CN109213118A - 用于冗余系统中的多个故障的故障覆盖 - Google Patents
用于冗余系统中的多个故障的故障覆盖 Download PDFInfo
- Publication number
- CN109213118A CN109213118A CN201810685085.XA CN201810685085A CN109213118A CN 109213118 A CN109213118 A CN 109213118A CN 201810685085 A CN201810685085 A CN 201810685085A CN 109213118 A CN109213118 A CN 109213118A
- Authority
- CN
- China
- Prior art keywords
- channel
- group
- message
- controller
- failure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 79
- 125000004122 cyclic group Chemical group 0.000 claims abstract description 62
- 230000005540 biological transmission Effects 0.000 claims abstract description 49
- 230000002159 abnormal effect Effects 0.000 claims abstract description 17
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 claims description 55
- 230000000694 effects Effects 0.000 claims description 13
- 230000007246 mechanism Effects 0.000 claims description 7
- 230000007613 environmental effect Effects 0.000 claims description 6
- 239000000446 fuel Substances 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims description 3
- 230000004913 activation Effects 0.000 claims 1
- 230000004888 barrier function Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 34
- 238000010586 diagram Methods 0.000 description 29
- 238000012545 processing Methods 0.000 description 21
- 238000004891 communication Methods 0.000 description 17
- 238000004519 manufacturing process Methods 0.000 description 14
- 230000009977 dual effect Effects 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000005611 electricity Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 101000651958 Crotalus durissus terrificus Snaclec crotocetin-1 Proteins 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1004—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64C—AEROPLANES; HELICOPTERS
- B64C13/00—Control systems or transmitting systems for actuating flying-control surfaces, lift-increasing flaps, air brakes, or spoilers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64D—EQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
- B64D45/00—Aircraft indicators or protectors not otherwise provided for
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64C—AEROPLANES; HELICOPTERS
- B64C19/00—Aircraft control not otherwise provided for
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Aviation & Aerospace Engineering (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
一种用于管理具有用于飞机的三重冗余的控制系统的方法和系统。该方法包括从控制器中的传输通道接收一组消息,该控制器包括其中先前已出现第一通道故障的三个通道。该方法识别活性指示器、由一组通道中的每个通道生成的状态以及该组消息中的由该组通道中的每个通道生成的循环冗余检验值。由该组通道中的通道生成的循环冗余检验值使用分配给该通道的密钥而生成。当为指示已出现第二通道故障的以下中的至少一个时,该方法禁用控制器:在状态中指示异常、存在活性指示器错配、或者在该组消息中存在循环冗余检验值错配。
Description
技术领域
本公开总体上涉及飞机,并且具体地涉及用于飞机中的冗余系统中的多个故障的故障覆盖。
背景技术
冗余在飞机中的许多系统中实现,以提供期望的性能水平以及期望的安全水平。例如,用于飞机的飞机飞行控制系统包括飞行控制面、致动器、阀、伺服器、控制器以及用于控制飞机的飞行的其他部件。
飞机飞行控制系统可以在数据处理架构中采用三重冗余。该三重冗余被采用以在飞机飞行控制系统中执行控制和故障检测功能。在此类系统中,三个单独的计算单元可以执行相同或几乎相同的计算。计算单元也被称为“通道(lane,分道)”。通常,在正常情况下预期这些通道会生成相同或几乎相同的输出,并从它们的计算输出中进行选择。并行地,它们的输出通常被比较以用于故障检测和隔离。
对于三重冗余系统,“1-故障操作”指示单个故障,“2-故障安全”指示双重故障。在这种情况下,“1-故障操作”意味着如果系统中的三个冗余通道中的一个出故障,则系统继续操作并向剩余的两个通道提供必要的控制信号。继续操作通常在故障通道的检测和关闭之后。这种继续操作以降低错误输出的可能性和高可用性的方式支持高完整性。因此,系统能够在单个通道故障之后继续操作。
对于三重冗余系统,如果另一个通道随后出故障,则计算系统不再提供必要的输出以执行期望的功能。在这种情况下,系统可能会进入“2-故障安全”,这是其中来自系统的控制输出不再被应用或使用的“故障安全”状态。
例如,对于飞机飞行控制系统,“1-故障操作”意味着由系统控制的致动器可以在单个通道故障之后继续被控制。当致动器不再能被系统以期望的性能水平控制时,系统可以进入其中系统无法控制致动器的“2-故障安全”状态。在这种情况下,可以采用“旁路模式”,其中致动器可以由空气负载或由飞行控制表面上的其他致动器以低阻力反向驱动。
通常,在通道中实现的电子设备被认为是复杂的。例如,用于通道的部件可以包括微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)或其一些组合。结果,不期望的操作的所有可能模式或其中预期它们会出故障的行为可能比所期望的更难以预测。
此外,通道出故障的自我声明不被认为具有完整的故障覆盖。因此,故障检测主要依赖于独立通道之间的比较。第一通道故障,诸如确定哪个通道具有不期望的操作,相对易于检测和隔离。这种检测可以使用多数投票来完成。
当检测到不期望的通道的操作时,当其他两个通道同意关闭时,该通道可以被那些通道关闭。该系统可以继续以剩余的两个通道操作,从而实现“1-故障操作”系统。通过剩余的两个通道之间的比较,也可以类似的方式解决第二通道故障。
如果剩余的两个通道中的至少一个通道判定另一通道的输出与其自身的显著不同,则可以关闭整个系统或将系统置于暂停状态,从而实现“2-故障安全”系统。在一些情况下,对于导致正确的自我声明的有限故障情况,可以实现三重冗余系统中的“2-故障操作”系统。
用于第一通道故障的故障覆盖相对简单,因为在第一通道故障时,其他两个通道是健康的。可以依靠两个健康通道都同意投票关闭故障通道并保持该通道关闭,从而提供完整的故障覆盖。
对于其中剩余的两个通道出现第二通道故障的情况,情况变得更复杂。例如,第二通道出故障,并且该通道投票将第一先前故障的通道从关闭状态带入,使得第一先前故障的通道积极地参与投票。结果,这两个故障通道可能会接管对系统的控制。例如,两个故障通道可能投票关闭最后剩余的健康通道。
因此,可期望具有一种考虑到至少一些上面论述的问题以及其他可能的问题的方法和装置。例如,可期望具有一种克服管理控制系统时的技术问题的方法和装置,使得第二通道故障得到管理以实现避免系统的不期望的操作的“故障安全”系统。
发明内容
本公开的一个实施例提供了一种用于管理具有用于飞机的三重冗余的控制系统的方法。该方法包括从控制器中的传输通道接收一组消息,该控制器包括其中先前已出现第一通道故障的三个通道。该方法识别活性指示器(activity indicator)、由一组通道中的每个通道生成的状态以及该组消息中的由该组通道中的每个通道生成的循环冗余检验值。由该组通道中的通道生成的循环冗余检验值使用分配给该通道的密钥而生成。当为指示已出现第二通道故障的以下中的至少一个时,该方法禁用控制器:在状态中指示异常、存在活性指示器错配、以及在该组消息中存在循环冗余检验值错配。
本公开的另一实施例提供了一种具有用于飞机的三重冗余的控制系统。该控制系统包括飞行控制电子系统,该飞行控制电子系统配置成从控制器中的传输通道接收一组消息,该控制器包括其中先前已出现第一通道故障的三个通道。控制系统识别活性指示器、由一组通道中的每个通道生成的状态以及该组消息中的由该组通道中的每个通道生成的循环冗余检验值。由该组通道中的通道生成的循环冗余检验值使用分配给该通道的密钥而生成。当为指示已出现第二通道故障的以下中的至少一个时,该控制系统禁用控制器:在状态中指示异常、存在活性指示器错配、以及在该组消息中存在循环冗余检验值错配。
本公开的又一实施例提供了一种用于管理用于飞机的控制系统的方法。该方法包括在飞行控制电子系统处从远程电子单元中的传输通道接收一组消息,该远程电子单元包括其中先前已出现第一通道故障的用于三重冗余的三个通道。该方法基于分配给传输通道的密钥由飞行控制电子系统识别活性指示器、由传输通道生成的状态以及该组消息中的循环冗余检验值。当为指示已出现第二通道故障的以下中的至少一个时,该方法通过飞行控制电子系统执行关于远程电子单元的动作:在状态中指示异常、存在活性指示器错配、以及在该组消息中存在循环冗余检验值错配。
本公开的又一实施例提供了一种用于管理具有用于飞机的三重冗余的控制系统的方法。该方法包括从控制器中的传输通道接收一组消息,该控制器包括其中先前已出现第一通道故障的三个通道。该方法基于分配给该组通道的一组密钥识别活性指示器和该组消息中的由一组通道生成的错误检验数据错配。当为指示已出现第二通道故障的以下中的至少一个时,该方法禁用控制器:在状态中指示异常、存在活性指示器错配、以及在该组消息中存在错误检验数据错配。
特征和功能可以在本公开的各种实施例中独立地实现,或者可以在其他实施例中组合,其中可以参考以下描述和附图来看到进一步的细节。
附图说明
在所附权利要求书中阐述了被认为是新颖特征的说明性实施例的特征。然而,当结合附图阅读时,通过参考本公开的说明性实施例的以下详细描述,将最好地理解说明性实施例以及优选的使用模式、其进一步的目的和特征,其中:
图1是根据一个说明性实施例的三重冗余环境的框图的图示;
图2是根据一个说明性实施例的控制系统的框图的图示;
图3是根据一个说明性实施例的用于管理具有三重冗余的控制系统的过程的流程图的图示;
图4是根据一个说明性实施例的用于监控通道的过程的流程图的图示;
图5是根据一个说明性实施例的用于确定是否存在循环冗余值错配的过程的流程图的图示;
图6是根据一个说明性实施例的数据处理系统的框图的图示;
图7是根据一个说明性实施例的飞机制造和维修方法的框图的图示;以及
图8是其中可以实现一个说明性实施例的飞机的框图的图示。
具体实施方式
说明性实施例认识并考虑到一个或多个不同的考虑因素。例如,说明性实施例认识并考虑到,当前的三重冗余系统可能不像所期望的那样有效地处理第二通道的故障。例如,说明性实施例认识并考虑到,通过获得对飞机中的系统的控制而使得通道以不期望的方式操作是不期望的。说明性实施例认识并考虑到,独立的简单电子设备可用于构建“粘合逻辑”以保持对事件的序列的跟踪,使得第二故障通道不能重新激活第一故障通道并且最后剩余的健康通道将有权关闭系统并将系统置于“故障安全”状态。说明性实施例认识并考虑到,这种方法的一个难点涉及一种机制,其用于保留在动力循环中幸存的事件的序列的记忆,而不依赖于可能无法按照需要运行的复杂设备。
因此,说明性实施例提供了一种用于管理控制系统的方法、装置和系统。存在一种用于管理具有用于飞机的三重冗余的控制系统的过程。该过程从控制器中的传输通道接收一组消息,该控制器包括其中先前已发生第一通道故障的三个通道。识别活性指示器、由该组通道中的每个通道生成的状态以及该组消息中的由该组通道中的每个通道生成的循环冗余检验值。由该组通道中的通道生成的循环冗余检验值使用分配给通道的密钥而生成。当为指示已发生第二通道故障的以下中的至少一个时,禁用控制器:在状态中指示异常、存在活性指示器错配、以及在该组消息中存在循环冗余检验值错配。
现在参考附图并且特别参考图1,根据一个说明性实施例描绘了三重冗余环境的框图的图示。在该说明性示例中,三重冗余环境100可以包括飞机104形式的平台102。
如所描绘的,飞机104中的控制系统106控制系统108的操作。在说明性示例中,系统108可以采取各种形式。例如,系统108可以选自以下中的至少一个:致动器、阀、伺服机构、飞行控制表面、以及机上娱乐系统、燃料系统、发动机、环境控制系统、自动驾驶仪、起落架系统或一些其他合适类型的系统。
如本文所使用的,当与项目列表一起使用时,短语“中的至少一个”意味着可以使用所列项目中的一个或多个的不同组合,并且可能只需要列表中的每个项目中的一个。换句话说,“中的至少一个”意味着项目的任何组合和项目的数量可以从列表中使用,但是并非列表中的全部项目都是必需的。该项目可能是特定的对象、事物或类别。
例如但不限于,“项目A、项目B或项目C中的至少一个”可以包括项目A、项目A和项目B或项目B。该示例还可以包括项目A、项目B和项目C;或项目B和项目C。当然,这些项目的任何组合都可能存在。在一些说明性示例中,“中的至少一个”可以是,例如但不限于,项目A中的两个、项目B中的一个和项目C中的十个;项目B中的四个和项目C中的七个;或其他合适的组合。
在该特定示例中,控制系统106可以在计算机系统142中实现。计算机系统142是物理硬件系统并包括一个或多个数据处理系统。当存在多于一个数据处理系统时,那些数据处理系统使用通信介质彼此通信。通信介质可以是网络。数据处理系统可以选自以下中的至少一个:计算机、服务器计算机、线路可替换单元、平板电脑或一些其他合适的数据处理系统。
如所描绘的,控制系统106包括飞行控制电子系统110和控制器112。在该说明性示例中,控制器112以飞行控制表面114的形式控制系统108。在该说明性示例中,该控制可以是直接控制,其中控制器112控制连接到飞行控制表面114的致动器。飞行控制表面114可以采取不同的形式。例如,飞行控制表面114可以选自包括以下的组:副翼、升降舵、方向舵、扰流器、襟翼、板条、空气制动器和一些其他合适类型的飞行控制表面。
在该说明性示例中,飞行控制电子系统110用作主控制器146,而控制器112是较低级别控制器。飞行控制电子系统110还可以监控和控制除控制器112之外的一个或多个控制器。那些其他控制器可以控制除飞行控制表面114之外的用于飞机104的其他平坦表面控制。
除飞行控制表面114之外或代替飞行控制表面114,控制器112可以控制系统108或其它系统中的其它系统或部件。例如,系统108可以控制以下中的至少一个:致动器、阀、伺服机构、机上娱乐系统、燃料系统、发动机、环境控制系统、自动驾驶仪、起落架系统或一些其他合适的部件或系统。
在该说明性示例中,飞行控制电子系统110配置成从包括三个通道的控制器112中的通道120中的传输通道118接收一组消息116。如所描绘的,该组消息116可以被加密。如本文所使用的,当涉及项目使用时,“一组”是指一个或多个项目。例如,一组消息116是一个或多个消息。
在该说明性示例中,在控制器112中先前已出现第一通道故障122。在控制系统106的操作期间,飞行控制电子系统110识别活性指示器124、由一组通道120中的每个通道生成的状态126以及该组消息116中的由该组通道120中的每个通道生成的错误检验数据144。该组通道是仍然被认为是健康的或者以期望的性能水平操作的通道120。在该说明性示例中,错误检验数据144采取循环冗余检验值128的形式。
如所描绘的,可以在一个或多个消息116中发送信息。换句话说,活性指示器124、用于每个通道的状态126以及用于每个通道的循环冗余检验值128可以存在于单个消息中。例如,如果两个通道是活性的,则单个消息可以包括活性指示器124、两个状态消息以及两个循环冗余检验值。
如所描绘的,由通道组120中的通道130生成的循环冗余检验值128使用分配给通道130的密钥132而生成。在该说明性示例中,循环冗余检验值128可以进一步基于该组消息116中的活性指示器124和状态126。
在该说明性示例中,飞行控制电子系统110配置成使用活性指示器124、关于该组通道120中的通道130的状态126和该组消息116中的本地密钥140来计算关于该组消息116的本地循环冗余检验值138。用于通道130的本地密钥140是分配给位于飞行控制电子系统110处的通道130的密钥。在这些说明性示例中,当执行循环冗余检验时,在飞行控制电子系统110和控制器112之间不传输本地密钥140。
当为指示已出现第二通道故障134的以下中的至少一个时,飞行控制电子系统110禁用控制器112:在状态126中指示异常、存在活性指示器错配、或者在从控制器112中的传输通道118接收的该组消息116中存在循环冗余检验值错配。在该说明性示例中,控制器112是远程电子单元136。例如,飞行控制电子系统110可以通过从控制器112去除动力来禁用控制器112。
控制系统106和控制系统106中的不同部件可以用软件、硬件、固件或其组合来实现。当使用软件时,由控制系统106执行的操作可以在配置成在诸如处理器单元的硬件上运行的程序代码中实现。当使用固件时,由控制系统106执行的操作可以在程序代码和数据中实现,并且存储在持久性存储器中以在处理器单元上运行。当采用硬件时,硬件可以包括用于执行控制系统106中的操作的电路。
在说明性示例中,硬件可以采取选自以下中的至少一个的形式:电路系统、集成电路、专用集成电路(ASIC)、可编程逻辑设备或配置成执行多个操作的一些其他合适类型的硬件。对于可编程逻辑设备,该设备可以配置成执行多个操作。设备可以在稍后重新配置,或者可以永久性地配置成执行多个操作。可编程逻辑设备包括例如可编程逻辑阵列、可编程阵列逻辑、现场可编程逻辑阵列、现场可编程门阵列以及其他合适的硬件设备。另外,该过程可以在与无机组分整合的有机组分中实现,并且可以完全由除人类之外的有机组分构成。例如,这些过程可以实现为有机半导体中的电路。
在一个说明性示例中,存在一种或多种技术方案,其克服了管理控制系统时的技术问题,从而管理第二通道故障以实现不以不期望的方式操作的系统。结果,一个或多个技术方案可以提供技术效果,以与用于三重冗余系统中的冗余的当前技术相比,更有效地检测控制器中的通道何时以不期望的方式运行并管理该通道。
此外,一个或多个技术方案包括诸如飞行控制电子系统110的主控制器,该主控制器监控来自诸如控制器112的较低水平控制器的数据以确定在较低水平控制器中是否已出现第二通道故障。在这些一个或多个技术方案中,主控制器确定并控制关于控制器112和由控制器112控制的系统108中的至少一个的动作。
以这种方式,可以减少关于其中控制器监控和控制控制器内的通道的当前控制系统的一个或多个问题。例如,可以避免以下情形,其中已关闭的先前故障通道可能由第二故障通道重新启动,导致可能以不期望的方式操作的两个通道控制控制器和由控制器控制的系统。
结果,计算机系统142作为专用计算机系统操作,其中计算机系统142中的控制系统106使得能够在已出现第一通道故障之后管理该控制。具体地,与不具有控制系统106的当前可用的通用计算机系统相比,控制系统106将计算机系统142变换成专用计算机系统。
图1中的三重冗余环境100的图示并不意味着暗示对其中可以实现说明性实施例的方式的物理或架构限制。除所示的部件之外或代替所示的部件,也可以使用其他部件。一些部件可能是不必要的。此外,还呈现了这些框以说明一些功能性部件。当在一个说明性实施例中实现时,这些框中的一个或多个可以组合、划分或组合和划分为不同的框。
例如,尽管说明性示例关于飞机104形式的平台102进行描述,但是另一个说明性示例可以应用于其他类型的平台。平台102可以是例如移动平台、固定平台、陆基结构、水基结构和天基结构。更具体地,平台102可以是水面舰艇、坦克、人员运输车、火车、宇宙飞船、空间站、卫星、潜艇、汽车、发电厂、桥梁、大坝、房屋、制造设施、建筑物和其他合适的平台。
在另一个说明性示例中,错误检验数据144可以采取除循环冗余检验值128之外的其他形式。例如,错误检验数据144可以选自以下中的至少一个:奇偶校验位、检验和、纵向冗余检验值、或用于检验传输消息、数据包或其他形式的信息时的错误的其他类型的数据。换句话说,可以使用一种或多种类型的错误检验数据144。
作为另一个示例,可以从消息116中省略状态126。在一些情况下,可以在不发送状态126的情况下执行错误检验。状态126可以用于生成错误检验数据144,诸如循环冗余检验值128。对于这个示例,可以通过循环冗余检验错配来检测异常和状态。在该示例中,当存在关于循环冗余检验值错配的活性指示器错配时,存在异常。
在又一说明性示例中,可以在没有错误检验数据144的情况下发送来自传输通道118的状态126。在该示例中,当状态126指示存在活性指示器错配时,存在异常。
在又一说明性示例中,可以在没有错误检验的情况下通过传输通道118发送状态126,并且在没有状态126的情况下通道120中除传输通道118之外的其他通道生成循环冗余检验值128。在这种情况下,当出现活性指标错配时检测到异常。
现在参考图2,根据一个说明性实施例描绘了控制系统的框图的图示。在该所描绘的示例中,控制系统200是图1中的控制系统106的一个实施方式的示例。
在该说明性示例中,控制系统200包括飞行控制电子器件(FCE)系统202和远程电子单元(REU)204。远程电子单元204是图1中的控制器112的示例。
如所描绘的,远程电子单元204包括三个通道,即第一通道206、第二通道208和第三通道210。这些通道在控制系统200中提供三重冗余。如所描绘的,第一通道206是传输通道212。传输通道212直接与飞行控制电子系统202通信。其他通道通过传输通道212发送信息。
在该说明性示例中,先前已出现第一通道故障。如所描绘的,第三通道210已出故障并已禁用。传输通道212和第二通道208是远程电子单元204中的活性通道。
如所描绘的,飞行控制电子系统202生成活性指示器214并发送到传输通道212和第二通道208。在该说明性示例中,活性指示器214是每次生成活性指示器214时增加的数值。在说明性示例中,活性指示器214在控制系统200的操作期间连续变化。如果在远程电子单元204的操作中出现过多的延迟,则返回的活性指示器将与活性指示器214不匹配。可以基于多少延迟导致远程电子单元204的不期望的操作而选择过多的延迟量。
第二通道208生成第二状态216。该状态可以指示第二通道208识别的异常。该异常可以是关于第二通道208或传输通道212。第二通道208具有使用活性指示器215、第二状态216和第二密钥220生成循环冗余检验值(CRC2)218的循环冗余检验(CRC)生成器230。第二密钥220是分配给第二通道2208的密钥。第二通道208将消息222发送到传输通道212。理想情况下,活性指示器215应该具有与活性指示器214相同的值。消息222包含第二状态216和循环冗余检验值218。
在该说明性示例中,传输通道212生成第一状态224。第一状态224包括传输通道212可以识别关于传输通道212或第二通道208的异常的指示。传输通道212具有循环冗余检验(CRC)生成器232,其使用活性指示器248、第一状态224和第一密钥228生成循环冗余检验值(CRC1)226。第一密钥228是分配给传输通道212的密钥。
此外,循环冗余检验生成器232被示出为与循环冗余检验生成器230分离的部件。在一些说明性示例中,这两个框可以与由单个物理部件生成的循环冗余检验值组合。
如所描绘的,传输通道212创建并发送消息234。在该示例中,消息234包括活性指示器248、第一状态224、循环冗余检验值226、第二状态216以及循环冗余检验值218。活性指示器248可以与活性指示器214相同或者可以是不同的值。
消息234被发送到飞行控制电子系统202。如所描绘的,消息234由双重通道故障监控器236处理。双重通道故障监控器236在远程电子单元204中的第一通道出故障时开始操作。双重通道故障监控器236监控诸如消息234的传入消息,以确定远程电子单元204中的两个剩余通道中的通道是否已出故障。
双重通道故障监控器236检查由远程电子单元204中的每个通道生成的状态,以确定状态中的任何一个是否指示在传输通道212或第二通道208中已出现异常或故障。此外,双重通道故障监控器236还监控其中活性指示器214与消息234中的活性指示器248不匹配的活性指示器错配。
在确定是否存在循环冗余检验值错配时,双重通道故障监控器236生成用于传输的本地循环冗余检验值(LCRC1)238以及用于第二通道208的本地循环冗余检验值(LCRC2)240。这些值使用诸如第一本地密钥244和第二本地密钥246的本地密钥242生成。第一本地密钥244是用于第一密钥228的本地密钥,并且第二本地密钥246是用于第二密钥220的本地密钥。
这些本地循环冗余检验值与消息222中的循环冗余检验值进行比较,以确定是否存在循环冗余检验值错配。密钥的使用有助于减少关于部件的一些过程可能生成关于通道的伪造状态的可能性。
在说明性示例中,每个通道使用活性指示器214生成循环冗余检验值。如果新数据未通过特定通道或者数据缓慢传递,则返回的活性指示器、消息234中的活性指示器248将与活性指示器214不匹配。
如果为以下中的至少一个,则存在第二通道故障:在状态中指示异常、存在活性指示器错配、或者在该组消息中存在循环冗余检验值错配。在该说明性示例中,当由双重通道故障监控器236已识别出第二通道故障时,从远程电子单元204去除动力。
接下来转向图3,根据一个说明性实施例描绘了用于管理具有三重冗余的控制系统的过程的流程图的图示。图3中所示的过程可以在图1中的控制系统106中的飞行控制电子系统110中实现。图3中所示的不同操作可以在用于实现诸如图1中的计算机系统142的飞行控制电子系统的数据处理系统中实现为程序代码、硬件或其组合。
该过程开始于从控制器中的传输通道接收一组消息,该控制器包括其中先前已出现第一通道故障的三个通道(操作300)。该过程识别活性指示器、由一组通道中的每个通道生成的状态以及该组消息中的由该组通道中的每个通道生成的循环冗余检验值(操作302)。由该组通道中的通道生成的循环冗余检验值使用分配给该通道的密钥而生成。
当为指示已出现第二通道故障的以下中的至少一个时,该过程禁用控制器:在状态中指示异常、存在活性指示器错配、或者在该组消息中存在循环冗余检验值错配,(操作304)。该过程此后终止。
现在参考图4,根据一个说明性实施例描绘了用于监控通道的过程的流程图的图示。图4中所示的过程可以在图2中的控制系统200中的飞行控制电子系统202中实现。该过程还可以在图2中的控制系统200中的飞行控制电子系统202中的双重通道故障监控器236中实现。图2中所示的不同操作可以在用于实现诸如图1中的计算机系统142的飞行控制电子系统的数据处理系统中实现为程序代码、硬件或其组合。
该过程开始于从控制器中的传输通道接收消息(操作400)。该过程识别活性指示器、来自传输通道的状态、来自第二操作通道的状态、由传输通道生成的循环冗余检验值以及由第二操作通道生成的循环冗余检验值(操作402)。该过程使用消息中识别的信息来确定是否存在异常(操作404)。在该说明性示例中,在该示例中,当为以下中的至少一个时,存在异常:在状态中指示异常、存在活性指示器错配、或者在该组消息中存在错误检验数据错配。
如果存在异常,则该过程执行校正动作(操作406),随后该过程终止。此纠正动作可以采取各种形式。例如,该过程可以从控制器去除动力、将控制器与通信总线断开、关闭控制器、重启控制器或执行一些其他动作。
再次参考操作404,如果不存在异常,则过程返回到操作400。通过该过程,解除了控制器将控制器置于“故障安全”模式的责任。
现在参考图5,根据一个说明性实施例描绘了用于确定是否存在循环冗余值错配的过程的流程图的图示。图5中所示的过程可以在图1中的控制系统106中的飞行控制电子系统110中实现。图5中所示的不同操作可以在用于实现诸如图1中的计算机系统142的飞行控制电子系统的数据处理系统中实现为程序代码、硬件或其组合。
该过程开始于使用活性指示器、关于一组通道中的通道的状态以及一组消息中的本地密钥来计算关于该组消息的本地循环冗余检验值(操作500)。本地密钥是位于图1中的飞行控制电子系统110中的密钥。在图1所示的飞机104的正常操作期间,本地密钥不在飞行控制电子系统110与控制器112之间的任何通信中传输。
该过程识别从控制器接收的消息中的循环冗余检验值(操作502)。确定循环冗余检验值和本地循环冗余检验值之间是否存在匹配(操作504)。如果不存在匹配,则该过程指示已出现错配(操作506),此后该过程终止。否则,该过程指示存在匹配(操作508),此后该过程终止。
不同的所描绘的实施例中的流程图和框图示出了一个说明性实施例中的装置和方法的一些可能的实施方式的架构、功能和操作。就这一点而言,流程图或框图中的每个框可以表示模块、片段、功能或者操作或步骤的一部分中的至少一个。例如,框中的一个或多个可以实现为程序代码、硬件或程序代码和硬件的组合。当以硬件实现时,硬件可以例如采取被制造或配置成执行流程图或框图中的一个或多个操作的集成电路的形式。当作为程序代码和硬件的组合实现时,该实施方式可以采取固件的形式。流程图或框图中的每个框可以使用执行不同操作的专用硬件系统或者由专用硬件运行的专用硬件和程序代码的组合来实现。
在一个说明性实施例的一些替代实施方式中,框中提到的一个或多个功能可以不按附图中标注的顺序发生。例如,在一些情况下,取决于所涉及的功能,连续示出的两个框可以基本上同时执行,或者框有时可以以相反的顺序执行。而且,在流程图或框图中,还可以添加除所示的框之外的其他框。
现在转到图6,根据一个说明性实施例描绘了数据处理系统的框图的图示。数据处理系统600可用于实现图1中的计算机系统142。在该说明性示例中,数据处理系统600包括通信框架602,该通信框架提供处理器单元604、存储器606、永久性储存器608、通信单元610、输入/输出单元612和显示器614之间的通信。在该示例中,通信框架602可以采取总线系统的形式。
处理器单元604用于执行关于可以加载到存储器606中的软件的指令。取决于具体实施方式,处理器单元604可以是多个处理器、多处理器内核或一些其他类型的处理器。
存储器606和永久性储存器608是储存器设备616的示例。储存器设备是能够存储信息的任何硬件,该信息诸如,例如但不限于数据、功能形式的程序代码、或者在临时性基础上、永久性基础上或在临时性基础和永久性基础两者上的其他合适信息中的至少一种。在这些说明性示例中,储存器设备616也可以被称为计算机可读储存设备。在这些示例中,存储器606可以是例如随机存取存储器或任何其它合适的易失性或非易失性储存设备。取决于具体实施方式,永久性储存器608可以采取各种形式。
例如,永久性储存器608可以包含一个或多个部件或设备。例如,永久性储存器608可以是硬盘驱动器、固态硬盘驱动器、闪存、可重写光盘、可重写磁带或上述的一些组合。由永久性储存器608使用的介质也可以是可移除的。例如,可移除硬盘驱动器可以用于永久性储存器608。
在这些说明性示例中,通信单元610提供与其他数据处理系统或设备的通信。在这些说明性示例中,通信单元610是网络接口卡。
输入/输出单元612允许与可以连接到数据处理系统600的其他设备的数据的输入和输出。例如,输入/输出单元612可以通过键盘、鼠标或一些其他合适的输入设备中的至少一个提供用于用户输入的连接。此外,输入/输出单元612可以将输出发送到打印机。显示器614提供了一种向用户显示信息的机构。
用于操作系统、应用或程序中的至少一个的指令可以位于通过通信框架602与处理器单元604通信的储存器设备616中。不同实施例的过程可以由处理器单元604使用可位于诸如存储器606的存储器中的计算机实现的指令来执行。
这些指令被称为可由处理器单元604中的处理器读取和执行的程序代码、计算机可用程序代码或计算机可读程序代码。不同实施例中的程序代码可体现在不同的物理或计算机可读存储介质(诸如存储器606或永久性储存器608)上。
程序代码618以功能形式位于计算机可读介质620上,该计算机可读介质620选择性地可移除并可加载到或传送到数据处理系统600上以用于由处理器单元604执行。在这些说明性示例中,程序代码618和计算机可读介质620形成计算机程序产品622。在一个示例中,计算机可读介质620可以是计算机可读存储介质624或计算机可读信号介质626。
在这些说明性示例中,计算机可读存储介质624是用于存储程序代码618的物理或有形存储设备,而不是传播或传输程序代码618的介质。
替代地,可以使用计算机可读信号介质626将程序代码618传送到数据处理系统600。计算机可读信号介质626可以是例如包含程序代码618的传播数据信号。例如,计算机可读信号介质626可以是电磁信号、光信号或任何其他合适类型的信号中的至少一个。这些信号可以在诸如无线通信链路的通信链路、光纤电缆、同轴电缆、电线或任何其他合适类型的通信链路中的至少一个上传输。
针对数据处理系统600示出的不同部件并非意味着对可以实现不同实施例的方式提供架构限制。不同的说明性实施例可以在数据处理系统中实现,该数据处理系统包括除针对数据处理系统600示出的那些部件或代替针对数据处理系统600示出的那些部件之外的部件。可以使用能够运行程序代码618的任何硬件设备或系统来实现不同的实施例。
本公开的说明性实施例可以在如图7中所示的飞机制造和维修方法700以及在图8中所示的飞机800的背景中进行描述。首先参考图7,根据一个说明性实施例描绘了飞机制造和维修方法。在生产前期间,飞机制造和维修方法700可以包括图8中的飞机800的规格和设计702以及材料采购704。
在生产期间,进行图8中的飞机800的部件和子组件制造706和系统集成708。此后,图8中的飞机800可以经历认证和交付710以便投入使用712。在由客户投入使用712中,图8中的飞机800被安排例行维护和维修714,其可以包括修改、重新配置、翻新和其他维护或维修。
飞机制造和维修方法700的过程中的每一个可由系统集成商、第三方、运营商或其一些组合来执行或进行。在这些示例中,运营商可能是客户。为了该描述的目的,系统集成商可以包括但不限于任何数量的飞机制造商和主系统分包商;第三方可以包括但不限于任何数量的销售商、分包商和供应商;并且运营商可能是航空公司、租赁公司、军事实体、服务机构等。
现在参考图8,描绘了其中可以实现一个说明性实施例的飞机的框图的图示。在该示例中,飞机800由图7中的飞机制造和维修方法700生产并可以包括具有机身802以及多个系统804和内部806。系统804的示例包括飞行控制表面系统807、推进系统808、电气系统810、液压系统812和环境系统814。可以包括任何数量的其他系统。
虽然示出了航空航天示例,但是不同的说明性实施例可以应用于其他行业,诸如汽车工业。本文体现的装置和方法可以在图7中的飞机制造和维修方法700的阶段中的至少一个期间采用。
在一个说明性示例中,图7中的部件和子组件制造706中生产的部件或子组件可以以类似于当飞机800在图7中的投入使用712时生产的部件或子组件的方式装配或制造。作为又一个示例,可以在生产阶段(诸如图7中的部件和子组件制造706以及系统集成708)期间利用一个或多个装置实施例、方法实施例或其组合。
例如,图1中的控制系统106和图2中的控制系统200可以在部件和子组件制造706或系统集成708中的至少一个期间在飞机800中实现,以控制系统804中的不同系统。如所描绘的,图1中的控制系统106和图2中的控制系统200可以用于控制飞行控制表面系统807、推进系统808、电气系统810、液压系统812、环境系统814或用于飞机800的其他系统中的至少一个。
当飞机800在图7中的投入使用712时、在维护和维修714期间或两者期间,可以利用一个或多个装置实施例、方法实施例或其组合。多个不同的说明性实施例的使用可以充分地加速飞机800的组装、降低飞机800的成本或者既加速飞机800的组装又降低飞机800的成本。例如,图1中的控制系统106和图2中的控制系统200可以在飞机800投入使用712时操作。此外,当图8中的飞机800被安排图7中的日常维护和维修714(其可以包括修改、重新配置、翻新以及其他维护或维修)时,图1中的控制系统106和图2中的控制系统200可以作为新组件或升级来添加。
因此,一个或多个说明性示例提供了用于管理具有三重冗余的控制系统的方法和装置。在一个说明性示例中,存在提供管理第二通道故障的技术效果的技术方案。在一个说明性示例中,一个技术方案利用健康通道检测第二通道故障的出现并将其报告给诸如飞行控制电子系统的主控制器,并且如果在控制器中报告了此类故障,则使得飞行控制电子系统能够关闭致动器。在说明性示例中,从作为其中可以实现致动器关闭的一个示例机构的用作控制器的远程电子单元去除动力。
在该说明性示例中,数据从一个通道、传输通道发送出去。该传输通道可能是第二故障通道。数据由诸如飞行控制电子系统的主控制器接收。由传输通道发送的数据的分析由飞行控制电子系统用来确定是否已出现故障。
在说明性示例中,数据包括活性指示器、状态和错误检验数据中的至少一个。该信息可以用于防止其中被假定健康的传输通道变成故障通道的情况。
例如,每个通道生成“状态”,其包含是否由通道看到异常的指示。该状态与其他参数一起发送到传输通道。传输通道将一个或多个消息中的信息传输到飞行控制电子系统。
如果剩余的两个通道中的任一个通道通过状态指示异常,则飞行控制电子系统关闭致动器。关闭可以通过从用于致动器的控制器去除动力来执行。为了防止故障传输通道中断该通信路径或损坏数据,错误检验数据包含在消息中。因此,飞行控制电子系统能够检测数据路径是否被中断或者数据是否已损坏。
已出于说明和描述的目的呈现了不同说明性实施例的描述,并且并非旨在是穷尽的或限制于所公开形式的实施例。不同的说明性示例描述了执行动作或操作的部件。在说明性实施例中,部件可以配置成执行所描述的动作或操作。例如,部件可以具有用于结构的配置或设计,该结构向部件提供执行在说明性示例中描述为由部件执行的动作或操作的能力。
对于本领域的普通技术人员来说,许多修改和变化将是显而易见的。此外,与其他期望的实施例相比,不同的说明性实施例可提供不同的特征。尽管已关于基于来自飞行控制电子系统的命令控制飞行控制表面致动器的远程电子单元描述了说明性示例,但是其他说明性示例可以应用于其他控制系统。例如,另一个说明性示例可以应用于控制用于大坝的水闸中的阀或其中可用性是重要的其他类型的三重冗余系统的控制器。
选择并描述所选的一个或多个实施例,以便最好地解释实施例的原理、实际应用,并且使本领域的其他普通技术人员能够理解关于具有适合于预期的特定用途的各种修改的各种实施例的公开内容。
Claims (13)
1.一种用于管理具有用于飞机(104)的三重冗余的控制系统(106)的方法,所述方法包括:
从控制器(112)中的传输通道(118)接收一组消息(116),所述控制器(112)包括其中先前已出现第一通道故障(122)的三个通道;
识别活性指示器(124)、由一组通道(120)中的每个通道生成的状态(126)、以及所述一组消息(116)中的由所述一组通道(120)中的每个通道生成的循环冗余检验值(128),其中,由所述一组通道(120)中的通道生成的所述循环冗余检验值(128)使用分配给所述通道的密钥(132)而生成;并且
当为指示已出现第二通道故障(134)的以下中的至少一个时,禁用所述控制器(112):在所述状态(126)中指示异常、存在活性指示器错配、以及在所述一组消息(116)中存在循环冗余检验值错配。
2.根据权利要求1所述的方法,进一步包括:
使用所述活性指示器(124)、所述状态(126)以及所述一组消息(116)中的其中所述一组消息(116)被加密的关于所述一组通道(120)中的所述通道的本地密钥(140)来计算关于所述一组消息(116)的本地循环冗余检验值(138)。
3.根据权利要求1所述的方法,进一步包括:
生成所述活性指示器(124);以及
将所述活性指示器(124)发送到所述控制器(112)。
4.根据权利要求1所述的方法,其中,所述循环冗余检验值(128)进一步基于所述活性指示器(124)和所述状态(126)。
5.根据权利要求1所述的方法,其中,所述控制器(112)控制以下中的至少一个:致动器、阀、伺服机构、飞行控制表面、机上娱乐系统、燃料系统、发动机、环境控制系统、自动驾驶仪或起落架系统。
6.根据权利要求1所述的方法,其中,在所述状态(126)中指示所述异常,并且所述异常选自以下中的至少一个:由所述传输通道(118)的故障的自我声明、第二通道的故障或故障通道从关闭状态的释放。
7.一种具有用于飞机(104)的三重冗余的控制系统(106),所述控制系统(106)包括:
飞行控制电子系统(110),配置成从控制器(112)中的传输通道(118)接收一组消息(116),所述控制器(112)包括其中先前已出现第一通道故障(122)的三个通道;所述控制系统识别活性指示器(124)、由一组通道(120)中的每个通道生成的状态(126)以及所述一组消息(116)中的由所述一组通道(120)中的每个通道生成的循环冗余检验值(128),其中,由所述一组通道(120)中的通道生成的所述循环冗余检验值(128)使用分配给所述通道的密钥(132)而生成;并且当为指示已出现第二通道故障(134)的以下中的至少一个时,所述控制系统禁用所述控制器(112):在所述状态(126)中指示异常、存在活性指示器错配、以及在所述一组消息(116)中存在循环冗余检验值错配。
8.根据权利要求7所述的控制系统(106),其中,所述飞行控制电子系统(110)配置成使用所述活性指示器(124)、所述状态(126)以及所述一组消息(116)中的其中所述一组消息(116)被加密的关于所述一组通道(120)中的所述通道的本地密钥(140)来计算关于所述一组消息(116)的本地循环冗余检验值(138)。
9.根据权利要求7所述的控制系统(106),其中,所述控制器(112)控制以下中的至少一个:致动器、阀、伺服机构、飞行控制表面、机上娱乐系统、燃料系统、发动机、环境控制系统、自动驾驶仪或起落架系统。
10.根据权利要求7所述的控制系统(106),其中,所述异常在状态(126)中被指示,并且所述异常选自以下中的至少一个:由所述传输通道(118)的故障的自我声明、第二通道的故障或故障通道从关闭状态的释放。
11.一种用于管理用于飞机(104)的控制系统(106)的方法,所述方法包括:
在飞行控制电子系统(110)处从远程电子单元(136)中的传输通道(118)接收一组消息(116),所述远程电子单元(136)包括其中先前已出现第一通道故障(122)的用于三重冗余的三个通道;
基于分配给所述传输通道(118)的密钥(132)由所述飞行控制电子系统(110)识别活性指示器(124)、由所述传输通道(118)生成的状态(126)以及所述一组消息(116)中的循环冗余检验值(128);以及
当为指示已出现第二通道故障(134)的以下中的至少一个时,由所述飞行控制电子系统(110)执行关于所述远程电子单元(136)的动作:在所述状态(126)中指示异常、存在活性指示器错配、以及在所述一组消息(116)中存在循环冗余检验值错配。
12.根据权利要求11所述的方法,其中,所述动作选自以下中的一个:禁用控制器(112)、禁用所述控制器(112)中的通道、激活另一控制器以及重新启动所述控制器(112)。
13.一种用于管理具有用于飞机(104)的三重冗余的控制系统(106)的方法,所述方法包括:
从控制器(112)中的传输通道(118)接收一组消息(116),所述控制器(112)包括其中先前已出现第一通道故障(122)的三个通道;
基于分配给一组通道(120)的一组密钥识别活性指示器(124)以及所述一组消息(116)中的由所述一组通道(120)生成的错误检验数据错配;以及
当为指示已出现第二通道故障(134)的以下中的至少一个时,禁用所述控制器(112):在状态(126)中指示异常、存在活性指示器错配、以及在所述一组消息(116)中存在错误检验数据错配。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/637,670 US10571914B2 (en) | 2017-06-29 | 2017-06-29 | Fault coverage for multiple failures in redundant systems |
| US15/637,670 | 2017-06-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109213118A true CN109213118A (zh) | 2019-01-15 |
| CN109213118B CN109213118B (zh) | 2021-03-12 |
Family
ID=62909343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810685085.XA Active CN109213118B (zh) | 2017-06-29 | 2018-06-27 | 具有用于飞机的三重冗余的控制系统及用于管理它的方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10571914B2 (zh) |
| EP (1) | EP3422125B1 (zh) |
| JP (1) | JP7132765B2 (zh) |
| CN (1) | CN109213118B (zh) |
| BR (1) | BR102018009506A2 (zh) |
| CA (1) | CA3003039C (zh) |
| RU (1) | RU2758229C2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109828449A (zh) * | 2019-01-25 | 2019-05-31 | 杭州电子科技大学 | 一种三模冗余控制计算表决系统及方法 |
| CN114706369A (zh) * | 2022-04-13 | 2022-07-05 | 中国第一汽车股份有限公司 | 一种自动驾驶控制器测试系统、自动驾驶控制器及车辆 |
| CN115657450A (zh) * | 2022-12-28 | 2023-01-31 | 广东美的制冷设备有限公司 | 工业机器人的安全控制系统、电路及方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11099936B2 (en) * | 2018-09-11 | 2021-08-24 | Embraer S.A. | Aircraft integrated multi system electronic architecture |
| JP7386108B2 (ja) * | 2020-03-09 | 2023-11-24 | ナブテスコ株式会社 | 航空機用の多重化制御装置 |
| US11720067B2 (en) * | 2020-03-30 | 2023-08-08 | General Electric Company | Method for handling a simultaneous failure of all channels of a multi-channel engine controller for a gas turbine engine |
| CN111930036A (zh) * | 2020-07-24 | 2020-11-13 | 中国航空工业集团公司西安飞行自动控制研究所 | 一种民机作动器的主备控制切换系统和方法 |
| EP4188797A4 (en) * | 2020-07-29 | 2024-05-29 | Skyryse Inc | REDUNDANCY SYSTEMS FOR SMALL FLY-BY-WIRE VEHICLES |
| CN112526979B (zh) * | 2020-12-16 | 2023-06-09 | 中国兵器装备集团自动化研究所 | 一种多重冗余架构的串行通信接口诊断系统及方法 |
| CN117149533B (zh) * | 2023-11-01 | 2024-01-23 | 成都正扬博创电子技术有限公司 | 一种能够自动适配多余度配置的综合控制计算机系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5233542A (en) * | 1989-08-29 | 1993-08-03 | Nord-Micro Electronik Feinmechanik Ag | Method and circuit configuration for forming an evaluation signal from a plurality of redundant measurement signals |
| CN104238435A (zh) * | 2014-05-27 | 2014-12-24 | 北京航天自动控制研究所 | 一种三冗余控制计算机及容错控制系统 |
| CN105279049A (zh) * | 2015-06-16 | 2016-01-27 | 康宇星科技(北京)有限公司 | 一种故障自主恢复三模冗余容错计算机ip核的设计方法 |
| CN106227195A (zh) * | 2016-08-30 | 2016-12-14 | 北京精密机电控制设备研究所 | 一种故障检测判断补偿式三冗余伺服控制方法 |
| US20170081019A1 (en) * | 2007-04-05 | 2017-03-23 | Bombardier Inc. | Fly-by-wire flight control system and method |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SU1802607A1 (ru) * | 1990-11-06 | 1994-07-30 | Московский институт электромеханики и автоматики | Устройство контроля многоканальной системы управления |
| FR2878953B1 (fr) * | 2004-12-03 | 2007-01-26 | Thales Sa | Architecture d'un systeme embarque d'aide au pilotage d'un aeronef |
| RU2324624C1 (ru) * | 2006-11-17 | 2008-05-20 | ОАО "ОКБ им. А.С. Яковлева" | Самолет с системой формирования резервной информации о пространственном положении летательного аппарата |
| US7877627B1 (en) * | 2008-12-18 | 2011-01-25 | Supercon, L.L.C. | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology |
| US8598840B2 (en) * | 2010-04-15 | 2013-12-03 | Launchpoint Energy And Power Llc | Fault-tolerant battery management system, circuits and methods |
| US9327600B1 (en) * | 2011-09-06 | 2016-05-03 | Neeme Systems Solutions, Inc. | Aircraft utilities and power distribution system |
| US9150308B2 (en) * | 2012-02-10 | 2015-10-06 | Merlin Technology, Inc. | Rotorcraft autopilot system, components and methods |
| CN104603706B (zh) * | 2012-02-10 | 2019-09-27 | 默林科技股份有限公司 | 自动驾驶仪的控制装置和方法 |
| RU2551813C1 (ru) * | 2013-12-16 | 2015-05-27 | Российская Федерация, от имени которой выступает Министерство обороны Российской Федерации | Устройство управления резервированной с выбором среднего арифметического значения выходных параметров системой |
| US9493231B2 (en) * | 2015-03-20 | 2016-11-15 | The Boeing Company | Flight control system command selection and data transport |
| WO2016193884A1 (en) * | 2015-05-29 | 2016-12-08 | Verity Studios Ag | An aerial vehicle |
| US10248484B2 (en) * | 2017-02-21 | 2019-04-02 | Intel Corporation | Prioritized error-detection and scheduling |
-
2017
- 2017-06-29 US US15/637,670 patent/US10571914B2/en active Active
-
2018
- 2018-04-23 RU RU2018114969A patent/RU2758229C2/ru active
- 2018-04-27 CA CA3003039A patent/CA3003039C/en active Active
- 2018-05-10 BR BR102018009506-4A patent/BR102018009506A2/pt unknown
- 2018-06-26 JP JP2018120531A patent/JP7132765B2/ja active Active
- 2018-06-26 EP EP18179925.5A patent/EP3422125B1/en active Active
- 2018-06-27 CN CN201810685085.XA patent/CN109213118B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5233542A (en) * | 1989-08-29 | 1993-08-03 | Nord-Micro Electronik Feinmechanik Ag | Method and circuit configuration for forming an evaluation signal from a plurality of redundant measurement signals |
| US20170081019A1 (en) * | 2007-04-05 | 2017-03-23 | Bombardier Inc. | Fly-by-wire flight control system and method |
| CN104238435A (zh) * | 2014-05-27 | 2014-12-24 | 北京航天自动控制研究所 | 一种三冗余控制计算机及容错控制系统 |
| CN105279049A (zh) * | 2015-06-16 | 2016-01-27 | 康宇星科技(北京)有限公司 | 一种故障自主恢复三模冗余容错计算机ip核的设计方法 |
| CN106227195A (zh) * | 2016-08-30 | 2016-12-14 | 北京精密机电控制设备研究所 | 一种故障检测判断补偿式三冗余伺服控制方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109828449A (zh) * | 2019-01-25 | 2019-05-31 | 杭州电子科技大学 | 一种三模冗余控制计算表决系统及方法 |
| CN114706369A (zh) * | 2022-04-13 | 2022-07-05 | 中国第一汽车股份有限公司 | 一种自动驾驶控制器测试系统、自动驾驶控制器及车辆 |
| CN115657450A (zh) * | 2022-12-28 | 2023-01-31 | 广东美的制冷设备有限公司 | 工业机器人的安全控制系统、电路及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7132765B2 (ja) | 2022-09-07 |
| CA3003039A1 (en) | 2018-12-29 |
| RU2758229C2 (ru) | 2021-10-26 |
| EP3422125B1 (en) | 2021-11-03 |
| US20190004515A1 (en) | 2019-01-03 |
| JP2019031272A (ja) | 2019-02-28 |
| BR102018009506A2 (pt) | 2019-01-15 |
| US10571914B2 (en) | 2020-02-25 |
| RU2018114969A (ru) | 2019-10-23 |
| RU2018114969A3 (zh) | 2021-08-12 |
| CN109213118B (zh) | 2021-03-12 |
| CA3003039C (en) | 2022-12-06 |
| EP3422125A1 (en) | 2019-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109213118A (zh) | 用于冗余系统中的多个故障的故障覆盖 | |
| CN104950740B (zh) | 具有冗余计算机的用于交通工具的系统 | |
| CN105988480B (zh) | 飞行控制系统命令选择和数据传输 | |
| Buja et al. | Dependability and functional safety: Applications in industrial electronics systems | |
| US20110251739A1 (en) | Distributed fly-by-wire system | |
| US9678488B1 (en) | System and method for vehicle build verification | |
| CN102801767A (zh) | 单机级飞机结构phm系统及实现方法 | |
| CN108454879A (zh) | 飞机故障处理系统和方法及计算机设备 | |
| Tiassou et al. | Aircraft operational reliability—A model-based approach and a case study | |
| RU2670907C2 (ru) | Система мониторинга работоспособности платформы | |
| Scandura | Integrated vehicle health management as a system engineering discipline | |
| Kumar et al. | Performance and cost benefit analysis of a hardware-software system considering hardware based software interaction failures and different types of recovery | |
| Schallert | Integrated safety and reliability analysis methods for aircraft system development using multi-domain object-oriented models | |
| US11577859B1 (en) | Fault resilient airborne network | |
| Zhang et al. | Aircraft APU failure rate prediction based on improved Weibull-based GRP | |
| Edifor et al. | Using simulation to evaluate dynamic systems with weibull or lognormal distributions | |
| Lu et al. | Markov process based time limited dispatch analysis with constraints of both dispatch reliability and average safety levels | |
| Stottler et al. | On-board, autonomous, hybrid spacecraft subsystem fault and anomaly detection, diagnosis, and recovery | |
| Thane | Safe and Reliable Computer Control Systems Concepts and Methods | |
| Khan et al. | Integration Issues for Vehicle Level Distributed Diagnostic Reasoners | |
| Ezhilarasu | An integrated reasoning framework for vehicle level diagnosis of aircraft subsystem faults | |
| Buderath et al. | Simulation framework and certification guidance for condition monitoring and prognostic health management | |
| Salomon et al. | Automatic safety computation for IMA systems | |
| CN108459582A (zh) | 面向ima系统的综合健康评估方法 | |
| Bukov et al. | Determination of functional efficiency of an airborne integrated navigation system for the purpose of reconfiguration of it in flight |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |