JP4309296B2 - エラー・トレラント・コンピュータ制御システム、同システムを備える車両および同システムを備える航空機 - Google Patents
エラー・トレラント・コンピュータ制御システム、同システムを備える車両および同システムを備える航空機 Download PDFInfo
- Publication number
- JP4309296B2 JP4309296B2 JP2004015857A JP2004015857A JP4309296B2 JP 4309296 B2 JP4309296 B2 JP 4309296B2 JP 2004015857 A JP2004015857 A JP 2004015857A JP 2004015857 A JP2004015857 A JP 2004015857A JP 4309296 B2 JP4309296 B2 JP 4309296B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- receiving device
- communication links
- lpiak
- switching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
- G06F11/184—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
- Safety Devices In Control Systems (AREA)
Description
本発明は、例えば車両またはその他の重要装置を制御するために使用できるエラー・トレラント・コンピュータ制御システム、同システムを備える車両および同システムを備える航空機に関する。
人間の生活の多様な用途においてコンピュータ・システムの重要性が増していくのにつれて、故障は傷害または死傷を含めて悲惨な結果を生じる可能性があるので、その信頼性がますます重要になっている。このようなコンピュータ・システムの例は、列車案内または航空機制御システムなど車両案内または制御システム並びに医療システムである。
電子コンピュータの典型的な「平均故障間隔」は104時間程度であり、これは重大な用途にとっては受諾できないほど高い頻度である。従って、これまで、信頼性を増すために、並行する冗長動作で数台のコンピュータを使用することが一般的な方法であった。
従来の冗長システムは、一般的に言ってネットワークにおいてデータ・ソースとして作用する複数台のコンピュータを使用する。ネットワークは複数の通信リンクによって構成され、その各々が、1台のコンピュータを例えば航空機のフラップ用のアクチュエータなどデータ受信装置と接続する。コンピュータはフラップの操作用のコマンドを含むデータ・アイテムを生成する。フラップは、全てのデータ・アイテムを受信して、例えば中央値を決定することによってエラー(フォールト)・トレラント・データ・アイテムを生成するためにこれらを結合する。
このタイプのシステムは、通信リンクが故障するとデータ・アイテムを伝送することができない。これを克服するために、これまでは付加的な通信リンクを使ってコンピュータを相互接続することが勧められていた。ある所定のコンピュータとデータ受信装置の間の通信リンクが故障していることが判明した場合、このコンピュータからのデータ・アイテムは、他のコンピュータ及び代替通信リンクにルートが変更される。このタイプのシステムは多数のコンピュータ及びデータ受信装置そしてさらに多数の通信リンクを含む可能性があるので、通信リンクの故障時にデータ・アイテムのルートを変更するために必要なステップは、かなり複雑になる可能性がある。また、あらゆる考えうる故障及びルーティング再構成のためにシステムを分析しテストすることは、不可能ではないとしても、非常に込み入ってコスト高になる。
従って、本発明が解決しようとする課題は、実施、分析及びテストがより容易でしかも故障のリスクを低く抑える上述のタイプの方法及びシステムを提供することである。
この課題は、特許請求の範囲に記載される独立項に従った方法及びシステムによって解決される。
従って、本発明によれば、データは交換アセンブリのアウトプットから受信通信リンクに送られる。交換アセンブリは、複数のインプットを有し、その各々がデータ・ソースまたは別のアウトプットに接続される。交換アセンブリは、少なくとも2つの異なる受信通信リンクを通じて各データ・ソースを各データ受信装置に接続することができる。システム全体は、任意の所定のデータ受信装置が少なくとも2つの受信通信リンクを通じて同一のデータ・アイテムを受信するように、少なくとも2つの異なる受信通信リンクの各々を通じてあらゆるデータ・アイテムを任意の所定のデータ・ソースから前記の所定のデータ受信装置に送るのに適する。
正常な動作においては、各データ受信装置は、別個の通信リンクを通じてあらゆるデータ・アイテムを少なくとも2回受信する。このために付加的な帯域が必要であるとしても、1つの通信リンクに故障が生じた場合データ・アイテムのルート変更を行う必要がない、すなわち故障が生じたとき情報の流れをアレンジしなおす必要がないという利点があり、システムをより信頼できるものにし、分析及びテストをより容易にする。システムが処理できる故障がどのような種類のものかを予測することは容易であり、潜在的故障の起こり得る全ての組み合わせをテストする必要がない。
望ましい実施形態においては、交換アセンブリは、複数の交換ユニットに分割され、各交換ユニットは少なくとも2つの交換通信リンクを通じて他の交換ユニットに接続され、また各データ受信装置は少なくとも2つの異なる交換ユニットに接続される。このように交換アセンブリを細分することによって、交換ユニットのうち1つが故障しても、改良された性能が与えられる。望ましい実施形態においては、各データ・ソースに厳密に1つの交換ユニットが帰属し、各交換ユニットの1つのインプットがそのデータ・ソースの1つのアウトプットに接続されることが望ましい。
さらに望ましい実施形態においては、反復するタイム・ウィンドウが各データ・ソースに帰属する同期伝送方式が使用される。各タイム・ウィンドウにおいて、交換アセンブリは、全ての受信通信リンクをそのタイム・ウィンドウに帰属するデータ・ソースに接続する。この場合にも、必要な帯域が増加するが、システムを単純に保つのに役立つ。さらに、各データ・ソースはそのデータ・ウィンドウ中しか通信リンクへのアクセス権を持たないので、欠陥データ・ソースが受信通信リンクを連続的に妨害するのを防ぐ。交換アセンブリが上述の通り接続される交換ユニットに分割される場合、交換通信リンクの妨害を防止するために同じ方式を使用することができる。
別の望ましい実施形態においては、各データ・ソースに一意のキーが帰属する。各ソースによって送信されるデータ・アイテムは、該当のキーによってデジタル署名され、署名はデータ受信装置においてデータ・アイテムの受信時にチェックされる。この署名方式を使えば、不正メッセージの検出がさらに可能になる。
本発明は、特に車両の方向および/または速度を制御するために適している。望ましい用途において、本発明は航空機の制御に使用される。
その他の望ましい実施形態は従属クレームにおいて説明されている。
以下の本発明の詳細な説明を考慮すれば、本発明はよりよく理解され、上述の目的以外の目的が明らかになるだろう。
以下、添付図面を参照しつつ本発明の実施形態を詳細に説明する。
図1のシステムは、3台の冗長コンピュータP0、P1及びP2によって作動され、コンピュータは3台のセンサS0、S1及びS2及び2台の入力装置V0、V1からの信号を処理して、3台のアクチュエータA0、A1及びA2を制御する。各コンピュータに1つの交換ユニットSU0、SU1及びSU2が帰属する。
特定の実施形態においては、図に示されるシステムは、車両を制御することができ、この場合、センサS0、S1及びS2は、例えば車両のポジション、姿勢および/または速度を測定し、入力装置V0及びV1はユーザーによって操作される制御装置であり、A0、A1及びA2は車両の駆動メカニズム及びステアリング・メカニズムを制御するアクチュエータである。
信頼性を得るために、各パラメータを測定するため少なくとも2台の冗長センサがコンピュータP0、P1、P2によって使用され、入力装置LV0及びLV1は二重に配備される。
コンピュータP0、P1及びP2は、センサS0、S1及びS2及び入力装置LV0、LV1によって与えられる入力並びにコンピュータに記憶される状態変数の関数としてアクチュエータA0、A1、A2に対するコマンドを生成する。コンピュータP0、P1及びP2は独立して機能する。これらのコンピュータは重複する。すなわちコンピュータによって生成されるコマンドは、システムの故障がない場合には理想的には同一であり、従って重複する。コマンドはデータ・アイテムとしてアクチュエータA0、A1、A2に送信される。後者は、受信した冗長データ・アイテムを結合してエラー訂正済みデータ・アイテムを決定する。これについては以下にさらに詳細に説明する。
ほとんどの用途の場合、コンポーネントの数は図1に示されるより多いことに留意しなければならない。ただし、本発明のシステムのアーキテクチャは、どのような複雑なシステムの要件でもこれに合わせて容易に縮小拡大できる。
以下にこのアーキテクチャについてさらに詳細に説明する。この説明において、各コンピュータP0、P1、P2(またはより正確に言えば交換ユニットに接続されるそのアウトプット)は、アクチュエータA0、A1、A2が受信するデータ・アイテムを送信する「データ・ソース」と考えられる。
システムの個々の部分を接続するために複数の通信リンクが配備される。入力通信リンクLS0、LS1、LS2、LV0及びLV1は、各センサS0、S1、S2及び各入力装置V0、V1を各コンピュータP0、P1、P2に接続する。交換通信リンクLPiPjは、個々の交換ユニットSU0、SU1、SU2を相互接続する(ここで、i及びjは、0と交換ユニットの数−1との間の整数である)。受信通信リンクLPiAkは、各交換ユニットSUiをデータ受信装置Akに接続する(ここで、kは、0とアクチュエータの数−1との間の整数である)。各データ受信装置Akは、異なる交換ユニットSUiに導く少なくとも2つの受信通信リンクLPiAkに接続される。
各交換通信リンクLPiPjは、ポイント対ポイント接続であり、交換ユニットSUiの1つのアウトプットを別の交換ユニットSUjの1つのインプットに接続する。同様に、各受信通信リンクLPiAkは、交換ユニットSUiを1つのアクチュエータAkに接続するポイント対ポイント接続である。
多くの用途においてアクチュエータは高出力機器を作動するので、受信通信リンクLPiAkは、信頼できるデータ伝送及び残りのシステムに対する安全な電気的保護のために光ケーブルであることが望ましい。他の通信リンクとしては、光ファイバー、電線または無線リンクまたはその他が可能である。
交換ユニットSU0、SU1、SU2のアーキテクチャは図2に示される通りである。図に示される実施形態においては、各交換ユニットSUiは3つのインプットI0−I2及び5つのアウトプットO0−O4を有する。各アウトプットOiを選択的にインプットのうち任意の1つIjに接続できるように、各アウトプットに1つのスイッチ(デマルチプレクサ)S0−S4が配備される。
インプットI0及びI2は、各々、他の2つの交換ユニットSUj及びSUj’からデータ・アイテムを受信する交換通信リンクLPjPi、LPj’Piに接続される。インプットI1は、この交換ユニットに帰属するデータ・ソースに接続される。
アウトプットO0及びO4は、各々、データ・アイテムを他の2つの交換ユニットSUj及びSUj’に送信するために交換通信リンクLPiPj及びLPiPj’に接続される。アウトプットO1及びO2は受信装置Ak及びAk’にデータ・アイテムを送信するために受信通信リンクLPiAk及びLPiAk’に接続される。アウトプットO3は、この交換ユニットに帰属するコンピュータのデータ・インプットに接続される。
クロック・ユニット11からの信号に従ってスイッチSiを設定するためにスイッチ制御テーブル10が配備される。
各交換ユニットSU0、SU1、SU2は、スイッチを独立して設定できるように、自身のクロック・ユニット11及び自身のテーブル10を備える。クロック・ユニット11は、同期化して維持される。クロックを同期化して維持するためのさまざまなエラー・トレラント方法が当業者には既知であるが、その一部は、「ビザンチン・クロック同期化のためのプロトコルの理解」(Cornell大学コンピュータ科学学科、1987年8月)においてFred.B.Schneiderによって説明されている。クロック・ユニット11は、データ・アイテムの各々または少なくともその一部にデータ・ソースによって付け加えられるタイム・スタンプによって同期化され、各交換ユニットがさまざまなデータ・ソースから通過するデータ・アイテムのタイム・スタンプを抽出して、そこから例えば一度に受信するタイム・スタンプの中央値を探し自身のクロックに対する偏差を計算することによってグローバル・タイムを決定することが望ましい。
システムにおける通信を調整するために、各データ・ソースに1つのタイム・ウィンドウが帰属する。ウィンドウは等しい長さで、図3に示される通り規則正しいサイクルで反復されることが望ましい。特にデータ・ソースのうち1つが伝送するデータの量が他より多い場合、不等長さのデータ・ウィンドウを使用することもできる。ある所定のタイム・ウィンドウにおいて、全ての交換通信リンクLPiPj並びに全ての受信通信リンクLPiAkが、このウィンドウが帰属するデータ・ソースに接続されるように、交換ユニットSUiはスイッチを設定する。
図3から分かる通り、また以下に説明する通り、アクチュエータAiからの伝送のために追加のタイム・ウィンドウを用意することができる。
例えば、帰属するデータ・スイッチのクロック・ユニットを通じて、データ・ソースも同期化されており、そのデータ・ウィンドウ内でのみデータ・アイテムを送信し、同期化の不一致及び信号の遅延を斟酌して各データ・ウィンドウの先端及び後端は未使用のまま残される。
図3のウィンドウの長さは、主に送られるデータの量及びメッセージを転送するための最大許容時間遅延によって決まる。ほとんどの車両制御の場合、10ms程度のウィンドウの長さが適当であることが判明している。
全体的に、同時に通信リンクを単一データ・ソースに帰属させるために固定タイミング・スキームを使用すると、帯域の必要量が増大することになる。しかし、多くの用途において、現在利用可能な通信リンクはこのタイプのプロトコルをサポートするための広い帯域を提供する。
上記のことから明らかになるように、各データ・ソースPiは、その全てのデータ・アイテムを全てのデータ受信装置Akに同時に送信し、各データ受信装置は少なくとも2つの異なる受信通信リンクLPjAkを通じて同時にあらゆるデータ・アイテムを受信する。従って、正常の動作時には、データ受信装置は、各データ・ソースから各データ・アイテムを少なくとも2回受信し、全てのデータ・ソースは冗長データ・アイテムを生成するので、データ受信装置はネットワークの異なる経路を通じて各データ・アイテムの6つ1組の冗長バージョンを受信する。
このことが、図4の(A)、(B)及び(C)においてデータ受信装置A0について示され、fromはどこから、throughはどこを通じてを示す。データ受信装置は、組となる6つのデータ・アイテム全てを受信しようとし、例えば以下に説明されるとおりチェック・サムまたはデジタル署名を確認することによって、その物理的無欠性を確認することができる。伝送にエラーがない場合、各データ・アイテムには、図4の(A)に示されるように“ok”のフラグが立てられる。通信リンクLP1P0が故障の場合、5つのデータ・アイテムだけが有効である(図4の(B))。さらに通信リンクLP2A0が故障しても、2つのデータ・アイテムがまだ有効である(図4の(C))。
受信した有効な冗長データ・アイテムから、データ受信装置は、既知の順列-不変数法(permutation−invariant techniques)(中央値、D大多数・・・)を使ってエラー訂正済みデータ・アイテムを生成する。例えば、データ・アイテムがある数値パラメータを指定する場合、有効データ・アイテムによって与えられるパラメータの中央値が決定される。
上述の通り、データ・アイテムはデジタル署名を含むことができる。デジタル署名(及び、任意に暗号化)を生成するために、各データ・ソースP0、P1、P2には一意のキーが帰属する。この一意のキーを使って、各データ・ソースは、当業者には既知の通りデジタル署名すなわちデータ・アイテムにおいて伝送されるメッセージ及びキーに応じた署名値を生成する。署名を生成するために使用されるアルゴリズムは、ある所定の署名値がある所定のキーを使って生成されたか否かを十分な信頼性を持って確認することができるようなものである。セキュリティを改良するために、非対称キーに基づく署名スキームを使用することができる。ただし、署名は主に故意の改ざんではなくシステムの故障から保護しなければならないなので、本発明において使用できる署名スキームは、一般的にデータ通信において使用されるものより単純で改ざん防止の程度が低くてよい。
データ受信装置がある所定のデータ・ソースからメッセージを受信すると、受信装置は、署名がこのデータ・ソースのキーと一致するか否かをチェックすることによって、データ・アイテムの有効性をチェックする。これが一致しない場合、データ・アイテムには無効のフラグが立てられる。
本発明のシステムの応用は、図5に略図的に示されている。この図は、例えばWO 01/30652に開示される通りの複数の傾斜可能な駆動装置21を有するVTOL航空機20を示しており、駆動装置は、各々電動ファンを備える。駆動装置21は、航空機に姿勢制御、揚力及び前進推力を与える。各駆動装置21は、その傾斜角度及び推力を制御するための駆動制御装置を備える。各制御装置は、上述のデータ受信装置Aj、Aiのうち1つから設定を受信する。それに加えて、コンピュータPiに入力データを与えるために、姿勢センサSm、Sn及びその他のタイプのセンサ並びに入力装置V0及びV1が航空機に配置される。
本発明の多くの変更形態のうち一部について論じるために、次に、図1の実施形態を簡略して示す図6を参照する。
図6から分かる通り、本発明の上述の実施形態の利点の1つは、ある所定の受信装置Ak用の受信通信リンクLPiAkの数(すなわち、2)がデータ・ソースの数(すなわち、3)より小さくても、各データ受信装置Akが冗長経路を通じて全てのデータ・ソースPiからデータを受信することである。これは、交換ユニットSUiによって、各データ・ソースがある所定のデータ受信装置の両方の受信通信リンクにアクセスできることによる。
各データ・アイテムに代替経路が用意される場合、各データ受信装置への受信通信リンクの最小数は2である。信頼性を増すために、各データ受信装置の受信通信リンクを2より多くすることが可能である。
図6の実施形態においては、他の2つの交換ユニットとの間でデータを送受信するために各交換ユニットSUiが接続されており、これによって交換ユニットの間に代替経路が用意される。信頼性を増すために、この数を2より大きくすることができるが、交換ユニット1台に対して交換通信リンクを1つとすることも可能である。
図6の実施形態において、1つの交換ユニットSUiは各コンピュータPiに帰属する。各コンピュータと各交換ユニットは、機械または電気コンポーネントを共有できるように物理的に相互に近接して配置されることが望ましい。ただし、交換ユニットは、これが帰属するコンピュータから独立して動作できることが望ましい。すなわち、コンピュータがデータ処理に失敗した場合、交換ユニットは引き続き動作しなければならない。
コンピュータとそれに結合される交換ユニットは物理的に近接して配置されることが望ましいが、必須というわけではない。交換ユニットは任意の位置に配置することができる。ただし、コンピュータとその交換ユニットの間の距離が大きくなると、その間の通信リンクの故障のリスクが増す。このような場合、コンピュータと交換ユニットの間に追加の冗長通信リンクを配備することが賢明である。
図7は、4台のコンピュータPiとわずか2台の交換ユニットSUjから成る実施形態を示している。この場合、各交換ユニットは、4つのインプット及び6つのアウトプットを有し、個々のスイッチSは、可能なポジションを4つ有する。この場合にも、現在のウィンドウが帰属するデータ・ソースの信号が全ての受信通信リンク及び交換通信リンクに送信されるように、このデータ・ソースに従ってスイッチのポジションが定められる。
以上の説明及び添付図面においては、コンポーネント間の通信リンクのうち最も重要なものだけが説明されておりまた図に示されていることに留意しなければならない。この他に、ネットワークは、例えばアクチュエータからコンピュータへまたは別個のモニタ・ユニットへの通信リンクをさらに含むことができる。同様に、交換ユニットは、受信通信リンク及び交換通信リンクの他に、データ・アイテムをコンピュータのインプットに送るためのスイッチS3など、他のタイプの受信装置にデータを送るための付加的スイッチを備えることができる。
例えば、アクチュエータA0、A1、A2がコンピュータP0、P1、P2にフィードバックを送信できることが望ましい場合、交換ユニットSUiとアクチュエータの間の通信リンクは、両方向とすることができる。例えば、フィードバック・リンクLAiPkは、図1においてアクチュエータA1について点線で示されるように、各アクチュエータをこれが接続される2つの交換ユニットにつなぐことができる。従って、アクチュエータに帰属するタイム・ウィンドウ(図3参照)中スイッチがフィードバック・リンクLAiPkを交換ユニットのアウトプットに接続できるように、各交換ユニットにおけるスイッチS0−S4へのインプットの数は、2つ増えることになる。言い換えると、アクチュエータA0、A1、A2は、データ・ソースとしても作用することができる。ただし、コンピュータP0、P1、P2と異なり、アクチュエータは一般に冗長データ・ソースではなく、冗長経路を通じて選択された受信装置にデータを送信することができる。
本出願において使用される場合「システム」という用語は、データ・ソース及びデータ受信装置並びにこれらを接続するネットワークを備える装置を意味するものと解釈されるが、上記の装置を作動するための方法を意味するためにも使用される。
Claims (17)
- 少なくとも部分的に冗長なデータ・アイテムを生成する複数の冗長データ・ソース(P0、P1、P2)と、
前記冗長データ・アイテムを受信しこれを結合してエラー・トレラント・データ・アイテムにするための複数のデータ受信装置(A0、A1、A2)と、
複数のインプット及びアウトプットを有する交換アセンブリ(SU0、SU1、SU2)であり、該交換アセンブリにおいて、各インプットが1つのデータ・ソース(P0、P1、P2)または1つのアウトプットの何れか一方に接続され、かつ各アウトプットが1つのインプットまたは1つのデータ受信装置(A0、A1、A2)の何れか一方に接続され、かつ各データ受信装置(A0、A1、A2)が別個の受信通信リンク(LPiAk)を通じて少なくとも2つのアウトプットに接続される、交換アセンブリを備え、
前記交換アセンブリ(SU0、SU1、SU2)が、少なくとも2つの異なる受信通信リンク(LPiAk)を通じて前記データ・ソース(P0、P1、P2)のうちいずれをも前記データ受信装置(A0、A1、A2)の各々に接続するのに適し、かつ任意の所定のデータ受信装置が少なくとも2つの受信通信リンク(LPiAk)を通じて同一のデータ・アイテムを受信するように、前記少なくとも2つの異なる受信通信リンク(LPiAk)の各々を通じて任意の所定のデータ・ソース(P0、P1、P2)からのあらゆるデータ・アイテムを前記所定のデータ受信装置(A0、A1、A2)に送信するのに適するエラー・トレラント・コンピュータ制御システムにおいて、
前記交換アセンブリ(SU0、SU1、SU2)が複数の交換ユニットに分割され、各交換ユニットの各インプットが1つのデータ・ソース(P0、P1、P2)に接続されるかまたは交換通信リンク(LPiPj)を通じて別の交換ユニットの1つのアウトプットに接続され、各交換ユニットが少なくとも2つの交換通信リンク(LPiPj)を通じて他の交換ユニットに接続され、各交換通信リンク(LPiPj)が1つのアウトプットを1つのインプットに接続し、各データ受信装置(A0、A1、A2)が、受信通信リンク(LPiAk)を通じて少なくとも2つの異なる交換ユニット(SU0、SU1、SU2)に接続され、かつ特に各交換ユニットにおいて各アウトプットを各インプットに接続することができる、
ことを特徴としたエラー・トレラント・コンピュータ制御システム。 - 各受信通信リンク(LPiAk)が厳密に1つのアウトプットを厳密に1つの受信装置に接続する、請求項1に記載のシステム。
- 各データ受信装置(A0、A1、A2)用の受信通信リンク(LPiAk)の数がデータ・ソース(P0、P1、P2)の数より小さく、かつ特に各データ受信装置(A0、A1、A2)用の受信通信リンク(LPiAk)の数が2である、請求項1または2に記載のシステム。
- 各交換ユニットに対し、各アウトプットが各インプットに接続可能な、
請求項1乃至3の何れか一つに記載のシステム。 - 厳密に2つの交換通信リンク(LPiPj)が各交換ユニット(SUi)の前記インプットに取り付けられ、および/または厳密に2つの交換通信リンク(LPiPj)が各交換ユニット(SUi)の前記アウトプットに取り付けられる、請求項1乃至4の何れか一つに記載のシステム。
- 交換ユニット(SUi)の数がデータ・ソース(P0、P1、P2)の数に一致し、かつ各交換ユニットが1つのデータ・ソース(P0、P1、P2)に帰属し、かつ各交換ユニットの1つのインプットがその帰属するデータ・ソース(P0、P1、P2)に接続され、かつ特に前記交換ユニットの1つのアウトプットがその帰属するデータ・ソース(P0、P1、P2)に接続される、請求項1乃至5の何れか一つに記載のシステム。
- 反復的タイム・ウィンドウが各データ・ソース(P0、P1、P2)に帰属し、かつ各タイム・ウィンドウにおいて、前記交換アセンブリ(SU0、SU1、SU2)が全ての受信通信リンク(LPiAk)を前記タイム・ウィンドウに帰属する前記データ・ソース(P0、P1、P2)に接続する一方で、残りのデータ・ソース(P0、P1、P2)を前記受信通信リンク(LPiAk)から切断する、請求項1乃至6の何れか一つに記載のシステム。
- 各タイム・ウィンドウにおいて、前記交換アセンブリ(SU0、SU1、SU2)が、全ての交換通信リンク(LPiPj)を前記タイム・ウィンドウに帰属する前記データ・ソース(P0、P1、P2)に接続する一方で、残りのデータ・ソース(P0、P1、P2)を前記交換通信リンク(LPiPj)から切断する、請求項7に記載のシステム。
- 前記データ・アイテムの少なくとも一部がタイム・スタンプを搬送し、かつ各交換ユニット(SUi)が前記タイム・スタンプによって同期化されるクロック(11)を備える、請求項7または8に記載のシステム。
- 各交換ユニット(SUi)が、特に、異なるデータ・ソース(P0、P1、P2)からのデータ・アイテムの前記タイム・スタンプの中央値を決定することによって時間基準を決定するためにタイム・スタンプを搬送する複数の受信データ・アイテムを結合するのに適する、請求項9に記載のシステム。
- 一意のキーが各データ・ソース(P0、P1、P2)に帰属し、各データ・ソース(P0、P1、P2)が、自身の一意のキーを用いて自身が送信する各データ・アイテムのためにデジタル署名を生成するのに適し、かつ前記データ受信装置(A0、A1、A2)が、データ・アイテム受信時に前記署名の有効性をチェックするのに適する、請求項1乃至10の何れか一つに記載のシステム。
- 前記データ受信装置(A0、A1、A2)が、前記受信データ・アイテムの各々の有効性をチェックするのに適し、かつ1組の冗長データ・アイテムのうち有効なデータ・アイテムのみを使用するのに適し、かつ特に前記データ受信装置が前記1組の冗長データ・アイテムのうち前記有効データ・アイテムの中央値または大多数値を決定する、請求項1乃至11の何れか一つに記載のシステム。
- 前記データ受信装置(A0、A1、A2)がアクチュエータを含む、請求項1乃至12の何れか一つに記載のシステム。
- 前記データ受信装置から前記交換アセンブリにデータを伝送するためのフィードバック・リンク(LAiPk)を備える、請求項1乃至13の何れか一つに記載のシステム。
- 前記データ受信装置(A0、A1、A2)が車両の駆動メカニズム及びステアリング・メカニズムを制御する、請求項1乃至14の何れか一つに記載のシステムを備える車両。
- 請求項1乃至14の何れか一つに記載のシステムを備える航空機。
- 姿勢制御のため及び揚力及び前進推力を発生するための少なくとも1つの枢軸回転駆動装置(21)及び前記枢軸回転駆動装置の傾斜角度及び推力を制御するための駆動制御装置を備える航空機であり、前記駆動制御装置が前記データ受信装置(A0、A1、A2)の内の一つによって制御され、かつ特に前記駆動制御装置が電動モーターによって駆動される、請求項16に記載の航空機。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03001308A EP1443399B1 (en) | 2003-01-23 | 2003-01-23 | Fault tolerant computer controlled system |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2004342077A JP2004342077A (ja) | 2004-12-02 |
| JP2004342077A5 JP2004342077A5 (ja) | 2007-02-15 |
| JP4309296B2 true JP4309296B2 (ja) | 2009-08-05 |
Family
ID=32605236
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004015857A Expired - Fee Related JP4309296B2 (ja) | 2003-01-23 | 2004-01-23 | エラー・トレラント・コンピュータ制御システム、同システムを備える車両および同システムを備える航空機 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7263630B2 (ja) |
| EP (1) | EP1443399B1 (ja) |
| JP (1) | JP4309296B2 (ja) |
| CN (1) | CN100363899C (ja) |
| AT (1) | ATE431944T1 (ja) |
| AU (1) | AU2004200226B2 (ja) |
| CA (1) | CA2455478A1 (ja) |
| DE (1) | DE60327687D1 (ja) |
| HK (1) | HK1069890A1 (ja) |
| RU (1) | RU2333528C2 (ja) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4490963B2 (ja) | 2003-02-15 | 2010-06-30 | ガルフストリーム・エアロスペース・コーポレイション | 航空機キャビン大気組成制御方法 |
| DE102004049558A1 (de) | 2004-10-12 | 2006-04-27 | Volkswagen Ag | Verfahren und Vorrichtung zur Steuerung einer Kraftfahrzeugbeleuchtung |
| US7337044B2 (en) * | 2004-11-10 | 2008-02-26 | Thales Canada Inc. | Dual/triplex flight control architecture |
| US20060176823A1 (en) * | 2005-02-10 | 2006-08-10 | Barajas Leandro G | Smart actuator topology |
| JP2006344087A (ja) * | 2005-06-10 | 2006-12-21 | Hitachi Ltd | 制御装置のタスク管理装置、及び、制御装置のタスク管理方法 |
| DE102005060720A1 (de) * | 2005-12-19 | 2007-06-28 | Siemens Ag | Überwachungssystem, insbesondere Schwingungsüberwachungssystem und Verfahren zum Betrieb eines solchen Systems |
| EP1977297A4 (en) * | 2006-01-17 | 2010-02-24 | Gulfstream Aerospace Corp | APPARATUS AND METHOD FOR CONTROLLING RELIEF USED IN DISTRIBUTED FLIGHT CONTROL SYSTEM |
| WO2007084529A2 (en) * | 2006-01-17 | 2007-07-26 | Gulfstream Aerospace Corporation | System and method for an integrated backup control system |
| FR2907234B1 (fr) * | 2006-10-13 | 2009-01-16 | Thales Sa | Procede et dispositif d'identification d'un capteur principal defaillant appartenant a une chaine de commande |
| SE530628C3 (sv) * | 2006-12-12 | 2008-08-19 | Scania Cv Ab | Ledstyrsystem |
| US8948960B2 (en) * | 2007-11-30 | 2015-02-03 | Honeywell International Inc. | Systems and methods for arbitrating sensor and actuator signals in a multi-channel control system |
| US8255732B2 (en) * | 2008-05-28 | 2012-08-28 | The United States Of America, As Represented By The Administrator Of The National Aeronautics And Space Administration | Self-stabilizing byzantine-fault-tolerant clock synchronization system and method |
| FR2941551B1 (fr) | 2009-01-28 | 2011-06-03 | Airbus France | Circuit electronique de determination d'une donnee representative d'un parametre de l'air et systeme comprenant un tel circuit |
| FR2941912B1 (fr) * | 2009-02-10 | 2011-02-18 | Airbus France | Systeme de commande de vol et aeronef le comportant |
| CN101576835B (zh) * | 2009-05-31 | 2010-12-01 | 北京控制工程研究所 | 一种满足拜占庭协议的两轮通信方法 |
| US8228009B2 (en) * | 2009-07-27 | 2012-07-24 | Parker-Hannifin Corporation | Twin motor actuator |
| JP4956603B2 (ja) * | 2009-12-04 | 2012-06-20 | 株式会社東芝 | 分散システムおよび論理時間調整方法 |
| EP2442229A1 (en) * | 2010-07-28 | 2012-04-18 | Siemens Aktiengesellschaft | High reliability method of data processing, and controller unit |
| FR2992122B1 (fr) * | 2012-06-15 | 2014-06-27 | Thales Sa | Dispositif de conversion securise de commandes numeriques en signaux analogiques de puissance pour aeronef |
| KR101704787B1 (ko) * | 2014-12-31 | 2017-02-22 | 주식회사 효성 | 제어기의 이중화 시스템 |
| US20180044034A1 (en) * | 2015-03-27 | 2018-02-15 | Astronautics Corporation Of America | Auxiliary Security System for Aircraft Black Box System |
| US9764853B2 (en) * | 2015-04-01 | 2017-09-19 | The Boeing Company | Motionless flight control surface skew detection system |
| US9563523B2 (en) * | 2015-04-16 | 2017-02-07 | GM Global Technology Operations LLC | Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems |
| US10025344B2 (en) | 2015-04-21 | 2018-07-17 | The United States Of America As Represented By The Administrator Of Nasa | Self-stabilizing distributed symmetric-fault tolerant synchronization protocol |
| US10328872B2 (en) * | 2016-06-29 | 2019-06-25 | Hamilton Sundstrand Corporation | Methodology for simplification of aircraft harnessing in multi-redundant control systems |
| CN106354141B (zh) * | 2016-11-02 | 2019-09-13 | 北京汽车集团有限公司 | 一种驾驶控制系统和方法 |
| US10248430B2 (en) * | 2016-12-16 | 2019-04-02 | Hamilton Sundstrand Corporation | Runtime reconfigurable dissimilar processing platform |
| JP2019070902A (ja) * | 2017-10-06 | 2019-05-09 | 横河電機株式会社 | 制御システム、制御方法及び等値化装置 |
| JP2019179964A (ja) * | 2018-03-30 | 2019-10-17 | 株式会社Subaru | 航空機 |
| JP2021525673A (ja) | 2018-05-31 | 2021-09-27 | ジョビー エアロ, インコーポレイテッドJoby Aero, Inc. | 電力システムアーキテクチャとこれを用いたフォールトトレラントvtol航空機 |
| US12006048B2 (en) | 2018-05-31 | 2024-06-11 | Joby Aero, Inc. | Electric power system architecture and fault tolerant VTOL aircraft using same |
| WO2020009871A1 (en) | 2018-07-02 | 2020-01-09 | Joby Aero, Inc. | System and method for airspeed determination |
| WO2020061085A1 (en) * | 2018-09-17 | 2020-03-26 | Joby Aero, Inc. | Aircraft control system |
| EP3626571B1 (en) | 2018-09-18 | 2022-08-17 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Control architecture for a vehicle |
| US10983534B2 (en) | 2018-12-07 | 2021-04-20 | Joby Aero, Inc. | Aircraft control system and method |
| US20200331602A1 (en) | 2018-12-07 | 2020-10-22 | Joby Aero, Inc. | Rotary airfoil and design method therefor |
| US10845823B2 (en) | 2018-12-19 | 2020-11-24 | Joby Aero, Inc. | Vehicle navigation system |
| US11230384B2 (en) | 2019-04-23 | 2022-01-25 | Joby Aero, Inc. | Vehicle cabin thermal management system and method |
| CN116646641B (zh) | 2019-04-23 | 2024-09-13 | 杰欧比飞行有限公司 | 电池热管理系统及方法 |
| US10988248B2 (en) | 2019-04-25 | 2021-04-27 | Joby Aero, Inc. | VTOL aircraft |
| US11273906B2 (en) * | 2019-05-10 | 2022-03-15 | Honeywell International Inc. | Redundant fly-by-wire systems with fault resiliency |
| GB2585185B (en) * | 2019-06-24 | 2021-12-08 | Windracers Ltd | Method of controlling an aircraft |
| WO2021248116A1 (en) | 2020-06-05 | 2021-12-09 | Joby Aero, Inc. | Aircraft control system and method |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4532630A (en) * | 1981-05-28 | 1985-07-30 | Marconi Avionics Limited | Similar-redundant signal systems |
| EP0110885B1 (en) * | 1982-06-16 | 1989-09-06 | The Boeing Company | Autopilot flight director system |
| JPS59212902A (ja) * | 1983-05-18 | 1984-12-01 | Hitachi Ltd | 多重化制御装置 |
| US5357425A (en) * | 1991-02-13 | 1994-10-18 | General Electric Company | Method and apparatus for controlling a real time system |
| US5648898A (en) * | 1994-12-19 | 1997-07-15 | Caterpillar Inc. | Method for programming a vehicle monitoring and control system |
| US6085350A (en) * | 1998-03-04 | 2000-07-04 | Motorola, Inc. | Single event upset tolerant system and method |
| JP4603222B2 (ja) | 1999-10-26 | 2010-12-22 | フランツ・ブーヒャー | 飛行機及び飛行機の操縦方法 |
| US6883065B1 (en) * | 2001-11-15 | 2005-04-19 | Xiotech Corporation | System and method for a redundant communication channel via storage area network back-end |
-
2003
- 2003-01-23 AT AT03001308T patent/ATE431944T1/de not_active IP Right Cessation
- 2003-01-23 DE DE60327687T patent/DE60327687D1/de not_active Expired - Lifetime
- 2003-01-23 EP EP03001308A patent/EP1443399B1/en not_active Expired - Lifetime
-
2004
- 2004-01-20 CA CA002455478A patent/CA2455478A1/en not_active Abandoned
- 2004-01-20 CN CNB2004100430453A patent/CN100363899C/zh not_active Expired - Fee Related
- 2004-01-21 AU AU2004200226A patent/AU2004200226B2/en not_active Ceased
- 2004-01-22 RU RU2004102029/09A patent/RU2333528C2/ru not_active IP Right Cessation
- 2004-01-23 US US10/763,507 patent/US7263630B2/en not_active Expired - Fee Related
- 2004-01-23 JP JP2004015857A patent/JP4309296B2/ja not_active Expired - Fee Related
-
2005
- 2005-02-02 HK HK05100868.4A patent/HK1069890A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP1443399B1 (en) | 2009-05-20 |
| CA2455478A1 (en) | 2004-07-23 |
| CN100363899C (zh) | 2008-01-23 |
| US7263630B2 (en) | 2007-08-28 |
| RU2004102029A (ru) | 2005-07-10 |
| AU2004200226B2 (en) | 2008-10-30 |
| HK1069890A1 (en) | 2005-06-03 |
| US20040195460A1 (en) | 2004-10-07 |
| JP2004342077A (ja) | 2004-12-02 |
| DE60327687D1 (de) | 2009-07-02 |
| ATE431944T1 (de) | 2009-06-15 |
| RU2333528C2 (ru) | 2008-09-10 |
| EP1443399A1 (en) | 2004-08-04 |
| AU2004200226A1 (en) | 2004-08-12 |
| CN1550988A (zh) | 2004-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4309296B2 (ja) | エラー・トレラント・コンピュータ制御システム、同システムを備える車両および同システムを備える航空機 | |
| US8055826B2 (en) | Communication system and method for operation thereof | |
| US8001306B2 (en) | Interface unit and communication system having a master/slave structure | |
| US7944818B2 (en) | High-availability communication system | |
| JP2006523391A (ja) | 冗長的な通信を伴う通信システム | |
| JP5772911B2 (ja) | フォールトトレラントシステム | |
| US7263060B1 (en) | Multiple switch protected architecture | |
| JP4855878B2 (ja) | マルチリング・ネットワーク・システム | |
| JP4395766B2 (ja) | 障害解析システム及び方法並びにプログラム | |
| JP2008146236A (ja) | 二重化制御装置、及びその制御権設定信号の冗長化方法 | |
| JP4541241B2 (ja) | プラント制御システム | |
| US20100208581A1 (en) | Data transfer system, data transmitting device, data receiving device and data transfer method | |
| JP6356325B1 (ja) | リレー制御装置 | |
| JP7140020B2 (ja) | 出力制御装置 | |
| JP2006236301A (ja) | データ通信方法及び安全システム | |
| JP2018160030A (ja) | 制御装置、制御方法、及び、フォールトトレラント装置 | |
| JP2006344023A (ja) | 制御装置 | |
| JPH10262098A (ja) | ラインプロテクションシステム | |
| JP2003345401A (ja) | 高信頼型プロセス制御装置 | |
| WO2008050456A1 (fr) | Système informatique, dispositif de relais de données, et procédé de commande de système informatique | |
| JP2006060637A (ja) | 受信側装置、送信側装置、フェールセーフシステム、受信側方法、送信側方法、および、プログラム | |
| JP2014071773A (ja) | 二重化制御装置およびその制御方法 | |
| JP2004120447A (ja) | 二重化lan間接続装置 | |
| JP2007049446A (ja) | 二重化伝送システム及び伝送装置 | |
| JP2006178734A (ja) | ネットワーク装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061222 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090212 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090407 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090507 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |