用于飞行器的控制系统技术方案

提供一种飞行器的控制系统，其包括至少两个通信网络和与通信网络之一连接的受控装置控制单元。控制系统根据具有DAL-A质量保障等级要求的功能确定受控装置的控制命令。控制系统还包括一组至少三个物理单元及DAL-A硬件和软件质量保障等级的选择逻辑单元，每个物理单元包括电源、网络接口装置和至少两个计算机，各物理单元的电源及网络接口装置为至少三种不同类型；各计算机为至少两种不同类型且包括至少两种不同类型的操作系统；各计算机均具有DAL-C、DAL-D或DAL-E硬件和/或软件质量保障等级，至少六个计算机配置成独立地确定与该功能对应的受控装置的控制命令；选择逻辑单元配置成从计算机确定的控制命令中选择被控制单元用来控制受控装置的有效控制命令。

【技术实现步骤摘要】
用于飞行器的控制系统和飞行器
本专利技术涉及飞行器控制系统。现代飞行器、特别是运输机包括控制系统，该控制系统使得能够驱动所述飞行器的各种功能：飞行控制、飞行管理系统(FMS)类型的飞行管理、飞行告警系统(FWS)警示管理、数据下载等。该控制系统通常包括一组计算机，该组计算机可以同样很好地作为专用于各种功能因而被命名为线路可更换单元(LRU)的计算机，或者将各种功能编程到其中的通用计算机。这些通用计算机构成被称为综合模块化航电系统(IMA)的综合模块化航电系统架构。出于适航性的原因，认证机构要求在飞行器中实施的各种功能具有足以确保飞行器安全的质量保障等级。该质量保障等级通常被称为设计保障等级(DAL)。在文件EurocaeED-79A/SAEARP4754A中体现了与飞行器的各种功能的DAL等级相关的监管要求。该文件定义了针对飞行器的功能的安全保障的五个等级，按照要求的降序分别命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E。DAL-A级对应于其失效会对飞行器具有毁灭性影响的功能；DAL-B级对应于其失效会对飞行器具有危险性影响的功能；DAL-C级对应于其失效会对飞行器具有较大影响的功能；DAL-D级对应于其失效会对飞行器具有较小影响的功能；DAL-E级对应于其失效对飞行器的安全不会有任何后果的功能。因此，例如，飞行器的飞行控制对应于DAL-A级功能；相反，与乘客的娱乐相关的功能是DAL-E级。
技术介绍
飞行器的功能所必需的质量保障等级涉及与用于实施该功能的各个系统(计算机、电源、通信网络等)的质量保障等级相关的要求。所述系统的这些质量保障等级要求根据所述功能所必需的质量保障等级来限定，在文件EurocaeED-79A/SAEARP4754A中，考虑该系统的硬件和软件二方面。因此，该文件定义了用于这些系统的几个质量保障等级，以类似的方式按照要求的降序将这些等级命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E。一标准DO-254以及另一标准DO178B(或者DO-178C)分别针对系统的硬件方面和系统的软件方面根据系统所需的质量保障等级规定要符合的发展约束。因此，用于飞行器的飞行的重要功能(DAL-A功能)必需由DAL-A认证的系统来实施。此外，某些功能——例如飞行控制——通常以不相似的方式在各种不同的DAL-A系统中实施以避免共同的故障模式。与之相比，对飞行器的飞行不显出任何重要性的功能(DAL-E功能)可以由DAL-E系统来实施。DAL-E级通常对应于商业上现成可用的系统，有时称为现成部件(COTS)。DAL-A认证的系统必须形成具有长期且昂贵的开发过程的对象以符合要求的必要等级。因此，例如，所使用的电子部件在它们能够被应用于DAL-A系统中之前必须经过多年的测试。此外，这些部件选自能够经受与操作温度和振动相关的恶劣环境条件的一系列部件。此外，飞行器的寿命通常是数十年。此外，同一类型的飞行器也通常被生产数十年。因此，在一种类型的飞行器的设计与该类型的最后一架飞行器的操作使用的终止之间可能经历50年或60年以上。这样的持续时间与所使用的电子部件的商业化的持续时间不相容，所使用的电子部件的商业化的持续时间通常在大约十年以下，在最好的情况下大约十年。这迫使所述系统的制造商去储备充足数量的必要部件以确保在数十年的时期里对用于新飞行器的这些系统的维护和制造。
技术实现思路
本专利技术的目的是补救上述缺点。本专利技术涉及一种用于飞行器的至少一个受控装置的控制系统，所述控制系统被嵌装在所述飞行器上并且所述控制系统包括：至少两个不同的通信网络；以及与所述至少一个受控装置关联的至少一个控制单元，所述控制单元连接至至少其中一个所述通信网络，所述控制系统配置成为所述受控装置确定并提供控制命令，确定所述控制命令相当于所述飞行器的具有DAL-A质量保障等级要求的第一功能。值得注意的是该控制系统还包括：一组至少三个物理单元，每个所述物理单元包括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置，其中，各个所述物理单元的所述电源属于至少三种不同的类型，各个所述物理单元的所述网络接口装置属于至少三种不同的类型，每个所述物理单元包括至少两个计算机，每个所述计算机包括操作系统，各个所述单元的各个所述计算机属于至少两种不同的类型，各个所述计算机的所述操作系统属于至少两种不同的类型，所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令，所述控制命令对应于所述第一功能，各个所述计算机均具有DAL-C、DAL-D或DAL-E硬件质量保障等级和/或软件质量保障等级；以及选择逻辑单元，所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是DAL-A级，所述选择逻辑单元连接至所述至少两个通信网络，并且所述选择逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令，与所述受控装置关联的控制单元配置成根据由所述选择逻辑单元选择的所述有效控制命令来控制所述受控装置。因此该系统允许使用具有DAL-C、DAL-D或DAL-E硬件质量保障等级和/或软件质量保障等级的计算机来实施具有DAL-A质量保障等级要求的功能，而不是像现有技术的系统那样需要具有DAL-A级的计算机。导致成本和开发时间比用于现有技术的成本和开发时间明显大大减少了。因此，用于这些计算机的硬件可以随着技术进步定期地更新，而这不会带来过高的成本。依靠想出根据本专利技术的控制系统，使得可以使用具有比现有技术的计算机的质量保障等级低的质量保障等级的计算机，根据本专利技术：不同类型的设备(物理单元、计算机、电源、网络接口装置等)巧妙地组合，使得可以以符合所述功能所必需的DAL-A质量保障等级要求的故障概率来确保至少一个计算机的正确操作。此外，通过在物理单元中将多个计算机集合在一起，使得可以共享电源和网络接口装置，因此降低了控制系统的质量、体积和成本。在有利的方式中，所述至少六个计算机配置成根据所述至少六个计算机共用的制定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控装置的所述控制命令。这避免了第一功能在不同的计算机上得到不同的实施，因此使得可以进一步降低开发时间和成本。优选地，各个所述电源和各个所述网络接口装置均具有DAL-E硬件质量保障等级和/或软件质量保障等级。这使得可以从商业上可获得的硬件中选择这种硬件，而无需专门的开发成本。在特定的实施方式中，所述一组物理单元包括三个物理单元，所述三个物理单元分别包括三种不同类型的三个计算机，各个所述计算机均具有DAL-C硬件质量保障等级和/或软件质量保障等级。在另一实施方式中，所述一组物理单元包括四个物理单元，所述四个物理单元分别包括至少三个计算机，每个计算机具有DAL-E硬件质量保障等级和/或软件质量保障等级，其中：各个所述计算机属于四种不同的类型；每个物理单元包括至少两种不同类型的计算机；所述四个物理单元的所述电源都属于不同的类型；所述四个物理单元的所述网络接口装置都属于不同的类型；每个物理单元的所述至少三个计算机的所述操作系统属于至少三种不同的类型。根据第一变型，所述四个物理单元中的每个物理单元包括属于两种不同类型的三个计算机，每个计算机配置成确定用于所述受控装置的控制命令，所述控本文档来自技高网...

【技术保护点】
一种用于飞行器的至少一个受控装置(19)的控制系统(1)，所述控制系统(1)被嵌装在所述飞行器上并且所述控制系统(1)包括：至少两个不同的通信网络(20A，20B)；以及与所述至少一个受控装置(19)关联的至少一个控制单元(18)，所述控制单元(18)连接至至少其中一个所述通信网络(20A，20B)，所述控制系统配置成为所述受控装置确定并提供控制命令，确定所述控制命令相当于所述飞行器的具有DAL‑A质量保障等级要求的第一功能，其特征在于，所述控制系统还包括：一组至少三个物理单元(11，12，13，14)，每个所述物理单元(11，12，13，14)包括电源(AL1，AL2，AL3，AL4)和连接至所述飞行器的至少其中一个所述通信网络(20A，20B)的网络接口装置(R1，R2，R3，R4)，其中，各个所述物理单元的所述电源属于至少三种不同的类型，各个所述物理单元的所述网络接口装置属于至少三种不同的类型，每个所述物理单元包括至少两个计算机(C1.1，C1.2，…C4.6)，每个所述计算机包括操作系统，各个所述单元的各个所述计算机属于至少两种不同的类型，各个所述计算机的所述操作系统属于至少两种不同的类型，所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令，所述控制命令对应于所述第一功能，各个所述计算机均具有DAL‑C、DAL‑D或DAL‑E硬件质量保障等级和/或软件质量保障等级；以及选择逻辑单元(16)，所述选择逻辑单元(16)的硬件质量保障等级和软件质量保障等级是DAL‑A级，所述选择逻辑单元连接至所述至少两个通信网络(20A，20B)，并且所述选择逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令，与所述受控装置(19)关联的控制单元(18)配置成根据由所述选择逻辑单元(16)选择的所述有效控制命令来控制所述受控装置。...

【技术特征摘要】
2013.09.23 EP 13185480.41.一种用于飞行器的至少一个受控装置的控制系统，所述控制系统被嵌装在所述飞行器上并且所述控制系统包括：至少两个不同的通信网络；以及与所述至少一个受控装置关联的至少一个控制单元，所述控制单元连接至至少其中一个所述通信网络，所述控制系统配置成为所述受控装置确定并提供控制命令，确定所述控制命令相当于所述飞行器的具有设计保障等级为A级的质量保障等级要求的第一功能，所述控制系统还包括：一组至少三个物理单元，每个所述物理单元包括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置，其中，各个所述物理单元的所述电源属于至少三种不同的类型，各个所述物理单元的所述网络接口装置属于至少三种不同的类型，每个所述物理单元包括至少两个计算机，每个所述计算机包括操作系统，每个所述物理单元的各个所述计算机属于至少两种不同的类型，每个所述物理单元的各个所述计算机的所述操作系统属于至少两种不同的类型，所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令，所述控制命令对应于所述第一功能，各个所述计算机均具有设计保障等级为C级的、设计保障等级为D级的或设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者；以及选择逻辑单元，所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是A级设计保障等级，所述选择逻辑单元连接至所述至少两个通信网络，并且所述选择逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令，与所述受控装置关联的控制单元配置成根据由所述选择逻辑单元选择的所述有效控制命令来控制所述受控装置。2.根据权利要求1所述的控制系统，其中，所述至少六个计算机配置成根据所述至少六个计算机共用的制定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控装置的所述控制命令。3.根据权利要求1所述的控制系统，其中，各个所述电源和各个所述网络接口装置均具有设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者。4.根据权利要求1所述的控制系统，其中，所述一组物理单元包括三个物理单元，每个物理单元包括三种不同类型的三个计算机，各个所述计算机均具有设计保障等级为C级的硬件质量保障等级和软件质量保障等级中的至少一者。5.根据权利要求1所述的控制系统，其中，所述一组物理单元包括四个物理单元，每个物理单元包括至少三个计算机，每个计算机具有设计保障等级为E级的硬件质量保障等级和软件质量保障等级中的至少一者，其中：各个所述计算机属于四种不同的类型；每个物理单元包括至少两种不同类型的计算机；所述四个物理单元的所述电源都属于不同的类型；所述四个物理单元的所述网络接口装置都属于不同的类型；每个物理单元的所述至少三个计算机的所述操作系统属于至少三种不同的类型。6.根据权利要求5所述的控制系统，其中，所述四个物理单元中的每个物理单元包括属于两种不同类型的三个计算机，每个计算机配...

【专利技术属性】
技术研发人员：维尔纳·德拉梅拉尔，让克洛德·拉佩尔什，马蒂厄·勒比，贝诺伊特·贝尔泰，哈特穆特·欣策，塞巴斯蒂安·克里蒂安，
申请(专利权)人：空中客车运营简化股份公司，空中客车德国运营有限责任公司，空中客车简化股份公司，
类型：发明
国别省市：法国;FR