FR3135800A1 - Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération - Google Patents

Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération Download PDF

Info

Publication number
FR3135800A1
FR3135800A1 FR2204702A FR2204702A FR3135800A1 FR 3135800 A1 FR3135800 A1 FR 3135800A1 FR 2204702 A FR2204702 A FR 2204702A FR 2204702 A FR2204702 A FR 2204702A FR 3135800 A1 FR3135800 A1 FR 3135800A1
Authority
FR
France
Prior art keywords
trajectory
data
initial
database
comparison
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2204702A
Other languages
English (en)
Other versions
FR3135800B1 (fr
Inventor
Pierre-Yves Dumas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR2204702A priority Critical patent/FR3135800B1/fr
Priority to CA3199263A priority patent/CA3199263A1/fr
Priority to US18/316,436 priority patent/US20230376050A1/en
Priority to CN202310549247.8A priority patent/CN117093605A/zh
Publication of FR3135800A1 publication Critical patent/FR3135800A1/fr
Application granted granted Critical
Publication of FR3135800B1 publication Critical patent/FR3135800B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/10Simultaneous control of position or course in three dimensions
    • G05D1/101Simultaneous control of position or course in three dimensions specially adapted for aircraft
    • G05D1/106Change initiated in response to external conditions, e.g. avoidance of elevated terrain or of no-fly zones
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D43/00Arrangements or adaptations of instruments
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0017Arrangements for implementing traffic-related aircraft activities, e.g. arrangements for generating, displaying, acquiring or managing traffic information
    • G08G5/0021Arrangements for implementing traffic-related aircraft activities, e.g. arrangements for generating, displaying, acquiring or managing traffic information located in the aircraft
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/02Automatic approach or landing aids, i.e. systems in which flight data of incoming planes are processed to provide landing data
    • G08G5/025Navigation or guidance aids
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/0227Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
    • G05B23/0237Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on parallel systems, e.g. comparing signals produced at the same time by same type systems and detect faulty ones by noticing differences among their responses
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/0073Surveillance aids
    • G08G5/0086Surveillance aids for monitoring terrain
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G5/00Traffic control systems for aircraft, e.g. air-traffic control [ATC]
    • G08G5/04Anti-collision systems
    • G08G5/045Navigation or guidance aids, e.g. determination of anti-collision manoeuvers

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Traffic Control Systems (AREA)

Abstract

Procédé de génération d’un élément de trajectoire , système de génération associé et aéronef comprenant un tel système de génération Procédé de génération d’au moins un élément de trajectoire (T) pour le contrôle d’un aéronef (1) selon l’élément de trajectoire (T), le procédé de génération étant au moins partiellement mis en œuvre par un système de génération (2) embarqué dans l’aéronef (1), et comprenant des étapes de : - réception d’une première donnée initiale enregistrée dans une première base de données (6), la première base de données (6) présentant un premier niveau d’intégrité prédéfini, dit niveau d’intégrité initial ; - réception d’une seconde donnée initiale enregistrée dans une seconde base de données (8), la seconde base de données (8) présentant ledit niveau d’intégrité initial, la première base de données (6) étant dissimilaire par rapport à la seconde base de données (8) ; - comparaison d’au moins une première donnée de trajectoire (D1) avec au moins une seconde donnée de trajectoire (D2) ; - obtention de l’élément de trajectoire (T). Figure pour l'abrégé : Figure 1

Description

Procédé de génération d’un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération
La présente invention concerne un procédé de génération d’un élément de trajectoire pour le contrôle d’un aéronef selon ledit élément de trajectoire.
La présente invention concerne également un système de génération d’un élément de trajectoire pour le contrôle d’un aéronef selon l’élément de trajectoire.
La présente invention concerne en outre un aéronef comprenant un tel système de génération.
L’invention concerne le domaine des systèmes avioniques embarqués et leur sécurité de fonctionnement.
Certaines trajectoires sont déterminées à partir de données enregistrées dans une ou plusieurs bases de données.
De tels trajectoires comprennent par exemple des trajectoires d’approche spécifiques, pour mettre en œuvre une opération d’approche de type RNP APCH (de l’anglais « Required Navigation Performance APproaCH ») ou de type et RNP AR APCH (de l’anglais « Required Navigation Performance Autorisation Required APproaCH »).
Ces trajectoires, une fois obtenues à partir de la ou des bases de données, sont critiques pour la sécurité d’un aéronef qui est contrôlé en fonction de ces trajectoires. En effet, des erreurs dans ces trajectoires sont susceptibles de causer des conséquences graves notamment sur la sécurité de l’aéronef et de l’équipage.
Par conséquent, de telles trajectoires doivent présenter un niveau d’intégrité élevé qui est prédéfini.
Le document EP 3 591 480 A1 propose un système comprenant une unité de surveillance présentant un niveau d’intégrité élevé afin de valider des données générées. L’unité de surveillance comprend alors des bases de données présentant ce niveau d’intégrité élevé afin de permettre la validation.
Toutefois, la surveillance par une unité présentant un tel niveau d’intégrité élevé implique des exigences élevées en particulier quant aux ressources matérielles et logicielles utilisées. Le système de EP 3 591 480 A1 est alors complexe.
Un but de l’invention est alors d’au moins réduire ces inconvénients. En particulier, un but de l’invention est d’obtenir un procédé de génération d’un élément de trajectoire qui présente moins d’exigences quant aux ressources matérielles et logicielles utilisées pour la génération de l’élément de trajectoire, tout en obtenant une intégrité élevée de l’élément de trajectoire.
A cet effet, un objet de l’invention est un procédé de génération d’au moins un élément de trajectoire pour le contrôle d’un aéronef selon l’élément de trajectoire, le procédé de génération étant au moins partiellement mis en œuvre par un système de génération embarqué dans l’aéronef, et comprenant des étapes de :
- réception d’une première donnée initiale enregistrée dans une première base de données, la première base de données présentant un premier niveau d’intégrité prédéfini, dit niveau d’intégrité initial ;
- réception d’une seconde donnée initiale enregistrée dans une seconde base de données, la seconde base de données présentant ledit niveau d’intégrité initial, la première base de données étant dissimilaire par rapport à la seconde base de données ;
- comparaison, par au moins une fonction de comparaison prédéterminée, d’au moins une première donnée de trajectoire relative à la première donnée initiale avec au moins une seconde donnée de trajectoire relative à la seconde donnée initiale, pour obtenir un résultat de comparaison ;
- obtention de l’élément de trajectoire en fonction du résultat de comparaison, et en fonction d’au moins une parmi la première donnée de trajectoire et la seconde donnée de trajectoire, l’élément de trajectoire présentant un second niveau d’intégrité prédéfini, dit niveau cible, le niveau d’intégrité cible étant strictement supérieur audit niveau d’intégrité initial.
Le procédé de génération présente moins d’exigences quant aux ressources matérielles et logicielles utilisées pour la génération de l’élément de trajectoire et respecte des exigences élevées concernant l’intégrité de l’élément de trajectoire, puisque l’élément de trajectoire présentant le niveau d’intégrité cible est obtenu à partir de deux bases de données présentant le niveau d’intégrité initial, par comparaison de la première donnée de trajectoire avec la seconde donnée de trajectoire.
Grâce au procédé de génération, les bases de données sont ainsi particulièrement simples, car les données contenues dans ces bases et les bases de données elles-mêmes présentent seulement le niveau d’intégrité initial, facilitant ainsi l’implémentation de ces bases.
Du fait que la première base de données est dissimilaire par rapport à la seconde base de données, une défaillance dans l’une des bases de données ne conduit pas à une erreur dans l’élément de trajectoire. En effet, dans ce cas, la défaillance est détectée lors de l’étape de comparaison et le niveau d’intégrité cible est ainsi obtenu pour l’élément de trajectoire.
Suivant d’autres aspects avantageux de l’invention, le procédé de génération comprend une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toutes les combinaisons techniquement possibles :
- le niveau d’intégrité initial correspond à une probabilité de survenue d’une défaillance inférieure ou égale à par heure de vol de l’aéronef, et le niveau d’intégrité cible correspond à une probabilité de survenue d’une défaillance inférieure ou égale à par heure de vol de l’aéronef ;
- l’étape d’obtention est mise en œuvre par un module d’émission émettant l’élément de trajectoire comprenant la première donnée de trajectoire ou la seconde donnée de trajectoire, lorsque le résultat de comparaison comprend une validation de la première donnée de trajectoire et de la seconde donnée de trajectoire, le module d’émission présentant le niveau d’intégrité cible ;
- l’étape d’obtention comprend la génération d’une alerte par un module d’émission lorsque le résultat de comparaison comprend la détection d’une incohérence entre la première donnée de trajectoire et la seconde donnée de trajectoire, l’étape d’obtention comprenant en outre l’émission de la première donnée de trajectoire ou de la seconde donnée de trajectoire, présentant le niveau d’intégrité initial ;
- l’étape de comparaison comprend une comparaison, par une première fonction de comparaison prédéterminée, de la première donnée de trajectoire avec la seconde donnée de trajectoire, pour obtenir un premier résultat de comparaison, et comprenant une comparaison, par une seconde fonction de comparaison prédéterminée différente de la première fonction prédéterminée, de la première donnée de trajectoire avec la seconde donnée de trajectoire, pour obtenir un second résultat de comparaison ;
- l’étape d’obtention comprend l’émission d’une première alerte lorsque le premier résultat de comparaison comprend la détection d’une incohérence entre la première donnée de trajectoire et la seconde donnée de trajectoire, et comprenant l’émission d’une seconde alerte lorsque le second résultat de comparaison comprend la détection d’une incohérence entre la première donnée de trajectoire et la seconde donnée de trajectoire ;
- la première fonction de comparaison prédéterminée et l’émission de la première alerte sont mises en œuvre par un premier type d’équipement différent d’un second type d’équipement mettant en œuvre la seconde fonction de comparaison prédéterminée et l’émission de la seconde alerte ;
- l’élément de trajectoire comprend un bloc de données du segment d'approche finale d’une trajectoire d’approche vers un point d’atterrissage de l’aéronef ;
- la première donnée initiale et la seconde donnée initiale comprennent chacune au moins un élément choisi dans la liste constituée par : une position d’un seuil de piste d’atterrissage, une donnée d’altitude d’un terrain, une pente d’approche, un cap de piste d’atterrissage, une contrainte d’altitude de l’aéronef, une contrainte de vitesse de l’aéronef, une position d’un obstacle et une signature radar ;
- le procédé de génération comprend en outre des étapes de :
+ détermination de la première donnée de trajectoire en appliquant une première fonction de transfert à la première donnée initiale,
+ détermination de la seconde donnée de trajectoire en appliquant une seconde fonction de transfert à la seconde donnée initiale, la seconde fonction de transfert étant différente de la première fonction de transfert, chacune des première et seconde fonctions de transfert présente le niveau d’intégrité initial ;
- la première fonction de transfert est mise en œuvre par un type d’équipement différent d’un type d’équipement mettant en œuvre la seconde fonction de transfert ;
- au moins une caractéristique, de préférence l’ensemble des caractéristiques, parmi les caractéristiques suivantes définit que la première base de données est dissimilaire la seconde base de données :
+ la première base de données est intégrée dans un équipement d’un premier type, et la seconde base de données est intégrée dans un équipement d’un second type distinct du premier type ;
+ la première base de données et la seconde base de données sont formatées par des formatages de données respectifs, un type du formatage de la première base de données étant distinct d’un type du formatage de la seconde base de données ;
+ la première donnée initiale est d’une source différente que la seconde donnée initiale ;
+ la première donnée initiale est une donnée qui est enregistrée par un premier logiciel de gestion de bases de données, et la seconde donnée initiale est une donnée qui est enregistrée par un second logiciel de gestion de bases de données, différent du premier logiciel ;
- le procédé de génération comprend en outre une étape de validation de l’élément de trajectoire, l’étape de validation comprenant un affichage de l’élément de trajectoire à un pilote, et une réception d’une validation de l’élément de trajectoire par le pilote comme suite à l’affichage.
L’invention a aussi pour objet un système de génération d’un élément de trajectoire pour le contrôle d’un aéronef selon l’élément de trajectoire, le système de génération comprenant une première base de données présentant un premier niveau d’intégrité prédéfini, dit niveau d’intégrité initial, et une seconde base de données présentant ledit niveau d’intégrité initial, la première base de données étant dissimilaire par rapport à la seconde base de données, le système de génération étant configuré pour mettre en œuvre des étapes de :
- réception d’une première donnée initiale enregistrée dans la première base de données ;
- réception d’une seconde donnée initiale enregistrée dans la seconde base de données ;
- comparaison, par au moins une fonction de comparaison prédéterminée, d’au moins une première donnée de trajectoire relative à la première donnée initiale avec au moins une seconde donnée de trajectoire relative à la seconde donnée initiale, pour obtenir un résultat de comparaison ;
- obtention de l’élément de trajectoire en fonction du résultat de comparaison, et en fonction d’au moins une parmi la première donnée de trajectoire et la seconde donnée de trajectoire, l’élément de trajectoire présentant un second niveau d’intégrité prédéfini, dit niveau d’cible, le niveau d’intégrité cible étant strictement supérieur audit niveau d’intégrité initial.
L’invention a également pour objet un aéronef comprenant un système de génération tel que décrit ci-dessus, et comprenant un système de contrôle pour le contrôle de l’aéronef selon l’élément de trajectoire.
Ces caractéristiques et avantages de l’invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels :
la est une vue schématique d’un aéronef comprenant un système de génération d’un élément de trajectoire selon un premier mode de réalisation ;
la est une vue schématique d’un aéronef comprenant un système de génération de l’élément de trajectoire selon un second mode de réalisation ;
la est une vue schématique d’un aéronef comprenant un système de génération de l’élément de trajectoire selon un troisième mode de réalisation, et
la est ordinogramme d’un procédé de génération d’un élément de trajectoire mis en œuvre par le système de génération selon l’une des figures 1, 2 ou 3.
Dans la présente description, par l’expression « niveau d’intégrité », il est entendu une probabilité de survenue d’une défaillance d’un élément par heure de vol d’un aéronef 1.
L’élément est par exemple un signal, une donnée, une fonction, notamment d’un logiciel, ou un équipement.
Par l’expression « défaillance », il est entendu une erreur de l’élément, par exemple une valeur erronée.
Le niveau d’intégrité est défini en fonction d’un impact d’une défaillance de l’élément concerné sur la sécurité de l’aéronef 1, classé en catégories de condition de défaillance, entre une catégorie « Mineur » (de l’anglais « Minor ») correspondant à une condition de défaillance qui ne réduirait pas de manière significative la sécurité de l’aéronef 1, une catégorie « Majeur » (de l’anglais « Major »), une catégorie « Dangereux » (de l’anglais « Hazardous »), jusqu’à une catégorie « Catastrophique » (de l’anglais « Catastrophic ») correspondant à une condition de défaillance qui entraînerait la perte de l’appareil et/ou le décès d’une partie de ces occupants.
Dans le domaine de l’invention, l’intégrité représente notamment un degré de confiance de l’exactitude d’informations, par exemple fournies par un système de navigation.
Chaque niveau d’intégrité correspond, dans le cadre de l’invention, de préférence à un niveau de sévérité normalisé selon des définitions fournies, par exemple selon des définitions dans le document « Certification Specifications and Acceptable Means of Compliance for Large Aeroplanes (CS-25) » de l’Agence Européenne de la Sécurité Aérienne, dans la partie AMC 25.1309 System design and analysis, au chapitre 7, FAILURE CONDITION CLASSIFICATIONS AND PROBABILITY TERMS.
Chaque niveau d’intégrité est donc de préférence prédéfini, et notamment défini par un niveau « Major », « Hazardous » ou « Catastrophic ».
De manière générale, une probabilité de survenue d’une défaillance est associée à chaque catégorie de condition de défaillance, définissant le niveau d’intégrité respectivement requis. Cela est illustré dans le tableau suivant.
C atégorie de condition de défaillance
(de l’anglais « Failure condition category ») 		Mineur (de l’anglais « Minor ») Majeur (de l’anglais « Major ») Dangereux (de l’anglais « Hazardous ») Catastrophique (de l’anglais « Catastrophic »)
Probabilité de de survenue (de l’anglais « Occurrence Probability ») par heure de vol de l’aéronef 1
Les niveaux d’intégrité sont par ailleurs associés à des niveaux FDAL (de l’anglais « Functional Development Assurance Level ») selon la directive Aerospace Recommended Practice (ARP) ARP4754 (version A de décembre 2010) de « SAE International » (Marque déposée).
Les niveaux FDAL s’appliquent à des fonctions, par exemple des fonctions de logiciels, mais ne s’appliquent pas à des bases de données ou à un niveau d’intégrité de données elles-mêmes.
Les niveaux FDAL sont définis comme suit : le niveau FDAL A correspond au niveau d’intégrité requis pour la catégorie « Catastrophique », le niveau FDAL B correspond au niveau d’intégrité requis pour la catégorie « Dangereux », le niveau FDAL C correspond au niveau d’intégrité requis pour la catégorie « Majeur », et le niveau FDAL D correspond au niveau d’intégrité requis pour la catégorie « Mineur ».
Les niveaux d’intégrité sont en outre associés à des niveaux DPAL (de l’anglais « Data Process Assurance Level ») selon la norme RTCA DO 200 de la Révision B du 8 juin 2015.
Les niveaux DPAL s’appliquent à des bases de données, en particulier à des processus de génération de bases de données et des données elles-mêmes.
Les niveaux DPAL sont définis comme suit : le niveau DPAL 1 correspond au niveau d’intégrité requis pour les catégories « Catastrophique » (de l’anglais « Catastrophic ») et « Dangereux » (de l’anglais « Hazardous »), le niveau DPAL 2 correspond au niveau d’intégrité requis pour les catégories « Majeur » (de l’anglais « Major ») et « Mineur » (de l’anglais « Minor »), et le niveau DPAL 3 correspond à un niveau d’intégrité d’une défaillance n’ayant pas d’impact sur la sécurité de l’aéronef 1.
En référence aux figures 1 à 3, l’aéronef 1 comprend un système de génération 2 d’un élément de trajectoire T et un système de contrôle 4 configuré pour contrôler l’aéronef 1 selon l’élément de trajectoire T.
L’élément de trajectoire T est par exemple un bloc de données du segment d'approche finale ou FASDB (de l’anglais « Final approach segment data bloc ») d’une trajectoire d’approche vers un point d’atterrissage de l’aéronef 1.
L’élément de trajectoire T est en particulier une trajectoire apte à mettre en œuvre une opération d’approche de type RNP APCH (de l’anglais « Required Navigation Performance APproaCH ») ou de type et RNP AR APCH (de l’anglais « Required Navigation Performance Autorisation Required APproaCH »).
Le système de génération 2 et le système de contrôle 4 sont embarqués dans l’aéronef 1.
PREMIER M ODE DE REALISATION DU SYSTEME DE GENERATION
Un premier mode de réalisation du système de génération 2 est maintenant décrit en référence à la .
Le système de génération 2 comprend une première base de données 6, une seconde base de données 8, un premier module de détermination 10, un second module de détermination 12, un module de comparaison 14 et un module d’émission 16.
Le système de génération 2 est configuré pour générer l’élément de trajectoire T, présentant un niveau d’intégrité prédéfini, appelé niveau d’intégrité cible, à partir de données enregistrées dans la première base de données 6 et la seconde base de données 8, présentant chacune un niveau d’intégrité prédéfini, appelé niveau d’intégrité initial.
Selon l’invention, le niveau d’intégrité cible est strictement supérieur au niveau d’intégrité initial.
Par l’expression « niveau d’intégrité cible strictement supérieur au niveau d’intégrité initial », il est entendu qu’une probabilité de survenue d’une défaillance selon le niveau d’intégrité cible est strictement inférieure à une probabilité de survenue d’une défaillance selon le niveau d’intégrité initial.
Selon un exemple, le niveau d’intégrité initial correspond à une probabilité de survenue d’une défaillance inférieure ou égale à par heure de vol de l’aéronef 1, requis pour la catégorie « Majeur », et le niveau d’intégrité cible correspond à une probabilité de survenue d’une défaillance inférieure ou égale à par heure de vol de l’aéronef 1, requis pour la catégorie « Dangereux ».
La première base de données 6 est configurée pour mémoriser une première donnée initiale. La seconde base de données 8 est configurée pour mémoriser une seconde donnée initiale.
La première donnée initiale et la seconde donnée initiale comprennent par exemple chacune au moins un élément choisi dans la liste constituée par: une position d’un seuil de piste d’atterrissage, une donnée d’altitude d’un terrain, une pente d’approche, un cap de piste d’atterrissage, une contrainte d’altitude de l’aéronef 1, une contrainte de vitesse de l’aéronef 1, une position d’un obstacle et une signature radar.
La première base de données 6 et la seconde base de données 8 présentent le même niveau d’intégrité, à savoir le niveau d’intégrité initial, de préférence le niveau DPAL 2.
En particulier, par l’expression « la première base de données présente le niveau d’intégrité initial », il est entendu qu’au moins un élément parmi les éléments suivants, de préférence l’ensemble des éléments, présente le niveau d’intégrité initial : la première donnée initiale, un formatage de la première base de données 6, et un processus de génération de la première donnée initiale enregistrée dans la première base de données 6.
L’expression « la seconde base de données présente le niveau d’intégrité initial », est définie de manière identique pour la seconde base de données 8 au lieu de la première base de données 6, et pour la seconde donnée initiale au lieu de la première donnée initiale.
La première base de données 6 est dissimilaire par rapport à la seconde base de données 8.
Par l’expression « première base de données dissimilaire par rapport à la seconde base de données » ou par l’expression « dissimilarité entre la première et la seconde base de données », il est entendu une différence entre la première et la seconde bases de données 6, 8 concernant au moins une caractéristique selon les exemples de dissimilarité suivants.
Selon un premier exemple de dissimilarité, la première base de données 6 est intégrée dans un équipement d’un premier type, et la seconde base de données 8 est intégrée dans un équipement d’un second type distinct du premier type.
Selon un second exemple de dissimilarité, la première base de données 6 et la seconde base de données 8 sont formatées par des formatages de données respectifs, et un type du formatage de la première base de données 6 est distinct d’un type du formatage de la seconde base de données 8.
Selon un troisième exemple de dissimilarité, la première donnée initiale est d’une source différente que la seconde donnée initiale. Par exemple, la première donnée initiale est une donnée reçue par une première transformation d’une donnée provenant d’une autorité étatique, et la seconde donnée initiale est une donnée reçue par une seconde transformation, différente de la première transformation, de la donnée provenant de l’autorité étatique.
Selon un quatrième exemple de dissimilarité, la première donnée initiale est une donnée enregistrée par un premier logiciel de gestion de bases de données, et la seconde donnée initiale est une donnée enregistrée par un second logiciel de gestion de bases de données, différent du premier logiciel.
Selon un cinquième exemple de dissimilarité, la première donnée initiale est une donnée de nature différente de la seconde donnée initiale.
De préférence, la première base de données 6 présente plusieurs dissimilarités par rapport à la seconde base de données 8 parmi les exemples de dissimilarité, de préférence l’ensemble des exemples de dissimilarité.
Le premier module de détermination 10, le second module de détermination 12, le module de comparaison 14 et le module d’émission 16 sont chacun par exemple intégrés dans au moins un calculateur. Dans ce cas, chacun des modules parmi le premier module de détermination 10, le second module de détermination 12, le module de comparaison 14 et le module d’émission 16 se présente au moins partiellement sous la forme d’un logiciel exécutable par un processeur et stocké dans une mémoire du calculateur.
Le premier module de détermination 10 est configuré pour déterminer une première donnée de trajectoire D1 en appliquant une première fonction de transfert à la première donnée initiale. La première donnée de trajectoire D1 est alors une donnée relative à la première donnée initiale.
Le second module de détermination 12 est configuré pour déterminer une seconde donnée de trajectoire D2 en appliquant une seconde fonction de transfert à la seconde donnée initiale. La seconde donnée de trajectoire D2 est alors une donnée relative à la seconde donnée initiale.
De préférence, la première fonction de transfert est différente de la seconde fonction de transfert.
Le premier module de détermination 10 et le second module de détermination 12 présentent chacun de préférence le niveau d’intégrité initial, par exemple le niveau FDAL C. En particulier, la première fonction de transfert et la seconde fonction de transfert présentent le niveau d’intégrité initial.
En complément, le premier module de détermination 10 et le second module de détermination 12 sont chacun intégrés dans un équipement présentant le niveau d’intégrité initial.
Le premier module de détermination 10 est de préférence dissimilaire du second module de détermination 12.
Par l’expression « premier module de détermination dissimilaire du second module de détermination », il est entendu une différence entre le premier et le second modules de détermination 10, 12 selon au moins un parmi les exemples suivants, de préférence selon l’ensemble des exemples suivants.
Selon un premier exemple de dissimilarité, le premier module de détermination 10 est intégré dans un équipement d’un type différent par rapport à un équipement dans lequel le second module de détermination 12 est intégré.
En particulier, le type d’équipement configuré pour mettre en œuvre la première fonction de transfert est différent du type d’équipement configuré pour mettre en œuvre la seconde fonction de transfert.
Selon un second exemple de dissimilarité, la première fonction de transfert est d’un type différent par rapport à un type de la seconde fonction de transfert.
Selon un troisième exemple de dissimilarité, la première fonction de transfert est réalisée par une équipe différente ou selon des spécifications différentes de la seconde fonction de transfert.
Selon un quatrième exemple de dissimilarité, la première fonction de transfert est réalisée dans une technologie (langage informatique par exemple) différente de la seconde fonction de transfert.
Le module de comparaison 14 est configuré pour comparer, par une fonction de comparaison prédéterminée, la première donnée de trajectoire D1 avec la seconde donnée de trajectoire D2, pour obtenir un résultat de comparaison R.
Selon le premier mode de réalisation, le module d’émission 16 est configuré pour émettre l’élément de trajectoire T lorsque le résultat de comparaison R indique une validation de la première donnée de trajectoire D1 et de la seconde donnée de trajectoire D2. Dans ce cas, l’élément de trajectoire T comprend, et de préférence consiste de, la première donnée de trajectoire D1 ou la seconde donnée de trajectoire D2.
Selon le premier mode de réalisation, le module de comparaison 14 et le module d’émission présentent le niveau d’intégrité cible, en particulier le niveau FDAL B.
SECOND M ODE DE REALISATION DU SYSTEME DE GENERATION
Le système de génération 2 selon un second mode de réalisation, illustré en particulier sur la , comprend les mêmes caractéristiques que celles du premier mode de réalisation, à l’exception des différences décrites ci-après.
Les modules du second mode de réalisation correspondants au premier mode de réalisation sont dénommés par les mêmes signes de référence.
Selon le second mode de réalisation, le module de comparaison 14 présente le niveau d’intégrité initial, en particulier le niveau FDAL C.
Le module d’émission 16 est configuré pour recevoir le résultat de comparaison R et pour émettre une alerte A en fonction du résultat de comparaison R.
Le module d’émission 16 présente de préférence le niveau d’intégrité initial, en particulier le niveau FDAL C. Par exemple, le module d’émission 16 est intégré avec le module 14 dans un même équipement.
Selon le second mode de réalisation, non seulement les modules 10 et 12 sont dissimilaires, mais également les modules 14 et 16 sont dissimilaires par rapport aux modules 10 et 12. De ce fait, il est en particulier possible d’obtenir, à partir de l’alerte A et de la première donnée de trajectoire D1, présentant chacun le niveau d’intégrité initial, l’élément de trajectoire T qui présente le niveau d’intégrité cible.
TROISIEME M ODE DE REALISATION DU SYSTEME DE GENERATION
Le système de génération 2 selon un troisième mode de réalisation, illustré en particulier sur la , comprend les mêmes caractéristiques que celles du second mode de réalisation, à l’exception des différences décrites ci-après.
Les modules du troisième mode de réalisation correspondants au troisième mode de réalisation sont dénommés par les mêmes signes de référence.
Le système de génération 2 comprend un premier et un second module de comparaison 14A et 14B, présentant chacun le niveau d’intégrité initial, en particulier au moins le niveau FDAL C. Chaque module de comparaison 14A et 14B est en particulier identique au module de comparaison 14 du second mode de réalisation.
Le système de génération 2 comprend en outre un premier et un second module d’émission 16A et 16B, présentant chacun le niveau d’intégrité initial, en particulier au moins le niveau FDAL C. Chaque module d’émission 16A, 16B est en particulier identique au module d’émission 16 du second mode de réalisation.
De préférence, la première base de données 6, le premier module de détermination 10, le premier module de comparaison 14A et le premier module d’émission 16A sont intégrés dans un même type d’équipement E1 qui est différent d’un type d’équipement E2 intégrant à la fois la seconde base de données 8, le second module de détermination 12, le second module de comparaison 14B et le second module d’émission 16B.
Dans chacun des modes de réalisation, le niveau d’intégrité respectif s’applique de préférence à la fois au niveau d’intégrité de l’équipement intégrant le(s) module(s) de comparaison 14 et au niveau d’intégrité d’un logiciel du module de comparaison 14, en particulier de la fonction de comparaison prédéterminée.
FONCTIONNEMENT SELON LE PREMIER MODE DE REALISATION
Le fonctionnement du système de génération 2 selon le premier mode de réalisation est maintenant décrit en référence à la , et en référence à la comprenant un ordinogramme d’un procédé de génération 100 de l’élément de trajectoire T.
Le procédé de génération 100 est mis en œuvre par le système de génération 2 et comprend une étape préliminaire 105, une première étape de réception 110, une première étape de détermination 120, une seconde étape de réception 130, une seconde étape de détermination 140, une étape de comparaison 150, une étape d’obtention 160 et une étape de validation 170.
Lors de l’étape préliminaire 105, la première base de données 6 et la seconde base de données 8 sont générées, en y enregistrant les première et seconde données initiales. Selon un exemple, l’étape préliminaire 105 comprend une validation préliminaire des données initiales avant l’enregistrement dans les bases de données 6, 8, par exemple par simulation de trajectoires générées à partir des données initiales, vérifiant par exemple une distance minimale de ces trajectoires par rapport au terrain, et/ou vérifiant que l’aéronef 1 reste dans des conditions de vol prédéterminées lorsqu’il suit cette trajectoire.
Lors de la première étape de réception 110, le premier module de détermination 10 interroge la première base de données 6, et reçoit la première donnée initiale enregistrée dans la première base de données 6.
Lors de la première étape de détermination 120, le premier module de détermination 10 détermine la première donnée de trajectoire D1 en appliquant la première fonction de transfert à la première donnée initiale.
Lors de la seconde étape de réception 130, le second module de détermination 12 interroge la seconde base de données 8, et reçoit la seconde donnée initiale enregistrée dans la seconde base de données 8.
Lors de la seconde étape de détermination 140, le second module de détermination 12 détermine la seconde donnée de trajectoire D2 en appliquant la seconde fonction de transfert, différente de la première fonction de transfert, à la seconde donnée initiale.
Lors de l’étape de comparaison 150, le module de comparaison 14 compare, par la fonction de comparaison prédéterminée, la première donnée de trajectoire D1 avec la seconde donnée de trajectoire D2, pour obtenir le résultat de comparaison R.
Le résultat de comparaison R comprend par exemple soit une validation de la première donnée de trajectoire D1 et de la seconde donnée de trajectoire D2, soit une détection d’une incohérence entre la première et seconde donnée de trajectoire D1, D2.
En particulier, le résultat de comparaison R généré par le module de comparaison 14 comprend la validation lorsque la première donnée de trajectoire D1 est identique à la seconde donnée de trajectoire D2, ou lorsque les première et seconde données de trajectoire D1, D2 sont cohérentes entre elles.
Un exemple selon lequel les données D1 et D2 sont identiques est décrit ci-dessus en tant que premier exemple d’implémentation du premier mode de réalisation. Un exemple selon lequel les données D1 et D2 sont cohérentes entre elles est décrit ci-dessus en tant que second exemple d’implémentation du premier mode de réalisation.
Le résultat de comparaison R comprend en particulier la détection d’une incohérence soit lorsque la première donnée de trajectoire D1 diffère de la seconde donnée de trajectoire D2, soit lorsque les données de trajectoire D1, D2 ne sont pas cohérentes entre elles.
Selon le premier mode de réalisation, le module de comparaison 14 émet le résultat de comparaison R et la première ou seconde donnée de trajectoire D1, D2, au module d’émission 16.
Lors de l’étape d’obtention 160, l’élément de trajectoire T est obtenu en fonction du résultat de comparaison R et en fonction d’au moins une parmi la première donnée de trajectoire D1 et la seconde donnée de trajectoire D2. De préférence, l’élément de trajectoire T est obtenu uniquement à partir du résultat de comparaison R, et au moins l’une parmi la première donnée de trajectoire D1 et la seconde donnée de trajectoire D2, c’est-à-dire en particulier en absence d’autres données.
Selon l’exemple de la , le module d’émission 16 obtient l’élément de trajectoire T en fonction du résultat R et de la donnée D1. Par exemple, le module d’émission 16 émet l’élément de trajectoire T comprenant la première donnée de trajectoire D1, lorsque le résultat de comparaison R comprend la validation de la première donnée de trajectoire D1 et de la seconde donnée de trajectoire D2. De préférence, dans ce cas, l’élément de trajectoire T consiste de la première donnée de trajectoire D1.
Le module d’émission 16 émet l’élément de trajectoire T par exemple au système de contrôle pour le contrôle de l’aéronef 1 selon cet élément de trajectoire T.
Ainsi, par exemple, l’élément de trajectoire T est égal à la première donnée de trajectoire D1, validée lors de l’étape de comparaison 150. Grâce à cette validation par la comparaison lors de l’étape de comparaison 150, l’élément de trajectoire T présente le niveau d’intégrité cible, bien que la première donnée de trajectoire D1 et la seconde donnée de trajectoire D2 considérées isolément, c’est-à-dire sans comparaison entre elles, présentent uniquement le niveau d’intégrité initial.
Lorsque le résultat de comparaison R comprend la détection d’une incohérence, le module d’émission 16 émet par exemple une alerte au lieu de l’élément de trajectoire T.
Selon le premier mode de réalisation, le module de comparaison 14 et le module d’émission 16 présentent le niveau d’intégrité cible.
Lors de l’étape de validation 170, l’élément de trajectoire T est par exemple affiché à un pilote, afin d’obtenir une validation manuelle. Lorsque l’élément de trajectoire T affiché correspond à une trajectoire attendue, l’étape de validation 170 comprend en outre la réception d’une validation de l’élément de trajectoire T par le pilote comme suite à l’affichage.
L’étape de validation 170 est de préférence mise en œuvre lorsque la première donnée initiale est d’une même source que la seconde donnée initiale. Dans ce cas, la dissimilarité de la première et seconde base de données 6, 8 s’applique par exemple aux équipements intégrant les bases de données 6, 8, mais non à la première et seconde donnée initiale. L’étape de validation 170 permet alors d’obtenir une validation additionnelle pour augmenter le niveau d’intégrité de l’élément de trajectoire T.
Un premier exemple d’implémentation du premier mode de réalisation est maintenant décrit.
La première donnée initiale comprend une position d’un seuil de piste d’atterrissage pour l’approche et par exemple d’autres données généralement utilisées pour la génération d’un bloc de données d’un segment d’approche finale.
La seconde donnée initiale comprend le même type de données, enregistrées dans la seconde base de données 8 au lieu de la première base de données 6.
Lors de la première étape de détermination 120, le premier module de détermination 10 détermine un premier bloc de données du segment d'approche finale, dit FASDB1, formant la première donnée de trajectoire D1, en appliquant la première fonction de transfert à la première donnée initiale.
Lors de la seconde étape de détermination 140, le second module de détermination 12 détermine un second bloc de données du segment d'approche finale, dit FASDB2, en appliquant la seconde fonction de transfert à la seconde donnée initiale.
Lors de l’étape de comparaison 150, le module de comparaison 14 compare le FASDB1 avec le FASDB2. La fonction de comparaison est par exemple une fonction comparant chaque bit du FASDB1 avec chaque bit correspondant du FASDB2.
Lorsque le FASDB1 est identique au FASDB2, le résultat de comparaison R comprend la validation des FASDB1 et FASDB2. Cela indique en particulier que chacun des blocs FASDB1 est FASDB2 est correct.
Dans ce cas, le module d’émission 16 émet l’élément de trajectoire T, qui est le FASDB1, validé par la comparaison lors de l’étape de comparaison 150, au système de contrôle 4 pour le contrôle de l’aéronef 1 selon le FASDB1.
Un second exemple d’implémentation du premier mode de réalisation est maintenant décrit. Le second exemple d’implémentation comprend les mêmes caractéristiques que le premier exemple d’implémentation, à l’exception des différences décrites ci-après.
Lors de la seconde étape de réception 130, le second module de détermination 12 reçoit seulement une position d’un seuil de piste d’atterrissage en tant que seconde donnée initiale.
Lors de la seconde étape de détermination 140, le second module de détermination 12 transfère la position du seuil de piste au module de comparaison 14 en tant que la seconde donnée de trajectoire D2, en particulier sans transformation de la position du seuil de piste. Ainsi, selon le second exemple d’implémentation, seulement le FASDB1 est déterminé, mais non le FASDB2.
Lors de l’étape de comparaison 150, le module de comparaison 14 compare la position de seuil de piste de la seconde donnée de trajectoire D2 avec la position du seuil de piste comprise dans le FASDB1 de la première donnée de trajectoire D1.
Lorsque les positions de seuil de piste sont identiques, cela signifie que le FASDB1 déterminé par le premier module de détermination 10 est correct puisqu’il pointe vers la position correcte de seuil de piste. Dans ce cas, le module d’émission 16 émet le FASDB1 en tant que l’élément de trajectoire T au système de contrôle 4.
FONCTIONNEMENT SELON LE SECOND MODE DE REALISATION
Le fonctionnement du système de génération 2 selon le second mode de réalisation est maintenant décrit en référence aux figures 2 et 4.
Le fonctionnement selon le second mode de réalisation comprend les mêmes caractéristiques que celui du premier mode de réalisation, à l’exception des différences décrites ci-après.
Aussi, le premier et second exemples d’implémentation s’appliquent pour le second mode de réalisation, le cas échéant modifié selon ce qui est décrit ci-après.
L’étape de comparaison 150 est mise en œuvre par le module de comparaison 14 présentant le niveau d’intégrité initial.
Lors de l’étape de comparaison 150, le module de comparaison 14 met en œuvre la même comparaison entre les données de trajectoire D1 et D2 que celle décrite au premier mode de réalisation, mais compte tenu du fait que le module 14 présente seulement le niveau d’intégrité initial, le résultat de comparaison R présente seulement ce niveau d’intégrité initial. Par exemple, lorsque la première donnée de trajectoire D1 est le FASDB1, et diffère de la seconde donnée de trajectoire D2 qui est le FASDB2, cela signifie que l’un des FASDB1, FASDB2 est erronée. Dans ce cas, le résultat de comparaison R comprend la détection d’une incohérence.
En particulier, selon le second mode de réalisation, le module de comparaison 14 émet uniquement le résultat de comparaison R, mais non pas la première ou seconde donnée de trajectoire D1, D2, au module d’émission 16.
L’étape d’obtention 160 de l’élément de trajectoire T comprend la génération de l’alerte A par le module d’émission 16 lorsque le résultat de comparaison R comprend la détection d’une incohérence entre la première donnée de trajectoire D1 et la seconde donnée de trajectoire D2.
L’étape d’obtention 160 comprend en outre l’émission de la première donnée de trajectoire D1 ou de la seconde donnée de trajectoire D2, présentant le niveau d’intégrité initial. Par exemple, le premier module de détermination 10 émet la première donnée de trajectoire D1 directement au système de contrôle 4 lors de l’étape d’obtention 160, comme cela est illustré sur la .
Lors de l’étape d’obtention, le système de contrôle 4 reçoit par exemple la première donnée de trajectoire D1 et l’alerte A, présentant chacun le niveau d’intégrité initial. La combinaison de la première donnée de trajectoire D1 avec l’alerte A, considérées ensemble permet d’obtenir l’élément de trajectoire T présentant le niveau d’intégrité cible, car lorsqu’aucune alerte A n’est émise, la donnée D1 est ainsi validée et correspond à l’élément de trajectoire T obtenu, présentant le niveau d’intégrité cible. Lorsque l’alerte A est émise, cela indique une incohérence permettant ainsi d’éviter toute obtention d’un élément de trajectoire T incohérent.
Selon un exemple, le système de contrôle 4 obtient l’élément de trajectoire T au niveau d’intégrité cible comme suite à la réception de l’alerte A du module 16 et de la première donnée de trajectoire D1 du module 10. Dans ce cas, le système de contrôle 4 valide ainsi la première donnée de trajectoire D1 en tant qu’élément de trajectoire T en l’absence de l’alerte A.
Selon un autre exemple, l’étape d’obtention 160 comprend en outre un affichage de l’alerte A et de la première donnée de trajectoire D1 à un pilote. Dans ce cas, le pilote valide la première donnée de trajectoire D1 tant qu’élément de trajectoire T en l’absence de l’affichage de l’alerte A.
Selon le second mode de réalisation, l’alerte A est en particulier dissimilaire de la première donnée de trajectoire D1. En particulier, l’alerte A est générée par le module d’émission 16 qui est dissimilaire du module 10 générant la première donnée de trajectoire D1. Cela permet ainsi d’obtenir l’élément de trajectoire T au niveau d’intégrité cible à partir de l’alerte A et de la donnée D1 présentant chacune le niveau d’intégrité initial.
FONCTIONNEMENT SELON LE TROISIEME MODE DE REALISATION
Le fonctionnement du système de génération 2 selon le troisième mode de réalisation est maintenant décrit en référence à la .
Le fonctionnement selon le troisième mode de réalisation comprend les mêmes caractéristiques que celui du second mode de réalisation, à l’exception des différences décrites ci-après.
Aussi, le premier et second exemples d’implémentation s’appliquent pour le troisième mode de réalisation, le cas échéant modifié selon ce qui est décrit ci-après.
L’étape de comparaison 150 est mise en œuvre par chaque module de comparaison 14A, 14B présentant le niveau d’intégrité initial.
Selon le troisième mode de réalisation, le premier module de comparaison 14A compare, par une première fonction de comparaison prédéterminée, la première donnée de trajectoire D1 avec la seconde donnée de trajectoire D2, pour obtenir un premier résultat de comparaison R1, et transmet ce résultat R1 au premier module d’émission 16A. Le second module de comparaison 14B compare, par une seconde fonction de comparaison prédéterminée, la première donnée de trajectoire D1 avec la seconde donnée de trajectoire D2, pour obtenir un second résultat de comparaison R2, et transmet ce résultat R2 au second module d’émission 16B.
La première fonction de comparaison est en particulier différente de la seconde fonction de comparaison. En particulier, le premier module de comparaison 14A est dissimilaire du second module de comparaison 14B. De préférence, le premier module d’émission 16A est en outre dissimilaire du second module d’émission 16B.
L’étape d’obtention 160 comprend la génération et l’émission, par le module 16A, d’une première alerte A1 lorsque le premier résultat de comparaison R1 comprend la détection d’une incohérence entre la première donnée de trajectoire D1 et la seconde donnée de trajectoire D2. L’étape d’obtention 160 comprend en outre la génération et l’émission d’une seconde alerte A2, par le module 16B, lorsque le second résultat de comparaison R2 comprend la détection d’une incohérence entre les données D1 et D2. Les modules 16A, 16B sont en particulier dissimilaires l’un par rapport à l’autre.
L’étape d’obtention 160 comprend en outre à la fois l’émission de la donnée D1 par le module 10 et l’émission de la donnée D2 par le module 12, par exemple au système de contrôle 4.
Selon le troisième mode de réalisation, l’étape d’obtention 160 comprend alors l’émission de quatre signaux, à savoir A1, A2, D1 et D2. Chacun de ces signaux considéré individuellement présente le niveau d’intégrité initial, mais la comparaison des données D1 et D2 émises par les modules 16A, 16B, permet d’obtenir l’élément de trajectoire T, au niveau d’intégrité cible, en l’absence des alarmes A1, A2. En particulier, chacun des signaux A1, A2, D1 et D2 est dissimilaire l’un par rapport à l’autre du fait de sa génération par des modules différentes et dissimilaires entre eux.
L’étape d’obtention 160 comprend ainsi par exemple en outre la réception, par le système de contrôle 4, des alertes A1, A2, de la première donnée de trajectoire D1 du module 10, et de la seconde donnée de trajectoire D2 du module 12. Dans ce cas, le système de contrôle 4 valide ainsi la première ou la seconde donnée de trajectoire D1, D2 en tant qu’élément de trajectoire T en l’absence des alertes A1, A2, et après comparaison des données D1, D2 reçues. Le système de contrôle 4 contrôle l’aéronef 1 uniquement selon l’élément de trajectoire T lorsqu’à la fois les données D1, D2 émises par les modules 10 et 12 sont identiques ou cohérentes, et aucune alerte A1, A2 n’est émise.
Selon un autre exemple, l’étape d’obtention 160 comprend en outre un affichage des alertes A1, A2 et des données D1, D2 à un pilote. Dans ce cas, le pilote valide la donnée D1 ou D2 en tant qu’élément de trajectoire T en l’absence de l’affichage des alertes A1, A2.
Selon le troisième mode de réalisation, la première fonction de comparaison prédéterminée et l’émission de la première alerte A1 sont mises en œuvre par un premier type d’équipement E1 différent d’un second type d’équipement E2 mettant en œuvre la seconde fonction de comparaison prédéterminée et l’émission de la seconde alerte A2. Dans ce cas, le niveau d’intégrité cible est obtenu, car l’absence de la première alerte A1 permet de valider la donnée D1 émise par le module 10, et l’absence de la seconde alerte A2 permet de valider la donnée D2 émise par le module 12. La comparaison des données D1, D2 par exemple par le système de contrôle 4 permet d’exclure des erreurs dans l’un des types d’équipement E1, E2.
Des variantes du procédé de génération 100 et du système de génération 2 sont décrites ci-après.
Selon une variante, le niveau d’intégrité cible correspond à une probabilité de survenue d’une défaillance différente de , par exemple égale à . Dans ce cas, le niveau d’intégrité initial correspond à une probabilité de survenue d’une défaillance égale à .
Le premier et second module de détermination 10, 12 sont des modules optionnels. Selon une variante non représentée, le module de comparaison 14 compare des données directement issues de la première et seconde base de données 6, 8, sans transformation par les modules de détermination 10, 12. Dans ce cas, la première donnée de trajectoire D1 est identique à la première donnée initiale, et la seconde donnée de trajectoire D2 est identique à la seconde donnée initiale.
En variante, l’élément de trajectoire T ne comprend pas de bloc de données du segment d'approche finale d’une trajectoire d’approche, mais par exemple des données de terrain ou d’obstacle, présentant le niveau d’intégrité cible du fait de la comparaison lors de l’étape de comparaison 150.
L’étape préliminaire 105 et/ou l’étape de validation 170 est/sont une/des étape(s) optionnelle(s).

Claims (12)

  1. Procédé de génération (100) d’au moins un élément de trajectoire (T) pour le contrôle d’un aéronef (1) selon l’élément de trajectoire (T), le procédé de génération (100) étant au moins partiellement mis en œuvre par un système de génération (2) embarqué dans l’aéronef (1), et comprenant des étapes de :
    - réception (110) d’une première donnée initiale enregistrée dans une première base de données (6), la première base de données (6) présentant un premier niveau d’intégrité prédéfini, dit niveau d’intégrité initial ;
    - réception (130) d’une seconde donnée initiale enregistrée dans une seconde base de données (8), la seconde base de données (8) présentant ledit niveau d’intégrité initial, la première base de données (6) étant dissimilaire par rapport à la seconde base de données (8) ;
    - comparaison (150), par au moins une fonction de comparaison prédéterminée, d’au moins une première donnée de trajectoire (D1) relative à la première donnée initiale avec au moins une seconde donnée de trajectoire (D2) relative à la seconde donnée initiale, pour obtenir un résultat de comparaison (R) ;
    - obtention (160) de l’élément de trajectoire (T) en fonction du résultat de comparaison (R), et en fonction d’au moins une parmi la première donnée de trajectoire (D1) et la seconde donnée de trajectoire (D2), l’élément de trajectoire (T) présentant un second niveau d’intégrité prédéfini, dit niveau cible, le niveau d’intégrité cible étant strictement supérieur audit niveau d’intégrité initial.
  2. Procédé de génération selon la revendication 1, dans lequel le niveau d’intégrité initial correspond à une probabilité de survenue d’une défaillance inférieure ou égale à par heure de vol de l’aéronef (1), et le niveau d’intégrité cible correspond à une probabilité de survenue d’une défaillance inférieure ou égale à par heure de vol de l’aéronef (1).
  3. Procédé de génération selon la revendication 1 ou 2, dans lequel l’étape d’obtention (160) est mise en œuvre par un module d’émission (16) émettant l’élément de trajectoire (T) comprenant la première donnée de trajectoire (D1) ou la seconde donnée de trajectoire (D2), lorsque le résultat de comparaison (R) comprend une validation de la première donnée de trajectoire (D1) et de la seconde donnée de trajectoire (D2), le module d’émission (16) présentant le niveau d’intégrité cible.
  4. Procédé de génération selon la revendication 1 ou 2, dans lequel l’étape d’obtention (160) comprend la génération d’une alerte (A) par un module d’émission (16) lorsque le résultat de comparaison (R) comprend la détection d’une incohérence entre la première donnée de trajectoire (D1) et la seconde donnée de trajectoire (D2), l’étape d’obtention (160) comprenant en outre l’émission de la première donnée de trajectoire (D1) ou de la seconde donnée de trajectoire (D2), présentant le niveau d’intégrité initial.
  5. Procédé de génération selon la revendication 1 ou 2, dans lequel l’étape de comparaison (150) comprend une comparaison, par une première fonction de comparaison prédéterminée, de la première donnée de trajectoire (D1) avec la seconde donnée de trajectoire (D2), pour obtenir un premier résultat de comparaison (R1), et comprenant une comparaison, par une seconde fonction de comparaison prédéterminée différente de la première fonction prédéterminée, de la première donnée de trajectoire (D1) avec la seconde donnée de trajectoire (D2), pour obtenir un second résultat de comparaison (R2) ;
    dans lequel l’étape d’obtention (160) comprend l’émission d’une première alerte (A1) lorsque le premier résultat de comparaison (R1) comprend la détection d’une incohérence entre la première donnée de trajectoire (D1) et la seconde donnée de trajectoire (D2), et comprenant l’émission d’une seconde alerte (A2) lorsque le second résultat de comparaison (R2) comprend la détection d’une incohérence entre la première donnée de trajectoire (D1) et la seconde donnée de trajectoire (D2),
    la première fonction de comparaison prédéterminée et l’émission de la première alerte (A1) étant de préférence mises en œuvre par un premier type d’équipement (E1) différent d’un second type d’équipement (E2) mettant en œuvre la seconde fonction de comparaison prédéterminée et l’émission de la seconde alerte (A2).
  6. Procédé de génération selon l’une quelconque des revendications précédentes, dans lequel l’élément de trajectoire (T) comprend un bloc de données du segment d'approche finale d’une trajectoire d’approche vers un point d’atterrissage de l’aéronef (1).
  7. Procédé de génération selon l’une quelconque des revendications précédentes, dans lequel la première donnée initiale et la seconde donnée initiale comprennent chacune au moins un élément choisi dans la liste constituée par : une position d’un seuil de piste d’atterrissage, une donnée d’altitude d’un terrain, une pente d’approche, un cap de piste d’atterrissage, une contrainte d’altitude de l’aéronef (1), une contrainte de vitesse de l’aéronef (1), une position d’un obstacle et une signature radar.
  8. Procédé de génération selon l’une quelconque des revendications précédentes, comprenant en outre des étapes de :
    - détermination (120) de la première donnée de trajectoire en appliquant une première fonction de transfert à la première donnée initiale,
    - détermination (140) de la seconde donnée de trajectoire en appliquant une seconde fonction de transfert à la seconde donnée initiale, la seconde fonction de transfert étant différente de la première fonction de transfert, chacune des première et seconde fonctions de transfert présente le niveau d’intégrité initial,
    la première fonction de transfert étant de préférence mise en œuvre par un type d’équipement différent d’un type d’équipement mettant en œuvre la seconde fonction de transfert.
  9. Procédé de génération selon l’une quelconque des revendications précédentes, dans lequel au moins une caractéristique, de préférence l’ensemble des caractéristiques, parmi les caractéristiques suivantes définit que la première base de données (6) est dissimilaire la seconde base de données (8) :
    - la première base de données (6) est intégrée dans un équipement d’un premier type, et la seconde base de données (8) est intégrée dans un équipement d’un second type distinct du premier type ;
    - la première base de données (6) et la seconde base de données (8) sont formatées par des formatages de données respectifs, un type du formatage de la première base de données (6) étant distinct d’un type du formatage de la seconde base de données (8) ;
    - la première donnée initiale est d’une source différente que la seconde donnée initiale ;
    - la première donnée initiale est une donnée qui est enregistrée par un premier logiciel de gestion de bases de données, et la seconde donnée initiale est une donnée qui est enregistrée par un second logiciel de gestion de bases de données, différent du premier logiciel.
  10. Procédé de génération selon l’une quelconque des revendications précédentes, dans lequel le procédé de génération (100) comprend en outre une étape de validation (170) de l’élément de trajectoire (T), l’étape de validation (170) comprenant un affichage de l’élément de trajectoire (T) à un pilote, et une réception d’une validation de l’élément de trajectoire (T) par le pilote comme suite à l’affichage.
  11. Système de génération (2) d’un élément de trajectoire (T) pour le contrôle d’un aéronef (1) selon l’élément de trajectoire (T), le système de génération (2) comprenant une première base de données (6) présentant un premier niveau d’intégrité prédéfini, dit niveau d’intégrité initial, et une seconde base de données (8) présentant ledit niveau d’intégrité initial, la première base de données (6) étant dissimilaire par rapport à la seconde base de données (8), le système de génération (2) étant configuré pour mettre en œuvre des étapes de :
    - réception d’une première donnée initiale enregistrée dans la première base de données (6) ;
    - réception d’une seconde donnée initiale enregistrée dans la seconde base de données (8) ;
    - comparaison, par au moins une fonction de comparaison prédéterminée, d’au moins une première donnée de trajectoire (D1) relative à la première donnée initiale avec au moins une seconde donnée de trajectoire (D2) relative à la seconde donnée initiale, pour obtenir un résultat de comparaison (R) ;
    - obtention de l’élément de trajectoire (T) en fonction du résultat de comparaison (R), et en fonction d’au moins une parmi la première donnée de trajectoire (D1) et la seconde donnée de trajectoire (D2), l’élément de trajectoire (T) présentant un second niveau d’intégrité prédéfini, dit niveau d’cible, le niveau d’intégrité cible étant strictement supérieur audit niveau d’intégrité initial.
  12. Aéronef (1) comprenant un système de génération (2) selon la revendication 11, et comprenant un système de contrôle (4) pour le contrôle de l’aéronef (1) selon l’élément de trajectoire (T).
FR2204702A 2022-05-18 2022-05-18 Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération Active FR3135800B1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR2204702A FR3135800B1 (fr) 2022-05-18 2022-05-18 Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération
CA3199263A CA3199263A1 (fr) 2022-05-18 2023-05-11 Procede de generation d'un element de trajectoire, systeme de generation associe et aeronef comprenant un tel systeme de generation
US18/316,436 US20230376050A1 (en) 2022-05-18 2023-05-12 Method for generating a trajectory element, associated generation system and aircraft comprising such a generation system
CN202310549247.8A CN117093605A (zh) 2022-05-18 2023-05-16 轨迹元素生成方法、生成系统及包括生成系统的飞行器

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2204702 2022-05-18
FR2204702A FR3135800B1 (fr) 2022-05-18 2022-05-18 Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération

Publications (2)

Publication Number Publication Date
FR3135800A1 true FR3135800A1 (fr) 2023-11-24
FR3135800B1 FR3135800B1 (fr) 2024-04-19

Family

ID=83355221

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2204702A Active FR3135800B1 (fr) 2022-05-18 2022-05-18 Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération

Country Status (4)

Country Link
US (1) US20230376050A1 (fr)
CN (1) CN117093605A (fr)
CA (1) CA3199263A1 (fr)
FR (1) FR3135800B1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2970093A1 (fr) * 2011-01-05 2012-07-06 Airbus Operations Sas Procede et dispositif de surveillance automatique d'operations aeriennes necessitant une garantie de performance de navigation et de guidage.
US20150362598A1 (en) * 2012-04-06 2015-12-17 Thales Onboard aircraft landing system, based on a gnss system, with redundant and dissimilar architecture for high integrity level
US20160147224A1 (en) * 2014-11-26 2016-05-26 Thales Method of error detection of an aircraft flight management and guidance system and high-integrity flight management and guidance system
EP3591480A1 (fr) 2018-07-02 2020-01-08 Airbus Operations (S.A.S.) Ensemble de gestion de vol d'un aéronef et procédé de surveillance d'un tel ensemble de gestion de vol
FR3113747A1 (fr) * 2020-09-02 2022-03-04 Thales Système électronique pour la mise en œuvre d’une fonction critique et procédé associé

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2970093A1 (fr) * 2011-01-05 2012-07-06 Airbus Operations Sas Procede et dispositif de surveillance automatique d'operations aeriennes necessitant une garantie de performance de navigation et de guidage.
US20150362598A1 (en) * 2012-04-06 2015-12-17 Thales Onboard aircraft landing system, based on a gnss system, with redundant and dissimilar architecture for high integrity level
US20160147224A1 (en) * 2014-11-26 2016-05-26 Thales Method of error detection of an aircraft flight management and guidance system and high-integrity flight management and guidance system
EP3591480A1 (fr) 2018-07-02 2020-01-08 Airbus Operations (S.A.S.) Ensemble de gestion de vol d'un aéronef et procédé de surveillance d'un tel ensemble de gestion de vol
FR3113747A1 (fr) * 2020-09-02 2022-03-04 Thales Système électronique pour la mise en œuvre d’une fonction critique et procédé associé

Also Published As

Publication number Publication date
CN117093605A (zh) 2023-11-21
FR3135800B1 (fr) 2024-04-19
CA3199263A1 (fr) 2023-11-18
US20230376050A1 (en) 2023-11-23

Similar Documents

Publication Publication Date Title
FR3000195B1 (fr) Architecture hybride pour systeme aeronautique
FR2537718A1 (fr) Systeme d'avertissement de proximite du sol pour aeronef
FR2935521A1 (fr) Procede de verification de la coherence des parametres de decollage d'un aeronef avec une longueur de piste disponible
US20230131645A1 (en) Systems and methods for determining a total amount of carbon emissions produced by a vehicle
EP1914561B1 (fr) Procédé de localisation d'un véhicule par satellites et garantie d'intégrité avec sélection d'un sous-groupe de satellites
EP1999435B1 (fr) Systeme de guidage d'un aeronef
FR2983598A1 (fr) Procede de surveillance automatique d'operations aeriennes necessitant une garantie de performance de navigation et de guidage.
FR3010542A1 (fr) Procede et dispositif de surveillance automatique d'une trajectoire de vol d'un aeronef lors d'une operation a performances de navigation requises.
FR2894045A1 (fr) Procede de controle de parametres de decollage ou d'atterrissage et dispositif associe
CA2457278C (fr) Procede et dispositif d'aide au pilotage d'un aeronef lors d'une approche de non precision pendant une phase d'atterrissage
WO2005109374A1 (fr) Procede d'aide a la verification de la trajectoire d'un aeronef
FR3028975A1 (fr) Procede de detection d'erreur d'un systeme de gestion de vol et de guidage d'un aeronef et syteme de gestion de vol et de guidage a haute integrite
FR2901893A1 (fr) Dispositif de surveillance d'informations de commande d'un aeronef
FR2878953A1 (fr) Architecture d'un systeme embarque d'aide au pilotage d'un aeronef
FR3103047A1 (fr) Procede et dispositif d'apprentissage par reseau de neurones artificiels pour l'aide a l'atterrissage d'aeronef
EP3118579B1 (fr) Système et procédé d'intégration de données temporaires dans des systèmes de gestion de vol
FR3043474A1 (fr) Procede et systeme d'aide a la precision d'un pilote pour le pilotage d'un aeronef et produit programme d'ordinateur associe
FR3048805A1 (fr) Procede et dispositif d’evitement de collision pour une formation d’aeronefs par rapport a un aeronef intrus.
FR3043487A1 (fr) Gestion de trajectoire d'un aeronef en cas de panne moteur
EP3588387B1 (fr) Procédé de test d'un système électronique de contrôle du trafic aérien, dispositif électronique et plate-forme associés
US9174745B1 (en) Performance-based method and system for checking the fuel quantity of a vehicle
FR3135800A1 (fr) Procédé de génération d'un élément de trajectoire, système de génération associé et aéronef comprenant un tel système de génération
FR2935211A1 (fr) Procede et dispositif d'aide a la preparation et a la gestion de missions dans un aeronef
CA3020086A1 (fr) Procede de controle de la restitution d'alerte(s) et/ou de procedure(s) de reconfiguration systeme(s), produit programme d'ordinateur et systeme de controle associes
FR3070787A1 (fr) Procede et systeme, de preparation de vol d'un drone

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20231124

PLFP Fee payment

Year of fee payment: 3