WO2022049135A1 - Electronic system for executing a critical function, and associated method - Google Patents

Electronic system for executing a critical function, and associated method Download PDF

Info

Publication number
WO2022049135A1
WO2022049135A1 PCT/EP2021/074151 EP2021074151W WO2022049135A1 WO 2022049135 A1 WO2022049135 A1 WO 2022049135A1 EP 2021074151 W EP2021074151 W EP 2021074151W WO 2022049135 A1 WO2022049135 A1 WO 2022049135A1
Authority
WO
WIPO (PCT)
Prior art keywords
algorithm
datum
data
function
input
Prior art date
Application number
PCT/EP2021/074151
Other languages
French (fr)
Inventor
Florence DE GRANCEY
Original Assignee
Thales
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales filed Critical Thales
Priority to DE112021004576.8T priority Critical patent/DE112021004576T5/en
Publication of WO2022049135A1 publication Critical patent/WO2022049135A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Definitions

  • TITLE Electronic system for the implementation of a critical function and associated process
  • the present invention relates to an electronic system configured to implement a critical function.
  • the invention also relates to a method for implementing a critical function by such an electronic system.
  • the invention also relates to a computer program comprising software instructions which, when executed by a computer, implement such a method.
  • the electronic system is in particular embedded in an installation or in a device.
  • the apparatus is preferably a vehicle, such as an air vehicle, in particular an aircraft, a railway vehicle or a motor vehicle.
  • the installation is for example a chemical plant or a power plant.
  • the invention relates to the implementation of critical functions, that is to say which are critical for the safety of the device or installation.
  • Vehicle piloting controls such as the flight controls of an aircraft, the braking system of the vehicle, the emergency shutdown of a chemical plant or a power plant are examples of such critical functions.
  • a critical function we mean the performance of one or more calculations making it possible to generate at least one output datum associated with this critical function, from at least one input datum.
  • such a critical function is conventionally associated with a security usage domain defining a range of authorized values for the output datum associated with this critical function. An output data outside the range of authorized values will be refused and an alert will be issued.
  • these limits are for example maximum and minimum altitude limits of the aircraft not to be exceeded, a rate of climb limit of the aircraft, a maximum power of the engine of the aircraft, etc.
  • Automatic learning methods associated with a database are known which make it possible to improve the performance of the implementation of the critical function.
  • An adversary example is an input datum for which the associated result is different from the result associated with another neighboring input datum.
  • the adversary example is therefore a problematic special case for the machine learning method. Indeed, a slight variation of the input data should lead to a similar prediction if the method was sufficiently robust. For example, changing the brightness of an image should not change the objects identified in the image.
  • the subject of the invention is an electronic system configured to implement a critical function, the electronic system being able to receive first and second input data and to deliver consolidated output data associated with said critical function , the electronic system comprising: a first processing module configured to calculate a first intermediate datum associated with the implementation of the critical function as a function of the first input datum and of a first algorithm, the first algorithm being a automatic learning machine trained on a first reference database or an evolutionary algorithm evaluated from the first reference database, the first reference database comprising a plurality of reference data representative of the operation of the electronic system, a second processing module configured to calculate a second intermediate datum ass ocated to the implementation of the critical function as a function of the second input datum and of the first algorithm, the second input datum being different from the first input datum, a third processing module configured to calculate a third intermediate datum associated with the implementation of the critical function as a function of the first input datum and of a second algorithm, the second algorithm being different from the first algorithm, a fourth processing module configured to
  • the electronic system comprises one or more of the following characteristics, taken in isolation or according to all the technically possible combinations: the consolidated output datum is determined according to a predetermined rule associating, with each combination of results of said comparisons between the intermediate data, a single combination of intermediate data, the consolidated output data being determined from said single combination;
  • the first, second, third and fourth processing modules are each embedded in a respective separate electronic computer, the electronic computer advantageously comprising its own power supply and its own calculation unit;
  • each input data is provided by a respective upstream electronic device, in particular by a respective sensor, the system further comprising an alert module configured to generate an alert signal according to each inconsistency detected by the monitoring module , the alert signal comprising an alert relating to the failure of an element chosen from the group consisting of: one of the upstream electronic devices when an inconsistency is detected between the two intermediate data obtained according to the same algorithm and that the two intermediate data obtained as a function of the same input data from the other upstream electronic device are mutually consistent; the first algorithm when an inconsistency is detected between the two intermediate data obtained according to the first algorithm and the two intermediate data obtained according to the second algorithm are mutually consistent; the second algorithm when an inconsistency is detected between the two intermediate data obtained according to the second algorithm and the two intermediate data obtained according to the first algorithm are mutually consistent, and one of the electronic computers when an inconsistency is detected each time the intermediate data associated with said electronic computer is compared with one of the other intermediate data;
  • the second algorithm is a second machine learning algorithm trained on a second reference database or an evolutionary algorithm evaluated from the second reference database, the second reference data comprising a plurality of reference data representative of the operation of the electronic system, the second algorithm being different from the first algorithm and/or the second reference database being different from the first reference database;
  • the second algorithm is an algorithm of a different type from that of the first algorithm; the second algorithm preferably being of the type chosen from the group consisting of: an image analysis algorithm of the simultaneous localization and mapping type; an algorithm following a decision tree; a graph traversal algorithm; an equation solving algorithm; an algorithm based on a physical model; and a filtering algorithm, in particular a Kalman filter or a Wiener filter;
  • the system comprises an inhibition module configured to inhibit the operation of at least one of the processing modules among the first, second, third and fourth processing modules according to at least one operating parameter of the electronic system ;
  • the electronic system is an avionic system suitable for being onboard in an aircraft control station;
  • the first and second input data are of the same type, the type being chosen from the group consisting of: an image, a video stream, a measurement of one or more operating parameters of the electronic system, data from sensors , a command from a user of the electronic system, a text from information notices or voice recognition; and
  • the first and second input data are of different types.
  • the invention also relates to a method for implementing a critical function by an electronic system, the electronic system being able to receive first and second input data and to deliver consolidated output data associated with said critical function, the method comprising the following steps:
  • - calculation of a first intermediate datum associated with the implementation of the critical function as a function of the first input datum and of a first algorithm the first algorithm being an automatic learning algorithm trained on a first base of reference data or an evolutionary algorithm evaluated from the first reference database, the first reference database comprising a plurality of reference data representative of the operation of the electronic system, - calculation of a second intermediate datum associated with the implementation of the critical function according to the second input datum and the first algorithm, the second input datum being different from the first input datum
  • the invention also relates to a computer program comprising software instructions which, when executed by a computer, implement a method as defined above.
  • FIG 1 is a schematic representation of an electronic system according to the invention.
  • FIG 2 is a flowchart of a method, according to the invention, for implementing a critical function by the electronic system of Figure 1.
  • FIG. 1 An electronic system 10 is represented in FIG. 1.
  • the electronic system 10 is configured to implement at least one critical function.
  • the electronic system 10 is on board an aircraft.
  • the aircraft is typically an airplane, a helicopter, or even a drone.
  • the aircraft is a flying machine that can be controlled by a pilot via a control station, the control station being located inside the aircraft or else at a distance from the aircraft, in particular in the case of a drone.
  • the electronic system 10 is then an avionics system configured to implement an avionics critical function.
  • the avionics critical function is then typically chosen from the group consisting for example of: detection of a landing strip, detection of an obstacle on the trajectory of the aircraft, the strategy for avoiding an obstacle on the trajectory of the aircraft, a trajectory calculation of the aircraft, a flight control of the aircraft, and a braking function of the aircraft.
  • the electronic system 10 is able to receive first and second input data, denoted A and B hereafter, and to deliver a consolidated output data C associated with said critical function.
  • the second input data B is distinct and different from the first input data A.
  • Each input data A, B is provided by a respective upstream electronic device 12A, 12B.
  • the upstream electronic device 12A associated with the input data A is therefore different from the upstream electronic device 12B associated with the input data B.
  • Each upstream electronic device 12A, 12B is in particular a sensor, for example a camera or a temperature sensor.
  • each upstream electronic device 12A, 12B is another system, in particular another avionic system.
  • the first and second input data A, B are of the same type. In other words, the nature of the values likely to be taken by the first and second data are identical.
  • this type is chosen from the group consisting of: an image, a video stream, a measurement of one or more operating parameters of the electronic system, data from sensors, a command from a user of the electronic system, a text from information notices or voice recognition.
  • the first and second input data A, B are images of the environment of the aircraft coming from two different on-board cameras or are flight controls coming from two different redundant piloting systems.
  • the first and second input data A, B are of different types.
  • the first input data A is an image of a landing strip from a camera on board the aircraft
  • the second input data B is a digital representation of the runway d landing from a geographic database.
  • the electronic system 10 comprises a first processing module 14, a second processing module 16, a third processing module 18, a fourth processing module 20 and a monitoring module 22.
  • the electronic system 10 further comprises an alert module 24, a display module 25 and an inhibition module 26.
  • the first, second, third and fourth processing modules 14, 16, 18, 20 are for example each embedded in a respective separate electronic computer.
  • Each electronic computer advantageously comprising its own power supply and its own calculation unit.
  • the electronic computer is, for example, in the form of an electronic module independent of other electronic module(s) and capable of being installed in a rack, not shown, or even in the form of a card electronic, independent of other electronic card(s), and able to be installed in an electronic cabinet.
  • the electronic computer has its own electronic box, and is then the only computer placed inside a protective box associated with the box.
  • the first processing module 14 is configured to calculate a first intermediate datum S1A associated with the implementation of the critical function according to the first input datum A and a first algorithm.
  • the first processing module 14 is further configured to send the first intermediate data S1A to the monitoring module 22.
  • the first algorithm is for example an automatic learning algorithm trained on a first reference database 30 comprising a plurality of reference data representative of the operation of the electronic system 10.
  • the first reference database 30 is typically obtained from the acquisition of flight commands, operating parameters such as position, speed, altitude and/or the operating states of the different systems of at least one test aircraft as a function of the context during a plurality of flights of said test aircraft.
  • the flights of the test aircraft are carried out in a flight simulator and/or in real conditions.
  • the automatic learning method is based, for example, on a model using a statistical approach in order to improve the performance of this method in solving tasks without being explicitly programmed for each of these tasks.
  • Machine learning has two phases. The first phase consists in defining a model from data present in the first reference database 30, also called observations. Estimation of the model typically consists of associating a result to each event encountered in the first database of reference 30. This so-called learning phase is generally carried out prior to the practical use of the model. The second phase corresponds to the actual use of the model: the model being defined, new events can then be submitted to the model in order to obtain a result associated with these new events.
  • the machine learning model includes, for example, the implementation of a neural network.
  • a neural network is generally made up of a succession of layers, each of which takes its inputs from the outputs of the previous one. Each layer is composed of a plurality of neurons, taking their inputs from the neurons of the previous layer. Each synapse between neurons is associated with a synaptic weight, so that the inputs received by a neuron are multiplied by this weight, then added by said neuron.
  • the neural network is optimized thanks to the adjustments of the different synaptic weights during the learning phase according to the data present in the first reference database 30.
  • the first algorithm implemented by the first processing module 14 is an evolutionary algorithm, also called an evolutionary algorithm.
  • an evolutionary algorithm is a stochastic method of global optimization inspired by the Darwinian evolution of biological populations.
  • an evolutionary algorithm evolves a set of solutions, also called “individuals”, each comprising a certain number of characteristics. Each individual is associated with a function for evaluating the relevance of this solution.
  • Such an algorithm is designed so that the higher the relevance of a solution, the more likely it is to transmit its characteristics among the population.
  • the algorithm After having initialized a first generation of individuals, the algorithm iterates a finite number of times, until reaching a stopping criterion, for example a maximum number of generations.
  • a first stage of selection makes it possible to separate the individuals which will take part in the reproduction, from those which will not take part in it.
  • the selected individuals "reproduce", giving a set of "children” sharing some of the characteristics of their ancestors. These children then undergo a stage of mutation, which randomly modifies some of the characteristics.
  • the new individuals are then evaluated by calculating their respective evaluation function. Finally, a number of individuals is determined among all the individuals, to form the next generation.
  • the second processing module 16 is configured to calculate a second intermediate datum S1 B associated with the implementation of the critical function as a function of the second input datum B and of the first algorithm.
  • the critical function is therefore implemented by the second processing module 16 with the same algorithm as the first processing module 14, but with different input data.
  • the second processing module 16 is further configured to send the second intermediate data S1 B to the monitoring module 22.
  • the third processing module 18 is configured to calculate a third intermediate datum S2A associated with the implementation of the critical function according to the first input datum A and a second algorithm, different from the first algorithm.
  • the critical function is therefore implemented by the third processing module 18 with the same input data as the first processing module 14, but with a different algorithm. Also, the critical function is therefore implemented by the third processing module 18 with different input data and a different algorithm from the second processing module 16.
  • the second algorithm is a second automatic learning algorithm trained on a second reference database, or else an evolutionary algorithm evaluated from the second reference database, the second reference database comprising a plurality reference data representative of the operation of the electronic system 10.
  • the second machine learning algorithm is different from the first machine learning algorithm and/or the second reference database is different from the first reference database 30.
  • the second algorithm implements for example the same learning method as the first algorithm but on a different reference database; or that the second algorithm is implemented differently from the first algorithm on an identical reference database.
  • the second algorithm is an algorithm of a different type from that of the first algorithm.
  • the second algorithm is not a machine learning algorithm or an evolutionary algorithm.
  • the second algorithm is of the type chosen from the group consisting for example of: an image analysis algorithm of the simultaneous localization and mapping type; an algorithm following a decision tree; a graph traversal algorithm; an equation solving algorithm, an algorithm based on a physical model, a filtering algorithm, in particular a Kalman filter or a Wiener filter.
  • the physical model is a set of equations describing the operation of the system, the equations being in particular established by a person skilled in the art from physical laws, possibly simplified.
  • the third processing module 18 is further configured to send the third intermediate datum S2A to the monitoring module 22.
  • the fourth processing module 20 is configured to calculate a fourth intermediate datum S2B associated with the implementation of the critical function according to the second input datum B and the second algorithm.
  • the critical function is therefore implemented by the fourth processing module 20 with different input data and a different algorithm than the first processing module 14. Also, the critical function is therefore implemented by the fourth processing module 20 with the same input data as the second processing module 16, but with a different algorithm. Also, the critical function is therefore implemented by the fourth processing module 20 with the same algorithm as the third processing module 18, but with different input data.
  • the fourth processing module 20 is further configured to send the fourth intermediate datum S2B to the monitoring module 22.
  • the monitoring module 22 is configured to receive the first, second, third and fourth intermediate data S1 A, S1 B, S2A, S2B.
  • the monitoring module 22 is further configured to compare, among the first, second, third and fourth intermediate data S1A, S1B, S2A, S2B, two by two those which are obtained as a function of the same input data or as a function of the same algorithm, in order to detect at least one possible inconsistency between these intermediate data obtained according to the same input datum A, B or according to the same algorithm.
  • the monitoring module 22 compares, for example, the first intermediate data S1A with the second intermediate data S1B, these intermediate data being obtained according to the same first algorithm.
  • the monitoring module 22 compares, in addition or as a variant, the first intermediate datum S1A with the third intermediate datum S2A, these intermediate data being obtained as a function of the same first input datum A.
  • the monitoring module 22 compares, in addition or as a variant, between them the second intermediate data S1 B with the fourth intermediate data S2B, these intermediate data being obtained as a function of the same second input data B.
  • the monitoring module 22 compares, in addition or as a variant, between them the third intermediate datum S2A with the fourth intermediate datum S2B, these intermediate data being obtained according to the same second algorithm.
  • the comparison between two intermediate data S1 A, S1 B, S2A, S2B determines whether these two intermediate data are mutually consistent or not according to a predetermined consistency rule.
  • the consistency rule defines a criterion on the result of the comparison making it possible to define whether the intermediate data is consistent with each other.
  • the consistency rule defines a calculation of the distance between the data, for example the absolute value of the difference, and a consistency threshold. The intermediate data is then consistent with each other if the distance between the values is less than the consistency threshold.
  • two intermediate data representing aircraft speed instructions having a difference in value of more than 10% are considered to be inconsistent with each other.
  • the consistency rule defines consistency classes, the intermediate data being mutually consistent if they are identical or if they belong to the same class.
  • intermediate data associated with the detection of an "airstrip" object is consistent with intermediate data associated with the detection of a "control tower” object, because the two data belong to a same class "airport"
  • the monitoring module 22 is further configured to deliver the consolidated output data C as a function of the first, second, third and fourth intermediate data S1 A, S1 B, S2A, S2B.
  • the consolidated output data C is determined according to a predetermined rule associating, with each combination of results of the comparisons between the intermediate data S1A, S1 B, S2A, S2B, a unique combination of intermediate data S1 A, S1 B, S2A, S2B.
  • Table 1 above presents a list of unique predefined combinations of intermediate data S1A, S1B, S2A, S2B according to the results of the comparisons between said intermediate data S1A, S1B, S2A, S2B.
  • the result is noted “OK” in Table 1 and when the intermediate data S1 A, S1 B, S2A, S2B are determined not to be not consistent, the result is marked “KO”.
  • the corresponding cell of table 1 is denoted “NA”.
  • the monitoring module 22 determines that all the comparisons made between the intermediate data S1A, S1B, S2A, S2B are consistent, the associated combination is the set of intermediate data S1A, S1B, S2A, S2B.
  • the associated combination is the second intermediate data S1 B and the fourth intermediate data S2B, without taking into account the result of the comparison between the first intermediate datum S1 A and the third intermediate datum S2A.
  • the monitoring module 22 is further configured to determine the consolidated output data C from the unique combination.
  • the consolidated output data C is equal to one of the intermediate data of the unique combination resulting from the predetermined rule.
  • the consolidated output data C is equal to the first intermediate output S1A.
  • the output of the system 10 is then well consolidated by the fact that, in this example, the four combinations are coherent.
  • the confidence in the output equal to the first intermediate output S1A is much higher than if the output had only been calculated by the first processing module 14 without any comparison.
  • the monitoring module 22 applies a mathematical formula to the intermediate data of the combination to obtain the consolidated output data C. For example, the monitoring module 22 performs an average of the intermediate data of the combination.
  • the alert module 24 is configured to generate an alert signal according to each inconsistency detected by the monitoring module 22, the alert signal comprising an alert relating to a failure of an element of the system 10.
  • the element is chosen from the group consisting of: one of the upstream electronic devices 12A, 12B, one of the algorithms and one of the electronic computers.
  • the alert module 24 is configured to associate the combination of intermediate data determined by the monitoring module 22 with a single failure of an element of the system 10.
  • the alert signal includes an alert relating to the failure of an element chosen from the group consisting of:
  • the display module 25 is configured to display the alert intended for a user of the electronic system 10.
  • the display module 25 is configured to display the alert on a head-down display screen or a head-up display screen in front of the pilot who then takes into account the failure detected.
  • the inhibition module 26 is configured to inhibit the operation of at least one of the processing modules among the first, second, third and fourth processing modules 14, 16, 18, 20 according to at least one parameter operation of the electronic system 10.
  • Each operating parameter is data characteristic of the operation of the system 10.
  • the operating parameters are for example the altitude of the aircraft, the geographical position of the aircraft, the speed of the aircraft, the operating status of the different aircraft systems, weather conditions, etc.
  • the inhibition module 26 is suitable for inhibiting the first and second processing modules 14, 16 or the third and fourth processing modules 18, 20 when the distance between the aircraft and the airport is greater than a predetermined distance.
  • the inhibition module 26 thus also makes it possible to activate the processing modules 14, 16, 18, 20 only when the latter are in their intended operating range, and to inhibit them otherwise.
  • expected operating range of a processing module means an operating range of the system defined in particular by at least one interval of one of the operating parameters and in which the processing module is configured to operate adequately, for example when landing.
  • the inhibition module 26 thus makes it possible to inhibit the four comparisons between intermediate data when the security risk associated with the implementation of the critical function is not high and in order to avoid false alarms.
  • the electronic system 10 comprises an information processing unit 50 formed for example of a memory 52 and a processor 54 associated with the memory 52.
  • the first processing module 14, the second processing module 16, the third processing module 18, the fourth processing module 20 and the monitoring module 22, and as an optional addition, the alert module 24, the display module 25 and the inhibition module 26, are each produced in the form of software, or a software brick, executable by the processor 54.
  • the memory 52 is then able to store a first processing software, a second processing software, a third processing software , a fourth processing software and a monitoring software, and in optional addition, an alert software, a display software and an inhibition software.
  • the processor 54 is then capable of executing each of these software programs.
  • the first processing module 14, the second processing module 16, the third processing module 18, the fourth processing module 20 and the monitoring module 22, and as an optional addition, the alert module 24 , the display module 25 and the inhibition module 26, are each made in the form of a programmable logic component, such as an FPGA (Field Programmable Gate Array), or else in the form of a dedicated integrated circuit, such as an ASIC (Application Specific Integrated Circuit).
  • the first processing module 14, the second processing module 16, the third processing module 18, the fourth processing module 20 are then preferably each embedded in a respective electronic computer.
  • the electronic system 10 When the electronic system 10 is produced in the form of one or more software, that is to say in the form of a computer program, it is also capable of being recorded on a medium, not shown, readable by computer.
  • the computer-readable medium is, for example, a medium capable of storing electronic instructions and of being coupled to a bus of a computer system.
  • the readable medium is an optical disc, a magneto-optical disc, a ROM memory, a RAM memory, any type of non-volatile memory (for example EPROM, EEPROM, FLASH, NVRAM), a magnetic card or an optical card.
  • On the readable medium is then stored a computer program comprising software instructions.
  • FIG. 2 representing a flowchart of the method, according to the invention, for implementing a critical function by the system 10. Subsequently, an example of implementation of the method will be described for an avionic system, but those skilled in the art will understand that this method applies in a similar way and more generally to any electronic system 10.
  • the aircraft is, for example, flying towards an airport.
  • the avionic system 10 then implements a critical avionic function, such as for example the detection of the landing strip.
  • the inhibition module 26 inhibits the operation of the third and fourth processing modules 18, 20 according to at least one operating parameter of the electronic system 10.
  • the inhibition module 26 inhibits the operation of the third and fourth processing modules 18, 20 as long as the distance between the aircraft and the airport is greater than a predetermined distance.
  • the inhibition module 26 stops the inhibition of the operation of the third and fourth processing modules 18, 20.
  • the first processing module 14 calculates the first intermediate datum S1A associated with the implementation of the critical function according to the first input datum A and the first algorithm.
  • the second processing module 16 calculates the second intermediate datum S1 B associated with the implementation of the critical function according to the second input datum B and the first algorithm.
  • the third processing module 18 calculates the third intermediate datum S2A associated with the implementation of the critical function according to the first input datum A and the second algorithm.
  • the fourth processing module 20 calculates the fourth intermediate datum S2B associated with the implementation of the critical function according to the second input datum B and the second algorithm.
  • Steps 110, 120, 130 and 140 are carried out independently of one another, at the same time or else successively in any order.
  • the monitoring module 22 then receives, during a step 150, the first, second, third and fourth intermediate data S1A, S1B, S2A, S2B then compares, among the first, second, third and fourth intermediate data S1A, S1 B, S2A, S2B, two by two those which are obtained according to the same input data A, B or according to the same algorithm, in order to detect at least a possible inconsistency between these intermediate data obtained according to a same input data A, B or according to the same algorithm.
  • the alert module 24 When an inconsistency is detected, during a step 160, the alert module 24 generates an alert signal according to each inconsistency detected by the monitoring module 22, the alert signal comprising an alert relating to a failure of a system component 10.
  • the display module 25 displays the alert intended for a user of the electronic system 10, in particular the pilot of the aircraft.
  • the monitoring module 22 delivers the consolidated output data C according to the first, second, third and fourth intermediate data S1A, S1B, S2A, S2B.
  • the first and second processing modules 14, 16 make it possible to provide intermediate data obtained in particular by an automatic learning method trained on the first reference database 30 and/or an evolutionary algorithm evaluated from the first reference database 30, and thus make it possible to improve the performance of the system 10.
  • the first and second processing modules 14, 16 make it possible to obtain intermediate data possibly different from the data present in the first database reference 30, and therefore make it possible to adapt to new and unexpected events encountered by the electronic system 10 during its operation.
  • the implementation of the critical function by the third and fourth processing modules 18, 20, as well as the comparisons carried out by the monitoring module 22, make it possible to obtain a consolidated output C by taking into account any inconsistencies. detected.
  • the system 10 makes it possible to detect three types of failures, namely a failure due to the input data A, B, a failure due to the implementation of the algorithms and a failure due to a hardware failure d an electronic computer, and to alert the user of this failure if necessary.
  • the invention makes it possible to obtain a high-performance electronic system 10 while being sufficiently safe, in particular with regard to safety requirements in the avionics field.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Traffic Control Systems (AREA)
  • User Interface Of Digital Computer (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Image Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

The invention relates to a system (10) able to execute a critical function and comprising: - a first module (14) configured to compute a first intermediate datum (S1A) on the basis of a first input datum (A) and of a first evolutionary or machine-learning algorithm, - a second module (16) configured to compute a second intermediate datum (S1B) on the basis of a second input datum (B) and of the first algorithm, - a third module (18) configured to compute a third intermediate datum (S2A) on the basis of the first input datum and of a second algorithm, - a fourth module (20) configured to compute a fourth intermediate datum (S2B) on the basis of the second input datum and of the second algorithm, - a monitoring module (22) configured to compare the intermediate data in pairs so as to detect at least one potential inconsistency.

Description

DESCRIPTION DESCRIPTION
TITRE : Système électronique pour la mise en œuvre d’une fonction critique et procédé associé TITLE: Electronic system for the implementation of a critical function and associated process
La présente invention concerne un système électronique configuré pour mettre en œuvre une fonction critique. The present invention relates to an electronic system configured to implement a critical function.
L’invention concerne également un procédé de mise en œuvre d’une fonction critique par un tel système électronique. The invention also relates to a method for implementing a critical function by such an electronic system.
L’invention concerne également un programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un ordinateur, mettent en œuvre un tel procédé. The invention also relates to a computer program comprising software instructions which, when executed by a computer, implement such a method.
Le système électronique est notamment embarqué dans une installation ou dans un appareil. L’appareil est de préférence un véhicule, tel qu’un véhicule aérien, en particulier un aéronef, un véhicule ferroviaire ou véhicule automobile. En variante, l’installation est par exemple une usine chimique ou une centrale électrique. The electronic system is in particular embedded in an installation or in a device. The apparatus is preferably a vehicle, such as an air vehicle, in particular an aircraft, a railway vehicle or a motor vehicle. Alternatively, the installation is for example a chemical plant or a power plant.
En particulier, l’invention concerne la mise en œuvre de fonctions critiques, c’est-à- dire qui sont critiques pour la sécurité de l’appareil ou de l’installation. Les commandes de pilotage du véhicule, telles que les commandes de vol d’un aéronef, le système de freinage du véhicule, l’arrêt d’urgence d’une usine chimique ou d’une centrale électrique sont des exemples de telles fonctions critiques. In particular, the invention relates to the implementation of critical functions, that is to say which are critical for the safety of the device or installation. Vehicle piloting controls, such as the flight controls of an aircraft, the braking system of the vehicle, the emergency shutdown of a chemical plant or a power plant are examples of such critical functions.
Dans le domaine avionique, une fonction critique est par exemple définie par la norme ARP-4754A Aerospace Recommended Practice en anglais). In the avionics field, a critical function is for example defined by the ARP-4754A Aerospace Recommended Practice standard in English).
Par mise en œuvre d’une fonction critique, on entend la réalisation d’un ou plusieurs calculs permettant de générer au moins une donnée de sortie associée à cette fonction critique, à partir d’au moins une donnée d’entrée. By implementation of a critical function, we mean the performance of one or more calculations making it possible to generate at least one output datum associated with this critical function, from at least one input datum.
Afin d’assurer la sécurité de l’appareil ou de l’installation, il est ainsi nécessaire de s’assurer que la mise en œuvre de la fonction critique s’effectue sans défaillance. En particulier, une telle fonction critique est de manière conventionnelle associée à un domaine d’usage de sécurité définissant une plage de valeurs autorisées pour la donnée de sortie associée à cette fonction critique. Une donnée de sortie hors de la plage de valeurs autorisées sera refusée et une alerte sera émise. Dans le domaine avionique, ces limites sont par exemple des limites maximale et minimale d’altitude de l’aéronef à ne pas dépasser, une limite de vitesse ascensionnelle de l’aéronef, une puissance maximale du moteur de l’aéronef, etc. On connait des méthodes d’apprentissage automatique associées à une base de données qui permettent d’améliorer les performances de la mise en œuvre de la fonction critique. In order to ensure the safety of the device or installation, it is thus necessary to ensure that the implementation of the critical function is carried out without failure. In particular, such a critical function is conventionally associated with a security usage domain defining a range of authorized values for the output datum associated with this critical function. An output data outside the range of authorized values will be refused and an alert will be issued. In the avionics field, these limits are for example maximum and minimum altitude limits of the aircraft not to be exceeded, a rate of climb limit of the aircraft, a maximum power of the engine of the aircraft, etc. Automatic learning methods associated with a database are known which make it possible to improve the performance of the implementation of the critical function.
Toutefois, ces algorithmes présentent des vulnérabilités, telles que des exemples adversaires, qui affectent en cause la sécurité du système électronique. Un exemple adversaire est une donnée d’entrée pour lequel le résultat associé est différent du résultat associé à une autre donnée d’entrée voisine. L’exemple adversaire est donc un cas particulier problématique pour la méthode d’apprentissage automatique. En effet, une légère variation de la donnée d’entrée devrait aboutir à une prédiction semblable si la méthode était suffisamment robuste. Par exemple, le fait de modifier la luminosité d’une image ne doit pas modifier les objets identifiés sur l’image. However, these algorithms have vulnerabilities, such as adversarial examples, which affect the security of the electronic system in question. An adversary example is an input datum for which the associated result is different from the result associated with another neighboring input datum. The adversary example is therefore a problematic special case for the machine learning method. Indeed, a slight variation of the input data should lead to a similar prediction if the method was sufficiently robust. For example, changing the brightness of an image should not change the objects identified in the image.
Il existe donc un besoin d’obtenir un système électronique performant tout en étant suffisamment sûr. There is therefore a need to obtain an efficient electronic system while being sufficiently safe.
A cet effet, l’invention a pour objet un système électronique configuré pour mettre en œuvre une fonction critique, le système électronique étant propre à recevoir des première et deuxième données d’entrée et à délivrer une donnée de sortie consolidée associée à ladite fonction critique, le système électronique comprenant : un premier module de traitement configuré pour calculer une première donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée et d’un premier algorithme, le premier algorithme étant un algorithme d’apprentissage automatique entrainé sur une première base de données de référence ou un algorithme évolutionnaire évalué à partir de la première base de données de référence, la première base de données de référence comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique, un deuxième module de traitement configuré pour calculer une deuxième donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée et du premier algorithme, la deuxième donnée d’entrée étant différente de la première donnée d’entrée, un troisième module de traitement configuré pour calculer une troisième donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée et d’un deuxième algorithme, le deuxième algorithme étant différent du premier algorithme, un quatrième module de traitement configuré pour calculer une quatrième donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée et du deuxième algorithme, un module de surveillance configuré pour recevoir les première, deuxième, troisième et quatrième données intermédiaires, puis pour comparer, parmi les première, deuxième, troisième et quatrième données intermédiaires, deux à deux celles qui sont obtenues en fonction de la même donnée d’entrée ou en fonction du même algorithme, afin de détecter au moins une éventuelle incohérence, le module de surveillance étant configuré pour délivrer la donnée de sortie consolidée en fonction des première, deuxième, troisième et quatrième données intermédiaires. To this end, the subject of the invention is an electronic system configured to implement a critical function, the electronic system being able to receive first and second input data and to deliver consolidated output data associated with said critical function , the electronic system comprising: a first processing module configured to calculate a first intermediate datum associated with the implementation of the critical function as a function of the first input datum and of a first algorithm, the first algorithm being a automatic learning machine trained on a first reference database or an evolutionary algorithm evaluated from the first reference database, the first reference database comprising a plurality of reference data representative of the operation of the electronic system, a second processing module configured to calculate a second intermediate datum ass ocated to the implementation of the critical function as a function of the second input datum and of the first algorithm, the second input datum being different from the first input datum, a third processing module configured to calculate a third intermediate datum associated with the implementation of the critical function as a function of the first input datum and of a second algorithm, the second algorithm being different from the first algorithm, a fourth processing module configured to calculate a fourth associated intermediate datum upon implementation of the critical function as a function of the second input datum and of the second algorithm, a monitoring module configured to receive the first, second, third and fourth intermediate data, then to compare, among the first, second , third and fourth intermediate data, two by two those which are obtained according to the same input data or according to the same algorithm, in order to detect at least one possible inconsistency, the monitoring module being configured to deliver the output data consolidated according to the first, second, third and fourth intermediate data.
Suivants d’autres aspects avantageux de l’invention, le système électronique comprend une ou plusieurs des caractéristiques suivantes, prises isolément ou suivant toutes les combinaisons techniquement possibles : la donnée de sortie consolidée est déterminée en fonction d’une règle prédéterminée associant, à chaque combinaison de résultats desdites comparaisons entre les données intermédiaires, une unique combinaison de données intermédiaires, la donnée de sortie consolidée étant déterminée à partir de ladite unique combinaison ; According to other advantageous aspects of the invention, the electronic system comprises one or more of the following characteristics, taken in isolation or according to all the technically possible combinations: the consolidated output datum is determined according to a predetermined rule associating, with each combination of results of said comparisons between the intermediate data, a single combination of intermediate data, the consolidated output data being determined from said single combination;
- les premier, deuxième, troisième et quatrième modules de traitement sont embarqués chacun sur un calculateur électronique distinct respectif, le calculateur électronique comprenant avantageusement sa propre alimentation électrique et sa propre unité de calcul ; - the first, second, third and fourth processing modules are each embedded in a respective separate electronic computer, the electronic computer advantageously comprising its own power supply and its own calculation unit;
- chaque donnée d’entrée est fournie par un dispositif électronique amont respectif, notamment par un capteur respectif, le système comprenant en outre un module d’alerte configuré pour générer un signal d’alerte en fonction de chaque incohérence détectée par le module de surveillance, le signal d’alerte comportant une alerte relative à la défaillance d’un élément choisi parmi le groupe consistant en : l’un des dispositifs électroniques amonts lorsqu'une incohérence est détectée entre les deux données intermédiaires obtenues en fonction du même algorithme et que les deux données intermédiaires obtenues en fonction de la même donnée d’entrée issue de l’autre dispositif électronique amont sont cohérentes entre elles ; le premier algorithme lorsqu'une incohérence est détectée entre les deux données intermédiaires obtenues en fonction du premier algorithme et que les deux données intermédiaires obtenues en fonction du deuxième algorithme sont cohérentes entre elles ; le deuxième algorithme lorsqu'une incohérence est détectée entre les deux données intermédiaires obtenues en fonction du deuxième algorithme et que les deux données intermédiaires obtenues en fonction du premier algorithme sont cohérentes entre elles, et l’un des calculateurs électroniques lorsqu’une incohérence est détectée à chaque comparaison de la donnée intermédiaire associée audit calculateur électronique avec l’une des autres données intermédiaires ; - each input data is provided by a respective upstream electronic device, in particular by a respective sensor, the system further comprising an alert module configured to generate an alert signal according to each inconsistency detected by the monitoring module , the alert signal comprising an alert relating to the failure of an element chosen from the group consisting of: one of the upstream electronic devices when an inconsistency is detected between the two intermediate data obtained according to the same algorithm and that the two intermediate data obtained as a function of the same input data from the other upstream electronic device are mutually consistent; the first algorithm when an inconsistency is detected between the two intermediate data obtained according to the first algorithm and the two intermediate data obtained according to the second algorithm are mutually consistent; the second algorithm when an inconsistency is detected between the two intermediate data obtained according to the second algorithm and the two intermediate data obtained according to the first algorithm are mutually consistent, and one of the electronic computers when an inconsistency is detected each time the intermediate data associated with said electronic computer is compared with one of the other intermediate data;
- le deuxième algorithme est un deuxième algorithme d’apprentissage automatique entrainé sur une deuxième base de données de référence ou un algorithme évolutionnaire évalué à partir de la deuxième base de données de référence, la deuxième base de données de références comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique, le deuxième algorithme étant différent du premier algorithme et/ou la deuxième base de données de référence étant différente de la première base de données de référence ; - the second algorithm is a second machine learning algorithm trained on a second reference database or an evolutionary algorithm evaluated from the second reference database, the second reference data comprising a plurality of reference data representative of the operation of the electronic system, the second algorithm being different from the first algorithm and/or the second reference database being different from the first reference database;
- le deuxième algorithme est un algorithme de type différent de celui du premier algorithme ; le deuxième algorithme étant de préférence du type choisi parmi le groupe consistant en : un algorithme d’analyse d’images de type localisation et cartographie simultanées ; un algorithme suivant un arbre de décision ; un algorithme de parcours de graphe ; un algorithme de résolution d’équations ; un algorithme sur la base d’un modèle physique; et un algorithme de filtrage, notamment un filtre de Kalman ou un filtre de Wiener ; - the second algorithm is an algorithm of a different type from that of the first algorithm; the second algorithm preferably being of the type chosen from the group consisting of: an image analysis algorithm of the simultaneous localization and mapping type; an algorithm following a decision tree; a graph traversal algorithm; an equation solving algorithm; an algorithm based on a physical model; and a filtering algorithm, in particular a Kalman filter or a Wiener filter;
- le système comprend un module d’inhibition configuré pour inhiber le fonctionnement d’au moins l’un des modules de traitement parmi les premier, deuxième, troisième et quatrième modules de traitement en fonction au moins d’un paramètre de fonctionnement du système électronique ; - the system comprises an inhibition module configured to inhibit the operation of at least one of the processing modules among the first, second, third and fourth processing modules according to at least one operating parameter of the electronic system ;
- le système électronique est un système avionique propre à être embarqué dans un poste de commande d’un aéronef ; - the electronic system is an avionic system suitable for being onboard in an aircraft control station;
- les première et deuxième données d’entrée sont de même type, le type étant choisi parmi le groupe consistant en : une image, un flux vidéo, une mesure d’un ou plusieurs paramètres de fonctionnement du système électronique, des données issues de senseurs, une commande d’un utilisateur du système électronique, un texte issu de notices d’informations ou de reconnaissance vocale ; et - the first and second input data are of the same type, the type being chosen from the group consisting of: an image, a video stream, a measurement of one or more operating parameters of the electronic system, data from sensors , a command from a user of the electronic system, a text from information notices or voice recognition; and
- les première et deuxième données d’entrée sont de types différents. - the first and second input data are of different types.
L’invention concerne également un procédé de mise en œuvre d’une fonction critique par un système électronique, le système électronique étant propre à recevoir des première et deuxième données d’entrée et à délivrer une donnée de sortie consolidée associée à ladite fonction critique, le procédé comprenant les étapes suivantes : The invention also relates to a method for implementing a critical function by an electronic system, the electronic system being able to receive first and second input data and to deliver consolidated output data associated with said critical function, the method comprising the following steps:
- calcul d’une première donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée et d’un premier algorithme, le premier algorithme étant un algorithme d’apprentissage automatique entrainé sur une première base de données de référence ou un algorithme évolutionnaire évalué à partir de la première base de données de référence, la première base de données de référence comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique, - calcul d’une deuxième donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée et du premier algorithme, la deuxième donnée d’entrée étant différente de la première donnée d’entrée, - calculation of a first intermediate datum associated with the implementation of the critical function as a function of the first input datum and of a first algorithm, the first algorithm being an automatic learning algorithm trained on a first base of reference data or an evolutionary algorithm evaluated from the first reference database, the first reference database comprising a plurality of reference data representative of the operation of the electronic system, - calculation of a second intermediate datum associated with the implementation of the critical function according to the second input datum and the first algorithm, the second input datum being different from the first input datum,
- calcul d’une troisième donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée et d’un deuxième algorithme, le deuxième algorithme étant différent du premier algorithme, - calculation of a third intermediate datum associated with the implementation of the critical function according to the first input datum and a second algorithm, the second algorithm being different from the first algorithm,
- calcul d’une quatrième donnée intermédiaire associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée et du deuxième algorithme,- calculation of a fourth intermediate datum associated with the implementation of the critical function according to the second input datum and the second algorithm,
- réception des première, deuxième, troisième et quatrième données intermédiaires,- reception of the first, second, third and fourth intermediate data,
- comparaison, parmi les première, deuxième, troisième et quatrième données intermédiaires, deux à deux de celles qui sont obtenues en fonction de la même donnée d’entrée ou en fonction du même algorithme, afin de détecter au moins une éventuelle incohérence, et - comparison, among the first, second, third and fourth intermediate data, two by two of those which are obtained according to the same input data or according to the same algorithm, in order to detect at least one possible inconsistency, and
- délivrance de la donnée de sortie consolidée en fonction des première, deuxième, troisième et quatrième données intermédiaires. - delivery of the consolidated output data according to the first, second, third and fourth intermediate data.
L’invention a également pour objet un programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un ordinateur, mettent en œuvre un procédé tel que défini ci-dessus. The invention also relates to a computer program comprising software instructions which, when executed by a computer, implement a method as defined above.
Ces caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description qui va suivre, donnée uniquement à titre d’exemple non limitatif, et faite en référence aux dessins annexés, sur lesquels : These characteristics and advantages of the invention will appear more clearly on reading the following description, given solely by way of non-limiting example, and made with reference to the appended drawings, in which:
[Fig 1] la figure 1 est une représentation schématique d’un système électronique selon l’invention, et [Fig 1] Figure 1 is a schematic representation of an electronic system according to the invention, and
[Fig 2] la figure 2 est un organigramme d’un procédé, selon l’invention, de mise en œuvre d’une fonction critique par le système électronique de la figure 1 . [Fig 2] Figure 2 is a flowchart of a method, according to the invention, for implementing a critical function by the electronic system of Figure 1.
Un système électronique 10 est représenté sur la figure 1. Le système électronique 10 est configuré pour mettre en œuvre au moins une fonction critique. An electronic system 10 is represented in FIG. 1. The electronic system 10 is configured to implement at least one critical function.
Dans l’exemple de la figure 1 , le système électronique 10 est embarqué dans un aéronef. L’aéronef est typiquement un avion, un hélicoptère, ou encore un drone. Autrement dit, l’aéronef est un engin volant pilotable par un pilote via un poste de commande, le poste de commande étant disposé à l’intérieur de l’aéronef ou bien à distance de l’aéronef, notamment dans le cas d’un drone. In the example of FIG. 1, the electronic system 10 is on board an aircraft. The aircraft is typically an airplane, a helicopter, or even a drone. In other words, the aircraft is a flying machine that can be controlled by a pilot via a control station, the control station being located inside the aircraft or else at a distance from the aircraft, in particular in the case of a drone.
Dans cet exemple, le système électronique 10 est alors un système avionique configuré pour mettre en œuvre une fonction critique avionique. La fonction critique avionique est alors typiquement choisie dans le groupe consistant par exemple en : une détection d’une piste d’atterrissage, une détection d’un obstacle sur la trajectoire de l’aéronef, la stratégie d’évitement d’un obstacle sur la trajectoire de l’aéronef, un calcul de trajectoire de l’aéronef, une commande de vol de l’aéronef, et une fonction de freinage de l’aéronef. In this example, the electronic system 10 is then an avionics system configured to implement an avionics critical function. The avionics critical function is then typically chosen from the group consisting for example of: detection of a landing strip, detection of an obstacle on the trajectory of the aircraft, the strategy for avoiding an obstacle on the trajectory of the aircraft, a trajectory calculation of the aircraft, a flight control of the aircraft, and a braking function of the aircraft.
Le système électronique 10 est propre à recevoir des première et deuxième données d’entrée, notées A et B par la suite, et à délivrer une donnée de sortie consolidée C associée à ladite fonction critique. The electronic system 10 is able to receive first and second input data, denoted A and B hereafter, and to deliver a consolidated output data C associated with said critical function.
La deuxième donnée d’entrée B est distincte et différente de la première donnée d’entrée A. The second input data B is distinct and different from the first input data A.
Chaque donnée d’entrée A, B est fournie par un dispositif électronique amont 12A, 12B respectif. Each input data A, B is provided by a respective upstream electronic device 12A, 12B.
Le dispositif électronique amont 12A associé à la donnée d’entrée A est donc différent du dispositif électronique amont 12B associé à la donnée d’entrée B. The upstream electronic device 12A associated with the input data A is therefore different from the upstream electronic device 12B associated with the input data B.
Chaque dispositif électronique amont 12A, 12B est notamment un capteur, par exemple une caméra ou un capteur de température. En variante, chaque dispositif électronique amont 12A, 12B est un autre système, notamment un autre système avionique. Each upstream electronic device 12A, 12B is in particular a sensor, for example a camera or a temperature sensor. As a variant, each upstream electronic device 12A, 12B is another system, in particular another avionic system.
Dans un mode de réalisation avantageux, les première et deuxième données d’entrée A, B sont de même type. Autrement dit, la nature des valeurs susceptibles d’être prises par les première et deuxièmes données sont identiques. In an advantageous embodiment, the first and second input data A, B are of the same type. In other words, the nature of the values likely to be taken by the first and second data are identical.
En particulier, ce type est choisi parmi le groupe consistant en : une image, un flux vidéo, une mesure d’un ou plusieurs paramètres de fonctionnement du système électronique, des données issues de capteurs, une commande d’un utilisateur du système électronique, un texte issu de notices d’informations ou de reconnaissance vocale. In particular, this type is chosen from the group consisting of: an image, a video stream, a measurement of one or more operating parameters of the electronic system, data from sensors, a command from a user of the electronic system, a text from information notices or voice recognition.
A titre d’exemple, les première et deuxième données d’entrée A, B sont des images de l’environnement de l’aéronef provenant de deux caméras embarquées différentes ou sont des commandes de vol issues de deux systèmes de pilotage différents redondés. By way of example, the first and second input data A, B are images of the environment of the aircraft coming from two different on-board cameras or are flight controls coming from two different redundant piloting systems.
En variante, les première et deuxième données d’entrée A, B sont de types différents. Alternatively, the first and second input data A, B are of different types.
A titre d’exemple, la première donnée d’entrée A est une image d’une piste d’atterrissage issue d’une caméra embarquée sur l’aéronef, et la deuxième donnée d’entrée B est une représentation numérique de la piste d’atterrissage issue d’une base de données géographique. Le système électronique 10 comprend un premier module de traitement 14, un deuxième module de traitement 16, un troisième module de traitement 18, un quatrième module de traitement 20 et un module de surveillance 22. By way of example, the first input data A is an image of a landing strip from a camera on board the aircraft, and the second input data B is a digital representation of the runway d landing from a geographic database. The electronic system 10 comprises a first processing module 14, a second processing module 16, a third processing module 18, a fourth processing module 20 and a monitoring module 22.
En complément facultatif, le système électronique 10 comprend en outre un module d’alerte 24, un module d’affichage 25 et un module d’inhibition 26. As an optional addition, the electronic system 10 further comprises an alert module 24, a display module 25 and an inhibition module 26.
Les premier, deuxième, troisième et quatrième modules de traitement 14, 16, 18, 20 sont par exemple embarqués chacun sur un calculateur électronique distinct respectif. The first, second, third and fourth processing modules 14, 16, 18, 20 are for example each embedded in a respective separate electronic computer.
Chaque calculateur électronique comprenant avantageusement sa propre alimentation électrique et sa propre unité de calcul. Le calculateur électronique est, par exemple, en forme d’un module électronique indépendant d’autre(s) module(s) électronique(s) et apte à être installé dans un rack, non représenté, ou encore en forme d’une carte électronique, indépendante d’autre(s) carte(s) électronique (s), et apte à être installée dans un coffret électronique. En variante, le calculateur électronique a son propre coffret électronique, et est alors le seul calculateur disposé à l’intérieur d’un boitier de protection associé au coffret. Each electronic computer advantageously comprising its own power supply and its own calculation unit. The electronic computer is, for example, in the form of an electronic module independent of other electronic module(s) and capable of being installed in a rack, not shown, or even in the form of a card electronic, independent of other electronic card(s), and able to be installed in an electronic cabinet. As a variant, the electronic computer has its own electronic box, and is then the only computer placed inside a protective box associated with the box.
Le premier module de traitement 14 est configuré pour calculer une première donnée intermédiaire S1A associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée A et d’un premier algorithme. The first processing module 14 is configured to calculate a first intermediate datum S1A associated with the implementation of the critical function according to the first input datum A and a first algorithm.
Le premier module de traitement 14 est en outre configuré pour envoyer la première donnée intermédiaire S1A au module de surveillance 22. The first processing module 14 is further configured to send the first intermediate data S1A to the monitoring module 22.
Le premier algorithme est par exemple un algorithme d’apprentissage automatique entrainé sur une première base de données de référence 30 comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique 10. The first algorithm is for example an automatic learning algorithm trained on a first reference database 30 comprising a plurality of reference data representative of the operation of the electronic system 10.
Lorsque le système électronique 10 est un système avionique, la première base de données de référence 30 est typiquement obtenue à partir de l’acquisition de commandes de vol, de paramètres de fonctionnement tels que la position, la vitesse, l’altitude et/ou les états de fonctionnements des différents systèmes d’au moins un aéronef de test en fonction du contexte lors d’une pluralité de vols dudit aéronef de test. Les vols de l’aéronef de test sont réalisés en simulateur de vol et/ou en conditions réelles. When the electronic system 10 is an avionic system, the first reference database 30 is typically obtained from the acquisition of flight commands, operating parameters such as position, speed, altitude and/or the operating states of the different systems of at least one test aircraft as a function of the context during a plurality of flights of said test aircraft. The flights of the test aircraft are carried out in a flight simulator and/or in real conditions.
La méthode d’apprentissage automatique se base, par exemple, sur un modèle utilisant une approche statistique afin d’améliorer les performances de cette méthode à résoudre des tâches sans être explicitement programmée pour chacune de ces tâches. L'apprentissage automatique comporte deux phases. La première phase consiste à définir un modèle à partir de données présentes dans la première base de données de référence 30, également appelées observations. L'estimation du modèle consiste typiquement à associer un résultat à chaque évènement rencontré dans la première base de données de référence 30. Cette phase dite d'apprentissage est généralement réalisée préalablement à l'utilisation pratique du modèle. La seconde phase correspond à l’utilisation en tant que telle du modèle : le modèle étant défini, des nouveaux évènements peuvent alors être soumis au modèle afin d'obtenir un résultat associé à ces nouveaux évènements. The automatic learning method is based, for example, on a model using a statistical approach in order to improve the performance of this method in solving tasks without being explicitly programmed for each of these tasks. Machine learning has two phases. The first phase consists in defining a model from data present in the first reference database 30, also called observations. Estimation of the model typically consists of associating a result to each event encountered in the first database of reference 30. This so-called learning phase is generally carried out prior to the practical use of the model. The second phase corresponds to the actual use of the model: the model being defined, new events can then be submitted to the model in order to obtain a result associated with these new events.
Le modèle d’apprentissage automatique comporte par exemple la mise en œuvre d’un réseau de neurones. Un réseau de neurones est en général composé d'une succession de couches dont chacune prend ses entrées sur les sorties de la précédente. Chaque couche est composée d’une pluralité de neurones, prenant leurs entrées sur les neurones de la couche précédente. À chaque synapse entre neurones est associée un poids synaptique, de sorte que les entrées reçues par un neurone sont multipliées par ce poids, puis additionnées par ledit neurone. Le réseau de neurones est optimisé grâce aux ajustements des différents poids synaptiques pendant la phase d’apprentissage en fonction des données présentes dans la première base de données de référence 30. The machine learning model includes, for example, the implementation of a neural network. A neural network is generally made up of a succession of layers, each of which takes its inputs from the outputs of the previous one. Each layer is composed of a plurality of neurons, taking their inputs from the neurons of the previous layer. Each synapse between neurons is associated with a synaptic weight, so that the inputs received by a neuron are multiplied by this weight, then added by said neuron. The neural network is optimized thanks to the adjustments of the different synaptic weights during the learning phase according to the data present in the first reference database 30.
En variante, le premier algorithme mis en œuvre par le premier module de traitement 14 est un algorithme évolutionnaire, aussi appelé algorithme évolutionniste. As a variant, the first algorithm implemented by the first processing module 14 is an evolutionary algorithm, also called an evolutionary algorithm.
De manière connue, un algorithme évolutionnaire est une méthode stochastique d'optimisation globale s’inspirant de l'évolution darwinienne des populations biologiques. En particulier, un algorithme évolutionnaire fait évoluer un ensemble de solutions, aussi appelées « individus », comprenant chacune un certain nombre de caractéristiques. A chaque individu est associée une fonction d’évaluation de la pertinence de cette solution. Un tel algorithme est conçu de sorte que plus la pertinence d'une solution est élevée, plus elle a de chances de transmettre ses caractéristiques au sein de la population. In a known way, an evolutionary algorithm is a stochastic method of global optimization inspired by the Darwinian evolution of biological populations. In particular, an evolutionary algorithm evolves a set of solutions, also called “individuals”, each comprising a certain number of characteristics. Each individual is associated with a function for evaluating the relevance of this solution. Such an algorithm is designed so that the higher the relevance of a solution, the more likely it is to transmit its characteristics among the population.
Après avoir initialisé une première génération d'individus, l’algorithme itère un nombre fini de fois, jusqu'à atteindre un critère d'arrêt, par exemple un nombre maximum de générations. Une première étape de sélection permet de séparer les individus qui participeront à la reproduction, de ceux qui n'y participeront pas. Les individus sélectionnés se « reproduisent », donnant un ensemble d'« enfants » partageant une partie des caractéristiques de leurs ascendants. Ces enfants subissent alors une étape de mutation, qui modifie aléatoirement certaines des caractéristiques. Les nouveaux individus sont alors évalués en calculant leur fonction d’évaluation respective. Enfin, un nombre d'individus est déterminé parmi l'ensemble des individus, pour former la génération suivante. After having initialized a first generation of individuals, the algorithm iterates a finite number of times, until reaching a stopping criterion, for example a maximum number of generations. A first stage of selection makes it possible to separate the individuals which will take part in the reproduction, from those which will not take part in it. The selected individuals "reproduce", giving a set of "children" sharing some of the characteristics of their ancestors. These children then undergo a stage of mutation, which randomly modifies some of the characteristics. The new individuals are then evaluated by calculating their respective evaluation function. Finally, a number of individuals is determined among all the individuals, to form the next generation.
Le deuxième module de traitement 16 est configuré pour calculer une deuxième donnée intermédiaire S1 B associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée B et du premier algorithme. La fonction critique est donc mise en œuvre par le deuxième module de traitement 16 avec le même algorithme que le premier module de traitement 14, mais avec une donnée d’entrée différente. The second processing module 16 is configured to calculate a second intermediate datum S1 B associated with the implementation of the critical function as a function of the second input datum B and of the first algorithm. The critical function is therefore implemented by the second processing module 16 with the same algorithm as the first processing module 14, but with different input data.
Le deuxième module de traitement 16 est en outre configuré pour envoyer la deuxième donnée intermédiaire S1 B au module de surveillance 22. The second processing module 16 is further configured to send the second intermediate data S1 B to the monitoring module 22.
Le troisième module de traitement 18 est configuré pour calculer une troisième donnée intermédiaire S2A associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée A et d’un deuxième algorithme, différent du premier algorithme. The third processing module 18 is configured to calculate a third intermediate datum S2A associated with the implementation of the critical function according to the first input datum A and a second algorithm, different from the first algorithm.
La fonction critique est donc mise en œuvre par le troisième module de traitement 18 avec la même donnée d’entrée que le premier module de traitement 14, mais avec un algorithme diffèrent. Aussi, la fonction critique est donc mise en œuvre par le troisième module de traitement 18 avec une donnée d’entrée différente et un algorithme différent du deuxième module de traitement 16. The critical function is therefore implemented by the third processing module 18 with the same input data as the first processing module 14, but with a different algorithm. Also, the critical function is therefore implemented by the third processing module 18 with different input data and a different algorithm from the second processing module 16.
Avantageusement, le deuxième algorithme est un deuxième algorithme d’apprentissage automatique entrainé sur une deuxième base de données de référence, ou bien un algorithme évolutionnaire évalué à partir de la deuxième base de données de référence, la deuxième base de données de référence comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique 10. Advantageously, the second algorithm is a second automatic learning algorithm trained on a second reference database, or else an evolutionary algorithm evaluated from the second reference database, the second reference database comprising a plurality reference data representative of the operation of the electronic system 10.
Le deuxième algorithme d’apprentissage automatique est différent du premier algorithme d’apprentissage automatique et/ou la deuxième base de données de référence est différente de la première base de données de référence 30. The second machine learning algorithm is different from the first machine learning algorithm and/or the second reference database is different from the first reference database 30.
Ainsi, l’homme du métier comprendra ainsi que le deuxième algorithme met en œuvre par exemple la même méthode d’apprentissage que le premier algorithme mais sur une base de données de référence différente ; ou encore que le deuxième algorithme est mis en œuvre différemment du premier algorithme sur une base de données de référence identique. Thus, those skilled in the art will thus understand that the second algorithm implements for example the same learning method as the first algorithm but on a different reference database; or that the second algorithm is implemented differently from the first algorithm on an identical reference database.
En variante, le deuxième algorithme est un algorithme de type différent de celui du premier algorithme. As a variant, the second algorithm is an algorithm of a different type from that of the first algorithm.
Par algorithme de type différent, on entend que le deuxième algorithme n’est pas un algorithme d’apprentissage automatique ou un algorithme évolutionnaire. By different type algorithm, it is meant that the second algorithm is not a machine learning algorithm or an evolutionary algorithm.
Selon cette variante, le deuxième algorithme est du type choisi parmi le groupe consistant par exemple en : un algorithme d’analyse d’images de type localisation et cartographie simultanées ; un algorithme suivant un arbre de décision ; un algorithme de parcours de graphe ; un algorithme de résolution d’équations, un algorithme basé sur un modèle physique, un algorithme de filtrage, notamment un filtre de Kalman ou un filtre de Wiener. According to this variant, the second algorithm is of the type chosen from the group consisting for example of: an image analysis algorithm of the simultaneous localization and mapping type; an algorithm following a decision tree; a graph traversal algorithm; an equation solving algorithm, an algorithm based on a physical model, a filtering algorithm, in particular a Kalman filter or a Wiener filter.
Le modèle physique est un ensemble d’équations décrivant le fonctionnement du système, les équations étant notamment établies par un homme du métier à partir de lois physiques, éventuellement simplifiées. The physical model is a set of equations describing the operation of the system, the equations being in particular established by a person skilled in the art from physical laws, possibly simplified.
Le troisième module de traitement 18 est en outre configuré pour envoyer la troisième donnée intermédiaire S2A au module de surveillance 22. The third processing module 18 is further configured to send the third intermediate datum S2A to the monitoring module 22.
Le quatrième module de traitement 20 est configuré pour calculer une quatrième donnée intermédiaire S2B associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée B et du deuxième algorithme. The fourth processing module 20 is configured to calculate a fourth intermediate datum S2B associated with the implementation of the critical function according to the second input datum B and the second algorithm.
La fonction critique est donc mise en œuvre par le quatrième module de traitement 20 avec une donnée d’entrée différente et un algorithme différent que le premier module de traitement 14. Egalement, la fonction critique est donc mise en œuvre par le quatrième module de traitement 20 avec la même donnée d’entrée que le deuxième module de traitement 16, mais avec un algorithme différent. Aussi, la fonction critique est donc mise en œuvre par le quatrième module de traitement 20 avec le même algorithme que le troisième module de traitement 18, mais avec une donnée d’entrée différente. The critical function is therefore implemented by the fourth processing module 20 with different input data and a different algorithm than the first processing module 14. Also, the critical function is therefore implemented by the fourth processing module 20 with the same input data as the second processing module 16, but with a different algorithm. Also, the critical function is therefore implemented by the fourth processing module 20 with the same algorithm as the third processing module 18, but with different input data.
Le quatrième module de traitement 20 est en outre configuré pour envoyer la quatrième donnée intermédiaire S2B au module de surveillance 22. The fourth processing module 20 is further configured to send the fourth intermediate datum S2B to the monitoring module 22.
Le module de surveillance 22 est configuré pour recevoir les première, deuxième, troisième et quatrième données intermédiaires S1 A, S1 B, S2A, S2B. The monitoring module 22 is configured to receive the first, second, third and fourth intermediate data S1 A, S1 B, S2A, S2B.
Le module de surveillance 22 est en outre configuré comparer, parmi les première, deuxième, troisième et quatrième données intermédiaires S1A, S1 B, S2A, S2B, deux à deux celles qui sont obtenues en fonction de la même donnée d’entrée ou en fonction du même algorithme, afin de détecter au moins une éventuelle incohérence entre ces données intermédiaires obtenues en fonction d’une même donnée d’entrée A, B ou en fonction d’un même algorithme. The monitoring module 22 is further configured to compare, among the first, second, third and fourth intermediate data S1A, S1B, S2A, S2B, two by two those which are obtained as a function of the same input data or as a function of the same algorithm, in order to detect at least one possible inconsistency between these intermediate data obtained according to the same input datum A, B or according to the same algorithm.
Ainsi, le module de surveillance 22 compare par exemple entre elles la première donnée intermédiaire S1A avec la deuxième donnée intermédiaire S1 B, ces données intermédiaires étant obtenues en fonction du même premier algorithme. Thus, the monitoring module 22 compares, for example, the first intermediate data S1A with the second intermediate data S1B, these intermediate data being obtained according to the same first algorithm.
Le module de surveillance 22 compare, en complément ou en variante, entre elles la première donnée intermédiaire S1A avec la troisième donnée intermédiaire S2A, ces données intermédiaires étant obtenues en fonction de la même première donnée d’entrée A. The monitoring module 22 compares, in addition or as a variant, the first intermediate datum S1A with the third intermediate datum S2A, these intermediate data being obtained as a function of the same first input datum A.
Le module de surveillance 22 compare, en complément ou en variante, entre elles la deuxième donnée intermédiaire S1 B avec la quatrième donnée intermédiaire S2B, ces données intermédiaires étant obtenues en fonction de la même deuxième donnée d’entrée B. The monitoring module 22 compares, in addition or as a variant, between them the second intermediate data S1 B with the fourth intermediate data S2B, these intermediate data being obtained as a function of the same second input data B.
Le module de surveillance 22 compare, en complément ou en variante, entre elles la troisième donnée intermédiaire S2A avec la quatrième donnée intermédiaire S2B, ces données intermédiaires étant obtenues en fonction du même deuxième algorithme. The monitoring module 22 compares, in addition or as a variant, between them the third intermediate datum S2A with the fourth intermediate datum S2B, these intermediate data being obtained according to the same second algorithm.
La comparaison entre deux données intermédiaires S1 A, S1 B, S2A, S2B détermine si ces deux données intermédiaires sont cohérentes entre elles ou non selon une règle de cohérence prédéterminée. The comparison between two intermediate data S1 A, S1 B, S2A, S2B determines whether these two intermediate data are mutually consistent or not according to a predetermined consistency rule.
La règle de cohérence définit un critère sur le résultat de la comparaison permettant de définir si les données intermédiaires sont cohérentes entre elles. The consistency rule defines a criterion on the result of the comparison making it possible to define whether the intermediate data is consistent with each other.
Typiquement, si les données intermédiaires sont des valeurs numériques, la règle de cohérence définit un calcul de distance entre les données, par exemple la valeur absolue de la différence, et un seuil de cohérence. Les données intermédiaires sont alors cohérentes entre elles si la distance entre les valeurs est inférieure au seuil de cohérence. Typically, if the intermediate data are numerical values, the consistency rule defines a calculation of the distance between the data, for example the absolute value of the difference, and a consistency threshold. The intermediate data is then consistent with each other if the distance between the values is less than the consistency threshold.
A titre d’exemple, deux données intermédiaires représentant des consignes de vitesse de l’aéronef présentant une différence de valeur de plus de 10% sont considérées comme incohérentes entre elles. By way of example, two intermediate data representing aircraft speed instructions having a difference in value of more than 10% are considered to be inconsistent with each other.
En variante, si les données intermédiaires ne sont pas des valeurs numériques, la règle de cohérence définit des classes de cohérence, les données intermédiaires étant cohérentes entre elles si elles sont identiques ou si elles appartiennent à la même classe. As a variant, if the intermediate data are not numerical values, the consistency rule defines consistency classes, the intermediate data being mutually consistent if they are identical or if they belong to the same class.
A titre d’exemple, une donnée intermédiaire associée à la détection d’un objet « piste d’atterrissage » est cohérente avec une donnée intermédiaire associée à la détection d’un objet « tour de contrôle », car les deux données appartiennent à une même classe « aéroport» By way of example, intermediate data associated with the detection of an "airstrip" object is consistent with intermediate data associated with the detection of a "control tower" object, because the two data belong to a same class "airport"
Le module de surveillance 22 est en outre configuré pour délivrer la donnée de sortie consolidée C en fonction des première, deuxième, troisième et quatrième données intermédiaires S1 A, S1 B, S2A, S2B. The monitoring module 22 is further configured to deliver the consolidated output data C as a function of the first, second, third and fourth intermediate data S1 A, S1 B, S2A, S2B.
En particulier, la donnée de sortie consolidée C est déterminée en fonction d’une règle prédéterminée associant, à chaque combinaison de résultats des comparaisons entre les données intermédiaires S1A, S1 B, S2A, S2B, une unique combinaison de données intermédiaires S1 A, S1 B, S2A, S2B. [Table 1]
Figure imgf000014_0001
In particular, the consolidated output data C is determined according to a predetermined rule associating, with each combination of results of the comparisons between the intermediate data S1A, S1 B, S2A, S2B, a unique combination of intermediate data S1 A, S1 B, S2A, S2B. [Table 1]
Figure imgf000014_0001
Le tableau 1 ci-dessus présente une liste d’uniques combinaisons prédéfinies de données intermédiaires S1 A, S1 B, S2A, S2B en fonction des résultats des comparaisons entre lesdites données intermédiaires S1A, S1 B, S2A, S2B. Lorsque les données intermédiaires S1 A, S1 B, S2A, S2B sont déterminées comme étant cohérentes, le résultat est noté « OK » dans le tableau 1 et lorsque les données intermédiaires S1 A, S1 B, S2A, S2B sont déterminées comme n’étant pas cohérentes, le résultat est noté « KO ». Lorsque le résultat de la comparaison n’est pas pris en considération dans la détermination de la combinaison, la case correspondante du tableau 1 est notée « NA ». Ainsi, lorsque le module de surveillance 22 détermine que toutes les comparaisons effectuées entre les données intermédiaires S1A, S1 B, S2A, S2B sont cohérentes, la combinaison associée est l’ensemble des données intermédiaires S1 A, S1 B, S2A, S2B. Table 1 above presents a list of unique predefined combinations of intermediate data S1A, S1B, S2A, S2B according to the results of the comparisons between said intermediate data S1A, S1B, S2A, S2B. When the intermediate data S1 A, S1 B, S2A, S2B are determined to be consistent, the result is noted "OK" in Table 1 and when the intermediate data S1 A, S1 B, S2A, S2B are determined not to be not consistent, the result is marked "KO". When the result of the comparison is not taken into consideration in the determination of the combination, the corresponding cell of table 1 is denoted “NA”. Thus, when the monitoring module 22 determines that all the comparisons made between the intermediate data S1A, S1B, S2A, S2B are consistent, the associated combination is the set of intermediate data S1A, S1B, S2A, S2B.
Lorsque la comparaison entre la première donnée intermédiaire S1 A et la deuxième donnée intermédiaire S1 B n’est pas cohérente ; que la comparaison entre la troisième donnée intermédiaire S2A et la quatrième donnée intermédiaire S2B n’est pas cohérente ; et que la comparaison entre la deuxième donnée intermédiaire S1 B et la quatrième donnée intermédiaire S2B est en revanche cohérente, la combinaison associée est la deuxième donnée intermédiaire S1 B et la quatrième donnée intermédiaire S2B, sans prendre en compte le résultat de la comparaison entre la première donnée intermédiaire S1 A et la troisième donnée intermédiaire S2A. When the comparison between the first intermediate data S1 A and the second intermediate data S1 B is not consistent; that the comparison between the third intermediate datum S2A and the fourth intermediate datum S2B is not consistent; and that the comparison between the second intermediate data S1 B and the fourth intermediate data S2B is on the other hand coherent, the associated combination is the second intermediate data S1 B and the fourth intermediate data S2B, without taking into account the result of the comparison between the first intermediate datum S1 A and the third intermediate datum S2A.
L’homme du métier comprendra qu’au moins une comparaison doit être cohérente afin d’obtenir une combinaison associée. Those skilled in the art will understand that at least one comparison must be consistent in order to obtain a related combination.
Le module de surveillance 22 est en outre configuré pour déterminer la donnée de sortie consolidée C à partir de l’unique combinaison. The monitoring module 22 is further configured to determine the consolidated output data C from the unique combination.
Dans un mode de réalisation, la donnée de sortie consolidée C est égale à l’une des données intermédiaires de l’unique combinaison résultant de la règle prédéterminée. In one embodiment, the consolidated output data C is equal to one of the intermediate data of the unique combination resulting from the predetermined rule.
Par exemple, lorsque la combinaison associée est l’ensemble des données intermédiaires S1A, S1 B, S2A, S2B, la donnée de sortie consolidée C est égale à la première sortie intermédiaire S1A. La sortie du système 10 est alors bien consolidée par le fait que, dans cet exemple, les quatre combinaisons sont cohérentes. La confiance dans la sortie égale à la première sortie intermédiaire S1A est bien plus élevée que si la sortie avait uniquement été calculée par le premier module de traitement 14 sans aucune comparaison. For example, when the associated combination is the set of intermediate data S1A, S1 B, S2A, S2B, the consolidated output data C is equal to the first intermediate output S1A. The output of the system 10 is then well consolidated by the fact that, in this example, the four combinations are coherent. The confidence in the output equal to the first intermediate output S1A is much higher than if the output had only been calculated by the first processing module 14 without any comparison.
En variante, le module de surveillance 22 applique une formule mathématique aux données intermédiaires de la combinaison pour obtenir la donnée de sortie consolidée C. Par exemple, le module de surveillance 22 effectue une moyenne des données intermédiaires de la combinaison. As a variant, the monitoring module 22 applies a mathematical formula to the intermediate data of the combination to obtain the consolidated output data C. For example, the monitoring module 22 performs an average of the intermediate data of the combination.
Le module d’alerte 24 est configuré pour générer un signal d’alerte en fonction de chaque incohérence détectée par le module de surveillance 22, le signal d’alerte comportant une alerte relative à une défaillance d’un élément du système 10. The alert module 24 is configured to generate an alert signal according to each inconsistency detected by the monitoring module 22, the alert signal comprising an alert relating to a failure of an element of the system 10.
L’élément est choisi parmi le groupe consistant en : l’un des dispositifs électroniques amonts 12A, 12B, l’un des algorithmes et l’un des calculateurs électroniques. The element is chosen from the group consisting of: one of the upstream electronic devices 12A, 12B, one of the algorithms and one of the electronic computers.
En particulier, le module d’alerte 24 est configuré pour associer la combinaison de données intermédiaires déterminée par le module de surveillance 22 à une unique défaillance d’un élément du système 10. [Table 2]
Figure imgf000016_0001
In particular, the alert module 24 is configured to associate the combination of intermediate data determined by the monitoring module 22 with a single failure of an element of the system 10. [Table 2]
Figure imgf000016_0001
Le tableau 2 ci-dessus présente l’unique défaillance détectée en fonction du résultat des comparaisons entre lesdites données intermédiaires S1A, S1 B, S2A, S2B. Ainsi, le signal d’alerte comporte une alerte relative à la défaillance d’un élément choisi parmi le groupe consistant en : Table 2 above presents the single failure detected according to the result of the comparisons between said intermediate data S1A, S1B, S2A, S2B. Thus, the alert signal includes an alert relating to the failure of an element chosen from the group consisting of:
- l’un des dispositifs électroniques amonts 12A, 12B lorsqu'une incohérence est détectée entre les deux données intermédiaires S1A, S1 B, S2A, S2B obtenues en fonction du même algorithme et que les deux données intermédiaires S1A, S1 B, S2A, S2B obtenues en fonction de la même donnée d’entrée A, B issue de l’autre dispositif électronique amont 12A, 12B sont cohérentes entre elles ; - one of the upstream electronic devices 12A, 12B when an inconsistency is detected between the two intermediate data S1A, S1 B, S2A, S2B obtained according to the same algorithm and the two intermediate data S1A, S1 B, S2A, S2B obtained as a function of the same input datum A, B from the other upstream electronic device 12A, 12B are mutually consistent;
- le premier algorithme lorsqu'une incohérence est détectée entre les deux données intermédiaires S1A, S1 B, S2A, S2B obtenues en fonction du premier algorithme et que les deux données intermédiaires S1A, S1 B, S2A, S2B obtenues à partir du deuxième algorithme sont cohérentes entre elles ; - the first algorithm when an inconsistency is detected between the two intermediate data S1A, S1 B, S2A, S2B obtained according to the first algorithm and that the two intermediate data S1A, S1B, S2A, S2B obtained from the second algorithm are mutually consistent;
- le deuxième algorithme lorsqu'une incohérence est détectée entre les deux données intermédiaires S1A, S1 B, S2A, S2B obtenues en fonction du deuxième algorithme et que les deux données intermédiaires S1A, S1 B, S2A, S2B obtenues en fonction du premier algorithme sont cohérentes entre elles ; et - the second algorithm when an inconsistency is detected between the two intermediate data S1A, S1 B, S2A, S2B obtained according to the second algorithm and the two intermediate data S1A, S1 B, S2A, S2B obtained according to the first algorithm are consistent with each other; and
- l’un des calculateurs électroniques lorsqu’une incohérence est détectée à chaque comparaison de la donnée intermédiaire S1A, S1 B, S2A, S2B associée audit calculateur électronique avec l’une des autres données intermédiaires S1 A, S1 B, S2A, S2B. - one of the electronic computers when an inconsistency is detected each time the intermediate data S1A, S1 B, S2A, S2B associated with said electronic computer is compared with one of the other intermediate data S1 A, S1 B, S2A, S2B.
Optionnellement, le module d’affichage 25 est configuré pour afficher l’alerte à destination d’un utilisateur du système électronique 10. Optionally, the display module 25 is configured to display the alert intended for a user of the electronic system 10.
En particulier, lorsque le système 10 est un système avionique, le module d’affichage 25 est configuré pour afficher l’alerte sur un écran d’affichage tête basse ou un écran d’affichage tête haute devant le pilote qui prend alors en compte la défaillance détectée. In particular, when the system 10 is an avionic system, the display module 25 is configured to display the alert on a head-down display screen or a head-up display screen in front of the pilot who then takes into account the failure detected.
Le module d’inhibition 26 est configuré pour inhiber le fonctionnement d’au moins l’un des modules de traitement parmi les premier, deuxième, troisième et quatrième modules de traitement 14, 16, 18, 20 en fonction au moins d’un paramètre de fonctionnement du système électronique 10. The inhibition module 26 is configured to inhibit the operation of at least one of the processing modules among the first, second, third and fourth processing modules 14, 16, 18, 20 according to at least one parameter operation of the electronic system 10.
Chaque paramètre de fonctionnement est une donnée caractéristique du fonctionnement du système 10. Les paramètres de fonctionnement sont par exemple l’altitude de l’aéronef, la position géographique de l’aéronef, la vitesse de l’aéronef, l’état de marche des différents systèmes de l’aéronef, des conditions météorologiques, etc. Each operating parameter is data characteristic of the operation of the system 10. The operating parameters are for example the altitude of the aircraft, the geographical position of the aircraft, the speed of the aircraft, the operating status of the different aircraft systems, weather conditions, etc.
A titre d’exemple, lorsque la fonction critique est la détection de la piste d’atterrissage par des caméras embarquées dans l’aéronef, le module d’inhibition 26 est propre à inhiber les premier et deuxième modules de traitement 14, 16 ou les troisième et quatrième modules de traitement 18, 20 lorsque la distance entre l’aéronef et l’aéroport est supérieure à une distance prédéterminée. Le module d’inhibition 26 permet ainsi également d’activer les modules de traitement 14, 16, 18, 20 uniquement que lorsque ces derniers sont dans leur domaine de fonctionnement prévu, et de les inhiber sinon. On entend par domaine de fonctionnement prévu d’un module de traitement, une plage de fonctionnement du système définie notamment par au moins un intervalle de l’un des paramètres de fonctionnement et dans lequel le module de traitement est configuré pour fonctionner de manière adéquate, par exemple lors de l’atterrissage. Le module d’inhibition 26 permet ainsi d’inhiber les quatre comparaisons entre données intermédiaires lorsque le risque pour la sécurité associée à la mise en œuvre de la fonction critique n’est pas élevé et afin d’éviter des fausses alertes. By way of example, when the critical function is the detection of the landing strip by cameras on board the aircraft, the inhibition module 26 is suitable for inhibiting the first and second processing modules 14, 16 or the third and fourth processing modules 18, 20 when the distance between the aircraft and the airport is greater than a predetermined distance. The inhibition module 26 thus also makes it possible to activate the processing modules 14, 16, 18, 20 only when the latter are in their intended operating range, and to inhibit them otherwise. The term “expected operating range of a processing module” means an operating range of the system defined in particular by at least one interval of one of the operating parameters and in which the processing module is configured to operate adequately, for example when landing. The inhibition module 26 thus makes it possible to inhibit the four comparisons between intermediate data when the security risk associated with the implementation of the critical function is not high and in order to avoid false alarms.
Dans l’exemple de la figure 1, le système électronique 10 comprend une unité de traitement d’informations 50 formée par exemple d’une mémoire 52 et d’un processeur 54 associé à la mémoire 52. Le premier module de traitement 14, le deuxième module de traitement 16, le troisième module de traitement 18, le quatrième module de traitement 20 et le module de surveillance 22, et en complément facultatif, le module d’alerte 24, le module d’affichage 25 et le module d’inhibition 26, sont réalisés chacun sous forme d’un logiciel, ou d’une brique logicielle, exécutables par le processeur 54. La mémoire 52 est alors apte à stocker un premier logiciel de traitement, un deuxième logiciel de traitement, un troisième logiciel de traitement, un quatrième logiciel de traitement et un logiciel de surveillance, et en complément facultatif, un logiciel d’alerte, un logiciel d’affichage et un logiciel d’inhibition. Le processeur 54 est alors apte à exécuter chacun de ces logiciels. In the example of FIG. 1, the electronic system 10 comprises an information processing unit 50 formed for example of a memory 52 and a processor 54 associated with the memory 52. The first processing module 14, the second processing module 16, the third processing module 18, the fourth processing module 20 and the monitoring module 22, and as an optional addition, the alert module 24, the display module 25 and the inhibition module 26, are each produced in the form of software, or a software brick, executable by the processor 54. The memory 52 is then able to store a first processing software, a second processing software, a third processing software , a fourth processing software and a monitoring software, and in optional addition, an alert software, a display software and an inhibition software. The processor 54 is then capable of executing each of these software programs.
En variante non représentée, le premier module de traitement 14, le deuxième module de traitement 16, le troisième module de traitement 18, le quatrième module de traitement 20 et le module de surveillance 22, et en complément facultatif, le module d’alerte 24, le module d’affichage 25 et le module d’inhibition 26, sont réalisés chacun sous forme d’un composant logique programmable, tel qu’un FPGA (de l’anglais Field Programmable Gate Array), ou encore sous forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglais Application Specific Integrated Circuit). Le premier module de traitement 14, le deuxième module de traitement 16, le troisième module de traitement 18, le quatrième module de traitement 20 sont alors de préférence embarqués chacun sur un calculateur électronique respectif. In a variant not shown, the first processing module 14, the second processing module 16, the third processing module 18, the fourth processing module 20 and the monitoring module 22, and as an optional addition, the alert module 24 , the display module 25 and the inhibition module 26, are each made in the form of a programmable logic component, such as an FPGA (Field Programmable Gate Array), or else in the form of a dedicated integrated circuit, such as an ASIC (Application Specific Integrated Circuit). The first processing module 14, the second processing module 16, the third processing module 18, the fourth processing module 20 are then preferably each embedded in a respective electronic computer.
Lorsque le système électronique 10 est réalisé sous forme d’un ou plusieurs logiciels, c’est-à-dire sous forme d’un programme d’ordinateur, il est en outre apte à être enregistré sur un support, non représenté, lisible par ordinateur. Le support lisible par ordinateur est par exemple, un médium apte à mémoriser les instructions électroniques et à être couplé à un bus d’un système informatique. A titre d’exemple, le support lisible est un disque optique, un disque magnéto-optique, une mémoire ROM, une mémoire RAM, tout type de mémoire non-volatile (par exemple EPROM, EEPROM, FLASH, NVRAM), une carte magnétique ou une carte optique. Sur le support lisible est alors mémorisé un programme d’ordinateur comportant des instructions logicielles. When the electronic system 10 is produced in the form of one or more software, that is to say in the form of a computer program, it is also capable of being recorded on a medium, not shown, readable by computer. The computer-readable medium is, for example, a medium capable of storing electronic instructions and of being coupled to a bus of a computer system. By way of example, the readable medium is an optical disc, a magneto-optical disc, a ROM memory, a RAM memory, any type of non-volatile memory (for example EPROM, EEPROM, FLASH, NVRAM), a magnetic card or an optical card. On the readable medium is then stored a computer program comprising software instructions.
Le fonctionnement du système électronique 10 selon l’invention va désormais être expliqué à l’aide de la figure 2 représentant un organigramme du procédé, selon l’invention, de mise en œuvre d’une fonction critique par le système 10. Par la suite, un exemple de mise en œuvre du procédé va être décrite pour un système avionique, mais l’homme du métier comprendra que ce procédé s’applique de manière semblable et plus généralement à tout système électronique 10. The operation of the electronic system 10 according to the invention will now be explained with the aid of FIG. 2 representing a flowchart of the method, according to the invention, for implementing a critical function by the system 10. Subsequently, an example of implementation of the method will be described for an avionic system, but those skilled in the art will understand that this method applies in a similar way and more generally to any electronic system 10.
Initialement, l’aéronef est par exemple en train de voler en direction d’un aéroport.Initially, the aircraft is, for example, flying towards an airport.
Le système avionique 10 met alors en œuvre une fonction critique avionique, comme par exemple la détection de la piste d’atterrissage. The avionic system 10 then implements a critical avionic function, such as for example the detection of the landing strip.
Lors d’une étape initiale optionnelle 100, le module d’inhibition 26 inhibe le fonctionnement des troisième et quatrième modules de traitement 18, 20 en fonction au moins d’un paramètre de fonctionnement du système électronique 10. During an optional initial step 100, the inhibition module 26 inhibits the operation of the third and fourth processing modules 18, 20 according to at least one operating parameter of the electronic system 10.
Par exemple, le module d’inhibition 26 inhibe le fonctionnement des troisième et quatrième modules de traitement 18, 20 tant que la distance entre l’aéronef et l’aéroport est supérieure à une distance prédéterminée. For example, the inhibition module 26 inhibits the operation of the third and fourth processing modules 18, 20 as long as the distance between the aircraft and the airport is greater than a predetermined distance.
Ainsi, lorsque la distance entre l’aéronef et l’aéroport devient inférieure à la distance prédéterminée, le module d’inhibition 26 stoppe l’inhibition du fonctionnement des troisième et quatrième modules de traitement 18, 20. Thus, when the distance between the aircraft and the airport becomes less than the predetermined distance, the inhibition module 26 stops the inhibition of the operation of the third and fourth processing modules 18, 20.
Lors d’une étape 110, le premier module de traitement 14 calcule la première donnée intermédiaire S1A associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée A et du premier algorithme. During a step 110, the first processing module 14 calculates the first intermediate datum S1A associated with the implementation of the critical function according to the first input datum A and the first algorithm.
Lors d’une étape 120, le deuxième module de traitement 16 calcule la deuxième donnée intermédiaire S1 B associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée B et du premier algorithme. During a step 120, the second processing module 16 calculates the second intermediate datum S1 B associated with the implementation of the critical function according to the second input datum B and the first algorithm.
Lors d’une étape 130, le troisième module de traitement 18 calcule la troisième donnée intermédiaire S2A associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée A et du deuxième algorithme. During a step 130, the third processing module 18 calculates the third intermediate datum S2A associated with the implementation of the critical function according to the first input datum A and the second algorithm.
Lors d’une étape 140, le quatrième module de traitement 20 calcule la quatrième donnée intermédiaire S2B associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée B et du deuxième algorithme. During a step 140, the fourth processing module 20 calculates the fourth intermediate datum S2B associated with the implementation of the critical function according to the second input datum B and the second algorithm.
Les étapes 110, 120, 130 et 140 sont réalisées indépendamment l’une de l’autre, en même temps ou bien successivement dans un ordre quelconque. Steps 110, 120, 130 and 140 are carried out independently of one another, at the same time or else successively in any order.
Le module de surveillance 22 reçoit ensuite, lors d’une étape 150, les première, deuxième, troisième et quatrième données intermédiaires S1A, S1 B, S2A, S2B puis compare, parmi les première, deuxième, troisième et quatrième données intermédiaires S1A, S1 B, S2A, S2B, deux à deux celles qui sont obtenues en fonction de la même donnée d’entrée A, B ou en fonction du même algorithme, afin de détecter au moins une éventuelle incohérence entre ces données intermédiaires obtenues en fonction d’une même donnée d’entrée A, B ou en fonction d’un même algorithme. Lorsqu’une incohérence est détectée, lors d’une étape 160, le module d’alerte 24 génère un signal d’alerte en fonction de chaque incohérence détectée par le module de surveillance 22, le signal d’alerte comportant une alerte relative à une défaillance d’un élément du système 10. The monitoring module 22 then receives, during a step 150, the first, second, third and fourth intermediate data S1A, S1B, S2A, S2B then compares, among the first, second, third and fourth intermediate data S1A, S1 B, S2A, S2B, two by two those which are obtained according to the same input data A, B or according to the same algorithm, in order to detect at least a possible inconsistency between these intermediate data obtained according to a same input data A, B or according to the same algorithm. When an inconsistency is detected, during a step 160, the alert module 24 generates an alert signal according to each inconsistency detected by the monitoring module 22, the alert signal comprising an alert relating to a failure of a system component 10.
Optionnellement, lors d’une étape 170, le module d’affichage 25 affiche l’alerte à destination d’un utilisateur du système électronique 10, notamment du pilote de l’aéronef. Optionally, during a step 170, the display module 25 displays the alert intended for a user of the electronic system 10, in particular the pilot of the aircraft.
Puis, lors d’une étape 180, le module de surveillance 22 délivre la donnée de sortie consolidée C en fonction des première, deuxième, troisième et quatrième données intermédiaires S1A, S1 B, S2A, S2B. Then, during a step 180, the monitoring module 22 delivers the consolidated output data C according to the first, second, third and fourth intermediate data S1A, S1B, S2A, S2B.
On conçoit alors que la présente invention présente un certain nombre d’avantages.It can then be seen that the present invention has a certain number of advantages.
En effet, les premier et deuxième modules de traitement 14, 16 permettent de fournir des données intermédiaires obtenues notamment par une méthode d’apprentissage automatique entrainée sur la première base de données de référence 30 et/ou un algorithme évolutionnaire évalué à partir de la première base de données de référence 30, et ainsi permettent d’améliorer la performance du système 10. En effet, les premier et deuxième modules de traitement 14, 16 permettent d’obtenir des données intermédiaires éventuellement différentes des données présentes dans la première base de données de référence 30, et permettent donc de s’adapter à des évènements nouveaux et inattendus rencontrés par le système électronique 10 lors de son exploitation. Indeed, the first and second processing modules 14, 16 make it possible to provide intermediate data obtained in particular by an automatic learning method trained on the first reference database 30 and/or an evolutionary algorithm evaluated from the first reference database 30, and thus make it possible to improve the performance of the system 10. Indeed, the first and second processing modules 14, 16 make it possible to obtain intermediate data possibly different from the data present in the first database reference 30, and therefore make it possible to adapt to new and unexpected events encountered by the electronic system 10 during its operation.
En outre, la mise en œuvre de la fonction critique par les troisième et quatrième modules de traitement 18, 20, ainsi que les comparaisons effectuées par le module de surveillance 22, permettent d’obtenir une sortie consolidée C en prenant en compte les éventuelles incohérences détectées. In addition, the implementation of the critical function by the third and fourth processing modules 18, 20, as well as the comparisons carried out by the monitoring module 22, make it possible to obtain a consolidated output C by taking into account any inconsistencies. detected.
Enfin, le système 10 selon l’invention permet de détecter trois types de défaillances, à savoir une défaillance due aux données d’entrée A, B, une défaillance due à la mise en œuvre des algorithmes et une défaillance due à une défaillance matérielle d’un calculateur électronique, et d’alerter le cas échéant l’utilisateur de cette défaillance. Finally, the system 10 according to the invention makes it possible to detect three types of failures, namely a failure due to the input data A, B, a failure due to the implementation of the algorithms and a failure due to a hardware failure d an electronic computer, and to alert the user of this failure if necessary.
Ainsi, l’invention permet d’obtenir un système électronique 10 performant tout en étant suffisamment sûr, notamment au regard des exigences de sécurité dans le domaine avionique. Thus, the invention makes it possible to obtain a high-performance electronic system 10 while being sufficiently safe, in particular with regard to safety requirements in the avionics field.

Claims

REVENDICATIONS
1. Système électronique (10) configuré pour mettre en œuvre une fonction critique, le système électronique (10) étant propre à recevoir des première et deuxième données d’entrée (A, B) et à délivrer une donnée de sortie consolidée (C) associée à ladite fonction critique, le système électronique (10) comprenant : 1. Electronic system (10) configured to implement a critical function, the electronic system (10) being able to receive first and second input data (A, B) and to deliver consolidated output data (C) associated with said critical function, the electronic system (10) comprising:
- un premier module de traitement (14) configuré pour calculer une première donnée intermédiaire (S1A) associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée (A) et d’un premier algorithme, le premier algorithme étant un algorithme d’apprentissage automatique entrainé sur une première base de données de référence (30) ou un algorithme évolutionnaire évalué à partir de la première base de données de référence (30), la première base de données de référence (30) comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique (10), - a first processing module (14) configured to calculate a first intermediate datum (S1A) associated with the implementation of the critical function as a function of the first input datum (A) and of a first algorithm, the first algorithm being a machine learning algorithm trained on a first reference database (30) or an evolutionary algorithm evaluated from the first reference database (30), the first reference database (30) comprising a plurality of reference data representative of the operation of the electronic system (10),
- un deuxième module de traitement (16) configuré pour calculer une deuxième donnée intermédiaire (S1 B) associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée (B) et du premier algorithme, la deuxième donnée d’entrée (B) étant différente de la première donnée d’entrée (A), - a second processing module (16) configured to calculate a second intermediate datum (S1 B) associated with the implementation of the critical function as a function of the second input datum (B) and of the first algorithm, the second datum input (B) being different from the first input data (A),
- un troisième module de traitement (18) configuré pour calculer une troisième donnée intermédiaire (S2A) associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée (A) et d’un deuxième algorithme, le deuxième algorithme étant différent du premier algorithme, - a third processing module (18) configured to calculate a third intermediate datum (S2A) associated with the implementation of the critical function according to the first input datum (A) and a second algorithm, the second algorithm being different from the first algorithm,
- un quatrième module de traitement (20) configuré pour calculer une quatrième donnée intermédiaire (S2B) associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée (B) et du deuxième algorithme, - a fourth processing module (20) configured to calculate a fourth intermediate datum (S2B) associated with the implementation of the critical function according to the second input datum (B) and the second algorithm,
- un module de surveillance (22) configuré pour recevoir les première, deuxième, troisième et quatrième données intermédiaires (S1A, S1 B, S2A, S2B), puis pour comparer, parmi les première, deuxième, troisième et quatrième données intermédiaires (S1A, S1 B, S2A, S2B), deux à deux celles qui sont obtenues en fonction de la même donnée d’entrée (A, B) ou en fonction du même algorithme, afin de détecter au moins une éventuelle incohérence, le module de surveillance (22) étant configuré pour délivrer la donnée de sortie consolidée (C) en fonction des première, deuxième, troisième et quatrième données intermédiaires (S1 A, S1 B, S2A, S2B). - a monitoring module (22) configured to receive the first, second, third and fourth intermediate data (S1A, S1 B, S2A, S2B), then to compare, among the first, second, third and fourth intermediate data (S1A, S1 B, S2A, S2B), two by two those which are obtained according to the same input data (A, B) or according to the same algorithm, in order to detect at least one possible inconsistency, the monitoring module ( 22) being configured to deliver the consolidated output data (C) according to the first, second, third and fourth intermediate data (S1 A, S1 B, S2A, S2B).
2. Système (10) selon la revendication 1 , dans lequel la donnée de sortie consolidée (C) est déterminée en fonction d’une règle prédéterminée associant, à chaque combinaison de résultats desdites comparaisons entre les données intermédiaires (S1A, S1 B, S2A, S2B), une unique combinaison de données intermédiaires (S1A, S1 B, S2A, S2B), la donnée de sortie consolidée (C) étant déterminée à partir de ladite unique combinaison. 2. System (10) according to claim 1, in which the consolidated output data (C) is determined according to a predetermined rule associating, with each combination of results of said comparisons between the intermediate data (S1A, S1B, S2A , S2B), a single combination of intermediate data (S1A, S1 B, S2A, S2B), the consolidated output data (C) being determined from said single combination.
3. Système (10) selon la revendication 1 ou 2, dans lequel les premier, deuxième, troisième et quatrième modules de traitement (14, 16, 18, 20) sont embarqués chacun sur un calculateur électronique distinct respectif, le calculateur électronique comprenant avantageusement sa propre alimentation électrique et sa propre unité de calcul. 3. System (10) according to claim 1 or 2, in which the first, second, third and fourth processing modules (14, 16, 18, 20) are each embedded in a respective separate electronic computer, the electronic computer advantageously comprising its own power supply and its own computing unit.
4. Système (10) selon la revendication 3, dans lequel chaque donnée d’entrée (A, B) est fournie par un dispositif électronique amont (12A, 12B) respectif, notamment par un capteur respectif, le système (10) comprenant en outre un module d’alerte (24) configuré pour générer un signal d’alerte en fonction de chaque incohérence détectée par le module de surveillance (22), le signal d’alerte comportant une alerte relative à la défaillance d’un élément choisi parmi le groupe consistant en : 4. System (10) according to claim 3, in which each input datum (A, B) is provided by a respective upstream electronic device (12A, 12B), in particular by a respective sensor, the system (10) comprising in in addition to an alert module (24) configured to generate an alert signal as a function of each inconsistency detected by the monitoring module (22), the alert signal comprising an alert relating to the failure of an element chosen from the group consisting of:
- l’un des dispositifs électroniques amonts (12A, 12B) lorsqu'une incohérence est détectée entre les deux données intermédiaires (S1A, S1 B, S2A, S2B) obtenues en fonction du même algorithme et que les deux données intermédiaires (S1A, S1 B, S2A, S2B) obtenues en fonction de la même donnée d’entrée (A, B) issue de l’autre dispositif électronique amont (12A, 12B) sont cohérentes entre elles ; - one of the upstream electronic devices (12A, 12B) when an inconsistency is detected between the two intermediate data (S1A, S1 B, S2A, S2B) obtained according to the same algorithm and that the two intermediate data (S1A, S1 B, S2A, S2B) obtained as a function of the same input datum (A, B) from the other upstream electronic device (12A, 12B) are mutually consistent;
- le premier algorithme lorsqu'une incohérence est détectée entre les deux données intermédiaires (S1A, S1 B, S2A, S2B) obtenues en fonction du premier algorithme et que les deux données intermédiaires (S1A, S1 B, S2A, S2B) obtenues en fonction du deuxième algorithme sont cohérentes entre elles ; - the first algorithm when an inconsistency is detected between the two intermediate data (S1A, S1 B, S2A, S2B) obtained according to the first algorithm and the two intermediate data (S1A, S1 B, S2A, S2B) obtained according of the second algorithm are mutually consistent;
- le deuxième algorithme lorsqu'une incohérence est détectée entre les deux données intermédiaires (S1A, S1 B, S2A, S2B) obtenues en fonction du deuxième algorithme et que les deux données intermédiaires (S1A, S1 B, S2A, S2B) obtenues en fonction du premier algorithme sont cohérentes entre elles, et - the second algorithm when an inconsistency is detected between the two intermediate data (S1A, S1 B, S2A, S2B) obtained according to the second algorithm and the two intermediate data (S1A, S1 B, S2A, S2B) obtained according of the first algorithm are mutually consistent, and
- l’un des calculateurs électroniques lorsqu’une incohérence est détectée à chaque comparaison de la donnée intermédiaire associée audit calculateur électronique avec l’une des autres données intermédiaires (S1 A, S1 B, S2A, S2B). - one of the electronic computers when an inconsistency is detected at each comparison of the intermediate data associated with said electronic computer with one of the other intermediate data (S1 A, S1 B, S2A, S2B).
5. Système (10) selon l’une quelconque des revendications précédentes, dans lequel le deuxième algorithme est un deuxième algorithme d’apprentissage automatique entrainé sur une deuxième base de données de référence ou un algorithme évolutionnaire évalué à partir de la deuxième base de données de référence, la deuxième base de données de références comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique, le deuxième algorithme étant différent du premier algorithme et/ou la deuxième base de données de référence étant différente de la première base de données de référence (30). 5. A system (10) according to any preceding claim, wherein the second algorithm is a second machine learning algorithm trained on a second reference database or an evolutionary algorithm evaluated from the second database reference, the second reference database comprising a plurality of reference data representative of the operation of the electronic system, the second algorithm being different from the first algorithm and/or the second reference database being different from the first database reference (30).
6. Système (10) selon l’une quelconque des revendications 1 à 4, dans lequel le deuxième algorithme est un algorithme de type différent de celui du premier algorithme ; le deuxième algorithme étant de préférence du type choisi parmi le groupe consistant en : un algorithme d’analyse d’images de type localisation et cartographie simultanées ; 6. System (10) according to any one of claims 1 to 4, in which the second algorithm is an algorithm of a different type from that of the first algorithm; the second algorithm preferably being of the type chosen from the group consisting of: an image analysis algorithm of the simultaneous localization and mapping type;
- un algorithme suivant un arbre de décision ; - an algorithm following a decision tree;
- un algorithme de parcours de graphe ; un algorithme de résolution d’équations ; un algorithme sur la base d’un modèle physique; et un algorithme de filtrage, notamment un filtre de Kalman ou un filtre de Wiener. - a graph traversal algorithm; an equation solving algorithm; an algorithm based on a physical model; and a filtering algorithm, in particular a Kalman filter or a Wiener filter.
7. Système (10) selon l’une quelconque des revendications précédentes, comprenant un module d’inhibition (26) configuré pour inhiber le fonctionnement d’au moins l’un des modules de traitement parmi les premier, deuxième, troisième et quatrième modules de traitement (14, 16, 18, 20) en fonction au moins d’un paramètre de fonctionnement du système électronique (10). 7. System (10) according to any one of the preceding claims, comprising an inhibition module (26) configured to inhibit the operation of at least one of the processing modules among the first, second, third and fourth modules. processing (14, 16, 18, 20) as a function of at least one operating parameter of the electronic system (10).
8. Système (10) selon l’une quelconque des revendications précédentes, dans lequel le système électronique (10) est un système avionique propre à être embarqué dans un poste de commande d’un aéronef. 8. System (10) according to any one of the preceding claims, in which the electronic system (10) is an avionic system suitable for being onboard in a control station of an aircraft.
9. Procédé de mise en œuvre d’une fonction critique par un système électronique (10), le système électronique (10) étant propre à recevoir des première et deuxième données d’entrée (A, B) et à délivrer une donnée de sortie consolidée (C) associée à ladite fonction critique, le procédé comprenant les étapes suivantes : 9. Method for implementing a critical function by an electronic system (10), the electronic system (10) being able to receive first and second input data (A, B) and to deliver output data consolidated (C) associated with said critical function, the method comprising the following steps:
- calcul (110) d’une première donnée intermédiaire (S1A) associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée (A) et d’un 22 premier algorithme, le premier algorithme étant un algorithme d’apprentissage automatique entrainé sur une première base de données de référence (30) ou un algorithme évolutionnaire évalué à partir de la première base de données de référence (30), la première base de données de référence (30) comprenant une pluralité de données de référence représentatives du fonctionnement du système électronique (10),- calculation (110) of a first intermediate datum (S1A) associated with the implementation of the critical function as a function of the first input datum (A) and of a 22 first algorithm, the first algorithm being a machine learning algorithm trained on a first reference database (30) or an evolutionary algorithm evaluated from the first reference database (30), the first database reference (30) comprising a plurality of reference data representative of the operation of the electronic system (10),
- calcul (120) d’une deuxième donnée intermédiaire (S1 B) associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée (B) et du premier algorithme, la deuxième donnée d’entrée (B) étant différente de la première donnée d’entrée (A), - calculation (120) of a second intermediate datum (S1 B) associated with the implementation of the critical function as a function of the second input datum (B) and of the first algorithm, the second input datum (B ) being different from the first input data (A),
- calcul (130) d’une troisième donnée intermédiaire (S2A) associée à la mise en œuvre de la fonction critique en fonction de la première donnée d’entrée (A) et d’un deuxième algorithme, le deuxième algorithme étant différent du premier algorithme, - calculation (130) of a third intermediate datum (S2A) associated with the implementation of the critical function as a function of the first input datum (A) and of a second algorithm, the second algorithm being different from the first algorithm,
- calcul (140) d’une quatrième donnée intermédiaire (S2B) associée à la mise en œuvre de la fonction critique en fonction de la deuxième donnée d’entrée (B) et du deuxième algorithme, - calculation (140) of a fourth intermediate datum (S2B) associated with the implementation of the critical function according to the second input datum (B) and the second algorithm,
- réception (150) des première, deuxième, troisième et quatrième données intermédiaires (S1A, S1 B, S2A, S2B), - reception (150) of the first, second, third and fourth intermediate data (S1A, S1 B, S2A, S2B),
- comparaison, parmi les première, deuxième, troisième et quatrième données intermédiaires (S1A, S1 B, S2A, S2B), deux à deux de celles qui sont obtenues en fonction de la même donnée d’entrée (A, B) ou en fonction du même algorithme, afin de détecter au moins une éventuelle incohérence, et - comparison, among the first, second, third and fourth intermediate data (S1A, S1 B, S2A, S2B), two by two of those which are obtained as a function of the same input data (A, B) or as a function of the same algorithm, in order to detect at least one possible inconsistency, and
- délivrance de la donnée de sortie consolidée (C) en fonction des première, deuxième, troisième et quatrième données intermédiaires (S1 A, S1 B, S2A, S2B). - delivery of the consolidated output data (C) according to the first, second, third and fourth intermediate data (S1 A, S1 B, S2A, S2B).
10. Programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un ordinateur, mettent en œuvre un procédé selon la revendication précédente. 10. Computer program comprising software instructions which, when executed by a computer, implement a method according to the preceding claim.
PCT/EP2021/074151 2020-09-02 2021-09-01 Electronic system for executing a critical function, and associated method WO2022049135A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE112021004576.8T DE112021004576T5 (en) 2020-09-02 2021-09-01 Electronic system for implementing a critical function and associated method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2008896 2020-09-02
FR2008896A FR3113747B1 (en) 2020-09-02 2020-09-02 Electronic system for implementing a critical function and associated method

Publications (1)

Publication Number Publication Date
WO2022049135A1 true WO2022049135A1 (en) 2022-03-10

Family

ID=74045602

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/074151 WO2022049135A1 (en) 2020-09-02 2021-09-01 Electronic system for executing a critical function, and associated method

Country Status (3)

Country Link
DE (1) DE112021004576T5 (en)
FR (1) FR3113747B1 (en)
WO (1) WO2022049135A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3135800B1 (en) * 2022-05-18 2024-04-19 Thales Sa Method for generating a trajectory element, associated generation system and aircraft comprising such a generation system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550736A (en) * 1993-04-27 1996-08-27 Honeywell Inc. Fail-operational fault tolerant flight critical computer architecture and monitoring method
EP3690657A1 (en) * 2017-10-24 2020-08-05 CRSC Research & Design Institute Group Co., Ltd. Computer-based interlocking system and redundancy switching method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550736A (en) * 1993-04-27 1996-08-27 Honeywell Inc. Fail-operational fault tolerant flight critical computer architecture and monitoring method
EP3690657A1 (en) * 2017-10-24 2020-08-05 CRSC Research & Design Institute Group Co., Ltd. Computer-based interlocking system and redundancy switching method thereof

Also Published As

Publication number Publication date
FR3113747B1 (en) 2023-03-03
DE112021004576T5 (en) 2023-06-29
FR3113747A1 (en) 2022-03-04

Similar Documents

Publication Publication Date Title
EP3308232B1 (en) System and method for automatically inspecting surfaces
FR3054684A1 (en) SYSTEM FOR CONTROLLING AN AUTONOMOUS VEHICLE
WO2015166156A1 (en) Device for signalling objects to a navigation module of a vehicle equipped with this device
FR2988191B1 (en) FILTERING METHOD AND FILTER DEVICE FOR SENSOR DATA
FR2963448A1 (en) METHOD AND SYSTEM FOR ANALYSIS OF FLIGHT DATA RECORDED DURING THE FLIGHT OF AN AIRCRAFT.
US20220390964A1 (en) Cloud & hybrid-cloud flight vehicle & robotic control system ai & ml enabled cloud-based software & data system method for the optimization and distribution of flight control & robotic system solutions and capabilities
FR3077059A1 (en) METHOD OF DETECTING GIVING CONDITIONS FOR AN AIRCRAFT BY SUPERVISORY AUTOMATIC LEARNING
FR2713193A1 (en) Method and device for detecting an overshoot of the design loads of an aircraft
FR2905778A1 (en) METHOD FOR VERIFYING RELEVANCE OF A MASS VALUE OF AN AIRCRAFT
EP3043264A1 (en) System for controlling a vehicle, in particular an aircraft
EP3232417B1 (en) Protection of the sequencing of an aircraft flight plan
EP4066224A1 (en) Decision assistance device and method for managing aerial conflicts
FR3030095A1 (en) AIRCRAFT FLIGHT MANAGEMENT ASSEMBLY AND METHOD OF MONITORING GUIDING INSTRUCTIONS OF SUCH AN ASSEMBLY.
WO2022049135A1 (en) Electronic system for executing a critical function, and associated method
EP3828866A1 (en) Method and device for determining the trajectories of mobile elements
FR3069366A1 (en) SPECIFIC ENVIRONMENT ENTRY PROTECTION
WO2021069824A1 (en) Apparatus, method and computer program for monitoring an aircraft engine
EP3923104B1 (en) Method and system for controlling a damage level of at least one part of an aircraft, associated aircraft
EP3072019B1 (en) Critical system and associated monitoring method
FR3127616A1 (en) Aerial avoidance management process
FR3115594A1 (en) Electronic system for implementing a critical function, associated method and computer program
FR3110043A1 (en) Electronic decision support device, associated method and computer program
EP2534642B1 (en) Device for updating a photometric model
EP4078409A1 (en) Method and device for supervising a traffic control system
US20240185026A1 (en) Defect detection using multi-modality sensor data

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21769469

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 21769469

Country of ref document: EP

Kind code of ref document: A1