способ и устройство контроля систем авионики, связанных с общей средой

Классы МПК:G06F11/07 Реагирование на наличие ошибки, например отказоустойчивость
Автор(ы):, , , ,
Патентообладатель(и):ЭРБЮС ОПЕРАСЬОН (FR)
Приоритеты:
подача заявки:
2008-05-13
публикация патента:

Изобретение относится к контролю систем авионики. Техническими результатами являются упрощение спецификации и реализации соответствующей логики; возможность ограничить усилия по разработке тревожных сигналов, не усугубляя при этом степень появления ложных тревожных сигналов; упрощение промышленного процесса обновления тревожных сигналов; упрощение анализа последствий неисправностей коммуникационной среды. На предварительной фазе определяют условия активации каждого тревожного сигнала каждой системы авионики, связанной с коммуникационной средой. Эти условия связаны с каждой системой авионики и с состоянием коммуникационной среды. Фаза контроля содержит этап определения состояния элементов передающей среды и этап оценки (455) индикатора состояния коммуникационной среды на основании состояния элементов коммуникационной среды, производимой на основании заранее определенного формального моделирования коммуникационных потоков коммуникационной среды. Тревожный сигнал выбирают и активируют (470) в зависимости от определенного оценкой состояния коммуникационной среды и в зависимости от заранее определенного моделирования последствий определенного оценкой состояния коммуникационной среды на работу систем авионики. 4 н. и 13 з.п. ф-лы, 7 ил. способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515

способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515

Формула изобретения

1. Способ для определения условий активации, по меньшей мере, одного тревожного сигнала, по меньшей мере, одной системы авионики, связанной с коммуникационной средой, содержащей, по меньшей мере, один элемент, способ, отличающийся тем, что содержит следующие этапы: определение (415) условий активации упомянутого, по меньшей мере, одного тревожного сигнала в зависимости от состояния упомянутой, по меньшей мере, одной системы авионики;

определение (415) условий активации упомянутого, по меньшей мере, одного тревожного сигнала в зависимости от состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды; и

сохранение в памяти (420) упомянутых условий активации упомянутого, по меньшей мере, одного тревожного сигнала и идентификация упомянутого, по меньшей мере, одного тревожного сигнала.

2. Способ контроля, по меньшей мере, одной системы авионики, связанной с коммуникационной средой, содержащей, по меньшей мере, один элемент, способ, отличающийся тем, что содержит следующие этапы:

определение состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды;

оценка (455) индикатора состояния упомянутой коммуникационной среды на основании упомянутого состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды и на основании заранее определенного формального моделирования коммуникационных потоков упомянутой коммуникационной среды; и

выбор и активация (470) тревожного сигнала в зависимости от упомянутого определенного оценкой состояния упомянутой коммуникационной среды и в зависимости от заранее определенного моделирования последствий упомянутого определенного оценкой состояния упомянутой коммуникационной среды на работу упомянутой, по меньшей мере, одной системы авионики.

3. Способ по п.2, отличающийся тем, что упомянутое определение состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды осуществляют при помощи средств связи, независимых от упомянутой коммуникационной среды.

4. Способ по одному из пп.2 и 3, отличающийся тем, что упомянутый этап выбора тревожного сигнала содержит следующие этапы:

определение неисправности, упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды; и

если упомянутая неисправность упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды влияет на работу упомянутой, по меньшей мере, одной системы авионики: выбор и активация тревожного сигнала, связанного с упомянутым влиянием на функцию упомянутой, по меньшей мере, одной системы авионики.

5. Способ по п.4, отличающийся тем, что, если упомянутая неисправность упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды не влияет на работу упомянутой, по меньшей мере, одной системы авионики и если упомянутая неисправность затрагивает связь между упомянутой, по меньшей мере, одной системой авионики и средствами, осуществляющими упомянутый способ контроля, упомянутый способ дополнительно содержит этапы выбора и активации тревожного сигнала, указывающего, что упомянутая, по меньшей мере, одна система авионики больше не контролируется.

6. Способ по любому из пп.2, 3, 5, отличающийся тем, что дополнительно содержит следующие этапы:

прием индикации, связанной с работой средств контроля, при этом упомянутые средства контроля осуществляют способ, аналогичный упомянутому способу контроля; и

оценка контроля упомянутой, по меньшей мере, одной системы авионики в зависимости от упомянутой индикации, связанной с работой упомянутых средств контроля и с упомянутым индикатором состояния упомянутой коммуникационной среды.

7. Способ по п.4, отличающийся тем, что дополнительно содержит следующие этапы:

прием индикации, связанной с работой средств контроля, при этом упомянутые средства контроля осуществляют способ, аналогичный упомянутому способу контроля; и

оценка контроля упомянутой, по меньшей мере, одной системы авионики в зависимости от упомянутой индикации, связанной с работой упомянутых средств контроля и с упомянутым индикатором состояния упомянутой коммуникационной среды.

8. Способ по любому из пп.2, 3, 5, 7, отличающийся тем, что дополнительно содержит этап подтверждения упомянутого индикатора состояния упомянутой коммуникационной среды.

9. Способ по п.4, отличающийся тем, что дополнительно содержит этап подтверждения упомянутого индикатора состояния упомянутой коммуникационной среды.

10. Способ по п.6, отличающийся тем, что дополнительно содержит этап подтверждения упомянутого индикатора состояния упомянутой коммуникационной среды.

11. Способ по п.8, отличающийся тем, что упомянутый этап подтверждения основан, по меньшей мере, на одной информации, принятой от упомянутой, по меньшей мере, одной системы авионики.

12. Способ по любому из пп.2, 3, 5, 7, 9-11, отличающийся тем, что каждый из упомянутых тревожных сигналов определяется собственной логикой упомянутой, по меньшей мере, одной системы авионики, в которой участвует упомянутый индикатор состояния коммуникационной среды, если он является существенным.

13. Способ по п.4, отличающийся тем, что каждый из упомянутых тревожных сигналов определяется собственной логикой упомянутой, по меньшей мере, одной системы авионики, в которой участвует упомянутый индикатор состояния коммуникационной среды, если он является существенным.

14. Способ по п.6, отличающийся тем, что каждый из упомянутых тревожных сигналов определяется собственной логикой упомянутой, по меньшей мере, одной системы авионики, в которой участвует упомянутый индикатор состояния коммуникационной среды, если он является существенным.

15. Способ по п.8, отличающийся тем, что каждый из упомянутых тревожных сигналов определяется собственной логикой упомянутой, по меньшей мере, одной системы авионики, в которой участвует упомянутый индикатор состояния коммуникационной среды, если он является существенным.

16. Устройство определения условий активации тревожных сигналов систем авионики в летательном аппарате, содержащее средства, выполненные с возможностью осуществления каждого из этапов способа по п.1.

17. Устройство контроля систем авионики в летательном аппарате, содержащее средства, выполненные с возможностью осуществления каждого из этапов способа по любому из пп.2-15.

Описание изобретения к патенту

Изобретение касается надежности систем авионики и, в частности, способа и устройства контроля систем авионики, связанных с общей передающей средой.

Надежность систем авионики находится в центре внимания конструкторов летательных аппаратов. Принято считать, что резервирование ключевых приборов летательных аппаратов является обязательным условием, чтобы обеспечивать требуемые функции несмотря на неисправность одной из систем, а также чтобы иметь возможность сравнивать поведение систем и быстро обнаруживать возможную неисправность.

Применение информационных систем в летательных аппаратах привело конструкторов к использованию информационных сетей для передачи информации и команд между оперативными системами. В данном случае информационные сети можно рассматривать как общие коммуникационные среды, используемые для обмена данными. Производительность этих коммуникационных сред определяется характеристиками передаваемых данных, в частности их объемом и скоростью их передачи.

В частности, чтобы соответствовать увеличению количества передаваемых данных и необходимым скоростям передачи, в настоящее время может оказаться необходимым использовать в информационных сетях активные компоненты, например коммутаторы. Использование активных компонентов позволяет оптимизировать передачу данных в зависимости от параметров, связанных с этими данными, таких как характер этих данных, и в зависимости от состояния коммуникационной сети, в частности от ее нагрузки.

Тогда как использование пассивных компонентов в информационных сетях летательных аппаратов считается надежным (обычно надежность этих компонентов выше, чем надежность систем авионики), использование активных компонентов может привести к снижению общей надежности систем авионики с учетом их надежности.

Настоящее изобретение призвано решить, по меньшей мере, одну из вышеуказанных проблем. В частности, изобретение позволяет учитывать неисправности элемента общей коммуникационной среды при обработке контроля совокупности систем авионики, реализующих оперативные функции и связанных с этой общей коммуникационной средой.

В связи с этим объектом настоящего изобретения является способ для определения условий активации, по меньшей мере, одного тревожного сигнала, по меньшей мере, одной системы авионики, связанной с коммуникационной средой, содержащей, по меньшей мере, один элемент, при этом способ содержит следующие этапы:

- определение условий активации упомянутого, по меньшей мере, одного тревожного сигнала в зависимости от состояния упомянутой, по меньшей мере, одной системы авионики;

- определение условий активации упомянутого, по меньшей мере, одного тревожного сигнала в зависимости от состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды;

- сохранение в памяти упомянутых условий активации упомянутого, по меньшей мере, одного тревожного сигнала и идентификация упомянутого, по меньшей мере, одного тревожного сигнала.

Таким образом, способ в соответствии с настоящим изобретением позволяет отказаться от комбинаторики конфигураций неисправности коммуникационной среды и выражать результаты неисправностей коммуникационной среды с функциональной точки зрения. Использование единой формы представления позволяет упростить спецификацию и реализацию соответствующей логики.

Возможность не определять тревожные сигналы для каждого из состояний коммуникационной среды, а только добавлять к логике, уже определенной оперативными системами, логику, учитывающую эти состояния, позволяет ограничить усилия по разработке тревожных сигналов, фокусируясь на последствиях оперативных состояний, а не на архитектурной конкретике реализации, не усугубляя при этом степень появления ложных тревожных сигналов. Кроме того, поскольку формальные изменения тревожных сигналов оперативными системами не влияют на логическую схему активации, упрощается промышленный процесс обновления тревожных сигналов.

Объектом настоящего изобретения является также способ контроля, по меньшей мере, одной системы авионики, связанной с коммуникационной средой, содержащей, по меньшей мере, один элемент, при этом способ содержит следующие этапы:

- определение состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды;

- оценка индикатора состояния упомянутой коммуникационной среды на основании упомянутого состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды и на основании заранее определенного формального моделирования коммуникационного потока упомянутой коммуникационной среды;

- выбор и активация тревожного сигнала в зависимости от упомянутого определенного оценкой состояния упомянутой коммуникационной среды и в зависимости от заранее определенного моделирования последствий упомянутого определенного оценкой состояния упомянутой коммуникационной среды на работу упомянутой, по меньшей мере, одной системы авионики.

Таким образом, способ в соответствии с настоящим изобретением позволяет отказаться от комбинаторики конфигураций неисправности коммуникационной среды и упростить анализ последствий неисправностей коммуникационной среды.

Предпочтительно упомянутое определение состояния упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды осуществляют при помощи средств связи, независимых от упомянутой коммуникационной среды, для повышения общей надежности и для ограничения помех коммуникационной среды.

Согласно частному варианту выполнения, упомянутый этап выбора тревожного сигнала содержит следующие этапы:

- определение неисправности упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды;

- если упомянутая неисправность упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды влияет на работу упомянутой, по меньшей мере, одной системы авионики: выбор и активация тревожного сигнала, связанного с упомянутым влиянием на функцию упомянутой, по меньшей мере, одной системы авионики.

Таким образом, способ в соответствии с настоящим изобретением позволяет упростить анализ последствий неисправностей коммуникационной среды на системы авионики.

Согласно частному варианту выполнения, если упомянутая неисправность упомянутого, по меньшей мере, одного элемента упомянутой коммуникационной среды не влияет на работу упомянутой, по меньшей мере, одной системы авионики и если упомянутая неисправность затрагивает связь между упомянутой, по меньшей мере, одной системой авионики и средствами, осуществляющими упомянутый способ контроля, упомянутый способ дополнительно содержит этапы выбора и активации тревожного сигнала, указывающего, что упомянутая, по меньшей мере, одна система авионики больше не контролируется.

Таким образом, изобретение позволяет дифференцировать неисправности, напрямую влияющие на системы авионики, от других неисправностей.

Согласно частному варианту выполнения, способ дополнительно содержит следующие этапы:

- прием индикации, связанной с работой средств контроля, при этом упомянутые средства контроля осуществляют способ, аналогичный упомянутому способу контроля;

- оценка контроля упомянутой, по меньшей мере, одной системы авионики в зависимости от упомянутой индикации, связанной с работой упомянутых средств контроля и с упомянутым индикатором состояния упомянутой коммуникационной среды.

Анализ возможного ухудшения качества контроля позволяет, таким образом, оператору, в случае необходимости, обратиться к альтернативным средствам в зависимости от критичности состояния оперативной функции.

Предпочтительно способ дополнительно содержит этап подтверждения упомянутого индикатора состояния упомянутой коммуникационной среды. Согласно частному варианту выполнения, упомянутый этап подтверждения основан, по меньшей мере, на одной информации, принятой от упомянутой, по меньшей мере, одной системы авионики.

Таким образом, изобретение позволяет отдавать предпочтение положительным данным, считая при этом, что оперативная система может сама определить свое функциональное состояние и что принятая информация о состоянии коммуникационной среды может быть ошибочной.

Предпочтительно каждый из упомянутых тревожных сигналов определяется собственной логической схемой упомянутой, по меньшей мере, одной системы авионики, в которой участвует упомянутый индикатор состояния коммуникационной среды, если он является существенным для упрощения реализации.

Объектом изобретения является также устройство в летательном аппарате, содержащее средства, выполненные с возможностью осуществления каждого из этапов описанного выше способа.

Другие преимущества, задачи и отличительные признаки настоящего изобретения будут более очевидны из нижеследующего подробного описания, представленного в качестве неограничительного примера, со ссылками на прилагаемые чертежи, на которых:

фиг.1а и 1b - схематично коммуникационная среда, а также средства наблюдения за активными элементами этой среды, соответственно;

фиг.2 - пример реализации логической схемы, которую можно использовать для активации тревожного сигнала оборудованием системы контроля;

фиг.3 - пример применения изобретения для контроля оперативной системы типа LGERS (Landing Gear Extension and Retraction System - Система выпуска и уборки шасси);

фиг.4а и 4b - пример алгоритма, используемого для осуществления изобретения;

фиг.5 - пример прибора, позволяющего реализовать изобретение.

Изобретение касается централизованной системы контроля, обеспечивающей диагностику контролируемых оперативных систем и функций, реализуемых этими системами, а также формирование и индикацию тревожных сигналов, позволяющих оператору принимать меры в ситуациях ухудшения этих функций.

Резервирование централизованной системы контроля предпочтительно реализуют при помощи независимых друг от друга функций. Предпочтительно способ контроля общей коммуникационной среды учитывает эту независимость, обеспечивая при этом когерентность поведения этих независимых функций.

Архитектура контролируемых оперативных систем включает в себя коммуникационную среду, общую для различных контролируемых оперативных систем, состоящую, в частности, из одного или нескольких активных элементов, таких как коммутаторы. Следует отметить, что если число коммутаторов является большим, число комбинаций, характеризующих конфигурации возможных неисправностей, тоже является большим и по причине стоимости очень трудно обеспечивать детальный исчерпывающий анализ.

Обработка обнаруженных неисправностей меняется в зависимости от характера неисправностей. Например, в случае ухудшения работы формирование соответствующей информации требуется только для оперативных функций, реализуемых контролируемыми системами. Действительно, ухудшение функции связи коммуникационной среды само по себе не является информацией, существенной для управления полетом. Существенной является только информация, связанная с влиянием этого ухудшения на оперативные функции, являющиеся пользователями этой коммуникационной среды.

Предпочтительно контроль систем и соответствующих оперативных функций осуществляют через коммуникационную среду, используемую для реализации оперативных функций.

Применение изобретения содержит две фазы:

- фазу предварительного анализа, позволяющую моделировать поток данных и влияние неисправностей оперативных систем и помех потока данных; и

- фазу контроля, основанную на моделировании, произведенном во время предыдущей фазы.

На фиг.1а показана общая коммуникационная среда в виде коммуникационной сети 100, образованной пятью узлами 105-1 - 105-5, а также линиями связи между этими узлами и между этими узлами и системами авионики и системами контроля. В данном случае каждый узел содержит два резервированных элемента. Например, узел 105-2 содержит резервированные элементы 110-2-1 и 110-2-2. Предпочтительно элементы соединены между собой, образуя две локальные сети, резервированные и независимые таким образом, чтобы неисправность одного или нескольких элементов локальной сети не влияла на обмен данными между системами, подключенными к коммуникационной сети. Например, элемент 110-1-1 соединен с элементом 110-2-1, и элемент 110-1-2 соединен с элементом 110-2-2, тогда как элемент 110-1-1 не соединен с элементом 110-2-2 и элемент 110-1-2 не соединен с элементом 110-2-1.

Доступ к общей коммуникационной среде обеспечивается через узел 105-i.

Поток данных в коммуникационной сети, то есть пути прохождения в этой сети, в данном случае определяется статично, чтобы избежать переконфигурирования путей прохождения данных в случае неисправности.

Согласно представленному примеру, с коммуникационной сетью соединены три оперативные системы 115-1 - 115-3. Для упрощения чертежа в данном случае каждая оперативная система содержит только одно оборудование.

Централизованная система контроля содержит два резервированных оборудования 120-1 и 120-2. Каждый из элементов 120-1 и 120-2 работает независимо от работы резервного элемента. В частности, устройства тревожной индикации являются разными. Как только одно из оборудований системы контроля обнаруживает условие или совокупность условий, требующих индикацию тревожного сигнала, оно включает индикацию этого сигнала без синхронизации и без сверки с резервным оборудованием системы контроля. Необходимо отметить, что топология коммуникационной сети, показанной на фиг.1а, представлена только в качестве примера.

Два оборудования 120-1 и 120-2 централизованной системы контроля анализируют состояние коммуникационной среды.

Согласно частному варианту выполнения, показанному на фиг.1b, каждое оборудование централизованной системы контроля принимает индикатор состояния каждого узла связи 105-i, то есть булево значение, при помощи подключенного индикатора состояния, то есть при помощи специальной линии связи между каждым оборудованием системы контроля и каждым узлом общей коммуникационной среды, отдельной от общей среды. Например, состояние каждого узла может принимать следующие значения:

- ОК, если индикатор состояния указывает на нормальную работу; и

- КО, если индикатор состояния указывает на неисправность.

Используя эти состояния, можно применять запись 110-i-j_OK, например, если элемент j узла 105-i работает нормально. Если же элемент 110-i-j работает ненормально, можно применить запись 110-i-j_KO.

Как было указано выше, коммуникационные потоки между оперативными системами, идентифицируемые путями прохождения через коммуникационную среду, предпочтительно определяют заранее. Каждый путь можно идентифицировать списком проходимых узлов. Так, например, коммуникационный поток между оперативными системами 115-1 и 115-2, проходящий через узлы 105-1 и 105-2, можно обозначить CHEM(105-1, 105-2). Точно так же коммуникационный поток между оперативной системой 115-3 и коммуникационной средой, проходящий через узел 105-5, можно обозначить СНЕМ(105-5).

Каждое оборудование централизованной системы контроля определяет состояние функции связи на основании состояния каждого из составных элементов узлов, через которые проходит поток. Путь связи считается утерянным, если конфигурация неисправности составных элементов пути такова, что затронутыми оказываются обе резервированные локальные сети.

Если, например, рассматривать коммуникационный поток между оперативными системами 115-1 и 115-2, обозначенный СНЕМ(105-1, 105-2), то путь СНЕМ(105-1, 105-2) может быть рабочим СНЕМ(105-1, 105-2)_ОК или неисправным СНЕМ(105-1, 105-2)_КО. Таким образом, состояние коммуникационного потока СНЕМ(105-1, 105-2) можно определить следующими отношениями:

СНЕМ(105-1, 105-2)_КО=(110-1-1_КО ИЛИ 110-2-1_КО) И

(110-1-2_КО ИЛИ 110-2-2_КО),

где «И» и «ИЛИ» обозначают «И логическое» и «ИЛИ логическое» соответственно.

Для каждой оперативной системы и для каждого тревожного сигнала, соответствующего этой системе, определяют условие или условия неисправности системы и коммуникационной среды. Эти условия можно определить при помощи функционального анализа и объединить в таблицу.

Рассмотрим пример, в котором функциональный анализ оперативной системы 115-1, независимый от структуры коммуникационной сети, показывает, что необходимо активировать тревожный сигнал типа 115-1_Alert-Fn1, если внутренняя функция Fn1 не доступна или не может быть выполнена (например, если часть этой функции выполняет оперативная система 115-2 и если эта оперативная система 115-2 неисправна или недоступна).

Таким образом, можно сделать вывод, что тревожный сигнал типа 115-1_Alert-Fn1 необходимо активировать в следующих условиях:

- оперативная система 115-1 сообщает оборудованию 120-1 и/или 120-2 системы контроля о неисправности функции Fn1, например, при помощи сообщения 115-Erreur-Fn1;

- оборудование 120-1 и/или 120-2 системы контроля не принимает никакого сообщения от оперативной системы 115-1, хотя никакой неисправности в коммуникационной среде между элементом 115-1 и оборудованием 120-1 и 120-2 системы контроля не обнаружено;

- коммуникационный поток между оперативной системой 115-1 и коммуникационной средой нарушен;

- коммуникационный поток между оперативными системами 115-1 и 115-2 нарушен.

Следует заметить, что эти условия легко проверяются системой контроля. В частности, первое условие обнаруживается оборудованием централизованной системы контроля при приеме сообщения 115-Erreur-Fn1 через коммуникационную сеть.

Второе условие обнаруживается оборудованием централизованной системы контроля в случае отсутствия приема сообщения о состоянии от оперативной системы 115-1. Каждое оборудование централизованной системы контроля убеждается, что эта потеря не связана с неисправностью коммуникационной среды, проверяя, что путь связи между оперативной системой 115-1 и этим оборудованием не прерван.

Если связь между оперативной системой и оборудованием централизованной системы контроля имеется, предпочтительно тревожные сигналы, связанные с этой оперативной системой, активируются на основании информации контроля, принятой от контролируемой оперативной системы. Действительно, несмотря на то что контроль коммуникационной среды является простым и надежным, теоретическая потеря коммуникационного потока может быть обнаружена ошибочно.

Для этого предпочтительно оборудование централизованной системы контроля вырабатывает информацию о применимости коммуникационного потока, основанную на действительном приеме или нет информации по наблюдению за состоянием коммуникационной среды. Таким образом, повреждение коммуникационного потока рассматривают по существу только при отсутствии приема сообщений от соответствующей оперативной системы.

Например, информация, определенная оборудованием 120-1 системы контроля, согласно которой один из путей СНЕМ(105-1), СНЕМ(105-1, 105-2) или СНЕМ(105-1, 105-3) не работает, должна быть подтверждена, например, отсутствием приема сообщений от оперативной системы 115-1.

Для каждого из тревожных сигналов, определенных в централизованной системе контроля, логика активации этих тревожных сигналов учитывает условия активации.

На фиг.2 показан пример реализации логической схемы 200, которую можно использовать для активации тревожного сигнала 115-1_Alert-Fn1 оборудованием 120-1 системы контроля. Как показано в виде связи ИЛИ 205, тревожный сигнал 115-1_Alert-Fn1 активируется только при выполнении одного или другого из двух следующих условий:

- оборудование 120-1 системы контроля приняло сообщение 115-Erreur-Fn1, соответствующее тревожному сигналу 115-1_Alert-Fn1 оперативной системы 115-1; или

- комбинация подтвержденного состояния путей СНЕМ(105-1), СНЕМ(105-1, 105-2) и СНЕМ(105-1, 105-3) является такой, что оборудование 120-1 системы контроля не может обмениваться данными с оперативной системой 115-1.

В данном случае комбинация состояния путей СНЕМ(105-1), СНЕМ(105-1, 105-2) и СНЕМ(105-1, 105-3) состоит в выполнении следующих операций:

- определяют ИЛИ 210 между значениями СНЕМ(105-1) и СНЕМ(105-1, 105-3) и результат инвертируют в инверторе 215;

- определяют И 220 между значением, полученным на выходе инвертора 215, и значением СНЕМ(105-1, 105-3) и результат инвертируют в инверторе 225;

- определяют И 230 между значением, полученным на выходе инвертора 225, и значением условия подтверждения 115-1_Invalide (значение 115-1_Invalide является ЛОЖНЫМ, если оборудованием 120-1 системы контроля принято сообщение от оперативной системы 115-1, в противном случае оно является ВЕРНЫМ).

Как показано на фиг.3, изобретение можно применять, например, для осуществления контроля за оперативной системой LGERS3 (Landing Gear Extension and Retraction System ), обозначенной 315-1, соединенной с узлом 305-7 сети, содержащим коммутаторы 310-7-1 и 310-7-2. Условия неисправностей являются, например, следующими:

- LGERS3 315 сообщает о своей неисправности (булева переменная LGERS3-FAULT);

- LGERS3 315 теряет соединение с сетью (потеря узла, содержащего коммутаторы 310-7-1 и 310-7-2);

- LGERS3 315 теряет связь с оперативной системой SEPDC1 (Supplementary Electrical Power Distribution Center 1), обозначенной 315-2, подключенной к узлу 305-5 сети, содержащему коммутаторы 310-5-1 и 310-5-2. Потеря связи выражается потерей пути СНЕМ(305-5, 305-7).

В данном случае следует отметить, что третье условие включено во второе.

Сплошная жирная стрелка показывает передачу индикатора статуса от LGERS3 315-1 в FWS1 320-1, тогда как пунктирная жирная стрелка показывает связь между LGERS3 315-1 и SEPDC1 315-2.

Первое условие обнаруживается системой FWS 1 (Flight Warning System 1), обозначенной 320-1, при приеме через коммуникационную среду значения булевой переменной LGERS3-FAULT, переданной оперативной системой LGERS3 315-1. Второе условие характеризуется потерей двух элементов узла 305-7, то есть в данном случае коммутаторов 310-7-1 и 310-7-2. Третье условие характеризуется потерей пути связи СНЕМ(305-5, 305-7).

Если неисправность возникает в коммутаторах 310-3-1 и 310-7-2, оперативная система FWS1 320-1 теряет связь с оперативной системой LGERS3 315-1. Однако тревожный сигнал о неисправности оперативной системы LGERS3 315-1 блокируется, так как потеря пути СНЕМ(305-5, 305-7) не является условием неисправности функции LGERS3 315-1.

Точно так же, если неисправность возникает в коммутаторах 310-3-1, 310-7-2 и 310-5-1, оперативная система FWS1 320-1 теряет связь с оперативной системой LGERS3 315-1. В этом случае оперативная система FWS1 320-1 включает тревожный сигнал LGERS3 315-1, так как обнаружение потери пути СНЕМ(305-5, 305-7), связанной в данном случае с коммутаторами 310-5-1 и 310-7-2, является условием неисправности оперативной системы LGERS3 315-1.

Наконец, если неисправность появляется в коммутаторах 310-5-1 и 310-7-2, оперативная система FWS1 320-1 принимает сообщение о состоянии LGERS3 315-1 и тревожный сигнал, относящийся к оперативной системе LGERS3 315-1, включается, только если это сообщение о состоянии сигнализирует о наличии проблемы в функции LGERS3 315-1.

На фиг.4а и 4b показан пример алгоритма, используемого для реализации изобретения. На фиг.4а показана часть алгоритма, используемая во время предварительной фазы анализа, тогда как на фиг.4b показана часть алгоритма, используемая для контроля общей коммуникационной среды.

Как показано на фиг.4а, после определения коммуникационного потока в общей коммуникационной среде (этап 400), производят функциональный анализ общей коммуникационной среды (этап 405). Индексы i и j устанавливают на ноль (этап 410). Значение i представляет собой в данном случае индекс выбранной оперативной системы, тогда как значение j является индексом выбранного тревожного сигнала оперативной системы i.

Условия включения тревожного сигнала j оперативной системы i определяют в зависимости от условий неисправности для тревожного сигнала j оперативной системы i и в зависимости от произведенного функционального анализа коммуникационной среды (этап 415). Для этого определяют условия, в которых неисправность одного или нескольких элементов коммуникационной среды должна заставить сработать тревожный сигнал j оперативной системы i. Совокупность определенных условий сохраняют в памяти в таблице 420.

После этого индекс j инкрементируют на единицу (этап 425) и производят тест, чтобы определить, равен ли индекс j числу тревожных сигналов оперативной системы i (этап 430). Если индекс j не равен числу тревожных сигналов оперативной системы i, повторяют два предыдущих этапа (415 и 425).

Если индекс j равен числу тревожных сигналов оперативной системы i, индекс j опять устанавливают на ноль и индекс i инкрементируют на единицу (этап 435). После этого производят тест, чтобы определить, равен ли индекс i числу оперативных систем, которые необходимо контролировать (этап 440). Если индекс i не равен числу оперативных систем, которые необходимо контролировать, этапы 415-440 повторяют. Если, наоборот, индекс i равен числу оперативных систем, которые необходимо контролировать, предварительную фазу завершают, то есть условия активации тревожных сигналов контролируемых оперативных систем определены.

На фиг.4b показан пример алгоритма, используемого для контроля коммуникационной среды и оперативных систем для активации, в случае необходимости, одного или нескольких тревожных сигналов.

Сообщения, передаваемые оперативными системами для сигнализации о неисправности, принимаются системой контроля (этап 450), если это позволяет состояние коммуникационной среды. Одновременно, до того или после того система контроля определяет статус коммуникационной среды на основании, например, индикаторов состояния узлов, как было указано выше (этап 455).

Эту информацию используют для установления общего статуса контролируемой системы (этап 460), то есть оперативных систем и коммуникационной среды. Затем этот статус сравнивают с сохраненными в памяти, например, в таблице 420 условиями активации тревожных сигналов (этап 465). Если условия активации одного или нескольких тревожных сигналов соблюдены, активируется соответствующий тревожный сигнал или соответствующие тревожные сигналы (этап 470). При этом этапы 450-470 повторяют для контроля системы в непрерывном режиме.

На фиг.5 показан пример прибора 500, выполненного с возможностью реализации изобретения, такого как микрокомпьютер. Прибор 500 является, например, оборудованием системы контроля.

Предпочтительно прибор 500 содержит коммуникационную шину 502, с которой соединены:

- центральный блок обработки 503, такой как микропроцессор;

- постоянное запоминающее устройство 504 или Read Only Memory (ROM), которое может содержать одну или несколько программ способ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 Progспособ и устройство контроля систем авионики, связанных с общей   средой, патент № 2477515 ;

- оперативное запоминающее устройство 506 или Random Access Memory (RAM), содержащее регистры, выполненные с возможностью запоминания переменных и параметров, созданных и измененных во время исполнения вышеуказанных программ; и

- коммуникационный интерфейс 518, соединенный с распределенной коммуникационной сетью 520, при этом интерфейс выполнен с возможностью передачи и приема данных.

Факультативно прибор 500 может содержать одно, несколько или все следующие устройства:

- экран 508, позволяющий отображать данные и/или служащий графическим интерфейсом для пользователя, который может взаимодействовать с программами в соответствии с настоящим изобретением при помощи клавиатуры 510 или любого другого средства, такого как устройство управления курсором, например, такое как мышь 511 или оптический карандаш, тактильный экран или дистанционное управление;

- жесткий диск 512, который может содержать программы и/или данные, в частности данные, обработанные или предназначенные для обработки, в соответствии с настоящим изобретением;

- устройство считывания дискет 514, выполненное с возможностью установки в нем дискеты 516 и ее считывания или записи на нее данных, обработанных или предназначенных для обработки, в соответствии с настоящим изобретением.

Коммуникационная шина обеспечивает связь и взаимодействие между различными элементами, входящими в состав прибора 500 или соединенными с этим прибором. Характеристика шины не является ограничительной, и, в частности, центральный блок может передавать команды на любой элемент прибора 500 напрямую или через другой элемент прибора 500.

Исполняемый код программы или программ, позволяющий прибору 500 осуществлять процесс в соответствии с настоящим изобретением, может храниться, например, на жестком диске 512 или в постоянном запоминающем устройстве 504.

Согласно варианту, дискета 516 может содержать данные, а также исполняемый код вышеуказанных программ, которые после считывания прибором 500 могут быть сохранены на жестком диске 512.

В альтернативном варианте исполняемый код программ можно получить через коммуникационную сеть 520 при помощи интерфейса 518 и сохранить в памяти так же, как было указано выше.

Дискеты можно заменить любым другим носителем информации, например, таким как компактный диск (CD-ROM) или карта памяти. Как правило, средство хранения информации, считываемое компьютером или микропроцессором, интегрированное или не интегрированное в прибор, в случае необходимости съемное, выполнено с возможностью записи на него одной или нескольких программ, исполнение которых позволяет осуществлять способ в соответствии с настоящим изобретением.

Как правило, программу или программы можно загрузить в одно из средств хранения информации прибора 500 перед их исполнением.

Центральный блок 503 управляет исполнением команд или части программного кода программы или программ в соответствии с настоящим изобретением, при этом команды записаны на жестком диске 512, в постоянном запоминающем устройстве 504 или в других вышеуказанных элементах хранения информации. При подаче напряжения программа или программы, записанные в энергонезависимой памяти, например на жестком диске 512 или в постоянном запоминающем устройстве 504, передаются в оперативное запоминающее устройство 506 (RAM), которое содержит исполняемый код программы или программ в соответствии с настоящим изобретением, а также регистры для запоминания переменных и параметров, необходимых для реализации изобретения.

Следует отметить, что прибор, содержащий устройство в соответствии с настоящим изобретением, может быть также программируемым прибором. Команды программы или программ, реализующих изобретение, могут быть, например, установлены в программируемой или специализированной интегральной микросхеме (Application-Specific Intergrated Curcuit, ASIC).

Естественно, для удовлетворения специфических запросов, специалист в области настоящего изобретения может вносить изменения в представленное выше описание.

Класс G06F11/07 Реагирование на наличие ошибки, например отказоустойчивость

способ контроля тупиковых ситуаций инфокоммуникационной системы и устройство для его осуществления -  патент 2509346 (10.03.2014)
способ взаимодействия терминального устройства клиента с сервером по сети интернет с повышенным уровнем защиты от ddos атак и система для реализации способа -  патент 2496136 (20.10.2013)
устройство обнаружения и устранения отказов при передаче двоичных сигналов по двум линиям оптического канала -  патент 2484521 (10.06.2013)
устройство для мажоритарного выбора сигналов -  патент 2476923 (27.02.2013)
отказоустойчивый процессор -  патент 2417409 (27.04.2011)
способ для интерактивной автоматической обработки моделирования разломов, включающий в себя способ для интеллектуального распознавания взаимосвязей разлом-разлом -  патент 2414743 (20.03.2011)
устройство для преобразования из полиномиальной системы классов вычетов в позиционный код -  патент 2409840 (20.01.2011)
способ записи и считывания информации для устройств с электронной памятью и устройство для его использования -  патент 2406110 (10.12.2010)
способ и считываемый компьютером носитель для загрузки содержимого файла данных -  патент 2388042 (27.04.2010)
нейронная сеть для обнаружения ошибок в симметричной системе остаточных классов -  патент 2374678 (27.11.2009)
Наверх