用于飞行器的控制系统的制作方法用于飞行器的控制系统的制作方法提供一种飞行器的控制系统,其包括至少两个通信网络和与通信网络之一连接的受控装置控制单元控制系统根据具有DAL-A质量保障等级要求的功能确定受控装置的控制命令控制系统还包括一组至少三个物理单元及DAL-A硬件和软件质量保障等级的选择逻辑单元,每个物理单元包括电源、网络接口装置和至少两个计算机,各物理单元的电源及网络接口装置为至少三种不同类型;各计算机为至少两种不同类型且包括至少两种不同类型的操作系统;各计算机均具有DAL-C、DAL-D或DAL-E硬件和/或软件质量保障等级,至少六个计算机配置成独立地确定与该功能对应的受控装置的控制命令;选择逻辑单元配置成从计算机确定的控制命令中选择被控制单元用来控制受控装置的有效控制命令专利说明】用于飞行器的控制系统【技术领域】 [0001] 本发明涉及飞行器控制系统现代飞行器、特别是运输机包括控制系统,该控制系 统使得能够驱动所述飞行器的各种功能:飞行控制、飞行管理系统(FMS)类型的飞行管理、 飞行告警系统(FWS)警示管理、数据下载等该控制系统通常包括一组计算机,该组计算机 可以同样很好地作为专用于各种功能因而被命名为线路可更换单元(LRU)的计算机,或者 将各种功能编程到其中的通用计算机。
这些通用计算机构成被称为综合模块化航电系统 (IMA)的综合模块化航电系统架构出于适航性的原因,认证机构要求在飞行器中实施的 各种功能具有足以确保飞行器安全的质量保障等级该质量保障等级通常被称为设计保障 等级(DAL)在文件EurocaeED-79A/SAEARP4754A中体现了与飞行器的各种功能的DAL等 级相关的监管要求该文件定义了针对飞行器的功能的安全保障的五个等级,按照要求的 降序分别命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-EDAL-A级对应于其失效会对飞行器 具有毁灭性影响的功能;DAL-B级对应于其失效会对飞行器具有危险性影响的功能;DAL-C 级对应于其失效会对飞行器具有较大影响的功能;DAL-D级对应于其失效会对飞行器具有 较小影响的功能;DAL-E级对应于其失效对飞行器的安全不会有任何后果的功能因此,例 如,飞行器的飞行控制对应于DAL-A级功能;相反,与乘客的娱乐相关的功能是DAL-E级背景技术】 [0002] 飞行器的功能所必需的质量保障等级涉及与用于实施该功能的各个系统(计算 机、电源、通信网络等)的质量保障等级相关的要求所述系统的这些质量保障等级要求根 据所述功能所必需的质量保障等级来限定,在文件Eur 〇caeED-79A/SAEARP4754A中,考虑 该系统的硬件和软件二方面。
因此,该文件定义了用于这些系统的几个质量保障等级,以类 似的方式按照要求的降序将这些等级命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E一标准 D0-254以及另一标准D0178B (或者D0-178C)分别针对系统的硬件方面和系统的软件方面 根据系统所需的质量保障等级规定要符合的发展约束 [0003] 因此,用于飞行器的飞行的重要功能(DAL-A功能)必需由DAL-A认证的系统来实 施此外,某些功能--例如飞行控制--通常以不相似的方式在各种不同的DAL-A系统中 实施以避免共同的故障模式与之相比,对飞行器的飞行不显出任何重要性的功能(DAL-E 功能)可以由DAL-E系统来实施DAL-E级通常对应于商业上现成可用的系统,有时称为现 成部件(C0TS) [0004] DAL-A认证的系统必须形成具有长期且昂贵的开发过程的对象以符合要求的必要 等级因此,例如,所使用的电子部件在它们能够被应用于DAL-A系统中之前必须经过多年 的测试此外,这些部件选自能够经受与操作温度和振动相关的恶劣环境条件的一系列部 件此外,飞行器的寿命通常是数十年此外,同一类型的飞行器也通常被生产数十年。
因 此,在一种类型的飞行器的设计与该类型的最后一架飞行器的操作使用的终止之间可能经 历50年或60年以上这样的持续时间与所使用的电子部件的商业化的持续时间不相容,所 使用的电子部件的商业化的持续时间通常在大约十年以下,在最好的情况下大约十年这 迫使所述系统的制造商去储备充足数量的必要部件以确保在数十年的时期里对用于新飞 行器的这些系统的维护和制造发明内容】 [0005] 本发明的目的是补救上述缺点本发明涉及一种用于飞行器的至少一个受控装 置的控制系统,所述控制系统被嵌装在所述飞行器上并且所述控制系统包括:至少两个不 同的通信网络;以及与所述至少一个受控装置关联的至少一个控制单元,所述控制单元连 接至至少其中一个所述通信网络,所述控制系统配置成为所述受控装置确定并提供控制命 令,确定所述控制命令相当于所述飞行器的具有DAL-A质量保障等级要求的第一功能 [0006] 值得注意的是该控制系统还包括:一组至少三个物理单元,每个所述物理单元包 括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置,其中,各个所 述物理单元的所述电源属于至少三种不同的类型,各个所述物理单元的所述网络接口装置 属于至少三种不同的类型,每个所述物理单元包括至少两个计算机,每个所述计算机包括 操作系统,各个所述单元的各个所述计算机属于至少两种不同的类型,各个所述计算机的 所述操作系统属于至少两种不同的类型,所述计算机中的至少六个计算机配置成独立地确 定用于所述受控装置的控制命令,所述控制命令对应于所述第一功能,各个所述计算机均 具有DAL-C、DAL-D或DAL-E硬件质量保障等级和/或软件质量保障等级;以及选择逻辑单 元,所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是DAL-A级,所述选择逻 辑单元连接至所述至少两个通信网络,并且所述选择逻辑单元配置成从由所述计算机确定 的所述控制命令中选择有效控制命令,与所述受控装置关联的控制单元配置成根据由所述 选择逻辑单元选择的所述有效控制命令来控制所述受控装置。
[0007] 因此该系统允许使用具有DAL-C、DAL_D或DAL-E硬件质量保障等级和/或软件质 量保障等级的计算机来实施具有DAL-A质量保障等级要求的功能,而不是像现有技术的系 统那样需要具有DAL-A级的计算机导致成本和开发时间比用于现有技术的成本和开发时 间明显大大减少了因此,用于这些计算机的硬件可以随着技术进步定期地更新,而这不会 带来过高的成本依靠想出根据本发明的控制系统,使得可以使用具有比现有技术的计算 机的质量保障等级低的质量保障等级的计算机,根据本发明:不同类型的设备(物理单元、 计算机、电源、网络接口装置等)巧妙地组合,使得可以以符合所述功能所必需的DAL-A质 量保障等级要求的故障概率来确保至少一个计算机的正确操作此外,通过在物理单元中 将多个计算机集合在一起,使得可以共享电源和网络接口装置,因此降低了控制系统的质 量、体积和成本 [0008] 在有利的方式中,所述至少六个计算机配置成根据所述至少六个计算机共用的制 定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控装置的所述控制命 令这避免了第一功能在不同的计算机上得到不同的实施,因此使得可以进一步降低开发 时间和成本。
[0009] 优选地,各个所述电源和各个所述网络接口装置均具有DAL-E硬件质量保障等级 和/或软件质量保障等级这使得可以从商业上可获得的硬件中选择这种硬件,而无需专 门的开发成本 [0010] 在特定的实施方式中,所述一组物理单元包括三个物理单元,所述三个物理单元 分别包括三种不同类型的三个计算机,各个所述计算机均具有DAL-C硬件质量保障等级和 /或软件质量保障等级 [0011] 在另一实施方式中,所述一组物理单元包括四个物理单元,所述四个物理单元分 别包括至少三个计算机,每个计算机具有DAL-E硬件质量保障等级和/或软件质量保障等 级,其中:各个所述计算机属于四种不同的类型;每个物理单元包括至少两种不同类型的 计算机;所述四个物理单元的所述电源都属于不同的类型;所述四个物理单元的所述网络 接口装置都属于不同的类型;每个物理单元的所述至少三个计算机的所述操作系统属于至 少三种不同的类型 [0012] 根据第一变型,所述四个物理单元中的每个物理单元包括属于两种不同类型的三 个计算机,每个计算机配置成确定用于所述受控装置的控制命令,所述控制命令对应于所 述第一功能 [0013] 根据第二变型,所述四个物理单元中的每个物理单元包括六个计算机,所述六个 计算机均具有DAL-E硬件质量保障等级和/或软件质量保障等级。
[0014] 有利地,部分所述计算机不是配置成实施具有DAL-A或DAL-B质量保障等级要求 的功能,该部分计算机配置成实施至少一个具有DAL-C、DAL-D或DAL-E质量保障等级要求 的第二功能 [0015] 在有利的方式中,所述计算机中的配置成确定对应于所述第一功能的所述控制命 令的至少一部分计算机还配置成实施至少一个具有DAL-A或DAL-B质量保障等级要求的第 三功能 [0016] 根据第一可替代方式,选择逻辑单元被集成到不同于与受控装置关联的控制单元 的计算机中根据另一可替代方式,选择逻辑单元被集成到与受控装置关联的控制单元中 [0017] 在特定的实施方式中,第一功能与对飞行器的飞行控制相关,并且受控装置包括 飞行器的可动飞行表面的致动器 [0018] 在优选的方式中,各个物理单元由至少一个环境保护装置所保护 [0019] 本发明还涉及一种飞行器,该飞行器包括例如上述的控制系统专利附图】【附图说明】 [0020] 通过阅读以下描述并研究附图可以更好地理解本发明 [0021] 图1示出了根据本发明的实施方式的控制系统 [0022] 图2图示了用于控制系统的计算机的表示方式。
[0023] 图3至图5示出了根据本发明的控制系统的各种实施方式 [0024] 图6示出了按照根据本发明的实施方式的飞行控制系统具体实施方式】 [0025] 例如图1所示的飞行器的控制系统1包括一组三个物理单元11、12、13,每个物理 单元均包括电源以及网络接口装置,电源分别为AL1、AL2、AL3,网络接口装置分别为R1、 R2、R3该三个电源都属于不同的类型类似地,该三个网络接口装置都属于不同的类型 该三个物理单元中的每个物理单元通过其网络接口装置被链接至飞行器的两个通信网络 20A、20B优选地,这些通信网络是确定交换以太网类型,例如,是根据ARINC标准664第7 部分、即也被称为AFDX的确定交换以太网类型每个物理单元包括两个计算机:针对物理 单元11的Cl. 1和C1. 2、针对物理单元12的C2. 1和C2. 2以及针对物理单元13的C3. 1和 C3. 2图2示出了用于这些计算机的表示方式因此,计算机C的图示表示出在该计算机 上使用的操作系统32以及该计算机的硬件类型34在图2中表示的计算机的硬件类型是 HW1并且包括操作系统0S2术语"操作系统"使用其最宽泛的含义,也就是说操作系统包 括中间软件层("中间件")。
在图的顶部示出了至少一个圆圈30a、30b每个圆圈包含字 母A、B、C、D或E,这些字母对应于该计算机C所实施的至少一个功能的质量保障等级要求 字母A对应DAL-A级,字母B对应DAL-B级、字母C对应DAL-C级、字母D对应DAL-D级以 及字母E对应DAL-E级两个圆圈30a和30b与在图2中表示的计算机C关联这两个圆 圈分别包含字母A和B这表示的意思是计算机C实施至少一个具有DAL-A质量保障等级 要求的功能和至少一个具有DAL-B质量保障等级要求的功能术语"由计算机实施的功能。