CN107077103A - 双向架构 - Google Patents
双向架构 Download PDFInfo
- Publication number
- CN107077103A CN107077103A CN201580051534.XA CN201580051534A CN107077103A CN 107077103 A CN107077103 A CN 107077103A CN 201580051534 A CN201580051534 A CN 201580051534A CN 107077103 A CN107077103 A CN 107077103A
- Authority
- CN
- China
- Prior art keywords
- processing unit
- local
- data
- relative
- actuator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 claims abstract description 317
- 230000036541 health Effects 0.000 claims abstract description 106
- 238000004891 communication Methods 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 claims abstract description 29
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 claims abstract description 28
- 230000003862 health status Effects 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 230000008859 change Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 7
- 230000001276 controlling effect Effects 0.000 description 5
- 238000003745 diagnosis Methods 0.000 description 5
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000005611 electricity Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009711 regulatory function Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 201000004569 Blindness Diseases 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000002146 bilateral effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000011248 coating agent Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64D—EQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
- B64D31/00—Power plant control systems; Arrangement of power plant control systems in aircraft
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2002—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
- G06F11/2007—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2033—Failover techniques switching over of hardware resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3089—Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64D—EQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
- B64D45/00—Aircraft indicators or protectors not otherwise provided for
- B64D2045/0085—Devices for aircraft health monitoring, e.g. monitoring flutter or vibration
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23316—Standby, inactive, sleep or active, operation mode
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24182—Redundancy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25144—Between microcomputers, processors
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25163—Transmit twice, redundant, same data on different channels, check each channel
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25174—Ethernet
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Aviation & Aerospace Engineering (AREA)
- Mathematical Physics (AREA)
- Safety Devices In Control Systems (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Hardware Redundancy (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种由航空器的飞行控制系统的本地处理单元(1,2)执行的切换方法,本地处理单元被配置为控制至少一个本地致动器,连接到至少一个本地传感器上以及通过至少一个链路(3,4)连接到相对处理单元(2,1);相对处理单元被配置为控制至少一个相对致动器,且连接到至少一个相对传感器上;本地处理单元(1,2)进一步被配置为连接到备份通信装置(13,14)上,以在所述本地处理单元(1,2)和相对处理单元(2,1)的链路(3,4)故障的情况下,实现两者之间数据的交换,备份通信装置包括:传感器或致动器阵列(13)和/或用于航空电子设备的安全机载网络(14);所述方法包括以下步骤:向相对处理单元(2,1)发送与至少一个本地传感器有关的采集数据以及与至少一个本地致动器有关的致动器数据,从相对处理单元(2,1)接收与至少一个相对传感器有关的采集数据以及与至少一个相对致动器有关的致动器数据,接收相对健康数据项以及确定本地健康数据项,根据所接收到的相对健康数据和所确定的本地健康数据,将本地处理单元(1,2)从第一状态切换到选自主动状态(15)、被动状态(16)和从动状态(18)的第二状态。
Description
技术领域
本发明涉及航空器的飞行控制系统的领域。
更具体地,本发明涉及构成这种系统的双向架构的两个处理单元或计算机间的切换方法。
背景技术
配备在航空器(例如现有的飞机或直升机)上的机载飞行控制系统执行对所述航空器的引擎的控制功能和调节功能,以确保所述航空器的引擎的正常运行。这些功能对乘客的安全是至关重要的。因此,这样的系统必须可以抵抗故障。
为此,现有的飞行控制系统通常包括两个处理单元或计算机,每个处理单元或计算机能够确保引擎的正常运行。从而,这样的系统构成了双向架构,在该双向架构中,每个通道能够在另一个通道故障的情况下,确保上述至关重要的功能的执行。在这两个通道中,通常由具有最佳健康状况(即具有较少故障或故障严重程度最低的)的通道进行引擎的控制。这个通道被称为主动通道。
为了执行对引擎的控制和调节功能,每个通道能够控制至少一个致动器。这些致动器可能会出现故障。当所述主动通道的一个或若干个致动器出现故障时,所述主动通道可能不再能够适当地确保对引擎的控制。如果称之为被动通道的另一个通道处于与所述主动通道一样的最坏健康状况时,则所述另一个通道不再能够适当地确保对引擎的控制。从而,这两个通道都不能够适当地确保对引擎的控制,则所述飞行系统的至关重要的功能不再被保证。
因此,需要一种使得主动通道即使在主动通道的致动器的至少一个出现故障的情况下也能够为的适当地确保对引擎的控制的方法。
发明内容
从而,根据第一方面,本发明涉及一种切换方法,由包含至少一个引擎的航空器的飞行控制系统的第一处理单元(称为本地处理单元)实施,
所述本地处理单元,被配置为控制至少一个致动器(称为本地致动器)以控制所述航空器的引擎,以及能连接到至少一个本地传感器上且通过至少一个链路连接到第二处理单元(称为相对处理单元)上;所述相对处理单元,被配置为控制至少一个相对致动器,以及连接到至少一个相对传感器上;所述本地处理单元进一步被配置以便连接到应急通信装置上,所述应急通信装置允许在连接所述本地处理单元和所述相对处理单元的所述至少一个链路出现故障的情况下,确保所述本地处理单元和所述相对处理单元之间的数据交换;所述应急通信装置包括:传感器或致动器网络,和/或用于航空电子设备的机载安全网络,
所述方法包括以下步骤:
-向所述相对处理单元发送与所述至少一个本地传感器有关的采集数据,以及与所述至少一个本地致动器有关的致动器数据,
-接收来自所述相对处理单元的与所述至少一个相对传感器有关的采集数据,以及与所述至少一个相对致动器有关的致动器数据,
-接收与所述相对处理单元的健康状况有关的健康数据,称为相对健康数据,
-根据与所述本地处理单元的健康状况有关的健康数据来确定本地健康数据,
-根据所接收到的相对健康数据和所确定的本地健康数据,将所述本地处理单元从第一状态转换至第二状态,
所述用于发送、接收采集数据的步骤以及所述用于接收健康数据的步骤是通过所述至少一个链接或所述应急通信装置来实施;所述状态来自于主动状态、被动状态和从动状态,其中,在所述主动状态中,所述本地处理单元确保对所述航空器的引擎的控制,在所述被动状态中,所述本地处理单元不能确保对所述航空器的引擎的控制,在所述从动状态中,所述本地处理单元将对所述本地致动器的控制交给所述相对处理单元,以对所述航空器的引擎进行控制。
这样的方法使得每个处理单元能够具有全局系统的完整图像(所述完整图像包含连接到所述相对处理单元的致动器和传感器),从而即使本地致动器故障,也能够适当地确保对引擎的控制。从而,无法控制所述航空器的引擎的一个处理单元,可为处于主动状态的另一个处理单元提供到所述一个处理单元的致动器的访问,从而即使所述主动处理单元的致动器中的一个或几个出现故障,所述飞行控制系统也能够确保对引擎的控制。进一步,应急通信装置的使用提供避免所述双向系统的全盲以及避免两个处理单元之间的通信被切断的可能性。最后,用于在所述处理单元之间交换信息的网络的使用,提供提高所述处理单元之间的通信装置的冗余级别,以及使得无需对专门用于所述处理单元之间的通信的附加的通信装置进行设置,仍然能够确保所述飞行控制系统的运行安全的可能性。
一方面,所述相对处理单元和所述本地处理单元通过第一双向数字链路连接,另一方面,所述相对处理单元和所述本地处理单元通过第二双向数字链路连接,且所述相对处理单元在每个链路上发送相对健康数据。所述根据所述第一方面的方法的接收相对健康数据的步骤可包括以下步骤:通过所述第一链路接收第一相对健康数据以及通过所述第二链路接收第二冗余相对健康数据;所接收的第一健康数据和第二健康数据的一致性;以及根据所述验证步骤确定所述相对健康数据。
这使得能够加强所述系统对所述处理单元之间的数据交换的变化的检测能力,从而最大限度地减少了所述飞行控制系统的故障概率。
所述用于确定所发送的相对健康数据的步骤可包括:当所述第一和第二接收到的健康数据不一致时,在整合步骤期间,根据在至少两个连续的帧上接收的数据来确定所发送的相对健康数据。
当在第一帧上的两个链路所传输的数据不一致,且不允许以安全的方式来确定所发送的健康数据时,这允许在确定所发送的相对健康数据期间错误风险的最小化。
为了确保所接收到的数据在传输期间没有损坏,所述用于根据所述第一方面的方法的接收相对健康数据的步骤可包括:用于验证所接收到的健康数据的完整性的步骤。
所述用于根据所述第一方面的方法的确定本地健康数据的步骤可包括:用于诊断与所述本地处理单元的硬件和软件有关的健康状况的步骤。
这使得能够获取健康数据,以允许对影响所述本地处理单元的确保对引擎的控制的能力的整个故障进行诊断。
根据所述第一方面的方法的切换步骤可包括以下步骤:
根据所述本地健康数据,确定与所述本地处理单元的状态有关的状态数据以及与所述本地处理单元确保对引擎的控制的能力有关的所述本地处理单元的健康状态数据,以及
当所述状态数据指示所述本地处理单元处于所述被动状态时,并且当所述健康状态数据指示下列状态:所述本地处理单元能够与所述相对处理单元进行通信,所述本地处理单元不能够确保对引擎的控制且所述本地处理单元能够控制所述本地致动器时,将所述本地处理单元切换到所述从动状态。
这使得能够确保在切换到所述从动状态之前,所述处理单元不能确保对引擎的控制,所述处理单元无法确保代替另一个处理单元对引擎的控制,以及确保影响所述处理单元的故障不能阻止所述处理单元向所述另一个处理单元提供到所述处理单元的致动器的访问。
根据优势和非限制特征,根据所述第一方面的方法的切换步骤包括:
-确定步骤,其中,所述本地处理单元根据所述本地健康数据和所述相对健康数据来确定所述本地处理单元的健康状况好于所述相对处理单元的健康状况,
-等待步骤,其中,所述本地处理单元等待所述相对处理单元切换到所述被动状态,
-切换所述本地处理单元到所述主动状态的步骤。
这使得能够避免所述飞行控制系统处于在两个处理单元同时是主动状态且仍将冒险发送矛盾的指令到它们的致动器的情形。
根据第二方面,本发明涉及一种计算机程序产品,包括:当所述程序由处理器执行时,用于执行根据所述第一方面的切换方法的代码指令。
根据第三方面,本发明涉及一种包含至少一个引擎的航空器的飞行控制系统的处理单元,配置为控制至少一个致动器(称为本地致动器)以便控制所述航空器的引擎,
所述处理单元(即所述本地处理单元)能连接到至少一个本地传感器上以及通过至少一个链路连接到第二处理单元(称为相对处理单元)上;所述相对处理单元,配置为控制至少一个相对致动器以及连接到至少一个相对传感器上;所述本地处理单元进一步被配置以便连接到应急切换装置上,所述应急切换装置在连接到所述本地处理单元和所述相对处理单元的所述至少一个链路故障的情况下,使得能够确保所述本地处理单元和所述相对处理单元之间数据交换;所述应急切换装置包括:传感器或致动器网络,和/或用于航空电子设备的机载安全网络,以及,包括:
-向所述相对处理单元发送与所述至少一个本地传感器有关的采集数据以及与所述至少一个本地致动器有关的致动器数据的装置,
-接收来自所述相对处理单元的与所述至少一个相对传感器有关的采集数据以及与所述至少一个相对致动器有关的致动器数据的装置,
-接收与所述相对处理单元的健康状况有关的健康数据(称为相对健康数据)的装置,
-确定与所述本地处理单元的健康状况有关的健康数据(称为本地健康数据)的装置,
-根据所接收到的相对健康数据和所确定的本地健康数据,将所述本地处理单元从第一状态转换至第二状态的装置,
所述状态来自于主动状态、被动状态和从动状态,其中,在所述主动状态中,所述本地处理单元确保对所述航空器的引擎的控制,在所述被动状态中,所述本地处理单元不能确保对所述航空器的引擎的控制,在所述从动状态中,所述本地处理单元将对所述本地致动器的控制交给所述相对处理单元,以为了控制所述航空器的引擎。
根据第四方面,本发明涉及一种飞行控制系统,包括:根据所述第三方面的两个处理单元;以及进一步包括:应急通信装置,所述应急通信装置允许在连接到所述本地处理单元和所述相对处理单元的所述至少一个链路出现故障的情况下,确保所述本地处理单元和所述相对处理单元之间的数据交换;所述应急切换装置包括:传感器或致动器网络,和/或用于航空电子设备的机载安全网络。
这样的计算机程序产品、处理单元以及飞行控制系统具有与根据所述第一方面的方法提到的相同的优点。
一方面,两个处理单元可通过第一双向数字链路连接,另一方面,两个处理单元可通过第二双向数字链路连接,所述第二链路与所述第一链路冗余,且所述第一链路和所述第二链路也可同时有效。
这样的系统通过其处理单元和其通信装置的冗余性以及通过通信链路的数目的最小化,具有高的抗故障能力,同时减小了自身的体积。
所述第一链路和所述第二链路可以是CCDL链路(“跨通道数据链路”)。
这样的链路特别地使得所述处理单元能够交换比通过已知系统的离散模拟链路交换的健康信息更复杂的健康信息,同时限制了布线体积。
所述用于航空电子设备的机载安全网络例如可以是:AFDX(“航空电子全双工交换式以太网”)类型或μAFDX类型的冗余以太网网络。
附图说明
通过阅读以下实施例的描述,其他的特征和优点将变得明显。将参考附上的附图给出该描述,其中:
图1示意性地示出了根据本发明的实施例的飞行控制系统;
图2示意性地示出了根据本发明的实施例的旨在在飞行控制系统的两个处理单元之间建立两个CCDL链路的硬件装置;
图3示意性地示出了根据本发明的实施例的飞行控制系统的每个处理单元的CCDL模块的物理隔离;
图4示意性地示出了根据本发明的实施例的旨在建立两个CCDL链路的一个处理单元的硬件装置的隔离;
图5表示根据本发明的实施例的飞行控制系统中的处理单元的状态图。
具体实施方式
本发明实施例涉及一种切换方法,所述方法由包括至少一个引擎的航空器的飞行控制系统(如图1所示)的第一处理单元1(称为本地处理单元)实施。
所述飞行控制系统还包括:第二处理单元2(称为相对处理单元)。所述本地处理单元可连接到至少一个本地传感器上,且通过链路3和4中的至少一个连接到所述相对处理单元上,所述相对处理单元连接到至少一个相对传感器上。所述两个处理单元是冗余的,且每一个处理单元可执行用于控制和调节所述航空器的引擎的功能。为此,每个处理单元被配置为控制至少一个致动器,以便控制所述航空器的引擎。所述本地处理单元1可控制的致动器被称之为本地致动器。由所述相对处理单元控制的致动器称之为相对致动器。从而,如图1所示的系统为包含有通道A和通道B的双向架构。
所述本地处理单元1和2可以是包含了若干处理器的同一多处理器计算机系统中的处理器。为了加强所述飞行控制系统对外部侵略的抵抗,以及避免单独的本地事件使得两个处理单元1和2都不工作,两个通道可以在分开的壳体中彼此相距一定距离地安装。在这样的配置中,所述处理单元不是集成在一个单独的处理器中的执行核心。
所述系统还包括:通信装置,所述通信装置使得能够连接两个处理单元以允许用于每个处理单元正常运行的必要数据(例如,关于所述相对处理单元的健康状况的信息)交换。
在可选的实施例中,这些通信装置被配置为在所述第一处理单元1和所述第二处理单元2之间建立第一双向数字链路3和第二双向数字链路4。这样的系统不包括两个处理单元之间的任何离散的链路,这能够限制所述系统布线的复杂性,以及所述通信链路中的一个链路出现故障的概率。
所述第二链路4与所述第一链路3冗余,以确保在所述第一链路3故障的情况下两个处理单元之间的通信,反之亦然。如此的冗余保证了两个处理单元之间的信息交换的良好安全级别。
进一步,所述第一链路和所述第二链路可以同时有效。从而,不同于在所述第一链路故障的情况下仅仅使用冗余的链路的系统,所述飞行控制系统可在正常运行(即所述两个链路均不存在任何故障)期间同时使用所述第一链路3和所述第二链路4,且可通过同时使用所述两个链路来验证在两个处理单元之间交换的数据不存在损坏。
所述第一处理单元1和第二处理单元2可使用用于通过两个链路3和4在彼此之间通信的程序,例如,所述过程来自于以太网IEEE 802.3协议,HDLC(高级数据链路控制)协议,SDLC(同步数据链路控制)协议或其他任何具有检测或纠正错误功能的协议。以太网链路可以特别地确保高性能、大的环境鲁棒性、尤其是关于避雷和电磁兼容性(“EMC”),以及通过用于控制数据完整性和用于控制流的机制的应用确保高功能鲁棒性。进一步,所述以太网协议是与航空电子通信技术(例如,AFDX(“航空电子全双工交换式以太网”)或μAFDX、维护技术)相一致的工业标准。
所述第一链路和所述第二链路可以是CCDL链路(“跨通道数据链路”)。这样的链路使得能够以小于一百微秒的精度来同步每个应用。作为对如在已知系统中的交换离散数据的代替,这样的链路还允许交换由硬件或软件构建的健康信息、对所述系统有用的信息(采集、状态)、以及操作系统(OS)和应用系统(AS)的功能数据。
图2示出了在处理单元A和B之间的CCDL链路。每个处理单元1、2包含有:系统5a、5b,所述系统5a、5b包含有:用于建立所述第一CCDL链路3的第一CCDL模块(CCDLA)6a、6b,以及用于建立所述第二CCDL链路4的第二CCDL模块(CCDLB)7a、7b。这样的系统可表现为片上系统(SoC,片上系统),或是由在单独的壳体中或FPGA卡板中实现的微处理器和外围器件构成的系统。每一个CCDL模块通过物理层连接到自身的壳体的输入/输出接口上。例如,这样的层可包括:如图2所示的硬件接口Phy8a、8b、8c、8d以及变压器9a、9b、9c、9d。
如图3所示,每一个处理单元的CCDL模块通过放置在所述系统5a、5b上的不同位置且彼此远离而被物理隔离,例如,将每一个CCDL模块放置在片上系统的角落。这使得能够在SEU(“单粒子翻转”)或MBU(“多位翻转”)型改变的情况下降低共同故障的概率。
根据第一替换方案,每个系统5a、5b是由单独的电源进行供电的。根据第二替换方案,所述系统包括为整个所述片上系统共有的电源15。如图4所示,每个片上系统可通过两个不同的时钟信号11和12供电。从而,尽管它们不是独立供电的,但是每个处理单元的CCDL模块可以通过独立的时钟供电,其通过防止一个CCDL模块的时钟故障影响另一个CCDL模块,加强了所述片上系统的抗故障能力。
每个处理单元的CCDL模块可通过如图2所示的本地实时时钟机制(HTR或RTC,实时时钟)10a、10b的方式以及同步机制的方式(例如使用同步窗的机制)被同步。从而,在失去同步的情况下,每个处理单元可通过自身的本地时钟运行,然后在接收到有效信号时再次进行同步。所述本地时钟机制可由应用程序来编程,并且其编程被保护以防止SEU(“单粒子翻转”)或MBU(“多位翻转”)型改变。然而,即使在没有同步或时钟丢失的情况下,所述CCDL链路仍可以继续运行。
所述系统进一步可包括:应急通信装置,所述应急通信装置使得能够确保在所述第一和第二处理单元之间数据的交换,且所述应急通信装置仅使用在所述第一和第二链路故障的情况下,以便避免所述处理单元之间的通信被切断。
在如图1所示的第一实施例中,这些应急通信装置可包括:传感器或致动器的网络13。作为一个示例,所述传感器或致动器的网络可以是智能传感器或致动器(智能-传感器,智能-致动器)的网络。然后,每个处理单元可通过RS-485类型的总线连接到所述网络13,以允许不再以模拟方式而是以数字方式进行信息的发送。
在如图1所示的第二实施例中,这些应急通信装置包括:用于航空电子设备14的机载安全网络。作为一个示例,这样的机载安全网络可以是冗余以太网,例如AFDX(“航空电子全双工交换式以太网”)或μAFDX。这样的网络提供了用于共享资源、用于分离流、以及用于航空认证所需的确定性和可用性的装置。
在所述处理单元之间发送的所述数字信号可能对扰动敏感,用于控制在两个远程处理单元之间发送的数据的完整性和一致性的机制可以被设置到位。
从而,每个处理单元可包括:用于验证所接收到的数据的完整性的装置。
为了验证所接收到的数据的完整性,每个接收到的帧的不同字段可以被验证,特别地,在以太网链路的情况下,与目的地址有关的字段、与源地址有关的字段、与帧的类型有关的字段、与帧的长度有关的字段、与MAC数据和填充数据有关的字段可以被验证。如果所述帧的长度与所述帧的长度字段中指定的长度不一致,或如果相应字节不是整数,则所述帧可被认为是无效的。如果根据接收到的所述帧计算的冗余控制(CRC,“循环冗余校验)由于错误(例如发送期间的干扰)而与所述接收的CRC不对应,则所述帧也可被认为是无效的。
进一步,当所述本地处理单元和所述相对处理单元通过两个双向链路连接时,则每个处理单元可包括:用于在所述第一链路和所述第二链路上数据的发送之后,在所发送的帧没有故障或损坏的情况下,验证传递相同信息的两个链路上所接收到的数据的一致性,以及用于确定实际发送的数据的装置。当在两个链路上所接收到的数据不一致时,所述处理单元应用一个整合步骤,在该步骤期间,根据在至少两个连续的帧,或可选地在至少三个连续的帧上接收到的数据来确定实际发送的数据。如此的整合也可以通过延长对两个连续以太网数据包的接收进行分离的时段来实现,例如通过将所述时段的长度设置为大于电磁扰动的持续时长来实现。这可以通过增加一个参数(“帧间间隔”)来实现,该参数设置在所发射的数据包之间的时段。例如,这种实现方式能够以冗余的方式避免发送的两个以太网数据包被损坏。
所述飞行控制系统中的每个处理单元可以处于以下状态中的一种,如图5的状态图所示:
■主动状态(“ACTIVE(主动)”)15,其中,所述处理单元确保对所述航空器的引擎的控制,
■被动状态(“PASSIVE(被动)”)16,其中,所述处理单元不能确保对所述航空器的引擎的控制,但执行其他的功能(例如,诊断功能),以及可选地可以与所述控制系统的另一个处理单元进行通信。
■复位状态(“RESET(复位)”)17,其中,所述处理单元是不活动的,且不执行任何功能,
■从动状态(“SLAVE(从动)”)18,其中,所述处理单元将对自身的致动器(用于控制所述航空器的引擎)的控制交给另一个处理单元。
为了使每个处理单元具有对包括连接到所述相对处理单元的所述致动器和传感器的全局系统的完整概览,以便在本地致动器故障的情况下能够正确地确保对所述引擎的控制,由所述本地处理单元实施的切换方法包括以下步骤:
-向所述相对处理单元发送与所述至少一个本地传感器有关的采集数据、以及与所述至少一个本地致动器有关的致动器数据,
-从所述相对处理单元接收与所述至少一个相对传感器有关的采集数据、以及与所述至少一个相对致动器有关的致动器数据。
作为传感器情况下的一个示例,与传感器有关的采集数据可以是包含由所述传感器测量的温度的温度。
进一步,为了允许所述本地处理单元1从上述描述的四种状态中改变状态,所述切换方法包括以下步骤:
-接收与所述相对处理单元2的健康状况有关的健康数据(称之为相对健康数据),例如状态,
-确定与所述本地处理单元1的健康状况有关的健康数据,称之为本地健康数据,
-根据所接收到的相对健康数据和所确定的本地健康数据,将所述本地处理单元1从第一状态切换到第二状态,所述第一状态和所述第二状态来自于上述描述的主动状态、被动状态、复位状态和从动状态。
所述用于发送、接收采集数据以及接收健康数据的步骤是通过连接两个处理单元的链路3、4或在所述链路3、4故障的情况下通过应急通信装置13、14来实施。
所接收到的相对健康数据可能会遭受扰动,所述用于接收相对健康数据的步骤可包括:用于验证所接收到的数据的完整性的步骤。
此外,用于验证一致性的机制也可以被应用,所述相对健康数据可以在所述双向链路上以冗余的方式发送。所述用于接收相对健康数据的步骤包括以下步骤:通过所述第一链路接收第一相对健康数据以及通过所述第二链路接收第二冗余相对健康数据,验证接收到的第一和第二健康数据的一致性,以及根据所述验证步骤确定所发送的相对健康数据。或者,在验证所述第一链路上接收到的所述第一相对健康数据和所述第二链路上接收到的所述第二相对健康数据的一致性之前,它们可能要经受完整性的验证。
在所述两个链路上接收到的数据不一致的情况下,所述本地处理单元可以忽略这个健康数据,并等待新的相对健康数据的传输。在两个或多个连续的传输期间,在两个链路上接收到不一致的数据的情况下,如果在第一传输期间接收到的数据与后续传输期间接收到的数据一致,所述本地处理单元可以适当地保留所接收的指示所述相对处理单元的最坏健康状况的数据作为相对健康数据。否则,只要没有一致地接收到新的健康数据,则保持以一致的方式最后接收到的健康数据。
为了确定本地或相对健康数据,相关处理单元对与自身的硬件元件和软件元件有关的健康状况做出诊断。这样的诊断可以根据从不同的监测装置或从若干寄存器中获得的信息来建立。作为一个示例,寄存器使得能够获取所述处理单元的硬件的健康状况,另一个寄存器使得能够获取所述处理单元的软件的健康状况。
从而,所确定的本地健康数据或由所述相对处理单元发送的数据使得能够选择一个通道以及建立全系统诊断。特别地,它们可以是诊断CCDL数据,操作系统或应用程序的状态的数据,硬件的诊断数据(尤其是传感器或致动器的诊断数据)、由软件产生的功能诊断数据。
所述本地处理单元可以根据本地或相对健康数据确定指示相应的本地或相对处理单元处于的状态的状态数据(主动、被动、从动或复位),以及与所述本地或相对处理单元的确保对所述引擎的控制的能力有关的健康状态的数据。
根据一实施例,每个处理单元可以具有以下四种状态中的一种状态:
■状态“GOOD(良好)”,其中,所述处理单元没有任何故障,
■状态“ACCEPTABLE(可接受)”,其中,所述处理单元具有一些故障,然而,这些故障将不会阻止其正确地确保对引擎的控制,例如,CCDL链路变压器的损坏,或来自于一个CCDL链路的时钟信号的丢失。
■状态“SLAVE(从动)”,其中,所述处理单元具有太严重的故障使得其不能够正确地确保对所述引擎的控制,例如处理器故障;但是所述本地处理单元没有会阻止其控制自身的致动器或阻止其与所述相对处理单元进行通信的材料故障。
■状态“BAD(差)”,其中,所述处理单元不能够正确地确保对所述引擎的控制,以及所述本地处理单元具有至少一个硬件故障,所述至少一个硬件故障阻止所述处理单元控制自身的致动器,例如影响整个所述处理单元的电源或时钟故障或两个CCDL链路的故障。
所述本地处理单元定期执行上述用于接收相对健康数据和用于确定本地健康数据的步骤。为了确定所述本地处理单元是否应该改变状态,所述本地处理单元根据所述本地健康数据确定指示自身状态的本地状态数据以及指示自身健康状态的本地状态数据。而且,所述本地处理单元根据所述相对健康数据确定指示所述相对处理单元的状态的相对状态数据以及指示所述相对处理单元的健康状态的相对状态数据。
然后,所述本地处理单元将由所述本地状态数据指示的所述本地处理单元的健康状况与由所述相对状态数据指示的所述相对处理单元的健康状况进行比较。
如果所述本地处理单元处于主动状态,并且所述本地处理单元的健康状况仍然比另一个处理单元的健康状况好(CTL_REQ=1),所述处理单元保持在主动状态,且继续确保对引擎的控制。
作为一个示例,在以下情况下,所述本地处理单元的健康状况比所述相对处理单元的健康状况好:
-所述本地处理单元具有GOOD状态,且所述相对处理单元具有ACCEPTABLE、SLAVE和BAD状态之一,
-所述本地处理单元具有ACCEPTABLE状态,且所述相对处理单元具有SLAVE状态或BAD状态。
如果所述本地处理单元处于主动状态,且所述本地处理单元的健康状况变得不如另一个处理单元的健康状况好(CTL_REQ=0),则所述本地处理单元将切换到被动状态,并且停止确保对所述引擎的控制,然后由所述相对处理单元确保对所述引擎的控制。
作为一个示例,在以下情况下,所述本地处理单元的健康状况不如所述相对处理单元的健康状况好:
-所述本地处理单元具有ACCEPTABLE状态,且所述相对处理单元具有GOOD状态,或
-所述本地处理单元具有SLAVE状态,且所述相对处理单元具有GOOD状态或ACCEPTABLE状态,或
-所述本地处理单元具有BAD状态,且所述相对处理单元具有GOOD状态或ACCPETABLE状态。
如果所述本地处理单元处于被动状态,且所述本地处理单元的健康状况仍然没有所述相对处理单元的健康状况好(CTL_REQ=0),则所述处理单元仍然在被动状态。
如果所述本地处理单元处于被动状态,且所述本地处理单元的健康状况变得比所述相对处理单元的健康状况好(CTL_REQ=1),则所述本地处理单元切换到主动状态,以便替代所述相对处理单元来确保对所述引擎的控制。从被动状态到主动状态的切换可以经过等待状态19,在等待状态,所述本地处理单元在进入到所述主动状态之前,等待所述相对处理单元进入所述被动状态(OPP_CH_STATE=0),以便接管对所述引擎的控制。这使得能够避免所述飞行控制系统处于两个处理单元同时是主动状态且仍将冒险发送矛盾的命令到它们的致动器的情况。只要所述相对处理单元是主动状态(OPP_CH_STATE=1),则所述处理单元仍可处于这样的等待状态19。如果在所述本地处理单元进入主动状态之前,所述相对处理单元的健康状况再次变得比所述本地处理单元的健康状况好(CTL_REQ=0),则所述本地处理单元甚至可能从等待状态返回到被动状态。
如果所述本地处理单元处于被动状态,且所述本地状态数据指示所述处理单元具有“SLAVE”健康状态(Remote_Req=1(远程_Req=1)),则所述本地处理单元可以切换到上述描述的所述从动状态。根据替代方案,也可通过从所述相对处理单元接收用于请求访问所述本地处理单元的致动器的信号,来调节到所述从动状态的切换。当所述本地状态数据仅仅指示所述处理单元具有“SLAVE”的健康状态(Remote_Req=0)时,所述处理单元可以从所述从动状态返回到所述被动状态。
如果所述本地状态数据指示“BAD”健康状态时,所述本地处理单元不管自身当前的状态如何都切换到所述复位状态。一旦所述复位被成功地执行(HRESET_N上升沿),所述处理单元可再次进入到所述被动状态。
在所述本地处理单元和所述相对处理单元具有相同的健康数据(GOOD或ACCEPTABLE)的情况下,根据第一替代方案,每个处理单元保持在其当前状态(主动或被动)。根据第二替代方案,可以将对引擎的控制提供给默认处理单元,例如所述第一处理单元1。在这种情况下,如果所述默认处理单元已经处于主动状态,则两个处理单元保持在其当前状态;否则,如果所述默认处理单元之前处于被动状态,则从所述被动状态切换到所述主动状态,反之亦然。
如果一个处理单元恢复先前已经丧失的功能,则所述处理单元可以从ACCEPTABLE状态切换到GOOD状态,但一个处于SLAVE或BAD状态的处理单元除非被复位否则不能再次切换到ACCEPTABLE或GOOD状态。
从而,所述控制系统的所述被动通道可以切换到使得所述被动通道的致动器可用于处于更好的健康状况的主动通道的状态,使得即使存在影响所述主动通道控制自己的致动器的能力的故障,所述飞行控制系统也可以继续确保对引擎的控制。
Claims (13)
1.一种切换方法,由包含至少一个引擎的航空器的飞行控制系统的第一处理单元(1,2)实施,其中第一处理单元(1,2)称为本地处理单元,
所述本地处理单元(1,2)被配置为控制至少一个致动器以控制所述航空器的引擎,其中所述至少一个致动器称为本地致动器,所述本地处理单元(1,2)能连接到至少一个本地传感器以及通过至少一个链路(3,4)连接到第二处理单元(2,1),其中所述第二处理单元(2,1)称为相对处理单元;所述相对处理单元(2,1)被配置为控制至少一个相对致动器,且连接到至少一个相对传感器上;所述本地处理单元(1,2)进一步被配置为连接到应急通信装置(13,14)上;所述应急通信装置允许在连接所述本地处理单元(1,2)和所述相对处理单元(2,1)的至少一个链路(3,4)出现故障的情况下,确保所述本地处理单元(1,2)和所述相对处理单元(2,1)之间的数据交换,所述应急通信装置包括:传感器或致动器的网络(13)和/或用于航空电子设备的机载安全网络(14),
所述方法包括以下步骤:
向所述相对处理单元发送与所述至少一个本地传感器有关的采集数据以及与所述至少一个本地致动器有关的致动器数据,
从所述相对处理单元接收与所述至少一个相对传感器有关的采集数据以及与所述至少一个相对致动器有关的致动器数据,
接收与所述相对处理单元(2,1)的健康状况有关的健康数据,其中与所述相对处理单元(2,1)的健康状况有关的健康数据称为相对健康数据,
确定与所述本地处理单元(1,2)的健康状况有关的健康数据,其中所述与所述本地处理单元(1,2)的健康状况有关的健康数据称为本地健康数据,
根据所接收的相对健康数据和所确定的本地健康数据,将所述本地处理单元(1,2)从第一状态切换到第二状态,
发送、接收采集数据以及接收健康数据的步骤通过所述至少一个链路或通过所述应急通信装置来实施,所述状态来自于主动状态(15)、被动状态(16)和从动状态(18);其中,在所述主动状态中,所述本地处理单元(1,2)确保对所述航空器的引擎的控制;在所述被动状态中,所述本地处理单元(1,2)不能确保对所述航空器的引擎的控制;在所述从动状态中,所述本地处理单元(1,2)将对所述本地致动器的控制交给所述相对处理单元(2,1)以控制所述航空器的引擎。
2.根据权利要求1所述的方法,其中,
所述相对处理单元(2,1)和所述本地处理单元(1,2)通过第一双向数字链路(3)以及通过第二双向数字链路(4)连接,
且所述相对处理单元(2,1)通过所述链路(3,4)中的每一个发送相对健康数据,
接收相对健康数据的步骤包括:通过所述第一链路(3)接收第一相对健康数据以及通过所述第二链路(4)接收第二冗余相对健康数据;验证所接收的第一健康数据和第二健康数据的一致性;以及根据所述验证确定所发送的相对健康数据。
3.根据前述权利要求所述的方法,其中,确定所发送的相对健康数据包括:当所接收的第一健康数据和第二健康数据不一致时,执行根据在至少两个连续帧上接收的数据来确定所发送的相对健康数据的整合步骤。
4.根据前述任一权利要求所述的方法,其中,接收相对健康数据包括:验证所接收到的健康数据的完整性。
5.根据前述任一权利要求所述的方法,其中,确定本地健康数据包括:诊断与所述本地处理单元(1,2)的硬件和软件有关的健康状况。
6.根据前述任一权利要求所述的方法,其中,所述切换步骤包括:
根据所述本地健康数据,确定与所述本地处理单元(1,2)的状态有关的状态数据以及与所述本地处理单元确保对引擎的控制的能力有关的所述本地处理单元的健康状态数据,以及
当所述状态数据指示所述本地处理单元(1)处于所述被动状态(16)时,并且当所述健康状态数据指示下列状态:所述本地处理单元能够与所述相对处理单元进行通信,所述本地处理单元(1,2)不能够确保对引擎的控制且所述本地处理单元(1,2)能够控制所述本地致动器时,将所述本地处理单元(1,2)切换到所述从动状态(18)。
7.根据前述任一权利要求所述的方法,其中,所述切换步骤包括:
确定步骤,其中,所述本地处理单元(1,2)根据所述本地健康数据和所述相对健康数据确定所述本地处理单元的健康状况比所述相对处理单元(2,1)的健康状况好,
等待步骤,其中,所述本地处理单元(1,2)等待所述相对处理单元(2,1)切换到所述被动状态(16),
将所述本地处理单元(1,2)切换到所述主动状态(16)。
8.一种计算机程序产品,包括:当所述程序由处理器执行时,用于执行根据前述任一权利要求所述的切换方法的代码指令。
9.一种航空器的飞行控制系统的处理单元(1,2),所述航空器包含至少一个引擎,所述处理单元(1,2)被配置为控制称为本地致动器的至少一个致动器,以便控制所述航空器的引擎,
称为本地处理单元的所述处理单元(1,2)能够连接到至少一个本地传感器上,且通过至少一个链路(3,4)连接到称为相对处理单元的第二处理单元(2,1);所述相对处理单元(2,1)被配置为控制至少一个相对致动器,且连接到至少一个相对传感器上;所述本地处理单元(1,2)进一步被配置为连接到应急通信装置(13,14)上;所述应急通信装置允许在连接所述本地处理单元(1,2)和所述相对处理单元(2,1)的所述至少一个链路(3,4)出现故障的情况下,确保所述本地处理单元(1,2)和所述相对处理单元(2,1)之间的数据交换,所述应急通信装置包括:传感器或致动器网络(13)和/或用于航空电子设备的机载安全网络(14),并且
所述处理单元(1,2)包括:
用于向所述相对处理单元发送与所述至少一个本地传感器有关的采集数据以及与所述至少一个本地致动器有关的致动器数据的装置,
用于从所述相对处理单元接收与所述至少一个相对传感器有关的采集数据以及与所述至少一个相对致动器有关的致动器数据的装置,
用于接收与所述相对处理单元(2,1)的健康状况有关的健康数据的装置,其中与所述相对处理单元(2,1)的健康状况有关的健康数据称为相对健康数据,
用于确定与所述本地处理单元(1,2)的健康状况有关的健康数据的装置,其中与所述本地处理单元(1,2)的健康状况有关的健康数据称为本地健康数据,
用于根据所接收到的相对健康数据和所确定的本地健康数据将所述本地处理单元(1,2)从第一状态切换到第二状态的装置,
所述状态来自于主动状态(15)、被动状态(16)和从动状态(18);其中,在所述主动状态中,所述本地处理单元(1,2)确保对所述航空器的引擎的控制;在所述被动状态中,所述本地处理单元(1,2)不能确保对所述航空器的引擎的控制;在所述从动状态中,所述本地处理单元(1,2)将对所述本地致动器的控制交给所述相对处理单元(2,1)以控制所述航空器的引擎。
10.一种飞行控制系统,包括根据权利要求9所述的两个处理单元(1,2),进一步包括应急通信装置(13,14),所述应急通信装置允许在连接所述本地处理单元(1,2)和所述相对处理单元(2,1)的链路(3,4)出现故障的情况下,确保所述本地处理单元(1,2)和所述相对处理单元(2,1)之间的数据交换,所述应急通信装置包括:传感器或致动器网络(13)和/或用于航空电子设备的机载安全网络(14)。
11.根据前述权利要求所述的飞行控制系统,其中,所述两个处理单元(1,2)通过第一双向数字链路(3)以及通过第二双向数字链路(4)连接,所述第二链路(4)与所述第一链路(3)冗余,且所述第一链路和所述第二链路(3,4)能同时有效。
12.根据权利要求11所述的飞行控制系统,其中,所述第一链路和所述第二链路(3,4)是CCDL(“跨通道数据链路”)链路。
13.根据权利要求10所述的飞行控制系统,其中,所述机载安全网络(14)是AFDX(“航空电子全双工交换式以太网”)或μAFDX类型的冗余以太网网络。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1458354A FR3025617B1 (fr) | 2014-09-05 | 2014-09-05 | Architecture bi-voies |
| FR1458354 | 2014-09-05 | ||
| PCT/FR2015/052344 WO2016034825A1 (fr) | 2014-09-05 | 2015-09-04 | Architecture bi-voies |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107077103A true CN107077103A (zh) | 2017-08-18 |
| CN107077103B CN107077103B (zh) | 2020-10-13 |
Family
ID=52692715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580051534.XA Active CN107077103B (zh) | 2014-09-05 | 2015-09-04 | 双向架构 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US10162314B2 (zh) |
| EP (1) | EP3189381B1 (zh) |
| JP (1) | JP6484330B2 (zh) |
| KR (1) | KR102284080B1 (zh) |
| CN (1) | CN107077103B (zh) |
| CA (1) | CA2960107C (zh) |
| FR (1) | FR3025617B1 (zh) |
| RU (1) | RU2679706C2 (zh) |
| WO (1) | WO2016034825A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3025617B1 (fr) * | 2014-09-05 | 2016-12-16 | Sagem Defense Securite | Architecture bi-voies |
| EP3469769B1 (en) * | 2016-06-10 | 2021-03-24 | TTTech Flexibilis Oy | Receiving frames at redundant port connecting node to communications network |
| GB2563242B (en) | 2017-06-07 | 2020-01-29 | Ge Aviat Systems Ltd | A method and system for enabling component monitoring redundancy in a digital network of intelligent sensing devices |
| EP3428748B1 (de) * | 2017-07-13 | 2020-08-26 | Siemens Aktiengesellschaft | Verfahren und anordnung zum betrieb von zwei redundanten systemen |
| US10698752B2 (en) * | 2017-10-26 | 2020-06-30 | Bank Of America Corporation | Preventing unauthorized access to secure enterprise information systems using a multi-intercept system |
| IT201900012900A1 (it) * | 2019-07-25 | 2021-01-25 | Hitachi Rail Sts S P A | Apparato e metodo per il controllo di un sistema ferroviario |
| CN113900979B (zh) * | 2021-09-08 | 2024-03-19 | 中国航空工业集团公司西安航空计算技术研究所 | 一种双功能区共单ccdl传输体系 |
| GB2615072A (en) * | 2022-01-24 | 2023-08-02 | Airbus Operations Ltd | An aircraft control system |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1203406A (zh) * | 1996-05-14 | 1998-12-30 | 波音公司 | 提供自动控制显示单元备份的飞行管理系统 |
| JP2006229956A (ja) * | 2005-02-10 | 2006-08-31 | Northrop Grumman Corp | 複数のオペレーショナルフライトプログラムの同期化 |
| US20080205416A1 (en) * | 2007-02-23 | 2008-08-28 | Honeywell International, Inc. | Flight control computers with ethernet based cross channel data links |
| CN102421667A (zh) * | 2009-03-11 | 2012-04-18 | 空中客车营运有限公司 | 根据集成模块化航空电子设备架构实现的分布式飞行控制系统 |
| EP2595023A2 (en) * | 2011-11-16 | 2013-05-22 | Nabtesco Corporation | Aircraft control apparatus and aircraft control system |
| FR2986398A1 (fr) * | 2012-01-30 | 2013-08-02 | Snecma | Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs |
| CN103930347A (zh) * | 2011-11-25 | 2014-07-16 | 涡轮梅坎公司 | 用于在至少一个航空器引擎故障的情况下调节功率的方法和系统 |
| CN103955188A (zh) * | 2014-04-24 | 2014-07-30 | 清华大学 | 支持冗余切换功能的控制系统及方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0410832A (ja) * | 1990-04-27 | 1992-01-16 | Nec Commun Syst Ltd | パケットネットワークシステムのバックアップ方式 |
| US5790791A (en) * | 1995-05-12 | 1998-08-04 | The Boeing Company | Apparatus for synchronizing flight management computers where only the computer chosen to be the master received pilot inputs and transfers the inputs to the spare |
| US6611499B1 (en) * | 1999-03-18 | 2003-08-26 | At&T Corp. | Method for measuring the availability of router-based connectionless networks |
| JP4478037B2 (ja) * | 2004-01-30 | 2010-06-09 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| FR2879388B1 (fr) * | 2004-12-15 | 2007-03-16 | Sagem | Procede de transmission securisee, systeme, pare-feu et routeur le mettant en oeuvre |
| US20060184253A1 (en) * | 2005-02-03 | 2006-08-17 | International Business Machines Corporation | Intelligent method of organizing and presenting operational mode information on an instrument panel of a flight deck |
| DE602006010123D1 (de) * | 2005-02-28 | 2009-12-17 | Delphi Tech Inc | Bremssystem mit einer fehlertoleranten Kommunikationsknoten-Architektur |
| JP4754993B2 (ja) * | 2006-02-16 | 2011-08-24 | デルファイ・テクノロジーズ・インコーポレーテッド | 分布システムのためのフォールトトレランスのノードアーキテクチャー |
| RU2378521C2 (ru) * | 2007-12-25 | 2010-01-10 | Федеральное государственное унитарное предприятие "Московское машиностроительное производственное предприятие "САЛЮТ" (ФГУП "ММПП "САЛЮТ") | Система автоматического управления газотурбинным двигателем |
| JP5404101B2 (ja) * | 2009-02-27 | 2014-01-29 | 三菱重工業株式会社 | 多重冗長系制御システム |
| FR2959489B1 (fr) * | 2010-05-03 | 2013-02-15 | Airbus Operations Sas | Panneau de commande pour aeronef. |
| US9625894B2 (en) * | 2011-09-22 | 2017-04-18 | Hamilton Sundstrand Corporation | Multi-channel control switchover logic |
| RU136011U1 (ru) * | 2012-12-27 | 2013-12-27 | Российская Федерация в лице Министерства промышленности и торговли Российской Федерации | Самолет с системой управления общесамолетным оборудованием и самолетными системами |
| EP2790073A1 (en) * | 2013-04-09 | 2014-10-15 | Airbus Operations GmbH | Control of aircraft systems with at least two remote data concentrators for control of an aircraft system component |
| FR3025617B1 (fr) * | 2014-09-05 | 2016-12-16 | Sagem Defense Securite | Architecture bi-voies |
-
2014
- 2014-09-05 FR FR1458354A patent/FR3025617B1/fr active Active
-
2015
- 2015-09-04 RU RU2017111184A patent/RU2679706C2/ru active
- 2015-09-04 WO PCT/FR2015/052344 patent/WO2016034825A1/fr active Application Filing
- 2015-09-04 US US15/508,455 patent/US10162314B2/en active Active
- 2015-09-04 CN CN201580051534.XA patent/CN107077103B/zh active Active
- 2015-09-04 KR KR1020177009173A patent/KR102284080B1/ko active IP Right Grant
- 2015-09-04 JP JP2017512804A patent/JP6484330B2/ja active Active
- 2015-09-04 EP EP15780914.6A patent/EP3189381B1/fr active Active
- 2015-09-04 CA CA2960107A patent/CA2960107C/fr active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1203406A (zh) * | 1996-05-14 | 1998-12-30 | 波音公司 | 提供自动控制显示单元备份的飞行管理系统 |
| JP2006229956A (ja) * | 2005-02-10 | 2006-08-31 | Northrop Grumman Corp | 複数のオペレーショナルフライトプログラムの同期化 |
| US20080205416A1 (en) * | 2007-02-23 | 2008-08-28 | Honeywell International, Inc. | Flight control computers with ethernet based cross channel data links |
| CN102421667A (zh) * | 2009-03-11 | 2012-04-18 | 空中客车营运有限公司 | 根据集成模块化航空电子设备架构实现的分布式飞行控制系统 |
| EP2595023A2 (en) * | 2011-11-16 | 2013-05-22 | Nabtesco Corporation | Aircraft control apparatus and aircraft control system |
| CN103930347A (zh) * | 2011-11-25 | 2014-07-16 | 涡轮梅坎公司 | 用于在至少一个航空器引擎故障的情况下调节功率的方法和系统 |
| FR2986398A1 (fr) * | 2012-01-30 | 2013-08-02 | Snecma | Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs |
| CN103955188A (zh) * | 2014-04-24 | 2014-07-30 | 清华大学 | 支持冗余切换功能的控制系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2960107A1 (fr) | 2016-03-10 |
| RU2017111184A3 (zh) | 2018-10-05 |
| US10162314B2 (en) | 2018-12-25 |
| FR3025617A1 (fr) | 2016-03-11 |
| FR3025617B1 (fr) | 2016-12-16 |
| WO2016034825A1 (fr) | 2016-03-10 |
| RU2017111184A (ru) | 2018-10-05 |
| CA2960107C (fr) | 2020-03-10 |
| CN107077103B (zh) | 2020-10-13 |
| US20170277151A1 (en) | 2017-09-28 |
| KR20170095183A (ko) | 2017-08-22 |
| RU2679706C2 (ru) | 2019-02-12 |
| JP6484330B2 (ja) | 2019-03-13 |
| EP3189381B1 (fr) | 2018-07-25 |
| KR102284080B1 (ko) | 2021-08-02 |
| JP2017534502A (ja) | 2017-11-24 |
| EP3189381A1 (fr) | 2017-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107005446B (zh) | 具有冗余ccdl的双通道架构 | |
| CN107077103A (zh) | 双向架构 | |
| US8194533B2 (en) | Fault tolerant data bus node and system | |
| US10120772B2 (en) | Operation of I/O in a safe system | |
| US9367375B2 (en) | Direct connect algorithm | |
| CN107276710B (zh) | 基于时间同步状态监控的时间触发以太网故障诊断方法 | |
| US10042812B2 (en) | Method and system of synchronizing processors to the same computational point | |
| US8996735B2 (en) | Remote data concentrator | |
| US9317359B2 (en) | Reliable, low latency hardware and software inter-process communication channel for safety critical system | |
| CN104199440B (zh) | 一种四机三总线冗余异构gnc系统 | |
| CN104714862B (zh) | 用于安全和任务关键系统的表决架构 | |
| US20150169427A1 (en) | Fault-Tolerant Failsafe Computer System Using COTS Components | |
| US9311212B2 (en) | Task based voting for fault-tolerant fail safe computer systems | |
| CN113973025A (zh) | 基于can总线的星载计算机通讯可靠性与容错设计方法 | |
| CN110114805B (zh) | 防火控制单元 | |
| Popențiu-Vlădicescu et al. | Reliability of Modern Engineering Systems-Towards a Safer World |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |