CN1175143A - 多通道系统中获得高度综合和可用性的方法与装置 - Google Patents
多通道系统中获得高度综合和可用性的方法与装置 Download PDFInfo
- Publication number
- CN1175143A CN1175143A CN 96111539 CN96111539A CN1175143A CN 1175143 A CN1175143 A CN 1175143A CN 96111539 CN96111539 CN 96111539 CN 96111539 A CN96111539 A CN 96111539A CN 1175143 A CN1175143 A CN 1175143A
- Authority
- CN
- China
- Prior art keywords
- path
- passage
- transmitter
- signal
- bus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Hardware Redundancy (AREA)
Abstract
一种多通道系统,可监视和识别系统中部件出现的故障。它由若干外场可更换部件和独立控制通道组成。各通道包括若干连接到局部总线上的通路。通道的通路处理器为连接在总线上的发射机产生通道多数判断,以表示是否多数通道检测到发射机中的故障。为确定通道多数判断,处理器首先要产生通路多数判断,指令通路接着把通路多数判断通过总线发送到其它通道,各通路的处理器再鉴定各通路多数判断,然后处理器产生一通道的最终通路多数判断,最后,处理器通过确定多数通道是否持续产生一表示发射机出现故障的最终多数判断,产生通道多数判断。
Description
本发明概括地说涉及多通道电传操纵航空电子系统,更具体地说,涉及在多通道电传操纵航空电子控制系统中获取高度综合和可用性的一种方法与装置。
在电传操纵(fly-by-wire)技术问世之前,商用飞机的飞行控制面由一套复杂的索和机械控制系统操纵。随着电传操纵技术的出现,这些机械控制系统被电传操纵系统替代,在这种操纵系统中飞行员操纵装置和飞行控制面之间没有直接的机械联结。电传操纵系统没有使用诸如索的机械联结,而采用飞行员操纵传感器,它可以感受飞行员操纵的姿态,并产生同飞行员操纵的姿态成比例的电信号。这些电信号同主飞行计算机的其它的飞机数据综合,发出飞行控制面指令,从而操纵商用飞机飞行控制面的动作。
由于安全性始终是飞机工业的优先考虑因素,电传操纵系统通常包含冗余部件,以便在其中某个部件失效时,飞行员仍能安全地操纵飞机飞行。授予Buss的申请日为1992年6月3日,申请序号为NO.07/893,339的名称为“多路存取冗余电传操纵主飞行控制系统”的美国专利申请中描述了此电传操纵系统一个实例。本发明参考并引用了此申请文件中的内容和附图。所述的电传操纵系统可分为一系列独立的控制通道,其中每个通道基本上和其它通道隔离。因此,一个通道出现故障不影响其余通道的继续工作,而飞行员可只使用一个通道驾驶飞机。这种典型的电传操纵系统包括许多其它冗余系统,以确保乘客和机组人员的安全,例如,它包括自动驾驶仪飞行主控计算机,大气数据模块,发动机显示和机组告警系统,飞机信息管理系统等。独立的控制通道和飞机的这些系统通过全局通信数据总线(Global CommunicationData Bus)直接通信。但是,电传操纵系统各个部件,包括全局通信数据总线,构成了潜在的弱连接,它有可能在部件失效或者同部件的连接断开或松动时出现问题。如果这样的问题没有被检测到,或者没有正确地加以识别,后果是灾难性的。
因此,有必要提供带有能够监视和识别飞机部件故障或缺陷的电传操纵系统。由于对电传操纵系统有非常严格的安全要求,有必要采取高度的综合,以便使系统发生故障的数字概率,无论是引起功能丧失但没有明显即刻的飞机不稳定的被动性故障,还是引起飞机部件故障,带有明显即刻的飞机不稳定的主动性故障,都低于每飞行小时1.0E-10。通过避免飞机部件的有害弃用(nuisance condemnation),该系统的可用性会被最大发挥,同时可达到上述所需的综合度。另外,在该系统中,需要鉴别发生在独立控制通道与发生在全局通信总线之间及与其它飞机部件之间的故障。本发明旨在满足电传操纵航空电子控制系统的这些和其它的需要。
本发明提供了监视和识别该系统各单元出现故障的多通道系统。多通道系统由者若干外场可更换部件(Line Replaceable Units)和同全局总线连接的独立控制通道组成。控制通道和外场可更换部件同全局总线连接,每一个计算机通道和外场可更换部件是一发射机,它通过总线发送信息。每个通道包括多条与专用总线连接的通路,其中,每个通路由一个电源、一个处理器和一个到总线的接口组成。然而,每个通道只有一个通路,即指令通路,可以通过总线发送信息。
每个计算机通道以相同的方式监视和检测多通道系统中的故障。因此,只有一个通道的通路操作被累加。因而,某个通道中各通路的处理器为连接在总线上的各发射机产生一个通道多数判断(channel majority opinion),以表示大多数的通道是否检测到发射机中的故障。为确定通道多数判断,该通道的每个通路的处理器应首先产生一个通路多数判断(lane majority opinion),以表示该通路的多数是否检测到通过全局总线进行通信的发射机的故障。然后,各通道的通路指令把该通道的通路多数判断通过全局总线发送到其它通道。
在通道的各通路收到由各通道的指令通路产生的通路多数判断之后,通道的各通路的处理器对各通道的通路多数判断加以鉴定,确保检测到的故障不是由发送通路多数判断的指令通路所在通道的故障引起。如果这条通道没有出现故障,各通路的处理器为这条通道产生一个已鉴定的通路多数判断,以表明这条通道的多数通路是否检测到了发射机的故障。在各通路的处理器以这种方式为这个通道产生一个已鉴定的多数判断之后,处理器将已鉴定的多数判断通过该通道的专用总线发送到该通道的其它通路中。
接着,各通路的处理器产生一个通道的最终通路多数判断。通道的最终通路多数判断可表示通道的大多数通路是否在通道的通路多数判断鉴定之后,连续检测到发射机的故障。这样,最终通路多数判断可表示发射机是否出现故障。通过确定通道的大多数通路是否持续为通道产生一个已鉴定的通路多数判断,以表示发射机是否出现故障,各通路的处理器生成了通道的最终通路多数判断。
最后,通过确定大多数通道是否持续产生通道的最终多数判断,可表示发射机是否出现故障,通道的各通路的处理器生成了通道的多数判断。
在本发明的其它优选实施例中,通道多数判断还可由各通路的处理器加以处理,以识别发射机出现故障的类型,例如,故障是间歇性的还是永久的,以及识别全局总线的故障和通道内的故障。
参照下面的详细说明和附图,可容易地看出本发明的上述各方面和诸多优点。其中:
图1是一多通道电传操纵系统的方框图,包括通过全局通信总线与多个外场可更换部件(LRU)连接的三个通道(即三个主飞行计算机,或称PFC);
图2是图1中的PFC的更详细的框图,其中每个PFC包括三个计算通路,用来按照本发明监视和检测电传操纵系统中的故障;
图3A和图3B是表示通过全局通信总线在通道和LRUs之间传送信息的形式的框图;
图4A,4B和4C是一功能框图,表示了通道如何按照本发明监视和识别电传操纵系统中的故障;
图5是一流程图,表示通道的各通路为确定是否通路推测某个LRU出现故障的逻辑;
图6是一流程图,表示确定是否通道的多数通路推测某个LRU出现故障的逻辑;
图7是一流程图,示出了确定是否通道的仅一个通路推测某个LRU出现故障的步骤;
图8是一流程图,示出了用来鉴定在图7作出的判定的步骤;
图9是一流程图,示出了确定是否通道的多数通路在鉴定之后仍推测到某个LRU发生故障的步骤;
图10是一流程图,示出了确定是否多数通道已确定某个LRU出现故障的步骤;
图11是一流程图,示出了确定通信总线是否出现故障的步骤;
图12是一流程图,示出了确定某个LRU或全局通信总线是否出现间歇性故障的步骤;
图13是一流程图,示出了确定PFC和LRU是否处于活动状态,并通过全局通信总线进行通信的步骤;
图14是一流程图,示出了确定某个LRU是否处于休眠状态的步骤。
图1表示多通道电传操纵航空电子临界控制系统的框图。电传操纵系统31包括三条独立和隔开的飞行控制通道,即三条独立和隔开的主飞行计算机或称PFC,包括一个左飞行通道40,一个中央飞行控制通道42和一个右飞行控制通道4(下文中术语“通道”和“PFC”将交替地使用)。控制通道40,42,44是物理和电隔离的,以便任一通道的失效不会对另外通道的工作产生不利影响。为了实现这种隔离,三条相互独立的控制通道必须异步工作。然而异步工作造成了通道功能之间的时间上的延迟。航空电子领域的普通技术人员可以理解,考虑这种延迟是为了适应不同的电传操纵系统的参数的要求。但是,这些参数在此不作描述,因为对它们的了解并不是理解本发明所必须的。
每个通道或PFC40,42,44通过全局通信总线34,和其它航空电子部件之间发送和接收飞行控制信号。这些航空电子部件包括:自动驾驶飞行主控计算机,大气数据模件,发动机显示和机组告警系统,飞机信息管理系统等。由于航空电子部件的类型、功能及目的对描述本发明来说是不重要的,这些部件在图1中统统表示为外场可更换部件LRUs30,这是一个现有技术中的已知术语,用来描述航空电子部件作为一个单元可以人工地装到飞机上或从飞机上卸下。
每个LRUs30通过全局通信总线的PFC40,42,44发送数据,用来确定控制面的指令。全局通信总线34由三条数据总线组成,左总线33,中央总线35和右总线37。在优选实施例中,数据总线33,35和37采用ARINC 629数据通信链方式,这是飞机工业的一个标准,然而也可采用其它类型的数据通信链。
控制系统的各飞行控制通道通过一种特殊类型的LRU操纵飞机的各飞行控制面,即一个作动控制器电子单元(ACE)38使飞行员可只操纵一个通道飞行,这样,若干冗余的ACE38从飞机的驾驶杆、机轮、脚蹬、方向舵等(未示出)接收飞行员的操纵信号。ACE38接着把飞行员操纵信号通过全局通信总线34发送到通道40,42,44。基于从ACEs接收到的飞行员操纵信号和从LRUs30接收到的数据,通道产生一系列的飞行控制面指令,通过全局通信总线把飞行控制面指令传回ACEs38。ACEs38完成各通道产生的飞行控制面指令的数到模的转换,把这些转换后的数据发送到多个动力控制单元(PCUs)36,它们控制飞机的各个飞行操纵面的运动。很清楚,通过全局通信总线的任何航空电子部件之间的通信不能出错。通过面的描述可以清楚地看出,该发明可以检测通过全局通信总线34在ACE38,LRU30和通道40,42,44之间的通信错误,确定错误是因某个LRU或通信总线34的永久性或间歇性的故障引起,还是因通道本身的故障引起。为描述方便起见,LRU也将被称为ACEs。
图2示出了连接到全局通信总线34的通道40,42,42的内部部件。由于40,42,44实际上是等同的,下列关于左通道40的叙述同样适用于中央通道和右通道42,44。因此,将不对中央和右通道详细讨论。
左通道40包括三个冗余计算通路46,48,50。每个通路由一个电源(PS)52,一个微处理器单元(MPU)54和一个输入/输出接口(I/O)60组成。各通路的接口60可使该通路直接连接到全局通信总线34上。通道40各通路的MPUs54由一个专用的通路之间的数据总线54连接,以使MPU54以及通路46,48,50相互通信。然而,在本发明的优选实施例中,各MPU的微处理器硬件是不同的,以加速任何微处理芯片的类属设计错误的检测,例如,通路46的微处理单元54是由Advanced Micro Devices公司生产的29050微处理器构成,通路48的MPU 54由Motorola制造的68040组成,而通路50的MPU54是由lntel公司制造的80486构成,本领域的普通技术人员可以认识到MPUs 54所包括的部件比图2所示还要多,由于它们是普通部件,不对它们加以叙述,这不影响对本发明的理解。
无论何种类型,通路46,48,50的MPU54通过通路间的数据总线连接到I/O接口60。然后,接口60再连接到全局通信总线34,接口就能从中央总线35和右总线37接收信号,中央总线和右总线也可以通过左总线发送和接收数据。接口60还包括三个错误寄存器62,63,64,一个错误寄存器同各个数据总线33,35或37相联系。在本发明的一个优选实施例中,采用16比特的错误寄存器。本领域的一般技术人员可以看出,接口60包括的部件比图2所示的还要多,由于它们是普通部件,在此不作描述,这不影响对本发明的理解。
尽管每一通路46,48和50连接在全局通信总线34上,然而在任一时刻,只有一个通路被允许通过全局通信总线发送信息78。这样的通路被称为“指令通路”。在图示的实施例中主观地选出的通道40的通路46,通道42的通路48,通道44的通路50是为了表示相应通道的指令通路,以便于讨论。本领域的普通技术人员可以认识到,基于电传操纵系统31的要求,通道40,42或44中任一通道的任何通路46,48或50均可为指令通路。
如图3A,3B所示,通道40,42和44以及LRUs 30以信息78的形式通过全局通信网络34发送数据、指令等(在此通称为数据)。因此,通道40,42和LRU 30可以通称为发射机(TMR)。信息78由若干16位的字符串70组成。在本发明的实施例中,字符串70由标识码72,若干数据字74和循环冗余校验(CRC)字组成。标识码72识别发送信息78的特定TMR,每个数据字74由与特定TMR相关的16位的数据组成,CRC字用来显示在全局通信总线上数据损坏的情况。通道40,42和44的通路46,48,50是同步的,以便各通路同步接收并处理收到的信息78。但是,正如下面更详细的描述,如果在全局通信总线34,LRUs30或38,或者PFCs40,42,和44中出现错误或引起错误的因素,各通道的通路以至各通道根据这些信息78作出各自的决策。
图4A,4B和4C是功能框图,表示了通道40,42和44如何按照本发明监控和识别电传操纵系统31中的错误,以获得系统的高度的综合和可用性。由于通道40,42和44完成的功能实际上是相同的,所以只对一个通道完成的功能进行描述。在下列描述中,该通道被称为“己通道”(OC),主观地选择此通道是为了描述方便并与电传操纵系统31的左控制通道40相对应。相应地,通道42和44主观地分别被称为“它通道1”(OC1)和“它通道2”(OC2)。然而,如果要描述通道42完成的功能,通道44则被称为“它通道1”,而通道40就会被称为“它通道2”。因此,本领域的普通技术人员可以看出,“己通道”完成的功能在“它通道”中也可完成。
请参照图4A,此图示出了己通道为监视和识别电传操纵系统31中的故障而完成的功能。本领域的普通技术人员会清楚地看出,所述的功能是由己通道的通路46,48和50的MPU54同步完成的。如图4A所示,在每一通路40,42和44中,处理过程由错误寄存器监视功能开始。特别地,错误寄存器监视器100监视由通道通过全局通信总线从LRU30和38以及其它通道40,42和44接收的信息78。为便于说明和讨论,本发明针对由某特定TMR(无论是PFC或LRU)经全局通信总线34发送的信息78′,本领域的普通技术人员能认识到,电传操纵系统中由LRU30或38,或者通道40,42或44发送的信息78与信息78′以同样的方式被处理。
由于通路46,48和50经数据总线33,35或37中的任一总线从特定的TMR接收信息78′,通路的错误寄存器监视器100产生一个接收故障(RCVF)信号,此信号可显示是否特定的TMR正发送一个带有额外错误的信息。己通道的各通路则通过己通道的专用总线56向其它通路的MPU54发送其RCVF信号。由于通道的各通路同步处理从全局通信总线34收到的信息78′,各通路的MPUs54将大致同时把其RCVF信号发送到其它的MPUs。因此,己通道的每一通路46,48和50将收到三个RCVF信号(均用数字20表示)。
在模块122,各通路46,48和50的MPU54完成三个RCVF信息20的通路交叉联合,确定是否大多数的通路推测到特定的TMR正发送带有额外错误的信息78′。该决策被称为己通道的通路多数判断,在图4A中统统用数字22表示。最好是己通道的各通路完成三个接收故障信号20的通路交叉联合,各通路确定一个通路多数判断22。己通道的指令通路46接着通过全局通信总线34向其它通道发送通路多数判断。
如上指出的,它通道1和它通道2也可完成上述功能。因此,它通道1和它通道2的指令通路48和50分别通过全局通信总线向己通道(以及相互之间)发送它们各自的通路多数判断22。所以,己通道的各通路46,48和50从全局通信总线34接收通道40,42和44的通路多数判断22,己通道的各通路46,48和50的微处理器54接着鉴定收到的通路多数判断22(模块194,204和206),确保当各自的指令通路发送其通路多数判断22时,通道40,42和44正常地工作。因而,各通路为各自的通道产生一个已鉴定的通路多数判断。在图4A中,各通道鉴定后的通路多数判断均用数字24表示。各通道鉴定后的多数判断由MPU54经专用总线56发送到己通道的其它通路。
在图4A中可以看到,己通道的通路46,48和50接收到由各通路产生的鉴定后的通路多数判断。更具体地说,各通路收到三组鉴定后的通路多数判断,它们是:1)己通道的通路多数判断,由通路46,48和50鉴定;2)它通道1的通路多数判断,由通路46,48和50鉴定;3)它通道2的通路多数判断,由通路46,48和50鉴定。微处理器54接着完成每一组鉴定后的通路多数判断的通路交叉联合(模块208,234和236),以确定各通道40,42和44的最终通路多数判断(在图4A中均用数字26表示),以表示通道的多数通路是否已确定某个故障产生于某特定的TMR。
最后,在模块250,各通路46,48和50完成最终通路多数判断的通道交叉联合,确定通道多数判断28,它表示是否多数通道确定特定的TMR发生了故障。在本发明的另一实施例中,通道多数判断由各通路加以处理,识别特定TMR出现的故障类型或识别在电传操纵系统31中其它部件的故障。
请参照图4B,图中示出了由己通道的通路之一作出的通路多数判断的决策。由于通道的各通路46,48和50完成的功能实际上是相同的,且各通路同时完成,故此处只对通道的一个通路的功能加以描述。在下面描述中,此通路被称为“己通路”或“OL”,并主观地被选来和己通道的通路46对应。相应地,通路48和50分别被主观地称为“它通路A”(OLA)和“它通路B”(OLB)。然而,如果要描述通路48所完成的功能,通路48就可被称为“己通路”,而通路50和46分别被称为“它通路A”和“它通路B”。通过上面描述,本领域的一般技术人员可以理解,图4B所示的在己通路中完成的功能,事实上也同时在它通路A和它通路B中同时完成。为便于说明,它通路A和它通路B完成的功能用虚线在图4B中表示。
如前所述,电传操纵系统31的LRU 30或38和PFC40,42和44通过全局通信总线的特定数据总线33,35或37以发送信号78的方式同通道40,42和44通信。信息由各己通道的各通路46,48和50的接口接收。具体请参照己通道的己通路,对电传操纵系统中特定TMR发送的信息78′和各字符串70而言,有关字符串的错误信息存放于接口60的故障寄存器62,63或64中,而接口60是同特定TMR发送用的特定总线相关联的。错误寄存器存贮了一个预定位长度的字,如16位,每一位表示当字符串在全局通信总线34上传送和损坏时错误的具体类型。因而,如果字符串70包含锚误,在关联的错误寄存器中相应的位会被置1,否则该位被置0。监视在图4模块100中所示功能的锚误寄存器使用存贮于锚误寄存器62,63和64的锚误信息,确定是否被监视的特定TMR推测到是否有额外数量的错误信息78′的发送。图5中详细示出了为作出这种决策本发明所采用的逻辑。
图5中的逻辑始于模块102,己通路的MPU54读取错误寄存器62,63或64,它们同特定TMR发送使用的数据总线33,35或37关联,以获取同信息78′的某个字符串70关联的故障信息,而信息78′由字符串70中的标识符72识别的特定TMR发送。在决策模块104中,该逻辑可确定是否在字符串中检测到错误。换句话说,该逻辑可确定是否同该字符串相关联的错误寄存器位被置为1。如果是肯定的,逻辑流程进行到模块106,此时用来跟踪信息中错误数量的错误计数器值增加。但是,如果决策模块104的结果是否定的,错误计数器值不增加,逻辑流程直接进行到决策模块108。在决策模块108,该逻辑可确定信息78′的最后一个字符串70的错误信息是否从正确的错误寄存器中读取,即,是否由特定的TMR发送的信息78′中的所有字符串70的错误信息都已被处理。如果不是,逻辑流程返回到模块102,同下一个字符串关联的错误信息从正确的错误寄存器中读取。逻辑接着重复模块104到108,直到全部的信息被处理。
如果决策模块108的结果是肯定的,即,如果信息的最后一个字符串的错误信息已被读取,逻辑流程进行到决策模块110。在决策模块110,该逻辑可确定错误计数器是否超出了第一预置阈值,其相当于在给定的时间段内预计的最大错误数。可以看出,第一预置阈值是电传操纵系统的不同参数的函数,包括系统故障在每飞行时低于1.0E-10这样的苛刻的安全性要求的限制。因此,初始阈值可随电传操纵系统参数而改变,以达到期望的综合度。
如果决策模块110的结果是肯定的,逻辑流程进行到模块112,此时己通路的接收故障信号(RCVFOL)被置为真,表明己通路推测到特定的TMR正以超额的故障率发送错误的字符串。换句话说,己通路推测特定的TMR出现了某种类型的故障。然而,如果决策模块110的结果是否定的,逻辑流程则进行至模块114,此时RCVFOL被置为假,表明己通道没有推测到特定TMR的故障。可以理解,RCVFOL同被错误寄存器监视器监视的特定TMR关联,因而RCVFOL也同特定TMR发送所用的特定数据总线33,35或37相关联。在模块116,RCVFOL被存贮在己通路MPU54的内存之中,并被发送到己通道的其它通路,以便各通路46,48和50自身可确定是否己通道的多数通路推测到特定的TMR以超额的速率发送有错误的字符串。
现在再请看图4B,本领域的普通技术人员可以看出,利用图5所示的逻辑,己通道的它通路A和它通路B已产生了它们自己的RCVF信号,即RCVFOLA和RCVFOLB,并通过专用数据总线56将它们发送到己通道的己通路。相应地,己通路分别从它通路A和它通路B接收RCVFOLA和RCVFOLB,并从其MPU的内存中恢复RCVFOL信号。在模块122中,己通路的MPU54完成由己通道的通路46,48和50产生的三个RCVF信号的通路交叉联合,以便为己通道形成一个通路多数判断,它表示是否己通道大多数通路推测到特定的TMR以超额的速率发送有错误的字符串,即该特定的TMR出现故障。
用于完成RCVF信号通路交叉联合的己通路MPU 54采用的逻辑在图6中作了更详细的示出。该逻辑流程自模块124开始,在此确定是否己通道的至少两个通路中RCVF被设置为真。如果结果是肯定的,逻辑流程进行到模块126,此时,通路多数判断(LMO)被置为真,表明至少通道的两个通路推测到特定的TMR以超额的速率发送有错误的字符串。换句话说,至少通道的两个通路推测到特定TMR的故障,因而对特定的TMR持有“劣判断”。然而,如果决策模块124的结果是否定的,至少两个通路已确定特定的TMR没有出现故障。因而LMO设为假,逻辑流程进行到模块130。在决策模块130,该逻辑确定LMO是否被设为真。如果是,逻辑流程进行到模块132,此时劣判断计数器增值。劣判断计数器监视己通道至少两个通路对特定TMR产生劣判断的次数。然而,如果模块130的结果是否定的,劣判断计数器减值,逻辑流程进行到决策模块136。
在决策模块136,该逻辑确定劣判断计数器是否超出了第二预置阈值。第二预置阈值同多数通路对特定TMR的劣判断的最大期望次数相当。在优选实施例中,第二预置阈值也被确定为不同电传操纵系统参数的函数,参数包括前述的苛刻安全要求。因而,系统的综合度被进一步提高。如果决策模块136的结果是肯定的,逻辑流程进行至模块138,此时,一个已确认的通路多数判断(也称为己通道的灰色故障标志GFFOC)被置为真,表明己通道至少两条通路已持续地推测特定的TMR正以超额的速率发送有错误的字符串。换句话说,电传操纵系统31中的某种类型的故障被己通道多数通路的持续的劣判断所确认。然而如果决策模块136的结果是否定的,逻辑流程进行至模块140,此时GFFOC被置为假,表示己通道的多数通路已确定由于多数通路没有持续推测到故障,特定TMR中的故障并未发生。由于使己通路推测到故障的可能错误条件并不持续存在,避免了特定的TMR的有害弃用。因而,这样的特定TMR的可用性在电传操纵系统31中得以维持。另外,本领域的一般技术人员可以看到,对“劣判断”持续的要求也适应于三个通道的异步工作。最后,如果一个通路与其余两个瞬时不一致,该通路将服从多数判断。
一旦己通道已确认的通路多数判断和GFFOC被确定,它将被发送到电传操纵系统31的它通道1和它通道2,以用于其它功能的实现。由此,逻辑流程进行到决策模块142,此时该逻辑确定己通路是否为通道的指令通路。如果是,逻辑流程进行至模块144,此时,己通路的MPU 54通过全局通信总线34将GFFOC发送到电传操纵系统31的它通路A,它通路B,它通道1和它通道2。如果己通路不是指令通路,逻辑进行至模块146,此时,己通路的MPU54仅把GFFOC存入内存以作它用。由于它通路A和它通路B同时完成此项功能,可以看到,己通道的指令通路(要么它通路A,要么它通路B)向模块144的其它通道发送GFFOC。
当GFFOC由己通道的指令通路发送时,己通路必须确定它是否单独持有对特定TMR的劣判断。如果是,很可能己通路出现故障,而不是特定的TMR的问题。所以,在决策模块148,逻辑确定对特定的TMR己通路是否是RCVF被置为真的唯一通路,即RCVFOL被置为真而RCVFOLA和RCVFOLB被置为假。如果结果是肯定的,逻辑流程进行到模块150,此时对特定的TMR的一个己通路接收故障信号(OWNF)被置为真,表示己通路可能出现故障。但是,如果决策模块148的结果是否定的,己通路没有出现故障而模块152中的OWNF被置为假。如上所述,RCVFOL同特定的TMR以及特定TMR发送采用的各数据总线33,35或37相关联。这样,很明显,OWNF也和特定的TMR以及TMR传送使用的各数据总线33,35或37相关联。如下所述,OWNF被己通路采用来完成一PFC通路故障的决策,确认己通道的己通路出现故障。
参照图4B,己通路的MPU54在模块154中完成PFC通路的故障决策,以确定己通路是否出现故障。由MPU54采用的用于完成PFC通路故障决策的逻辑在图7中进行了详细描述。如果己通路单独地推测到各数据总线33,35或37上发送的三个或更多的TMR出现故障,己通路则更可能出现故障。因此,自决策模块156开始,该逻辑可确定是否己通路推测到在左总线33上传送的至少三个TMR出现故障,而其它通路没有推测到同样的故障,也就是,是否OWNF相对于在左总线33上传输的三个或更多的TMR被置于真。如果是这样,左总线故障离散量(LBF)在158模块中被置于真,表明己通路单独推测到在左总线上至少三个TMR出现故障。如果决策模块156的结果是否定的,在160模块中LBF被置为假,表示己通路并不是单独推测到在左总线上至少三个TMR出现故障。
逻辑流程接着进行至决策模块162,此时,它确定是否己通路单独推测到在中央总线上至少三个TMR出现故障,而其余通路没有推测到同样的故障。如果是这样,在模块164中,中央总线的故障离散量(CBF)被置为真。如果不是,在模块166中,CBF被置为假。同样,逻辑进行至决策模块168,此时,它确定是否己通路单独推测到在右总线上至少三个TMR出现故障,而其余通路没有推测到同样的故障。如果是这样,在模块170之中,右总线的故障离散量(RBF)被置为真。如果不是,在模块172中,RBF离散量被置为假。
在LBF,CBF和RBF被设置后,逻辑步骤进行至模块174,此时,它确定是否LBF,CBF或RBF的任一个被置为真。换句话说,该逻辑可确定己通路是否是在通道中唯一的判定在总线33,35或37上进行发送的至少三个TMR出现故障的通路。如果如此,己通路故障离散量(OLF)在模块176中被置为真,可确认在己通路上存在故障的可能性。如果决策模块174的结果是否定的,OLF在模块178中被置为假。在决策模块180,该逻辑可确定是否OLF被置为真,如果是,在模块182中的故障计数器值增加。故障计数器跟踪己通道单独判定在特定总线上出现的三个或更多TMR故障的次数。如果OLF为假,那么己通路并非为判定这种故障的唯一通路,因而在模块184中,故障计数器值减少。在决策模块186中,该逻辑可确定故障计数器是否超出了第三预置阈值,它相当于己通路在总线上造成三个或多个TMR出现故障的最大次数。和上述第二预置阈值一样,第三预置阈值是不同系统参数的函数,这样可以在电传操纵系统中得到高度综合。
如果决策模块186的结果是肯定的,己通路单独持续判定特定总线上三个或更多TMR出现故障,从而,己通路最有可能出现故障。己通路的这种持续不一致必须在己通道的另一个通路出现故障并加入己通路之前加以解决,为己通道产生一个不正确的已确认的通路多数判断。因此,在模块188中,一个通路接收故障信号(LRCVF)被置为真,表明己通路出现了故障。如图4B所示,LRCVF接着被模块192中的其它PFC功能所利用,例如PFC通路冗余管理功能(未示出),它使用LRCVF在必要时抑制或重新启动己通路,并防止己通路形成错误的已确认的通路多数判断GFFOC。然而,如果决策模块186的结果是否定的,己通路很可能没有出现故障,在模块190中LRCVF被置为假,再次避免对飞机部件有害的弃用,提高系统的可用性。
现在参照图4A和4C,很明显通路48和50产生并发送上述同己通路有关的它们自身已确认的通路多数判断GFFOC1和GFFOC2。因此,己通道的各通路46,48,50通过全局通信总线34,从它自己的通道接收GFFOC,从它通道1接收GFFOC1,从它通道2接收GFFOC2。己通道的己通路完成的下一功能是鉴定各个收到的GFF信号,以确保该通道,即发送特定的GFF的PFC没有出现故障。这样,MPU54在模块194,204和206中鉴定GFFOC,GFFOC1和GFFOC2。图8示出了MPU54鉴定GFFOC采用的逻辑。本领域的普通技术人员可以看到,在模块204和206中,己通路的MPU 54实际上利用了和模块194相同的逻辑鉴定GFFOC1和GFFOC2。因而,对模块204和206中采用的逻辑不作详述。
参照图8,逻辑步骤从决策模块的196开始,此时,不能测试确定是否同己通道关联的PFC FRESHOC信号已被置为真。如下面更详细讨论的,PFCFRESHOC表示是否己通道还主动地向它通道1和它通道2发送信息78。如果是,己通道还处于活动状态,GFFOC的处理可继续进行。因此,逻辑流程将进行至模块198,此时己通路的MPU 54将已鉴定的通路多数判断(GFF(OC)(OL))设置成等于确认的(但为先前未鉴定的)通路多数判断GFFOC。在模块200中,己通路的MPU54通过专用数据总线56将GFF(OC)(OL)发送到它通道的它通路A和它通路B。
如果决策模块196的结果是否定的,即如果PFC FRESHOC是假,己通道不主动地向它通道发送信息78。因而,己通道最有可能出现故障。从而,逻辑流程进行至模块202,此处未经鉴定且现在不可用的GFFOC信号被存贮于MPU54的内存中,以便可以被其它PFC功能采用以在必要时关闭己通道。
GFFOC,GFFOC1和GFFOC2在模块194被己通路鉴定后,鉴定后的各通道的通路多数判断,GFF(OC)(OL),GFF(OC1)(OL)和GFF(OC2)(OL)经专用数据总线56被发送到己通道的其它通路。如图4C虚线所示,在模块194,204和206中,它通路A和它通路B也对GFFOC,GFFOC1,GFFOC2作出鉴定。因此,它通路A将已鉴定的通路多数判断GFF(OC)(OLA),GFF(OC1)(OLA)和GFF(OC2)(OLA),它通路B将已鉴定的通路多数判断GFF(OC)(OLB),GFF(OC1)(OLB)和GFF(OC2)(OLB)通过专用数据总线56发送到己通路。结果,己通道的各通路46,48和50接收到通道的一组鉴定后的通路多数判断。例如,己通路接收到的第一组包括GFF(OC)(OL),GFF(OC)(OLA)和GFF(OC)(OLB),第二组包括GFF(OC1)(OL),GFF(OC1)(OLA)和GFF(OC1)(OLB),第三组包括GFF(OC2)(OL),GFF(OC2)(OLA)和GFF(OC2)(OLB)。
接着,己通路的MPU 54完成各自通道鉴定后通路多数判断的通路交叉联合,以便为电传操纵系统31的通道40,42和44确定一个最终通路多数判断。更具体地说,在模块208中完成了己通道的第一组鉴定后的通路多数判断的通路交叉联合。同样,在模块234中完成了它通道1的第二组的鉴定后的通路多数判断的通路交叉联合,而在模块236中,完成了对它通道2的第三组鉴定后的通路多数判断的通路交叉联合。图9更详细示出了己通路的MPU54在完成己通道的第一组鉴定后的通路多数判断的通路交叉联合时所采用的逻辑。然而,本领域的普通技术人员会很清楚地看出,己通路MPU54采用了和第一组实际上相同的逻辑来完成第二、三组鉴定后通路多数判断的通路交叉联合,即它通道1和它通道2的鉴定后的通路多数判断的通路交叉联合。故对模块234和236中采用的逻辑不作详述。
如图5所示,模块208的逻辑始于决策模块210,此时,进行测试以确定己通道的至少两条通路的鉴定后的通路多数判断是否被置为真,即至少三个鉴定后的多数判断GFF(OC)(OL),GFF(OC)(OLA)和GFF(OC)(OLB)中的两个是真。如果结果是肯定的,逻辑流程进行至模块122,在此一个瞬时通路多数判断信号(LMO′)被置为真,表示即使在鉴定之后,至少通道的两条通路还推测到特定的TMR以超额的速率发送有错误的字符串。换句话说,该通道中至少两个通路现在对特定TMR有“鉴定后的劣判断”。然而,如果决策模块210的结果是否定的,在模块214中LMO′被置为假,表示在GFF信号鉴定之后,己通道的多数通路不再推测到特定TMR的故障。在决策模块216,该逻辑确定LMO′是否被置为真。如果如此,在模块218中的鉴定后的劣判断计数器值增加。鉴定后的劣判断计数器用来确定是否己通道的多数通路对特定TMR一直具有鉴定后的劣判断,以便避免对特定TMR的有害弃用,以保持系统的可用性。然而,如果决策模块216的结果是否定的,因为多数通路没有推测到特定TMR的故障,在模块220中的鉴定后的劣判断计数器值减少。
在决策模块222,逻辑确定鉴定后的劣判断计数器值是否超过第三预置阈值,它等于己通道多数通路具有的特定TMR鉴定后劣判断的最大次数。在优选实施中,预置阈值是不同电传操纵系统参数的函数,包括前述的苛刻的安全要求。因而,多通道系统的综合程度又进一步提高。如果决策模块222的结果是肯定的,最终通路多数判断(也称为通路联合信号LCSOC)被置为真,表示在GFF信号鉴定之后,己通道的至少两个通路持续地确定特定TMR正以超额的速率发送有错误的字符串70。换句话说,己通道的最终通路多数判断表示特定TMR出现了故障。然而,如果决策模块222的结果是否定的,该逻辑进行至模块226,在此LCSOC被置为假,表示己通道的多数通路已确定特定TMR没有出现故障。本领域的普通技术人员可看出,在两种情况下,己通道中不享有多数判断的第三条通路将服从己通道的最终多数判断。还可看到,这可避免有害的弃用,保障了系统的可用性。
在LCSOC用于别的用途前,己通路必须确定它是否单独判定出特定TMR的故障。从而,在LCSOC被置为真或假之后,逻辑流程进行至决策模块228,在此它确定己通路是否为特定TMR的鉴定的通路多数判断被置为真的通道的唯一的通路,即是否GFF(OC)(OL)被置为真,而GFF(OC)(OLA)和GFF(OC)(OLB)被置为假。如果结果是肯定的,逻辑流程进行至模块230,在此鉴定后的己通路接收故障(OWNF′OC)被置为真。然而,如果决策模块230的结果否定的,OWNF′OC被置为假。如图4C所示,在模块238中PFC通路故障决策使用OWNF′OC来确定通道的己通路是否出现故障或失效。
在模块238中用来完成PFC通路故障决策的逻辑事实上和在模块154中完成通路故障决策的逻辑相同。见图7。因而,利用OWNF′OC来完成PFC通路故障决策的逻辑不再详述。如图4C所示,如果己通路出现故障,鉴定后的通路接收故障信号(LRCVF′OC)被置为真。否则,由于己通路未出现故障,LRCVF′OC被置为假。LRCVF′OC接着被模块204中的其它PFC功能,如PFC通路冗余管理功能(未示出),用来在必要时抑制和重新启动己通路。
从前面的描述可看到,它通道1的鉴定后的通路多数判断(模块234)的通路交叉联合采用同上述一样的逻辑,为它通道1(LCSOC1)和鉴定后的己通路接收故障(OWNF′OC1)产生最终通路多数判断。同样,在模块236中,发生于模块236中的GFF(OC2)(OL),GFF(OC2)(OLA)和GFF(OC2)(OLB)的通路交叉联合为它通道2和鉴定后的己通路接收故障(OWNF′OC2)产生一个最终通路多数判断(LCSOC2)。OWNF′OC1和OWNF′OC2在所示的模块242,244,246,248中进一步处理。一旦己通路的MPU54为通道40,42和44确定最终通路多数判断,则在模块250完成最终通路多数判断的通路交叉联合,从而确定表示是否多数的通道检测到特定TMR的故障的通道多数判断。
图10示出了在模块250中为完成LCSOC,LCSOC1和LCSOC2的通路交叉联合而使用的逻辑。逻辑始于决策模块252,此时,它确定同特定TMR关联的最终通路多数判断在电传操纵系统31的至少两个通道是否已被置为真。换句话说,逻辑确定是否至少两个通道具有对特定TMR的劣通道判断。如果模块252的结果是肯定的,通道多数判断(CMO)被置为真,表示电传操纵系统31中至少两个通道可确定特定的TMR出现某类型的故障。但是如果决策模块252的结果是否定的,在模块256中CMO被置为假,表示大多数通道可确定特定TMR没有出现故障。在决策模块258,逻辑确定CMO是否被置为真。如果是,劣通道判断计数器值增加。见模块260。劣通道判断计数器监视多数通道如何持续为特定TMR形成劣通道判断,以便避免有害的弃用,提高系统的可用性。然而,如果决策模块258的结果是否定的,由于未推测到特定TMR的故障,劣通道判断计数器值减少。见模块262。
参见决策模块264,逻辑确定劣通道判断计数器是否超出了第四预置阈值,它等于大多数通道对特定TMR具有劣通道判断的最大次数。第四预置阈值是由不同电传操纵系统参数,包括前述苛刻的安全要求所确定的函数,以使进一步提高系统的综合度。如果决策模块264的结果是肯定的,则在模块266中,TMR有效信号(TXVLD)被置为假,表明电传操纵系统31的多数通道持续对特定TMR具有劣判断。换句话说,大多数通道可确认在特定TMR中出现的某类型故障。如果决策模块264的结果是否定的,那么在模块268中TXVLD被置为真,表示电传操纵系统31的多数通道可确定特定TMR未出现故障。同样地,本领域的一般技术人员可清楚地看出,这个过程避免了对特定TMR的有害弃用。TXVLD接着被贮存于MPU54的内存中,以完成模块270中所示的其它PFC功能,如PFC的输入信号管理功能,用于在特定TMR的TXVLD出错时,排除对来自于该TMR的数据的使用。
如图4C所示,在己通道的通路46,48和50中,通道交叉联合是同步完成的。因而,己通道的各通路产生一个同特定TMR关联的TXVLD信号。TXVLD的状态在一个通道内的通路间将是相同的。
再参看图4C,在模块250中通过采用通道交叉联合确定的TXVLD信号接着用于其它功能,以确定TMR是否出现间歇性或定常的故障,或者是否全局通信总线真的出现故障。在模块272中,己通路的MPU 54完成数据总线的监视功能。MPU54为完成该功能所用的逻辑在图11中更详细地示出。逻辑始于决策模块274,此处它确定是否在特定总线上工作的至少两个TMR的TXVLD被置为假,总线可以是左总线33,中央总线35或者是右总线37。如果如此,TXVLD因通信总线34的间歇性或永久性故障可能被置为假。从而,在模块276中,一个总线有效信号(BVLD)被置为假,表示特定TMR使用的某一总线33,35或37出现了故障。否则,在模块278中,BVLD被置为真。在模块280中,BVLD被贮存于己通路的MPR54的内存中,以便完成其它PFC功能,如PFC输入信号管理功能,若在特定总线上发送的LRU的BVLD被置为假,该信号管理功能将使通过带故障数据总线33,35或37发送的所有信息无效。
请再参照图4C,在模块272中数据总线监视功能完成后,己通路的MPU54在模块284中完成主动TMR监视功能。图12详细地示出了用MPU完成该功能而采用的逻辑。逻辑始于决策模块286,此时它确定特定TMR的TXVLD是否从过去的真值变为现在的假值。如果如此,在模块288中TXVLD翻转计数器值增加。TXVLD翻转计数器跟踪TXVLD从真变为假的次数。如果决策模块286的结果是否定的,TXVLD翻转计数器不增值,逻辑流程进行至决策模块290。
在决策模块290,此逻辑确定特定TMR的主动发射机有效信号(TMRVLD)是否从过去的真值变为现在的假值。如下所述,TMRVLD表示特定的TMR是否仍主动将信息78发送到己通道。如果没有,TMRVLD将被置为假。否则,TMRVLD将被置为真。如果决策模块290的结果是肯定的,在模块292中TMRVLD翻转计数器值增加。TMRVLD翻转计数器跟踪TMRVLD从真变为假的次数。如果决策模块290的结果是否定的,TMRVLD翻转计数器值不增加,逻辑流程直接进行至决策模块294。
在决策模块294中,此逻辑确定是否TXVLD或TMRVLD翻转计数器的值大第五预置阈值。第五预置阈值等于在一段允许时间内最大的翻转次数。可以看出,在飞机飞行中,TMRVLD从真到假的频繁翻转表示特定TMR间歇性故障的存在很可能是由于和全局通信总线34的连接松驰所致。另一方面,TXVLD频繁的翻转表示在全局通信总线34中有间歇性故障。如果决策模块294的结果是肯定的,发射机正常信号(TXOK)在模块296中置为假。在模块298中,己通路的MPU54将其内存中和特定TMR关联的数据锁住,在剩余飞行中中断对TMR数据的使用。如果决策模块294的结果是否定的,那么逻辑流程进行至模块300,此处特定的TMR的TXOK被置为真。
再参看图4C,一旦TXVLD,BVLD和TXOK被己通路确定,MPU54利用这些信号完成在模块304中的更新监视功能。更新监视功能确定通道40,42,44是否还主动地向电传操纵系统31的其它通道发送信息78,以及特定TMR是否仍主动地向己通道发送信息。图13示出了更新监视功能采用的逻辑。从对图13的描述可看到,在模块305至315中所示的逻辑可确定通道40,42,44是否还主动地发送信息,而在模块316至320中所示的逻辑可确定特定TMR是否仍主动发送信息。
图13的逻辑始于决策模块305,此处它确定特定的被监视的TMR是否为特定的PFC。如果如此,逻辑进行至模块306,此处它确定同特定PFC关联的TXVLD,BVLD和TXOK的任一个是否被置为假。如果如此,该特定的PFC可能出现故障。从而,在模块312中,表示可能故障的PFC FRESH信号被置为假。然而,如果决策模块306的结果是否定的,逻辑进行至决策模块308,此处它确定特定的PFC是否在预定的时间间隔内向两个它通道的任一个发送信息78。如果如此,在模块310中PFC FRESH被置为真,表明特定PFC仍主动地发送信息。如果决策模块312的结果是否定的,PFCFRESH在模块308中置为假,表示特定PFC可能处于休眠状态。一旦PFCFRESH被设置,逻辑终止于模块321。可以看到,如果被监视的特定PFC是己通道,PFC FRESH代表了己通道的活动状态,特记为PFC FRESHOC。同样地,如果被监视的特定PFC是它通道1或它通道2,PFC FRESHOC1或PFC FRESHOC2可分别代表通道的状态。
如果决策模块305的结果是否定的,特定的TMR实际上是某一LRU而不是某一PFC,这种情况下,逻辑绕过模块306至312,而进行至模块314至320,它们确定某一LRU是否仍通过全局通信总线34向己通道发送信息。更具体地说,在决策模块314中,该逻辑确定与LRU关联的TXVLD,BVLD和TXOK的任一个是否被置为假。如果是,特定的LRU可能出现故障。从而,在模块320表示可能故障的LRU FRESH置为假。然而,如果决策模块314的结果是否定的,逻辑进行至决策模块316,此处它确定己通路是否在预定的时间间隔内从特定LRU接收到信息78。如果是,在模块318中LRUFRESH被置为真,表示特定的LRU仍和己通道进行通信。否则,在模块320中LRU FRESH被置为假,表示特定LRU可能完全休眠。更新监视功能终止于模块321。
如图4C所示,一旦在模块304中的更新监视功能终止,PFC FRESH和LRU FRESH则用于其它PFC功能。更具体地说,PFC FRESH在模块322中用于其它PFC功能,如PFC输入信号管理,它可在通道不主动发送信息78时将通道关闭。特定PFC FRESH信号,PFC FRESHOC,PFC FRESHOC1和PFCFRESHOC2也被己通路的MPU54利用,以鉴定在模块194,204和206中的通路多数判断,GFFOC,GFFOC1和GFFOC2。PFC FRESH和LRU FRESH都被己通路MPU54使用以完成在模块324中的休眠TMR监视功能,在此休眠TMR监视功能可确认特定PFC或LRU是否完全处于休眠状态。
图14详细示出了己通路MPU54在模块324中完成休眠LRU监视功能所采用的逻辑。该逻辑始于决策模块325,此时它确定被监视的特定TMR是否为特定的PFC。如果是,逻辑进行到决策模块326,此时,它确定特定PFC的PFC FRESH是否被持续置为假,即,是否PFC FRESH在预定的时间间隔内置于假。在本发明的优选实施例中,此预定的时间间隔为大约2.5分钟。本领域的一般技术人员可以看出,根据需要该时间间隔可按电传操纵系统的参数改变,以获得期望的综合度。如果PFC FRESH处于假状态超过2.5分钟,用该逻辑可确定特定PFC极可能是处于休眠状态。因而,上述的主动发射机有效信号(TMRVLD)在模块327中为假。否则在模块328中TMRVLD置于真。
如果决策模块325的结果是否定的,特定的TMR实际上是某一LRU而不是某一PFC。这种情况下,逻辑绕过决策模块326,进行到决策模块330。在决策模块330,对特定的LRU该逻辑可确定LRU FRESH是否在预定的时间间隔内被持续地置为假,即是否LRU FRESH已在预定时间间隔如2.5分钟内处于假。如果LRU FRESH处于假的时间超过该时间间隔,该逻辑可确定特定LRU极有可能处于休眠状态。因而,上述主动发射机有效信号(TMRVLD)在模块327中置为假。否则TMRVLD在模块328中置为真。
如上所述,TMRVLD用于完成主动TMR监视功能284,以确定特定发射机是否处于间歇性故障中,而不是完全休眠。假值表示某一特定TMR和数据,总线34的连接可能断开或松开。然而,如果TMRVLD经常从真变为假,很可能某一TMR和通信总线的连接间歇性地断开或松开。
从图4A,4B和4C可看出,在电传操纵系统中各通道40,42和44的各通路46,48和50中完成的功能实际上是相同的。所以,每个通道的每个通路最终可识别在各个TMR,即电传操纵系统中的LRU30或38,PFC40,42或44,通路46,48和50,以及数据总线33,35和37中的故障。根据本发明,各通道的通路也避免了对飞机部件有害的弃用,这样获得了高的综合度并提高了电传操纵系统中飞机部件的可用性。
在对本发明的优选实施例描述的同时,可以看到在所附的权利要求范围内,在不脱离本发明的精神的前提下,可对本发明作出种种改变。例如,尽管本发明对具有三个冗余度的电传操纵系统作了描述,本领域的一般技术人员可以理解,本发明也可适用于多于三个通道的系统。同样,本发明也能适用于各通道含有超过三个通路的系统。在这些情况下,多数判断的定义将由设计规范加以确定,即如果有偶数条通路,多数判断由半数通路构成,或需简单多数构成,而且,还可以看出本发明也可以适用于任何多通道系统,因而不限于电传操纵系统或其它任何一种航空电子系统。
Claims (33)
1、一种用于确定控制系统中故障的方法,其中此控制系统包括一个带若干数据总线的总线以及能连接到总线上通过总线传送数据的发射机,这些发射机包括若干外场可更换部件和若干计算机通道,每个通道包含由专用总线连接的若干通路,每个通道的每个通路与一个数据总线连接,每一个外场更换部件也与数据总线中的一条相连接,该方法包括:
(a)对每一发射机,每一通道,生成一个通路多数判断,以表示通道的大多数通路是否检测到了发射机通过全局总线传送数据时的故障;
(b)对每一计算机通道,通过全局总线将通路多数判断传送给其它通道;以及
(c)对通道的每一通路,对每一发射机,生成作为通路多数判断函数的通道多数判断,此通道多数判断表示是否大多数通道已检测到发射机中的故障。
2、如权利要求1所述的方法,生成通路多数判断的方法包括:
(a)生成错误信号,此状态表示由发射机通过全局总线发送的数据是否有超额错误;
(b)通过通道的专用总线将错误信号发送到通道的其它通路;
(c)确定是否大多数通路都持续生成错误信号,该信号状态表示通过全局总线由发射机发送的数据是否有超额错误。
3、如权利要求2所述的方法,其中每个通道通过下述方法鉴定其通路多数判断:
(a)通过全局总线从每一通道接收通路多数判断;以及
(b)对接收到的每个通路多数判断:
(i)通过评估一个通道更新信号,该信号表示发出通路多数判断的通道是否为活动状态,从而确定该通道是否发生发送故障;
(ii)如果通道没有发生发送故障,如果通道的大多数通路在发射机中已检测到了故障,则为通道生成一个鉴定后的通路多数判断;以及
(iii)生成通道的鉴定后的多数判断之后,通过通道的专用总线将该鉴定后的多数判断发送到该通道的通路中。
4、如权利要求3所述的方法,该方法还包括:当鉴定后的通道的通路多数判断之后,每个通道生成一个最终通路多数判断,以表示是否通道的多数通道持续检测到发射机中的故障,鉴定方法为:
(a)从每个通道接收一组鉴定后的通路多数判断,经通道的每个通路鉴定和发送的通道鉴定后的通路多数判断组成每个通道的一组;
(b)对每个通道的一组鉴定后的通路多数判断,生成通道的最终通路多数判断,它是这一组鉴定后的通路多数判断的函数。
5、如权利要求4所述的方法,其中生成作为通道的一组鉴定过的通路多数判断函数的最终通路多数判断的方法还在于,确定是否大多数通路持续生成表示发射机出现故障的鉴定后的通道多数判断。
6、如权利要求5所述的方法,其中生成通道多数判断的方法还包括:
对通道中的每一通路,确定是否大多数通道持续生成表示发射机出现故障的最终多数判断。
7、如权利要求6所述的方法,还包括生成总线有效信号,该信号是通道多数判断的函数,它表示和发射机连接的数据总线是否出现故障。
8、如权利要求7所述方法,还包括生成一个是通道多数判断函数的符合要求的发射机信号以及表示发射机是否处于休眠状态的发射机休眠信号和符合要求的有效信号以表示发射机是否出现间歇性故障。
9、如权利要求8所述的方法,还包括生成是通道多数判断、总线有效信号和符合要求的发射机信号函数的通道更新信号,生成方法为:
(a)确定此发射机是否为一通道;
(b)如果发射机是一通道,确定多数通道判断、总线有效信号或符合要求的发射机信号中的任一个是否表示已检测到故障;以及
(c)如果已检测到故障,确定在预定时间间隔内发射机是否发送了信息。
10、如权利要求9所述的方法,还包括生成一个外场可更换部件更新信号,它是多数通道判断、总线有效信号和符合要求的发射机信号的函数,生成方法为:
(a)如果发射机不是一个通道而是一个外场可更换部件,确定多数通道判断、总线有效信号或符合要求的发射机信号中的任一个是否表示已检测到故障;以及
(b)如果已检测到故障,确定通路是否接收到了发射机在预定时间间隔内发送的信息。
11、如权利要求10所述的方法,还包括生成发射机休眠信号,该信号是通道更新信号和外场可更换部件更新信号的函数,生成方法为:
(a)确定发射机是否为一通道;
(b)如果发射机是一通道,确定通道更新信号是否表示发射机在预定时间间隔内未发送信息;
(c)如果发射机是一个外场可更换部件,确定外场可更换部件信号是否表示通道在预定时间间隔内并未接收到来自外场可更换部件的信息。
12、如权利要求11所述的方法,其中生成是通道多数判断和发射机休眠信号函数的符合要求的发射机信号的方法还包括:
(a)确定通道多数判断是否在从表示发射机无故障到表示发射机有故障之间持续地变化;以及
(b)确定发射机休眠信号是否在从表示发射机活动到表示发射机休眠之间持续地变化。
13、如权利要求2所述的方法,其中生成通道通路多数判断的方法还包括:如果该通道中仅有一条通路生成错误信号表示发射机正通过全局总线发送一个带超额错误的信息,则生成一个通路故障信号表示是否该通路可能出现故障。
14、如权利要求13所述的方法,还包括,通过确定通路持续生成表示该通路可能出现故障的通路故障信号,可确认该通路出现故障。
15、如权利要求4所述的方法,其中生成通道最终通路多数判断的方法还包括,如果该通道中仅有一条通路生成错误信号表示发射机正通过总线发送一个带超额错误的信息,则生成一个最终通路故障信号以表示是否该通路可能出现故障。
16、如权利要求15所述的方法,它还包括,通过确定通路是否持续生成表示该通路可能出现故障的最终通路故障信号,可确认该通路出现故障。
17、一种可监视和识别本系统中部件出现故障的多通道系统,该多通道系统包括:
(a)由若干数据总线构成的全局总线;
(b)与总线连接的若干个外场可更换部件,使每一外场可更换部件与数据总线中的一条相连,每一外场可更换部件形成一通过全局总线发送信息的发射机;以及
(c)与全局总线连接的若干计算机通道,每个计算机通道也形成一个通过总线发送信息的发射机,每个通道包括若干由专用总线连接的通路,每个通路由一个电源、一个处理器和一个到总线的接口组成,每个通道中的一条通路构成一条指令通路,它通过全局总线发送信息,并且,每个计算机通道检测多通道系统中的故障,这样:
对于每一个与总线连接的发射机,通道每一条通路的处理器生成一个与发射机有关的通道多数判断以表示是否大多数通道已检测到发射机中的故障。
18、如权利要求17所述的多通道系统,通道的各通路的处理器通过下述方法为发射机生成通道多数判断:
(a)生成一个通道的通路多数判断,以表示是否通道中的多数通路已通过全局总线检测到了发射机通信中的故障;
(b)通过指令通路的接口经由全局总线,由指令通路将通路多数判断发送给其它计算机通道;
(c)接收其它通道指令通路处理器生成的通路多数判断;以及
(d)生成通道多数判断,它是由每个通道的指令通路生成的通路多数判断的函数。
19、如权利要求18所述的多通道系统,通道的各通路的处理器通过下述方法生成该通道的通路多数判断:
(a)生成一个错误信号,它的状态表示经全局总线发送的数据是否有额外错误;
(b)通过该通道的专用总线将错误信号发送到该通道的其它通路;以及
(c)确定是否多数通路持续生成错误信号,其状态表示发射机经全局总线发送的数据是否有超额错误。
20、如权利要求19所述的多通道系统,其中所述的每个通路的处理器,在生成通道多数判断之前,为通道鉴定通路多数判断:
(a)通过全局总线接收通道的通路多数判断;以及
(b)对接收到的通路多数判断,
(i)通过对表示发出通路多数判断的通道是否活动的通道更新信号的评估,可确定该通道是否正发生发送故障;
(ii)如果通道无发送故障,若该通道的多数通路检测到发射机的故障,则生成一个该通道的鉴定后的通路多数判断;以及
(iii)该通道鉴定后的多数判断生成后,经该通道的专用总线将该鉴定后的多数判断发送给该通道的其它通路。
21、如权利要求20所述的多通道系统,其中所述的每个通路的处理器,在生成通道多数判断之前,生成每个通道的最终通路多数判断,在通道的通路多数判断经鉴定后,每个通道的最终通路多数判断表示是否该通道多数通路持续检测到发射机中的故障,鉴定方法为:
(a)从每个通道接收一组鉴定后的通路多数判断,每一通道的判断组包括经该通道的通路鉴定和发送的该通道的鉴定后的通路多数判断;以及
(b)对每一组鉴定后的通路多数判断,生成一个该通道的最终通路多数判断,它是该通道一组鉴定后的通路多数判断的函数。
22、如权利要求21所述的多通道系统,其中,通过确定多数通路是否持续生成鉴定后的表示发射机发生故障的通路多数判断,由每一通路的处理器生成通道的最终通路多数判断。
23、如权利要求22所述的多通道系统,其中每一通道的处理器生成通道多数判断的方法为:
对通道的每一通路,确定是否多数通道持续生成一个表示发射机正发生故障的最终多数判断。
24、如权利要求23所述的多通道系统,其中每个通路的处理器生成一个是通道最终多数判断函数的总线有效信号,该总线有效信号表示发射机所连接的数据总线是否发生故障。
25、如权利要求24所述的多通道系统,其中每个通路的处理器生成一个是通道最终判断函数的符合要求的发射机信号,以及一个表示发射机是否处于休眠状态的发射机休眠信号,所述符合要求的有效信号表示发射机是否正发生故障。
26、如权利要求25所述的多通道系统,其中每个通路的处理器生成一个通道更新信号,该信号是多数通道判断、总线有效信号和符号要求的发射机信号的函数,生成方法为:
(a)确定发射机是否为一通道;
(b)如果发射机是一通道,确认是否多数通道判断、总线有效信号或符合要求的发射机信号中的任一个表示已检测到了故障;以及
(c)如果已检测到故障,确定是否发射机在预定时间间隔内发送了信息。
27、如权利要求26所述的多通道系统,其每个通路的处理器生成一个外场可更换部件更新信号,该信号是多数通道判断、总线有效信号和符合要求的发射机信号的函数,生成方法为:
(a)如果发射机不是通道,而是一个外场可更换部件,则确定是否多数通道判断、总线有效信号或符合要求的发射机信号中的任何一个表示已检测到了故障;以及
(b)如果已检测到了故障,确定在预定时间间隔内是否通路已从发射机接收到信息。
28、如权利要求27所述的多通道系统,每一通路处理器生成发射机休眠信号,它是通道更新信号和外场可更换部件更新信号的函数,生成方法为:
(a)确定发射机是否为一通道;
(b)如果发射机是一通道,确定通道更新信号是否表示发射机在预定时间间隔内没有发送信息;
(c)如果发射机是外场可更换部件,确定是否外场可更换部件信号已表示在预定的时间间隔内,通路还没有从外场可更换部部件接收到信息。
29、如权利要求28所述的多通道系统,其中每条通路的处理器生成一个符合要求的发射机信号,该信号是通道多数判断和发射机休眠信号的函数,生成方法为:
(a)确定通道多数判断是否从表示发射机未出现故障和发射机出现故障之间持续变化;以及
(b)确定发射机休眠信号是否从表示发射机处于活动状态和休眠状态之间持续变化。
30、如权利要求29所述的多通道系统,其中,如果通道中仅有一条通路生成表示发射机正通过总线发送一带超额错误信息的错误信号,则每条通路处理器在生成通路多数判断之后生成一个通路故障信号,该信号表示是否该通路可能出现故障。
31、如权利要求30所述的多通道系统,其中,通过确定是否一通路持续生成通路故障信号,每条通路的处理器就可确认通路发生故障。
32、如权利要求21所述的多通道系统,其中,如果通道中仅有一条通路生成错误信号以表示发射机正通过全局总线发送具有超额错误的信息,则每条通路的处理器在生成最终通路多数判断之后,生成一个最终通路故障信号,该信号表示是否该通路可能出现故障。
33、如权利要求32所述的多通道系统,其中,通过确定是否通路持续生成表示该通路可能出现故障的最终通路故障信号,每条通路的处理器可确认该通路出现故障。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB961115394A CN1169321C (zh) | 1996-08-22 | 1996-08-22 | 多通道系统中获得高度综合和可用性的方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB961115394A CN1169321C (zh) | 1996-08-22 | 1996-08-22 | 多通道系统中获得高度综合和可用性的方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1175143A true CN1175143A (zh) | 1998-03-04 |
| CN1169321C CN1169321C (zh) | 2004-09-29 |
Family
ID=5121151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB961115394A Expired - Lifetime CN1169321C (zh) | 1996-08-22 | 1996-08-22 | 多通道系统中获得高度综合和可用性的方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1169321C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465722B (zh) * | 2007-12-21 | 2011-07-13 | 瑞昱半导体股份有限公司 | 决定多通道系统中控制信号的目标类型的方法 |
| CN101399811B (zh) * | 2007-09-27 | 2011-09-14 | 华为技术有限公司 | 多通道数据接收以及传输控制方法和相应的装置 |
| CN102519749A (zh) * | 2011-12-27 | 2012-06-27 | 中国飞机强度研究所 | 多路故障检测器 |
| CN102700718A (zh) * | 2012-06-29 | 2012-10-03 | 中国航空工业集团公司第六三一研究所 | 通用飞机航空电子系统告警信息处理方法 |
| CN109087536A (zh) * | 2018-09-13 | 2018-12-25 | 四川九洲空管科技有限责任公司 | 机载防撞系统天线自检及降级方法 |
| CN111221673A (zh) * | 2019-12-27 | 2020-06-02 | 西安联飞智能装备研究院有限责任公司 | 一种故障恢复方法及装置 |
| CN111240842A (zh) * | 2020-01-13 | 2020-06-05 | 山东健康医疗大数据有限公司 | 一种多通路服务高可用的方法 |
-
1996
- 1996-08-22 CN CNB961115394A patent/CN1169321C/zh not_active Expired - Lifetime
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399811B (zh) * | 2007-09-27 | 2011-09-14 | 华为技术有限公司 | 多通道数据接收以及传输控制方法和相应的装置 |
| CN101465722B (zh) * | 2007-12-21 | 2011-07-13 | 瑞昱半导体股份有限公司 | 决定多通道系统中控制信号的目标类型的方法 |
| CN102519749A (zh) * | 2011-12-27 | 2012-06-27 | 中国飞机强度研究所 | 多路故障检测器 |
| CN102519749B (zh) * | 2011-12-27 | 2014-09-17 | 中国飞机强度研究所 | 多路故障检测器 |
| CN102700718A (zh) * | 2012-06-29 | 2012-10-03 | 中国航空工业集团公司第六三一研究所 | 通用飞机航空电子系统告警信息处理方法 |
| CN102700718B (zh) * | 2012-06-29 | 2014-04-16 | 中国航空工业集团公司第六三一研究所 | 通用飞机航空电子系统告警信息处理方法 |
| CN109087536A (zh) * | 2018-09-13 | 2018-12-25 | 四川九洲空管科技有限责任公司 | 机载防撞系统天线自检及降级方法 |
| CN109087536B (zh) * | 2018-09-13 | 2020-06-30 | 四川九洲空管科技有限责任公司 | 机载防撞系统天线自检及降级方法 |
| CN111221673A (zh) * | 2019-12-27 | 2020-06-02 | 西安联飞智能装备研究院有限责任公司 | 一种故障恢复方法及装置 |
| CN111221673B (zh) * | 2019-12-27 | 2021-12-14 | 西安联飞智能装备研究院有限责任公司 | 一种故障恢复方法及装置 |
| CN111240842A (zh) * | 2020-01-13 | 2020-06-05 | 山东健康医疗大数据有限公司 | 一种多通路服务高可用的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1169321C (zh) | 2004-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5523443B2 (ja) | エレベータの信号伝送装置 | |
| US7295903B2 (en) | Device and method for on-board diagnosis based on a model | |
| CN107531250A (zh) | 车辆安全电子控制系统 | |
| EP0263773A2 (en) | Symmetrization for redundant channels | |
| CN105988480B (zh) | 飞行控制系统命令选择和数据传输 | |
| RU2452114C2 (ru) | Способ, а также система для надежной передачи циклических передаваемых данных процесса | |
| EP0743600B1 (en) | Method and apparatus for obtaining high integrity and availability in a multi-channel system | |
| CN1169321C (zh) | 多通道系统中获得高度综合和可用性的方法与装置 | |
| JP2004518578A (ja) | 分配された安全上重要なシステムのコンポーネントの駆動方法 | |
| US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
| JP6281917B2 (ja) | 2つのcanバス間でフレームを送信するための方法および装置 | |
| EP0883838B1 (en) | Shared bw architecture for applications with varying levels of integrity requirements | |
| Katz et al. | Low-overhead time-triggered group membership | |
| GB2559218A (en) | A modular safety software architecture for electrified-powertrain control systems | |
| CN110871897B (zh) | 无人机自检方法及系统 | |
| US7433354B2 (en) | Bus system for an aircraft | |
| CN106251705A (zh) | 轨迹监控 | |
| US20220271941A1 (en) | Method and device for checking an incoming secured, encrypted message | |
| CN111698016B (zh) | 用于数据传输的设备和方法 | |
| CN115246426A (zh) | 基于列车感知传感器行车的安全计算平台及方法 | |
| US20200089583A1 (en) | Configuration and method to guarantee high integrity data in a redundant voting data system | |
| EP1141833B1 (en) | Microprocessor module with reset voting arrangement and method therefor | |
| CN103004142B (zh) | 用于基于功能类型对将由通信网络的电子设备使用的帧进行检查并使用这些帧中包含的参数的设备和方法 | |
| EP4231595A1 (en) | Relay device, communication network system, and communication control method | |
| JP2008042730A (ja) | 車載用ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20040929 |
|
| EXPY | Termination of patent right or utility model |