FR2907234A1 - Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande - Google Patents

Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande Download PDF

Info

Publication number
FR2907234A1
FR2907234A1 FR0609007A FR0609007A FR2907234A1 FR 2907234 A1 FR2907234 A1 FR 2907234A1 FR 0609007 A FR0609007 A FR 0609007A FR 0609007 A FR0609007 A FR 0609007A FR 2907234 A1 FR2907234 A1 FR 2907234A1
Authority
FR
France
Prior art keywords
signal
sensor
auxiliary
main
measurement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0609007A
Other languages
English (en)
Other versions
FR2907234B1 (fr
Inventor
Vincent Morel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR0609007A priority Critical patent/FR2907234B1/fr
Publication of FR2907234A1 publication Critical patent/FR2907234A1/fr
Application granted granted Critical
Publication of FR2907234B1 publication Critical patent/FR2907234B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

La présente invention concerne un procédé d'identification d'un capteur principal défaillant d'une chaîne de commande. En particulier, elle concerne un procédé d'identification d'un capteur principal défaillant au sein d'un système de commande, le système de commande comportant au moins deux capteurs principaux identiques C1, C2 réalisant une mesure d'une même grandeur physique, chaque capteur principal délivrant un signal de mesure SM1, SM2, à une unité de contrôle UC1, UC2, le système de commande comportant un capteur auxiliaire STDBY, réalisant une mesure de la grandeur physique et délivrant un signal de mesure auxiliaire DY, une phase d'alerte étant ouverte lors d'une détection d'une défaillance d'un capteur principal, la phase d'alerte étant maintenue ouverte tant que la défaillance apparaît;Selon l'invention, la phase d'alerte comporte au moins les étapes suivantes :- Déterminer si le signal de mesure auxiliaire DY est différent des signaux de mesure SM1, SM2 ;- Déterminer si la phase d'alerte a une durée qui dépasse une valeur T1, pour établir une confirmation de la défaillance d'un capteur ;- Lorsque la défaillance est confirmée, identifier le capteur principal défaillant comme étant l'unique capteur principal qui délivre un signal de mesure SM1, SM2 différent du signal de mesure auxiliaire DY,- Désactiver l'unité de contrôle UC1, UC2 alimentée par le capteur défaillant ;

Description

1 Procédé et dispositif d'identification d'un capteur principal défaillant
appartenant à une chaîne de commande La présente invention concerne un procédé d'identification d'un capteur principal défaillant d'une chaîne de commande. L'invention trouve une utilité particulière dans le domaine des chaînes de commande d'un équipement de pilotage automatique d'un aéronef, les chaînes de commande comportant au moins deux capteurs redondants qui délivrent un signal de mesure considéré comme critique pour le pilotage de l'aéronef. L'invention concerne également un dispositif d'identification d'un capteur principal défaillant appartenant à la chaîne de commande. Des équipements numériques, par exemple des calculateurs de contrôle automatique de systèmes critiques requièrent une surveillance très étroites de certaines de leurs données d'entrée, appelées données critiques . De tels équipements comportent en général des chaînes de commande redondées et un dispositif de surveillance comparant les données entrant sur les chaînes de commande : on parle alors d'équipement à architecture duale Un exemple d'une telle architecture, représentant l'état de l'art d'un système de commande à architecture duale, est présenté sur la figure 1. Le système de commande représenté sur la figure est par exemple embarqué à bord d'un hélicoptère, il comporte une première chaîne de commande et une deuxième chaîne de commande redondée. La première chaîne comporte un capteur principal Cl, une unité de contrôle UC1, et un actionneur A1. Le capteur principal Cl, par exemple un capteur inertiel, réalise une première mesure d'une grandeur physique par exemple une accélération suivant une direction et délivre un signal de mesure SM1 à l'unité de contrôle UC1. L'unité de contrôle produit une consigne CD1 à destination de l'actionneur, A1. La consigne CD1 est par exemple une consigne de déplacement d'une extrémité de l'actionneur Al qui agit sur un axe de pilotage de l'hélicoptère, comme l'orientation du rotor principal.
Si le signal de mesure, SM1 est considéré comme critique pour le pilotage de l'aéronef, la deuxième chaîne de commande redonde la première chaîne de calcul. La deuxième chaîne comporte un capteur principal C2, 2907234 2 identique au capteur principal Cl, qui réalise une deuxième mesure de la grandeur physique simultanément à la première mesure de Cl, une unité de contrôle UC2 identique à l'unité de contrôle UC1, et enfin un actionneur A2 identique à l'actionneur Al.
5 Un dispositif de surveillance SUR reçoit les signaux de mesures SM1, SM2 délivrés par les capteurs principaux Cl, C2. Le dispositif SUR surveille l'apparition d'une défaillance sur un des deux capteurs principaux en mettant en évidence une divergence entre les signaux SM1, SM2 qui mesurent la même grandeur physique. La surveillance est assurée, par 10 exemple, au moyen d'une comparaison entre une valeur absolue d'un écart entre SM1 et SM2 et un seuil donné SE1. Dans cette architecture d'équipement, le dispositif de surveillance SUR permet de détecter une apparition de défaillance sur l'un des capteurs principaux Cl, C2, mais il ne permet pas d'identifier le capteur défaillant.
15 Aussi, lorsqu'une défaillance d'un des capteurs est détectée, une seule mesure de sauvegarde est envisageable : une inhibition totale des cieux chaînes de commande : cette inhibition est présumée moins nocive qu'une exécution d'une consigne élaborée à partir d'une mesure erronée. Cette mesure de sauvegarde n'est pas toujours tolérable par le 20 pilote qui peut avoir un besoin vital de l'assistance au pilotage fournie par le système : c'est le cas par exemple, au cours d'un vol sans visibilité avec un pilotage manuel de l'hélicoptère. Une absence totale d'information provenant des deux capteurs principaux Cl, C2 est d'autant plus regrettable que l'architecture redondante des chaînes de commande permet facilement, par 25 exemple dans une mode de fonctionnement dégradé, de désactiver sélectivement une seule des deux chaînes de commande redondées. Une première solution pour pallier la non-identification du capteur principal Cl, C2 défaillant par une chaîne de commande selon l'art antérieur, consiste pour le pilote à désactiver successivement chacune des deux 30 chaîne de commande et à identifier manuellement quelle est la chaîne de commande qui comporte un capteur principal Cl, C2 défaillant. Cette identification manuelle peut consister, par exemple, à placer l'aéronef dans une configuration de vol donnée et à vérifier le comportement de la chaîne de commande en question par l'intermédiaire d'affichages disponible sur l'interface homme-machine de l'aéronef. Une fois la chaîne défaillante 2907234 3 identifiée, le pilote pourra la désactiver et conserver la chaîne de commande comportant le capteur principal Cl, C2, qui n'est pas défaillant pour exploiter son signal de mesure. Cette solution présente l'inconvénient d'accaparer l'attention du pilote qui n'est pas toujours en situation de réaliser des 5 vérification manuelles de ce type. Une deuxième solution, automatique celle ci, consiste à renforcer la redondance des chaînes de commande, par exemple en prévoyant l'utilisation de trois capteurs principaux identiques Cl, C2, C3 identiques plutôt que deux dans l'art antérieur. Dans cette solution, les signaux de mesure SM1, SM2, SM3 délivrés par les trois capteurs principaux Cl, C2, C3 sont comparés deux à deux. Un capteur principal, par exemple Cl délivrant un signal de mesure SM1, est considéré comme non-défaillant si au moins un autre des capteurs principaux C2, C3 délivre un signal de mesure SM2, SM3 qui est identique à SM1. Le principal inconvénient de cette méthode est 15 d'ordre économique : les capteurs principaux sont critiques, et par conséquent de grande précision. Le coût d'une redondance requérant trois capteurs principaux est rédhibitoire. Le but de l'invention est de pallier les inconvénients de ces solutions. Plus précisément, l'invention a pour objet un procédé 20 d'identification d'un capteur principal défaillant au sein d'un système de commande, le système de commande comportant au moins deux capteurs principaux identiques Cl, C2 réalisant une mesure d'une grandeur physique, chaque capteur principal délivrant un signal de mesure SM1, SM2, à une unité de contrôle UC1, UC2, le système de commande comportant un 25 capteur auxiliaire STDBY, réalisant une mesure de la grandeur physique et délivrant un signal de mesure auxiliaire DY, une phase d'alerte étant ouverte lors d'une détection d'une défaillance d'un capteur principal, la phase d'alerte étant maintenue ouverte tant que la défaillance apparaît; caractérisé en ce que la phase d'alerte comporte au moins les étapes suivantes : 30 -Déterminer si le signal de mesure auxiliaire DY est différent des signaux de mesure SM1, SM2 ; - Déterminer si la phase d'alerte a une durée qui dépasse une valeur Ti, pour établir une confirmation de la défaillance d'un capteur ; 2907234 4 - Lorsque la défaillance est confirmée, identifier le capteur principal défaillant comme étant l'unique capteur principal qui délivre un signal de mesure SM1, SM2 différent du signal de mesure auxiliaire DY, - Désactiver l'unité de contrôle UC1, UC2 alimentée par le capteur 5 défaillant ; Un premier avantage du procédé selon l'invention tient dans ce qu'il réduit la fréquence des situations dans lesquelles toutes les chaînes de commandes cessent de délivrer une consigne. En effet, lorsque le procédé selon l'invention permet d'identifier un capteur principal défaillant, par i0 exemple Cl, le système peut encore recourir au capteur non-défaillant C2 pour pallier la défaillance de Cl. On perd l'information véhiculée par les signaux de mesure SM1, SM2 uniquement dans une situation où les cieux capteurs principaux Cl, C2 sont défaillants simultanément. Une deuxième avantage du procédé selon l'invention est que 15 l'identification d'un capteur principal défaillant est automatique et ne requiert aucun effort du pilote. L'invention a également pour objet un dispositif d'identification d'un capteur défaillant appartenant à un système de commande, le système de commande comportant au moins deux capteurs principaux identiques Cl, 20 C2 et un capteur auxiliaire STDBY, les capteur principaux et le capteur auxiliaire réalisant une mesure d'une grandeur physique, chaque capteur principal Cl, C2 délivrant un signal de mesure SM1, SM2, à une unité de contrôle UC1, UC2, le capteur auxiliaire STDBY délivrant un signal de mesure auxiliaire DY, ledit dispositif mettant en oeuvre un procédé selon 25 l'une des revendications précédentes, caractérisé en ce qu'il comporte : - Une unité de surveillance SUR pour : - détecter une défaillance de l'un des détecteurs principaux Cl, C2 à partir du signal de mesure SM1, SM2 délivré par les détecteurs principaux Cl, C2; 30 - Lorsqu'une défaillance est détectée, déterminer un caractère persistant de la défaillance; - Une unité de localisation LOC, pour identifier, lorsqu'une défaillance persistante est détectée, quel est le capteur principal défaillant, parmi les capteurs principaux Cl, C2, en se fondant sur une comparaison 35 des signaux des mesure SM1, SM2 et du signal auxiliaire DY.
2907234 5 Un avantage du dispositif selon l'invention tient en ce qu'il constitue une amélioration d'une architecture duale d'un système de pilotage automatique d'aéronef et constitue une réponse à des exigences de sûreté de fonctionnement plus sévères que celle édictées par le passé.
5 Un autre avantage du dispositif selon l'invention réside dans la modicité de son coût. Par rapport à un système à architecture duale selon l'art antérieur, il nécessite peu d'équipement supplémentaire pour réaliser une identification d'un capteur principal défaillant. La présence du capteur STDBY étant généralement requis par ailleurs pour remplir des fonctions externes au système de commande. D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture de la description détaillée qui suit, faite à titre d'exemple non limitatif et en référence aux dessins annexés dans lesquels : 15 - la figure 1, déjà décrite, représente schématiquement un système de commande à architecture duale selon l'art antérieur ; - la figure 2 représente schématiquement une architecture d'un système de commande à architecture duale comportant un dispositif de d'identification d'un capteur principal défaillant selon l'invention ; 20 - la figure 3 représente un mode de réalisation d'un dispositif de d'identification d'un capteur principal défaillant selon l'invention ; D'une figure à l'autre, les mêmes éléments sont repérés par les mêmes références.
25 La figure 2 représente schématiquement une architecture d'un système de commande à architecture duale comportant un dispositif de d'identification d'un capteur principal défaillant selon l'invention. Le système de commande, par exemple embarqué à bord d'un aéronef, comporte une unité de surveillance SUR, 30 et une unité de 30 localisation LOC. L'unité de surveillance SUR détecte une défaillance de l'un des capteurs principaux Cl, C2 à partir du signal de mesure SM1, SM2 que les capteurs principaux délivrent. Lorsqu'une défaillance d'un capteur principal Cl, C2 est détectée, l'unité de surveillance, SUR détermine également si la 35 défaillance possède ou non un caractère persistant c'est à dire quelle 2907234 6 examine si la défaillance apparaît sur une durée suffisamment longue 1pour ne pas être un artefact de mesure. Lorsque l'unité de surveillance SUR détermine qu'une défaillance d'un capteur principal Cl, C2 est persistante, l'unité de localisation LOC 5 identifie quel est, parmi les capteurs principaux, le capteur qui est défaillant. Pour ce faire, l'unité de localisation LOC reçoit : - les signaux de mesure SM1, SM2, - un signal PER émis par l'unité de surveillance SUR indiquant qu'un des capteurs principaux Cl, C2 est défaillant et que la défaillance a un i 0 caractère persistant et - un signal de mesure auxiliaire DY produit par un capteur auxiliaire STDBY. Le capteur auxiliaire STDBY mesure une grandeur physique identique à celle mesurée par les capteurs principaux. Le capteur auxiliaire 15 STDBY a en général une sensibilité réduite par rapport à celle des capteurs principaux. Le signal de mesure auxiliaire DY est par exemple utilisé au sein d'un système de secours ou pour répondre à des besoins d'affichage pour le pilote dans la cabine de l'aéronef. L'unité de localisation LOC délivre des signaux d'état 1_1, 1_2, 1_3 20 porteur d'une information sur l'identité d'un capteur principal défaillant. Cette information peut par exemple prendre la forme de niveaux logiques. Lorsque le capteur principal Cl est déterminé défaillant, le signal d'état 1_1 prend un niveau positif, sinon il reste à un niveau négatif, lorsque le capteur principal C2 est déterminé défaillant, le signal d'état 1_2 prend un niveau positif, sinon 25 il reste à un niveau négatif. Lorsqu'un des deux capteurs principaux est déterminé défaillant, le signal d'état 1_3 prend un niveau négatif, à l'inverse lorsqu'il n'est pas possible de déterminer lequel des deux capteurs principaux est défaillant, le signal d'état 1_3 reste à un niveau positif. Les signaux d'état 1_1, 1_2, 1_3 sont délivrés aux unités de 30 contrôle UC1, UC2: ces signaux d'état permettent d'adapter une configuration de la chaîne de contrôle aux résultat d'un surveillance. C'est à dire que les signaux d'état 1_1, 1_2, 1_3 peuvent permettre de désactiver une prise en compte d'un signal de mesure SM1, SM2 lorsque le capteur principal délivrant le signal de mesure est déterminé défaillant.
2907234 7 La figure 3 représente un exemple d'architecture d'une unité de surveillance SUR et d'une unité de localisation LOC. Cette représentation facilite une explication du fonctionnement d'un dispositif d'identification d'un capteur défaillant selon l'invention et notamment des unités SUR et LOC qu'il 5 comporte. L'unité de surveillance SUR comporte un comparateur CMPO, 31 et un compteur CNF, 32. Le comparateur CMPO est alimenté par les signaux de mesures SM1, SM2 provenant des capteurs principaux Cl, C2 et il produit un signal 10 d'alerte DET qui alimente le compteur CNF. Le compteur CNF délivre un signal PER de niveau positif lorsque le signal d'alerte DET conserve un niveau positif pendant une durée continue supérieure à une durée prédéfinie Ti. Pour sa part, le comparateur CMPO délivre un signal de niveau 15 négatif tant qu'il ne détermine aucune différence entre les signaux de mesure SM1 et SM2 et il délivre un signal de niveau positif dès qu'il détermine une différence entre ces deux signaux de mesure. Avantageusement, la détermination d'une différence entre deux signaux de mesure SM1, SM2 consiste en une comparaison entre une valeur 20 absolue d'un écart séparant les deux signaux de mesure SM1, SM2 et un premier seuil SE1. Une autre façon d'expliquer le fonctionnement de l'unité de surveillance SUR consiste à introduire une notion de phase d'alerte : une phase d'alerte est ouverte dès que signal DET prend un niveau positif. La 25 phase d'alerte est close lorsque le signal DET a un niveau négatif. Le compteur CNF délivre un signal de niveau positif lorsque la durée d'une phase d'alerte dépasse la durée prédéfinie Ti. La durée prédéfinie Ti est un seuil permettant de distinguer si une défaillance est ou n'est pas stable temporellement.
30 Avantageusement, les étapes de la phase d'alerte sont répétées séquentiellement à des instant tn ; où n représente un indice de répétition des étapes de la phase d'alerte. Avantageusement, la détection d'une défaillance d'un capteur principal comporte une étape consistant à déterminer si au moins un signal 2907234 8 de mesure SM1, SM2, est différent des autres signaux de mesure SM1, SM2. L'unité de localisation LOC comporte par exemple deux unités de comparaison CMP1, 41, CMP2, 42 et trois portes logiques ET1, 43, ET2, 44, 5 ET3, 45. Le comparateur CMP1 est alimenté par le signal de mesures SM1 et le signal de mesure auxiliaire DY provenant du capteur auxiliaire STDBY. Le comparateur CMP1 délivre un signal de comparaison auxiliaire MY1. Le signal a un niveau négatif tant que le comparateur CMP1 ne détermine pas de différence entre SM1 et DY, le signal de comparaison auxiliaire MY1 prend le niveau positif dès que le comparateur CMP1 détecte une différence entre SM1 et DY. Le comparateur CMP2 est alimenté par le signal de mesures SM2 et le signal de mesure auxiliaire DY provenant du capteur auxiliaire STDBY.
15 Le comparateur CMP2 délivre un signal de comparaison auxiliaire MY2. Le signal a un niveau négatif tant que le comparateur CMP2 ne détermine pas de différence entre SM2 et DY, le signal de comparaison auxiliaire MY2 prend le niveau positif dès que le comparateur CMP2 détecte une différence entre SM2 et DY.
20 Avantageusement, la détermination d'une différence entre un signal de mesure SM1, SM2 et le signal de mesure auxiliaire DY consiste en une comparaison entre une valeur absolue d'un écart séparant le signal de mesure SM1, SM2 et le signal de mesure auxiliaire DY et un deuxième seuil SE2.
25 Avantageusement, le deuxième seuil SE2 est supérieur au premier seuil SE1. La porte logique ET1 reçoit le signal PER, le signal de comparaison auxiliaire MY1 et le signal de comparaison auxiliaire MY2 30 inversé. Le signal de comparaison auxiliaire MY2 inversé a un niveau positif lorsque le signal de comparaison auxiliaire MY2 a un niveau négatif et inversement. La porte ET1 produit le signal 1_1 qui a pour valeur un niveau logique résultant d'un et logique entre les entrées de la porte ET1. La porte logique ET2 reçoit le signal PER, le signal de 35 comparaison auxiliaire MY2 et le signal de comparaison auxiliaire MY1 2907234 9 inversé. Le signal de comparaison auxiliaire MY1 inversé a un niveau positif lorsque le signal de comparaison auxiliaire MY1 a un niveau négatif et inversement. La porte ET2 produit le signal 1_2 qui a pour valeur un niveau logique résultant d'un et logique entre les entrées de la porte ET3.
5 La porte logique ET3 reçoit le signal PER, les signaux I_1 et 1_2 inversés et produit le signal 1_3 qui a pour valeur un niveau logique résultant d'un et logique entre les entrées de la porte ET3. Avantageusement, l'unité de localisation LOC comporte : - deux d'unités de comparaison auxiliaires CMP1, CMP2, servant à 10 comparer un signal de mesure SM1, SM2 au signal de mesure auxiliaire DY et délivrant chacune un signal de comparaison auxiliaire MY1, MY2; - deux premières portes logiques ET1, ET2, comportant chacune 3 entrées et délivrant chacune un signal 1_1, I_2, une première entrée des premières portes logiques ET1, ET2, étant alimentée par le signal PER, une 15 deuxième entrée de la première porte logique ET1 étant alimentée par le signal de comparaison auxiliaire MY1, une troisième entrée de la première porte logique ET1 étant alimentée par le signal de comparaison auxiliaire MY2 inversé, une deuxième entrée de la première porte logique ET2 étant alimentée par le signal de comparaison auxiliaire MY1 inversé , une 20 troisième entrée de la première porte logique ET2 étant alimentée par le signal de comparaison auxiliaire SY2; - une deuxième porte logique ET3 comportant 3 entrées et délivrant un signal 1_3, une première entrée de la deuxième porte logique ET3 étant alimentée par le signal I_1 inversé, une deuxième entrée de la deuxième 25 porte logique ET3 étant alimentée par le signal 1_2 inversé, une troisième entrée de la deuxième porte logique ET3 étant alimentée par le signal PER.

Claims (9)

REVENDICATIONS
1. Procédé d'identification d'un capteur principal défaillant au sein d'un système de commande, le système de commande comportant au moins deux capteurs principaux identiques Cl, C2 (1,
2) réalisant une mesure d'une grandeur physique, chaque capteur principal délivrant un signal de mesure SM1, SM2, à une unité de contrôle UC1, UC2, (10, 20), le système de commande comportant un capteur auxiliaire STDBY (3), réalisant une mesure de la grandeur physique et délivrant un signal de mesure auxiliaire DY, une phase d'alerte étant ouverte lors d'une détection d'une défaillance d'un capteur principal Cl, C2 (1, 2), la phase d'alerte étant maintenue ouverte tant que la défaillance apparaît; caractérisé en ce que la phase d'alerte comporte au moins les étapes suivantes : - Déterminer si le signal de mesure auxiliaire DY est différent des signaux de mesure SM1, SM2 ; 15 - Déterminer si la phase d'alerte a une durée qui dépasse une valeur Ti, pour établir une confirmation de la défaillance d'un capteur ; - Lorsque la défaillance est confirmée, identifier le capteur principal défaillant Cl, C2 (1, 2) comme étant l'unique capteur principal Cl, C2 (1, 2) qui délivre un signal de mesure SM1, SM2 différent du signal de mesure 20 auxiliaire DY, -Désactiver l'unité de contrôle UC1, UC2 (10, 20), alimentée par le capteur défaillant Cl, C2 (1, 2) ; 2. Procédé selon la revendication 1 caractérisé en ce que les étapes 25 de la phase d'alerte sont répétées séquentiellement à des instant tn ; où n représente un indice de répétition des étapes de la phase d'alerte.
3. Procédé selon l'une des revendications 1 à 2 caractérisé en ce que la détection d'une défaillance d'un capteur principal Cl, C2 (1, 2) 30 comporte une étape consistant à déterminer si au moins un signal de mesure SM1, SM2, est différent des autres signaux de mesure SM1, SM2.
4. Procédé selon l'une des revendications 1 à 3 caractérisé en ce que la détermination d'une différence entre deux signaux de mesure SM1, 2907234 11 SM2 consiste en une comparaison entre une valeur absolue d'un écart séparant les deux signaux de mesure SM1, SM2 et un premier seuil SE1.
5. Procédé selon l'une des revendications 1 à 4 caractérisé en ce 5 que la détermination d'une différence entre un signal de mesure SM1, SM2 et le signal de mesure auxiliaire DY consiste en une comparaison entre une valeur absolue d'un écart séparant le signal de mesure SM1, SM2 et le signal de mesure auxiliaire DY et un deuxième seuil SE2.
6. Procédé selon la revendication 5 caractérisé en ce que le deuxième seuil SE2 est supérieur au premier seuil SE1.
7. Dispositif d'identification d'un capteur défaillant appartenant à un système de commande, le système de commande comportant au moins deux capteurs principaux identiques Cl, C2 (1, 2) et un capteur auxiliaire STDBY, les capteur principaux Cl, C2 (1, 2) et le capteur auxiliaire STDBY réalisant une mesure d'une grandeur physique, chaque capteur principal Cl, C2 délivrant un signal de mesure SM1, SM2, à une unité de contrôle UC1, UC2, (10, 20), le capteur auxiliaire STDBY délivrant un signal de mesure auxiliaire DY, ledit dispositif mettant en oeuvre un procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte : - Une unité de surveillance SUR pour : - détecter une défaillance de l'un des détecteurs principaux Cl, C2 (1, 2) à partir du signal de mesure SM1, SM2 délivré par les détecteurs 25 principaux Cl, C2 (1, 2); - Lorsqu'une défaillance est détectée, déterminer un caractère persistant de la défaillance; - Une unité de localisation LOC, pour identifier, lorsqu'une défaillance persistante est détectée, quel est le capteur principal défaillant, parmi les 30 capteurs principaux Cl, C2 (1, 2), en se fondant sur une comparaison des signaux des mesure SM1, SM2 et du signal auxiliaire DY.
8. Dispositif selon la revendication précédente, la chaîne de commande comportant deux capteurs principaux Cl, C2 (1, 2), caractérisé 2907234 12 en ce que l'unité de surveillance comporte une unité de comparaison de signaux de mesure, CMPO et délivre un signal PER.
9. Dispositif selon la revendication précédente, caractérisé en ce que 5 l'unité de localisation LOC comporte : - deux d'unités de comparaison auxiliaires CMP1, CMP2, (41, 42) servant à comparer un signal de mesure SM1, SM2 au signal de mesure auxiliaire DY et délivrant chacune un signal de comparaison auxiliaire MY1, MY2; - deux premières portes logiques ET1, ET2 (43, 44), comportant chacune 3 entrées et délivrant chacune un signal 1_1, 1_2, une première entrée des premières portes logiques ET1, ET2 (43, 44), étant alimentée par le signal PER, une deuxième entrée de la première porte logique ET1 (43) étant alimentée par le signal de comparaison auxiliaire MY1, une troisième 15 entrée de la première porte logique ET1 (43) étant alimentée par le signal de comparaison auxiliaire MY2 inversé, une deuxième entrée de la première porte logique ET2 (44) étant alimentée par le signal de comparaison auxiliaire MY1 inversé , une troisième entrée de la première porte logique ET2 (44) étant alimentée par le signal de comparaison auxiliaire SY2; 20 - une deuxième porte logique ET3 (45) comportant 3 entrées et délivrant un signal 1_3, une première entrée de la deuxième porte logique ET3 étant alimentée par le signal 1_1 inversé, une deuxième entrée de la deuxième porte logique ET3 étant alimentée par le signal I_2 inversé, une troisième entrée de la deuxième porte logique ET3 étant alimentée par le signal PER.
FR0609007A 2006-10-13 2006-10-13 Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande Expired - Fee Related FR2907234B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0609007A FR2907234B1 (fr) 2006-10-13 2006-10-13 Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0609007A FR2907234B1 (fr) 2006-10-13 2006-10-13 Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande

Publications (2)

Publication Number Publication Date
FR2907234A1 true FR2907234A1 (fr) 2008-04-18
FR2907234B1 FR2907234B1 (fr) 2009-01-16

Family

ID=37806872

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0609007A Expired - Fee Related FR2907234B1 (fr) 2006-10-13 2006-10-13 Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande

Country Status (1)

Country Link
FR (1) FR2907234B1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2939528A1 (fr) * 2008-12-08 2010-06-11 Airbus France Dispositif et procede de generation automatique d'un ordre de commande d'une gouverne d'aeronef
CN108036812A (zh) * 2017-11-13 2018-05-15 深圳市易成自动驾驶技术有限公司 传感器状态检测方法、装置及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1272834A (en) * 1968-06-24 1972-05-03 Westinghouse Electric Corp Control system
US4105900A (en) * 1977-02-16 1978-08-08 The Boeing Company Signal selection apparatus for redundant signal sources
US5757641A (en) * 1995-07-03 1998-05-26 General Electric Company Triplex control system with sensor failure compensation
EP0977098A1 (fr) * 1998-07-29 2000-02-02 Cegelec Acec S.A. Système redondant de contrôle de procédé
EP1443399A1 (fr) * 2003-01-23 2004-08-04 Supercomputing Systems AG Fault tolerant computer controlled system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1272834A (en) * 1968-06-24 1972-05-03 Westinghouse Electric Corp Control system
US4105900A (en) * 1977-02-16 1978-08-08 The Boeing Company Signal selection apparatus for redundant signal sources
US5757641A (en) * 1995-07-03 1998-05-26 General Electric Company Triplex control system with sensor failure compensation
EP0977098A1 (fr) * 1998-07-29 2000-02-02 Cegelec Acec S.A. Système redondant de contrôle de procédé
EP1443399A1 (fr) * 2003-01-23 2004-08-04 Supercomputing Systems AG Fault tolerant computer controlled system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2939528A1 (fr) * 2008-12-08 2010-06-11 Airbus France Dispositif et procede de generation automatique d'un ordre de commande d'une gouverne d'aeronef
US8234019B2 (en) 2008-12-08 2012-07-31 Airbus Operations (Sas) Device and method for automatically generating a control order for an aircraft control surface
CN108036812A (zh) * 2017-11-13 2018-05-15 深圳市易成自动驾驶技术有限公司 传感器状态检测方法、装置及计算机可读存储介质

Also Published As

Publication number Publication date
FR2907234B1 (fr) 2009-01-16

Similar Documents

Publication Publication Date Title
FR2488397A1 (fr) Systeme de detection de defectuosites de capteurs par controle d'activite
CA2755408C (fr) Procede et dispositif d'aide a la conduite d'operations aeriennes necessitant une garantie de performance de navigation et de guidage
FR2942760A1 (fr) Systeme et procede pour determiner une panne d'un capteur de pedale de frein
FR2901893A1 (fr) Dispositif de surveillance d'informations de commande d'un aeronef
US9580053B2 (en) Signal processing apparatus for wheel speed sensor
EP2063278B1 (fr) Procédé de vérification d'un module de sorties numériques d'un automate programmable et module mettant en oeuvre ce procédé
WO2017129917A1 (fr) Système de régulation électronique partiellement redondant
FR2978423A1 (fr) Procede et dispositif de detection de l'embarquement d'une gouverne d'aeronef
FR2905778A1 (fr) Procede de verification de pertinence d'une valeur de masse d'un aeronef
US20190361764A1 (en) Redundant processor architecture
CA2640321C (fr) Procede et dispositif de detection d'une dissymetrie laterale d'un aeronef
US20160131696A1 (en) Unit and method for monitoring an integrity of a signal path, signal processing system and sensor system
WO2017097595A1 (fr) Ensemble de gestion de vol d'un aeronef et procede de surveillance de consignes de guidage d'un tel ensemble
EP2294489A1 (fr) Procédé et dispositif pour la détection de conflits de pilotage entre l'équipage et le pilote automatique d'un aéronef
FR2681302A1 (fr) Dispositif de direction assistee.
WO2016207029A1 (fr) Systeme inertiel de mesure pour aeronef
US8862934B2 (en) Redundant computing system and redundant computing method
FR2907234A1 (fr) Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande
KR20200034021A (ko) 자율 주행 시스템의 페일 세이프 기능 보장 장치 및 방법
FR2968784A1 (fr) Procede et dispositif de surveillance automatique d'ordres de guidage lateraux d'un aeronef.
FR2986398A1 (fr) Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs
EP2254791B1 (fr) Procede et systeme de desactivation d'un systeme d'orientation d'un train d'atterrissage avant d'un aeronef
EP1912103B1 (fr) Procédé et dispositif de surveillance d'asservissement d'actionneur
CA2448836C (fr) Procede et dispositif pour detecter la defaillance d'un capteur de pression d'une centrale anemometrique d'un aeronef
EP3035135B1 (fr) Procédé d'arrêt d'urgence et système sécuritaire associé

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16

ST Notification of lapse

Effective date: 20230606