JP7132765B2 - 冗長システムにおける多重故障のための故障検出 - Google Patents
冗長システムにおける多重故障のための故障検出 Download PDFInfo
- Publication number
- JP7132765B2 JP7132765B2 JP2018120531A JP2018120531A JP7132765B2 JP 7132765 B2 JP7132765 B2 JP 7132765B2 JP 2018120531 A JP2018120531 A JP 2018120531A JP 2018120531 A JP2018120531 A JP 2018120531A JP 7132765 B2 JP7132765 B2 JP 7132765B2
- Authority
- JP
- Japan
- Prior art keywords
- status
- computing unit
- cyclic redundancy
- message
- redundancy check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title description 10
- 238000000034 method Methods 0.000 claims description 72
- 125000004122 cyclic group Chemical group 0.000 claims description 71
- 230000000694 effects Effects 0.000 claims description 62
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 claims description 61
- 230000005540 biological transmission Effects 0.000 claims description 26
- 230000009471 action Effects 0.000 claims description 7
- 239000000446 fuel Substances 0.000 claims description 4
- 230000007613 environmental effect Effects 0.000 claims description 2
- 230000003213 activating effect Effects 0.000 claims 1
- 230000003068 static effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 34
- 238000012545 processing Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 238000004519 manufacturing process Methods 0.000 description 14
- 238000012423 maintenance Methods 0.000 description 9
- 230000002085 persistent effect Effects 0.000 description 9
- 230000009977 dual effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000003491 array Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 101100258328 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) crc-2 gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000009419 refurbishment Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64C—AEROPLANES; HELICOPTERS
- B64C13/00—Control systems or transmitting systems for actuating flying-control surfaces, lift-increasing flaps, air brakes, or spoilers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1004—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64D—EQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
- B64D45/00—Aircraft indicators or protectors not otherwise provided for
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64C—AEROPLANES; HELICOPTERS
- B64C19/00—Aircraft control not otherwise provided for
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Aviation & Aerospace Engineering (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
Description
本開示は、広くは、航空機に関し、特に、航空機内の冗長システムにおける多重故障のための故障検出に関する。
性能の所望のレベル、更には、安全性の所望のレベルを提供するために、航空機内の多くのシステムには冗長性が実装されている。例えば、航空機のための航空機飛行制御システムは、飛行操縦翼面、アクチュエータ、バルブ、サーボモータ、コントローラ、及び航空機の飛行を制御するために利用される他の構成要素を含む。
航空機飛行制御システムは、データ処理アーキテクチャにおいて三重の冗長性を採用し得る。航空機飛行制御システムにおいて制御及び故障検出機能を実行するために、この三重の冗長性が採用される。そのようなシステムでは、3つの個別の計算ユニットが、同一の又はほぼ同一の計算を実行し得る。計算ユニットは、「レーン」とも称される。しばしば、これらのレーンは、通常の状態下で同一の又はほぼ同一の出力を生成することが期待される。そして、それらの計算の出力から選択が行われる。同時に、それらの出力は、通常、故障検出及び分離のために比較される。
三重の冗長性システムでは、「1‐フェイルオペラティブ(Fail Operative)」が単一の故障を示し、「2‐フェイルセーフ(Fail Safe)」が二重の故障を示す。この文脈では、「1‐フェイルオペラティブ」が、システム内の3つの冗長レーンのうちの1つが故障したならば、該システムは、動作を継続し、2つの残りのレーンに対して必要な制御信号を提供することを意味する。継続される動作は、しばしば、故障したレーンの検出及びシャットダウンの後に行われる。この継続される動作は、誤った出力の可能性を低減させるやり方で高い統合性を支持し、且つ、高い利用可能性を支持する。結果として、該システムは、単一レーン故障の後に動作を継続することができる。
三重の冗長性システムでは、別の1つのレーンが続いて故障したならば、計算システムは、もはや所望の機能を実行するために必要な出力を提供しない。この状況では、該システムが、「2‐フェイルセーフ」の状態に置かれ得る。それは、該システムからの制御出力が、もはや適用されない又は使用されない「フェイルセーフ」状態である。
例えば、航空機飛行制御システムにおいて、「1‐フェイルオペラティブ」は、該システムによって制御されるアクチュエータが、単一レーン故障の後に継続して制御され得ることを意味する。アクチュエータが、もはや性能の所望のレベルでシステムによって制御可能でないときに、該システムは、「2‐フェイルセーフ」の状態に置かれ得る。その状態では、該システムが、アクチュエータを制御することができない。この状態では、「バイパスモード」が採用され得る。「バイパスモード」では、アクチュエータが、低い抵抗を伴って、空気負荷によって又は飛行操縦翼面の他のアクチュエータによってバックドライブされ得る。
通常、レーン内に実装される電子機器は、複雑であると考えられる。例えば、レーンのための構成要素は、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、フィールドプログラマブルゲートアレイ(FPGA)、又はそれらの何らかの組み合わせを含み得る。結果として、それらが故障することが予期される望ましくない動作又は挙動の全ての潜在的なモードは、望まれるよりも予測することが困難であり得る。
更に、レーンによる故障の自己宣言は、完全な故障検出を有すると考えられない。したがって、故障検出は、主として、独立したレーン間の比較に依存する。どのレーンが望ましくない動作を有するかを決定するなどの第1のレーン故障は、検出及び分離することが比較的単純である。この検出は、多数決を使用して実現され得る。
レーンの望ましくない動作が検出されたときに、他の2つのレーンがそのレーンのシャットダウンに同意するならば、そのレーンは他の2つのレーンによってシャットダウンされ得る。該システムは、残りの2つのレーンを用いて継続して動作し、したがって、「1‐フェイルオペラティブ」システムを実現し得る。第2のレーン故障も、2つの残りのレーンの間の比較を通じて同様なやり方で対処され得る。
2つの残りのレーンのうちの少なくとも一方が、他方のレーンの出力がそれ自身のものとは大幅に異なると決定したならば、全体のシステムが、シャットダウンするか又は不活動状態に置かれ得る。それによって、「2‐フェイルセーフ」システムが実現される。ある場合では、正しい自己宣言をもたらす限定的な故障の場合に対して、三重の冗長システムにおける「2‐フェイルオペラティブ」システムが実現され得る。
第1のレーン故障のための故障検出は、比較的単純である。何故ならば、第1のレーン故障の時に、他の2つのレーンが健全だからである。2つの健全なレーンは、故障したレーンをシャットダウンすることに同意することと、そのレーンがシャットダウンした状態で維持されることとの両方において頼りにされ、したがって、完全な故障検出を提供し得る。
残りの2つのレーンを有する第2のレーン故障が生じたというときには、状況がより複雑になる。例えば、第2のレーンが故障し、そのレーンが第1の以前に故障したレーンをシャットダウン状態から戻すことに同意する。それによって、第1の以前に故障したレーンは、積極的にその投票に参加する。結果として、2つの故障したレーンが、該システムの制御を引き受け得る。例えば、2つの故障したレーンは、最後の残りの健全なレーンをシャットダウンすることに同意し得る。
したがって、少なくとも上述の問題点のうちの幾つかと、起こり得る他の問題点を考慮した方法及び装置を有することが望ましいであろう。例えば、該システムの望ましくない動作を避ける「フェイルセーフ」システムを実現するように第2のレーン故障が管理されるように、制御システムを管理することによって技術的な問題を克服する方法及び装置を有することが望ましいだろう。
本開示の一実施形態は、航空機のための三重の冗長性を有する制御システムを管理する方法を提供する。該方法は、第1のレーン故障が以前に生じていた3つのレーンを含むコントローラ内の送信レーンから一群のメッセージを受信することを含む。該方法は、一群のメッセージ内の、活動インジケータ、一群のレーン内の各レーンによって生成されたステータス、及び一群のレーン内の各レーンによって生成されたサイクリック冗長性チェック値を特定する。一群のレーン内のあるレーンによって生成されたサイクリック冗長性チェック値は、そのレーンに割り当てられたキーを使用して生成される。該方法は、第2のレーン故障が生じたことを示す、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、うちの少なくとも1つであるときに、コントローラの動作を停止する。
本開示の別の一実施形態は、航空機のための三重の冗長性を有する制御システムを提供する。制御システムは、第1のレーン故障が以前に生じていた3つのレーンを含むコントローラ内の送信レーンから一群のメッセージを受信するように構成された飛行制御電子システムを備える。該制御システムは、一群のメッセージ内の、活動インジケータ、一群のレーン内の各レーンによって生成されたステータス、及び一群のレーン内の各レーンによって生成されたサイクリック冗長性チェック値を特定する。一群のレーン内のあるレーンによって生成されたサイクリック冗長性チェック値は、そのレーンに割り当てられたキーを使用して生成される。該制御システムは、第2のレーン故障が生じたことを示す、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、うちの少なくとも1つであるときに、コントローラの動作を停止する。
本開示の更に別の一実施形態は、航空機のための制御システムを管理する方法を提供する。該方法は、第1のレーン故障が以前に生じていた三重の冗長性のための3つのレーンを含む遠隔電子ユニット内の送信レーンから一群のメッセージを飛行制御電子システムにおいて受信することを含む。該方法は、飛行制御電子システムによって、送信レーンに割り当てられたキーに基づいて、一群のメッセージ内の、活動インジケータ、送信レーンによって生成されたステータス、及びサイクリック冗長性チェック値を特定する。該方法は、飛行制御電子システムによって、第2のレーン故障が生じたことを示す、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、うちの少なくとも1つであるときに、遠隔電子ユニットに対して動作を実行する。
本開示の更に別の一実施形態は、航空機のための三重の冗長性を有する制御システムを管理する方法を提供する。該方法は、第1のレーン故障が以前に生じていた3つのレーンを含むコントローラ内の送信レーンから一群のメッセージを受信することを含む。該方法は、一群のレーンに割り当てられた一群のキーに基づいて、一群のメッセージ内の、一群のレーンによって生成された活動インジケータ及びエラーチェックデータのミスマッチを特定する。該方法は、第2のレーン故障が生じたことを示す、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はエラーチェックデータのミスマッチが存在する、うちの少なくとも1つであるときに、コントローラの動作を停止する。
これらの特性及び機能は、本開示の様々な実施形態で独立して実現することもできるし、以下の説明及び図面に関連してさらなる詳細を理解することができる、さらに別の実施形態において組み合わされてもよい。
例示的な実施形態の特徴とされている新規な特徴は、添付の特許請求の範囲に記載されている。しかし、例示的な実施形態並びに好ましい使用モード、さらなる目的及びそれらの特徴は、添付図面を参照しつつ本開示の例示的な実施形態に関する以下の詳細な説明を読むことによって、最もよく理解されるであろう。
例示的な実施形態は、1以上の種々の検討事項を認識し考慮する。例えば、例示的な実施形態は、現在の三重の冗長システムが望まれる程度に効率的に第2のレーンの故障を取り扱うことができ得ないことを認識し考慮する。例えば、例示的な実施形態は、航空機内のシステムの制御を得ることによって望ましくないやり方でレーンを動作させるのは望ましくないことを認識し考慮する。例示的な実施形態は、イベントのシーケンスの追跡を続けるために「グルーロジック(glue‐logic)」を構築するように独立した単純な電子機器が使用され得ることを認識し考慮する。それによって、第2の故障したレーンは、第1の故障したレーンを再起動することができず、最後の残っている健全なレーンが、システムをシャットダウンし該システムを「フェイルセーフ」の状態に置く権限を有し得る。例示的な実施形態は、このアプローチの1つの難しさが、望ましいように機能し得ない複雑なデバイスに依存することなしに、電力サイクルに耐えるイベントのシーケンスのメモリを保持するための機構を含むことを認識し考慮する。
したがって、例示的な実施形態は、制御システムを管理するための方法、装置、及びシステムを提供する。航空機のための三重の冗長性を有する制御システムを管理するプロセスが存在する。該プロセスは、第1のレーン故障が以前に生じていた3つのレーンを含むコントローラ内の送信レーンから一群のメッセージを受信する。活動インジケータ、一群のレーン内の各レーンによって生成されたステータス、及び一群のレーン内の各レーンによって生成されたサイクリック冗長性チェック値が、メッセージ内で特定される。一群のレーン内のあるレーンによって生成されたサイクリック冗長性チェック値は、そのレーンに割り当てられたキーを使用して生成される。第2のレーン故障が生じたことを示す、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、うちの少なくとも1つであるときに、コントローラの動作が停止される。
次に図面、特に図1を参照すると、例示的な一実施形態による三重の冗長性環境のブロック図が描かれている。この例示的な実施例では、三重の冗長性環境100が、航空機104の形態を採るプラットフォーム102を含み得る。
描かれているように、航空機104内の制御システム106は、システム108の動作を制御する。例示的な実施例では、システム108が様々な形態を採り得る。例えば、システム108は、アクチュエータ、バルブ、サーボモータ、飛行操縦翼面、インフライト娯楽システム、燃料システム、エンジン、環境制御システム、自動操縦装置、着陸装置システム、又は何らかの他の適切な種類のシステムのうちの少なくとも1つから選択され得る。
本明細書で使用される場合、列挙されたアイテムと共に使用される「~のうちの少なくとも1つ」という表現は、列挙されたアイテムのうちの1以上の種々の組み合わせが使用されてもよく、また列挙された各アイテムのうちの1つだけが必要とされてもよいということを意味する。換言すると、「~のうちの少なくとも1つ」とは、アイテムの任意の組み合わせ、及び幾つかのアイテムが、列挙された中から使用され得ることを意味するが、列挙されたアイテムの全てが必要となる訳ではないことを意味する。アイテムとは、特定の対象物、物品、またはカテゴリであってよい。
例えば、限定するものではないが、「アイテムA、アイテムB、及びアイテムCのうちの少なくとも1つ」は、「アイテムA」、「アイテムAとアイテムB」、または「アイテムB」を含んでいてよい。この例はまた、「アイテムAとアイテムBとアイテムC」、又は「アイテムBとアイテムC」も含むことができる。これらのアイテムの何れかの組み合わせも、もちろん存在してよい。ある例示的な実施例では、「~のうちの少なくとも1つ」は、限定しないが例として、「2個のアイテムAと1個のアイテムBと10個のアイテムC」、「4個のアイテムBと7個のアイテムC」、又は他の適切な組み合わせであってよい。
この特定の実施例では、制御システム106が、コンピュータシステム142内に実装され得る。コンピュータシステム142は、物理的なハードウェアシステムであり、1以上のデータ処理システムを含む。2以上のデータ処理システムが存在するときに、これらのデータ処理システムは、通信媒体を使用して互いと通信する。通信媒体は、ネットワークであってもよい。データ処理システムは、コンピュータ、サーバコンピュータ、ライン交換ユニット、タブレット、又は何らかの他の適切なデータ処理システムのうちの少なくとも1つから選択され得る。
描かれているように、制御システム106は、飛行制御電子システム110及びコントローラ112を備える。この例示的な実施例では、コントローラ112が、飛行操縦翼面114の形態を採るシステム108を制御する。例示的な実施例では、この制御が、飛行操縦翼面114に連結されたアクチュエータをコントローラ112が制御する、直接的な制御であり得る。飛行操縦翼面114は、種々の形態を採り得る。例えば、飛行操縦翼面114は、エルロン、エレベータ、ラダー、スポイラー、フラップ、スラット、エアブレーキ、及び何らかの他の適切な種類の飛行操縦翼面から選択され得る。
この例示的な実施例では、飛行制御電子システム110が、マスターコントローラ146として機能する一方で、コントローラ112は、より低いレベルのコントローラである。飛行制御電子システム110は、コントローラ112に加えて、1以上のコントローラをモニタ及び制御し得る。それらの他のコントローラは、飛行操縦翼面114に加えて、航空機104のための他の平面制御装置を制御し得る。
コントローラ112は、飛行操縦翼面114に加えて又は代えて、システム108内の他のシステム若しくは構成要素又は他のシステムを制御し得る。例えば、システム108は、アクチュエータ、バルブ、サーボモータ、インフライト娯楽システム、燃料システム、エンジン、環境制御システム、自動操縦装置、着陸装置システム、又は何らかの他の適切な種類のシステムのうちの少なくとも1つから選択され得る。
この例示的な実施例では、飛行制御電子システム110が、3つのレーンを含むコントローラ112内のレーン120内の送信レーン118から一群のメッセージ116を受信するように構成されている。描かれているように、一群のメッセージ116は、暗号化され得る。本明細書で使用される際に、「一群の」は、アイテムに関して使用されるときに、1以上のアイテムを意味する。例えば、「一群のメッセージ116」は、1以上のメッセージを意味する。
この例示的な実施例では、第1のレーン故障122が、コントローラ112内で以前に生じていた。制御システム106の動作中に、飛行制御電子システム110は、一群のメッセージ116内の、活動インジケータ124、一群のレーン120内の各レーンによって生成されたステータス126、及び一群のレーン120内の各レーンによって生成されたエラーチェックデータ144を特定する。一群のレーンは、未だ健全であるか又は性能の所望のレベルで動作していると考えられるレーン120である。この例示的な実施例では、エラーチェックデータ144は、サイクリック冗長性チェック値128の形態を採る。
描かれているように、メッセージ116のうちの1以上で情報が送信され得る。言い換えると、活動インジケータ124、各レーンに対するステータス126、及び各レーンに対するサイクリック冗長性チェック値128は、単一のメッセージ内に存在し得る。例えば、2つのレーンが起動しているならば、単一のメッセージは、活動インジケータ124、2つのステータスメッセージ、及び2つのサイクリック冗長性チェック値を含み得る。
描かれているように、一群のレーン120内のレーン130によって生成されたサイクリック冗長性チェック値128は、レーン130に割り当てられたキー132を使用して生成される。この例示的な実施例では、サイクリック冗長性チェック値128が、一群のメッセージ116内の活動インジケータ124及びステータス126に更に基づき得る。
この例示的な実施例では、飛行制御電子システム110が、一群のメッセージ116内の、活動インジケータ124、ステータス126、一群のレーン120内のレーン130のための局所的なキー140を使用して、一群のメッセージ116に対する局所的なサイクリック冗長性チェック値138を計算するように構成されている。レーン130のための局所的なキー140は、飛行制御電子システム110に配置されたレーン130に割り当てられたキーである。局所的なキー140は、これらの例示的な実施例においてサイクリック冗長性チェックを実行するときに、飛行制御電子システム110とコントローラ112との間で送信されない。
飛行制御電子システム110は、第2のレーン故障134が生じたことを示す、コントローラ112内の送信レーン118から受信された一群のメッセージ116内で、ステータス126において異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、うちの少なくとも1つであるときに、コントローラ112の動作を停止する。この例示的な実施例では、コントローラ112が、遠隔の電子ユニット136である。例えば、飛行制御電子システム110は、コントローラ112から電力を除去することによってコントローラ112の動作を停止し得る。
制御システム106及び制御システム106内の種々の構成要素は、ソフトウェア、ハードウェア、ファームウェア、又はそれらの組み合わせの中に実装され得る。ソフトウェアが使用されるときに、制御システム106によって実行される動作は、プロセッサユニットなどのハードウェア上で実行されるよう構成されたプログラムコードの中に実装され得る。ファームウェアが使用されるときに、制御システム106によって実行される動作は、プロセッサユニット上で実行されるようにプログラムコード及びデータの中に実装され、且つ、固定記憶域に記憶され得る。ハードウェアが採用されるときに、ハードウェアは制御システム106内で動作を実施するために動作する回路を含んでいてよい。
例示的な実施例において、ハードウェアは、回路システム、集積回路、特定用途向け集積回路(ASIC)、プログラマブル論理デバイス、または、幾つかの動作を実行するよう構成された何らかの他の適切な種類のハードウェアのうちの、少なくとも1つから選択された形態を採り得る。プログラマブル論理デバイスを用いる場合、該デバイスは、幾つかの動作を実施するように構成されてよい。該デバイスは、幾つかの動作を実施するよう、後で再構成されてもよく、または恒久的に構成されてもよい。プログラマブル論理デバイスは、例えば、プログラマブル論理アレイ、プログラマブルアレイ論理、フィールドプログラマブル論理アレイ、フィールドプログラマブルゲートアレイ、及び、他の適切なハードウェア装置を含む。加えて、これらのプロセスは、無機構成要素に組み込まれた有機構成要素に実装されていてもよいし、全てが人間以外の有機構成要素でからなっていてもよい。例えば、これらのプロセスは、有機半導体の回路として実装されていてよい。
例示的な一実施例では、制御システムを管理することによって技術的な問題を克服する1以上の技術的な解決策が存在する。それによって、第2のレーン故障は、望ましくないやり方で動作しないシステムを実現するように管理される。結果として、1以上の技術的な解決策は、三重の冗長性システムにおける冗長性のための現在の技術と比較して、コントローラ内のレーンが望ましくないやり方で動作しているときをより効果的に検出するための技術的効果を提供し、そのレーンを管理し得る。
更に、1以上の技術的な解決策は、コントローラ112などのより低いレベルのコントローラからのデータをモニタして、第2のレーン故障がより低いレベルのコントローラ内で生じたか否かを判定する、飛行制御電子システム110などのマスターコントローラを含む。これらの1以上の技術的な解決策では、マスターコントローラが、コントローラ112及びコントローラ112によって制御されるシステム108のうちの少なくとも一方に対する動作を決定し制御する。
このやり方では、コントローラがコントローラ内のレーンをモニタ及び制御する現在の制御システムの1以上の問題が低減され得る。例えば、シャットダウンされた以前に故障したレーンが、第2の故障したレーンによって再スタートされ、コントローラ及びコントローラによって制御されるシステムを制御する望ましくないやり方で動作し得る2つのレーンをもたらす状況を避けることができる。
結果として、コンピュータシステム142は、コンピュータシステム142内の制御システム106が、第1のレーン故障が生じた後での制御を管理することを可能にする、専用コンピュータシステムとして動作する。特に、制御システム106を有さない現在の利用可能な汎用コンピュータシステムと比較して、制御システム106は、コンピュータシステム142を専用コンピュータシステムへ変換する。
図1の三重の冗長性環境100の図は、例示的な一実施形態が実装され得るやり方に対して物理的又は構造的な限定を課すことを意図するものではない。示されている構成要素に加えて又は代えて、他の構成要素が使用されてもよい。幾つかの構成要素は不要であってよい。更に、一部の機能構成要素を図示するために、ブロックが提示されている。例示的な実施形態で実施されるときに、これらのブロックのうちの1つ以上が、結合されても、分割されても、結合且つ分割されて異なるブロックになってもよい。
例えば、例示的な実施例は、航空機104の形態を採るプラットフォーム102に関して説明されているが、別の例示的な一実施例は、他の種類のプラットフォームに適用されてもよい。例えば、プラットフォーム102は、移動式プラットフォーム、固定式プラットフォーム、陸上構造物、水上構造物、及び宇宙構造物であってもよい。より具体的には、プラットフォーム102は、水上艦、戦車、人員運搬機、列車、宇宙船、宇宙ステーション、衛星、潜水艦、自動車、発電所、橋、ダム、家屋、製造施設、建造物、及び他の適切なプラットフォームであり得る。
別の例示的な一実施例では、エラーチェックデータ144が、サイクリック冗長性チェック値128とは異なる他の形態を採り得る。例えば、エラーチェックデータ144は、パリティビット、チェックサム、水平冗長性チェック値、又はメッセージ、パケット、若しくは情報の他の形態を送信することにおいてエラーをチェックするために使用される他の種類のデータのうちの少なくとも1つから選択され得る。言い換えると、1以上の種類のエラーチェックデータ144が使用され得る。
別の一実施例として、ステータス126が、メッセージ116から省略され得る。ある場合では、エラーのチェックが、ステータス126を送信することなしに実行され得る。ステータス126は、サイクリック冗長性チェック値128などのエラーチェックデータ144を生成することにおいて使用され得る。この実施例では、異常及びステータスが、サイクリック冗長性チェックのミスマッチを通じて検出され得る。この実施例では、サイクリック冗長性チェック値のミスマッチに対する活動インジケータのミスマッチが存在するときに、異常が存在する。
例示的な更に別の一実施例では、送信レーン118からのステータス126が、エラーチェックデータ144なしに送信され得る。この実施例では、活動インジケータのミスマッチが存在することをステータス126が示すときに、異常が存在する。
更に別の例示的な一実施例では、ステータス126が、エラーのチェックなしに送信レーン118によって送信され得る。そして、送信レーン118以外のレーン120内の他のレーンは、ステータス126なしにサイクリック冗長性チェック値128を生成する。この場合では、活動インジケータのミスマッチが生じるときに、異常が検出される。
次に図2を参照すると、例示的な一実施形態による、制御システムのブロック図が描かれている。この描かれている実施例では、制御システム200が、図1の制御システム106に対する例示的な一実施態様である。
この例示的な実施例では、制御システム200が、飛行制御電子(FCE)システム202及び遠隔電子ユニット(REU)204を含む。遠隔電子ユニット204は、図1のコントローラ112の一例である。
描かれているように、遠隔電子ユニット204は、3つのレーン、レーン1206、レーン2 208、及びレーン3210を含む。これらのレーンは、制御システム200における3重の冗長性を提供する。描かれているように、レーン1206は、送信レーン212である。送信レーン212は、飛行制御電子システム202と直接的に通信する。他のレーンは、送信レーン212を通じて情報を送信する。
この例示的な実施例では、第1のレーン故障が以前に生じていた。描かれているように、レーン3210は、故障して動作が停止されてしまった。送信レーン212とレーン2208は、遠隔電子ユニット204内で起動しているレーンである。
描かれているように、飛行制御電子システム202は、活動インジケータ214を生成し、送信レーン212及びレーン2208に送信する。この例示的な実施例において、活動インジケータ214は、活動インジケータ214が生成される度に増加する数値である。例示的な実施例では、活動インジケータ214が、制御システム200の動作中に連続的に変化する。遠隔電子ユニット204の動作中に大き過ぎる遅延が生じたならば、戻される活動インジケータは、活動インジケータ214と合致しないことになる。大き過ぎる遅延の量は、どれだけの遅延が遠隔電子ユニット204の望ましくない動作をもたらすかに基づいて選択され得る。
レーン2 208は、ステータス2 216を生成する。ステータスは、レーン2208が特定する異常を示し得る。この異常は、レーン2 208又は送信レーン212に対するものであり得る。レーン2 208は、活動インジケータ215、ステータス2 216、及びキー2 220を使用して、サイクリック冗長性チェック値(CRC2)128を生成する、サイクリック冗長性チェック(CRC)生成器230を有する。キー2 220は、レーン2 208に割り当てられたキーである。レーン2208は、送信レーン212にメッセージ222を送信する。理想的には、活動インジケータ215が、活動インジケータ214と同じ値を有するべきである。メッセージ222は、ステータス2216とサイクリック冗長性チェック値128を含む。
この例示的な実施例では、送信レーン212がステータス1224を生成する。ステータス1 224は、送信レーン212が送信レーン212又はレーン2 208に対して特定し得る異常のインジケータを含む。送信レーン212は、活動インジケータ248、ステータス1 224、及びキー1 228を使用してサイクリック冗長性チェック値(CRC1)226を生成する、サイクリック冗長性チェック(CRC)生成器232を有する。キー1 228は、送信レーン212に割り当てられたキーである。
更に、サイクリック冗長性チェック生成器232は、サイクリック冗長性チェック生成器230から分離した構成要素として示されている。ある例示的な実施例では、これらの2つのブロックが、単一の物理的な構成要素によって生成されるサイクリック冗長性チェック値と組み合され得る。
描かれているように、送信レーン212は、メッセージ234を生成し送信する。この実施例では、メッセージ234が、活動インジケータ248、ステータス1224、サイクリック冗長性チェック値226、ステータス2 216、及びサイクリック冗長性チェック値218を含む。活動インジケータ248は、活動インジケータ214と同じであるか又は異なる値であってもよい。
メッセージ234は、飛行制御電子システム202に送信される。描かれているように、メッセージ234は、二重のレーン故障モニタ236によって処理される。二重のレーン故障モニタ236は、遠隔電子ユニット204内の第1のレーンが故障したときに動作を開始する。二重の故障モニタ236は、メッセージ234などの入ってくるメッセージをモニタして、遠隔電子ユニット204内の2つの残りのレーン内の1つのレーンが故障したか否かを判定する。
二重のレーン故障モニタ236は、遠隔電子ユニット204内の各レーンによって生成されたステータスを検査して、ステータスの何れかが、送信レーン212又はレーン2208内で異常又は故障が生じたことを示すか否かを判定する。更に、二重のレーン故障モニタ236は、活動インジケータ214がメッセージ234内の活動インジケータ248とマッチしない、活動インジケータのミスマッチもモニタする。
サイクリック冗長性チェック値のミスマッチが存在するか否かを判定することにおいて、二重のレーン故障モニタ236は、送信レーン212に対する局所的なサイクリック冗長性チェック値(LCRC1)238、及び、レーン2 208に対する局所的なサイクリック冗長性チェック値(LCRC2)240を生成する。これらの値は、局所的なキー1244及び局所的なキー2 246などの局所的なキー242を使用して生成される。局所的なキー1 244は、キー1 228に対する局所的なキーであり、局所的なキー2246は、キー2 220に対する局所的なキーである。
これらの局所的なサイクリック冗長性チェック値は、メッセージ222内のサイクリック冗長性チェック値と比較されて、サイクリック冗長性チェック値のミスマッチが存在するか否かを判定する。構成要素に対する一部のプロセスが、レーンに対する偽のステータスを生成し得る可能性を低減することにおいて、キーの使用は助けとなる。
例示的な実施例では、各レーンが、活動インジケータ214を使用して、サイクリック冗長性チェック値を生成する。新しいデータが特定のレーンによってパスされない又はデータがゆっくりとパスされるならば、戻される活動インジケータ、すなわちメッセージ234内の活動インジケータ248は、活動インジケータ214とマッチしないことになる。
ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、うちの少なくとも1つであるときに、第2のレーン故障が存在する。この例示的な実施例では、二重のレーン故障モニタ236によって第2のレーン故障が特定されたときに、遠隔電子ユニット204から電力が除去される。
次に図3を参照すると、例示的な一実施形態による、三重の冗長性を有する制御システムを管理するためのプロセスのフローチャートが描かれている。図3で示されているプロセスは、図1の制御システム106内の飛行制御電子システム110内に実装され得る。図3で示されている種々の動作は、プログラムコード、ハードウェア、又はそれらの組み合わせとしてデータ処理システム内に実装され、該データ処理システムは、図1のコンピュータシステム142などの飛行制御電子システムを実施するために使用され得る。
該プロセスは、第1のレーン故障が以前に生じていた3つのレーンを含むコントローラ内の送信レーンから一群のメッセージを受信することによって開始する(動作300)。該方法は、一群のメッセージ内の、活動インジケータ、一群のレーン内の各レーンによって生成されたステータス、及び一群のレーン内の各レーンによって生成されたサイクリック冗長性チェック値を特定する(動作302)。一群のレーン内のあるレーンによって生成されたサイクリック冗長性チェック値は、そのレーンに割り当てられたキーを使用して生成される。
該プロセスは、第2のレーン故障が生じたことを示す、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが一群のメッセージ内に存在する、うちの少なくとも1つであるときに、コントローラの動作を停止する(動作304)。本プロセスは、その後、終了する。
次に図4を参照すると、例示的な一実施形態による、レーンをモニタするためのプロセスのフローチャートが描かれている。図4で示されているプロセスは、図2の制御システム200内の飛行制御電子システム202内に実装され得る。このプロセスは、図2の制御システム200内の飛行制御電子システム202内の二重のレーン故障モニタ236内にも実装され得る。図2で示されている種々の動作は、プログラムコード、ハードウェア、又はそれらの組み合わせとしてデータ処理システム内に実装され、該データ処理システムは、図1のコンピュータシステム142などの飛行制御電子システムを実施するために使用され得る。
該プロセスは、コントローラ内の送信レーンからメッセージを受信することによって開始する(動作400)。該プロセスは、活動インジケータ、送信レーンからのステータス、第2の動作しているレーンからのステータス、送信レーンによって生成されたサイクリック冗長性チェック値、及び第2の動作しているレーンによって生成されたサイクリック冗長性チェック値を特定する(動作402)。該プロセスは、メッセージ内で特定された情報を使用して異常が存在するか否かを判定する(動作404)。この例示的な実施例では、一群のメッセージ内で、ステータスにおいて異常が示された、活動インジケータのミスマッチが存在する、又はエラーチェックデータのミスマッチが存在する、うちの1つであるときに、この実施例において異常が存在する。
異常が存在するならば、該プロセスは、修正動作を実行し(動作406)、その後、本プロセスは終了する。この修正動作は、様々な形態を採り得る。例えば、該プロセスは、コントローラから電力を除去し、コントローラを通信バスから接続解除し、コントローラをシャットダウンし、コントローラをリブートし、又は何らかの他の動作を行い得る。
再び動作404を参照すると、異常が存在しないならば、該プロセスは、動作400に戻る。このプロセスでは、コントローラが、コントローラを「フェイルセーフ」モードへ置くための責任から解放される。
次に図5を参照すると、例示的な一実施形態による、サイクリック冗長性値のミスマッチが存在するか否かを判定するためのプロセスのフローチャートが描かれている。図5で示されているプロセスは、図1の制御システム106内の飛行制御電子システム110内に実装され得る。図5で示されている種々の動作は、プログラムコード、ハードウェア、又はそれらの組み合わせとしてデータ処理システム内に実装され、該データ処理システムは、図1のコンピュータシステム142などの飛行制御電子システムを実施するために使用され得る。
該プロセスは、一群のメッセージ内の、活動インジケータ、ステータス、及び一群のレーン内のあるレーンに対する局所的なキーを使用して、一群のメッセージに対する局所的なサイクリック冗長性チェック値を計算することによって開始する(動作500)。局所的なキーは、図1の飛行制御電子システム110内に配置されるキーである。局所的なキーは、図1で示されている航空機104の通常の動作中に、飛行制御電子システム110とコントローラ112との間の任意の通信において送信されない。
該プロセスは、コントローラから受信したメッセージ内のサイクリック冗長性チェック値を特定する(動作502)。サイクリック冗長性チェック値と局所的なサイクリック冗長性チェック値との間にマッチが存在するか否かに関して判定が行われる(動作504)。マッチが存在しないならば、該プロセスは、ミスマッチが生じたことを示し(動作506)、その後、本プロセスは終了する。そうでない場合に、該プロセスは、マッチが存在することを示し(動作508)、その後、本プロセスは終了する。
図示した種々の実施形態におけるフローチャート及びブロック図は、例示的な一実施形態における、装置及び方法の幾つかの可能な実施態様の構造、機能、及び動作を示している。これに関し、フローチャート又はブロック図内の各ブロックは、モジュール、セグメント、機能、又は動作若しくはステップの一部分のうちの少なくとも1つを表わし得る。例えば、ブロックのうちの1以上は、プログラムコード、ハードウェア、又はプログラムコードとハードウェアの組合せとして実装されてよい。ハードウェア内に実装されたときに、ハードウェアは、例えば、フローチャートまたはブロック図の1以上の動作を実行するように製造又は構成された、集積回路の形態を採り得る。プログラムコードとハードウェアの組み合わせとして実装されたときに、この実装態様は、ファームウェアの形態を採り得る。フローチャート又はブロック図の各ブロックは、種々の動作を実行する専用ハードウェアシステム、又は専用ハードウェアと専用ハードウェアによって実行されるプログラムコードの組み合わせを使用して実装され得る。
例示的な一実施形態の幾つかの代替的な実施態様では、ブロック内に記載された1以上の機能は、図中に記載された順序を逸脱して出現し得る。例えば、場合によっては、連続して示される2つのブロックがほぼ同時に実施されること、又は時には含まれる機能に応じてブロックが逆順に実施されることもあり得る。更に、フローチャート又はブロック図に描かれているブロックに加えて、他のブロックが追加されることもある。
次に図6を参照すると、例示的な一実施形態による、データ処理システムのブロック図が描かれている。データ処理システム600を使用して、図1のコンピュータシステム142を実行することができる。この例示的な実施例では、データ処理システム600は通信フレームワーク602を含み、これによりプロセッサユニット604、メモリ606、固定記憶域608、通信ユニット610、入/出力ユニット612、及びディスプレイ614間の通信が行われる。この例では、通信フレームワーク602は、バスシステムの形態を採り得る。
プロセッサユニット604は、メモリ606に読み込まれてよいソフトウェアに対する指示命令を実行する役割を果たす。プロセッサユニット604は、具体的な実装態様に応じて、任意の数のプロセッサであるか、マルチプロセッサコアであるか、又は他の何らかの種類のプロセッサであってよい。
メモリ606及び固定記憶域608は、記憶デバイス616の一例である。記憶デバイスは、例えば、限定するものではないが、データ、機能的な形態のプログラムコードなどの情報、又は他の適切な情報のうちの少なくとも1つを一時的に及び/又は永続的に記憶できる、任意のハードウェアである。記憶デバイス616は、これらの例示的な実施例では、コンピュータ可読記憶デバイスとも称され得る。これらの実施例で、メモリ606は、例えばランダムアクセスメモリ、又は任意の他の適切な揮発性或いは不揮発性の記憶デバイスであってもよい。固定記憶域608は、特定の実施態様に応じて様々な形態を採り得る。
例えば、固定記憶域608は、1以上の構成要素又は装置を含んでいてよい。例えば、固定記憶域608は、ハードドライブ、ソリッドステートハードドライブ、フラッシュメモリ、書換え型光学ディスク、書換え可能磁気テープ、又は上述の何らかの組み合わせであってもよい。固定記憶域608によって使用される媒体も、着脱可能であってよい。例えば、着脱可能ハードドライブが固定記憶域608に使用され得る。
これらの例示的な実施例では、通信ユニット610が、他のデータ処理システム又は装置との通信を提供する。これらの例示的な実施例では、通信ユニット610はネットワークインタフェースカードである。
入/出力ユニット612は、データ処理システム600に接続され得る他の装置との間のデータの入出力を可能にする。例えば、入/出力ユニット612は、キーボード、マウス、または他の何らかの適切な入力装置のうちの少なくとも1つを通じて、ユーザ入力のための接続を提供し得る。更に、入/出力ユニット612は、プリンタに出力を送信し得る。ディスプレイ614は、ユーザに情報を表示するための仕組みを提供する。
オペレーティングシステム、アプリケーション、又はプログラムのうちの少なくとも1つに対する指示は、通信フレームワーク602を介してプロセッサユニット604と通信する記憶デバイス616内に位置していてもよい。種々の実施形態のプロセスは、メモリ606などのメモリの中に含まれ得るコンピュータによって実行される指示を使用して、プロセッサユニット604によって実行され得る。
これらの指示命令は、プロセッサユニット604内のプロセッサによって読み取られ実行され得る、プログラムコード、コンピュータ使用可能プログラムコード、又はコンピュータ可読プログラムコードと呼ばれる。種々の実施形態のプログラムコードは、メモリ606又は固定記憶域608といった、種々の物理的記憶媒体又はコンピュータ-可読記憶媒体上で具現化され得る。
プログラムコード618は、選択的に着脱可能であるコンピュータ可読媒体620に機能的形態で置かれ、プロセッサユニット604によって実行するためにデータ処理システム600に読み込ませたり、転送したりしてもよい。プログラムコード618とコンピュータ-可読媒体620は、これらの実施例では、コンピュータプログラム製品622を形成する。一実施例では、コンピュータ可読媒体620は、コンピュータ可読記憶媒体624又はコンピュータ可読信号媒体626になり得る。
これらの例示的な実施例では、コンピュータ可読記憶媒体624は、プログラムコード618を伝搬または伝送する媒体というよりは、むしろプログラムコード618を記憶するために使用される、物理的記憶装置又は有形記憶装置である。
別の態様では、プログラムコード618は、コンピュータ可読信号媒体626を使用して、データ処理システム600に伝送され得る。コンピュータ可読信号媒体626は、例えば、プログラムコード618を包含する伝播されたデータ信号であってもよい。例えば、コンピュータ可読信号媒体626は、電磁信号、光信号、又は他の任意の適切な種類の信号のうちの少なくとも1つであってもよい。これらの信号は、無線通信リンク、光ファイバケーブル、同軸ケーブル、電線、または他の任意の好適な種類の通信リンクといった、少なくとも1つの通信リンクを介して伝送され得る。
データ処理システム600に関して図示した種々の構成要素は、種々の実施形態が実行され得るやり方に対して構造的制限を設けることを意図していない。種々の例示の実施形態は、データ処理システム600に対して図解されている構成要素に対して追加的又は代替的な構成要素を含むデータ処理システム内で実行され得る。図6に示す他の構成要素は、図示の実施例と異なることがある。種々の実施形態は、プログラムコード618を実行可能な任意のハードウェアデバイス又はシステムを使用して実行され得る。
本開示の例示的な実施形態は、図7に示す航空機の製造及び保守方法700、及び図8に示す航空機800に関連して説明され得る。まず図7を参照するに、例示的な実施形態に係る航空機の製造及び保守方法のブロック図が示されている。製造前の段階では、航空機の製造及び保守方法700は、図8の航空機800の仕様及び設計702と、材料調達704とを含み得る。
製造段階では、図8の航空機800の、構成要素及びサブアセンブリの製造706とシステムインテグレーション708とが行われる。その後、図8の航空機800は、運航712に供されるために、認可及び納品710を経てよい。顧客による運航712の期間中に、図8の航空機800には、改造、再構成、改修、及びその他の整備又は保守を含みうる定期的な整備及び保守714が予定される。
航空機の製造及び保守方法700の各プロセスは、システムインテグレータ、第三者、事業者、又はこれらの幾つかの組み合わせによって、実施または実行され得る。これらの実施例では、事業者は顧客であってよい。この明細書において、システムインテグレータは、任意の数の航空機製造業者及び主要システム下請業者を含みうるが、それらに限定されるわけではなく、第三者は、任意の数のベンダー、下請業者、及び供給業者を含みうるが、それらに限定されるわけではなく、オペレータは、航空会社、リース会社、軍事団体、サービス機関等であり得る。
次に図8を参照すると、例示的な実施形態が実行され得る航空機のブロック図が示されている。この例では、航空機800は、図7の航空機の製造及び保守方法700によって製造され、且つ、複数のシステム804と内装806とを有する機体802を含み得る。システム804の例は、推進システム808、電気システム810、油圧システム812、及び環境システム814のうちの1以上を含む。任意の数の他のシステムが含まれてよい。
航空宇宙産業の例が示されているが、種々の例示的な実施形態が、自動車産業といった他の産業に適用されてもよい。本明細書で具現化される装置及び方法は、図7の航空機の製造及び保守方法700のうちの少なくとも1つの段階で用いられ得る。
一実施例では、図7の構成要素及びサブアセンブリの製造706で製造される構成要素又はサブアセンブリは、図7の、航空機800の運航712の期間中に製造される構成要素又はサブアセンブリと同様の様態で、作製又は製造され得る。更に別の例では、1以上の装置の実施形態、方法の実施形態、又はこれらの組み合わせを、図7の構成要素及びサブアセンブリの製造706並びにシステム組立708などの製造段階で、利用することができる。
例えば、図1の制御システム106及び図2の制御システム200は、システム804内の種々のシステムを制御するために、構成要素及びサブアセンブリの製造706又はシステムインテグレーション708のうちの少なくとも一方の間に航空機800内に実装され得る。描かれているように、図1の制御システム106及び図2の制御システム200は、飛行操縦翼面システム807、推進システム808、電気システム810、油圧システム812、環境システム814、又は航空機800のための他のシステムのうちの少なくとも1つを制御するために使用され得る。
1以上の装置の実施形態、方法の実施形態、又はこれらの組み合わせを、航空機800の図7における運航712、整備及び保守714の間、又はその両方の間に利用することができる。幾つかの異なる例示的な実施形態の利用により、航空機800の組み立てを大幅に効率化すること、航空機800のコストを削減すること、又は航空機800の組み立てを大幅に効率化することと、航空機800のコストを削減することの両方が可能になる。例えば、図1の制御システム106及び図2の制御システム200は、航空機800の運航712中に動作し得る。更に、図1の制御システム106及び図2の制御システム200は、図8の航空機800が図7の通常の整備及び保守714の予定を組まれているときに、新しい構成要素として追加され又は更新され得る。図7の通常の整備及び保守714には、修正、再構成、改修、及び他の整備若しくは保守が含まれ得る。
したがって、三重の冗長性を有する制御システムを管理するための方法及び装置の1以上の例示的な実施例が提供される。例示的な一実施例では、第2のレーン故障を管理する技術的な効果を提供する技術的な解決策が存在する。例示的な一実施例では、1つの技術的な解決策が、第2のレーン故障の発生を検出し飛行制御電子システムなどのマスターコントローラに報告するために健全なレーンを利用し、そのような故障がコントローラ内で報告されたならば飛行制御電子システムがアクチュエータをシャットダウンすることを可能にする。例示的な実施例では、アクチュエータのシャットダウンが実現され得る例示的な1つの機構としてのコントローラとして機能する遠隔電子ユニットから、電力が除去される。
例示的な実施例では、データが1つのレーン、すなわち送信レーンから送信される。この送信レーンは、第2の故障レーンであり得る。飛行制御電子システムなどのマスターコントローラによって、データが受信される。送信レーンによって送信されたデータの解析が、飛行制御電子システムによって使用されて、故障が生じたか否かを判定する。
例示的な実施例では、データが、活動インジケータ、ステータス、及びエラーチェックデータのうちの少なくとも1つを含む。この情報は、健全だと想定されていた送信レーンが故障レーンになった場合の保護のために使用され得る。
例えば、各レーンは、異常がレーンによって見られたか否かのインジケータを含む「ステータス」を生成する。このステータスは、他のパラメータと共に、送信レーンに送信される。送信レーンは、1以上のメッセージ内の情報を、飛行制御電子システムに送信する。
残りの2つのレーンの何れかがステータスを通じて異常を示したら、飛行制御電子システムはアクチュエータをシャットダウンする。そのアクチュエータのためのコントローラから電力を除去することによって、シャットダウンが実行され得る。故障した送信レーンが、この通信経路を妨害する又はデータを破壊することを防ぐために、エラーチェックデータがメッセージ内に含まれる。したがって、飛行制御電子システムは、データ経路が妨害されたか又はデータが破壊されたか否かを検出することができる。
種々の例示的な実施形態の説明は、例示及び説明を目的として提示されており、網羅的であること、又は開示された形態の実施形態に限定することは意図されていない。動作又は工程を実施する構成要素が、種々の実施例によって説明される。一実施例においては、構成要素は、記載された動作や工程を実施するように構成され得る。例えば、この構成要素は、実施例において構成要素によって実施されると説明されている動作又は工程を実施する能力をこの構成要素に提供する構造向けの構成又は設計を有しうる。
当業者には、多くの修正例及び変形例が明らかであろう。更に、種々の例示的な実施形態によって、他の好ましい実施形態と比較して異なる特徴が提供され得る。飛行制御電子システムからのコマンドに基づいて飛行操縦翼面のアクチュエータを制御する遠隔電子ユニットに関して、例示的な一実施例が説明されてきたが、他の例示的な実施例が、他の制御システムに適用可能であり得る。例えば、ダムのための水門におけるバルブを制御するコントローラ又は利用可能性が重要な何らかの他の種類の三重の冗長性システムに、別の例示的な一実施例が適用され得る。
選択された1以上の実施形態は、実施形態の原理、実際の用途を最もよく説明するため、及び他の当業者に対し、様々な実施形態の開示内容と、考慮される特定の用途に適した様々な修正との理解を促すために選択及び記述されている。
Claims (13)
- 航空機(104)のための三重の冗長性を有する制御システム(106)を管理する方法であって、
第1の計算ユニットの故障(122)が以前に生じていた3つの計算ユニットを含むコントローラ(112)内の送信計算ユニット(118)から、飛行制御電子システム(110)において、前記送信計算ユニットによって生成された第1のステータスおよび第1のサイクリック冗長性チェック値と、第2の計算ユニットによって生成された第2のステータスおよび第2のサイクリック冗長性チェック値とを含むメッセージ(116)を受信すること、
前記メッセージ(116)内の、活動インジケータ(124)と、前記送信計算ユニットおよび前記第2の計算ユニットによって生成された前記第1のステータスおよび前記第2のステータスと、前記送信計算ユニットおよび前記第2の計算ユニットによって、各計算ユニットに割り当てられたキー(132)を使用して生成された前記第1のサイクリック冗長性チェック値および前記第2のサイクリック冗長性チェック値と、を特定すること、並びに
第2の計算ユニットの故障(134)が生じたことを示す前記メッセージ(116)内で、ステータス(126)において異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、のうちの少なくとも1つであるときに、前記コントローラ(112)の動作を停止することを含む、方法。 - 前記メッセージ(116)内の、前記活動インジケータ(124)、前記ステータス(126)、及び一群の計算ユニット(120)内の前記計算ユニットに対する局所的なキー(140)を使用して、前記メッセージ(116)に対する局所的なサイクリック冗長性チェック値(138)を計算することを更に含み、前記メッセージ(116)が暗号化されている、請求項1に記載の方法。
- 前記活動インジケータ(124)を生成すること、及び
前記活動インジケータ(124)を前記コントローラ(112)に送信することを更に含む、請求項1に記載の方法。 - 前記第1のサイクリック冗長性チェック値および前記第2のサイクリック冗長性チェック値が、前記活動インジケータ(124)に基づいており、さらに、前記第1のステータスまたは前記第2のステータスにそれぞれ基づいている、請求項1に記載の方法。
- 前記コントローラ(112)が、アクチュエータ、バルブ、サーボモータ、飛行操縦翼面、インフライト娯楽システム、燃料システム、エンジン、環境制御システム、自動操縦装置、又は着陸装置システムのうちの少なくとも1つを制御する、請求項1に記載の方法。
- 前記異常が、前記ステータス(126)において示され、前記送信計算ユニット(118)による故障の自己宣言、前記第2の計算ユニットの故障、又は故障した計算ユニットのシャットダウン状態からの起動のうちの少なくとも1つから選択される、請求項1に記載の方法。
- 航空機(104)のための三重の冗長性を有する制御システム(106)であって、
第1の計算ユニットの故障(122)が以前に生じていた3つの計算ユニットを含むコントローラ(112)内の送信計算ユニット(118)から、飛行制御電子システム(110)において、前記送信計算ユニットによって生成された第1のステータスおよび第1のサイクリック冗長性チェック値と、第2の計算ユニットによって生成された第2のステータスおよび第2のサイクリック冗長性チェック値とを含むメッセージ(116)を受信し、
前記メッセージ(116)内の、活動インジケータ(124)と、前記送信計算ユニットおよび前記第2の計算ユニットによって生成された前記第1のステータスおよび前記第2のステータスと、前記送信計算ユニットおよび前記第2の計算ユニットによって、各計算ユニットに割り当てられたキー(132)を使用して生成された前記第1のサイクリック冗長性チェック値および前記第2のサイクリック冗長性チェック値と、を特定し、
第2の計算ユニットの故障(134)が生じたことを示す前記メッセージ(116)内で、ステータス(126)において異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、のうちの少なくとも1つであるときに、前記コントローラ(112)の動作を停止するように構成された、飛行制御電子システム(110)を備える、制御システム(106)。 - 前記飛行制御電子システム(110)が、前記メッセージ(116)内の、前記活動インジケータ(124)、前記ステータス(126)、及び一群の計算ユニット(120)内の前記計算ユニットに対する局所的なキー(140)を使用して、前記メッセージ(116)に対する局所的なサイクリック冗長性チェック値(138)を計算するように構成されており、前記メッセージ(116)が暗号化されている、請求項7に記載の制御システム(106)。
- 前記コントローラ(112)が、アクチュエータ、バルブ、サーボモータ、飛行操縦翼面、インフライト娯楽システム、燃料システム、エンジン、環境制御システム(106)、自動操縦装置、又は着陸装置システムのうちの少なくとも1つを制御する、請求項7に記載の制御システム(106)。
- 前記異常が、前記ステータス(126)において示され、前記送信計算ユニット(118)による故障の自己宣言、前記第2の計算ユニットの故障、又は故障した計算ユニットのシャットダウン状態からの起動のうちの少なくとも1つから選択される、請求項7に記載の制御システム(106)。
- 航空機(104)のための制御システム(106)を管理する方法であって、
第1の計算ユニットの故障(122)が以前に生じていた三重の冗長性のための3つの計算ユニットを含む遠隔電子ユニット(136)内の送信計算ユニット(118)から、飛行制御電子システム(110)において、前記送信計算ユニットによって生成された第1のステータスおよび第1のサイクリック冗長性チェック値と、第2の計算ユニットによって生成された第2のステータスおよび第2のサイクリック冗長性チェック値とを含むメッセージ(116)を受信すること、
前記飛行制御電子システム(110)によって、前記送信計算ユニット(118)および前記第2の計算ユニットに割り当てられたキー(132)に基づいて、前記メッセージ(116)内の、活動インジケータ(124)と、前記送信計算ユニット(118)および前記第2の計算ユニットによって生成された前記第1のステータスおよび前記第2のステータスと、前記第1のサイクリック冗長性チェック値および前記第2のサイクリック冗長性チェック値と、を特定すること、並びに
第2の計算ユニットの故障(134)が生じたことを示す前記メッセージ(116)内で、前記ステータス(126)において異常が示された、活動インジケータのミスマッチが存在する、又はサイクリック冗長性チェック値のミスマッチが存在する、のうちの少なくとも1つであるときに、前記飛行制御電子システム(110)によって、前記遠隔電子ユニット(136)に対する動作を実行することを含む、方法。 - 前記動作が、前記遠隔電子ユニット(136)の動作を停止すること、前記遠隔電子ユニット(136)内の計算ユニットの動作を停止すること、別の遠隔電子ユニットを起動すること、及び前記遠隔電子ユニット(136)を再スタートすることのうちの1つから選択される、請求項11に記載の方法。
- 航空機(104)のための三重の冗長性を有する制御システム(106)を管理する方法であって、
第1の計算ユニットの故障(122)が以前に生じていた3つの計算ユニットを含むコントローラ(112)内の送信計算ユニット(118)から、飛行制御電子システム(110)において、前記送信計算ユニットによって生成された第1のステータスおよび第1のエラーチェックデータのミスマッチと、第2の計算ユニットによって生成された第2のステータスおよび第2のエラーチェックデータのミスマッチとを含むメッセージ(116)を受信すること、
前記送信計算ユニットおよび前記第2の計算ユニットに割り当てられた一群のキーに基づいて、前記メッセージ(116)内の、活動インジケータ(124)と、前記送信計算ユニットおよび前記第2の計算ユニットによって生成された前記第1のエラーチェックデータのミスマッチおよび前記第2のエラーチェックデータのミスマッチと、を特定すること、及び
第2の計算ユニットの故障(134)が生じたことを示す前記メッセージ(116)内で、ステータス(126)において異常が示された、活動インジケータのミスマッチが存在する、又はエラーチェックデータのミスマッチが存在する、のうちの少なくとも1つであるときに、前記コントローラ(112)の動作を停止することを含む、方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/637,670 US10571914B2 (en) | 2017-06-29 | 2017-06-29 | Fault coverage for multiple failures in redundant systems |
| US15/637,670 | 2017-06-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019031272A JP2019031272A (ja) | 2019-02-28 |
| JP7132765B2 true JP7132765B2 (ja) | 2022-09-07 |
Family
ID=62909343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018120531A Active JP7132765B2 (ja) | 2017-06-29 | 2018-06-26 | 冗長システムにおける多重故障のための故障検出 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10571914B2 (ja) |
| EP (1) | EP3422125B1 (ja) |
| JP (1) | JP7132765B2 (ja) |
| CN (1) | CN109213118B (ja) |
| BR (1) | BR102018009506A2 (ja) |
| CA (1) | CA3003039C (ja) |
| RU (1) | RU2758229C2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11099936B2 (en) * | 2018-09-11 | 2021-08-24 | Embraer S.A. | Aircraft integrated multi system electronic architecture |
| CN109828449A (zh) * | 2019-01-25 | 2019-05-31 | 杭州电子科技大学 | 一种三模冗余控制计算表决系统及方法 |
| JP7386108B2 (ja) * | 2020-03-09 | 2023-11-24 | ナブテスコ株式会社 | 航空機用の多重化制御装置 |
| US11720067B2 (en) * | 2020-03-30 | 2023-08-08 | General Electric Company | Method for handling a simultaneous failure of all channels of a multi-channel engine controller for a gas turbine engine |
| CN111930036A (zh) * | 2020-07-24 | 2020-11-13 | 中国航空工业集团公司西安飞行自动控制研究所 | 一种民机作动器的主备控制切换系统和方法 |
| EP4188797A4 (en) * | 2020-07-29 | 2024-05-29 | Skyryse Inc | REDUNDANCY SYSTEMS FOR SMALL FLY-BY-WIRE VEHICLES |
| CN112526979B (zh) * | 2020-12-16 | 2023-06-09 | 中国兵器装备集团自动化研究所 | 一种多重冗余架构的串行通信接口诊断系统及方法 |
| CN114706369A (zh) * | 2022-04-13 | 2022-07-05 | 中国第一汽车股份有限公司 | 一种自动驾驶控制器测试系统、自动驾驶控制器及车辆 |
| CN115657450B (zh) * | 2022-12-28 | 2023-03-31 | 广东美的制冷设备有限公司 | 工业机器人的安全控制系统、电路及方法 |
| CN117149533B (zh) * | 2023-11-01 | 2024-01-23 | 成都正扬博创电子技术有限公司 | 一种能够自动适配多余度配置的综合控制计算机系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170081019A1 (en) | 2007-04-05 | 2017-03-23 | Bombardier Inc. | Fly-by-wire flight control system and method |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3928456A1 (de) * | 1989-08-29 | 1991-03-07 | Nord Micro Elektronik Feinmech | Verfahren und schaltungsanordnung zum bilden eines auswertungssignals aus einer mehrzahl redundanter messsignale |
| SU1802607A1 (ru) * | 1990-11-06 | 1994-07-30 | Московский институт электромеханики и автоматики | Устройство контроля многоканальной системы управления |
| FR2878953B1 (fr) * | 2004-12-03 | 2007-01-26 | Thales Sa | Architecture d'un systeme embarque d'aide au pilotage d'un aeronef |
| RU2324624C1 (ru) * | 2006-11-17 | 2008-05-20 | ОАО "ОКБ им. А.С. Яковлева" | Самолет с системой формирования резервной информации о пространственном положении летательного аппарата |
| US7877627B1 (en) * | 2008-12-18 | 2011-01-25 | Supercon, L.L.C. | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology |
| US8598840B2 (en) * | 2010-04-15 | 2013-12-03 | Launchpoint Energy And Power Llc | Fault-tolerant battery management system, circuits and methods |
| US9327600B1 (en) * | 2011-09-06 | 2016-05-03 | Neeme Systems Solutions, Inc. | Aircraft utilities and power distribution system |
| US9150308B2 (en) * | 2012-02-10 | 2015-10-06 | Merlin Technology, Inc. | Rotorcraft autopilot system, components and methods |
| CN104603706B (zh) * | 2012-02-10 | 2019-09-27 | 默林科技股份有限公司 | 自动驾驶仪的控制装置和方法 |
| RU2551813C1 (ru) * | 2013-12-16 | 2015-05-27 | Российская Федерация, от имени которой выступает Министерство обороны Российской Федерации | Устройство управления резервированной с выбором среднего арифметического значения выходных параметров системой |
| CN104238435B (zh) * | 2014-05-27 | 2017-01-18 | 北京航天自动控制研究所 | 一种三冗余控制计算机及容错控制系统 |
| US9493231B2 (en) * | 2015-03-20 | 2016-11-15 | The Boeing Company | Flight control system command selection and data transport |
| WO2016193884A1 (en) * | 2015-05-29 | 2016-12-08 | Verity Studios Ag | An aerial vehicle |
| CN105279049A (zh) * | 2015-06-16 | 2016-01-27 | 康宇星科技(北京)有限公司 | 一种故障自主恢复三模冗余容错计算机ip核的设计方法 |
| CN106227195B (zh) * | 2016-08-30 | 2019-03-12 | 北京精密机电控制设备研究所 | 一种故障检测判断补偿式三冗余伺服控制方法 |
| US10248484B2 (en) * | 2017-02-21 | 2019-04-02 | Intel Corporation | Prioritized error-detection and scheduling |
-
2017
- 2017-06-29 US US15/637,670 patent/US10571914B2/en active Active
-
2018
- 2018-04-23 RU RU2018114969A patent/RU2758229C2/ru active
- 2018-04-27 CA CA3003039A patent/CA3003039C/en active Active
- 2018-05-10 BR BR102018009506-4A patent/BR102018009506A2/pt unknown
- 2018-06-26 JP JP2018120531A patent/JP7132765B2/ja active Active
- 2018-06-26 EP EP18179925.5A patent/EP3422125B1/en active Active
- 2018-06-27 CN CN201810685085.XA patent/CN109213118B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170081019A1 (en) | 2007-04-05 | 2017-03-23 | Bombardier Inc. | Fly-by-wire flight control system and method |
Also Published As
| Publication number | Publication date |
|---|---|
| CA3003039A1 (en) | 2018-12-29 |
| RU2758229C2 (ru) | 2021-10-26 |
| EP3422125B1 (en) | 2021-11-03 |
| CN109213118A (zh) | 2019-01-15 |
| US20190004515A1 (en) | 2019-01-03 |
| JP2019031272A (ja) | 2019-02-28 |
| BR102018009506A2 (pt) | 2019-01-15 |
| US10571914B2 (en) | 2020-02-25 |
| RU2018114969A (ru) | 2019-10-23 |
| RU2018114969A3 (ja) | 2021-08-12 |
| CN109213118B (zh) | 2021-03-12 |
| CA3003039C (en) | 2022-12-06 |
| EP3422125A1 (en) | 2019-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7132765B2 (ja) | 冗長システムにおける多重故障のための故障検出 | |
| US7725215B2 (en) | Distributed and recoverable digital control system | |
| US8260492B2 (en) | Method and system for redundancy management of distributed and recoverable digital control system | |
| US7877627B1 (en) | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology | |
| US7765427B2 (en) | Monitoring system and methods for a distributed and recoverable digital control system | |
| CA2918108C (en) | Flight control system command selection and data transport | |
| US20080022151A1 (en) | Methods and systems for providing reconfigurable and recoverable computing resources | |
| US8782464B2 (en) | Method and system for using a standby server to improve redundancy in a dual-node data storage system | |
| CN110058972A (zh) | 用于实现至少一个关键功能的电子计算机及相关电子装置 | |
| CN105204431A (zh) | 四余度信号监控表决方法和设备 | |
| Ouyang et al. | Supervisory adaptive fault‐tolerant control against actuator failures with application to an aircraft | |
| EP2784676A1 (en) | DIMA extension health monitor supervisor | |
| CN113973025A (zh) | 基于can总线的星载计算机通讯可靠性与容错设计方法 | |
| Khan et al. | Integration Issues for Vehicle Level Distributed Diagnostic Reasoners | |
| Yang et al. | A combination method for integrated modular avionics safety analysis | |
| CN114791830B (zh) | 用于控制和自动重启技术装置的方法 | |
| EP4209850A1 (en) | Real-time artificial intelligence and/or machine learning (ai/ml) systems | |
| Cena | Development of a fault-tolerant software for a CubeSat Test Platform | |
| Halpern | Redundancy and Fault Tolerance in Elevator System Design | |
| Kumar et al. | Analysis of a stochastic model on two-unit cold standby hardware-software system considering fault tolerance | |
| US20190202575A1 (en) | System for integrated engine and flight control | |
| KR101695574B1 (ko) | 자동 고장 복구 시스템을 포함하는 위성체 | |
| JP2023085235A (ja) | 大気圧服の制御システム、および大気圧服の制御システムの組み立て方法 | |
| Muhlheim et al. | EVALUATION OF I&C ARCHITECTURE ALTERNATIVES REQUIRED FOR THE JUPITER ICY MOONS ORBITER (JIMO) REACTOR | |
| Edwards et al. | Sensors and systems for space applications: A methodology for developing fault detection, diagnosis, and recovery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210618 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220608 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220802 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220826 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7132765 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |