本發(fā)明的目的在于一種用于飛行器的飛行控制系統(tǒng)，該飛行控制系統(tǒng)包括兩個處理單元或計算機(jī)并且形成雙通道架構(gòu)。

該系統(tǒng)更特別地適用于小尺寸發(fā)動機(jī)，例如，直升機(jī)的發(fā)動機(jī)。

背景技術(shù)：

用于裝配飛行器(諸如，現(xiàn)有的飛機(jī)或直升機(jī))的機(jī)載飛行控制系統(tǒng)執(zhí)行用于控制和調(diào)節(jié)飛行器的發(fā)動機(jī)的功能，以確保飛行器的發(fā)動機(jī)正常運行。這些功能對于乘客的安全而言至關(guān)重要。因此，這樣的系統(tǒng)必須是故障安全系統(tǒng)。

為此，現(xiàn)有的飛行控制系統(tǒng)通常包括兩個處理單元或計算機(jī)，每個處理單元或計算機(jī)均能夠確保發(fā)動機(jī)正常運行。因此，這樣的系統(tǒng)形成雙通道架構(gòu)，其中，每個通道均能夠確保在另一通道發(fā)生故障的情況下執(zhí)行所述至關(guān)重要的功能。

為了確定是否應(yīng)該執(zhí)行這些功能，每個處理單元應(yīng)當(dāng)能夠與控制系統(tǒng)的另一處理單元交換信息，特別是能夠交換與所述另一處理單元的健康狀況相關(guān)的信息。為此，兩個處理單元通常都通過雙向數(shù)字鏈路或兩個方向相反的單向鏈路(諸如，ccdl(交叉信道數(shù)據(jù)鏈路)鏈路)來進(jìn)行連接。

為了加強(qiáng)這種飛行控制系統(tǒng)的故障安全性質(zhì)，可以將控制系統(tǒng)的處理單元分離成兩個遠(yuǎn)程殼體，以使得所述處理單元在地理上彼此分離，從而降低所述處理單元對外部攻擊的敏感性。此外，為了使控制系統(tǒng)能夠抵抗處理單元之間的數(shù)據(jù)鏈路故障，處理單元可以通過形式為幾個離散模擬鏈路的附加鏈路來進(jìn)行連接，對于民用全權(quán)限數(shù)字式發(fā)動機(jī)控制(fadec)而言，在數(shù)量上可以達(dá)到二十個離散模擬鏈路。然而，鏈路數(shù)量的增大會增加這些鏈路之一發(fā)生故障的概率，并且會增大布線體積，從而難以開發(fā)出緊湊的飛行控制系統(tǒng)。雖然飛行控制系統(tǒng)僅是用于控制諸如客機(jī)之類的大型飛機(jī)的發(fā)動機(jī)的附件，但是在小型飛機(jī)的發(fā)動機(jī)(例如，直升機(jī)的發(fā)動機(jī))的情況下，這種緊湊性對于容納總尺寸而言是根本的。

因此，需要一種使得布線量最小化同時能夠抵抗故障和外部干擾的具有雙通道架構(gòu)的控制系統(tǒng)。

技術(shù)實現(xiàn)要素：

因此，根據(jù)第一方面，本發(fā)明涉及一種飛行器的飛行控制系統(tǒng)，其包括：

-第一處理單元，

-第二處理單元，

-通信裝置，其被配置為在第一處理單元和第二處理單元之間建立第一雙向數(shù)字鏈路和第二雙向數(shù)字鏈路，

所述第二鏈路相對于第一鏈路是冗余的，并且所述第一鏈路和所述第二鏈路能夠同時激活，

所述系統(tǒng)還包括備用通信裝置，該備用通信裝置能夠在第一鏈路和第二鏈路發(fā)生故障的情況下確保第一處理單元和第二處理單元之間的數(shù)據(jù)交換，

所述備用通信裝置包括傳感器或致動器的網(wǎng)絡(luò)和/或用于航空電子設(shè)備的機(jī)載安全網(wǎng)絡(luò)。

通過該系統(tǒng)的處理單元的冗余性和該系統(tǒng)的通信裝置的冗余性以及通過使得通信鏈路的數(shù)量最小化，同時通過使得該系統(tǒng)的體積減小，該系統(tǒng)具有較強(qiáng)的抗故障性。此外，備用通信裝置能夠避免雙通道系統(tǒng)徹底成為盲點以及避免兩個處理單元之間的通信被切斷。最后，使用這樣的網(wǎng)絡(luò)來在處理單元之間交換信息片段能夠增大處理單元之間的通信裝置的冗余水平并且能夠確保飛行控制系統(tǒng)安全運行，而不需要將專用于處理單元之間的通信的附加通信裝置設(shè)置在適當(dāng)?shù)奈恢谩?/p>

根據(jù)有利且非限制性的特征，第一鏈路和第二鏈路可以是ccdl(“交叉通道數(shù)據(jù)鏈路”)鏈路。

這種鏈路尤其能夠使處理單元交換相對于通過公知系統(tǒng)的離散模擬鏈路交換的健康狀況信息而言更復(fù)雜的健康狀況信息，同時能夠限制布線的體積。

用于航空電子設(shè)備的機(jī)載安全網(wǎng)絡(luò)可以是例如afdx(“航空電子全雙工交換式以太網(wǎng)”)或μafdx類型的冗余以太網(wǎng)網(wǎng)絡(luò)。

根據(jù)有利的和非限制性的特征，根據(jù)第一方面的控制系統(tǒng)的每個處理單元都包括用于驗證通過每個鏈路所接收的數(shù)據(jù)的完整性的裝置。

這能夠確保所接收的數(shù)據(jù)在其傳輸期間沒有被破壞。

此外，每個處理單元可以包括用于在數(shù)據(jù)既通過第一鏈路又通過第二鏈路被傳輸之后，驗證通過第一鏈路所接收的數(shù)據(jù)與通過第二鏈路所接收數(shù)據(jù)的一致性的裝置。

這能夠加強(qiáng)對處理單元之間交換的數(shù)據(jù)的變化的系統(tǒng)檢測能力，并且因此使飛行控制系統(tǒng)的故障概率最小化。

此外，根據(jù)第一方面的飛行控制系統(tǒng)的通信裝置可以被配置成將與第一處理單元的健康狀況相關(guān)的數(shù)據(jù)從第一處理單元發(fā)送至第二處理單元，根據(jù)第一方面的所述系統(tǒng)還包括用于根據(jù)所發(fā)送的與第一處理單元的健康狀況相關(guān)的數(shù)據(jù)以及與第二數(shù)據(jù)處理單元的健康狀況相關(guān)的數(shù)據(jù)來從第一處理單元和第二處理單元中選擇用于控制飛行器的發(fā)動機(jī)的處理單元。

這種數(shù)據(jù)交換允許每個處理單元都能夠得知其他處理單元的健康狀況，以便保證具有最佳健康的通道始終確保對發(fā)動機(jī)進(jìn)行控制。

附圖說明

在閱讀了下面的對實施例的描述之后，其他特征和優(yōu)點將變得明顯。將參考附圖給出該描述，其中：

-圖1示意性地示出了根據(jù)本發(fā)明實施例的飛行控制系統(tǒng)；

-圖2示意性地示出了根據(jù)本發(fā)明實施例的用于在飛行控制系統(tǒng)的兩個處理單元之間建立兩個ccdl鏈路的硬件裝置；

-圖3示意性地示出了根據(jù)本發(fā)明實施例的飛行控制系統(tǒng)的每個處理單元的ccdl模塊的物理隔離；

-圖4示意性地示出了根據(jù)本發(fā)明實施例的處理單元的、用于建立兩個ccdl鏈路的硬件裝置的分離。

具體實施方式

圖1所示的本發(fā)明的一個實施例涉及飛行器的飛行控制系統(tǒng)，該飛行控制系統(tǒng)包括至少一個第一處理單元1和第二處理單元2。這兩個處理單元都是冗余的，并且各自可以執(zhí)行用于控制和調(diào)節(jié)飛行器的發(fā)動機(jī)的功能。如圖1所示的系統(tǒng)形成包括通道a和通道b的雙通道架構(gòu)。

處理單元1和處理單元2可以是同一個包括幾個處理器的多處理器計算機(jī)系統(tǒng)的處理器。為了加強(qiáng)飛行控制系統(tǒng)對外部攻擊的抵抗力并且避免單個局部事件可能破壞處理單元1和2兩者，兩個通道可以彼此相距一定距離地安裝在獨立的殼體中。在這樣的配置中，處理單元不是單個處理器內(nèi)的集成執(zhí)行核心。

該系統(tǒng)還包括通信裝置，該通信裝置使得兩個處理單元能夠連接，以便允許對于每個處理單元的正確運行而言所必需的數(shù)據(jù)交換(諸如，關(guān)于相對的處理單元的健康狀況的信息片段)。

該雙通道系統(tǒng)與公知系統(tǒng)的區(qū)別在于，通信裝置被配置成在第一處理單元1與第二處理單元2之間建立第一雙向數(shù)字鏈路3和第二雙向數(shù)字鏈路4。與公知系統(tǒng)不同的是，該系統(tǒng)在兩個處理單元之間不包括任何離散鏈路，這能夠限制其布線的復(fù)雜度并且能夠限制通信鏈路之一發(fā)生故障的概率。

第二鏈路4相對于第一鏈路3冗余，以便在第一鏈路3發(fā)生故障的情況下能夠確保兩個處理單元之間進(jìn)行通信。從兩個處理單元之間的信息交換的觀點來看，這種冗余性保證了該系統(tǒng)具有與公知系統(tǒng)所表現(xiàn)出的安全級別相同的安全級別。

此外，第一鏈路和第二鏈路可以同時激活。因此，與通常只在第一鏈路發(fā)生故障的情況下才使用冗余鏈路的公知系統(tǒng)不同的是，該飛行控制系統(tǒng)在正常運行(即，兩個鏈路之一均沒有發(fā)生故障的情況下)期間可以同時使用第一鏈路3和第二鏈路4，并且可以通過同時使用這兩個鏈路來驗證兩個處理單元之間所交換的數(shù)據(jù)不存在損壞。

第一處理單元1和第二處理單元2可以使用協(xié)議以太網(wǎng)ieee802.3或hldc或sdlc或具有用于檢測或糾正錯誤的功能的任何其他協(xié)議來經(jīng)由鏈路3和鏈路4兩者來彼此通信。以太網(wǎng)鏈路尤其能夠通過應(yīng)用數(shù)據(jù)完整性控制的機(jī)制和流控制的機(jī)制來確保高性能、極大的環(huán)境魯棒性，特別是確保抗雷電和電磁兼容性(“cem”)和高功能魯棒性。此外，所述以太網(wǎng)協(xié)議是與航空電子通信技術(shù)(例如，afdx(“航空電子設(shè)備全雙工交換式以太網(wǎng)”)或μafdx)和維修相一致的工業(yè)標(biāo)準(zhǔn)。

第一鏈路和第二鏈路可以是ccdl(“交叉通道數(shù)據(jù)鏈路”)鏈路。這樣的鏈路允許每個應(yīng)用的同步精度達(dá)到小于100微秒。這種鏈路還使得能夠交換通過硬件或軟件所構(gòu)建的健康狀況信息、對系統(tǒng)有用的信息片段(捕獲，狀態(tài)等等)以及操作系統(tǒng)(os或“操作系統(tǒng)”)的功能數(shù)據(jù)或應(yīng)用系統(tǒng)(as或“應(yīng)用系統(tǒng)”)的功能數(shù)據(jù)，而不是交換類似于公知系統(tǒng)中的離散數(shù)據(jù)。

圖2示出了這兩個處理單元a和b之間的這種ccdl鏈路。每個處理單元1、2可以包括系統(tǒng)，例如，片上系統(tǒng)(soc)，或者由微處理器和獨立的殼體或fpga卡中實現(xiàn)的外圍設(shè)備組成的系統(tǒng)5a、5b，所述系統(tǒng)5a、5b包括用于建立第一ccdl鏈路3的第一ccdl模塊(ccdla)6a、6b，以及用于建立第二ccdl鏈路4的第二ccdl模塊(ccdlb)7a、7b。由于每個ccdl鏈路具有自身的模塊，因此增強(qiáng)了每個ccdl鏈路的獨立性，并且從而減少了兩個ccdl鏈路同時發(fā)生故障的概率。每個ccdl模塊可以經(jīng)由硬件接口phy8a、8b、8c、8d和變壓器9a、9b、9c、9d連接至該ccdl模塊的殼體的輸入/輸出接口。

如圖3所示，每個處理單元的ccdl模塊可以通過設(shè)置在系統(tǒng)5a、5b上遠(yuǎn)離彼此的不同位置處(例如，通過將它們中的每一個設(shè)置在系統(tǒng)的角落處)而實現(xiàn)物理分離?？商娲兀@些ccdl模塊可位于不同的芯片上。這使得能夠在改變seu(“單事件振蕩”)或mbu(“多位翻轉(zhuǎn)”)類型的情況下減小同時發(fā)生故障的概率。

根據(jù)第一替代方案，每個系統(tǒng)5a、5b由單獨的電源供電。根據(jù)第二替代方案，如圖4所示，除了整個片上系統(tǒng)公用的電源15(“電源”)之外，每個片上系統(tǒng)可以使用兩個不同的時鐘信號11和12供電。因此，盡管每個處理單元的ccdl模塊不是獨立供電的，但是所述每個處理單元的ccdl模塊可以使用獨立的時鐘進(jìn)行供電，這通過防止ccdl模塊之一的時鐘故障對其他ccdl模塊造成影響，來增強(qiáng)了片上系統(tǒng)的故障安全性質(zhì)。

每個處理單元的ccdl模塊可以借助于本地實時時鐘機(jī)制(htr或rtc“實時時鐘”)10a、10b以及借助于同步機(jī)制(例如，同步窗口機(jī)制)來進(jìn)行同步。因此，在同步丟失的情況下，每個處理單元可以通過其本地時鐘來運行，然后在接收到有效信號之后再次進(jìn)行同步。本地時鐘機(jī)制可以通過應(yīng)用程序進(jìn)行編程，并且其編程被保護(hù)以免改變seu(“單事件翻轉(zhuǎn)”)或mbu(“多位翻轉(zhuǎn)”)類型。然而，即使在沒有同步的情況下或在丟失時鐘的情況下，ccdl鏈路仍然可以繼續(xù)操作。

該系統(tǒng)還可以包括備用通信裝置，該備用通信裝置能夠確保第一處理單元和第二處理單元之間進(jìn)行數(shù)據(jù)交換，并且專門用在第一鏈路和第二鏈路發(fā)生故障的情況下，用于避免處理單元之間的通信被切斷。

在圖1所示的第一實施例中，這些備用通信裝置可以包括傳感器或致動器的網(wǎng)絡(luò)13。這種傳感器或致動器的網(wǎng)絡(luò)可以作為示例并且可以是智能傳感器或致動器(“智能傳感器”，“智能致動器”)的網(wǎng)絡(luò)。然后可以經(jīng)由rs-485型的總線將每個處理單元連接至該網(wǎng)絡(luò)13，從而使得不再以模擬方式而是以數(shù)字方式來傳輸信息。

在圖1所示的第二實施例中，這些備份通信裝置包括用于航空電子設(shè)備14的機(jī)載安全網(wǎng)絡(luò)。作為示例，這種機(jī)載安全網(wǎng)絡(luò)可以是諸如afdx(“航空電子全雙工交換以太網(wǎng)”)或μafdx的冗余以太網(wǎng)網(wǎng)絡(luò)。這樣的網(wǎng)絡(luò)提供了用于共享資源、用于流的隔離以及用于航空認(rèn)證的所需的確定性和可用性的手段。

相對于現(xiàn)有系統(tǒng)的多個離散鏈路上傳輸?shù)碾x散模擬信號而言，由于處理單元之間經(jīng)由兩個雙向鏈路傳送的數(shù)字信號對擾動更敏感，所以用于對兩個遠(yuǎn)程處理單元之間傳輸?shù)臄?shù)據(jù)進(jìn)行完整性控制和一致性控制的機(jī)制可以設(shè)置到位。

因此，每個處理單元可以包括用于驗證經(jīng)由每個雙向鏈路所接收的數(shù)據(jù)的完整性的裝置。為了驗證所接收到的數(shù)據(jù)的完整性，可以對每個接收到的幀的各個字段進(jìn)行驗證，特別是對以太網(wǎng)鏈路而言，對與目的地址相關(guān)的字段、與源地址相關(guān)的字段、與幀的類型相關(guān)的字段、與幀的長度相關(guān)的字段、與mac數(shù)據(jù)相關(guān)的字段以及與填充數(shù)據(jù)相關(guān)的字段進(jìn)行驗證。如果幀的長度與幀長度字段中的指定長度不一致或者如果字節(jié)不是整數(shù)，則可以認(rèn)為該幀是無效的。如果在接收到幀時所計算的冗余校驗(crc，“循環(huán)冗余校驗”)由于例如因傳輸時的干擾導(dǎo)致的錯誤而與所接收的crc不對應(yīng)，則也可以認(rèn)為該幀是無效的。

此外，每個處理單元可以包括用于既通過第一鏈路3又通過第二鏈路4傳輸數(shù)據(jù)之后對通過兩個鏈路所接收的數(shù)據(jù)的一致性進(jìn)行驗證的裝置，這兩個鏈路在所傳送的幀不存在故障或損壞的情況下必須傳送相同的信息。

為了能夠確保對飛行器的發(fā)動機(jī)進(jìn)行控制，飛行控制系統(tǒng)必須通過委托兩個通道中的一個來執(zhí)行控制。為此，每個處理單元應(yīng)該知道相對的處理單元的健康狀況。為此，系統(tǒng)的通信裝置被配置成將與第一處理單元的健康狀況相關(guān)的數(shù)據(jù)從第一處理單元傳送至第二處理單元，反之亦然。

這樣的健康數(shù)據(jù)是使得能夠進(jìn)行通道選擇并且使得能夠建立全系統(tǒng)診斷的數(shù)據(jù)。這些數(shù)據(jù)可以是：ccdl診斷數(shù)據(jù)、通道切換邏輯所需的信號、操作系統(tǒng)或應(yīng)用的狀態(tài)的數(shù)據(jù)、硬件診斷數(shù)據(jù)(特別是，傳感器或致動器的診斷數(shù)據(jù))、由軟件獲得的功能診斷數(shù)據(jù)等等。

飛行控制系統(tǒng)可以包括選擇裝置，該選擇裝置用于根據(jù)與第一處理單元的健康狀況相關(guān)的數(shù)據(jù)和與第二處理單元的健康狀況相關(guān)的數(shù)據(jù)來從第一處理單元和第二處理單元中選擇用于控制飛行器的發(fā)動機(jī)的處理單元，從而能夠確保飛行控制系統(tǒng)的進(jìn)行更好的運行。