用于飞行器的控制系统的制作方法

用于飞行器的控制系统的制作方法
【专利摘要】提供一种飞行器的控制系统，其包括至少两个通信网络和与通信网络之一连接的受控装置控制单元。控制系统根据具有DAL-A质量保障等级要求的功能确定受控装置的控制命令。控制系统还包括一组至少三个物理单元及DAL-A硬件和软件质量保障等级的选择逻辑单元，每个物理单元包括电源、网络接口装置和至少两个计算机，各物理单元的电源及网络接口装置为至少三种不同类型；各计算机为至少两种不同类型且包括至少两种不同类型的操作系统；各计算机均具有DAL-C、DAL-D或DAL-E硬件和/或软件质量保障等级，至少六个计算机配置成独立地确定与该功能对应的受控装置的控制命令；选择逻辑单元配置成从计算机确定的控制命令中选择被控制单元用来控制受控装置的有效控制命令。
【专利说明】用于飞行器的控制系统

【技术领域】
[0001] 本发明涉及飞行器控制系统。现代飞行器、特别是运输机包括控制系统，该控制系 统使得能够驱动所述飞行器的各种功能：飞行控制、飞行管理系统（FMS)类型的飞行管理、 飞行告警系统（FWS)警示管理、数据下载等。该控制系统通常包括一组计算机，该组计算机 可以同样很好地作为专用于各种功能因而被命名为线路可更换单元（LRU)的计算机，或者 将各种功能编程到其中的通用计算机。这些通用计算机构成被称为综合模块化航电系统 (IMA)的综合模块化航电系统架构。出于适航性的原因，认证机构要求在飞行器中实施的 各种功能具有足以确保飞行器安全的质量保障等级。该质量保障等级通常被称为设计保障 等级（DAL)。在文件EurocaeED-79A/SAEARP4754A中体现了与飞行器的各种功能的DAL等 级相关的监管要求。该文件定义了针对飞行器的功能的安全保障的五个等级，按照要求的 降序分别命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E。DAL-A级对应于其失效会对飞行器 具有毁灭性影响的功能；DAL-B级对应于其失效会对飞行器具有危险性影响的功能；DAL-C 级对应于其失效会对飞行器具有较大影响的功能；DAL-D级对应于其失效会对飞行器具有 较小影响的功能；DAL-E级对应于其失效对飞行器的安全不会有任何后果的功能。因此，例 如，飞行器的飞行控制对应于DAL-A级功能；相反，与乘客的娱乐相关的功能是DAL-E级。

【背景技术】
[0002] 飞行器的功能所必需的质量保障等级涉及与用于实施该功能的各个系统（计算 机、电源、通信网络等）的质量保障等级相关的要求。所述系统的这些质量保障等级要求根 据所述功能所必需的质量保障等级来限定，在文件Eur 〇caeED-79A/SAEARP4754A中，考虑 该系统的硬件和软件二方面。因此，该文件定义了用于这些系统的几个质量保障等级，以类 似的方式按照要求的降序将这些等级命名为DAL-A、DAL-B、DAL-C、DAL-D和DLA-E。一标准 D0-254以及另一标准D0178B (或者D0-178C)分别针对系统的硬件方面和系统的软件方面 根据系统所需的质量保障等级规定要符合的发展约束。
[0003] 因此，用于飞行器的飞行的重要功能（DAL-A功能）必需由DAL-A认证的系统来实 施。此外，某些功能--例如飞行控制--通常以不相似的方式在各种不同的DAL-A系统中 实施以避免共同的故障模式。与之相比，对飞行器的飞行不显出任何重要性的功能（DAL-E 功能）可以由DAL-E系统来实施。DAL-E级通常对应于商业上现成可用的系统，有时称为现 成部件（C0TS)。
[0004] DAL-A认证的系统必须形成具有长期且昂贵的开发过程的对象以符合要求的必要 等级。因此，例如，所使用的电子部件在它们能够被应用于DAL-A系统中之前必须经过多年 的测试。此外，这些部件选自能够经受与操作温度和振动相关的恶劣环境条件的一系列部 件。此外，飞行器的寿命通常是数十年。此外，同一类型的飞行器也通常被生产数十年。因 此，在一种类型的飞行器的设计与该类型的最后一架飞行器的操作使用的终止之间可能经 历50年或60年以上。这样的持续时间与所使用的电子部件的商业化的持续时间不相容，所 使用的电子部件的商业化的持续时间通常在大约十年以下，在最好的情况下大约十年。这 迫使所述系统的制造商去储备充足数量的必要部件以确保在数十年的时期里对用于新飞 行器的这些系统的维护和制造。


【发明内容】

[0005] 本发明的目的是补救上述缺点。本发明涉及一种用于飞行器的至少一个受控装 置的控制系统，所述控制系统被嵌装在所述飞行器上并且所述控制系统包括：至少两个不 同的通信网络；以及与所述至少一个受控装置关联的至少一个控制单元，所述控制单元连 接至至少其中一个所述通信网络，所述控制系统配置成为所述受控装置确定并提供控制命 令，确定所述控制命令相当于所述飞行器的具有DAL-A质量保障等级要求的第一功能。
[0006] 值得注意的是该控制系统还包括：一组至少三个物理单元，每个所述物理单元包 括电源和连接至所述飞行器的至少其中一个所述通信网络的网络接口装置，其中，各个所 述物理单元的所述电源属于至少三种不同的类型，各个所述物理单元的所述网络接口装置 属于至少三种不同的类型，每个所述物理单元包括至少两个计算机，每个所述计算机包括 操作系统，各个所述单元的各个所述计算机属于至少两种不同的类型，各个所述计算机的 所述操作系统属于至少两种不同的类型，所述计算机中的至少六个计算机配置成独立地确 定用于所述受控装置的控制命令，所述控制命令对应于所述第一功能，各个所述计算机均 具有DAL-C、DAL-D或DAL-E硬件质量保障等级和/或软件质量保障等级；以及选择逻辑单 元，所述选择逻辑单元的硬件质量保障等级和软件质量保障等级是DAL-A级，所述选择逻 辑单元连接至所述至少两个通信网络，并且所述选择逻辑单元配置成从由所述计算机确定 的所述控制命令中选择有效控制命令，与所述受控装置关联的控制单元配置成根据由所述 选择逻辑单元选择的所述有效控制命令来控制所述受控装置。
[0007] 因此该系统允许使用具有DAL-C、DAL_D或DAL-E硬件质量保障等级和/或软件质 量保障等级的计算机来实施具有DAL-A质量保障等级要求的功能，而不是像现有技术的系 统那样需要具有DAL-A级的计算机。导致成本和开发时间比用于现有技术的成本和开发时 间明显大大减少了。因此，用于这些计算机的硬件可以随着技术进步定期地更新，而这不会 带来过高的成本。依靠想出根据本发明的控制系统，使得可以使用具有比现有技术的计算 机的质量保障等级低的质量保障等级的计算机，根据本发明：不同类型的设备（物理单元、 计算机、电源、网络接口装置等）巧妙地组合，使得可以以符合所述功能所必需的DAL-A质 量保障等级要求的故障概率来确保至少一个计算机的正确操作。此外，通过在物理单元中 将多个计算机集合在一起，使得可以共享电源和网络接口装置，因此降低了控制系统的质 量、体积和成本。
[0008] 在有利的方式中，所述至少六个计算机配置成根据所述至少六个计算机共用的制 定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控装置的所述控制命 令。这避免了第一功能在不同的计算机上得到不同的实施，因此使得可以进一步降低开发 时间和成本。
[0009] 优选地，各个所述电源和各个所述网络接口装置均具有DAL-E硬件质量保障等级 和/或软件质量保障等级。这使得可以从商业上可获得的硬件中选择这种硬件，而无需专 门的开发成本。
[0010] 在特定的实施方式中，所述一组物理单元包括三个物理单元，所述三个物理单元 分别包括三种不同类型的三个计算机，各个所述计算机均具有DAL-C硬件质量保障等级和 /或软件质量保障等级。
[0011] 在另一实施方式中，所述一组物理单元包括四个物理单元，所述四个物理单元分 别包括至少三个计算机，每个计算机具有DAL-E硬件质量保障等级和/或软件质量保障等 级，其中：各个所述计算机属于四种不同的类型；每个物理单元包括至少两种不同类型的 计算机；所述四个物理单元的所述电源都属于不同的类型；所述四个物理单元的所述网络 接口装置都属于不同的类型；每个物理单元的所述至少三个计算机的所述操作系统属于至 少三种不同的类型。
[0012] 根据第一变型，所述四个物理单元中的每个物理单元包括属于两种不同类型的三 个计算机，每个计算机配置成确定用于所述受控装置的控制命令，所述控制命令对应于所 述第一功能。
[0013] 根据第二变型，所述四个物理单元中的每个物理单元包括六个计算机，所述六个 计算机均具有DAL-E硬件质量保障等级和/或软件质量保障等级。
[0014] 有利地，部分所述计算机不是配置成实施具有DAL-A或DAL-B质量保障等级要求 的功能，该部分计算机配置成实施至少一个具有DAL-C、DAL-D或DAL-E质量保障等级要求 的第二功能。
[0015] 在有利的方式中，所述计算机中的配置成确定对应于所述第一功能的所述控制命 令的至少一部分计算机还配置成实施至少一个具有DAL-A或DAL-B质量保障等级要求的第 三功能。
[0016] 根据第一可替代方式，选择逻辑单元被集成到不同于与受控装置关联的控制单元 的计算机中。根据另一可替代方式，选择逻辑单元被集成到与受控装置关联的控制单元中。
[0017] 在特定的实施方式中，第一功能与对飞行器的飞行控制相关，并且受控装置包括 飞行器的可动飞行表面的致动器。
[0018] 在优选的方式中，各个物理单元由至少一个环境保护装置所保护。
[0019] 本发明还涉及一种飞行器，该飞行器包括例如上述的控制系统。

【专利附图】

【附图说明】
[0020] 通过阅读以下描述并研究附图可以更好地理解本发明。
[0021] 图1示出了根据本发明的实施方式的控制系统。
[0022] 图2图示了用于控制系统的计算机的表示方式。
[0023] 图3至图5示出了根据本发明的控制系统的各种实施方式。
[0024] 图6示出了按照根据本发明的实施方式的飞行控制系统。

【具体实施方式】
[0025] 例如图1所示的飞行器的控制系统1包括一组三个物理单元11、12、13,每个物理 单元均包括电源以及网络接口装置，电源分别为AL1、AL2、AL3,网络接口装置分别为R1、 R2、R3。该三个电源都属于不同的类型。类似地，该三个网络接口装置都属于不同的类型。 该三个物理单元中的每个物理单元通过其网络接口装置被链接至飞行器的两个通信网络 20A、20B。优选地，这些通信网络是确定交换以太网类型，例如，是根据ARINC标准664第7 部分、即也被称为AFDX的确定交换以太网类型。每个物理单元包括两个计算机：针对物理 单元11的Cl. 1和C1. 2、针对物理单元12的C2. 1和C2. 2以及针对物理单元13的C3. 1和 C3. 2。图2示出了用于这些计算机的表示方式。因此，计算机C的图示表示出在该计算机 上使用的操作系统32以及该计算机的硬件类型34。在图2中表示的计算机的硬件类型是 HW1并且包括操作系统0S2。术语"操作系统"使用其最宽泛的含义，也就是说操作系统包 括中间软件层（"中间件"）。在图的顶部示出了至少一个圆圈30a、30b。每个圆圈包含字 母A、B、C、D或E，这些字母对应于该计算机C所实施的至少一个功能的质量保障等级要求。 字母A对应DAL-A级，字母B对应DAL-B级、字母C对应DAL-C级、字母D对应DAL-D级以 及字母E对应DAL-E级。两个圆圈30a和30b与在图2中表示的计算机C关联。这两个圆 圈分别包含字母A和B。这表示的意思是计算机C实施至少一个具有DAL-A质量保障等级 要求的功能和至少一个具有DAL-B质量保障等级要求的功能。术语"由计算机实施的功能" 表示的意思是该计算机根据所述功能确定用于受控装置的控制命令。
[0026] 在图1中示出的六个计算机均实施至少一个具有DAL-A质量保障等级要求的功 能。每个物理单元的两个计算机属于两种不同的硬件类型：针对物理单元11的计算机C1. 1 和计算机C1. 2的为HW1和HW2,针对物理单元12的计算机C2. 1和计算机C2. 2的为HW2和 服3,以及针对物理单元13的计算机C3. 1和计算机C3. 2的为HW3和HW1。每个物理单元的 两个计算机的操作系统属于两个不同类型0S1和0S2。这六个计算机均具有DAL-C、DAL-D 或DAL-E硬件和/或软件质量保障等级。该软件质量保障等级对应于操作系统的质量保障 等级，如前文指出的，操作系统包括中间软件层。这六个计算机中的每个计算机链接至该计 算机形成其一部分的物理单元的网络接口装置Rl、R2、R3。
[0027] 控制系统1还包括用于飞行器的受控装置19的控制单元18。控制单元18链接至 两个通信网络20A和20B。控制系统1被配置成给受控装置19确定并提供控制命令，对所 述控制命令的确定对应于飞行器的具有DAL-A质量保障等级要求的第一功能。因此，该六 个计算机Cl. 1、C1. 2、C2. 1、C2. 2、C3. 1和C3. 2被配置成实施该第一功能。因此，这六个计 算机被配置成独立地确定用于受控装置19的控制命令并且各自通过与其链接的网络接口 装置R1、R2或R3在通信网络20A和20B上传输这些控制命令。因此，与该第一功能对应的 软件应用程序被加载到该六个计算机中的每个计算机中。该软件应用程序符合其所对应的 第一功能的质量保障等级要求，即DAL-A。
[0028] 控制系统1还包括具有DAL-A的硬件和软件质量保障等级的选择逻辑单元16。该 选择逻辑单元连接至两个通信网络20A和20B。该选择逻辑单元被配置成接收由计算机确 定的控制命令并且从这些由计算机确定的控制命令中选择有效控制命令。可以例如通过使 用已知的投票原则来进行对有效控制命令的选择。与受控装置19关联的控制单元18被配 置成根据由选择逻辑单元16选择的有效控制命令来控制受控装置19。
[0029] 优选地，各个电源AL1、AL2、AL3和各个网络接口装置Rl、R2、R3均具有DAL-E的 硬件和/或软件质量保障等级。这使得可以从商业上可获得的硬件中选择这种硬件，因此 不需要专门的开发成本。
[0030] 图3中示出的控制系统1与前面参照图1描述的控制系统类似。但是，三个物理 单元11、12、13中的每个物理单元还包括第三计算机，分别为C1. 3、C2. 3、C3. 3。选择这些 计算机使得每个物理单元的三个计算机属于三种不同的硬件类型，即，HWUHW2和HW3。三 个计算机Cl. 3、C2. 3、C3. 3同样配置成实施第一功能。因此，控制系统包括九个计算机，这 九个计算机都被配置成独立地确定用于受控装置19的控制命令并且通过其所链接的网络 接口装置R1、R2或R3在通信网络20A和20B上传输这些控制命令。优选地，这九个计算机 均具有DAL-C的硬件和/或软件质量保障等级。由于使用了属于至少三种不同类型的九个 计算机，这些计算机对应于DAL-C质量保障等级，所以控制系统1的完全故障的概率低到足 以符合第一功能的DAL-A质量保障等级要求。术语"控制系统1的完全故障"用于表示使 该控制系统不能根据第一功能确定用于受控装置19的控制命令或不能将控制命令传输给 选择逻辑单元16的控制系统故障。像这样的完全故障只可能在没有任何一个计算机能够 确定用于受控装置19的控制命令和将这些命令传输给选择逻辑单元16的情况下发生。相 对于通常用于实施该第一功能的对应于DAL-A质量保障等级的计算机，使用对应于DAL-C 质量保障等级的计算机能够大大降低所述计算机的开发时间和成本。
[0031] 图4中示出的控制系统1与之前参照图3所述的控制系统1类似。然而，图4中 示出的控制系统1还包括第四物理单元14,第四物理单元14同样包括属于两种不同类型的 三个计算机C4. 1、C4. 2和C4. 3。这三个计算机同样配置成实施第一功能。该四个物理单 元的十二个计算机具有四种不同的硬件类型：HW1、HW2、HW3和HW4。第四物理单元14包括 与其他三个物理单元的电源不同类型的电源AL4,使得四个物理单元的电源AL1、AL2、AL3 和AL4属于四种不同类型。该第四物理单元14还包括与其他三个物理单元的网络接口装 置不同类型的网络接口装置R4,使得四个物理单元的网络接口装置R1、R2、R3和R4属于四 种不同类型。优选地，各个电源AL1、AL2、AL3、AL4和各个网络接口装置Rl、R2、R3、R4均 具有DAL-E的硬件和/或软件质量保障等级。四个物理单元中的每个物理单元的三个计算 机的操作系统属于三个不同类型：0S1、0S2、0S3。优选地，该十二个计算机均具有DAL-E硬 件和/或软件质量保障等级，因此相对于通常用于实施该第一功能的、对应于DAL-A质量保 障等级的计算机，能够大大降低其成本。此外，这使得可以使用商业上可获得的计算机，而 无需专门开发：这导致大大降低控制系统1的开发时间，尤其是关于其硬件方面的开发时 间。此外，这使得可以在将计算机集成到控制系统1时使用商业可获得的计算机，而不需要 储备对应于这种控制系统的多年的生产的计算机。
[0032] 因此，控制系统1使用非常不相似的部件：四种类型的电源、四种类型的网络接口 装置、四种硬件类型的计算机，三种类型的计算机操作系统。此外，控制系统1使用大量的 计算机，从而允许高度的冗余，因为前述的十二个计算机都被配置成通过独立地制定用于 受控装置19的控制命令来实施第一功能。虽然这些部件是商业上可以获得的部件，因而对 应于DAL-E质量保障等级，但是这些特征的设定使得能够实现控制系统1的完全故障的概 率低到足以符合第一功能的DAL-A质量保障等级要求。
[0033] 在有利的实施方式中，该四个物理单元的十二个计算机还被配置成实施具有 DAL-A质量保障等级要求的至少一个其他功能。这使得能够通过同一些计算机来实施多个 具有DAL-A质量保障等级要求的功能。
[0034] 在具体的实施方式中，该四个物理单元的十二个计算机或者至少这十二个计算机 的子集还被配置成实施具有DAL-B质量保障等级要求的至少一个功能。因此，这使得可以 使用同一些计算机在同一时间实施具有DAL-A质量保障等级要求的功能和具有DAL-B质量 保障等级要求的功能，从而限制所使用的计算机的数量。
[0035] 在图5所示的有利的实施方式中，该四个物理单元11、12、13、14还分别包括三个 附加的计算机。因此，物理单元11还包括计算机C1. 4、C1. 5和C1. 6 ;物理单元12还包括 计算机C2. 4、C2. 5和C2. 6 ;物理单元13还包括计算机C3. 4、C3. 5和C3. 6 ;物理单元14还 包括计算机C4. 4、C4. 5和C4. 6。这些附加的计算机分别具有DAL-E的硬件和/或软件质 量保障等级。它们被配置成通过制定对应于具有DAL-C、DAL-D或DAL-E质量保障等级要求 的至少一个功能的控制命令来实施该至少一个功能。相应地，与该功能对应的软件应用程 序被加载到所述计算机中的每个中。该软件应用程序符合其所对应的功能的DAL-C、DAL-D 或DAL-E质量保障等级要求。这些附加的计算机不是配置成实施具有DAL-A或DAL-B质量 保障等级要求的功能。该实施方式使得可以在同一控制装置1中还能够实施至少一个具有 DAL-C、DAL-D或DAL-E质量保障等级要求的功能，同时确保具有DAL-A或DAL-B质量保障等 级要求的功能与具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能之间的隔离。因此， 对具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能的实施不会有干扰具有DAL-A或 DAL-B质量保障等级要求并且其失效会对飞行器具有毁灭性影响或危险性影响的功能的实 施的风险。为了实施该至少一个具有DAL-C、DAL-D或DAL-E质量保障等级要求的功能，控 制装置1还包括至少一个另外的选择逻辑单元（未示出），该至少一个另外的选择逻辑单元 被配置成从由附加的计算机确定的控制命令中选择有效控制命令。有利地，该另外的选择 逻辑单元的硬件质量保障等级和软件质量保障等级对应于所述功能的质量保障等级。
[0036] 在图5所示的本发明的具体的示例性实施方式中，在这些附加的计算机中，每 个物理单元的两个计算机--S卩，计算机C1. 4、C1. 6、C2. 5、C2. 6、C3. 4、C3. 6、C4. 4和 C4.5--被配置成实施至少一个具有DAL-C质量保障等级要求的功能。这些计算机不是配 置成实施具有DAL-D或DAL-E质量保障等级要求的功能。每个物理单元的另外那个附加计 算机被配置成实施至少一个具有DAL-D或DAL-E质量保障等级要求的功能。这样，保留了 四个计算机，即计算机Cl. 5、C2. 4、C3. 5和C4. 6,用于具有DAL-D或DAL-E质量保障等级要 求的功能。这使得可以确保具有DAL-C质量保障等级要求的功能与具有DAL-D或DAL-E质 量保障等级要求的功能之间的隔离。因此，对具有DAL-D或DAL-E质量保障等级要求的功 能的实施不会有干扰对具有DAL-C质量保障等级要求的功能的实施的风险。
[0037] 在前述的各个实施方式中，具有DAL-E的硬件和/或软件质量保障等级的计算机 有利地对应于商业上可获得的计算机，这些计算机均是将该计算机的成套构成部件集合在 一起的印刷电路板的形式。通常这种印刷电路板的面积仅是几平方厘米。这种计算机还可 以采用其尺寸与USB key?的尺寸基本相似的小型壳体的形式。于是，每个物理单元呈将 所述物理单元的电源、对应于例如交换机或对应于商业上可获得的以太网路由器的网络接 口装置、以及各个计算机集合在一起的壳体的形式。鉴于各个计算机的微小尺寸，每个物理 单元呈现非常有限的尺寸和质量。由此，控制装置1的体积和质量相对于传统控制装置的 体积和质量大大减小。这使得可以减小飞行器的燃料消耗或者可以运输更多的乘客。这还 使得可以有助于将物理单元集成到飞行器中。因此，这些物理单元不必像现有技术中的计 算机那样被集成到飞行器的航空电子设备机架中。
[0038] 商业上可获得的计算机一般要求没有通常在飞行器上使用的计算机易于暴露的 环境条件那么恶劣的环境条件。这些环境条件尤其与温度和振动相关。这些环境条件还可 以包括对闪电或者电磁干扰等的防护。然而，飞行器的机舱内部的环境条件通常适合所述 商业上可获得的计算机的运行。因此，根据实施方式，各个物理单元11、12、13、14被安装在 飞行器的机舱的内部。
[0039] 然而，在某些情况下，安装限制可能使得必须将物理单元安装在飞行器的机舱的 外部，例如，安装在飞行器的非空调隔舱和/或非加压隔舱中。为了解决这种需要，根据优 选的实施方式，由至少一个与下述装置中的至少一者对应的环境保护装置来保护各个物理 单元：空调装置；用于减震的装置；用于防电磁干扰的装置。
[0040] 根据第一可替代方式，该至少一个装置专用于每个物理单元。例如，每个物理单元 具有其自己的空调装置或减震装置。根据另一可替代方式，该至少一个装置是多个所述物 理单元共用的。例如，多个物理单元在其安装时被集合在一起，并且使用同一个空调装置或 者减震装置。
[0041] 根据第一变型，选择逻辑单元16被集成到不同于与受控装置19关联的控制单元 18的计算机中。因此，该计算机还可以作为与一个或更多个其他受控装置对应的一个或更 多个其他选择逻辑单元的宿主机。
[0042] 根据另一变型，选择逻辑单元16被集成到与受控装置19关联的控制单元18中。
[0043] 在图6所示的根据本发明的具体的实施方式中，第一功能对应于飞行器的飞行控 制。受控装置19包括飞行器的可动飞行表面的致动器。该可动飞行表面对应于例如襟翼 或副翼55、56或升降舵52、53。可以考虑飞行器的其他可动飞行表面而不脱离本发明的范 围。控制单元42、43、45、46分别与升降舵52、53以及与襟翼和/或副翼55、56关联。控制 单元链接至比如如前所述的一组至少两个通信网络20。在图6所示的示例中，未示出的选 择逻辑单元被集成在控制单元42、43、45、46中的每个控制单元中。然而，在不脱离本发明 的范围的情况下，可以提供另一计算机，所述另一计算机与该组通信网络20连接并且作为 分别与每个控制单元42、43、45、46进而分别与每个相应的可动飞行表面52、53、55、56关联 的若干选择逻辑单元的宿主机。根据上述实施方式之一的四个物理单元11、12、13、14也链 接至该组通信网络20。出于隔离的原因，物理单元11和14位于飞行器的机身的前部中，物 理单元12和13这部分位于机身的后部中。此外，物理单元11和12位于机身的左侧，而物 理单元13和14位于机身的右侧。两个接口单元41和44也链接至该组通信网络20。这些 接口单元还分别链接至位于驾驶员座舱中的控制工具47和48,例如摇杆或小型摇杆。
[0044] 在运行期间，飞行器的飞行员操作摇杆47、48,摇杆根据其位置产生电信号，该电 信号代表由飞行员给出的命令。这些信号由相应的接口单元41和44接收，接口单元41和 44继而将表示由飞行员给出的命令的信息发送至该组通信网络20,目的地为四个物理单 元11、12、13、14。该信息由所述物理单元的计算机接收，该计算机被配置成确定与所述第一 功能对应的控制命令，也就是用于可动飞行表面52、53、55、56的控制命令。这些计算机根 据表示由飞行员给出的命令的所述信息、按照用于飞行器的飞行控制法则彼此独立地确定 这些控制命令。每个计算机计算用于各个可动飞行表面52、53、55、56的控制命令，并且将 这些命令发送给该组通信网络20,目的地为分别与所述可动飞行表面中的每个飞行表面关 联的选择逻辑单元。因此，每个与所述可动飞行表面52、53、55、56中的一个飞行表面关联 的选择逻辑单元接收到由各个计算机针对该可动飞行表面所确定的控制命令。该选择逻辑 单元从接收自各个计算机的控制命令中选择有效控制命令。为了选择这些有效控制命令， 选择逻辑单元可以例如使用投票器。选择逻辑单元将这样选择的命令传送给与所考虑的可 动飞行表面关联的控制单元，该控制单元相应地控制所述飞行表面。
【权利要求】
1. 一种用于飞行器的至少一个受控装置（19)的控制系统（1)，所述控制系统（1)被嵌 装在所述飞行器上并且所述控制系统（1)包括： 至少两个不同的通信网络（20A，20B) 及 与所述至少一个受控装置（19)关联的至少一个控制单元（18)，所述控制单元（18)连 接至至少其中一个所述通信网络（20A，20B)， 所述控制系统配置成为所述受控装置确定并提供控制命令，确定所述控制命令相当于 所述飞行器的具有DAL-A质量保障等级要求的第一功能， 其特征在于，所述控制系统还包括： 一组至少H个物理单元（11，12,13,14)，每个所述物理单元（11，12,13,14)包括电源 (AL1，AL2，AL3，AL4)和连接至所述飞行器的至少其中一个所述通信网络（20A，20B)的网络 接口装置巧1，R2, R3, R4)，其中， 各个所述物理单元的所述电源属于至少H种不同的类型， 各个所述物理单元的所述网络接口装置属于至少H种不同的类型， 每个所述物理单元包括至少两个计算机（C1. 1，C1. 2，…C4. 6)，每个所述计算机包括 操作系统， 各个所述单元的各个所述计算机属于至少两种不同的类型， 各个所述计算机的所述操作系统属于至少两种不同的类型， 所述计算机中的至少六个计算机配置成独立地确定用于所述受控装置的控制命令，所 述控制命令对应于所述第一功能， 各个所述计算机均具有DAkC、DAkD或DAkE硬件质量保障等级和/或软件质量保障等级M及 选择逻辑单元（16)，所述选择逻辑单元（16)的硬件质量保障等级和软件质量保障等 级是DAL-A级，所述选择逻辑单元连接至所述至少两个通信网络（20A，20B)，并且所述选择 逻辑单元配置成从由所述计算机确定的所述控制命令中选择有效控制命令， 与所述受控装置（19)关联的控制单元（18)配置成根据由所述选择逻辑单元（16)选 择的所述有效控制命令来控制所述受控装置。
2. 根据权利要求1所述的控制系统，其中，所述至少六个计算机配置成根据所述至少 六个计算机共用的制定所述控制命令的模式来确定对应于所述第一功能的、用于所述受控 装置的所述控制命令。
3. 根据权利要求1或权利要求2所述的控制系统，其中，各个所述电源（AL1，AL2，AL3， AL4)和各个所述网络接口装置巧1，R2, R3, R4)均具有DAkE硬件质量保障等级和/或软 件质量保障等级。
4. 根据权利要求1至3中任一项所述的控制系统，其中，所述一组物理单元包括H个物 理单元（11，12,13)，所述H个物理单元分别包括H种不同类型的H个计算机，各个所述计 算机均具有DAkC硬件质量保障等级和/或软件质量保障等级。
5. 根据权利要求1至3中任一项所述的控制系统，其中，所述一组物理单元包括四个 物理单元（11，12,13,14)，所述四个物理单元分别包括至少H个计算机，每个计算机具有 DAL-E硬件质量保障等级和/或软件质量保障等级，其中： 各个所述计算机属于四种不同的类型； 每个物理单元包括至少两种不同类型的计算机； 所述四个物理单元的所述电源都属于不同的类型； 所述四个物理单元的所述网络接口装置都属于不同的类型； 每个物理单元的所述至少H个计算机的所述操作系统属于至少H种不同的类型。
6. 根据权利要求5所述的控制系统，其中，所述四个物理单元中的每个物理单元包括 属于两种不同类型的H个计算机，每个计算机配置成确定用于所述受控装置的控制命令， 所述控制命令对应于所述第一功能。
7. 根据权利要求5所述的控制系统，其中，所述四个物理单元中的每个物理单元包括 六个计算机，所述六个计算机均具有DAL-E硬件质量保障等级和/或软件质量保障等级。
8. 根据权利要求7所述的控制系统，其中，部分所述计算机不是配置成实施具有DAL-A 或DAkB质量保障等级要求的功能，该部分计算机配置成实施至少一个具有DAkC、DAkD 或DAL-E质量保障等级要求的第二功能。
9. 根据权利要求4至8中任一项所述的控制系统，其中，所述计算机中的配置成确定对 应于所述第一功能的所述控制命令的至少一部分计算机还配置成实施至少一个具有DAL-A 或DAL-B质量保障等级要求的第H功能。
10. 根据前述权利要求中任一项所述的控制系统，其中，所述选择逻辑单元（16)被集 成到不同于与所述受控装置（19)关联的所述控制单元（18)的计算机中。
11. 根据权利要求1至9中任一项所述的控制系统，其中，所述选择逻辑单元（16)被集 成到与所述受控装置（19)关联的所述控制单元（18)中。
12. 根据前述权利要求中任一项所述的控制系统，其中，所述第一功能与所述飞行器的 飞行控制相关，并且，所述受控装置（19)包括所述飞行器的可动飞行表面巧2, 53, 55,56) 的致动器。
13. 根据前述权利要求中任一项所述的控制系统，其中，各个所述物理单元受至少一个 环境保护装置保护。
14. 一种飞行器（2)，所述飞行器（2)包括根据前述权利要求中任一项所述的控制系统 (1)。
【文档编号】G05D1/00GK104468691SQ201410475108
【公开日】2015年3月25日 申请日期:2014年9月17日 优先权日:2013年9月23日
【发明者】维尔纳·德拉梅拉尔, 让-克洛德·拉佩尔什, 马蒂厄·勒比, 贝诺伊特·贝尔泰, 哈特穆特·欣策, 塞巴斯蒂安·克里蒂安 申请人:空中客车运营简化股份公司, 空中客车德国运营有限责任公司, 空中客车简化股份公司