DAL等级相关的监管要求。该文件定义了针对飞行器的功能的安全保障的五个等级,按照要求的降序分别命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E。DAL-A级对应于其失效会对飞行器具有毁灭性影响的功能;DAL-B级对应于其失效会对飞行器具有危险性影响的功能;DAL-C级对应于其失效会对飞行器具有较大影响的功能;DAL-D级对应于其失效会对飞行器具有较小影响的功能;DAL-E级对应于其失效对飞行器的安全不会有任何后果的功能。因此,例如,飞行器的飞行控制对应于DAL-A级功能;相反,与乘客的娱乐相关的功能是DAL-E级。
背景技术
飞行器的功能所必需的质量保障等级涉及与用于实施该功能的各个系统(计算机、电源、通信网络等)的质量保障等级相关的要求。所述系统的这些质量保障等级要求根据所述功能所必需的质量保障等级来限定,在文件EurocaeED-79A/SAEARP4754A中,考虑该系统的硬件和软件二方面。因此,该文件定义了用于这些系统的几个质量保障等级,以类似的方式按照要求的降序将这些等级命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E。一标准DO-254以及另一标准DO178B(或者DO-178C)分别针对系统的硬件方面和系统的软件方面根据系统所需的质量保障等级规定要符合的发展约束。
因此,用于飞行器的飞行的重要功能(DAL-A功能)必需由DAL-A认证的系统来实施。此外,某些功能——例如飞行控制——通常以不相似的方式在各种不同的DAL-A系统中实施以避免共同的故障模式。与之相比,对飞行器的飞行不显出任何重要性的功能(DAL-E功能)可以由DAL-E系统来实施。DAL-E级通常对应于商业上现成可用的系统,有时称为现成部件(COTS)。
DAL-A认证的系统必须形成具有长期且昂贵的开发过程的对象以符合要求的必要等级。因此,例如,所使用的电子部件在它们能够被应用于DAL-A系统中之前必须经过多年的测试。此外,这些部件选自能够经受与操作温度和振动相关的恶劣环境条件的一系列部件。此外,飞行器的寿命通常是数十年。此外,同一类型的飞行器也通常被生产数十年。因此,在一种类型的飞行器的设计与该类型的最后一架飞行器的操作使用的终止之间可能经历50年或60年以上。这样的持续时间与所使用的电子部件的商业化的持续时间不相容,所使用的电子部件的商业化的持续时间通常在大约十年以下,在最好的情况下大约十年。这迫使所述系统的制造商去储备充足数量的必要部件以确保在数十年的时期里对用于新飞行器的这些系统的维护和制造。
发明内容
本发明的目的是补救上述缺点。本发明涉及一种用于飞行器的至少一个受控装置的控制系统,所述控制系统被嵌装在所述飞行器上并且所述控制系统包括:至少两个不同的通信网络;以及与所述至少一个受控装置关联的至少一个控制单元,所述控制单元连接至至少其中一个所述通信网络,所述控制系统配置成为所述受控装置确定并提供控制命令,确定所述控制命令相当于所述飞行器的具有DAL-A质量保障等级要求的第一功能。
值得注意的是该控制系统还包括:一组至少三个物理单元,每个所述物理单元包括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置,其中,各个所述物理单元的所述电源属于至少三种不同的类型,各个所述物理单元的所述网络接口装置属于至少三种不同的类型,每个所述物理单元包括至少两个计算机,每个所述计算机包括操作系统,各个所述单元的各个所述计算机属于至少两种不同的类型,各个所述计算机的所述操作系统属于至少两种不同的类型,所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令,所述控制命令对应于所述第一功能,各个所述计算机均具有DAL-C、DAL-D或DAL-E硬件质量保障等级和/或软件质量保障等级;以及选择逻辑单元,所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是DAL-A级,所述选择逻辑单元连接至所述至少两个通信网络,并且所述选择逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令,与所述受控装置关联的控制单元配置成根据由所述选择逻辑单元选择的所述有效控制命令来控制所述受控装置。
因此该系统允许使用具有DAL-C、DAL-D或DAL-E硬件质量保障等级和/或软件质量保障等级的计算机来实施具有DAL-A质量保障等级要求的功能,而不是像现有技术的系统那样需要具有DAL-A级的计算机。导致成本和开发时间比用于现有技术的成本和开发时间明显大大减少了。因此,用于这些计算机的硬件可以随着技术进步定期地更新,而这不会带来过高的成本。依靠想出根据本发明的控制系统,使得可以使用具有比现有技术的计算机的质量保障等级低的质量保障等级的计算机,根据本发明:不同类型的设备(物理单元、计算机、电源、网络接口装置等)巧妙地组合,使得可以以符合所述功能所必需的DAL-A质量保障等级要求的故障概率来确保至少一个计算机的正确操作。此外,通过在物理单元中将多个计算机集合在一起,使得可以共享电源和网络接口装置,因此降低了控制系统的质量、体积和成本。
在有利的方式中,所述至少六个计算机配置成根据所述至少六个计算机共用的制定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控装置的所述控制命令。这避免了第一功能在不同的计算机上得到不同的实施,因此使得可以进一步降低开发时间和成本。
优选地,各个所述电源和各个所述网络接口装置均具有DAL-E硬件质量保障等级和/或软件质量保障等级。这使得可以从商业上可获得的硬件中选择这种硬件,而无需专门的开发成本。
在特定的实施方式中,所述一组物理单元包括三个物理单元,所述三个物理单元分别包括三种不同类型的三个计算机,各个所述计算机均具有DAL-C硬件质量保障等级和/或软件质量保障等级。
在另一实施方式中,所述一组物理单元包括四个物理单元,所述四个物理单元分别包括至少三个计算机,每个计算机具有DAL-E硬件质量保障等级和/或软件质量保障等级,其中:各个所述计算机属于四种不同的类型;每个物理单元包括至少两种不同类型的计算机;所述四个物理单元的所述电源都属于不同的类型;所述四个物理单元的所述网络接口装置都属于不同的类型;每个物理单元的所述至少三个计算机的所述操作系统属于至少三种不同的类型。
根据第一变型,所述四个物理单元中的每个物理单元包括属于两种不同类型的三个计算机,每个计算机配置成确定用于所述受控装置的控制命令,所述控制命令对应于所述第一功能。
根据第二变型,所述四个物理单元中的每个物理单元包括六个计算机,所述六个计算机均具有DAL-E硬件质量保障等级和/或软件质量保障等级。
有利地,部分所述计算机不是配置成实施具有DAL-A或DAL-B质量保障等级要求的功能,该部分计算机配置成实施至少一个具有DAL-C、DAL-D或DAL-E质量保障等级要求的第二功能。
在有利的方式中,所述计算机中的配置成确定对应于所述第一功能的所述控制命令的至少一部分计算机还配置成实施至少一个具有DAL-A或DAL-B质量保障等级要求的第三功能。
根据第一可替代方式,选择逻辑单元被集成到不同于与受控装置关联的控制单元的计算机中。根据另一可替代方式,选择逻辑单元被集成到与受控装置关联的控制单元中。
在特定的实施方式中,第一功能与对飞行器的飞行控制相关,并且受控装置包括飞行器的可动飞行表面的致动器。
在优选的方式中,各个物理单元由至少一个环境保护装置所保护。
本发明还涉及一种飞行器,该飞行器包括例如上述的控制系统。
附图说明
通过阅读以下描述并研究附图可以更好地理解本发明。
图1示出了根据本发明的实施方式的控制系统。
图2图示了用于控制系统的计算机的表示方式。
图3至图5示出了根据本发明的控制系统的各种实施方式。
图6示出了按照根据本发明的实施方式的飞行控制系统。
具体实施方式
例如图1所示的飞行器的控制系统1包括一组三个物理单元11、12、13,每个物理单元均包括电源以及网络接口装置,电源分别为AL1、AL2、AL3,网络接口装置分别为R1、R2、R3。该三个电源都属于不同的类型。类似地,该三个网络接口装置都属于不同的类型。该三个物理单元中的每个物理单元通过其网络接口装置被链接至飞行器的两个通信网络20A、20B。优选地,这些通信网络是确定交换以太网类型,例如,是根据ARINC标准664第7部分、即也被称为AFDX的确定交换以太网类型。每个物理单元包括两个计算机:针对物理单元11的C1.1和C1.2、针对物理单元12的C2.1和C2.2以及针对物理单元13的C3.1和C3.2。图2示出了用于这些计算机的表示方式。因此,计算机C的图示表示出在该计算机上使用的操作系统32以及该计算机的硬件类型34。在图2中表示的计算机的硬件类型是HW1并且包括操作系统OS2。术语“操作系统”使用其最宽泛的含义,也就是说操作系统包括中间软件层(“中间件”)。在图的顶部示出了至少一个圆圈30a、30b。每个圆圈包含字母A、B、C、D或E,这些字母对应于该计算机C所实施的至少一个功能的质量保障等级要求。字母A对应DAL-A级,字母B对应DAL-B级、字母C对应DAL-C级、字母D对应DAL-D级以及字母E对应DAL-E级。两个圆圈30a和30b与在图2中表示的计算机C关联。这两个圆圈分别包含字母A和B。这表示的意思是计算机C实施至少一个具有DAL-A质量保障等级要求的功能和至少一个具有DAL-B质量保障等级要求的功能。术语“由计算机实施的功能”表示的意思是该计算机根据所述功能确定用于受控装置的控制命令。
在图1中示出的六个计算机均实施至少一个具有DAL-A质量保障等级要求的功能。每个物理单元的两个计算机属于两种不同的硬件类型:针对物理单元11的计算机C1.1和计算机C1.2的为HW1和HW2,针对物理单元12的计算机C2.1和计算机C2.2的为HW2和HW3,以及针对物理单元13的计算机C3.1和计算机C3.2的为HW3和HW1。每个物理单元的两个计算机的操作系统属于两个不同类型OS1和OS2。这六个计算机均具有DAL-C、DAL-D或DAL-E硬件和/或软件质量保障等级。该软件质量保障等级对应于操作系统的质量保障等级,如前文指出的,操作系统包括中间软件层。这六个计算机中的每个计算机链接至该计算机形成其一部分的物理单元的网络接口装置R1、R2、R3。
控制系统1还包括用于飞行器的受控装置19的控制单元18。控制单元18链接至两个通信网络20A和20B。控制系统1被配置成给受控装置19确定并提供控制命令,对所述控制命令的确定对应于飞行器的具有DAL-A质量保障等级要求的第一功能。因此,该六个计算机C1.1、C1.2、C2.1、C2.2、C3.1和C3.2被配置成实施该第一功能。因此,这六个计算机被配置成独立地确定用于受控装置19的控制命令并且各自通过与其链接的网络接口装置R1、R2或R3在通信网络20A和20B上传输这些控制命令。因此,与该第一功能对应的软件应用程序被加载到该六个计算机中的每个计算机中。该软件应用程序符合其所对应的第一功能的质量保障等级要求,即DAL-A。
控制系统1还包括具有DAL-A的硬件和软件质量保障等级的选择逻辑单元16。该选择逻辑单元连接至两个通信网络20A和20B。该选择逻辑单元被配置成接收由计算机确定的控制命令并且从这些由计算机确定的控制命令中选择有效控制命令。可以例如通过使用已知的投票原则来进行对有效控制命令的选择。与受控装置19关联的控制单元18被配置成根据由选择逻辑单元16选择的有效控制命令来控制受控装置19。
优选地,各个电源AL1、AL2、AL3和各个网络接口装置R1、R2、R3均具有DAL-E的硬件和/或软件质量保障等级。这使得可以从商业上可获得的硬件中选择这种硬件,因此不需要专门的开发成本。
图3中示出的控制系统1与前面参照图1描述的控制系统类似。但是,三个物理单元11、12、13中的每个物理单元还包括第三计算机,分别为C1.3、C2.3、C3.3。选择这些计算机使得每个物理单元的三个计算机属于三种不同的硬件类型,即,HW1、HW2和HW3。三个计算机C1.3、C2.3、C3.3同样配置成实施第一功能。因此,控制系统包括九个计算机,这九个计算机都被配置成独立地确定用于受控装置19的控制命令并且通过其所链接的网络接口装置R1、R2或R3在通信网络20A和20B上传输这些控制命令。优选地,这九个计算机均具有DAL-C的硬件和/或软件质量保障等级。由于使用了属于至少三种不同类型的九个计算机,这些计算机对应于DAL-C质量保障等级,所以控制系统1的完全故障的概率低到足以符合第一功能的DAL-A质量保障等级要求。术语“控制系统1的完全故障”用于表示使该控制系统不能根据第一功能确定用于受控装置19的控制命令或不能将控制命令传输给选择逻辑单元16的控制系统故障。像这样的完全故障只可能在没有任何一个计算机能够确定用于受控装置19的控制命令和将这些命令传输给选择逻辑单元16的情况下发生。相对于通常用于实施该第一功能的对应于DAL-A质量保障等级的计算机,使用对应于DAL-C质量保障等级的计算机能够大大降低所述计算机的开发时间和成本。
图4中示出的控制系统1与之前参照图3所述的控制系统1类似。然而,图4中示出的控制系统1还包括第四物理单元14,第四物理单元14同样包括属于两种不同类型的三个计算机C4.1、C4.2和C4.3。这三个计算机同样配置成实施第一功能。该四个物理单元的十二个计算机具有四种不同的硬件类型:HW1、HW2、HW3和HW4。第四物理单元14包括与其他三个物理单元的电源不同类型的电源AL4,使得四个物理单元的电源AL1、AL2、AL3和AL4属于四种不同类型。该第四物理单元14还包括与其他三个物理单元的网络接口装置不同类型的网络接口装置R4,使得四个物理单元的网络接口装置R1、R2、R3和R4属于四种不同类型。优选地,各个电源AL1、AL2、AL3、AL4和各个网络接口装置R1、R2、R3、R4均具有DAL-E的硬件和/或软件质量保障等级。四个物理单元中的每个物理单元的三个计算机的操作系统属于三个不同类型:OS1、OS2、OS3。优选地,该十二个计算机均具有DAL-E硬件和/或软件质量保障等级,因此相对于通常用于实施该第一功能的、对应于DAL-A质量保障等级的计算机,能够大大降低其成本。此外,这使得可以使用商业上可获得的计算机,而无需专门开发:这导致大大降低控制系统1的开发时间,尤其是关于其硬件方面的开发时间。此外,这使得可以在将计算机集成到控制系统1时使用商业可获得的计算机,而不需要储备对应于这种控制系统的多年的生产的计算机。
因此,控制系统1使用非常不相似的部件:四种类型的电源、四种类型的网络接口装置、四种硬件类型的计算机,三种类型的计算机操作系统。此外,控制系统1使用大量的计算机,从而允许高度的冗余,因为前述的十二个计算机都被配置成通过独立地制定用于受控装置19的控制命令来实施第一功能。虽然这些部件是商业上可以获得的部件,因而对应于DAL-E质量保障等级,但是这些特征的设定使得能够实现控制系统1的完全故障的概率低到足以符合第一功能的DAL-A质量保障等级要求。
在有利的实施方式中,该四个物理单元的十二个计算机还被配置成实施具有DAL-A质量保障等级要求的至少一个其他功能。这使得能够通过同一些计算机来实施多个具有DAL-A质量保障等级要求的功能。
在具体的实施方式中,该四个物理单元的十二个计算机或者至少这十二个计算机的子集还被配置成实施具有DAL-B质量保障等级要求的至少一个功能。因此,这使得可以使用同一些计算机在同一时间实施具有DAL-A质量保障等级要求的功能和具有DAL-B质量保障等级要求的功能,从而限制所使用的计算机的数量。
在图5所示的有利的实施方式中,该四个物理单元11、12、13、14还分别包括三个附加的计算机。因此,物理单元11还包括计算机C1.4、C1.5和C1.6;物理单元12还包括计算机C2.4、C2.5和C2.6;物理单元13还包括计算机C3.4、C3.5和C3.6;物理单元14还包括计算机C4.4、C4.5和C4.6。这些附加的计算机分别具有DAL-E的硬件和/或软件质量保障等级。它们被配置成通过制定对应于具有DAL-C、DAL-D或DAL-E质量保障等级要求的至少一个功能的控制命令来实施该至少一个功能。相应地,与该功能对应的软件应用程序被加载到所述计算机中的每个中。该软件应用程序符合其所对应的功能的DAL-C、DAL-D或DAL-E质量保障等级要求。这些附加的计算机不是配置成实施具有DAL-A或DAL-B质量保障等级要求的功能。该实施方式使得可以在同一控制装置1中还能够实施至少一个具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能,同时确保具有DAL-A或DAL-B质量保障等级要求的功能与具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能之间的隔离。因此,对具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能的实施不会有干扰具有DAL-A或DAL-B质量保障等级要求并且其失效会对飞行器具有毁灭性影响或危险性影响的功能的实施的风险。为了实施该至少一个具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能,控制装置1还包括至少一个另外的选择逻辑单元(未示出),该至少一个另外的选择逻辑单元被配置成从由附加的计算机确定的控制命令中选择有效控制命令。有利地,该另外的选择逻辑单元的硬件质量保障等级和软件质量保障等级对应于所述功能的质量保障等级。
在图5所示的本发明的具体的示例性实施方式中,在这些附加的计算机中,每个物理单元的两个计算机——即,计算机C1.4、C1.6、C2.5、C2.6、C3.4、C3.6、C4.4和C4.5——被配置成实施至少一个具有DAL-C质量保障等级要求的功能。这些计算机不是配置成实施具有DAL-D或DAL-E质量保障等级要求的功能。每个物理单元的另外那个附加计算机被配置成实施至少一个具有DAL-D或DAL-E质量保障等级要求的功能。这样,保留了四个计算机,即计算机C1.5、C2.4、C3.5和C4.6,用于具有DAL-D或DAL-E质量保障等级要求的功能。这使得可以确保具有DAL-C质量保障等级要求的功能与具有DAL-D或DAL-E质量保障等级要求的功能之间的隔离。因此,对具有DAL-D或DAL-E质量保障等级要求的功能的实施不会有干扰对具有DAL-C质量保障等级要求的功能的实施的风险。
在前述的各个实施方式中,具有DAL-E的硬件和/或软件质量保障等级的计算机有利地对应于商业上可获得的计算机,这些计算机均是将该计算机的成套构成部件集合在一起的印刷电路板的形式。通常这种印刷电路板的面积仅是几平方厘米。这种计算机还可以采用其尺寸与USB的尺寸基本相似的小型壳体的形式。于是,每个物理单元呈将所述物理单元的电源、对应于例如交换机或对应于商业上可获得的以太网路由器的网络接口装置、以及各个计算机集合在一起的壳体的形式。鉴于各个计算机的微小尺寸,每个物理单元呈现非常有限的尺寸和质量。由此,控制装置1的体积和质量相对于传统控制装置的体积和质量大大减小。这使得可以减小飞行器的燃料消耗或者可以运输更多的乘客。这还使得可以有助于将物理单元集成到飞行器中。因此,这些物理单元不必像现有技术中的计算机那样被集成到飞行器的航空电子设备机架中。
商业上可获得的计算机一般要求没有通常在飞行器上使用的计算机易于暴露的环境条件那么恶劣的环境条件。这些环境条件尤其与温度和振动相关。这些环境条件还可以包括对闪电或者电磁干扰等的防护。然而,飞行器的机舱内部的环境条件通常适合所述商业上可获得的计算机的运行。因此,根据实施方式,各个物理单元11、12、13、14被安装在飞行器的机舱的内部。
然而,在某些情况下,安装限制可能使得必须将物理单元安装在飞行器的机舱的外部,例如,安装在飞行器的非空调隔舱和/或非加压隔舱中。为了解决这种需要,根据优选的实施方式,由至少一个与下述装置中的至少一者对应的环境保护装置来保护各个物理单元:空调装置;用于减震的装置;用于防电磁干扰的装置。
根据第一可替代方式,该至少一个装置专用于每个物理单元。例如,每个物理单元具有其自己的空调装置或减震装置。根据另一可替代方式,该至少一个装置是多个所述物理单元共用的。例如,多个物理单元在其安装时被集合在一起,并且使用同一个空调装置或者减震装置。
根据第一变型,选择逻辑单元16被集成到不同于与受控装置19关联的控制单元18的计算机中。因此,该计算机还可以作为与一个或更多个其他受控装置对应的一个或更多个其他选择逻辑单元的宿主机。
根据另一变型,选择逻辑单元16被集成到与受控装置19关联的控制单元18中。
在图6所示的根据本发明的具体的实施方式中,第一功能对应于飞行器的飞行控制。受控装置19包括飞行器的可动飞行表面的致动器。该可动飞行表面对应于例如襟翼或副翼55、56或升降舵52、53。可以考虑飞行器的其他可动飞行表面而不脱离本发明的范围。控制单元42、43、45、46分别与升降舵52、53以及与襟翼和/或副翼55、56关联。控制单元链接至比如如前所述的一组至少两个通信网络20。在图6所示的示例中,未示出的选择逻辑单元被集成在控制单元42、43、45、46中的每个控制单元中。然而,在不脱离本发明的范围的情况下,可以提供另一计算机,所述另一计算机与该组通信网络20连接并且作为分别与每个控制单元42、43、45、46进而分别与每个相应的可动飞行表面52、53、55、56关联的若干选择逻辑单元的宿主机。根据上述实施方式之一的四个物理单元11、12、13、14也链接至该组通信网络20。出于隔离的原因,物理单元11和14位于飞行器的机身的前部中,物理单元12和13这部分位于机身的后部中。此外,物理单元11和12位于机身的左侧,而物理单元13和14位于机身的右侧。两个接口单元41和44也链接至该组通信网络20。这些接口单元还分别链接至位于驾驶员座舱中的控制工具47和48,例如摇杆或小型摇杆。
在运行期间,飞行器的飞行员操作摇杆47、48,摇杆根据其位置产生电信号,该电信号代表由飞行员给出的命令。这些信号由相应的接口单元41和44接收,接口单元41和44继而将表示由飞行员给出的命令的信息发送至该组通信网络20,目的地为四个物理单元11、12、13、14。该信息由所述物理单元的计算机接收,该计算机被配置成确定与所述第一功能对应的控制命令,也就是用于可动飞行表面52、53、55、56的控制命令。这些计算机根据表示由飞行员给出的命令的所述信息、按照用于飞行器的飞行控制法则彼此独立地确定这些控制命令。每个计算机计算用于各个可动飞行表面52、53、55、56的控制命令,并且将这些命令发送给该组通信网络20,目的地为分别与所述可动飞行表面中的每个飞行表面关联的选择逻辑单元。因此,每个与所述可动飞行表面52、53、55、56中的一个飞行表面关联的选择逻辑单元接收到由各个计算机针对该可动飞行表面所确定的控制命令。该选择逻辑单元从接收自各个计算机的控制命令中选择有效控制命令。为了选择这些有效控制命令,选择逻辑单元可以例如使用投票器。选择逻辑单元将这样选择的命令传送给与所考虑的可动飞行表面关联的控制单元,该控制单元相应地控制所述飞行表面。
Claims (14)
1.一种用于飞行器的至少一个受控装置的控制系统,所述控制系统被嵌装在所述飞行器上并且所述控制系统包括:
至少两个不同的通信网络;以及
与所述至少一个受控装置关联的至少一个控制单元,所述控制单元连接至至少其中一个所述通信网络,
所述控制系统配置成为所述受控装置确定并提供控制命令,确定所述控制命令相当于所述飞行器的具有设计保障等级为A级的质量保障等级要求的第一功能,
所述控制系统还包括:
一组至少三个物理单元,每个所述物理单元包括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置,其中,
各个所述物理单元的所述电源属于至少三种不同的类型,
各个所述物理单元的所述网络接口装置属于至少三种不同的类型,
每个所述物理单元包括至少两个计算机,每个所述计算机包括操作系统,
每个所述物理单元的各个所述计算机属于至少两种不同的类型,
每个所述物理单元的各个所述计算机的所述操作系统属于至少两种不同的类型,
所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令,所述控制命令对应于所述第一功能,
各个所述计算机均具有设计保障等级为C级的、设计保障等级为D级的或设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者;以及
选择逻辑单元,所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是A级设计保障等级,所述选择逻辑单元连接至所述至少两个通信网络,并且所述选择逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令,
与所述受控装置关联的控制单元配置成根据由所述选择逻辑单元选择的所述有效控制命令来控制所述受控装置。
2.根据权利要求1所述的控制系统,其中,所述至少六个计算机配置成根据所述至少六个计算机共用的制定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控装置的所述控制命令。
3.根据权利要求1所述的控制系统,其中,各个所述电源和各个所述网络接口装置均具有设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者。
4.根据权利要求1所述的控制系统,其中,所述一组物理单元包括三个物理单元,每个物理单元包括三种不同类型的三个计算机,各个所述计算机均具有设计保障等级为C级的硬件质量保障等级和软件质量保障等级中的至少一者。
5.根据权利要求1所述的控制系统,其中,所述一组物理单元包括四个物理单元,每个物理单元包括至少三个计算机,每个计算机具有设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者,其中:
各个所述计算机属于四种不同的类型;
每个物理单元包括至少两种不同类型的计算机;
所述四个物理单元的所述电源都属于不同的类型;
所述四个物理单元的所述网络接口装置都属于不同的类型;
每个物理单元的所述至少三个计算机的所述操作系统属于至少三种不同的类型。
6.根据权利要求5所述的控制系统,其中,所述四个物理单元中的每个物理单元包括属于两种不同类型的三个计算机,每个计算机配置成确定用于所述受控装置的控制命令,所述控制命令对应于所述第一功能。
7.根据权利要求5所述的控制系统,其中,所述四个物理单元中的每个物理单元包括六个计算机,所述六个计算机均具有设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者。
8.根据权利要求7所述的控制系统,其中,其中一些所述计算机不是配置成实施具有设计保障等级为A级的或设计保障等级为B级的质量保障等级要求的功能,这些计算机配置成实施至少一个具有设计保障等级为C级的、设计保障等级为D级的或设计保障等级为E级的质量保障等级要求的第二功能。
9.根据权利要求4所述的控制系统,其中,所述计算机中的配置成确定对应于所述第一功能的所述控制命令的至少一些计算机还配置成实施至少一个具有设计保障等级为A级的或设计保障等级为B级的质量保障等级要求的第三功能。
10.根据权利要求1所述的控制系统,其中,所述选择逻辑单元被集成到不同于与所述受控装置关联的所述控制单元的计算机中。
11.根据权利要求1所述的控制系统,其中,所述选择逻辑单元被集成到与所述受控装置关联的所述控制单元中。
12.根据权利要求1所述的控制系统,其中,所述第一功能与所述飞行器的飞行控制相关,并且,所述受控装置包括所述飞行器的可动飞行表面的致动器。
13.根据权利要求1所述的控制系统,其中,各个所述物理单元受至少一个环境保护装置保护。
14.一种飞行器,包括用于所述飞行器的至少一个受控装置的控制系统,所述控制系统被嵌装在所述飞行器上并且所述控制系统包括:
至少两个不同的通信网络;以及
与所述至少一个受控装置关联的至少一个控制单元,所述控制单元连接至至少其中一个所述通信网络,
所述控制系统配置成为所述受控装置确定并提供控制命令,确定所述控制命令相当于所述飞行器的具有设计保障等级为A级的质量保障等级要求的第一功能,
所述控制系统还包括:
一组至少三个物理单元,每个所述物理单元包括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置,其中,
各个所述物理单元的所述电源属于至少三种不同的类型,
各个所述物理单元的所述网络接口装置属于至少三种不同的类型,
每个所述物理单元包括至少两个计算机,每个所述计算机包括操作系统,
每个所述物理单元的各个所述计算机属于至少两种不同的类型,
每个所述物理单元的各个所述计算机的所述操作系统属于至少两种不同的类型,
所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令,所述控制命令对应于所述第一功能,
各个所述计算机均具有设计保障等级为C级的、设计保障等级为D级的或设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者;以及
选择逻辑单元,所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是A级设计保障等级,所述选择逻辑单元连接至所述至少两个通信网络,并且所述选择逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令,
与所述受控装置关联的控制单元配置成根据由所述选择逻辑单元选择的所述有效控制命令来控制所述受控装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13185480.4 | 2013-09-23 | ||
| EP13185480.4A EP2851291B1 (fr) | 2013-09-23 | 2013-09-23 | Système de commande d'un aéronef |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104468691A CN104468691A (zh) | 2015-03-25 |
| CN104468691B true CN104468691B (zh) | 2017-07-11 |
Family
ID=49230600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410475108.6A Active CN104468691B (zh) | 2013-09-23 | 2014-09-17 | 用于飞行器的控制系统和飞行器 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9156543B2 (zh) |
| EP (1) | EP2851291B1 (zh) |
| CN (1) | CN104468691B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3000196B1 (fr) * | 2012-12-21 | 2015-02-06 | Airbus Operations Sas | Dispositif de mise a disposition de valeurs de parametres de navigation d'un vehicule |
| DE102015002973B4 (de) * | 2015-03-10 | 2020-09-24 | Airbus Defence and Space GmbH | Verfahren zur gemeinsamen Darstellung sicherheitskritischer und nicht-sicherheitskritischer Informationen und Anzeigevorrichtung |
| FR3038751B1 (fr) * | 2015-07-07 | 2018-05-11 | Thales | Procede d'integration d'une application d'optimisation de route (s) sous contraintes dans un systeme embarque avionique a architecture ouverte de type client serveur |
| FR3038750B1 (fr) * | 2015-07-07 | 2018-06-22 | Thales | Procede d'integration d'un nouveau service de navigation dans un systeme avionique embarque a architecture ouverte de type client-serveur, en particulier d'un service de manoeuvre fim |
| US10652043B2 (en) | 2016-06-14 | 2020-05-12 | G.E. Aviation Systems, LLC | Communication regulation in computing systems |
| US10248430B2 (en) * | 2016-12-16 | 2019-04-02 | Hamilton Sundstrand Corporation | Runtime reconfigurable dissimilar processing platform |
| EP3853736A4 (en) * | 2018-09-17 | 2022-11-16 | Joby Aero, Inc. | AIRCRAFT CONTROL SYSTEM |
| US11193428B2 (en) | 2019-01-31 | 2021-12-07 | Pratt & Whitney Canada Corp. | System and method for monitoring component integrity during engine operation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102289206A (zh) * | 2010-05-10 | 2011-12-21 | 空中客车运营公司 | 飞行控制系统及具有这种系统的航空器 |
| CN102421667A (zh) * | 2009-03-11 | 2012-04-18 | 空中客车营运有限公司 | 根据集成模块化航空电子设备架构实现的分布式飞行控制系统 |
| EP2595023A2 (en) * | 2011-11-16 | 2013-05-22 | Nabtesco Corporation | Aircraft control apparatus and aircraft control system |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB1502184A (en) * | 1974-07-05 | 1978-02-22 | Sperry Rand Corp | Automatic flight control systems |
| EP0046875B1 (de) * | 1980-09-02 | 1989-09-20 | Messerschmitt-Bölkow-Blohm Gesellschaft mit beschränkter Haftung | Anordnung, insbesondere für Luftfahrzeuge zur Übertragung von Steuersignalen |
| US5493497A (en) * | 1992-06-03 | 1996-02-20 | The Boeing Company | Multiaxis redundant fly-by-wire primary flight control system |
| US5550736A (en) * | 1993-04-27 | 1996-08-27 | Honeywell Inc. | Fail-operational fault tolerant flight critical computer architecture and monitoring method |
| US5515282A (en) | 1994-04-25 | 1996-05-07 | The Boeing Company | Method and apparatus for implementing a databus voter to select flight command signals from one of several redundant asynchronous digital primary flight computers |
| US6862696B1 (en) * | 2000-05-03 | 2005-03-01 | Cigital | System and method for software certification |
| US8266066B1 (en) * | 2001-09-04 | 2012-09-11 | Accenture Global Services Limited | Maintenance, repair and overhaul management |
| US6813527B2 (en) * | 2002-11-20 | 2004-11-02 | Honeywell International Inc. | High integrity control system architecture using digital computing platforms with rapid recovery |
| US7913232B2 (en) * | 2003-02-21 | 2011-03-22 | The Math Works, Inc. | Certifying software for safety-critical systems |
| US7337044B2 (en) * | 2004-11-10 | 2008-02-26 | Thales Canada Inc. | Dual/triplex flight control architecture |
| ES2420110T3 (es) * | 2007-01-08 | 2013-08-22 | Saab Ab | Un procedimiento, un sistema eléctrico, un módulo de control digital y un módulo de control de activador en un vehículo |
| FR2920410B1 (fr) * | 2007-09-03 | 2009-10-30 | Airbus France Sas | Architecture repartie entre un fadec et des composants avioniques |
-
2013
- 2013-09-23 EP EP13185480.4A patent/EP2851291B1/fr active Active
-
2014
- 2014-09-03 US US14/475,779 patent/US9156543B2/en not_active Expired - Fee Related
- 2014-09-17 CN CN201410475108.6A patent/CN104468691B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102421667A (zh) * | 2009-03-11 | 2012-04-18 | 空中客车营运有限公司 | 根据集成模块化航空电子设备架构实现的分布式飞行控制系统 |
| CN102289206A (zh) * | 2010-05-10 | 2011-12-21 | 空中客车运营公司 | 飞行控制系统及具有这种系统的航空器 |
| EP2595023A2 (en) * | 2011-11-16 | 2013-05-22 | Nabtesco Corporation | Aircraft control apparatus and aircraft control system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2851291B1 (fr) | 2016-05-11 |
| CN104468691A (zh) | 2015-03-25 |
| US9156543B2 (en) | 2015-10-13 |
| US20150088341A1 (en) | 2015-03-26 |
| EP2851291A1 (fr) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104468691B (zh) | 用于飞行器的控制系统和飞行器 | |
| CN102289206B (zh) | 飞行控制系统及具有这种系统的航空器 | |
| CN104683142B (zh) | 用于飞行器上的数据传输管理的系统和方法 | |
| CN102421667B (zh) | 根据集成模块化航空电子设备架构实现的分布式飞行控制系统 | |
| CN104950740B (zh) | 具有冗余计算机的用于交通工具的系统 | |
| US20110251739A1 (en) | Distributed fly-by-wire system | |
| Osder | Practical view of redundancy management application and theory | |
| CN108398957A (zh) | 飞行器自动驾驶系统和方法以及飞行器 | |
| CN108089975A (zh) | 一种构建环境控制系统软件虚拟测试环境的方法 | |
| CN102354212B (zh) | 航空器机载系统 | |
| Paulitsch et al. | Industrial applications | |
| CN110321579A (zh) | 用于可操作环境的虚拟化航空电子系统 | |
| CN110162074A (zh) | 一种基于层级结构的直升机群的姿态健康管理方法 | |
| Peterson et al. | Run time assurance as an alternate concept to contemporary development assurance processes | |
| Black et al. | Next generation space avionics: layered system implementation | |
| Redling | Integrated flight control systems-a new paradigm for an old art | |
| CN110466741A (zh) | 用于控制、调节和/或监控航空飞行器的系统 | |
| Xue et al. | The distributed dissimilar redundancy architecture of fly-by-wire flight control system | |
| CN106709576A (zh) | 一种带故障飞行条件下的民用飞机失效概率计算方法 | |
| Mackall | AFTI/F-16 digital flight control system experience | |
| Filipowicz et al. | Hardware and software design of onboard computer controlling the flight stabilisation system | |
| Seacord et al. | Preliminary system design study for a digital fly-by-wire flight control system for an F-8C aircraft | |
| Applegate et al. | Integrated safety systems design and human factors considerations for jet transport aeroplanes | |
| CN105102094B (zh) | 在模拟器中使用的可配置的模块卡 | |
| Lansdaal et al. | Boeing's 777 systems integration lab |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |