Система управления с тройной избыточностью для летательного аппарата и способ управления этой системой (варианты)
Группа изобретений относится к системе управления для летательного аппарата, имеющей тройную избыточность, и трем вариантам способа управления этой системой. Для управления системой управления по первому варианту принимают группы сообщений от передающего тракта в контроллере, содержащем три тракта, производят идентификацию индикатора активности каждого тракта, значения циклического контроля по избыточности, вырабатываемого каждым трактом с использованием ключа, присвоенного тракту, определенным образом и отключают контроллер при наличии аномалий, несоответствия индикатора активности или наличия несоответствия значения циклического контроля по избыточности в группе сообщений. Способ по второму варианту отличается от первого тем, что сообщения принимают в удаленном блоке. Способ по третьему варианту отличается тем, что идентификацию активности производят на основании группы ключей, присвоенных группе трактов. Система управления содержит систему электронной аппаратуры управления полетом, выполненную с возможностью реализации вышеуказанных способов. Обеспечивается повышение работоспособности системы управления. 4 н. и 18 з.п. ф-лы, 8 ил.
ОБЛАСТЬ ТЕХНИКИ И УРОВЕНЬ ТЕХНИКИ
[0001] Настоящее изобретение в целом относится к летательным аппаратам, а в частности, к охвату выявления сбоев для множественных отказов в системах с избыточностью в летательных аппаратах.
[0002] Многие системы в летательном аппарате выполнены с резервированием или избыточностью для обеспечения необходимого уровня рабочих характеристик, а также необходимого уровня безопасности. Например, система управления полетом летательного аппарата для летательного аппарата включает в себя поверхности управления полетом, приводы, клапаны, рулевые машинки, контроллеры и другие компоненты, которые используются для управления полетом летательного аппарата.
[0003] Система управления полетом летательного аппарата может использовать тройную избыточность в архитектуре обработки данных. Эта тройная избыточность используется для реализации функций управления и обнаружения сбоев в системе управления полетом летательного аппарата. В такой системе три отдельных вычислительных блока могут выполнять идентичные или почти идентичные вычисления. Вычислительный блок также называется "трактом". Часто ожидается, что эти тракты в нормальных условиях вырабатывают идентичные или почти идентичные выходные сигналы, и производится выбор из вычисленных ими выходных сигналов. Параллельно их выходные сигналы обычно сравнивают для обнаружения и изоляции сбоев.
[0004] При использовании системы с тройной избыточностью "работоспособность при одном отказе" обозначает один отказ, а "отказоустойчивость при двух отказах" обозначает двойной отказ. В этом контексте "работоспособность при одном отказе" значит, что если один из трех трактов избыточности в системе откажет, система продолжит работу и выдаст необходимые сигналы управления на два оставшиеся тракта. Работа часто продолжается после выявления и выключения тракта с отказом. Эта продолжающаяся работа обеспечивает высокую целостность, так что уменьшается вероятность выдачи ошибочных сигналов, и высокую готовность к эксплуатации. Как результат, система способна продолжать работу после отказа одного тракта.
[0005] При использовании системы с тройной избыточностью, если произойдет отказ еще одного тракта, вычислительная система больше не будет выдавать сигналы, необходимые для выполнения желаемой функции. В этой ситуации система может быть переведена в состояние "отказоустойчивости при двух отказах", которое является "отказоустойчивым" состоянием, в котором больше не применяются или не используются выходные сигналы от системы.
[0006] Например, при использовании системы управления полетом летательного аппарата "работоспособность при одном отказе" значит, что привод, управляемый системой, может сохранять управляемость после отказа одного тракта. Когда привод больше не может управляться системой с необходимым уровнем рабочих характеристик, система может быть переведена в состояние "отказоустойчивости при двух отказах", в котором система не может управлять управлением приводом. В этом состоянии может быть использован "переводной режим", в котором привод может быть возвращен обратно воздушной нагрузкой или другими исполнительными механизмами на поверхности управления полетом с низким сопротивлением.
[0007] Как правило, электронное устройство, реализованное в тракте, считается сложным. Например, компоненты для тракта могут включать в себя микропроцессор, процессор цифровых сигналов, программируемую пользователем вентильную матрицу или какую-либо их комбинацию. В результате, все возможные режимы нежелательной работы или поведения, в которых ожидаются их отказы, могут быть более сложными для прогнозирования, чем хотелось бы.
[0008] Кроме того, самодекларирование отказа трактом не считается обеспечивающим полный охват сбоев. Таким образом, обнаружение сбоев зависит прежде всего от сравнения, производимого между независимыми трактами. Отказ первого тракта, такой как определение того, какой тракт работает нежелательным образом, относительно прост для выявления и изоляции. Это выявление может быть произведено с использованием мажоритарного голосования.
[0009] При выявлении нежелательной работы тракта этот тракт может быть отключен двумя другими трактами, когда эти тракты соглашаются произвести упомянутое отключение. Система может продолжать работать с оставшимися двумя трактами с получением таким образом системы, "работоспособной при одном отказе". Отказ второго тракта также может быть рассмотрен аналогичным образом путем сравнения, производимого между двумя оставшимися трактами.
[0010] Если по меньшей мере один из двух оставшихся трактов решает, что выходные сигналы другого тракта отличаются от его собственных, вся система может быть выключена или переведена в активное состояние с получением таким образом системы "отказоустойчивой при двух отказах". В некоторых случаях система, "работоспособная при двух отказах", в системе с тройной избыточностью может быть получена для ограниченных случаев отказа, которые приводят к корректному самодекларированию.
[0011] Охват выявления сбоев в отношении отказа первого тракта является относительно простым, потому что во время отказа первого тракта два других тракта являются исправными. Можно опереться на работу двух исправных трактов, которые приходят к соглашению о голосовании для выключения тракта с отказом, и оставить этот тракт выключенным, что в результате обеспечивает полный охват сбоев.
[0012] Ситуация осложняется, когда в оставшихся двух трактах происходит отказ второго тракта. Например, второй тракт отказывает, и этот тракт голосует за вывод первого, тракта, в котором ранее произошел отказ, из выключенного состояния, так что первый тракт, в котором ранее произошел отказ, активно участвует в голосовании. В результате, управление системой может перейти к двум трактам с отказами. Например, два тракта с отказами могут проголосовать за выключение последнего оставшегося исправным тракта.
[0013] Вследствие этого, было бы желательным иметь способ и устройство, в которых учитываются по меньшей мере некоторые из проблем, описанных выше, а также другие возможные проблемы. Например, было бы желательным иметь способ и устройство, которые решают техническую проблему, связанную с управлением системой управления, таким образом, что обработка отказа второго тракта обеспечивает получение "отказоустойчивой" системы, которая позволяет избежать ее нежелательной работы.
РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ
[0014] Один вариант реализации раскрытия настоящего изобретения обеспечивает способ управления системой управления, имеющей тройную избыточность, для летательного аппарата. Способ включает прием группы сообщений от передающего тракта в контроллере, содержащем три тракта, в которых ранее произошел отказ первого тракта. Согласно способу идентифицируют индикатор активности, статус, вырабатываемый каждым трактом в группе трактов, и значение циклического контроля по избыточности, вырабатываемое каждым трактом в группе трактов, в указанной группе сообщений. Значение циклического контроля по избыточности, вырабатываемое трактом в группе трактов, вырабатывают с использованием ключа, присвоенного указанному тракту. Согласно способу отключают контроллер по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений, что указывает на произошедший отказ второго тракта.
[0015] Еще один вариант реализации раскрытия настоящего изобретения обеспечивает создание системы управления, имеющей тройную избыточность, для летательного аппарата. Система управления содержит систему электронной аппаратуры управления полетом, выполненную с возможностью приема группы сообщений от передающего тракта в контроллере, содержащем три тракта, в которых ранее произошел отказ первого тракта. Система управления идентифицирует индикатор активности, статус, вырабатываемый каждым трактом в группе трактов, и значение циклического контроля по избыточности, вырабатываемое каждым трактом в группе трактов, в указанной группе сообщений. Значение циклического контроля по избыточности, вырабатываемое трактом в группе трактов, вырабатывают с использованием ключа, присвоенного указанному тракту. Система управления отключает контроллер по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений, что указывает на произошедший отказ второго тракта.
[0016] Еще один вариант реализации раскрытия настоящего изобретения обеспечивает способ управления системой управления для летательного аппарата. Способ включает прием группы сообщений в системе электронной аппаратуры управления полетом от передающего тракта в удаленном электронном блоке, содержащем для тройной избыточности три тракта, в которых ранее произошел отказ первого тракта. Согласно способу идентифицируют посредством системы электронной аппаратуры управления полетом индикатор активности, статус, вырабатываемый передающим трактом, и значение циклического контроля по избыточности в группе сообщений на основании ключа, присвоенного передающему тракту. Согласно способу посредством системы электронной аппаратуры управления полетом выполняют действие в отношении удаленного электронного блока по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений, что указывает на произошедший отказ второго тракта.
[0017] Еще один вариант реализации раскрытия настоящего изобретения обеспечивает способ управления системой управления, имеющей тройную избыточность, для летательного аппарата. Способ включает прием группы сообщений от передающего тракта в контроллере, содержащем три тракта, в которых ранее произошел отказ первого тракта. Согласно способу идентифицируют индикатор активности и несоответствие данных контроля ошибок, вырабатываемое группой трактов, в группе сообщений на основании группы ключей, присвоенных указанной группе трактов. Согласно способу отключают контроллер по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия данных контроля ошибок в группе сообщений, что указывает на произошедший отказ второго тракта.
[0018] Указанные признаки и функции могут быть реализованы независимо в различных вариантах осуществления настоящего изобретения или могут быть скомбинированы с получением других вариантов осуществления изобретения, дополнительные подробности которых могут быть очевидными при обращении к последующему описанию и чертежам.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0019] Признаки иллюстративных вариантов реализации изобретения, обеспечивающие новизну по сравнению с уровнем техники, изложены в прилагаемой формуле изобретения. При этом иллюстративные варианты реализации изобретения, а также предпочтительный режим их применения, дополнительные цели и признаки будут лучше поняты из следующего подробного описания иллюстративного варианта реализации раскрытия настоящего изобретения при рассмотрении вместе с сопровождающими чертежами, на которых:
[0020] на ФИГ. 1 показана структурная схема окружения с тройной избыточностью в соответствии с иллюстративным вариантом реализации изобретения;
[0021] на ФИГ. 2 показана структурная схема системы управления в соответствии с иллюстративным вариантом реализации изобретения;
[0022] на ФИГ. 3 показана блок-схема процесса управления системой управления, имеющей тройную избыточность в соответствии с иллюстративным вариантом реализации изобретения;
[0023] на ФИГ. 4 показана блок-схема процесса мониторинга трактов в соответствии с иллюстративным вариантом реализации изобретения;
[0024] на ФИГ. 5 показана блок-схема процесса определения, существует ли несоответствие значения циклического контроля по избыточности, в соответствии с иллюстративным вариантом реализации изобретения;
[0025] на ФИГ. 6 показана структурная схема системы обработки данных в соответствии с иллюстративным вариантом реализации изобретения;
[0026] на ФИГ. 7 показана блок-схема способа изготовления и обслуживания летательного аппарата в соответствии с иллюстративным вариантом реализации изобретения; и
[0027] на ФИГ. 8 показана структурная схема летательного аппарата, в котором может быть реализован иллюстративный вариант реализации изобретения.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0028] В иллюстративных вариантах реализации изобретения рассматриваются и учитываются одно или более различных соображений. Например, в иллюстративных вариантах реализации изобретения признается и учитывается, что известные системы с тройной избыточностью не могут справиться с отказом второго тракта с необходимой эффективностью. Например, в иллюстративных вариантах реализации изобретения признается и учитывается нежелательность иметь тракты, работающие нежелательным образом путем получения контроля над системой в летательном аппарате. В иллюстративных вариантах реализации изобретения признается и учитывается, что независимые простые электронные устройства могут быть использованы для построения "связующей логики" для отслеживания последовательности событий таким образом, что второй тракт с отказом не может снова активировать первый тракт с отказом, и последний оставшийся исправным тракт будет иметь полномочия на выключение системы и перевод системы в "отказоустойчивое" состояние. В иллюстративных вариантах реализации изобретения признается и учитывается, что одна из трудностей, связанных с этим подходом, включает в себя механизм для сохранения в памяти последовательности событий, которая выдерживает энергетические циклы, без зависимости от сложных устройств, которые могут не работать так, как это необходимо.
[0029] Таким образом, иллюстративные варианты осуществления обеспечивают создание способа, устройства и системы для управления системой управления. Существует процесс управления системой управления, имеющей тройную избыточность, для летательного аппарата. Согласно процессу принимают группу сообщений от передающего тракта в контроллере, содержащем три тракта, в которых ранее произошел отказ первого тракта. В сообщении идентифицируют индикатор активности, статус, вырабатываемый каждым трактом в группе трактов, и значение циклического контроля по избыточности, вырабатываемое каждым трактом в группе трактов. Значение циклического контроля по избыточности, вырабатываемое трактом в группе трактов, вырабатывают с использованием ключа, присвоенного указанному тракту. Контроллер отключают по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений, что указывает на произошедший отказ второго тракта.
[0030] Со ссылкой на фигуры чертежей, и в частности, на ФИГ. 1 показана структурная схема окружения с тройной избыточностью в соответствии с иллюстративным вариантом реализации изобретения. В этом иллюстративном примере окружение 100 с тройной избыточностью может включать в себя платформу 102 в виде летательного аппарата 104.
[0031] Как изображено на чертежах, система 106 управления в летательном аппарате 104 управляет работой системы 108. В иллюстративном примере система 108 может быть выполнена в различных формах. Например, система 108 может быть выбрана по меньшей мере из одного из следующего: привода, клапана, рулевой машинки, поверхности управления полетом и полетной развлекательной системы, топливной системы, двигателя, системы управления условиями окружающей среды, автопилота, системы шасси или системы какого-либо другого подходящего типа.
[0032] При использовании в настоящем документе выражение "по меньшей мере одно из следующего", употребляемое со списком объектов, означает, что могут быть использованы различные комбинации из одного или более приведенных в списке объектов, и только один из объектов, указанных в списке, может быть необходим. Иными словами, "по меньшей мере одно из следующего" означает, что любое сочетание объектов и их количество из этого списка может быть использовано, но не все из объектов списка должны присутствовать. Объект может представлять собой конкретный объект, вещь или категорию.
[0033] Например, без ограничения, "по меньшей мере объект из следующих: объект А, объект В или объект С" может включать в себя объект А, объект А и объект В или объект В. Этот пример также может включать в себя объект А, объект В и объект С или объект В и объект С. Конечно, может использоваться любая комбинация этих объектов. В некоторых иллюстративных примерах "по меньшей мере одно из" может означать, например, помимо прочего, два объекта А; один объект В и десять объектов С; четыре объекта В и семь объектов С или любые другие подходящие комбинации.
[0034] В этом конкретном примере система 106 управления может быть реализована в компьютерной системе 142. Компьютерная система 142 является физической аппаратной системой и включает в себя одну или более систем обработки данных. При наличии более чем одной системы обработки данных эти системы обработки данных взаимодействуют друг с другом с использованием носителя для связи. Средство связи может представлять собой сеть. Системы обработки данных могут быть выбраны по меньшей мере из одного такого устройства, как компьютер, серверный компьютер, линейные сменные блоки, планшет или какой-либо иной подходящей системы обработки данных.
[0035] Как изображено на чертежах, система 106 управления содержит систему 110 электронной аппаратуры управления полетом и контроллер 112. В этом иллюстративном примере контроллер 112 управляет системой 108 в виде поверхности 114 управления полетом. В иллюстративном примере это управление может быть опосредованным управлением, при котором контроллер 112 управляет приводом, соединенным с поверхностью 114 управления полетом. Поверхность 114 управления полетом может иметь различные формы. Например, поверхность 114 управления полетом может быть выбрана из группы, содержащей элерон, руль высоты, руль направления, интерцептор, закрылок, предкрылок, воздушный тормоз и поверхность управления полетом какой-либо иного подходящего типа.
[0036] В этом иллюстративном примере система 110 электронной аппаратуры управления полетом функционирует в качестве ведущего контроллера 146, тогда как контроллер 112 является контроллером нижнего уровня. Система 110 электронной аппаратуры управления полетом может выполнять мониторинг и управление одним или более контроллерами в дополнение к контроллеру 112. Эти другие контроллеры могут управлять другими средствами управления плоскими поверхностями летательного аппарата 104 в дополнение к поверхности 114 управления полетом.
[0037] Контроллер 112 может управлять другими системами или компонентами в системе 108 или других системах в дополнение к поверхности 114 управления полетом или вместо нее. Например, система 108 может управлять по меньшей мере одним из следующего: приводом, клапаном, рулевой машинкой, полетной развлекательной системой, топливной системой, двигателем, системой управления условиями окружающей среды, автопилотом, системой шасси или каким-либо иным подходящим компонентом или подходящей системой.
[0038] В этом иллюстративном примере система 110 электронной аппаратуры управления полетом выполнена с возможностью приема группы сообщений 116 от передающего тракта 118 в трактах 120 в контроллере 112, который включает в себя три тракта. Как изображено на чертежах, группа сообщений 116 может быть зашифрована. При использовании в настоящем документе выражение "группа чего-либо" при использовании со ссылкой на элемент означает один или более элементов. Например, группа сообщений 116 представляет собой одно или более сообщений.
[0039] В этом иллюстративном примере в контроллере 112 ранее имел место отказ 122 первого тракта. Во время работы системы 106 управления система 110 электронной аппаратуры управления полетом идентифицирует индикатор 124 активности, статус 126, вырабатываемый каждым трактом в группе трактов 120, и данные 144 контроля ошибок, вырабатываемые каждым трактом в группе трактов 120, в указанной группе сообщений 116. Группа трактов являются трактами 120, которые продолжают считаться исправными или работать с необходимым уровнем производительности. В этом иллюстративном примере данные 144 контроля ошибок имеют форму значения 128 циклического контроля по избыточности.
[0040] Как изображено на чертежах, информация может быть отправлена в одном или более сообщениях 116. Иными словами, индикатор 124 активности, статус 126 для каждого тракта и значение 128 циклического контроля по избыточности для каждого тракта могут присутствовать в одном сообщении. Например, если два тракта активны, одно сообщение может включать в себя индикатор 124 активности, два сообщения о статусах и два значения циклического контроля по избыточности.
[0041] Как изображено на чертежах, значение 128 циклического контроля по избыточности, вырабатываемое трактом 130 в группе трактов 120, вырабатывают с использованием ключа 132, присвоенного тракту 130. В этом иллюстративном примере значение 128 циклического контроля по избыточности также может быть основано на индикаторе 124 активности и статусе 126 в указанной группе сообщений 116.
[0042] В этом иллюстративном примере система 110 электронной аппаратуры управления полетом выполнена с возможностью вычисления локального значения 138 циклического контроля по избыточности для группы сообщений 116 с использованием индикатора 124 активности, статуса 126 и локального ключа 140 для тракта 130 в группе трактов 120 в группе сообщений 116. Локальный ключ 140 для тракта 130 является ключом, присвоенным тракту 130, который расположен в системе 110 электронной аппаратуры управления полетом. Локальный ключ 140 не передается между системой 110 электронной аппаратуры управления полетом и контроллером 112 при выполнении циклического контроля по избыточности в этих иллюстративных примерах.
[0043] Система 110 электронной аппаратуры управления полетом отключает контроллер 112 по меньшей мере при одном из следующего: указании на аномалию в статусе 126, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений 116, принятой от передающего тракта 118 в контроллере 112, что указывает на произошедший отказ второго тракта 134. В этом иллюстративном примере контроллер 112 представляет собой удаленный электронный блок 136. Например, система 110 электронной аппаратуры управления полетом может отключать контроллер 112 посредством прекращения подачи питания на контроллер 112.
[0044] Система 106 управления и различные компоненты в системе 106 управления могут быть реализованы в программном обеспечении, аппаратных средствах, прошивке или их комбинации. Когда используется программное обеспечение, операции, выполняемые системой 106 управления, могут быть реализованы в программном коде, выполненном с возможностью запуска на аппаратных средствах, таких как процессорный блок. Когда используется прошивка, операции, выполняемые системой 106 управления, могут быть реализованы в программном коде и данных и сохранены в постоянной памяти для запуска в процессорном блоке. Когда используются аппаратные средства, аппаратные средства могут включать в себя схемы, которые работают для выполнения операций в системе 106 управления.
[0045] В приведенных иллюстративных примерах аппаратные средства могут быть выполнены в виде, выбранном по меньшей мере из одного из следующих средств: системы замыкания, интегральной схемы, специализированной интегральной схемы (ASIC), программируемого логического устройства или аппаратных средств какого-либо другого соответствующего типа, выполненных с возможностью выполнения множества операций. С программируемым логическим устройством, рассматриваемое устройство может быть выполнено с возможностью выполнения указанного множества операций. Конфигурация рассматриваемого устройства может быть изменена позднее, или оно может иметь постоянную конфигурацию для выполнения указанного множества операций. Программируемые логические устройства включают в себя, например, программируемый логический блок, программируемую матричную логическую схему, логическую матрицу с эксплуатационным программированием, программируемую пользователем вентильную матрицу и другие соответствующие аппаратные устройства. Кроме того, процессы могут быть реализованы в органических компонентах, встроенных в неорганические компоненты, и могут состоять целиком из органических компонентов, за исключением человека. Например, процессы могут быть реализованы в виде схем в органических полупроводниках.
[0046] В одном иллюстративном примере имеются одно или более технических решений, которые преодолевают техническую проблему, связанную с управлением системой управления, таким образом, что производится обработка отказа второго тракта с получением системы, которая не работает нежелательным образом. В результате, одно или более технических решений могут обеспечивать технический результат, заключающийся в более эффективном выявлении нежелательной работы тракта в контроллере, и управление этим трактом по сравнению с известными методами обеспечения избыточности в системе с тройной избыточностью.
[0047] Кроме того, одно или более технических решений включает в себя ведущий контроллер, такой как система 110 электронной аппаратуры управления полетом, который выполняет мониторинг данных от контроллера нижнего уровня, такого как контроллер 112, для определения, произошел ли отказ второго тракта в контроллере нижнего уровня. В этих одном или более технических решениях ведущий контроллер определяет действия и управляет действиями в отношении по меньшей мере одного из контроллера 112 и системы 108, управляемой контроллером 112.
[0048] Таким образом, могут быть сглажены одна или более проблем, связанных с известными системами управления, когда контроллер выполняет мониторинг и управляет трактами внутри контроллера. Например, можно избежать ситуации, при которой тракт, в котором ранее произошел отказ и который была отключен, может быть перезапущен вторым трактом с отказом, в результате чего эти два тракта, которые могут работать нежелательным образом, принимают на себя управление контроллером и системой, управляемой контроллером.
[0049] В результате, компьютерная система 142 работает как компьютерная система специального назначения, в которой система 106 управления в компьютерной системе 142 обеспечивает возможность организации управления после того, как произошел отказ первого тракта. В частности, система 106 управления преобразует компьютерную систему 142 аппарата в компьютерную систему специального назначения по сравнению с имеющимися в настоящее время компьютерными системами общего назначения, которые не имеют системы 106 управления.
[0050] Иллюстрация окружения 100 с тройной избыточностью по ФИГ. 1 не подразумевает наложения каких-либо физических или архитектурных ограничений на способ, которым может быть реализован иллюстративный вариант. Могут быть использованы компоненты, отличающиеся от проиллюстрированных, в дополнение или вместо них. Некоторые компоненты могут быть необязательными. Кроме того, указанные блоки показаны для иллюстрации некоторых функциональных компонентов. Один или более из этих блоков могут быть скомбинированы, разделены или скомбинированы и разделены на другие блоки при реализации в иллюстративном варианте реализации изобретения.
[0051] Например, хотя иллюстративные примеры описаны в отношении платформы 102 в виде летательного аппарата 104, другой иллюстративный пример может быть применен к платформам других типов. Платформа может представлять собой, например, подвижную платформу, стационарную платформу, наземную конструкцию, конструкцию, размещаемую в воде, или конструкцию, размещаемую в космосе. В частности, платформа 102 может представлять собой надводный корабль, танк, бронетранспортер, поезд, космический корабль, космическую станцию, спутник, подводную лодку, автомобиль, электростанцию, мост, дамбу, дом, производственное предприятие, здание и другие подходящие платформы.
[0052] Еще в одном иллюстративном примере данные 144 контроля ошибок могут иметь другие формы, отличные от значения 128 циклического контроля по избыточности. Например, данные 144 контроля ошибок могут быть выбраны по меньшей мере из одного из следующего: битов контроля четности, контрольной суммы, значений продольного контроля по избыточности или данных других типов, используемых для проверки ошибок при передаче сообщений, пакетов или других форм информации. Иными словами, могут быть использованы один или более типов данных 144 контроля ошибок.
[0053] В качестве еще одного примера, статус 126 может быть опущен из сообщений 116. В некоторых случаях обнаружение ошибок может быть выполнено без отправки статуса 126. Статус 126 может быть использован в выработке данных 144 контроля ошибок, таких как значение 128 циклического контроля по избыточности. В этом примере аномалия и статус могут быть выявлены через несоответствие значения циклического контроля по избыточности. В этом примере аномалия присутствует, когда имеется несоответствие индикатора активности для несоответствия значения циклического контроля по избыточности.
[0054] Еще в одном иллюстративном примере статус 126 от передающего тракта 118 может быть отправлен без данных 144 контроля ошибок. В этом примере аномалия присутствует, когда статус 126 указывает на наличие несоответствия индикатора активности.
[0055] Еще в одном иллюстративном примере статус 126 может быть отправлен передающим трактом 118 без контроля ошибок, и указанный другой тракт в трактах 120, отличный от передающего тракта 118, вырабатывает значение 128 циклического контроля по избыточности без статуса 126. В этом случае, когда возникает несоответствие индикатора активности, выявляют аномалию.
[0056] Со ссылкой на ФИГ. 2 показана структурная схема системы управления в соответствии с иллюстративным вариантом реализации изобретения. В этом показанном примере система 200 управления является примером одной практической реализации системы 106 управления по ФИГ. 1.
[0057] В этом иллюстративном примере система 200 управления включает в себя систему 202 электронной аппаратуры управления полетом и удаленный электронный блок 204. Удаленный электронный блок 204 является примером контроллера 112 по ФИГ. 1.
[0058] Как изображено на чертежах, удаленный электронный блок 204 включает в себя три тракта: тракт 1 206, тракт 2 208 и тракт 3 210. Эти тракты обеспечивают тройную избыточность в системе 200 управления. Как изображено на чертежах, тракт 1 206 является передающим трактом 212. Передающий тракт 212 сообщается непосредственно с системой 202 электронной аппаратуры управления полетом. Указанные другие тракты отправляют информацию через передающий тракт 212.
[0059] В этом иллюстративном примере ранее имел место отказ первого тракта. Как изображено на чертежах, тракт 3 210 с отказом был отключен. Передающий тракт 212 и тракт 2 208 являются активными трактами в удаленном электронном блоке 204.
[0060] Как изображено на чертежах, система 202 электронной аппаратуры управления полетом вырабатывает и отправляет индикатор 214 активности в передающий тракт 212 и тракт 2 208. В этом иллюстративном примере индикатор 214 активности представляет собой числовое значение, которое увеличивается каждый раз, когда вырабатывают индикатор 214 активности. В иллюстративном примере индикатор 214 активности непрерывно изменяется во время работы системы 200 управления. Если в работе удаленного электронного блока 204 происходит слишком большая задержка, возвращаемый индикатор активности не будет соответствовать индикатору 214 активности. Величина слишком большой задержки может быть выбрана в зависимости от того, какая задержка приводит к нежелательной работе удаленного электронного блока 204.
[0061] Тракт 2 208 вырабатывает статус 2 216. Статус может указывать на аномалии, которые идентифицирует тракт 2 208. Эта аномалия может быть для тракта 2 208 или передающего тракта 212. Тракт 2 208 имеет генератор 230 циклического контроля по избыточности (cyclic redundancy check, CRC), который вырабатывает значение (CRC2) 218 циклического контроля по избыточности с использованием индикатора 215 активности, статуса 2 216 и ключа 2 220. Ключ 2 220 является ключом, присвоенным тракту 2 208. Тракт 2 208 отправляет сообщение 222 в передающий тракт 212. В идеальном случае индикатор 215 активности должен иметь такое же значение, как индикатор 214 активности. Сообщение 222 содержит статус 2 216 и значение 218 циклического контроля по избыточности.
[0062] В этом иллюстративном примере передающий тракт 212 вырабатывает статус 1 224. Статус 1 224 включает в себя признаки аномалий, которые передающий тракт 212 может идентифицировать для передающего тракта 212 или тракта 2 208. Передающий тракт 212 имеет генератор 232 циклического контроля по избыточности, который вырабатывает значение (CRC1) 226 циклического контроля по избыточности с использованием индикатора 248 активности, статуса 1 224 и ключа 1 228. Ключ 1 228 является ключом, присвоенным передающему тракту 212.
[0063] Кроме того, генератор 232 циклического контроля по избыточности показан в виде компонента, выполненного отдельно от генератора 230 циклического контроля по избыточности. В некоторых иллюстративных примерах эти два блока могут быть объединены со значениями циклического контроля по избыточности, вырабатываемыми одним физическим компонентом.
[0064] Как изображено на чертежах, передающий тракт 212 создает и отправляет сообщение 234. В этом примере сообщение 234 включает в себя индикатор 248 активности, статус 1 224, значение 226 циклического контроля по избыточности, статус 2 216 и значение 218 циклического контроля по избыточности. Индикатор 248 активности может быть таким же, как индикатор 214 активности или может иметь другое значение.
[0065] Сообщение 234 отправляют в систему 202 электронной аппаратуры управления полетом. Как изображено на чертежах, сообщение 234 обрабатывают устройством 236 мониторинга отказов двух трактов. Устройство 236 мониторинга отказов двух трактов начинает работу, когда происходит отказ первого тракта в удаленном электронном блоке 204. Устройство 236 мониторинга отказов двух трактов выполняет мониторинг входящих сообщений, таких как сообщение 234, для определения, произошел ли отказ тракта в двух оставшихся трактах в удаленном электронном блоке 204.
[0066] Устройство 236 мониторинга отказов двух трактов изучает статус, вырабатываемый каждым трактом в удаленном электронном блоке 204 для определения, указывает ли какой-либо из статусов на возникновение аномалии или отказа в передающем тракте 212 или тракте 2 208. Кроме того, устройство 236 мониторинга отказов двух трактов также выполняет мониторинг в отношении несоответствия индикатора активности, при котором индикатор 214 активности не соответствует индикатору 248 активности в сообщении 234.
[0067] При определении, существует ли несоответствие значения циклического контроля по избыточности, устройство 236 мониторинга отказов двух трактов вырабатывает локальное значение (LCRC1) 238 циклического контроля по избыточности для передачи и локальное значение (LCRC2) 240 циклического контроля по избыточности для тракта 2 208. Эти значения вырабатывают с использованием локальных ключей 242, таких как локальный ключ 1 244 и локальный ключ 2 246. Локальный ключ 1 244 является локальным ключом для ключа 1 228, а локальный ключ 2 246 является локальным ключом для ключа 2 220.
[0068] Эти локальные значения циклического контроля по избыточности сравнивают со значениями циклического контроля по избыточности в сообщении 222, с тем чтобы определить, существует ли несоответствие значения циклического контроля по избыточности. Использование ключей способствует уменьшению вероятности того, что какой-либо процесс для компонентов может вырабатывать для тракта поддельный статус.
[0069] В иллюстративном примере каждый тракт использует индикатор 214 активности для выработки значения циклического контроля по избыточности. Если новые данные не передаются определенным трактом, или данные передаются слишком медленно, возвращаемый индикатор активности, индикатор 248 активности в сообщении 234, не будет соответствовать индикатору 214 активности.
[0070] По меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений, имеет место отказ второго тракта. В этом иллюстративном примере прекращают подачу питания на удаленный электронный блок 204, когда отказ второго тракта был идентифицирован устройством 236 мониторинга отказов двух трактов.
[0071] Далее со ссылкой на ФИГ. 3 показана блок-схема процесса управления системой управления, имеющей тройную избыточность в соответствии с иллюстративным вариантом реализации изобретения. Процесс, показанный на ФИГ. 3, может быть реализован в системе 110 электронной аппаратуры управления полетом в системе 106 управления по ФИГ. 1. Различные операции, показанные на ФИГ. 3, могут быть реализованы в виде программного кода, аппаратных средств или их комбинации в системе обработки данных, используемой для реализации системы электронной аппаратуры управления полетом, такой как компьютерная система 142 по ФИГ. 1.
[0072] Процесс начинают с приема группы сообщений от передающего тракта в контроллере, содержащем три тракта, в которых ранее произошел отказ первого тракта (операция 300). Согласно процессу идентифицируют индикатор активности, статус, вырабатываемый каждым трактом в группе трактов, и значение циклического контроля по избыточности, вырабатываемое каждым трактом в группе трактов, в группе сообщений (операция 302). Значение циклического контроля по избыточности, вырабатываемое трактом в группе трактов, вырабатывают с использованием ключа, присвоенного указанному тракту.
[0073] Согласно процессу отключают контроллер по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений, что указывает на произошедший отказ второго тракта (операция 304). После этого процесс завершают.
[0074] Со ссылкой на ФИГ. 4 показана блок-схема процесса мониторинга трактов в соответствии с иллюстративным вариантом реализации изобретения. Процесс, показанный на ФИГ. 4, может быть реализован в системе 202 электронной аппаратуры управления полетом в системе 200 управления по ФИГ. 2. Этот процесс также может быть реализован в устройстве 236 мониторинга отказов двух трактов в системе 202 электронной аппаратуры управления полетом в системе 200 управления по ФИГ. 2. Различные операции, показанные на ФИГ. 2, могут быть реализованы в виде программного кода, аппаратных средств или их комбинации в системе обработки данных, используемой для реализации системы электронной аппаратуры управления полетом, такой как компьютерная система 142 по ФИГ. 1.
[0075] Процесс начинают с приема сообщения от передающего тракта в контроллере (операция 400). Согласно процессу идентифицируют индикатор активности, статус от передающего тракта, статус от второго работающего тракта, значение циклического контроля по избыточности, вырабатываемое передающим трактом, и значение циклического контроля по избыточности, вырабатываемое вторым работающим трактом (операция 402). Согласно процессу определяют наличие аномалии с использованием информации, идентифицированной в сообщении (операция 404). В этом иллюстративном примере аномалия присутствует, в этом примере, по меньшей мере при одном из следующего: указании на аномалию в статусе, наличии несоответствия индикатора активности или наличии несоответствия данных контроля ошибок в группе сообщений.
[0076] При наличии аномалии согласно процессу выполняют корректирующее воздействие (операция 406), после чего процесс завершают. Это корректирующее воздействие может иметь различные формы. Например, согласно процессу можно прекратить подачу питания на контроллер, отключить контроллер от шины связи, выключить контроллер, перезагрузить контроллер или предпринять какие-либо другие действия.
[0077] Со ссылкой на операцию 404, при отсутствии аномалии процесс возвращают к операции 400. С помощью этого процесса контроллер освобождают от ответственности за перевод контроллера в "отказоустойчивый" режим.
[0078] Со ссылкой на ФИГ. 5 показана блок-схема процесса определения, существует ли несоответствие значения циклического контроля по избыточности, в соответствии с иллюстративным вариантом реализации изобретения. Процесс, показанный на ФИГ. 5, может быть реализован в системе 110 электронной аппаратуры управления полетом в системе 106 управления по ФИГ. 1. Различные операции, показанные на ФИГ. 5, могут быть реализованы в виде программного кода, аппаратных средств или их комбинации в системе обработки данных, используемой для реализации системы электронной аппаратуры управления полетом, такой как компьютерная система 142 по ФИГ. 1.
[0079] Процесс начинают с вычисления локального значения циклического контроля по избыточности для группы сообщений с использованием индикатора активности, статуса и локального ключа для тракта в группе трактов в группе сообщений (операция 500). Локальный ключ является ключом, расположенным в системе 110 электронной аппаратуры управления полетом по ФИГ. 1. Локальный ключ не передается ни при каком обмене данными между системой 110 электронной аппаратуры управления полетом и контроллером 112 во время нормальной работы летательного аппарата 104, показанного на ФИГ. 1.
[0080] Согласно процессу идентифицируют значение циклического контроля по избыточности в сообщении, принятом от контроллера (операция 502). Выполняют определение, существует ли соответствие между значением циклического контроля по избыточности и локальным значением циклического контроля по избыточности (операция 504). Если соответствия нет, процесс указывает на наличие несоответствия (операция 506), после чего процесс завершают. В противном случае процесс указывает на наличие соответствия (операция 508), после чего процесс завершают.
[0081] Блок-схемы и структурные схемы в различных изображенных вариантах реализации изобретения иллюстрируют архитектуру, функциональность и работу некоторых возможных вариантов осуществления устройств и способов в иллюстративном варианте реализации изобретения. В этой связи, каждый блок в блок-схемах или структурных схемах может представлять по меньшей мере один объект из группы, включающей: модуль, сегмент, функцию или часть операции или этапа. Например, один или более блоков могут быть реализованы в виде программного кода, аппаратных средств или комбинации программного кода и аппаратных средств. При реализации в аппаратных средствах аппаратные средства могут, например, принимать форму интегральных схем, которые изготовлены или выполнены с возможностью осуществления одной или более операций в блок-схемах или структурных схемах. При реализации в виде комбинации программного кода и аппаратных средств реализация может принимать форму прошивки. Каждый блок в блок-схемах или структурных схемах может быть реализован с использованием систем аппаратных средств специального назначения, которые выполняют различные операции, или с использованием комбинаций аппаратных средств и программного кода специального назначения, запущенных на таком аппаратном средстве специального назначения.
[0082] В некоторых альтернативных реализациях иллюстративного варианта реализации раскрытия настоящего изобретения функция или функции, описанные в блоках, могут иметь место не в том порядке, который показан на фигурах чертежей. Например, в некоторых случаях два блока, показанные последовательно, могут быть выполнены по существу одновременно, или блоки иногда могут быть выполнены в обратном порядке, в зависимости от используемой функциональности. Кроме того, другие блоки могут быть добавлены в дополнение к блокам, показанным в блок-схеме или структурной схеме.
[0083] На ФИГ. 6 показана структурная схема системы обработки данных в соответствии с иллюстративным вариантом реализации изобретения. Система 600 обработки данных может быть использована для реализации компьютерной системы 142 по ФИГ. 1. В этом иллюстративном примере система 600 обработки данных включает в себя инфраструктуру 602 связи, которая обеспечивает сообщение между процессорным блоком 604, запоминающим устройством 606, устройством 608 постоянного хранения, блоком 610 связи, блоком 612 ввода/вывода и дисплеем 614. В этом примере инфраструктура 602 связи может принимать форму системы на основе шины.
[0084] Процессорный блок 604 служит для выполнения инструкций для программного обеспечения, которое может быть загружено в запоминающее устройство 606. Процессорный блок 604 может представлять собой множество процессоров, мультипроцессорное ядро или некоторые другие типы процессора, в зависимости от конкретной реализации.
[0085] Запоминающее устройство 606 и устройство 608 постоянного хранения являются примерами устройств 616 хранения. Устройство хранения представляет собой любую часть аппаратных средств, которые выполнены с возможностью сохранения информации, такой как, например, без ограничения, по меньшей мере одно из следующего: данные, программный код в функциональной форме или иная подходящая информация либо на постоянной основе, либо на временной основе, либо как на постоянной, так и на временной основе. Устройства 616 хранения в этих иллюстративных примерах могут также называться компьютерочитаемыми устройствами хранения. Запоминающее устройство 606 в этих примерах может представлять собой, например, оперативное запоминающее устройство или любое иное подходящее энергозависимое или энергонезависимое устройство хранения. Устройство 608 постоянного хранения может быть выполнено в различных формах, в зависимости от конкретной реализации.
[0086] Например, устройство 608 постоянного хранения может содержать один или более компонентов или устройств. Например, устройство 608 постоянного хранения может представлять собой жесткий диск, твердотельный накопитель, флэш-память, перезаписываемый оптический диск, перезаписываемую магнитную ленту или какую-либо комбинацию вышеперечисленного. Носители, используемые устройством 608 постоянного хранения, также могут быть съемными. Например, для устройства 608 постоянного хранения может быть использован съемный жесткий диск.
[0087] Блок 610 связи в этих иллюстративных примерах обеспечивает сообщение с другими системами или устройствами обработки данных. В этих иллюстративных примерах блок 610 связи представляет собой сетевую интерфейсную плату.
[0088] Блок 612 ввода/вывода обеспечивает возможность ввода и вывода данных другими устройствами, которые могут быть соединены с системой 600 обработки данных. Например, блок 612 ввода/вывода может обеспечивать соединение для ввода пользователя с помощью клавиатуры, мыши и/или какого-либо иного подходящего устройства ввода. Кроме того, блок 612 ввода/вывода может отправлять выходные данные на принтер. Дисплей 614 обеспечивает механизм отображения информации для пользователя.
[0089] Инструкции по меньшей мере для одного из: операционной системы, приложений и/или программ могут быть расположены в устройствах 616 хранения, которые сообщаются с процессорным блоком 604 через инфраструктуру 602 связи. Процессы различных вариантов осуществления могут быть выполнены процессорным блоком 604 с использованием компьютероисполняемых инструкций, которые могут быть расположены в запоминающем устройстве, таком как запоминающее устройство 606.
[0090] Эти инструкции могут быть упомянуты как программный код, программный код, используемый вычислительным устройством, или компьютерочитаемый программный код, который может быть считан или исполнен процессором в процессорном блоке 604. Программный код в различных вариантах осуществления может быть реализован на различных физических или компьютерочитаемых носителях для хранения, таких как запоминающее устройство 606 или устройство 608 постоянного хранения.
[0091] Программный код 618 находится в функциональной форме на компьютерочитаемом носителе 620, который выполнен с возможностью снятия по выбору и может быть загружен или перемещен в систему 600 обработки данных для выполнения процессорным блоком 604. Программный код 618 и компьютерочитаемый носитель 620 в этих иллюстративных примерах образуют компьютерный программный продукт 622. В одном примере компьютерочитаемый носитель 620 может представлять собой компьютерочитаемый носитель 624 или для хранения данных или компьютерочитаемый носитель 626 для сигнала.
[0092] В этих иллюстративных примерах компьютерочитаемый носитель 624 для хранения данных является физическим или материальным устройством хранения, используемым для хранения программного кода 618, а не средством распространения или передачи программного кода 618.
[0093] В альтернативном варианте реализации изобретения программный код 618 может быть передан в систему 600 обработки данных с использованием компьютерочитаемого носителя 626 для сигнала. Компьютерочитаемый носитель 626 для сигнала может представлять собой, например, распространяемый сигнал данных, содержащий программный код 618. Например, компьютерочитаемый носитель 626 для сигнала может быть по меньшей мере одним из следующего: электромагнитного сигнала, оптического сигнала или сигнала какого-либо иного подходящего типа. Эти сигналы могут быть переданы посредством по меньшей мере одного из следующего: линии связи, такой как беспроводные линии связи, оптико-волоконный кабель, коаксильный кабель, провод, или линии связи любого иного подходящего типа.
[0094] Различные компоненты, показанные для системы 600 обработки данных, не предназначены для наложения архитектурных ограничений на способ, которым могут быть реализованы различные варианты осуществления. Различные иллюстративные варианты реализации изобретения могут быть реализованы в системе обработки данных, которая включает в себя компоненты в дополнение или вместо тех, которые показаны в виде иллюстраций для системы 600 обработки данных. Другие компоненты, изображенные на ФИГ. 6, могут отличаться от показанных иллюстративных примеров. Различные варианты осуществления могут быть реализованы с использованием любого устройства, выполненного на основе аппаратных средств, или системы, выполненной с возможностью запуска программного кода 618.
[0095] Иллюстративные варианты реализации раскрытия настоящего изобретения могут быть описаны в контексте способа 700 изготовления и обслуживания летательного аппарата, как показано на ФИГ. 7, и летательного аппарата 800, как показано на ФИГ. 8. Со ссылкой на ФИГ. 7 показана блок-схема способа изготовления и обслуживания летательного аппарата в соответствии с иллюстративным вариантом реализации изобретения. Во время подготовки к производству способ 700 изготовления и обслуживания летательного аппарата может включать в себя разработку спецификации и проектирование 702 летательного аппарата 800 по ФИГ. 8 и материально-техническое снабжение 704.
[0096] Во время производства имеет место изготовление компонентов и сборочных узлов, 706, и интеграция систем, 708, летательного аппарата 800 по ФИГ. 8. После этого летательный аппарат по ФИГ. 8 может пройти этапы сертификации и доставки, 710, для ввода в эксплуатацию 712. В процессе эксплуатации 712 заказчиком летательный аппарат 800 по ФИГ. 8 проходит плановые регламентное техобслуживание и текущий ремонт 714, которые могут включать в себя модернизацию, перенастройку, переоборудование и другое техобслуживание или текущий ремонт.
[0097] Каждый из процессов способа 700 изготовления и обслуживания летательного аппарата может быть выполнен или осуществлен системным интегратором, третьей стороной, оператором или какой-либо их комбинацией. В указанных примерах оператор может являться заказчиком. Для целей настоящего описания системный интегратор может включать в себя, помимо прочего, любое количество производителей летательных аппаратов и субподрядчиков по основным системам; третья сторона может включать в себя, помимо прочего, любое количество продавцов, субподрядчиков и поставщиков; а оператор может представлять собой авиакомпанию, лизинговую компанию, военную организацию, обслуживающую организацию и т.д.
[0098] Со ссылкой на ФИГ. 8 показана структурная схема летательного аппарата, в котором может быть реализован иллюстративный вариант реализации изобретения. В этом примере летательный аппарат изготавливают способом 700 изготовления и обслуживания летательного аппарата по ФИГ. 7, и он может включать в себя корпус 802 с множеством систем 804 и внутренней частью 806. Примеры систем 804 включают в себя одну или более из следующего: систему 807 поверхностей управления полетом, движительную систему 808, электрическую систему 810, гидравлическую систему 812 и систему 814 управления окружающей средой. Может быть включено любое количество других систем.
[0099] Хотя показан пример, относящийся к аэрокосмической отрасли, различные иллюстративные варианты реализации изобретения могут быть реализованы в других отраслях промышленности, таких как автомобильная промышленность. Устройства и способы, раскрытые в настоящем документе, могут быть использованы во время по меньшей мере одного из этапов способа 700 изготовления и обслуживания летательного аппарата по ФИГ. 7.
[00100] В одном иллюстративном примере компоненты или сборочные узлы, изготовленные во время изготовления компонентов и сборочных узлов, 706, по ФИГ. 7 могут быть изготовлены или произведены аналогично компонентами или сборочным узлам, изготовленным при нахождении летательного аппарата 800 в эксплуатации 712 по ФИГ. 7. В качестве еще одного примера, один или более вариантов реализации устройств, способов или их комбинации могут быть использованы во время этапов производства, например, изготовления компонентов и сборочных узлов, 706, и интеграции систем, 708, по ФИГ. 7.
[00101] Например, система 106 управления по ФИГ. 1 и система 200 управления по ФИГ. 2 могут быть реализованы в летательном аппарате 800 во время по меньшей мере одного из следующего: изготовления компонентов и сборочных узлов, 706, или интеграции систем, 708, для управления различными системами в системах 804. Как изображено на чертежах, система 106 управления по ФИГ. 1 и система 200 управления по ФИГ. 2 может быть использована для управления по меньшей мере одним из следующего: системой 807 поверхностей управления полетом, движительной системой 808, электрической системой 810, гидравлической системой 812, системой 814 управления окружающей средой или другими системами летательного аппарата 800.
[00102] Один или более вариантов реализации устройств, способов или их комбинации могут быть использованы при нахождении летательного аппарата 800 в эксплуатации 712, во время регламентного техобслуживания и ремонта 714 по ФИГ. 7, или того и другого. Использование ряда различных иллюстративных вариантов реализации изобретения может существенно ускорить сборку летательного аппарата 800, уменьшить затраты на летательный аппарат 800 или одновременно ускорить сборку летательного аппарата 800 и уменьшить стоимость летательного аппарата 800. Например, система 106 управления по ФИГ. 1 и система 200 управления по ФИГ. 2 могут работать в то время, когда летательный аппарат 800 находится в эксплуатации 712. Кроме того, система 106 управления по ФИГ. 1 и система 200 управления по ФИГ. 2 могут быть добавлены в качестве новых компонентов или усовершенствований, когда для летательного аппарата 800 по ФИГ. 8 запланированы регламентное техобслуживание и текущий ремонт 714 по ФИГ. 7, которые могут включать в себя модернизацию, перенастройку, переоборудование и другое техобслуживание или текущий ремонт.
[00103] Таким образом, один или более иллюстративных примеров обеспечивают реализацию способа и устройства для управления системой управления, имеющей тройную избыточность. В одном иллюстративном примере представлено техническое решение, которое обеспечивает технический результат, заключающийся в обеспечении управления при отказе второго тракта. В одном иллюстративном примере одно техническое решение использует исправный тракт для выявления отказа второго тракта и сообщения о его возникновении в ведущий контроллер, такой как система электронной аппаратуры управления полетом, и позволяет системе электронной аппаратуры управления полетом отключать привод, если в контроллер сообщается о таком сбое. В иллюстративном примере прекращают подачу питания на удаленный электронный блок, функционирующий в качестве контроллера, в качестве одного примерного механизма, когда может быть достигнуто отключение привода.
[00104] В иллюстративном примере данные передают из одного тракта, передающего тракта. Этот передающий тракт может быть вторым трактом с отказом. Данные принимают ведущим контроллером, таким как система электронной аппаратуры управления полетом. Анализ данных, отправленных передающим трактом, используется системой электронной аппаратуры управления полетом для определения, произошел ли отказ.
[00105] В иллюстративных примерах данные включают в себя по меньшей мере одно из следующего: индикатора активности, статуса и данных контроля ошибок. Эта информация может быть использована для защиты от случая, когда передающий тракт, который считается исправным, становится трактом с отказом.
[00106] Например, каждый тракт вырабатывает "статус", который содержит указание на факт наблюдения аномалии трактом. Этот статус наряду с другими параметрами отправляют в передающий тракт. Передающий тракт передает информацию в одном или более сообщений в систему электронной аппаратуры управления полетом.
[00107] Если любой из оставшихся двух трактов указывает на аномалию посредством статуса, система электронной аппаратуры управления полетом выключает привод. Выключение может быть выполнено посредством прекращения подачи электрической энергии на контроллер привода. Для защиты от прерывания передающим трактом, имеющим отказ, этого канала связи или повреждения данных, в сообщение включают данные контроля ошибок. Таким образом, система электронной аппаратуры управления полетом может обнаруживать, произошло ли прерывание канала передачи данных, или факт повреждения данных.
[00108] Описание различных иллюстративных вариантов реализации изобретения было представлено в целях иллюстрации, и это описание не является исчерпывающим или ограниченным раскрытыми формами реализации настоящего изобретения. Различные иллюстративные примеры описывают компоненты, которые выполняют действия или операции. В иллюстративном варианте реализации изобретения компонент может быть выполнен с возможностью осуществления описанных операции или действия. Например, компонент может иметь конфигурацию или конструкцию, подходящую для структуры, которая обеспечивает возможность выполнения компонентом действия или операции, описанной в иллюстративных примерах как выполненная посредством указанного компонента.
[00109] Многие модификации и изменения будут очевидны специалистам в данной области техники. Кроме того, различные иллюстративные варианты реализации изобретения могут обеспечивать различные признаки по сравнению с другими желательными вариантами реализации изобретения. Хотя иллюстративный пример описан в отношении удаленного электронного блока, который управляет приводом поверхности управления полетом на основании команд от системы электронной аппаратуры управления полетом, другие иллюстративные примеры могут быть применены к другим системам управления. Например, другой иллюстративный пример может быть применен к контроллеру, управляющему клапанами в шлюзе для плотины, или какой-либо иной системе с тройной избыточностью, в которой важна готовность к эксплуатации.
[00110] Вариант или варианты реализации изобретения выбраны и для того, чтобы лучше объяснить принципы его осуществления, практического применения и дать представление другим специалистам в данной области техники о различных вариантах изобретения с различными модификациями, которые подходят для конкретного использования.
1. Способ управления системой (106) управления, имеющей тройную избыточность, для летательного аппарата (104), включающий:
- прием группы сообщений (116) от передающего тракта (118) в контроллере (112), содержащем три тракта, в которых ранее произошел отказ первого тракта (122);
- идентификацию индикатора (124) активности, статуса (128), вырабатываемого каждым трактом в группе трактов (120), и значения (128) циклического контроля по избыточности, вырабатываемого каждым трактом в группе трактов (120), в группе сообщений (116), причем
значение (128) циклического контроля по избыточности, вырабатываемое трактом в группе трактов (120), вырабатывают с использованием ключа (132), присвоенного тракту; и
- отключение контроллера (112) по меньшей мере при одном из следующего: указании на аномалию в статусе (128), наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений (116), что указывает на произошедший отказ второго тракта (134).
2. Способ по п. 1, также включающий:
вычисление локального значения (138) циклического контроля по избыточности для группы сообщений (116) с использованием индикатора (124) активности, статуса (128) и локального ключа (140) для указанного тракта в группе трактов (120) в группе сообщений (116).
3. Способ по п. 1, согласно которому этап отключения включает:
прекращение подачи питания на контроллер (112).
4. Способ по п. 1, также включающий:
выработку индикатора (124) активности и
отправку индикатора (124) активности в контроллер (112).
5. Способ по п. 1, согласно которому значение (128) циклического контроля по избыточности также основано на индикаторе (124) активности и статусе (128).
6. Способ по п. 1, согласно которому группа сообщений (116) зашифрована.
7. Способ по п. 1, согласно которому контроллер (112) представляет собой удаленный электронный блок (136).
8. Способ по п. 1, согласно которому этапы приема, идентификации и отключения выполняют посредством системы (110) электронной аппаратуры управления полетом.
9. Способ по п. 1, согласно которому контроллер (112) выполнен с возможностью управления по меньшей мере одним из следующего: приводом, клапаном, рулевой машинкой, поверхностью управления полетом, полетной развлекательной системой, топливной системой, двигателем, системой управления условиями окружающей среды автопилотом или системой шасси.
10. Способ по п. 1, согласно которому аномалию указывают в статусе (128) и выбирают по меньшей мере из одного из следующего: самодекларирования отказа передающим трактом (118), отказа второго тракта или вывода тракта с отказом из выключенного состояния.
11. Система (106) управления, имеющая тройную избыточность, для летательного аппарата (104), содержащая:
систему (110) электронной аппаратуры управления полетом, выполненную с возможностью:
- приема группы сообщений (116) от передающего тракта (118) в контроллере (112), содержащем три тракта, в которых ранее произошел отказ первого тракта (122);
- идентификации индикатора (124) активности, статуса (128), вырабатываемого каждым трактом в группе трактов (120), и значения (128) циклического контроля по избыточности, вырабатываемого каждым трактом в группе трактов (120), в группе сообщений (116), причем
значение (128) циклического контроля по избыточности, вырабатываемое трактом в группе трактов (120), вырабатывают с использованием ключа (132), присвоенного указанному тракту; и
- отключения контроллера (112) по меньшей мере при одном из следующего: указании на аномалию в статусе (128), наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений (116), что указывает на произошедший отказ второго тракта (134).
12. Система (106) управления по п. 11, в которой система (110) электронной аппаратуры управления полетом выполнена с возможностью вычисления локального значения (138) циклического контроля по избыточности для группы сообщений (116) с использованием индикатора (124) активности, статуса (128) и локального ключа (14) для указанного тракта в группе трактов (120) в группе сообщений (116).
13. Система (106) управления по п. 11, в которой при отключении контроллера (112) система (110) электронной аппаратуры управления полетом прекращает подачу питания на контроллер (112).
14. Система (106) управления по п. 11, в которой система (110) электронной аппаратуры управления полетом выполнена с возможностью выработки индикатора (124) активности и отправки индикатора (124) активности в контроллер (112).
15. Система (106) управления по п. 11, в которой значение (128) циклического контроля по избыточности также основано на индикаторе (124) активности и статусе (128).
16. Система (106) управления по п. 11, в которой группа сообщений (116) зашифрована.
17. Система (106) управления по п. 11, в которой контроллер (112) представляет собой удаленный электронный блок (136).
18. Система (106) управления по п. 11, в которой контроллер (112) выполнен с возможностью управления по меньшей мере одним из следующего: приводом, клапаном, рулевой машинкой, поверхностью управления полетом, полетной развлекательной системой, топливной системой, двигателем, системой (106) управления условиями окружающей среды, автопилотом или системой шасси.
19. Система (106) управления по п. 11, в которой аномалия указана в статусе (128) и выбрана по меньшей мере из одного из следующего: самодекларирования отказа передающим трактом (118), отказа второго тракта или вывода тракта с отказом из выключенного состояния.
20. Способ управления системой (106) управления для летательного аппарата (104), включающий:
прием группы сообщений (116) в системе (110) электронной аппаратуры управления полетом от передающего тракта (118) в удаленном электронном блоке (136), содержащем для тройной избыточности три тракта, в которых ранее произошел отказ первого тракта (122);
идентификацию посредством системы (110) электронной аппаратуры управления полетом индикатора (124) активности, статуса (128), вырабатываемого передающим трактом (118), и значения (128) циклического контроля по избыточности в группе сообщений (116) на основании ключа (132), присвоенного передающему тракту (118); и
осуществление посредством системы (110) электронной аппаратуры управления полетом действия в отношении удаленного электронного блока (136) по меньшей мере при одном из следующего: указании на аномалию в статусе (128), наличии несоответствия индикатора активности или наличии несоответствия значения циклического контроля по избыточности в группе сообщений (116), что указывает на произошедший отказ второго тракта (134).
21. Способ по п. 20, согласно которому действие выбирают из одного из следующего: отключения контроллера (112), отключения тракта в контроллере (112), активации еще одного контроллера и перезапуска контроллера (112).
22. Способ управления системой (106) управления, имеющей тройную избыточность, для летательного аппарата (104), включающий:
прием группы сообщений (116) от передающего тракта (118) в контроллере (112), содержащем три тракта, в которых ранее произошел отказ первого тракта (122);
идентификацию индикатора (124) активности и несоответствия данных контроля ошибок, вырабатываемого группой трактов (120), в группе сообщений (116) на основании группы ключей, присвоенных группе трактов (120); и
отключение контроллера (112) по меньшей мере при одном из следующего: указании на аномалию в статусе (128), наличии несоответствия индикатора активности или наличии несоответствия данных контроля ошибок в группе сообщений (116), что указывает на произошедший отказ второго тракта (134).
