KR20170095183A - 2채널 아키텍처 - Google Patents
2채널 아키텍처 Download PDFInfo
- Publication number
- KR20170095183A KR20170095183A KR1020177009173A KR20177009173A KR20170095183A KR 20170095183 A KR20170095183 A KR 20170095183A KR 1020177009173 A KR1020177009173 A KR 1020177009173A KR 20177009173 A KR20177009173 A KR 20177009173A KR 20170095183 A KR20170095183 A KR 20170095183A
- Authority
- KR
- South Korea
- Prior art keywords
- processing unit
- local
- state
- data
- link
- Prior art date
Links
- 238000012545 processing Methods 0.000 claims abstract description 293
- 238000000034 method Methods 0.000 claims abstract description 39
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 claims abstract description 29
- 238000004891 communication Methods 0.000 claims abstract description 28
- 230000036541 health Effects 0.000 claims abstract description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 4
- 238000007596 consolidation process Methods 0.000 claims description 2
- 238000003491 array Methods 0.000 abstract 1
- 230000001276 controlling effect Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 2
- 230000008094 contradictory effect Effects 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000011111 cardboard Substances 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64D—EQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
- B64D31/00—Power plant control systems; Arrangement of power plant control systems in aircraft
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2002—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
- G06F11/2007—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2033—Failover techniques switching over of hardware resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3089—Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64D—EQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
- B64D45/00—Aircraft indicators or protectors not otherwise provided for
- B64D2045/0085—Devices for aircraft health monitoring, e.g. monitoring flutter or vibration
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23316—Standby, inactive, sleep or active, operation mode
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24182—Redundancy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25144—Between microcomputers, processors
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25163—Transmit twice, redundant, same data on different channels, check each channel
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25174—Ethernet
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Aviation & Aerospace Engineering (AREA)
- Mathematical Physics (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 스위칭하는 방법에 관한 것으로서, 항공기의 비행 제어 시스템의 로컬 프로세싱 유닛(1, 2)에 의해, 적어도 하나의 로컬 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 로컬 센서에 연결되고, 적어도 하나의 링크(3, 4)를 통해 대향 프로세싱 유닛(opposite processing unit)(2, 1)에 연결되며, 그리고 적어도 하나의 대향 액츄에이터를 제어하도록 되어 있고, 그리고 적어도 하나의 대향 센서에 연결되며, 상기 로컬 프로세싱 유닛(1, 2)은 또한, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛 사이(2, 1)를 연결하는 상기 적어도 하나의 링크(3, 4)의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 가능하게 하는 백업 통신 수단(13, 14)에 연결되도록 되어 있으며, 상기 백업 통신 수단은, 센서들 또는 액츄에이터들(13)의 어레이 및/또는 항공 전자 기기(avionics)(14)에 대한 온보드 보안 네트워크를 포함하며, 상기 방법은: - 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터(acquisition data) 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛(2, 1)에 전송하는 단계와; - 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛(2, 1)으로부터 수신하는 단계와; - 대향 상태 데이터(opposite health datum)를 수신하는 단계 및 로컬 상태 데이터를 결정하는 단계와; 그리고 - 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 활성 상태(15), 수동 상태(16) 및 슬레이브 상태(18)에서 선택된 제2 상태로 상기 로컬 프로세싱 유닛(1, 2)을 스위칭하는 단계를 포함한다.
Description
본 발명은 항공기의 비행 제어 시스템들의 분야에 관한 것이다.
특히, 그와 같은 시스템의 2채널 아키텍처를 구성하는 2개의 프로세싱 유닛들 또는 컴퓨터들 사이의 스위칭 방법에 관한 것이다.
기존의 비행기 또는 헬리콥터들과 같은 항공기에 장착된 온보드 비행 제어 시스템들은, 항공기의 엔진의 제어 기능들 및 조절 기능들을 수행하여 항공기 엔진의 적절한 작동을 보장한다. 그와 같은 기능들은 승객들의 안전에 중요하다. 따라서, 그와 같은 시스템들은 고장들에 대해 내성이 있어야 한다.
이를 위해, 기존의 비행 제어 시스템들은, 일반적으로, 프로세싱 유닛 또는 컴퓨터 각각이 엔진의 적절한 작동을 보장할 수 있는, 2개의 프로세싱 유닛들 또는 컴퓨터들을 포함한다. 따라서, 그와 같은 시스템은, 다른 채널의 고장의 경우에, 각 채널이 상기 중요한 기능들의 실행을 보장할 수 있는 2채널 아키텍처를 구성한다. 이러한 채널들 둘 모두로부터, 엔진의 제어는, 일반적으로, 가장 양호한 상태를 갖는 채널, 즉, 고장이 적거나 또는 심각성의 정도가 가장 낮은 고장을 갖는 채널에 주어진다. 이러한 채널은 활성 채널로 언급된다.
엔진의 제어 기능 및 조절 기능을 실행하기 위해, 상기 채널들 각각은 적어도 하나의 액츄에이터를 제어할 수 있다. 이러한 액츄에이터들은 고장이 날 수 있다. 상기 활성 채널의 하나 이상의 액츄에이터들이 고장이 나면, 활성 채널은 더 이상 엔진의 제어를 적절하게 보장할 수 없다. 수동 채널이라 언급되는 다른 채널이 활성 채널 상태처럼 최악의 상태라면, 더 이상 엔진의 제어를 적절하게 보장할 수 없다. 따라서, 2개의 채널들 중 어느 것도 상기 엔진의 제어를 적절하게 보장할 수 없고, 그때, 상기 비행 시스템의 중요한 기능들은 더 이상 보장되지 않을 수 있다.
따라서, 엑츄에이터들 중 적어도 하나가 고장임에도 불구하고, 엔진의 제어를 적절하게 보장하는 활성 채널에 대한 가능성을 제공하는 방법이 필요하다.
본 발명은, 제1 양상에 따라, 적어도 하나의 엔진을 포함하는 항공기의 비행 제어 시스템의, 로컬 프로세싱 유닛(local processing unit)으로 언급되는 제1 프로세싱 유닛에 의해 적용되는 스위칭 방법에 관한 것으로, 상기 로컬 프로세싱 유닛은, 상기 항공기의 엔진을 제어하기 위해 로컬 액츄에이터(local actuator)로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 센서에 연결될 수 있고, 적어도 하나의 링크를 통해 대향 프로세싱 유닛(opposite processing unit)으로 언급되는 제2 프로세싱 유닛에 연결될 수 있으며, 그리고 적어도 하나의 대향 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 대향 센서에 연결되며,
상기 로컬 프로세싱 유닛은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크의 고장(failure)이 발생한 경우, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단에 연결되도록 되어 있으며,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들의 네트워크 및/또는 항공 전자 기기(avionics)에 대한 온보드 보안 네트워크를 포함하며,
상기 방법은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터(acquisition data) 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 단계와;
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 단계와;
- 대향 상태 데이터(opposite health datum)로 언급되는, 상기 대향 프로세싱 유닛의 상태에 관련된 상태 데이터를 수신하는 단계와;
- 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛의 상태에 관련된 상태 데이터를 결정하는 단계와; 그리고
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛을 스위칭하는 단계를 포함하며,
상기 획득 데이터를 전송, 수신하는 단계 및 상기 상태 데이터를 수신하는 단계는 상기 적어도 하나의 링크 또는 상기 비상 통신 수단을 통해 적용되고, 그리고 상기 상태들은, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하는 활성 상태, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태 및 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛에 넘겨주는 슬레이브 상태(slave state)들이다.
그와 같은 방법은, 로컬 액츄에이터의 고장에도 불구하고, 엔진의 제어를 적절하게 보장할 수 있도록 상기 대향 프로세싱 유닛에 연결된 엑츄에이터들 및 센서들을 포함하는 전체 시스템의 완전한 이미지를 각 프로세싱 유닛에 제공할 수 있는 기능성을 제공한다. 따라서, 항공기의 엔진을 제어할 수 없는 프로세싱 유닛은, 엑츄에이터에 활성 상태인 다른 프로세싱 유닛에 대한 액세스를 제공할 수 있어, 비행 제어 시스템은, 활성 프로세싱 유닛의 액츄에이터들의 하나 이상의 고장에도 불구하고, 엔진의 제어를 보장할 수 있다. 추가로, 비상 통신 수단의 사용은, 2채널 시스템의 완전한 기능 상실 및 2개의 프로세싱 유닛들 사이의 통신들의 차단을 피할 수 있는 가능성을 제공한다. 최종적으로, 상기 프로세싱 유닛들 사이에서 정보를 교환하는 그와 같은 네트워크들의 사용은, 상기 프로세싱 유닛들 사이의 통신에 전용인 추가적인 통신 수단을 설정하는 것을 요구하지 않으면서, 상기 프로세싱 유닛들 간의 통신 수단의 중복 레벨을 증가시킬 수 있고 그리고 상기 비행 제어 시스템의 작동 안전을 보장할 수 있다.
상기 대향 프로세싱 유닛 및 상기 로컬 프로세싱 유닛은, 한편으로는, 제1 양방향 디지털 링크 및 다른 한편으로는, 제2 양방향 디지털 링크를 통해 연결되고, 상기 대향 프로세싱 유닛은 상기 링크들 각각을 통해 대향 상태 데이터를 전송하며, 그리고 제1 양상에 따른 방법으로부터 대향 상태 데이터를 수신하는 단계는, 상기 제1 링크를 통해 제1 대향 상태 데이터를 수신하고 그리고 상기 제2 링크를 통해 제2 중복 대향 상태 데이터를 수신하는 단계와, 상기 제1 및 제2 수신된 상태 데이터의 일관성(consistency)을 검증하는 단계와, 그리고 상기 검증에 따라 전송된 상기 대향 상태 데이터를 결정하는 단계를 포함한다.
이것은 프로세싱 유닛들 간 데이터 교환의 변경들의 시스템에 의해 검출 능력을 보강할 가능성을 제공하고, 따라서, 비행 제어 시스템의 고장 확률을 최소화한다.
상기 전송된 대향 상태 데이터를 결정하는 단계는, 상기 제1 및 제2 수신된 상태 데이터가 일치되지 않을 때, 상기 전송된 대향 상태 데이터가 적어도 2개의 연속적인 프레임들을 통해 수신된 데이터로부터 결정되는 통합 단계(consolidation step)를 포함할 수 있다.
이는, 제1 프레임 상의 양 링크들을 통해 전송된 데이터가 일관성이 없고 그리고 안전한 방식으로 상기 전송된 상태 데이터의 결정을 허용하지 않을 때, 상기 전송된 대향 상태 데이터의 결정 동안 에러의 위험을 최소화하게 한다.
상기 수신된 데이터가 전송 중에 손상되지 않았음을 보장하기 위해, 제1 양상에 따른 방법의 대향 상태 데이터를 수신하는 단계는, 상기 수신된 상태 데이터의 무결성을 검증하는 단계를 포함할 수 있다.
제1 양상에 따른 방법의 상기 로컬 상태 데이터를 결정하는 단계는, 상기 로컬 프로세싱 유닛의 하드웨어 및 소프트웨어에 관련된 상태를 진단하는 단계를 포함할 수 있다.
이는, 엔진의 제어를 보장하는 로컬 프로세싱 유닛의 성능에 영향을 미칠 수 있는 전체 고장의 진단을 가능하게 하는 상태 데이터를 얻을 수 있는 가능성을 제공한다.
상기 제1 양상에 따른 방법의 스위칭 단계는:
- 상기 로컬 상태 데이터로부터, 상기 로컬 프로세싱 유닛의 상태에 관련된 상태 데이터 및 상기 엔진의 제어를 보장하는 상기 로컬 프로세싱의 능력에 관련된 상기 로컬 프로세싱 유닛의 상태 데이터를 결정하는 단계와; 그리고
- 상기 로컬 프로세싱 유닛이 수동 상태임을 상기 상태 데이터가 나타내는 경우 및
예를 들어, 상기 2개의 양방향 디지털 링크들 중 적어도 하나가 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이 통신들을 보장할 수 있는 가능성을 제공하면, 상기 로컬 프로세싱 유닛이 상기 대향 프로세싱 유닛과 통신할 수 있고, 상기 로컬 프로세싱 유닛이 상기 엔진의 제어를 보장할 수 없으며, 그리고 상기 로컬 프로세싱 유닛이 상기 로컬 엑츄에이터들을 제어할 수 있는 상태임을, 상기 상태 데이터가 나타내는 경우에, 상기 로컬 프로세싱 유닛을 상기 슬레이브 상태로 스위칭하는 단계를 포함한다.
이는, 슬레이브 상태로 스위칭하기 전에, 상기 프로세싱 유닛이 엔진의 제어를 보장하지 못하고, 다른 프로세싱 유닛 대신에 엔진의 제어를 보장할 수 없으며, 그리고 엔진에 영향을 미치는 고장들이 액츄에이터에 대한 액세스를 다른 프로세싱 유닛에 제공하는 것을 막을 수 없음을 보장할 수 있다.
유리하고 그리고 비 제한적인 특징에 따라, 상기 제1 양상에 따른 방법의 상기 스위칭 단계는:
- 상기 로컬 프로세싱 유닛의 상태가 상기 대향 프로세싱 유닛의 상태보다 양호함을, 상기 로컬 프로세싱 유닛이 상기 로컬 상태 데이터 및 상기 대향 상태 데이터로부터 결정하는 결정 단계와;
- 상기 대향 프로세싱 유닛이 상기 수동 상태로 스위칭됨을 상기 로컬 프로세싱 유닛이 대기하는 대기 단계와; 그리고
- 상기 로컬 프로세싱 유닛을 활성 상태로 스위칭하는 단계를 포함한다.
이것은, 2개의 프로세싱 유닛들이 동시에 활성화되어 모순 명령들을 엑츄에이터들에 전송할 위험이 있는 상황에서 상기 비행 제어 시스템이 발견되는 것을 피할 수 있는 가능성을 제공한다.
본 발명은, 제2 양상에 따라, 컴퓨터 프로그램이 프로세서에 의해 실행될 때 제1 양상에 따른 스위칭 방법을 실행하기 위한 코드 명령어들을 포함하는 컴퓨터 프로그램 제품에 관한 것이다.
본 발명은, 제3 양상에 따라, 적어도 하나의 엔진을 포함하고, 그리고 항공기의 엔진을 제어하기 위해 로컬 엑츄에이터로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어있는 상기 항공기의 비행 제어 시스템의 프로세싱 유닛에 관한 것으로서,
상기 로컬 프로세싱 유닛으로 언급되는 상기 프로세싱 유닛은, 적어도 하나의 로컬 센서에 연결될 수 있고 그리고 적어도 하나의 링크를 통해 대향 프로세싱 유닛으로 언급되는 제2 프로세싱 유닛에 연결될 수 있으며, 적어도 하나의 대향 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 대향 센서에 연결되며,
상기 로컬 프로세싱 유닛은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단에 연결되도록 되어 있으며,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들의 네트워크 및/또는 항공 전자 기기에 대한 온보드 보안 네트워크를 포함하며,
상기 프로세싱 유닛은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 수단과;
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 수단과;
- 대향 상태 데이터로 언급되는, 상기 대향 프로세싱 유닛의 상태에 관련된 상태 데이터를 수신하는 수단과;
- 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛의 상태에 관련된 상태 데이터를 결정하는 수단과; 그리고
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛을 스위칭하는 수단을 포함하며,
상기 상태들은, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하는 활성 상태, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태 및 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛에 넘겨주는 슬레이브 상태이다.
본 발명은, 제4 양상에 따라, 제3 양상에 따른 2개의 프로세싱 유닛들을 포함하고, 그리고 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 링크들의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단을 더 포함하는 비행 제어 시스템에 관한 것으로, 상기 비상 통신 수단은, 센서들 또는 액츄에이터들의 네트워크 및/또는 항공 전자 기기에 대한 온보드 보안 네트워크를 포함한다.
그와 같은 컴퓨터 프로그램 제품, 프로세싱 유닛 및 비행 제어 시스템은 제1 양상에 따른 방법에 대해 언급된 것과 동일한 이점들을 갖는다.
2개의 프로세싱 유닛들은, 한편으로는, 제1 양방향 디지털 링크 및 다른 한편으로는, 제2 양방향 링크를 통해 연결될 수 있고, 상기 제2 링크는 상기 제1 링크와 중복되며, 그리고 상기 제1 링크 및 상기 제2 링크는 동시에 활성일 수 있다.
그와 같은 시스템은 통신 링크의 수를 최소화하고, 부피를 줄이는 것과 마찬가지로 프로세싱 유닛 및 통신 수단의 중복으로 인한 고장들에 대해 큰 저항력을 가지고 있다.
상기 제1 링크 및 상기 제2 링크는, CCDL("Cross Channel Data Link") 링크들일 수 있다.
그와 같은 링크는, 특히, 배선 볼륨을 제한하면서, 상기 알려진 시스템의 개별 아날로그 링크들을 통해 교환되는 것보다 더 복잡한 상태 정보들을 교환 프로세싱 유닛들에 가능성을 제공한다.
항공 전자 기기에 대한 온보드 보안 네트워크는, 예를 들어, AFDX("Avionics Full DupleX switched Ethernet") 또는 μAFDX 타입의 중복 이더넷 네트워크일 수 있다.
다른 특징들 및 이점들은 실시예들의 하기의 실시예의 서술을 판독한 후 명확해질 것이다. 이러한 서술은 첨부된 도면들을 참조하여 설명될 것이다.
도 1은 본 발명의 일 실시예에 따른 비행 제어 시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 비행 제어 시스템의 2개의 프로세싱 유닛들 사이의 2개의 CCDL 링크들을 확립하도록 의도된 하드웨어 수단을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 비행 제어 시스템의 각 프로세싱 유닛의 CCDL 모듈들의 물리적인 구분을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 2개의 CCDL 링크들을 확립하도록 의도된 프로세싱 유닛의 하드웨어 수단의 구분을 개략적으로 도시하다.
도 5는 본 발명의 일 실시예에 따른 비행 제어 시스템의 프로세싱 유닛들의 상태도를 도시한다.
도 1은 본 발명의 일 실시예에 따른 비행 제어 시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 비행 제어 시스템의 2개의 프로세싱 유닛들 사이의 2개의 CCDL 링크들을 확립하도록 의도된 하드웨어 수단을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 비행 제어 시스템의 각 프로세싱 유닛의 CCDL 모듈들의 물리적인 구분을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 2개의 CCDL 링크들을 확립하도록 의도된 프로세싱 유닛의 하드웨어 수단의 구분을 개략적으로 도시하다.
도 5는 본 발명의 일 실시예에 따른 비행 제어 시스템의 프로세싱 유닛들의 상태도를 도시한다.
본 발명의 일 실시예는, 도 1에 도시된 비행 제어 시스템의 제1 프로세싱 유닛(1)(로컬 프로세싱 유닛으로 언급됨)에 의해 구현되는 스위칭 방법에 관한 것으로, 상기 비행 제어 시스템은 적어도 하나의 엔진을 포함하는 항공기의 비행 제어 시스템이다.
상기 비행 제어 시스템은, 또한, 대향 프로세싱 유닛으로 언급되는 제2 프로세싱 유닛(2)을 포함한다. 상기 로컬 프로세싱 유닛은 적어도 하나의 로컬 센서에 연결될 수 있고, 그리고 적어도 하나의 링크(3, 4)를 통해 상기 대향 프로세싱 유닛에 연결될 수 있으며, 상기 대향 프로세싱 유닛은 적어도 하나의 대향 센서에 자체 연결된다. 상기 프로세싱 유닛들 모두는 중복이고 그리고 각각, 항공기의 엔진의 제어 및 조절 기능을 실행할 수 있다. 이를 위해, 각 프로세싱 유닛은, 항공기의 엔진을 제어하기 위해, 적어도 하나의 액츄에이터를 제어하도록 구성된다. 로컬 프로세싱 유닛(1)에 의해 제어가능한 액츄에이터들은 로컬 액츄에이터들로 언급된다. 상기 대향 프로세싱 유닛에 의해 제어될 수 있는 액츄에이터들은 대향 엑츄에이터들로 언급된다. 따라서, 도 1에서 도시된 시스템은, 채널 A 및 채널 B를 포함하는 2채널 아키텍처이다.
상기 프로세싱 유닛들(1 및 2)은, 다수의 프로세서들을 포함하는 동일한 멀티프로세서 컴퓨터 시스템의 프로세서일 수 있다. 외부의 공격들에 대해 비행 제어 시스템의 저항력을 강화시키기 위해 그리고 하나의 로컬화된 이벤트가 프로세싱 유닛들 1 및 2이 동작 불능이 될 수 있는 것을 방지하기 위해, 2 채널들 모두, 개별의 케이스들에서 서로 거리를 두고 설치될 수 있다. 그와 같은 구성에서, 상기 프로세싱 유닛들은 단일 프로세서 내에서 집적된 실행 코어들이 아니다.
상기 시스템은 또한, 상기 대향 프로세싱 유닛의 상태에 대한 정보와 같은, 상기 프로세싱 유닛들 각각의 적절한 동작에 대한 필수적인 데이터를 교환하도록 2개의 프로세싱 유닛들을 연결하기 위한 통신 수단을 포함한다.
대안의 실시예에서, 이러한 통신 수단은, 제1 프로세싱 유닛(1)과 제2 프로세싱 유닛(2) 사이의 제1 양방향 디지털 링크(3) 및 제2 양방향 디지털 링크(4)를 설립하도록 구성된다. 그와 같은 시스템은, 배선의 복잡성과 통신 링크들 중 하나가 실패할 가능성을 제한하는, 상기 프로세싱 유닛들 2개 사이의 어떤 개별 링크를 포함하지 않는다.
제2 링크(4)는, 제1 링크(3)의 실패 또는 그 반대의 경우에서, 프로세싱 유닛들 2개 사이의 통신을 명확하게 하도록 제1 링크(3)와 중복된다. 2개의 프로세싱 유닛들 사이에서의 정보의 교환의 관점에서, 그와 같은 중복은, 양호한 안전 레벨을 보증한다.
또한, 상기 제1 링크 및 상기 제2 링크는 부수적으로 활성일 수 있다. 따라서, 상기 중복 링크가 상기 제1 링크의 실패의 경우에서만 사용되는 시스템들과 달리, 상기 비행 제어 시스템은, 정규 동작 동안 동시에, 즉, 상기 2개의 링크들 중 하나의 실패도 없을 때, 상기 제1 링크(3) 및 상기 제2 링크(4)를 사용할 수 있고, 그리고 프로세싱 유닛들 2개 모두 사이에서 교환되는 데이터의 손상이 존재하지 않음을 식별하기 위해 이러한 링크들 모두의 병용(concomitant use)을 활용할 수 있다.
제1 및 제2 프로세싱 유닛들(1 및 2)은, 예를 들어, 프로토콜들 이더넷 IEEE 802.3, HDLC, SDLC 또는 에러를 검출하거나 정정하는 기능을 갖는 어떤 다른 프로토콜들로부터 링크들(3 및 4)을 통해, 상기 제1 및 제2 프로세싱 유닛들(1 및 2) 사이에서 통신하는 절차를 사용할 수 있다. 이더넷 링크는, 특히, 고성능 및 환경 안정성을 보장할 수 있고, 특히, 번개에 대한 저항성 및 데이터의 무결성을 제어하고 그리고 흐름을 제어하기 위한 메커니즘들의 적용에 의한 전자기 적합성("EMC") 그리고 고기능의 견고성을 보장할 수 있다. 또한, 이더넷 프로토콜은, AFDX(Avionics Full DupleX switched ethernet) 또는 μAFDX, 유지 기술들과 같은 항공 통신 기술들로 구성되는 산업 표준이다.
제1 및 제2 링크들은 CCDL(Cross Channel Data Link) 링크들일 수 있다. 그와 같은 링크는 100 마이크로초보다 작은 시간에서 정확성을 갖고 매 애플리케이션을 동기화하는 가능성을 제공한다. 그와 같은 링크는, 또한, 알려진 시스템들에서 이산들을 교환하는 것 대신에, 하드웨어 또는 소프트웨어에 의해 구성되는 양호한 정보, 상기 시스템에 대한 유용한 정보(수집, 상태들 ...) 및 운영 시스템(OS)과 적용 시스템(AS)의 기능 데이터를 교환하는 것을 가능하게 한다.
프로세싱 유닛들 A 및 B 사이의 그와 같은 CCDL 링크들은 도 2에서 도시된다. 각 프로세싱 유닛(1, 2)은 시스템(5a, 5b)을 포함하고, 상기 시스템(5a, 5b)은 제1 CCDL 링크(3)를 설립하기 위한 제1 CCDL 모듈(CCDLA)(6a, 6b) 및 제2 CCDL 링크(4)를 설립하기 위한 제2 CCDL 모듈(CCDLB)(7a, 7b)을 포함한다. 그와 같은 시스템은 온-칩 시스템(SoC, "시스템 온 칩)으로 나타낼 수 있거나, 마이크로프로세서 및 개별 케이스 또는 FPGA 카드보드에서 구현되는 주변 장치들로 구성될 수 있다. 각 CCDL 모듈은 물리적 계층을 통해 모듈 케이스의 입력/출력 인터페이스에 연결된다. 그와 같은 층은, 예를 들어, 도 2에 도시된 것처럼 하드웨어 인터페이스 물리층(8a, 8b, 8c, 8d) 및 변압기(9a, 9b, 9c, 9d)를 포함할 수 있다.
도 3에 도시된 것처럼, 각 프로세싱 유닛의 CCDL 모듈들은, 예를 들어, 온-칩 시스템의 코너에 CCDL 모듈 각각을 위치시킴으로써, 서로 다른 위치에 있고 그리고 서로 떨어져 있는 시스템(5a, 5b) 상에 배치됨으로써 물리적으로 분리될 수 있다. 이는, SEU(Single Event Upset) 타입 또는 MBU(Multiple Bit Upset)의 교체의 경우 일반적인 실패 확률을 감소시킬 가능성을 제공한다.
제1 대안에 따라, 각 시스템(5a, 5b)은, 개별 전원에 의해 전원을 공급받는다. 제2 대안에 따라, 상기 시스템은 온-칩 시스템의 전체에 공통인 전원(15)을 포함한다. 각 온-칩 시스템은, 도 4에 도시된 것처럼 2개의 별개의 클럭 신호들(11 및 12)을 통해 전력을 공급받을 수 있다. 따라서, 독립적으로 전력이 공급되지 않지만, 각 프로세싱 유닛의 CCDL 모듈들은 독립적인 클럭들을 통해 전력을 공급받을 수 있고, 이는 CCDL 모듈들 중 하나의 클럭 장애가 다른 CCDL 모듈에 영향을 미치지 못하게 함으로써 온-칩 시스템의 고장들에 대한 내성을 강화시킨다.
각 프로세싱 유닛의 CCDL 모듈들은, 도 2에서 도시된 것처럼 로컬 실시간 클럭 메커니즘(HTR 또는 REC(Real time clock))(10a, 10b)에 의해 그리고 동기화 윈도우를 구비한 매커니즘과 같은 동기화 메커니즘에 의해 동기화될 수 있다. 따라서, 동기의 손실의 경우에, 각 프로세싱 유닛은 로컬 클럭에 의해 동작하고 그리고 유효 신호를 수신하면 다시 동기화한다. 로컬 클럭 매커니즘은 애플리케이션에 의해 프로그램가능하고 그리고 프로그래밍은 SEU(Single Event Upset) 타입 또는 MBU(Multiple Bit Upset)의 교대로 보호된다. CCDL 링크들은, 그럼에도 불구하고, 동기화가 업거나 또는 클럭이 손실된 경우에도 계속 작동할 수 있다.
상기 시스템은, 상기 제1 및 제2 프로세싱 유닛들 사이에서 데이터의 교환들을 보장할 수 있는 비상 통신 수단을 더 포함할 수 있고 그리고 상기 제1 및 제2 링크의 고장시에만 배타적으로 사용될 수 있어, 상기 프로세싱 유닛들 간의 통신 차단을 방지할 수 있다.
도 1에서 도시된 제1 실시예에서, 이러한 비상 통신 수단은 센서들 또는 액츄에이터들(13)의 네트워크를 포함할 수 있다. 그와 같은 센서들 또는 액츄에이터들의 네트워크는, 일 예로서, 스마트 센서들 또는 액츄에이터들("스마트-센서, 스마트-액츄에이터")의 네트워크일 수 있다. 각 프로세싱 유닛은, 이후, 더 이상 아날로그 방식이 아닌 디지털 방식으로 정보의 전송을 가능하게 하는 RS-485 타입의 버스를 통해 이러한 네트워크(13)에 접속될 수 있다.
도 1에서 도시된 제2 실시예에서, 이러한 비상 통신 수단은 항공 전자 기기(14)에 대한 보안 네트워크 온보드를 포함한다. 그와 같은 온보드 보안 네트워크는, 일 예로서, AFDX("Avionics Full DupleX switched Ethernet") 또는 μAFDX와 같은 중복 이더넷 네트워크일 수 있다. 그와 같은 네트워크는, 항공 인증들에 필요한 결정성 및 가용성과 함께 흐름을 분리하기 위한, 자원들을 공유하는 수단을 제공한다.
상기 프로세싱 유닛들 사이에서 전송된 디지털 신호들은 섭동(perturbation)들에 민감할 수 있고, 무결성을 제어하고 그리고 2개의 원격 프로세싱 유닛들 사이에서 전송된 데이터의 일관성을 제어하기 위한 메커니즘들은 제 위치에 설정될 수 있다.
따라서, 각 프로세싱 유닛은 상기 수신된 데이터의 무결성을 검증하기 위한 수단을 포함할 수 있다.
상기 수신된 데이터의 무결성을 검증하기 위해, 각 수신된 프레임의 서로 다른 필드들이 검증될 수 있는데, 특히, 이더넷 링크의 경우에서, 목적지 어드레스에 대한 필드들, 소스 어드레스에 대한 필드들, 타입에 대한 필드들, 프레임의 길이에 대한 필드들, MAC 데이터에 대한 필드들 및 데이터 채움(filling data)에 관한 필드들이 검증될 수 있다. 프레임의 길이가 프레임의 길이 필드에 지정된 길이와 일치하지 않거나 또는 바이트들이 정수가 아닌 경우에는, 이러한 프레임은 유효하지 않은 것으로 간주될 수 있다. 상기 프레임을 수신할 때 계산된 중복 제어(CRC, "Cyclic Redundancy Check")가 오류들로 인해, 예를 들어, 상기 전송 동안 간섭들로 인해 수신된 CRC에 대응하지 않는 경우, 상기 프레임은 또한 유효하지 않은 것으로 고려될 수 있다.
또한, 상기 로컬 프로세싱 유닛 및 상기 대항 프로세싱 유닛이 2개의 양방향 링크들을 통해 접속될 때, 각 프로세싱 유닛은, 제1 링크 및 제2 링크 모두를 통해 데이터의 전송에 이어서, 전송된 프레임들의 실패 또는 손상이 없는 경우 동일한 정보를 전송해야 하는 링크들 둘 모두를 거친 수신된 데이터의 일관성을 검증하는 수단 및 실제로 전송된 데이터를 결정하는 수단을 포함한다. 2개의 링크들을 통해 수신된 데이터가 일치하지 않을 때, 상기 프로세싱 유닛은, 실제로 전송된 데이터가 적어도 2개의 연속적인 프레임, 선택적으로는 세 프레임들 이상에서 수신된 데이터로부터 결정되는 동안 통합 단계를 적용할 수 있다. 그와 같은 통합은, 또한, 2개의 연속적인 이더넷 데이터 패킷들의 수신을 분리하는 기간을 연장함으로써, 예를 들어, 이러한 기간의 길이를 전자기 섭동의 지속 시간보다 큰 지속 시간으로 설정함으로써 달성될 수 있다. 이는, 방출된 패킷들 사이의 그와 같은 기간을 설정하는 파라미터(<<프레임 간 간격>>)을 추가함으로써 적용될 수 있다. 그와 같은 애플리케이션은, 예를 들어, 중복 방식으로 전송된 2개의 이더넷 패킷들의 손상을 피할 수 있는 가능성을 제공할 수 있다.
상기 비행 제어 시스템의 프로세싱 유닛들 각각은, 다음의 상태들 중 하나의 상태에서 발견될 수 있고, 이는 도 5의 상태 그래프에서 도시된다:
상기 프로세싱 유닛이 항공기의 엔진의 제어를 보장하지 않고 다른 기능들, 예를 들어, 진단 기능들 실행하며 그리고 상기 제어 시스템의 다른 프로세싱 유닛과 선택적으로 통신할 수 있는 수동 상태("수동(PASSIVE)")(16),
로컬 액츄에이터의 고장에도 불구하고 상기 엔진의 제어를 정확하게 보장할 수 있도록 각 프로세싱 유닛이 상기 대향 프로세싱 유닛에 연결된 엑츄에이터 및 센서들을 포함하여, 글로벌 시스템의 전체 개요를 갖도록 하기 위해, 로컬 프로세싱 유닛에 의해 적용되는 스위칭 방법은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터 및 상기 적어도 하나의 로컬 액츄에이터에 관련된 액츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 단계,
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 센서에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 단계를 포함한다.
센서에 관련된 그와 같은 획득 데이터는, 센서들의 경우에서의 일 예로서, 상기 센서에 의해 측정된 상기 온도를 포함하는 온도들이다.
또한, 상기 로컬 유닛(1)이 상기에서 서술된 4개의 상태들 중에서 하나의 상태를 변경하도록 하기 위해, 상기 스위칭 방법은:
- 대향 상태 데이터라 언급되는, 대향 프로세싱 유닛(2)의 상태에 관련된 상태 데이터를 수신하는 단계,
- 로컬 상태 데이터라 언급되는, 상기 로컬 유닛(1)의 상태에 관한 상태 데이터를 결정하는 단계,
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛(1)을 스위칭하는 단계를 포함한다(상기 제1 상태 및 제2 상태는 상기에서 서술된 활성 상태, 수동 상태, 리셋 상태 및 슬레이브 상태 중 하나이다).
상태 데이터 중 획득 및 수신 데이터를 전송, 수신하는 상기 단계들은, 2개의 프로세싱 유닛들을 연결하는 링크들(3, 4)을 통해 또는 상기 링크들(3, 4)의 실패의 경우에서 비상 통신 수단(13, 14)을 통해 적용된다.
상기 수신된 대향 상태 데이터는 섭동들에 영향을 받을 수 있고, 대향 상태 데이터를 수신하는 단계는 상기 수신된 데이터의 무결성을 검증하는 단계를 포함할 수 있다.
더욱이, 일관성을 검증하기 위한 메커니즘들이 또한 적용될 수 있으며, 상기 대향 상태 데이터는 양방향 링크들을 통해 중복 방식으로 전송될 수 있다. 대향 상태 데이터를 수신하는 단계는, 제1 링크를 통해 제1 대향 상태 데이터를 수신하고 그리고 제2 링크를 통해 제2 중복 대향 상태 데이터를 수신하는 단계와, 상기 제1 수신된 상태 데이터 및 상기 제2 수신된 상태 데이터의 일관성을 검증하는 단계와, 그리고 상기 검증 단계에 따라 전송된 상기 대향 상태 데이터를 결정하는 단계를 포함한다. 대안으로, 상기 제1 링크를 통해 수신된 상기 제1 대향 상태 데이터 및 상기 제2 링크를 통해 수신된 제2 대향 상태 데이터는, 일관성을 확인하기 전에 무결성의 검증의 대상이 될 수 있다.
상기 2개의 링크들을 통해 수신된 데이터의 불일치의 경우, 상기 로컬 프로세싱 유닛은 이러한 상태 데이터를 무시할 수 있고 그리고 새로운 대향 상태 데이터의 전송을 대기할 수 있다. 2개 또는 그 이상의 연속적인 전송 동안 2개의 링크들을 통해 불일치 데이터를 수신하는 경우, 상기 로컬 프로세싱 유닛은 대향 상태 데이터로서 보전적으로 유지할 수 있고, 이러한 제1 전송 동안 수신된 데이터가 후속 전송들 동안 수신된 데이터들과 동일하면, 수신된 데이터는 상기 대향 프로세싱 유닛의 가장 나쁜 상태를 나타낸다. 그렇지 않으면, 일관성 있게 마지막으로 수신된 데이터는, 새로운 상태 데이터가 일관되게 수신되지 않는 한 유지된다.
로컬 또는 대향 상태 데이터를 결정하기 위해, 관련된 프로세싱 유닛은 자신의 하드웨어 및 소프트웨어 요소들에 관련된 상태를 진단한다. 그와 같은 진단은 상이한 모니터링 수단("모니터링") 또는 여러 레지스터들로부터 획득된 정보로부터 설립될 수 있다. 일 예로서, 한 레지스터는 프로세싱 유닛의 하드웨어의 상태를 획득할 수 있는 가능성을 제공하고 그리고 다른 레지스터는 상기 프로세싱 유닛의 소프트웨어의 상태를 획득할 수 있는 가능성을 제공한다.
따라서, 상기 결정된 로컬 상태 데이터 또는 상기 대향 프로세싱 유닛에 의해 전송된 데이터는, 채널을 선택할 가능성 및 전체 시스템 진단을 확립할 수 있는 가능성을 제공하는 데이터이다. 이러한 데이터는, 특히, 진단 CCDL 데이터, 운영 시스템 또는 애플리케이션들의 상태들의 데이터, 하드웨어, 특히, 센서들 또는 액츄에이터들의 진단 데이터, 소프트웨어에 의해 생성된 기능 진단 데이터일 수 있다.
로컬 또는 대향 상태 데이터로부터, 로컬 프로세싱 유닛은 상태인 활성, 수동, 슬레이브 또는 리셋을 나타내는 상태 데이터를 결정할 수 있고, 이는 대응하는 로컬 또는 대향 프로세싱 유닛에서 발견되며, 그리고 엔진의 제어를 보장하는 로컬 또는 대향 프로세싱 유닛의 기능에 관련된 상태의 데이터이다.
일 실시예에 따라, 각 프로세싱 유닛은 하기의 4개의 상태들 중 하나의 상태를 가질 수 있다.
프로세싱 유닛이 엔진의 제어를 정확하게 보장하지 못하게 하는 특정 결함이 있는 상태 "억셉터블(ACCEPTABLE)", 예를 들어, CCDL 링크 변압기의 파손 또는 한 CCDL 링크로부터의 클럭 신호의 손실,
프로세싱 유닛이 엔진의 제어를 정확하게 보장할 수 있는 가능성을 제공하기에는 너무 심각한 장애, 예를 들어, 프로세서 장애를 가지고 있지만, 액츄에이터를 제어하지 못하게 하거나 또는 대향 프로세싱 유닛과 통신하는 것을 못하게 하는 중대한 장애들을 갖지 않게 하는 상태, "슬레이브(SLAVE)",
프로세싱 유닛이 엔진의 제어를 정확하게 보장할 수 없고 그리고 상기 프로세싱 유닛이 엑츄에이터들을 제어할 수 없게 하는 적어도 하나의 하드웨어 장애를 갖는 상태 "배드(BAD)", 예를 들어, 상기 프로세싱 유닛의 전체에 영향을 미치는 전원 또는 클럭 장애 또는 2개의 CCDL 링크들의 장애.
상기 로컬 프로세싱 유닛은, 대향 상태 데이터를 수신하고 그리고 로컬 상태 데이터를 결정하기 위한 상기에서 서술한 단계들을 규칙적인 시간 간격으로 실행한다. 상태를 변경할지 여부를 결정하기 위해, 로컬 프로세싱 유닛은, 로컬 상태 데이터로부터, 유닛의 상태를 나타내는 로컬 상태 데이터 및 유닛의 동작 상태를 나타내는 로컬 동작 상태 데이터를 결정한다. 또한, 상기 로컬 프로세싱 유닛은, 상기 대향 상태 데이터로부터, 상기 대향 프로세싱 유닛의 상태를 나타내는 대향 상태 데이터 및 상기 대향 프로세싱 유닛의 동작 상태를 나타내는 대향 동작 상태 데이터를 결정한다.
상기 로컬 프로세싱 유닛은, 로컬 상태 데이터에 의해 표시된 상태과 대향 상태 데이터에 의해 표시된 상기 대향 프로세싱 유닛의 상태의 비교를 수행한다.
로컬 프로세싱 유닛이 활성 상태에 있고 그리고 그 상태가 다른 프로세싱 유닛의 상태(CTL_REQ=1)보다 양호한 경우, 상기 프로세싱 유닛은 활성 상태를 유지하고 그리고 상기 엔진의 제어를 계속한다.
일 예로서, 로컬 프로세싱 유닛의 상태는, 다음의 경우에서 대향 프로세싱 유닛의 상태보다 양호하다:
- 상기 로컬 프로세싱 유닛은 상태 굿(GOOD)이고, 상기 대향 프로세싱 유닛은 상태들 억셉터블(ACCEPTABLE), 슬레이브(SLAVE) 및 배드(BAD) 중 하나의 상태를 가지는 경우,
- 상기 로컬 프로세싱 유닛은 상태 억셉터블(ACCEPTABLE)이고, 상기 대향 프로세싱 유닛은 상태들 슬레이브(SLAVE) 및 배드(BAD) 중 하나의 상태를 가지는 경우.
상기 로컬 프로세싱 유닛이 활성 상태에 있고, 그리고 그 상태가 다른 프로세싱 유닛의 상태(CTL_REQ=0)보다 양호하지 않게 되는 경우, 상기 로컬 프로세싱 유닛은 수동 상태로 스위칭될 것이고, 이후, 대향 프로세싱 유닛에 의해 명확하게 되는 엔진의 제어는 중단될 것이다.
일 예로서, 상기 로컬 프로세싱 유닛의 상태는, 다음의 경우에서 상기 대향 프로세싱 유닛의 상태보다 양호하지 않다.
- 상기 로컬 프로세싱 유닛이 상태 억셉터블(ACCEPTABLE)을 갖고, 그리고 상기 대향 프로세싱 유닛이 상태 굿(GOOD)을 갖는 경우, 또는
- 상기 로컬 프로세싱 유닛이 상태 슬레이브(SLAVE)를 갖고, 그리고 상기 대향 프로세싱 유닛이 상기 상태들 굿(GOOD) 및 억셉터블(ACCEPTABLE) 중 하나의 상태를 갖는 경우, 또는
- 상기 로컬 프로세싱 유닛이 상태 배드(BAD)를 갖고, 그리고 상기 대향 프로세싱 유닛이 상기 상태들 굿(GOOD) 및 억셉터블(ACCEPTABLE) 중 하나의 상태를 갖는 경우.
상기 로컬 프로세싱 유닛이 수동 상태에 있고, 그리고 그 상태가 상기 대향 프로세싱 유닛의 상태(CTL_REQ=0)만큼 양호하지 않은 경우, 상기 프로세싱 유닛은 수동 상태로 유지된다.
상기 로컬 프로세싱 유닛이 수동 상태에 있고, 그리고 그 상태가 상기 대향 프로세싱 유닛의 상태(CTL_REQ=1)보다 양호하게 되는 경우, 상기 대향 프로세싱 유닛 대신에 상기 엔진의 제어를 보장하기 위해 상기 로컬 프로세싱 유닛은 활성 상태로 스위칭된다. 수동 상태에서 활성 상태로의 스위칭은, 상기 로컬 프로세싱이 활성 상태로 넘어가기 전에 수동 상태(OPP_CH_STATE=0)로 통과하고 그리고 엔진의 제어를 인수할 것을 대기하는 대기 상태(19)를 통과할 것이다. 이것은, 비행 엔진 시스템이, 2개의 프로세싱 유닛들이 동시에 활성화되고 그리고 모순 명령들을 액츄에이터에 전달할 위험성이 존재하는 상황에서 발견되는 것을 피할 수 있는 가능성을 제공한다. 상기 프로세싱 유닛은, 대향 프로세싱 유닛이 활성인 동안(OPP_CH_STATE=1) 대기 상태(19)를 유지할 수 있다. 이 상태로부터, 상기 대향 프로세싱 유닛의 상태가 로컬 프로세싱 유닛의 상태(CTL_REQ=0)보다 다시 양호해지는 경우, 상기 대향 프로세싱 유닛이 활성 상태로 되기 전에 상기 로컬 프로세싱 유닛은 수동 상태로 되돌아갈 수 있다.
상기 로컬 프로세싱 유닛이 수동 상태에 있고, 그리고 로컬 상태 데이터가 상기 프로세싱 유닛이 "슬레이브(SLAVE)" 상태(Remote Req=1)를 가짐을 나타내면, 상기 프로세싱 유닛은 상기에서 서술된 것처럼 슬레이브 상태로 스위칭될 수 있다. 대안에 따라, 상기 슬레이브 상태로의 스위칭은, 또한, 상기 대향 프로세싱 유닛으로부터 상기 로컬 프로세싱 유닛의 액츄에이터들에 대한 액세스를 요청하기 위한 신호를 수신함으로써 조절된다. 상기 로컬 상태 데이터가 상기 프로세싱 유닛이 "슬레이브(SLAVE)"의 상태(Remote Req=0)를 가짐을 나타낼 때에만, 슬레이브 상태로부터, 상기 프로세싱 유닛이 활성 상태로 리턴될 수 있다.
상기 로컬 상태 데이터가 "배드(BAD)" 상태를 나타내면, 상기 로컬 프로세싱 유닛이 현재 상태에 관계없이 리셋 상태로 스위칭된다. 상기 리셋이 성공적으로 수행되면(HRESET_N 상승 에지), 상기 프로세싱 유닛은 다시 수동 상태로 들어갈 수 있다.
상기 로컬 프로세싱 유닛 및 상기 대향 프로세싱 유닛이 동일한 상태, 굿(GOOD) 또는 억셉터블(ACCEPTABLE)을 가질 경우에서, 각각의 프로세싱 유닛은, 제1 대안에 따라, 현재 상태인 활성 또는 수동을 유지할 수 있다. 제2 대안에 따르면, 디폴트 프로세싱 유닛, 예를 들어, 제1 프로세싱 유닛에 엔진의 제어를 제공하는 것이 가능하고, 이 경우, 2개의 프로세싱 유닛들은, 상기 디폴트 프로세싱 유닛이 이미 활성 상태이면 현재 상태를 유지하거나, 또는 상기 디폴트 프로세싱 유닛이 이전에 수동 상태이었으면 수동 상태에서 활성 상태로 또는 그 역으로 스위칭된다.
프로세싱 유닛이 이전에 손실된 기능들을 복구하지만, 상기 프로세싱 유닛이 재설정되지 않으면, 슬레이브(SLAVE) 또는 배드(BAD) 상태를 갖는 프로세싱 유닛이 억셉터블(ACCEPTABLE) 또는 굿(GOOD) 상태로 다시 스위칭될 수 없는 경우, 상기 프로세싱 유닛은 상기 억셉터블(ACCEPTABLE) 상태에서 상기 굿(GOOD) 상태로 스위칭될 수 있다.
따라서, 제어 시스템의 수동 채널은, 더 나은 상태에 있는 활성 채널에서 액츄에이터들을 이용가능하게 하는 상태로 스위칭될 수 있어, 비행 제어 시스템은, 자신의 액츄에이터들을 제어하기 위해 활성 채널의 성능에 영향을 미치는 장애에도 불구하고 항공기의 엔진의 제어를 계속할 수 있도록 한다.
Claims (13)
- 적어도 하나의 엔진을 포함하는 항공기의 비행 제어 시스템의, 로컬 프로세싱 유닛(local processing unit)으로 언급되는 제1 프로세싱 유닛(1, 2)에 의해 적용되는 스위칭 방법으로서,
상기 로컬 프로세싱 유닛(1, 2)은, 상기 항공기의 엔진을 제어하기 위해 로컬 액츄에이터(local actuator)로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 센서에 연결될 수 있고, 적어도 하나의 링크(3, 4)를 통해 대향 프로세싱 유닛(opposite processing unit)으로 언급되는 제2 프로세싱 유닛(2, 1)에 연결될 수 있으며, 그리고 적어도 하나의 대향 액츄에이터를 제어하고, 적어도 하나의 대향 센서에 연결되어 있으며,
상기 로컬 프로세싱 유닛(1, 2)은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크(3, 4)의 고장(failure)이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단(13, 14)에 연결되도록 되어 있으며,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들(13)의 네트워크 및/또는 항공 전자 기기(avionics)(14)에 대한 온보드 보안 네트워크를 포함하며,
상기 방법은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터(acquisition data) 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 단계와;
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 단계와;
- 대향 상태 데이터(opposite health datum)로 언급되는, 상기 대향 프로세싱 유닛(2, 1)의 상태에 관련된 상태 데이터를 수신하는 단계와;
- 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛(1, 2)의 상태에 관련된 상태 데이터를 결정하는 단계와; 그리고
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛(1, 2)을 스위칭하는 단계를 포함하며,
상기 획득 데이터를 전송, 수신하는 단계 및 상기 상태 데이터를 수신하는 단계는 상기 적어도 하나의 링크 또는 상기 비상 통신 수단을 통해 적용되고, 그리고 상기 상태들은, 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하는 활성 상태(15), 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태(16) 및 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛(2, 1)에 넘겨주는 슬레이브 상태(slave state)(18)들인 것을 특징으로 하는
스위칭 방법. - 제1항에 있어서,
상기 대향 프로세싱 유닛(2, 1) 및 상기 로컬 프로세싱 유닛(1, 2)은 제1 양방향 디지털 링크(3) 및 제2 양방향 디지털 링크(4)를 통해 연결되고,
상기 대향 프로세싱 유닛(2, 1)은 상기 링크들(3, 4) 각각을 통해 대향 상태 데이터를 전송하며, 그리고
상기 대향 상태 데이터를 수신하는 단계는, 상기 제1 링크(3)를 통해 제1 대향 상태 데이터를 수신하고 그리고 상기 제2 링크(4)를 통해 제2 중복 대향 상태 데이터를 수신하는 단계와, 상기 제1 및 제2 수신된 상태 데이터의 일관성(consistency)을 검증하는 단계와, 그리고 상기 검증에 따라 전송된 상기 대향 상태 데이터를 결정하는 단계를 포함하는 것을 특징으로 하는
스위칭 방법. - 제2항에 있어서,
상기 전송된 대향 상태 데이터를 결정하는 단계는, 상기 제1 및 제2 수신된 상태 데이터가 일치되지 않을 때, 상기 전송된 대향 상태 데이터가 적어도 2개의 연속적인 프레임들을 통해 수신된 데이터로부터 결정되는 통합 단계(consolidation step)를 포함하는 것을 특징으로 하는
스위칭 방법. - 제1항 내지 제3항 중 어느 한 항에 있어서,
상기 대향 상태 데이터를 수신하는 단계는, 상기 수신된 상태 데이터의 무결성을 검증하는 단계를 포함하는 것을 특징으로 하는
스위칭 방법. - 제1항 내지 제4항 중 어느 한 항에 있어서,
상기 로컬 상태 데이터를 결정하는 단계는, 상기 로컬 프로세싱 유닛(1, 2)의 하드웨어 및 소프트웨어에 관련된 상태를 진단하는 단계를 포함하는 것을 특징으로 하는
스위칭 방법. - 제1항 내지 제5항 중 어느 한 항에 있어서,
상기 스위칭 단계는:
- 상기 로컬 상태 데이터로부터, 상기 로컬 프로세싱 유닛(1, 2)의 상태에 관련된 상태 데이터 및 상기 엔진의 제어를 보장하는 상기 로컬 프로세싱의 능력에 관련된 상기 로컬 프로세싱 유닛의 상태 데이터를 결정하는 단계와; 그리고
- 상기 로컬 프로세싱 유닛(1)이 수동 상태(16)임을 상기 상태 데이터가 나타내는 경우 및
상기 로컬 프로세싱 유닛이 상기 대향 프로세싱 유닛과 통신할 수 있고, 상기 로컬 프로세싱 유닛(1, 2)이 상기 엔진의 제어를 보장할 수 없으며, 그리고 상기 로컬 프로세싱 유닛(1, 2)이 상기 로컬 엑츄에이터들을 제어할 수 있는 상태임을, 상기 상태 데이터가 나타내는 경우에, 상기 로컬 프로세싱 유닛(1, 2)을 상기 슬레이브 상태(18)로 스위칭하는 단계를 포함하는 것을 특징으로 하는
스위칭 방법. - 제1항 내지 제6항 중 어느 한 항에 있어서,
상기 스위칭 단계는:
- 상기 로컬 프로세싱 유닛(1, 2)의 상태가 상기 대향 프로세싱 유닛(2, 1)의 상태보다 양호함을, 상기 로컬 프로세싱 유닛(1, 2)이 상기 로컬 상태 데이터 및 상기 대향 상태 데이터로부터 결정하는 결정 단계와;
- 상기 대향 프로세싱 유닛(2, 1)이 상기 수동 상태(16)로 스위칭됨을 상기 로컬 프로세싱 유닛(1, 2)이 대기하는 대기 단계와; 그리고
- 상기 로컬 프로세싱 유닛(1, 2)을 활성 상태(15)로 스위칭하는 단계를 포함하는 것을 특징으로 하는
스위칭 방법. - 컴퓨터 프로그램이 프로세서에 의해 실행될 때 제1항 내지 제7항 중 어느 한 항에 따른 스위칭 방법을 실행하기 위한 코드 명령어들을 포함하는 컴퓨터 프로그램 제품.
- 적어도 하나의 엔진을 포함하고, 그리고 항공기의 엔진을 제어하기 위해 로컬 엑츄에이터로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어있는 상기 항공기의 비행 제어 시스템의 프로세싱 유닛(1, 2)으로서,
로컬 프로세싱 유닛으로 언급되는 상기 프로세싱 유닛(1, 2)은, 적어도 하나의 로컬 센서에 연결될 수 있고 그리고 적어도 하나의 링크(3, 4)를 통해 대향 프로세싱 유닛으로 언급되는 제2 프로세싱 유닛(2, 1)에 연결될 수 있으며, 적어도 하나의 대향 액츄에이터를 제어하고, 적어도 하나의 대향 센서에 연결되어 있으며,
상기 로컬 프로세싱 유닛(1, 2)은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크(3, 4)의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단(13, 14)에 연결되도록 되어 있으며,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들(13)의 네트워크 및/또는 항공 전자 기기(14)에 대한 온보드 보안 네트워크를 포함하며,
상기 프로세싱 유닛은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 수단과;
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 수단과;
- 대향 상태 데이터로 언급되는, 상기 대향 프로세싱 유닛(2, 1)의 상태에 관련된 상태 데이터를 수신하는 수단과;
- 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛(1, 2)의 상태에 관련된 상태 데이터를 결정하는 수단과; 그리고
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛(1, 2)을 스위칭하는 수단을 포함하며,
상기 상태들은, 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하는 활성 상태(15), 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태(16) 및 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛(2, 1)에 넘겨주는 슬레이브 상태(18)들인 것을 특징으로 하는
프로세싱 유닛. - 제9항에 따른 2개의 프로세싱 유닛들(1, 2)을 포함하고, 그리고 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 링크들(3, 4)의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단(13, 14)을 더 포함하는 비행 제어 시스템으로서,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들(13)의 네트워크 및/또는 항공 전자 기기(14)에 대한 온보드 보안 네트워크를 포함하는 것을 특징으로 하는
비행 제어 시스템. - 제10항에 있어서,
2개의 프로세싱 유닛들(1, 2)은 제1 양방향 디지털 링크(3) 및 제2 양방향 링크(4)를 통해 연결되고, 상기 제2 링크(4)는 상기 제1 링크(3)와 중복되며, 그리고 상기 제1 링크(3) 및 상기 제2 링크(4)는 동시에 활성일 수 있는 것을 특징으로 하는
비행 제어 시스템. - 제11항에 있어서,
상기 제1 링크(3) 및 상기 제2 링크(4)는, CCDL("Cross Channel Data Link") 링크들인 것을 특징으로 하는
비행 제어 시스템. - 제10항에 있어서,
상기 온보드 보안 네트워크(14)는, AFDX("Avionics Full DupleX switched Ethernet") 또는 μAFDX 타입의 중복 이더넷 네트워크인 것을 특징으로 하는
비행 제어 시스템.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1458354A FR3025617B1 (fr) | 2014-09-05 | 2014-09-05 | Architecture bi-voies |
FR1458354 | 2014-09-05 | ||
PCT/FR2015/052344 WO2016034825A1 (fr) | 2014-09-05 | 2015-09-04 | Architecture bi-voies |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170095183A true KR20170095183A (ko) | 2017-08-22 |
KR102284080B1 KR102284080B1 (ko) | 2021-08-02 |
Family
ID=52692715
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020177009173A KR102284080B1 (ko) | 2014-09-05 | 2015-09-04 | 2채널 아키텍처 |
Country Status (9)
Country | Link |
---|---|
US (1) | US10162314B2 (ko) |
EP (1) | EP3189381B1 (ko) |
JP (1) | JP6484330B2 (ko) |
KR (1) | KR102284080B1 (ko) |
CN (1) | CN107077103B (ko) |
CA (1) | CA2960107C (ko) |
FR (1) | FR3025617B1 (ko) |
RU (1) | RU2679706C2 (ko) |
WO (1) | WO2016034825A1 (ko) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3025617B1 (fr) * | 2014-09-05 | 2016-12-16 | Sagem Defense Securite | Architecture bi-voies |
EP3469769B1 (en) * | 2016-06-10 | 2021-03-24 | TTTech Flexibilis Oy | Receiving frames at redundant port connecting node to communications network |
GB2563242B (en) | 2017-06-07 | 2020-01-29 | Ge Aviat Systems Ltd | A method and system for enabling component monitoring redundancy in a digital network of intelligent sensing devices |
EP3428748B1 (de) * | 2017-07-13 | 2020-08-26 | Siemens Aktiengesellschaft | Verfahren und anordnung zum betrieb von zwei redundanten systemen |
US10698752B2 (en) * | 2017-10-26 | 2020-06-30 | Bank Of America Corporation | Preventing unauthorized access to secure enterprise information systems using a multi-intercept system |
IT201900012900A1 (it) * | 2019-07-25 | 2021-01-25 | Hitachi Rail Sts S P A | Apparato e metodo per il controllo di un sistema ferroviario |
CN113900979B (zh) * | 2021-09-08 | 2024-03-19 | 中国航空工业集团公司西安航空计算技术研究所 | 一种双功能区共单ccdl传输体系 |
GB2615072A (en) * | 2022-01-24 | 2023-08-02 | Airbus Operations Ltd | An aircraft control system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080205416A1 (en) * | 2007-02-23 | 2008-08-28 | Honeywell International, Inc. | Flight control computers with ethernet based cross channel data links |
EP2595023A2 (en) * | 2011-11-16 | 2013-05-22 | Nabtesco Corporation | Aircraft control apparatus and aircraft control system |
FR2986398A1 (fr) * | 2012-01-30 | 2013-08-02 | Snecma | Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0410832A (ja) * | 1990-04-27 | 1992-01-16 | Nec Commun Syst Ltd | パケットネットワークシステムのバックアップ方式 |
US5790791A (en) * | 1995-05-12 | 1998-08-04 | The Boeing Company | Apparatus for synchronizing flight management computers where only the computer chosen to be the master received pilot inputs and transfers the inputs to the spare |
EP0900415B1 (en) * | 1996-05-14 | 2002-09-11 | The Boeing Company | Flight management system providing for automatic control display unit backup utilizing structured data routing |
US6611499B1 (en) * | 1999-03-18 | 2003-08-26 | At&T Corp. | Method for measuring the availability of router-based connectionless networks |
JP4478037B2 (ja) * | 2004-01-30 | 2010-06-09 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
FR2879388B1 (fr) * | 2004-12-15 | 2007-03-16 | Sagem | Procede de transmission securisee, systeme, pare-feu et routeur le mettant en oeuvre |
US20060184253A1 (en) * | 2005-02-03 | 2006-08-17 | International Business Machines Corporation | Intelligent method of organizing and presenting operational mode information on an instrument panel of a flight deck |
US7346793B2 (en) * | 2005-02-10 | 2008-03-18 | Northrop Grumman Corporation | Synchronization of multiple operational flight programs |
EP1695886B1 (en) * | 2005-02-28 | 2009-11-04 | Delphi Technologies, Inc. | Fault-tolerant node architecture for distributed systems |
JP4754993B2 (ja) * | 2006-02-16 | 2011-08-24 | デルファイ・テクノロジーズ・インコーポレーテッド | 分布システムのためのフォールトトレランスのノードアーキテクチャー |
RU2378521C2 (ru) * | 2007-12-25 | 2010-01-10 | Федеральное государственное унитарное предприятие "Московское машиностроительное производственное предприятие "САЛЮТ" (ФГУП "ММПП "САЛЮТ") | Система автоматического управления газотурбинным двигателем |
JP5404101B2 (ja) * | 2009-02-27 | 2014-01-29 | 三菱重工業株式会社 | 多重冗長系制御システム |
FR2943036B1 (fr) * | 2009-03-11 | 2011-04-15 | Airbus France | Systeme distribue de commande de vol implemente selon une architecture avionique modulaire integree. |
FR2959489B1 (fr) * | 2010-05-03 | 2013-02-15 | Airbus Operations Sas | Panneau de commande pour aeronef. |
US9625894B2 (en) * | 2011-09-22 | 2017-04-18 | Hamilton Sundstrand Corporation | Multi-channel control switchover logic |
FR2983319B1 (fr) * | 2011-11-25 | 2014-02-07 | Turbomeca | Procede et systeme de regulation de puissance en cas de defaillance d'au moins un moteur d'aeronef |
RU136011U1 (ru) * | 2012-12-27 | 2013-12-27 | Российская Федерация в лице Министерства промышленности и торговли Российской Федерации | Самолет с системой управления общесамолетным оборудованием и самолетными системами |
EP2790073A1 (en) * | 2013-04-09 | 2014-10-15 | Airbus Operations GmbH | Control of aircraft systems with at least two remote data concentrators for control of an aircraft system component |
CN103955188B (zh) * | 2014-04-24 | 2017-02-15 | 清华大学 | 支持冗余切换功能的控制系统及方法 |
FR3025617B1 (fr) * | 2014-09-05 | 2016-12-16 | Sagem Defense Securite | Architecture bi-voies |
-
2014
- 2014-09-05 FR FR1458354A patent/FR3025617B1/fr active Active
-
2015
- 2015-09-04 CA CA2960107A patent/CA2960107C/fr active Active
- 2015-09-04 US US15/508,455 patent/US10162314B2/en active Active
- 2015-09-04 WO PCT/FR2015/052344 patent/WO2016034825A1/fr active Application Filing
- 2015-09-04 CN CN201580051534.XA patent/CN107077103B/zh active Active
- 2015-09-04 RU RU2017111184A patent/RU2679706C2/ru active
- 2015-09-04 EP EP15780914.6A patent/EP3189381B1/fr active Active
- 2015-09-04 JP JP2017512804A patent/JP6484330B2/ja active Active
- 2015-09-04 KR KR1020177009173A patent/KR102284080B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080205416A1 (en) * | 2007-02-23 | 2008-08-28 | Honeywell International, Inc. | Flight control computers with ethernet based cross channel data links |
EP2595023A2 (en) * | 2011-11-16 | 2013-05-22 | Nabtesco Corporation | Aircraft control apparatus and aircraft control system |
FR2986398A1 (fr) * | 2012-01-30 | 2013-08-02 | Snecma | Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs |
Also Published As
Publication number | Publication date |
---|---|
CN107077103B (zh) | 2020-10-13 |
RU2017111184A (ru) | 2018-10-05 |
KR102284080B1 (ko) | 2021-08-02 |
CN107077103A (zh) | 2017-08-18 |
JP6484330B2 (ja) | 2019-03-13 |
EP3189381B1 (fr) | 2018-07-25 |
RU2017111184A3 (ko) | 2018-10-05 |
FR3025617A1 (fr) | 2016-03-11 |
RU2679706C2 (ru) | 2019-02-12 |
US10162314B2 (en) | 2018-12-25 |
CA2960107A1 (fr) | 2016-03-10 |
US20170277151A1 (en) | 2017-09-28 |
CA2960107C (fr) | 2020-03-10 |
FR3025617B1 (fr) | 2016-12-16 |
EP3189381A1 (fr) | 2017-07-12 |
WO2016034825A1 (fr) | 2016-03-10 |
JP2017534502A (ja) | 2017-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102213762B1 (ko) | 양방향 아키텍처를 구비한 리던던트 ccdl들 | |
KR102284080B1 (ko) | 2채널 아키텍처 | |
JP5337022B2 (ja) | フォールト・トレランス・コンピューティング・システムにおけるエラー・フィルタリング | |
US9148297B2 (en) | Information processor and control network system | |
US7020076B1 (en) | Fault-tolerant communication channel structures | |
US10042812B2 (en) | Method and system of synchronizing processors to the same computational point | |
US9367375B2 (en) | Direct connect algorithm | |
CN107276710B (zh) | 基于时间同步状态监控的时间触发以太网故障诊断方法 | |
US20150171893A1 (en) | Reliable, Low Latency Hardware And Software Inter-Process Communication Channel For Safety Critical System | |
US10491317B2 (en) | Method for operating a network arrangement, network system and network arrangement | |
US9665447B2 (en) | Fault-tolerant failsafe computer system using COTS components | |
CN109491842A (zh) | 用于故障安全计算系统的模块扩展的信号配对 | |
KR102596572B1 (ko) | 무인항공기 네트워크 구조 및 네트워크 구조에서의 동기화 방법 | |
Majzik | Fault Tolerant Real-Time Distributed Systems | |
Paulitsch et al. | 48.1 SAFebus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |