KR20170095183A - 2채널 아키텍처 - Google Patents

2채널 아키텍처 Download PDF

Info

Publication number
KR20170095183A
KR20170095183A KR1020177009173A KR20177009173A KR20170095183A KR 20170095183 A KR20170095183 A KR 20170095183A KR 1020177009173 A KR1020177009173 A KR 1020177009173A KR 20177009173 A KR20177009173 A KR 20177009173A KR 20170095183 A KR20170095183 A KR 20170095183A
Authority
KR
South Korea
Prior art keywords
processing unit
local
state
data
link
Prior art date
Application number
KR1020177009173A
Other languages
English (en)
Other versions
KR102284080B1 (ko
Inventor
셀린느 리우
니콜라스 마르티
스테픈 랭포드
Original Assignee
사프란 일렉트로닉스 & 디펜스
사프란 헬리콥터 엔진스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사프란 일렉트로닉스 & 디펜스, 사프란 헬리콥터 엔진스 filed Critical 사프란 일렉트로닉스 & 디펜스
Publication of KR20170095183A publication Critical patent/KR20170095183A/ko
Application granted granted Critical
Publication of KR102284080B1 publication Critical patent/KR102284080B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D31/00Power plant control systems; Arrangement of power plant control systems in aircraft
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D45/00Aircraft indicators or protectors not otherwise provided for
    • B64D2045/0085Devices for aircraft health monitoring, e.g. monitoring flutter or vibration
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23316Standby, inactive, sleep or active, operation mode
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25144Between microcomputers, processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25163Transmit twice, redundant, same data on different channels, check each channel
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25174Ethernet

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Mathematical Physics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 스위칭하는 방법에 관한 것으로서, 항공기의 비행 제어 시스템의 로컬 프로세싱 유닛(1, 2)에 의해, 적어도 하나의 로컬 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 로컬 센서에 연결되고, 적어도 하나의 링크(3, 4)를 통해 대향 프로세싱 유닛(opposite processing unit)(2, 1)에 연결되며, 그리고 적어도 하나의 대향 액츄에이터를 제어하도록 되어 있고, 그리고 적어도 하나의 대향 센서에 연결되며, 상기 로컬 프로세싱 유닛(1, 2)은 또한, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛 사이(2, 1)를 연결하는 상기 적어도 하나의 링크(3, 4)의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 가능하게 하는 백업 통신 수단(13, 14)에 연결되도록 되어 있으며, 상기 백업 통신 수단은, 센서들 또는 액츄에이터들(13)의 어레이 및/또는 항공 전자 기기(avionics)(14)에 대한 온보드 보안 네트워크를 포함하며, 상기 방법은: - 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터(acquisition data) 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛(2, 1)에 전송하는 단계와; - 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛(2, 1)으로부터 수신하는 단계와; - 대향 상태 데이터(opposite health datum)를 수신하는 단계 및 로컬 상태 데이터를 결정하는 단계와; 그리고 - 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 활성 상태(15), 수동 상태(16) 및 슬레이브 상태(18)에서 선택된 제2 상태로 상기 로컬 프로세싱 유닛(1, 2)을 스위칭하는 단계를 포함한다.

Description

2채널 아키텍처{TWO-WAY ARCHITECTURE}
본 발명은 항공기의 비행 제어 시스템들의 분야에 관한 것이다.
특히, 그와 같은 시스템의 2채널 아키텍처를 구성하는 2개의 프로세싱 유닛들 또는 컴퓨터들 사이의 스위칭 방법에 관한 것이다.
기존의 비행기 또는 헬리콥터들과 같은 항공기에 장착된 온보드 비행 제어 시스템들은, 항공기의 엔진의 제어 기능들 및 조절 기능들을 수행하여 항공기 엔진의 적절한 작동을 보장한다. 그와 같은 기능들은 승객들의 안전에 중요하다. 따라서, 그와 같은 시스템들은 고장들에 대해 내성이 있어야 한다.
이를 위해, 기존의 비행 제어 시스템들은, 일반적으로, 프로세싱 유닛 또는 컴퓨터 각각이 엔진의 적절한 작동을 보장할 수 있는, 2개의 프로세싱 유닛들 또는 컴퓨터들을 포함한다. 따라서, 그와 같은 시스템은, 다른 채널의 고장의 경우에, 각 채널이 상기 중요한 기능들의 실행을 보장할 수 있는 2채널 아키텍처를 구성한다. 이러한 채널들 둘 모두로부터, 엔진의 제어는, 일반적으로, 가장 양호한 상태를 갖는 채널, 즉, 고장이 적거나 또는 심각성의 정도가 가장 낮은 고장을 갖는 채널에 주어진다. 이러한 채널은 활성 채널로 언급된다.
엔진의 제어 기능 및 조절 기능을 실행하기 위해, 상기 채널들 각각은 적어도 하나의 액츄에이터를 제어할 수 있다. 이러한 액츄에이터들은 고장이 날 수 있다. 상기 활성 채널의 하나 이상의 액츄에이터들이 고장이 나면, 활성 채널은 더 이상 엔진의 제어를 적절하게 보장할 수 없다. 수동 채널이라 언급되는 다른 채널이 활성 채널 상태처럼 최악의 상태라면, 더 이상 엔진의 제어를 적절하게 보장할 수 없다. 따라서, 2개의 채널들 중 어느 것도 상기 엔진의 제어를 적절하게 보장할 수 없고, 그때, 상기 비행 시스템의 중요한 기능들은 더 이상 보장되지 않을 수 있다.
따라서, 엑츄에이터들 중 적어도 하나가 고장임에도 불구하고, 엔진의 제어를 적절하게 보장하는 활성 채널에 대한 가능성을 제공하는 방법이 필요하다.
본 발명은, 제1 양상에 따라, 적어도 하나의 엔진을 포함하는 항공기의 비행 제어 시스템의, 로컬 프로세싱 유닛(local processing unit)으로 언급되는 제1 프로세싱 유닛에 의해 적용되는 스위칭 방법에 관한 것으로, 상기 로컬 프로세싱 유닛은, 상기 항공기의 엔진을 제어하기 위해 로컬 액츄에이터(local actuator)로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 센서에 연결될 수 있고, 적어도 하나의 링크를 통해 대향 프로세싱 유닛(opposite processing unit)으로 언급되는 제2 프로세싱 유닛에 연결될 수 있으며, 그리고 적어도 하나의 대향 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 대향 센서에 연결되며,
상기 로컬 프로세싱 유닛은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크의 고장(failure)이 발생한 경우, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단에 연결되도록 되어 있으며,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들의 네트워크 및/또는 항공 전자 기기(avionics)에 대한 온보드 보안 네트워크를 포함하며,
상기 방법은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터(acquisition data) 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 단계와;
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 단계와;
- 대향 상태 데이터(opposite health datum)로 언급되는, 상기 대향 프로세싱 유닛의 상태에 관련된 상태 데이터를 수신하는 단계와;
- 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛의 상태에 관련된 상태 데이터를 결정하는 단계와; 그리고
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛을 스위칭하는 단계를 포함하며,
상기 획득 데이터를 전송, 수신하는 단계 및 상기 상태 데이터를 수신하는 단계는 상기 적어도 하나의 링크 또는 상기 비상 통신 수단을 통해 적용되고, 그리고 상기 상태들은, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하는 활성 상태, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태 및 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛에 넘겨주는 슬레이브 상태(slave state)들이다.
그와 같은 방법은, 로컬 액츄에이터의 고장에도 불구하고, 엔진의 제어를 적절하게 보장할 수 있도록 상기 대향 프로세싱 유닛에 연결된 엑츄에이터들 및 센서들을 포함하는 전체 시스템의 완전한 이미지를 각 프로세싱 유닛에 제공할 수 있는 기능성을 제공한다. 따라서, 항공기의 엔진을 제어할 수 없는 프로세싱 유닛은, 엑츄에이터에 활성 상태인 다른 프로세싱 유닛에 대한 액세스를 제공할 수 있어, 비행 제어 시스템은, 활성 프로세싱 유닛의 액츄에이터들의 하나 이상의 고장에도 불구하고, 엔진의 제어를 보장할 수 있다. 추가로, 비상 통신 수단의 사용은, 2채널 시스템의 완전한 기능 상실 및 2개의 프로세싱 유닛들 사이의 통신들의 차단을 피할 수 있는 가능성을 제공한다. 최종적으로, 상기 프로세싱 유닛들 사이에서 정보를 교환하는 그와 같은 네트워크들의 사용은, 상기 프로세싱 유닛들 사이의 통신에 전용인 추가적인 통신 수단을 설정하는 것을 요구하지 않으면서, 상기 프로세싱 유닛들 간의 통신 수단의 중복 레벨을 증가시킬 수 있고 그리고 상기 비행 제어 시스템의 작동 안전을 보장할 수 있다.
상기 대향 프로세싱 유닛 및 상기 로컬 프로세싱 유닛은, 한편으로는, 제1 양방향 디지털 링크 및 다른 한편으로는, 제2 양방향 디지털 링크를 통해 연결되고, 상기 대향 프로세싱 유닛은 상기 링크들 각각을 통해 대향 상태 데이터를 전송하며, 그리고 제1 양상에 따른 방법으로부터 대향 상태 데이터를 수신하는 단계는, 상기 제1 링크를 통해 제1 대향 상태 데이터를 수신하고 그리고 상기 제2 링크를 통해 제2 중복 대향 상태 데이터를 수신하는 단계와, 상기 제1 및 제2 수신된 상태 데이터의 일관성(consistency)을 검증하는 단계와, 그리고 상기 검증에 따라 전송된 상기 대향 상태 데이터를 결정하는 단계를 포함한다.
이것은 프로세싱 유닛들 간 데이터 교환의 변경들의 시스템에 의해 검출 능력을 보강할 가능성을 제공하고, 따라서, 비행 제어 시스템의 고장 확률을 최소화한다.
상기 전송된 대향 상태 데이터를 결정하는 단계는, 상기 제1 및 제2 수신된 상태 데이터가 일치되지 않을 때, 상기 전송된 대향 상태 데이터가 적어도 2개의 연속적인 프레임들을 통해 수신된 데이터로부터 결정되는 통합 단계(consolidation step)를 포함할 수 있다.
이는, 제1 프레임 상의 양 링크들을 통해 전송된 데이터가 일관성이 없고 그리고 안전한 방식으로 상기 전송된 상태 데이터의 결정을 허용하지 않을 때, 상기 전송된 대향 상태 데이터의 결정 동안 에러의 위험을 최소화하게 한다.
상기 수신된 데이터가 전송 중에 손상되지 않았음을 보장하기 위해, 제1 양상에 따른 방법의 대향 상태 데이터를 수신하는 단계는, 상기 수신된 상태 데이터의 무결성을 검증하는 단계를 포함할 수 있다.
제1 양상에 따른 방법의 상기 로컬 상태 데이터를 결정하는 단계는, 상기 로컬 프로세싱 유닛의 하드웨어 및 소프트웨어에 관련된 상태를 진단하는 단계를 포함할 수 있다.
이는, 엔진의 제어를 보장하는 로컬 프로세싱 유닛의 성능에 영향을 미칠 수 있는 전체 고장의 진단을 가능하게 하는 상태 데이터를 얻을 수 있는 가능성을 제공한다.
상기 제1 양상에 따른 방법의 스위칭 단계는:
- 상기 로컬 상태 데이터로부터, 상기 로컬 프로세싱 유닛의 상태에 관련된 상태 데이터 및 상기 엔진의 제어를 보장하는 상기 로컬 프로세싱의 능력에 관련된 상기 로컬 프로세싱 유닛의 상태 데이터를 결정하는 단계와; 그리고
- 상기 로컬 프로세싱 유닛이 수동 상태임을 상기 상태 데이터가 나타내는 경우 및
예를 들어, 상기 2개의 양방향 디지털 링크들 중 적어도 하나가 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이 통신들을 보장할 수 있는 가능성을 제공하면, 상기 로컬 프로세싱 유닛이 상기 대향 프로세싱 유닛과 통신할 수 있고, 상기 로컬 프로세싱 유닛이 상기 엔진의 제어를 보장할 수 없으며, 그리고 상기 로컬 프로세싱 유닛이 상기 로컬 엑츄에이터들을 제어할 수 있는 상태임을, 상기 상태 데이터가 나타내는 경우에, 상기 로컬 프로세싱 유닛을 상기 슬레이브 상태로 스위칭하는 단계를 포함한다.
이는, 슬레이브 상태로 스위칭하기 전에, 상기 프로세싱 유닛이 엔진의 제어를 보장하지 못하고, 다른 프로세싱 유닛 대신에 엔진의 제어를 보장할 수 없으며, 그리고 엔진에 영향을 미치는 고장들이 액츄에이터에 대한 액세스를 다른 프로세싱 유닛에 제공하는 것을 막을 수 없음을 보장할 수 있다.
유리하고 그리고 비 제한적인 특징에 따라, 상기 제1 양상에 따른 방법의 상기 스위칭 단계는:
- 상기 로컬 프로세싱 유닛의 상태가 상기 대향 프로세싱 유닛의 상태보다 양호함을, 상기 로컬 프로세싱 유닛이 상기 로컬 상태 데이터 및 상기 대향 상태 데이터로부터 결정하는 결정 단계와;
- 상기 대향 프로세싱 유닛이 상기 수동 상태로 스위칭됨을 상기 로컬 프로세싱 유닛이 대기하는 대기 단계와; 그리고
- 상기 로컬 프로세싱 유닛을 활성 상태로 스위칭하는 단계를 포함한다.
이것은, 2개의 프로세싱 유닛들이 동시에 활성화되어 모순 명령들을 엑츄에이터들에 전송할 위험이 있는 상황에서 상기 비행 제어 시스템이 발견되는 것을 피할 수 있는 가능성을 제공한다.
본 발명은, 제2 양상에 따라, 컴퓨터 프로그램이 프로세서에 의해 실행될 때 제1 양상에 따른 스위칭 방법을 실행하기 위한 코드 명령어들을 포함하는 컴퓨터 프로그램 제품에 관한 것이다.
본 발명은, 제3 양상에 따라, 적어도 하나의 엔진을 포함하고, 그리고 항공기의 엔진을 제어하기 위해 로컬 엑츄에이터로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어있는 상기 항공기의 비행 제어 시스템의 프로세싱 유닛에 관한 것으로서,
상기 로컬 프로세싱 유닛으로 언급되는 상기 프로세싱 유닛은, 적어도 하나의 로컬 센서에 연결될 수 있고 그리고 적어도 하나의 링크를 통해 대향 프로세싱 유닛으로 언급되는 제2 프로세싱 유닛에 연결될 수 있으며, 적어도 하나의 대향 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 대향 센서에 연결되며,
상기 로컬 프로세싱 유닛은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단에 연결되도록 되어 있으며,
상기 비상 통신 수단은, 센서들 또는 액츄에이터들의 네트워크 및/또는 항공 전자 기기에 대한 온보드 보안 네트워크를 포함하며,
상기 프로세싱 유닛은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 수단과;
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 수단과;
- 대향 상태 데이터로 언급되는, 상기 대향 프로세싱 유닛의 상태에 관련된 상태 데이터를 수신하는 수단과;
- 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛의 상태에 관련된 상태 데이터를 결정하는 수단과; 그리고
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛을 스위칭하는 수단을 포함하며,
상기 상태들은, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하는 활성 상태, 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태 및 상기 로컬 프로세싱 유닛이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛에 넘겨주는 슬레이브 상태이다.
본 발명은, 제4 양상에 따라, 제3 양상에 따른 2개의 프로세싱 유닛들을 포함하고, 그리고 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 링크들의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단을 더 포함하는 비행 제어 시스템에 관한 것으로, 상기 비상 통신 수단은, 센서들 또는 액츄에이터들의 네트워크 및/또는 항공 전자 기기에 대한 온보드 보안 네트워크를 포함한다.
그와 같은 컴퓨터 프로그램 제품, 프로세싱 유닛 및 비행 제어 시스템은 제1 양상에 따른 방법에 대해 언급된 것과 동일한 이점들을 갖는다.
2개의 프로세싱 유닛들은, 한편으로는, 제1 양방향 디지털 링크 및 다른 한편으로는, 제2 양방향 링크를 통해 연결될 수 있고, 상기 제2 링크는 상기 제1 링크와 중복되며, 그리고 상기 제1 링크 및 상기 제2 링크는 동시에 활성일 수 있다.
그와 같은 시스템은 통신 링크의 수를 최소화하고, 부피를 줄이는 것과 마찬가지로 프로세싱 유닛 및 통신 수단의 중복으로 인한 고장들에 대해 큰 저항력을 가지고 있다.
상기 제1 링크 및 상기 제2 링크는, CCDL("Cross Channel Data Link") 링크들일 수 있다.
그와 같은 링크는, 특히, 배선 볼륨을 제한하면서, 상기 알려진 시스템의 개별 아날로그 링크들을 통해 교환되는 것보다 더 복잡한 상태 정보들을 교환 프로세싱 유닛들에 가능성을 제공한다.
항공 전자 기기에 대한 온보드 보안 네트워크는, 예를 들어, AFDX("Avionics Full DupleX switched Ethernet") 또는 μAFDX 타입의 중복 이더넷 네트워크일 수 있다.
다른 특징들 및 이점들은 실시예들의 하기의 실시예의 서술을 판독한 후 명확해질 것이다. 이러한 서술은 첨부된 도면들을 참조하여 설명될 것이다.
도 1은 본 발명의 일 실시예에 따른 비행 제어 시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 비행 제어 시스템의 2개의 프로세싱 유닛들 사이의 2개의 CCDL 링크들을 확립하도록 의도된 하드웨어 수단을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 비행 제어 시스템의 각 프로세싱 유닛의 CCDL 모듈들의 물리적인 구분을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 2개의 CCDL 링크들을 확립하도록 의도된 프로세싱 유닛의 하드웨어 수단의 구분을 개략적으로 도시하다.
도 5는 본 발명의 일 실시예에 따른 비행 제어 시스템의 프로세싱 유닛들의 상태도를 도시한다.
본 발명의 일 실시예는, 도 1에 도시된 비행 제어 시스템의 제1 프로세싱 유닛(1)(로컬 프로세싱 유닛으로 언급됨)에 의해 구현되는 스위칭 방법에 관한 것으로, 상기 비행 제어 시스템은 적어도 하나의 엔진을 포함하는 항공기의 비행 제어 시스템이다.
상기 비행 제어 시스템은, 또한, 대향 프로세싱 유닛으로 언급되는 제2 프로세싱 유닛(2)을 포함한다. 상기 로컬 프로세싱 유닛은 적어도 하나의 로컬 센서에 연결될 수 있고, 그리고 적어도 하나의 링크(3, 4)를 통해 상기 대향 프로세싱 유닛에 연결될 수 있으며, 상기 대향 프로세싱 유닛은 적어도 하나의 대향 센서에 자체 연결된다. 상기 프로세싱 유닛들 모두는 중복이고 그리고 각각, 항공기의 엔진의 제어 및 조절 기능을 실행할 수 있다. 이를 위해, 각 프로세싱 유닛은, 항공기의 엔진을 제어하기 위해, 적어도 하나의 액츄에이터를 제어하도록 구성된다. 로컬 프로세싱 유닛(1)에 의해 제어가능한 액츄에이터들은 로컬 액츄에이터들로 언급된다. 상기 대향 프로세싱 유닛에 의해 제어될 수 있는 액츄에이터들은 대향 엑츄에이터들로 언급된다. 따라서, 도 1에서 도시된 시스템은, 채널 A 및 채널 B를 포함하는 2채널 아키텍처이다.
상기 프로세싱 유닛들(1 및 2)은, 다수의 프로세서들을 포함하는 동일한 멀티프로세서 컴퓨터 시스템의 프로세서일 수 있다. 외부의 공격들에 대해 비행 제어 시스템의 저항력을 강화시키기 위해 그리고 하나의 로컬화된 이벤트가 프로세싱 유닛들 1 및 2이 동작 불능이 될 수 있는 것을 방지하기 위해, 2 채널들 모두, 개별의 케이스들에서 서로 거리를 두고 설치될 수 있다. 그와 같은 구성에서, 상기 프로세싱 유닛들은 단일 프로세서 내에서 집적된 실행 코어들이 아니다.
상기 시스템은 또한, 상기 대향 프로세싱 유닛의 상태에 대한 정보와 같은, 상기 프로세싱 유닛들 각각의 적절한 동작에 대한 필수적인 데이터를 교환하도록 2개의 프로세싱 유닛들을 연결하기 위한 통신 수단을 포함한다.
대안의 실시예에서, 이러한 통신 수단은, 제1 프로세싱 유닛(1)과 제2 프로세싱 유닛(2) 사이의 제1 양방향 디지털 링크(3) 및 제2 양방향 디지털 링크(4)를 설립하도록 구성된다. 그와 같은 시스템은, 배선의 복잡성과 통신 링크들 중 하나가 실패할 가능성을 제한하는, 상기 프로세싱 유닛들 2개 사이의 어떤 개별 링크를 포함하지 않는다.
제2 링크(4)는, 제1 링크(3)의 실패 또는 그 반대의 경우에서, 프로세싱 유닛들 2개 사이의 통신을 명확하게 하도록 제1 링크(3)와 중복된다. 2개의 프로세싱 유닛들 사이에서의 정보의 교환의 관점에서, 그와 같은 중복은, 양호한 안전 레벨을 보증한다.
또한, 상기 제1 링크 및 상기 제2 링크는 부수적으로 활성일 수 있다. 따라서, 상기 중복 링크가 상기 제1 링크의 실패의 경우에서만 사용되는 시스템들과 달리, 상기 비행 제어 시스템은, 정규 동작 동안 동시에, 즉, 상기 2개의 링크들 중 하나의 실패도 없을 때, 상기 제1 링크(3) 및 상기 제2 링크(4)를 사용할 수 있고, 그리고 프로세싱 유닛들 2개 모두 사이에서 교환되는 데이터의 손상이 존재하지 않음을 식별하기 위해 이러한 링크들 모두의 병용(concomitant use)을 활용할 수 있다.
제1 및 제2 프로세싱 유닛들(1 및 2)은, 예를 들어, 프로토콜들 이더넷 IEEE 802.3, HDLC, SDLC 또는 에러를 검출하거나 정정하는 기능을 갖는 어떤 다른 프로토콜들로부터 링크들(3 및 4)을 통해, 상기 제1 및 제2 프로세싱 유닛들(1 및 2) 사이에서 통신하는 절차를 사용할 수 있다. 이더넷 링크는, 특히, 고성능 및 환경 안정성을 보장할 수 있고, 특히, 번개에 대한 저항성 및 데이터의 무결성을 제어하고 그리고 흐름을 제어하기 위한 메커니즘들의 적용에 의한 전자기 적합성("EMC") 그리고 고기능의 견고성을 보장할 수 있다. 또한, 이더넷 프로토콜은, AFDX(Avionics Full DupleX switched ethernet) 또는 μAFDX, 유지 기술들과 같은 항공 통신 기술들로 구성되는 산업 표준이다.
제1 및 제2 링크들은 CCDL(Cross Channel Data Link) 링크들일 수 있다. 그와 같은 링크는 100 마이크로초보다 작은 시간에서 정확성을 갖고 매 애플리케이션을 동기화하는 가능성을 제공한다. 그와 같은 링크는, 또한, 알려진 시스템들에서 이산들을 교환하는 것 대신에, 하드웨어 또는 소프트웨어에 의해 구성되는 양호한 정보, 상기 시스템에 대한 유용한 정보(수집, 상태들 ...) 및 운영 시스템(OS)과 적용 시스템(AS)의 기능 데이터를 교환하는 것을 가능하게 한다.
프로세싱 유닛들 A 및 B 사이의 그와 같은 CCDL 링크들은 도 2에서 도시된다. 각 프로세싱 유닛(1, 2)은 시스템(5a, 5b)을 포함하고, 상기 시스템(5a, 5b)은 제1 CCDL 링크(3)를 설립하기 위한 제1 CCDL 모듈(CCDLA)(6a, 6b) 및 제2 CCDL 링크(4)를 설립하기 위한 제2 CCDL 모듈(CCDLB)(7a, 7b)을 포함한다. 그와 같은 시스템은 온-칩 시스템(SoC, "시스템 온 칩)으로 나타낼 수 있거나, 마이크로프로세서 및 개별 케이스 또는 FPGA 카드보드에서 구현되는 주변 장치들로 구성될 수 있다. 각 CCDL 모듈은 물리적 계층을 통해 모듈 케이스의 입력/출력 인터페이스에 연결된다. 그와 같은 층은, 예를 들어, 도 2에 도시된 것처럼 하드웨어 인터페이스 물리층(8a, 8b, 8c, 8d) 및 변압기(9a, 9b, 9c, 9d)를 포함할 수 있다.
도 3에 도시된 것처럼, 각 프로세싱 유닛의 CCDL 모듈들은, 예를 들어, 온-칩 시스템의 코너에 CCDL 모듈 각각을 위치시킴으로써, 서로 다른 위치에 있고 그리고 서로 떨어져 있는 시스템(5a, 5b) 상에 배치됨으로써 물리적으로 분리될 수 있다. 이는, SEU(Single Event Upset) 타입 또는 MBU(Multiple Bit Upset)의 교체의 경우 일반적인 실패 확률을 감소시킬 가능성을 제공한다.
제1 대안에 따라, 각 시스템(5a, 5b)은, 개별 전원에 의해 전원을 공급받는다. 제2 대안에 따라, 상기 시스템은 온-칩 시스템의 전체에 공통인 전원(15)을 포함한다. 각 온-칩 시스템은, 도 4에 도시된 것처럼 2개의 별개의 클럭 신호들(11 및 12)을 통해 전력을 공급받을 수 있다. 따라서, 독립적으로 전력이 공급되지 않지만, 각 프로세싱 유닛의 CCDL 모듈들은 독립적인 클럭들을 통해 전력을 공급받을 수 있고, 이는 CCDL 모듈들 중 하나의 클럭 장애가 다른 CCDL 모듈에 영향을 미치지 못하게 함으로써 온-칩 시스템의 고장들에 대한 내성을 강화시킨다.
각 프로세싱 유닛의 CCDL 모듈들은, 도 2에서 도시된 것처럼 로컬 실시간 클럭 메커니즘(HTR 또는 REC(Real time clock))(10a, 10b)에 의해 그리고 동기화 윈도우를 구비한 매커니즘과 같은 동기화 메커니즘에 의해 동기화될 수 있다. 따라서, 동기의 손실의 경우에, 각 프로세싱 유닛은 로컬 클럭에 의해 동작하고 그리고 유효 신호를 수신하면 다시 동기화한다. 로컬 클럭 매커니즘은 애플리케이션에 의해 프로그램가능하고 그리고 프로그래밍은 SEU(Single Event Upset) 타입 또는 MBU(Multiple Bit Upset)의 교대로 보호된다. CCDL 링크들은, 그럼에도 불구하고, 동기화가 업거나 또는 클럭이 손실된 경우에도 계속 작동할 수 있다.
상기 시스템은, 상기 제1 및 제2 프로세싱 유닛들 사이에서 데이터의 교환들을 보장할 수 있는 비상 통신 수단을 더 포함할 수 있고 그리고 상기 제1 및 제2 링크의 고장시에만 배타적으로 사용될 수 있어, 상기 프로세싱 유닛들 간의 통신 차단을 방지할 수 있다.
도 1에서 도시된 제1 실시예에서, 이러한 비상 통신 수단은 센서들 또는 액츄에이터들(13)의 네트워크를 포함할 수 있다. 그와 같은 센서들 또는 액츄에이터들의 네트워크는, 일 예로서, 스마트 센서들 또는 액츄에이터들("스마트-센서, 스마트-액츄에이터")의 네트워크일 수 있다. 각 프로세싱 유닛은, 이후, 더 이상 아날로그 방식이 아닌 디지털 방식으로 정보의 전송을 가능하게 하는 RS-485 타입의 버스를 통해 이러한 네트워크(13)에 접속될 수 있다.
도 1에서 도시된 제2 실시예에서, 이러한 비상 통신 수단은 항공 전자 기기(14)에 대한 보안 네트워크 온보드를 포함한다. 그와 같은 온보드 보안 네트워크는, 일 예로서, AFDX("Avionics Full DupleX switched Ethernet") 또는 μAFDX와 같은 중복 이더넷 네트워크일 수 있다. 그와 같은 네트워크는, 항공 인증들에 필요한 결정성 및 가용성과 함께 흐름을 분리하기 위한, 자원들을 공유하는 수단을 제공한다.
상기 프로세싱 유닛들 사이에서 전송된 디지털 신호들은 섭동(perturbation)들에 민감할 수 있고, 무결성을 제어하고 그리고 2개의 원격 프로세싱 유닛들 사이에서 전송된 데이터의 일관성을 제어하기 위한 메커니즘들은 제 위치에 설정될 수 있다.
따라서, 각 프로세싱 유닛은 상기 수신된 데이터의 무결성을 검증하기 위한 수단을 포함할 수 있다.
상기 수신된 데이터의 무결성을 검증하기 위해, 각 수신된 프레임의 서로 다른 필드들이 검증될 수 있는데, 특히, 이더넷 링크의 경우에서, 목적지 어드레스에 대한 필드들, 소스 어드레스에 대한 필드들, 타입에 대한 필드들, 프레임의 길이에 대한 필드들, MAC 데이터에 대한 필드들 및 데이터 채움(filling data)에 관한 필드들이 검증될 수 있다. 프레임의 길이가 프레임의 길이 필드에 지정된 길이와 일치하지 않거나 또는 바이트들이 정수가 아닌 경우에는, 이러한 프레임은 유효하지 않은 것으로 간주될 수 있다. 상기 프레임을 수신할 때 계산된 중복 제어(CRC, "Cyclic Redundancy Check")가 오류들로 인해, 예를 들어, 상기 전송 동안 간섭들로 인해 수신된 CRC에 대응하지 않는 경우, 상기 프레임은 또한 유효하지 않은 것으로 고려될 수 있다.
또한, 상기 로컬 프로세싱 유닛 및 상기 대항 프로세싱 유닛이 2개의 양방향 링크들을 통해 접속될 때, 각 프로세싱 유닛은, 제1 링크 및 제2 링크 모두를 통해 데이터의 전송에 이어서, 전송된 프레임들의 실패 또는 손상이 없는 경우 동일한 정보를 전송해야 하는 링크들 둘 모두를 거친 수신된 데이터의 일관성을 검증하는 수단 및 실제로 전송된 데이터를 결정하는 수단을 포함한다. 2개의 링크들을 통해 수신된 데이터가 일치하지 않을 때, 상기 프로세싱 유닛은, 실제로 전송된 데이터가 적어도 2개의 연속적인 프레임, 선택적으로는 세 프레임들 이상에서 수신된 데이터로부터 결정되는 동안 통합 단계를 적용할 수 있다. 그와 같은 통합은, 또한, 2개의 연속적인 이더넷 데이터 패킷들의 수신을 분리하는 기간을 연장함으로써, 예를 들어, 이러한 기간의 길이를 전자기 섭동의 지속 시간보다 큰 지속 시간으로 설정함으로써 달성될 수 있다. 이는, 방출된 패킷들 사이의 그와 같은 기간을 설정하는 파라미터(<<프레임 간 간격>>)을 추가함으로써 적용될 수 있다. 그와 같은 애플리케이션은, 예를 들어, 중복 방식으로 전송된 2개의 이더넷 패킷들의 손상을 피할 수 있는 가능성을 제공할 수 있다.
상기 비행 제어 시스템의 프로세싱 유닛들 각각은, 다음의 상태들 중 하나의 상태에서 발견될 수 있고, 이는 도 5의 상태 그래프에서 도시된다:
Figure pct00001
상기 프로세싱 유닛이 항공기의 엔진의 제어를 보장하는 활성 상태("활성(ACTIVE)")(15),
Figure pct00002
상기 프로세싱 유닛이 항공기의 엔진의 제어를 보장하지 않고 다른 기능들, 예를 들어, 진단 기능들 실행하며 그리고 상기 제어 시스템의 다른 프로세싱 유닛과 선택적으로 통신할 수 있는 수동 상태("수동(PASSIVE)")(16),
Figure pct00003
상기 프로세싱 유닛이 비활성이고 그리고 어떤 기능도 수행하지 않는 리셋 상태("리셋(RESET)")(17),
Figure pct00004
상기 프로세싱 유닛이, 상기 항공기의 엔진의 제어를 위한 엑츄에이터의 제어를, 다른 프로세싱 유닛에 넘겨주는 슬레이브 상태("슬레이브(SLAVE)")(18).
로컬 액츄에이터의 고장에도 불구하고 상기 엔진의 제어를 정확하게 보장할 수 있도록 각 프로세싱 유닛이 상기 대향 프로세싱 유닛에 연결된 엑츄에이터 및 센서들을 포함하여, 글로벌 시스템의 전체 개요를 갖도록 하기 위해, 로컬 프로세싱 유닛에 의해 적용되는 스위칭 방법은:
- 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터 및 상기 적어도 하나의 로컬 액츄에이터에 관련된 액츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 단계,
- 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 센서에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 단계를 포함한다.
센서에 관련된 그와 같은 획득 데이터는, 센서들의 경우에서의 일 예로서, 상기 센서에 의해 측정된 상기 온도를 포함하는 온도들이다.
또한, 상기 로컬 유닛(1)이 상기에서 서술된 4개의 상태들 중에서 하나의 상태를 변경하도록 하기 위해, 상기 스위칭 방법은:
- 대향 상태 데이터라 언급되는, 대향 프로세싱 유닛(2)의 상태에 관련된 상태 데이터를 수신하는 단계,
- 로컬 상태 데이터라 언급되는, 상기 로컬 유닛(1)의 상태에 관한 상태 데이터를 결정하는 단계,
- 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛(1)을 스위칭하는 단계를 포함한다(상기 제1 상태 및 제2 상태는 상기에서 서술된 활성 상태, 수동 상태, 리셋 상태 및 슬레이브 상태 중 하나이다).
상태 데이터 중 획득 및 수신 데이터를 전송, 수신하는 상기 단계들은, 2개의 프로세싱 유닛들을 연결하는 링크들(3, 4)을 통해 또는 상기 링크들(3, 4)의 실패의 경우에서 비상 통신 수단(13, 14)을 통해 적용된다.
상기 수신된 대향 상태 데이터는 섭동들에 영향을 받을 수 있고, 대향 상태 데이터를 수신하는 단계는 상기 수신된 데이터의 무결성을 검증하는 단계를 포함할 수 있다.
더욱이, 일관성을 검증하기 위한 메커니즘들이 또한 적용될 수 있으며, 상기 대향 상태 데이터는 양방향 링크들을 통해 중복 방식으로 전송될 수 있다. 대향 상태 데이터를 수신하는 단계는, 제1 링크를 통해 제1 대향 상태 데이터를 수신하고 그리고 제2 링크를 통해 제2 중복 대향 상태 데이터를 수신하는 단계와, 상기 제1 수신된 상태 데이터 및 상기 제2 수신된 상태 데이터의 일관성을 검증하는 단계와, 그리고 상기 검증 단계에 따라 전송된 상기 대향 상태 데이터를 결정하는 단계를 포함한다. 대안으로, 상기 제1 링크를 통해 수신된 상기 제1 대향 상태 데이터 및 상기 제2 링크를 통해 수신된 제2 대향 상태 데이터는, 일관성을 확인하기 전에 무결성의 검증의 대상이 될 수 있다.
상기 2개의 링크들을 통해 수신된 데이터의 불일치의 경우, 상기 로컬 프로세싱 유닛은 이러한 상태 데이터를 무시할 수 있고 그리고 새로운 대향 상태 데이터의 전송을 대기할 수 있다. 2개 또는 그 이상의 연속적인 전송 동안 2개의 링크들을 통해 불일치 데이터를 수신하는 경우, 상기 로컬 프로세싱 유닛은 대향 상태 데이터로서 보전적으로 유지할 수 있고, 이러한 제1 전송 동안 수신된 데이터가 후속 전송들 동안 수신된 데이터들과 동일하면, 수신된 데이터는 상기 대향 프로세싱 유닛의 가장 나쁜 상태를 나타낸다. 그렇지 않으면, 일관성 있게 마지막으로 수신된 데이터는, 새로운 상태 데이터가 일관되게 수신되지 않는 한 유지된다.
로컬 또는 대향 상태 데이터를 결정하기 위해, 관련된 프로세싱 유닛은 자신의 하드웨어 및 소프트웨어 요소들에 관련된 상태를 진단한다. 그와 같은 진단은 상이한 모니터링 수단("모니터링") 또는 여러 레지스터들로부터 획득된 정보로부터 설립될 수 있다. 일 예로서, 한 레지스터는 프로세싱 유닛의 하드웨어의 상태를 획득할 수 있는 가능성을 제공하고 그리고 다른 레지스터는 상기 프로세싱 유닛의 소프트웨어의 상태를 획득할 수 있는 가능성을 제공한다.
따라서, 상기 결정된 로컬 상태 데이터 또는 상기 대향 프로세싱 유닛에 의해 전송된 데이터는, 채널을 선택할 가능성 및 전체 시스템 진단을 확립할 수 있는 가능성을 제공하는 데이터이다. 이러한 데이터는, 특히, 진단 CCDL 데이터, 운영 시스템 또는 애플리케이션들의 상태들의 데이터, 하드웨어, 특히, 센서들 또는 액츄에이터들의 진단 데이터, 소프트웨어에 의해 생성된 기능 진단 데이터일 수 있다.
로컬 또는 대향 상태 데이터로부터, 로컬 프로세싱 유닛은 상태인 활성, 수동, 슬레이브 또는 리셋을 나타내는 상태 데이터를 결정할 수 있고, 이는 대응하는 로컬 또는 대향 프로세싱 유닛에서 발견되며, 그리고 엔진의 제어를 보장하는 로컬 또는 대향 프로세싱 유닛의 기능에 관련된 상태의 데이터이다.
일 실시예에 따라, 각 프로세싱 유닛은 하기의 4개의 상태들 중 하나의 상태를 가질 수 있다.
Figure pct00005
프로세싱 유닛이 어떤 장애도 가지지 않는 상태 "굿(GOOD)",
Figure pct00006
프로세싱 유닛이 엔진의 제어를 정확하게 보장하지 못하게 하는 특정 결함이 있는 상태 "억셉터블(ACCEPTABLE)", 예를 들어, CCDL 링크 변압기의 파손 또는 한 CCDL 링크로부터의 클럭 신호의 손실,
Figure pct00007
프로세싱 유닛이 엔진의 제어를 정확하게 보장할 수 있는 가능성을 제공하기에는 너무 심각한 장애, 예를 들어, 프로세서 장애를 가지고 있지만, 액츄에이터를 제어하지 못하게 하거나 또는 대향 프로세싱 유닛과 통신하는 것을 못하게 하는 중대한 장애들을 갖지 않게 하는 상태, "슬레이브(SLAVE)",
Figure pct00008
프로세싱 유닛이 엔진의 제어를 정확하게 보장할 수 없고 그리고 상기 프로세싱 유닛이 엑츄에이터들을 제어할 수 없게 하는 적어도 하나의 하드웨어 장애를 갖는 상태 "배드(BAD)", 예를 들어, 상기 프로세싱 유닛의 전체에 영향을 미치는 전원 또는 클럭 장애 또는 2개의 CCDL 링크들의 장애.
상기 로컬 프로세싱 유닛은, 대향 상태 데이터를 수신하고 그리고 로컬 상태 데이터를 결정하기 위한 상기에서 서술한 단계들을 규칙적인 시간 간격으로 실행한다. 상태를 변경할지 여부를 결정하기 위해, 로컬 프로세싱 유닛은, 로컬 상태 데이터로부터, 유닛의 상태를 나타내는 로컬 상태 데이터 및 유닛의 동작 상태를 나타내는 로컬 동작 상태 데이터를 결정한다. 또한, 상기 로컬 프로세싱 유닛은, 상기 대향 상태 데이터로부터, 상기 대향 프로세싱 유닛의 상태를 나타내는 대향 상태 데이터 및 상기 대향 프로세싱 유닛의 동작 상태를 나타내는 대향 동작 상태 데이터를 결정한다.
상기 로컬 프로세싱 유닛은, 로컬 상태 데이터에 의해 표시된 상태과 대향 상태 데이터에 의해 표시된 상기 대향 프로세싱 유닛의 상태의 비교를 수행한다.
로컬 프로세싱 유닛이 활성 상태에 있고 그리고 그 상태가 다른 프로세싱 유닛의 상태(CTL_REQ=1)보다 양호한 경우, 상기 프로세싱 유닛은 활성 상태를 유지하고 그리고 상기 엔진의 제어를 계속한다.
일 예로서, 로컬 프로세싱 유닛의 상태는, 다음의 경우에서 대향 프로세싱 유닛의 상태보다 양호하다:
- 상기 로컬 프로세싱 유닛은 상태 굿(GOOD)이고, 상기 대향 프로세싱 유닛은 상태들 억셉터블(ACCEPTABLE), 슬레이브(SLAVE) 및 배드(BAD) 중 하나의 상태를 가지는 경우,
- 상기 로컬 프로세싱 유닛은 상태 억셉터블(ACCEPTABLE)이고, 상기 대향 프로세싱 유닛은 상태들 슬레이브(SLAVE) 및 배드(BAD) 중 하나의 상태를 가지는 경우.
상기 로컬 프로세싱 유닛이 활성 상태에 있고, 그리고 그 상태가 다른 프로세싱 유닛의 상태(CTL_REQ=0)보다 양호하지 않게 되는 경우, 상기 로컬 프로세싱 유닛은 수동 상태로 스위칭될 것이고, 이후, 대향 프로세싱 유닛에 의해 명확하게 되는 엔진의 제어는 중단될 것이다.
일 예로서, 상기 로컬 프로세싱 유닛의 상태는, 다음의 경우에서 상기 대향 프로세싱 유닛의 상태보다 양호하지 않다.
- 상기 로컬 프로세싱 유닛이 상태 억셉터블(ACCEPTABLE)을 갖고, 그리고 상기 대향 프로세싱 유닛이 상태 굿(GOOD)을 갖는 경우, 또는
- 상기 로컬 프로세싱 유닛이 상태 슬레이브(SLAVE)를 갖고, 그리고 상기 대향 프로세싱 유닛이 상기 상태들 굿(GOOD) 및 억셉터블(ACCEPTABLE) 중 하나의 상태를 갖는 경우, 또는
- 상기 로컬 프로세싱 유닛이 상태 배드(BAD)를 갖고, 그리고 상기 대향 프로세싱 유닛이 상기 상태들 굿(GOOD) 및 억셉터블(ACCEPTABLE) 중 하나의 상태를 갖는 경우.
상기 로컬 프로세싱 유닛이 수동 상태에 있고, 그리고 그 상태가 상기 대향 프로세싱 유닛의 상태(CTL_REQ=0)만큼 양호하지 않은 경우, 상기 프로세싱 유닛은 수동 상태로 유지된다.
상기 로컬 프로세싱 유닛이 수동 상태에 있고, 그리고 그 상태가 상기 대향 프로세싱 유닛의 상태(CTL_REQ=1)보다 양호하게 되는 경우, 상기 대향 프로세싱 유닛 대신에 상기 엔진의 제어를 보장하기 위해 상기 로컬 프로세싱 유닛은 활성 상태로 스위칭된다. 수동 상태에서 활성 상태로의 스위칭은, 상기 로컬 프로세싱이 활성 상태로 넘어가기 전에 수동 상태(OPP_CH_STATE=0)로 통과하고 그리고 엔진의 제어를 인수할 것을 대기하는 대기 상태(19)를 통과할 것이다. 이것은, 비행 엔진 시스템이, 2개의 프로세싱 유닛들이 동시에 활성화되고 그리고 모순 명령들을 액츄에이터에 전달할 위험성이 존재하는 상황에서 발견되는 것을 피할 수 있는 가능성을 제공한다. 상기 프로세싱 유닛은, 대향 프로세싱 유닛이 활성인 동안(OPP_CH_STATE=1) 대기 상태(19)를 유지할 수 있다. 이 상태로부터, 상기 대향 프로세싱 유닛의 상태가 로컬 프로세싱 유닛의 상태(CTL_REQ=0)보다 다시 양호해지는 경우, 상기 대향 프로세싱 유닛이 활성 상태로 되기 전에 상기 로컬 프로세싱 유닛은 수동 상태로 되돌아갈 수 있다.
상기 로컬 프로세싱 유닛이 수동 상태에 있고, 그리고 로컬 상태 데이터가 상기 프로세싱 유닛이 "슬레이브(SLAVE)" 상태(Remote Req=1)를 가짐을 나타내면, 상기 프로세싱 유닛은 상기에서 서술된 것처럼 슬레이브 상태로 스위칭될 수 있다. 대안에 따라, 상기 슬레이브 상태로의 스위칭은, 또한, 상기 대향 프로세싱 유닛으로부터 상기 로컬 프로세싱 유닛의 액츄에이터들에 대한 액세스를 요청하기 위한 신호를 수신함으로써 조절된다. 상기 로컬 상태 데이터가 상기 프로세싱 유닛이 "슬레이브(SLAVE)"의 상태(Remote Req=0)를 가짐을 나타낼 때에만, 슬레이브 상태로부터, 상기 프로세싱 유닛이 활성 상태로 리턴될 수 있다.
상기 로컬 상태 데이터가 "배드(BAD)" 상태를 나타내면, 상기 로컬 프로세싱 유닛이 현재 상태에 관계없이 리셋 상태로 스위칭된다. 상기 리셋이 성공적으로 수행되면(HRESET_N 상승 에지), 상기 프로세싱 유닛은 다시 수동 상태로 들어갈 수 있다.
상기 로컬 프로세싱 유닛 및 상기 대향 프로세싱 유닛이 동일한 상태, 굿(GOOD) 또는 억셉터블(ACCEPTABLE)을 가질 경우에서, 각각의 프로세싱 유닛은, 제1 대안에 따라, 현재 상태인 활성 또는 수동을 유지할 수 있다. 제2 대안에 따르면, 디폴트 프로세싱 유닛, 예를 들어, 제1 프로세싱 유닛에 엔진의 제어를 제공하는 것이 가능하고, 이 경우, 2개의 프로세싱 유닛들은, 상기 디폴트 프로세싱 유닛이 이미 활성 상태이면 현재 상태를 유지하거나, 또는 상기 디폴트 프로세싱 유닛이 이전에 수동 상태이었으면 수동 상태에서 활성 상태로 또는 그 역으로 스위칭된다.
프로세싱 유닛이 이전에 손실된 기능들을 복구하지만, 상기 프로세싱 유닛이 재설정되지 않으면, 슬레이브(SLAVE) 또는 배드(BAD) 상태를 갖는 프로세싱 유닛이 억셉터블(ACCEPTABLE) 또는 굿(GOOD) 상태로 다시 스위칭될 수 없는 경우, 상기 프로세싱 유닛은 상기 억셉터블(ACCEPTABLE) 상태에서 상기 굿(GOOD) 상태로 스위칭될 수 있다.
따라서, 제어 시스템의 수동 채널은, 더 나은 상태에 있는 활성 채널에서 액츄에이터들을 이용가능하게 하는 상태로 스위칭될 수 있어, 비행 제어 시스템은, 자신의 액츄에이터들을 제어하기 위해 활성 채널의 성능에 영향을 미치는 장애에도 불구하고 항공기의 엔진의 제어를 계속할 수 있도록 한다.

Claims (13)

  1. 적어도 하나의 엔진을 포함하는 항공기의 비행 제어 시스템의, 로컬 프로세싱 유닛(local processing unit)으로 언급되는 제1 프로세싱 유닛(1, 2)에 의해 적용되는 스위칭 방법으로서,
    상기 로컬 프로세싱 유닛(1, 2)은, 상기 항공기의 엔진을 제어하기 위해 로컬 액츄에이터(local actuator)로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어 있고, 적어도 하나의 센서에 연결될 수 있고, 적어도 하나의 링크(3, 4)를 통해 대향 프로세싱 유닛(opposite processing unit)으로 언급되는 제2 프로세싱 유닛(2, 1)에 연결될 수 있으며, 그리고 적어도 하나의 대향 액츄에이터를 제어하고, 적어도 하나의 대향 센서에 연결되어 있으며,
    상기 로컬 프로세싱 유닛(1, 2)은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크(3, 4)의 고장(failure)이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단(13, 14)에 연결되도록 되어 있으며,
    상기 비상 통신 수단은, 센서들 또는 액츄에이터들(13)의 네트워크 및/또는 항공 전자 기기(avionics)(14)에 대한 온보드 보안 네트워크를 포함하며,
    상기 방법은:
    - 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터(acquisition data) 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 단계와;
    - 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 단계와;
    - 대향 상태 데이터(opposite health datum)로 언급되는, 상기 대향 프로세싱 유닛(2, 1)의 상태에 관련된 상태 데이터를 수신하는 단계와;
    - 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛(1, 2)의 상태에 관련된 상태 데이터를 결정하는 단계와; 그리고
    - 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛(1, 2)을 스위칭하는 단계를 포함하며,
    상기 획득 데이터를 전송, 수신하는 단계 및 상기 상태 데이터를 수신하는 단계는 상기 적어도 하나의 링크 또는 상기 비상 통신 수단을 통해 적용되고, 그리고 상기 상태들은, 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하는 활성 상태(15), 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태(16) 및 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛(2, 1)에 넘겨주는 슬레이브 상태(slave state)(18)들인 것을 특징으로 하는
    스위칭 방법.
  2. 제1항에 있어서,
    상기 대향 프로세싱 유닛(2, 1) 및 상기 로컬 프로세싱 유닛(1, 2)은 제1 양방향 디지털 링크(3) 및 제2 양방향 디지털 링크(4)를 통해 연결되고,
    상기 대향 프로세싱 유닛(2, 1)은 상기 링크들(3, 4) 각각을 통해 대향 상태 데이터를 전송하며, 그리고
    상기 대향 상태 데이터를 수신하는 단계는, 상기 제1 링크(3)를 통해 제1 대향 상태 데이터를 수신하고 그리고 상기 제2 링크(4)를 통해 제2 중복 대향 상태 데이터를 수신하는 단계와, 상기 제1 및 제2 수신된 상태 데이터의 일관성(consistency)을 검증하는 단계와, 그리고 상기 검증에 따라 전송된 상기 대향 상태 데이터를 결정하는 단계를 포함하는 것을 특징으로 하는
    스위칭 방법.
  3. 제2항에 있어서,
    상기 전송된 대향 상태 데이터를 결정하는 단계는, 상기 제1 및 제2 수신된 상태 데이터가 일치되지 않을 때, 상기 전송된 대향 상태 데이터가 적어도 2개의 연속적인 프레임들을 통해 수신된 데이터로부터 결정되는 통합 단계(consolidation step)를 포함하는 것을 특징으로 하는
    스위칭 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 대향 상태 데이터를 수신하는 단계는, 상기 수신된 상태 데이터의 무결성을 검증하는 단계를 포함하는 것을 특징으로 하는
    스위칭 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 로컬 상태 데이터를 결정하는 단계는, 상기 로컬 프로세싱 유닛(1, 2)의 하드웨어 및 소프트웨어에 관련된 상태를 진단하는 단계를 포함하는 것을 특징으로 하는
    스위칭 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 스위칭 단계는:
    - 상기 로컬 상태 데이터로부터, 상기 로컬 프로세싱 유닛(1, 2)의 상태에 관련된 상태 데이터 및 상기 엔진의 제어를 보장하는 상기 로컬 프로세싱의 능력에 관련된 상기 로컬 프로세싱 유닛의 상태 데이터를 결정하는 단계와; 그리고
    - 상기 로컬 프로세싱 유닛(1)이 수동 상태(16)임을 상기 상태 데이터가 나타내는 경우 및
    상기 로컬 프로세싱 유닛이 상기 대향 프로세싱 유닛과 통신할 수 있고, 상기 로컬 프로세싱 유닛(1, 2)이 상기 엔진의 제어를 보장할 수 없으며, 그리고 상기 로컬 프로세싱 유닛(1, 2)이 상기 로컬 엑츄에이터들을 제어할 수 있는 상태임을, 상기 상태 데이터가 나타내는 경우에, 상기 로컬 프로세싱 유닛(1, 2)을 상기 슬레이브 상태(18)로 스위칭하는 단계를 포함하는 것을 특징으로 하는
    스위칭 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    상기 스위칭 단계는:
    - 상기 로컬 프로세싱 유닛(1, 2)의 상태가 상기 대향 프로세싱 유닛(2, 1)의 상태보다 양호함을, 상기 로컬 프로세싱 유닛(1, 2)이 상기 로컬 상태 데이터 및 상기 대향 상태 데이터로부터 결정하는 결정 단계와;
    - 상기 대향 프로세싱 유닛(2, 1)이 상기 수동 상태(16)로 스위칭됨을 상기 로컬 프로세싱 유닛(1, 2)이 대기하는 대기 단계와; 그리고
    - 상기 로컬 프로세싱 유닛(1, 2)을 활성 상태(15)로 스위칭하는 단계를 포함하는 것을 특징으로 하는
    스위칭 방법.
  8. 컴퓨터 프로그램이 프로세서에 의해 실행될 때 제1항 내지 제7항 중 어느 한 항에 따른 스위칭 방법을 실행하기 위한 코드 명령어들을 포함하는 컴퓨터 프로그램 제품.
  9. 적어도 하나의 엔진을 포함하고, 그리고 항공기의 엔진을 제어하기 위해 로컬 엑츄에이터로 언급되는 적어도 하나의 액츄에이터를 제어하도록 되어있는 상기 항공기의 비행 제어 시스템의 프로세싱 유닛(1, 2)으로서,
    로컬 프로세싱 유닛으로 언급되는 상기 프로세싱 유닛(1, 2)은, 적어도 하나의 로컬 센서에 연결될 수 있고 그리고 적어도 하나의 링크(3, 4)를 통해 대향 프로세싱 유닛으로 언급되는 제2 프로세싱 유닛(2, 1)에 연결될 수 있으며, 적어도 하나의 대향 액츄에이터를 제어하고, 적어도 하나의 대향 센서에 연결되어 있으며,
    상기 로컬 프로세싱 유닛(1, 2)은, 또한, 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 적어도 하나의 링크(3, 4)의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단(13, 14)에 연결되도록 되어 있으며,
    상기 비상 통신 수단은, 센서들 또는 액츄에이터들(13)의 네트워크 및/또는 항공 전자 기기(14)에 대한 온보드 보안 네트워크를 포함하며,
    상기 프로세싱 유닛은:
    - 상기 적어도 하나의 로컬 센서에 관련된 획득 데이터 및 상기 적어도 하나의 로컬 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛에 전송하는 수단과;
    - 상기 적어도 하나의 대향 센서에 관련된 획득 데이터 및 상기 적어도 하나의 대향 엑츄에이터에 관련된 엑츄에이터 데이터를 상기 대향 프로세싱 유닛으로부터 수신하는 수단과;
    - 대향 상태 데이터로 언급되는, 상기 대향 프로세싱 유닛(2, 1)의 상태에 관련된 상태 데이터를 수신하는 수단과;
    - 로컬 상태 데이터로 언급되는, 상기 로컬 프로세싱 유닛(1, 2)의 상태에 관련된 상태 데이터를 결정하는 수단과; 그리고
    - 상기 수신된 대향 상태 데이터 및 상기 결정된 로컬 상태 데이터에 따라, 제1 상태에서 제2 상태로 상기 로컬 프로세싱 유닛(1, 2)을 스위칭하는 수단을 포함하며,
    상기 상태들은, 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하는 활성 상태(15), 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어를 보장하지 않는 수동 상태(16) 및 상기 로컬 프로세싱 유닛(1, 2)이 상기 항공기의 엔진의 제어하기 위해 상기 로컬 엑츄에이터들의 제어를 상기 대향 프로세싱 유닛(2, 1)에 넘겨주는 슬레이브 상태(18)들인 것을 특징으로 하는
    프로세싱 유닛.
  10. 제9항에 따른 2개의 프로세싱 유닛들(1, 2)을 포함하고, 그리고 상기 로컬 프로세싱 유닛과 상기 대향 프로세싱 유닛 사이를 연결하는 상기 링크들(3, 4)의 고장이 발생한 경우, 상기 로컬 프로세싱 유닛(1, 2)과 상기 대향 프로세싱 유닛(2, 1) 사이에서 데이터의 교환을 보장할 수 있는 가능성을 제공하는 비상 통신 수단(13, 14)을 더 포함하는 비행 제어 시스템으로서,
    상기 비상 통신 수단은, 센서들 또는 액츄에이터들(13)의 네트워크 및/또는 항공 전자 기기(14)에 대한 온보드 보안 네트워크를 포함하는 것을 특징으로 하는
    비행 제어 시스템.
  11. 제10항에 있어서,
    2개의 프로세싱 유닛들(1, 2)은 제1 양방향 디지털 링크(3) 및 제2 양방향 링크(4)를 통해 연결되고, 상기 제2 링크(4)는 상기 제1 링크(3)와 중복되며, 그리고 상기 제1 링크(3) 및 상기 제2 링크(4)는 동시에 활성일 수 있는 것을 특징으로 하는
    비행 제어 시스템.
  12. 제11항에 있어서,
    상기 제1 링크(3) 및 상기 제2 링크(4)는, CCDL("Cross Channel Data Link") 링크들인 것을 특징으로 하는
    비행 제어 시스템.
  13. 제10항에 있어서,
    상기 온보드 보안 네트워크(14)는, AFDX("Avionics Full DupleX switched Ethernet") 또는 μAFDX 타입의 중복 이더넷 네트워크인 것을 특징으로 하는
    비행 제어 시스템.
KR1020177009173A 2014-09-05 2015-09-04 2채널 아키텍처 KR102284080B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1458354A FR3025617B1 (fr) 2014-09-05 2014-09-05 Architecture bi-voies
FR1458354 2014-09-05
PCT/FR2015/052344 WO2016034825A1 (fr) 2014-09-05 2015-09-04 Architecture bi-voies

Publications (2)

Publication Number Publication Date
KR20170095183A true KR20170095183A (ko) 2017-08-22
KR102284080B1 KR102284080B1 (ko) 2021-08-02

Family

ID=52692715

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177009173A KR102284080B1 (ko) 2014-09-05 2015-09-04 2채널 아키텍처

Country Status (9)

Country Link
US (1) US10162314B2 (ko)
EP (1) EP3189381B1 (ko)
JP (1) JP6484330B2 (ko)
KR (1) KR102284080B1 (ko)
CN (1) CN107077103B (ko)
CA (1) CA2960107C (ko)
FR (1) FR3025617B1 (ko)
RU (1) RU2679706C2 (ko)
WO (1) WO2016034825A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3025617B1 (fr) * 2014-09-05 2016-12-16 Sagem Defense Securite Architecture bi-voies
EP3469769B1 (en) * 2016-06-10 2021-03-24 TTTech Flexibilis Oy Receiving frames at redundant port connecting node to communications network
GB2563242B (en) 2017-06-07 2020-01-29 Ge Aviat Systems Ltd A method and system for enabling component monitoring redundancy in a digital network of intelligent sensing devices
EP3428748B1 (de) * 2017-07-13 2020-08-26 Siemens Aktiengesellschaft Verfahren und anordnung zum betrieb von zwei redundanten systemen
US10698752B2 (en) * 2017-10-26 2020-06-30 Bank Of America Corporation Preventing unauthorized access to secure enterprise information systems using a multi-intercept system
IT201900012900A1 (it) * 2019-07-25 2021-01-25 Hitachi Rail Sts S P A Apparato e metodo per il controllo di un sistema ferroviario
CN113900979B (zh) * 2021-09-08 2024-03-19 中国航空工业集团公司西安航空计算技术研究所 一种双功能区共单ccdl传输体系
GB2615072A (en) * 2022-01-24 2023-08-02 Airbus Operations Ltd An aircraft control system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080205416A1 (en) * 2007-02-23 2008-08-28 Honeywell International, Inc. Flight control computers with ethernet based cross channel data links
EP2595023A2 (en) * 2011-11-16 2013-05-22 Nabtesco Corporation Aircraft control apparatus and aircraft control system
FR2986398A1 (fr) * 2012-01-30 2013-08-02 Snecma Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0410832A (ja) * 1990-04-27 1992-01-16 Nec Commun Syst Ltd パケットネットワークシステムのバックアップ方式
US5790791A (en) * 1995-05-12 1998-08-04 The Boeing Company Apparatus for synchronizing flight management computers where only the computer chosen to be the master received pilot inputs and transfers the inputs to the spare
EP0900415B1 (en) * 1996-05-14 2002-09-11 The Boeing Company Flight management system providing for automatic control display unit backup utilizing structured data routing
US6611499B1 (en) * 1999-03-18 2003-08-26 At&T Corp. Method for measuring the availability of router-based connectionless networks
JP4478037B2 (ja) * 2004-01-30 2010-06-09 日立オートモティブシステムズ株式会社 車両制御装置
FR2879388B1 (fr) * 2004-12-15 2007-03-16 Sagem Procede de transmission securisee, systeme, pare-feu et routeur le mettant en oeuvre
US20060184253A1 (en) * 2005-02-03 2006-08-17 International Business Machines Corporation Intelligent method of organizing and presenting operational mode information on an instrument panel of a flight deck
US7346793B2 (en) * 2005-02-10 2008-03-18 Northrop Grumman Corporation Synchronization of multiple operational flight programs
EP1695886B1 (en) * 2005-02-28 2009-11-04 Delphi Technologies, Inc. Fault-tolerant node architecture for distributed systems
JP4754993B2 (ja) * 2006-02-16 2011-08-24 デルファイ・テクノロジーズ・インコーポレーテッド 分布システムのためのフォールトトレランスのノードアーキテクチャー
RU2378521C2 (ru) * 2007-12-25 2010-01-10 Федеральное государственное унитарное предприятие "Московское машиностроительное производственное предприятие "САЛЮТ" (ФГУП "ММПП "САЛЮТ") Система автоматического управления газотурбинным двигателем
JP5404101B2 (ja) * 2009-02-27 2014-01-29 三菱重工業株式会社 多重冗長系制御システム
FR2943036B1 (fr) * 2009-03-11 2011-04-15 Airbus France Systeme distribue de commande de vol implemente selon une architecture avionique modulaire integree.
FR2959489B1 (fr) * 2010-05-03 2013-02-15 Airbus Operations Sas Panneau de commande pour aeronef.
US9625894B2 (en) * 2011-09-22 2017-04-18 Hamilton Sundstrand Corporation Multi-channel control switchover logic
FR2983319B1 (fr) * 2011-11-25 2014-02-07 Turbomeca Procede et systeme de regulation de puissance en cas de defaillance d'au moins un moteur d'aeronef
RU136011U1 (ru) * 2012-12-27 2013-12-27 Российская Федерация в лице Министерства промышленности и торговли Российской Федерации Самолет с системой управления общесамолетным оборудованием и самолетными системами
EP2790073A1 (en) * 2013-04-09 2014-10-15 Airbus Operations GmbH Control of aircraft systems with at least two remote data concentrators for control of an aircraft system component
CN103955188B (zh) * 2014-04-24 2017-02-15 清华大学 支持冗余切换功能的控制系统及方法
FR3025617B1 (fr) * 2014-09-05 2016-12-16 Sagem Defense Securite Architecture bi-voies

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080205416A1 (en) * 2007-02-23 2008-08-28 Honeywell International, Inc. Flight control computers with ethernet based cross channel data links
EP2595023A2 (en) * 2011-11-16 2013-05-22 Nabtesco Corporation Aircraft control apparatus and aircraft control system
FR2986398A1 (fr) * 2012-01-30 2013-08-02 Snecma Dispositif de securite pour la commande d'un moteur comprenant une redondance des acquisitions d'une mesure de capteurs

Also Published As

Publication number Publication date
CN107077103B (zh) 2020-10-13
RU2017111184A (ru) 2018-10-05
KR102284080B1 (ko) 2021-08-02
CN107077103A (zh) 2017-08-18
JP6484330B2 (ja) 2019-03-13
EP3189381B1 (fr) 2018-07-25
RU2017111184A3 (ko) 2018-10-05
FR3025617A1 (fr) 2016-03-11
RU2679706C2 (ru) 2019-02-12
US10162314B2 (en) 2018-12-25
CA2960107A1 (fr) 2016-03-10
US20170277151A1 (en) 2017-09-28
CA2960107C (fr) 2020-03-10
FR3025617B1 (fr) 2016-12-16
EP3189381A1 (fr) 2017-07-12
WO2016034825A1 (fr) 2016-03-10
JP2017534502A (ja) 2017-11-24

Similar Documents

Publication Publication Date Title
KR102213762B1 (ko) 양방향 아키텍처를 구비한 리던던트 ccdl들
KR102284080B1 (ko) 2채널 아키텍처
JP5337022B2 (ja) フォールト・トレランス・コンピューティング・システムにおけるエラー・フィルタリング
US9148297B2 (en) Information processor and control network system
US7020076B1 (en) Fault-tolerant communication channel structures
US10042812B2 (en) Method and system of synchronizing processors to the same computational point
US9367375B2 (en) Direct connect algorithm
CN107276710B (zh) 基于时间同步状态监控的时间触发以太网故障诊断方法
US20150171893A1 (en) Reliable, Low Latency Hardware And Software Inter-Process Communication Channel For Safety Critical System
US10491317B2 (en) Method for operating a network arrangement, network system and network arrangement
US9665447B2 (en) Fault-tolerant failsafe computer system using COTS components
CN109491842A (zh) 用于故障安全计算系统的模块扩展的信号配对
KR102596572B1 (ko) 무인항공기 네트워크 구조 및 네트워크 구조에서의 동기화 방법
Majzik Fault Tolerant Real-Time Distributed Systems
Paulitsch et al. 48.1 SAFebus

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant