飞行器飞行计划的安全排序的制作方法

本发明涉及飞行器飞行管理系统的技术领域。

背景技术：

在航空电子领域，对飞行计划进行排序意味着确定飞行器必须飞过的下一个飞行计划航段(“航节”)。当满足所有的条件时，飞行器将确实地沿该确定的飞行计划航段飞行。实际上，通常在飞行管理系统(flightmanagementsystem，fms)中进行的飞行计划航段的改变特别难以确定。在要求授权的所需导航性能(requirednavigationperformanceauthorizationrequired，rnpar)的上下文中(其对于飞行器引导而言是特别要求的)，排序工作会变得特别重要。

在排序方面出现了各种技术问题，各种已知的方法致力于进行改进，但是不完全令人满意。

一般而言，已知的fms系统设想存在多个冗余排序系统。因此，引导命令的比较意味着系统的各种冗余实体之间的必要的依赖性。这种相互依赖会导致常见的错误和/或错误的传播。

在专利文献us8660715中描述了根据现有技术的已知方案，其公开了一种用于自动监控需要保证导航和引导性能的空中操作的方法和装置。所描述的装置依赖于根据双重模型架构的特定系统(即，冗余，具有两个独立的导航链)。在这样的架构中，必须可以检测到位于其链(或“侧”)中的一个上的系统中的故障(意味着飞行器所从属的轨迹的不期望的修改)并且首先进行隔离，从而在无故障侧飞行。现有技术中描述的方法包括用于执行监控的装置，从而验证在该特定配置中的两个飞行管理系统是否处于操作或继续以双模式操作的状态。该方法具有限制。

存在用于管理飞行器的飞行计划的排序的先进系统和方法的需求。

技术实现要素：

本发明涉及一种用于操纵飞行器飞行计划航段的方法。航空电子计算(例如，飞行计划排序)的结果是从多个结果中选择的，所述多个结果由并行执行并处于竞争的多个系统确定，每个系统将由计算结果满足的条件传送给至少部分其它系统，该方法包括如下步骤：当且仅当其自身的计算结果满足从至少一个其它系统接收的条件时，多个系统中的给定系统与至少一个其它系统共享其自身的计算结果。改进特别描述了以下的各种模式：结果的协调和/或选择、系统的独立和/或停用的切换、表决和/或加权机制。描述了软件和系统方面。

优选地，根据本发明的系统实现为多个独立系统，从而避免排序中的错误或误差的共同点。

优选地，本发明的某些实施方案可以“安全”排序，也就是说，可以防止给定系统中的错误传播至整个系统中的其它系统。

有利地，本发明使用处于竞争的独立系统，分别进行独立排序并且相互协作(事实上，即，不需要中心构件)。现有技术描述了主-从类型的系统，也即，一个系统使另一个系统对其从属，具有预定的作用。相比之下，在本发明中，不需要预先分配主和/或从的作用。事实上执行作用的分配，即基于对等系统之间的协调。该方案更具有鲁棒性，并且确保了排序。

有利地，通过不同地管理飞行管理系统的两个或多个冗余实体的飞行计划和/或轨迹的排序，本发明的实施方案可以取得沿飞行计划和/或轨迹的引导的更好的连续性、完整性和精确性。

优选地，本发明的实施方案使得飞行器精确引导，同时增加飞行管理系统的完整性和连续性的水平。

有利地，本发明可以考虑到飞行管理系统中的各种计算误差，从而对飞行计划进行排序。

有利地，本发明的某些实施方案具有预测类型而非反应类型。可靠性总体得到提高。本发明的某些实施方案特别可以避免由于实时而不能及时地切换到“独立”。

有利地，根据本发明，排序可以为准同时(即，以预测模式而非反应模式)。飞行管理系统的各种实体的并行排序通常可以对相同的活跃飞行航段进行引导，并从而可以计算引导指令，所述引导指令在系统的各个实体之间分歧极小。该很小的差异使得可以在监控部件中设置低值的比较阈值，由此，一旦发生故障就迅速警告飞行员。

有利地，本发明可以实现在完整性和连续性目标方面被称为“危险”的目标(特别是通过彼此监控的冗余实体的使用)，并且可以实现引导性能目标。例如，当飞行器离开空中走廊时，不进行2-rnp空中走廊的离开警报，但是必须在之前(例如，当引导命令趋向于离开该空中走廊时)检测到故障。

有利地，本发明的实施方案可应用于包括多个实体(两个或更多)、特别是双重类型的航空电子架构。

有利地，根据本发明的实施方案可以通过使用并行的多于两个的实体来进行扩展。

有利地，根据本发明，可以从计算池中隔离或排除故障实体。

有利地，本发明的实施方案可应用于包括飞行管理系统fms之外(例如，在自动驾驶仪中)的顺序器的航空电子架构。

附图说明

参考以下附图，在支持本发明的优选而非限制性实施方式的描述中，本发明的各个方面和优点将变得显而易见：

图1示出了根据本发明的示例性整体系统；

图2示出了根据本发明的排序方法的步骤的示例；

图3示出了利用顺序器的根据本发明的特定实施方案的方法的步骤的示例；

图4示出了在双重系统中发生的根据本发明的方法的步骤。

具体实施方式

在下文中提出了限定。

术语“航节”对应于飞行计划航段。

动词“排序”对应于改变待飞行的飞行计划航段(从“当前/活跃航节”至“下一航节”)的动作。

术语“飞行计划”指的是限定计划路线的2d、3d、4d或5d要素的列表。构成飞行计划的要素为“航节”(例如，由arinc424标准化的伪轨迹航段)、飞行计划点(或“路径点”)、高度或速度限制、海拔等。飞行计划为从导航数据库中提取的要素、或由飞行员输入的要素、或下载的要素的链接或串联。当这些要素仅包含水平面中的特征时，可以认为是2d飞行计划。3d飞行计划加入了垂直和/或速度特征。4d飞行计划加入了过境时间限制。5d飞行计划也可以管理燃料尺寸。

术语“轨迹”指的是连续并且可飞行要素的列表(一个和多个衍生物的连续性与飞行器的飞行力学相匹配)。2d轨迹包括以连续方式串联在一起的直线段和曲线段。

术语“飞行管理系统”(首字母缩写为fms)指的是机载航空电子系统。飞行管理系统的一个主要功能是沿飞行计划对飞行器进行引导。fms的一个目标特别是在飞行期间辅助飞行员；例如，通过计算待遵循的轨迹(例如，可飞行的连续轨迹)、通过管理和显示待遵循的路线(“飞行计划”)，从而执行飞行计划；通过由自动驾驶仪(可选特征)来计算该轨迹接下来的引导指令；通过估计过境时间和燃料消耗；通过接收飞行计划要素并将其分配至其它系统；通过显示位置和估计定位系统的精确性。为了保证分配给系统安全性目标，系统可以包括一个或多个实体，从而可以增加可用性(和连续性)以及完整性(通过互相监控)。具体而言，“顺序器”可以成为飞行管理系统的一部分，或者可以不成为飞行管理系统的一部分。

针对于飞行管理系统fms的可用性和完整性要求是严格的。

具体而言，关于飞行计划和/或轨迹的损失或错误的事件是可怕的。通常要求证明这些事件发生概率小于10^-5。对于误差概率小于该阈值的平台，证明硬件足够可靠是必要和充分的。

近年来，针对空中导航程序的升级仍然导致了涉及沿飞行计划和/或轨迹的引导的连续性、完整性和精确性的要求的加强。更具体地，根据小于rnp0.3nm(海里)的性能水平，设定“要求授权的所需导航性能”(requirednavigationperformanceauthorizationrequired，rnpar)类型的程序要求具有符合“危险”类型的故障条件分类的2*rnp的参数化(或者航空用语中的“可容度(containment)”)的引导的完整性和连续性。引导的精确度也必须更加精确，从而可以保持于轨迹周围的1×rnp空中走廊。

这些rnp类型的程序的特点为：i)根据包括飞行计划点(数据库中限定的“路径点”)的飞行计划并且不根据地面信标的导航的能力；

ii)根据飞行器必须95％的时间位于的半宽度rnp的空中走廊和半宽度2*rnp的“可容性”空中走廊(具有“缓冲”，也即，具有边缘)；

iii)估计飞行器的机载定位性能的必要性；iv)将定位性能与数据库程序中所需的性能进行比较的机载监控装置的实现。

rnpar程序需要一个程序一个程序地特别授权。它们还需要得到机组人员批准。这些程序可以具有小于0.3的rnp，因此从技术角度来看，需要对系统进行高度的监控。飞行器故障必须不导致离开2rnp空中走廊(例如，在参考轨迹存在2rnp的缓解，即，更多的“缓冲”)。

最公知的rnpar方案需要部分依赖于用于管理故障(“缓解”)的装置(特别地，通过在每个特定的程序中训练机组人员)，并且还取决于技术性方案。

为了使与程序认证相关的经常成本最小化，有利的是可以依赖能够直接证明rnpar规定所要求的安全性和精确性目标的航空电子架构。

在当前的飞行器上，通过两个标准功能来执行rnpar操作的监控。第一功能监控位置计算的准确性和完整性。第二功能允许机组人员监控飞行器的引导。

在该rnp-ar框架内，从实现安全目标所需的各种监控中，在飞行管理系统具有差错(即，“错误”)的情况下，由于可以预测空中走廊出口，所以发送给自动驾驶仪的引导指令的精确监控是决定性的。

术语“顺序器”指的是确定或计算飞行计划和/或轨迹的要素的排序情况并且将排序事件分配给飞行管理系统的适当实体的一些算法或一类算法。术语“顺序器”可以对应于实现排序步骤的装置，但是该装置的物理区分可以是可变的或者实际上不相关的(例如，在分布式系统的情况下)；在这样的情况下，术语“顺序器”对应于各种对等系统的监督(计划的)或合并(实际的)的水平。

术语“引导”指的是可以使飞行器从属于计划的轨迹的算法。引导算法实现这样的自动控制：其将轨迹或飞行计划的活跃要素以及由飞行器的一个或多个传感器测量的位置作为输入。这些引导指令一般包括：a)用于水平面中引导的滚转指令、滚转角速率或轨迹段；b)垂直面中的姿态、姿态增量、俯仰角速率、载荷因子、垂直加速度、垂直速度、斜率或轨迹段；c)用于在速度方面引导的速度、加速度、总能量、发动机指令(n1、epr、pla)、时间目标。

因此，飞行管理系统确定或计算传递给自动驾驶仪的一个或多个引导指令。为了确定引导顺序或指令，通常包括以下步骤：获取由通常在飞行管理系统外的传感器制定的参数(例如，飞行器的位置、速度、高度、航向、地面轨迹、垂直速度、斜率、加速度、角度、角速度等)，通过手动输入和/或下载来确定或制定飞行计划(由此组成的飞行计划包括必须串联在一起为链的“航节”的列表，例如，作为对轨迹的支持的“骨架”)；在飞行计划的这些要素的基础上确定飞行器的轨迹(例如，计算以连续的方式(并且首先以可飞行的方式)串联在一起的连续的要素，即相对于飞行器的性能)；基于各种机载传感器确定飞行器的位置(有利地，本发明的实施方案使用基于卫星的位置传感器，其可以与惯性平台混合以提供非常精确的位置信息)；最后，对由此确定的飞行计划和轨迹进行排序。这尤其需要确定，相对于飞机的位置，飞行计划的哪个航节或哪个轨迹段为“活跃的”。飞行管理系统以循环方式(通常为每120毫秒)对飞机相对于飞行计划和轨迹所在的位置进行验证。当飞机超过活跃当前航节或航段的末端时，其将该活跃航节/航段进行排序，并且下一航节/航段成为新的活跃航节/航段。活跃航节/航段变为新的参考，其将显示给飞行员并且用作引导的参考。确切地说，引导是通过使用之前计算的位置和由传感器提供的飞行器速度矢量信息来建立活跃航节或航段之间的差异。由此，其通过从属类型的算法而推导出引导指令。最后，将引导指令传送给自动驾驶仪。

图1示出了根据本发明的示例性整体系统。该图示出了这样的整体系统：其包括多个系统(111、112、……、119)，随后也称为“实体”。系统(111、...、119)分别根据飞行器参数和与它们单独关联的传感器(101，102，109)来确定要飞过的下一飞行计划航段的候选。这些系统(111，119)通过引导系统120而“同步”(由于它们共享同一个活跃或当前飞行航段，即，飞行器在给定时间实际飞过的飞行航段)。

实体或系统(111、112、……、119)可以为独立的和/或冗余的(和/或隐含地不可靠的)。

系统的独立意味着系统可以完成它的计算，而不涉及其它系统，或者至少不依赖于这些精确的计算(否则，每个系统可以自主地确定其自己的候选航段)。目前独立通常不是绝对的，因为系统会共享某些电子电路(常见、甚至普遍的是电源)。两个或更多的根据本发明的系统之间可以存在本文中未描述的同步的差异和额外的点。在某些实施方案中，将独特故障的点尽可能地最小化(分开的电力供应等)。

根据本发明的系统在硬件方面和/或逻辑方面(例如，功能性)一般是冗余的。在某些实施方案中，这些系统是严格一致的。在其它实施方案中，它们的功能是一致的(而它们紧密的硬件结构可能会变化，准确地提供了对故障的鲁棒性)。在某些实施方案中，由各种系统执行的软件编码可以是不同的。

以任意硬件系统的方式，系统隐含地为不可靠的，也就是说，系统容易发生错误或多个故障(根据各种原因或方式)。

根据本发明的系统通常并行执行，因此，从更高水平的集合上来看，实际上“处于竞争”(每个系统“忽略”该情况或“确定”该情况，在“确定”该情况时，如果合适，可以涉及系统的内部优化)。

出于可用性、完整性和连续性的原因，有利的是实现多个系统。多个实体提供冗余，并因此对故障具有鲁棒性。

为了防止系统的多个实体发散，可以有利地在这些实体之间建立同步机制。

在一个实施方案中，由处于竞争的多种实体或系统接收相同的活跃或当前飞行计划要素或飞行计划航段。因此，有关的实体基本上同时进行排序，来自引导系统120并且由每个实体计算的引导命令可以进行比较，从而对系统进行监控。

图2示出了根据本发明的排序方法的步骤的示例。

在本发明的一个实施方案中，排序结果的出现是由对等系统之间的协调结果的乘积。下文中描述了各个步骤的示例。

在第一步骤210中，多个系统中的至少一个系统接收活跃或当前飞行航段208和由位置传感器209提供的位置(其与飞行管理实体相关)。该实体确定出(“安排(arm)”或“设置”)排序区间(或“窗口”)。

在第二步骤220，排序区间对等地传输至多个系统中的其它系统(该系统在其侧执行相同的第一步骤)。该通信以分布式方法执行(没有中心构件)，或利用中心调节构件(例如，顺序器)来进行集中化。也可以是将分布式和集中化通信相结合的混合模式。

在第三步骤230，至少一个系统可以确定下一飞行计划航段。系统不会对其结果进行通信(如果该系统确定其结果)。

在第四步骤240，所考虑的系统听取(即，接收)由第三方系统传送的区间。

在第五步骤250，当且仅当该系统从第三方系统接收到信息项，并且根据该信息项，其结果满足该第三方系统的排序区间时，给定系统将其排序结果(如果该系统已经确定了其结果)进行传送。有效结果的通信可以采用分布式模式(例如，经由对等系统的网络，根据可变拓扑、可变连接图)和/或集中化模式(例如，经由顺序器)来执行。

在变型实施方案中，当公布排序事件时，系统的每个冗余实体对新的活跃飞行计划要素和/或轨迹进行排序(当且仅当其之前已经安排了其排序时)。否则，对于已经从其它系统接收信息和/或已经完成其自己的排序区间的确定的事实，一个或多个系统可以调整其下一个飞行航段的计算。

一般地，排序区间的确定和(飞行计划航段的)排序的确定可以为独立操作(即使它们可能涉及其它的情况)，因此为各种变型的实施方案留出空间。否则，在安排条件和排序事件的计算之间可能存在独立性，从而通过证明在安排和排序事件的计算中发生错误的概率是在计算这两种情况的两个实体中的错误的概率的乘积，由此可以确保排序。因此，该概率变得很低，大约为10^-5×10^-5＝10^-10，因此，可以证明“危险”航空电子情况(10^-7)。

图3示出了利用顺序器的根据本发明的特定实施方案的方法的步骤的示例。

下文描述的步骤示出了关于步骤的细节(例如，关于旨在建立所涉及的子系统的状态的完整性的测试等)的变型实施方案。

在本发明的一个实施方案中，“最终”排序结果的选择为由中心构件或中心件管理的对等系统之间的协调结果的乘积。该构件可以集成至实体111、112、……、119中的一个，或在外部。这样构件的优点在于，其变得可以监督处于竞争(例如，隔离、排除等)的系统的整个集合。下文描述了该特定实施方案的步骤的示例。

在第一步骤，顺序器承担传感器数据310的获取(即，所使用的数据集)。此后(或更早或甚至同时)，顺序器承担由飞行管理系统的每个实体分配的排序窗口320的获取。此后，顺序器在步骤330中确定下一个要素的排序条件。接下来是下一要素的排序条件的测试340，并且关于知道是否已经从飞行管理系统的各个实体接收并打开所有窗口的事实。

如果对测试340的响应是否定的，则确定窗口中的至少一个是否打开360。如果没有区间打开，则重复步骤310。如果至少一个区间打开，则信息不一致(因为某些区间也被关闭)。因此，进行第二个测试365以确保没有情况会要求基于这种不一致进行排序。如果排序事件被分配到实体，那么将没有任何打开区间的事件被隔离(步骤370)，这些事件被怀疑为运行不好。默认情况下，信息是一致的，并且实际上没有进行排序，该方法返回到步骤310。

如果对测试340的响应是肯定的，则所有信息是一致的，并且排序被整理并分配350到顺序器(例如，到fms，从而实际在380，390中执行排序)。

图4示出了在双重系统中执行的根据本发明的方法的步骤。

实际上，在改进中，根据本发明的系统可以是“双重”类型的系统，两个实体(或独立系统)的一个作为主系统401，另一个实体作为从系统402。

有利地，通过使用该双重配置，其可以增加引导的完整性(例如，其可以证明，错误的概率小于10^-7)。

如果主系统处于由从系统接收的排序窗口412(即，主系统在其计算中得到加强)，则主系统401确定下一航段430(即，由主系统确定排序事件的顺序、发出)。

从系统的部分接收由主系统确定的该航段430，如果从系统在其自己的排序窗口中，则执行其排序。在标称情况下，从系统将得到相同的结果。默认情况下，例如，如果从系统看到主系统排序请求到达从系统的排序窗口外部，则从系统可以转到“独立”模式(在fms术语中这样称呼)。如果主系统401计算排序事件，并且如果从系统412的窗口关闭，则主系统可以自己转至所谓的独立模式(即，不再听取从系统)。

在一个实施方案中，主系统和从系统可以自动地或(由飞行员)手动选择地切换。

当双重模式可以不再运行时(例如，在两个实体之间的数字链接的运行故障的情况下)，每个实体可以恢复为独立的，并且单独地执行其计算，而不互相同步(降级模式)。

下文中描述了其它的实施方案。

总体上，描述了这样的飞行器的飞行管理系统：其需要连续性和完整性的至少“危险”水平，同时要求针对沿着飞行计划或轨迹的引导的准确性。在改进中，飞行计划和/或轨迹排序系统实现了排序方法或软件(“顺序器”)和/或飞行管理软件，具有在一个或多个硬件平台(独立系统)上的一个或多个物理实体中的该软件的多个示例。该方法包括通过以下步骤来进行排序的同步：由每个独立系统或至少一些独立系统来确定排序窗口(例如，排序条件)，以及当实体(在交互中)看到排序事件到达排序窗口(排序的确定由一个独立系统执行)时，在成组的实体中执行由顺序器整理的排序。如果排序请求和排序窗口不一致，则可以将检测到不一致的实体或独立系统进行隔离。在改进中，排序窗口可以具有时间性。在改进中，该系统具有“双重”类型(即，包括两个独立系统)，两个实体中的每个计算排序窗口和排序事件。每个实体将排序窗口的开始和结束分配给其它实体。仅当排序窗口已经由相对的实体打开时，每个实体才执行其排序。在改进中，当独立系统的一个接收到不利系统(其未验证其自身的排序窗口)的排序确定时，执行切换至所谓的“独立”模式。

在另一个实施方案中(未示出)，有利的是，使用三个(或更多个)独立系统，以增加完整性水平。该系统被称为“三重”(即，包括三个实体)，两个实体的一个为“主系统”，另两个实体中的至少一个为“从系统”(第三实体可以待机，以在故障的情况下接替一个实体或另一个实体)。

如果适当，则在至少两个实体的某些计算结果之间进行比较。通常，确定待监控的结果的差异的绝对值，然后与预定阈值(或与阈值跨度)进行比较。当在大于预定持续时间的持续时间内该值大于该阈值时，可以发出警报以通知(飞行员和/或第三方系统)所监控实体故障。在一个实施方案中(例如，在某些飞行或要求导航精度的环境中)，可以为飞行员检索各种结果(例如，将各种结果可视地并列)。

下文描述了包括错误或故障系统的排序情况的示例。

顺序器中可能发生错误。例如，如果顺序器中发生计算错误，并且如果该事件未计算(或计算不佳，因此发出在例如由其它实体计算的排序窗口外部)，则排序命令将不会在其它实体上执行。已经接收到错误排序事件(或在其排序窗口中未接收到任何排序事件)的实体可以要求将其与顺序器隔离开。

在正在听取的系统中也可能发生错误，即，该系统接收一个或多个不利系统的部分上的排序区间和/或飞行计划航段建议。例如，如果在正在听取的实体中发生错误(例如，计算的错误)，并且如果该实体执行排序安排窗口的错误计算(或者不安排该排序，即，不对于活跃段验证该窗口)，则顺序器可以接收与其自己的计算不一致的排序窗口，并且所考虑的实体可以被隔离(按惯例，由顺序器或实体将其自身隔离)。

对于排序事件的传输可能发生错误(例如，排序窗口可能无法由听取实体接收，或者有问题的窗口可能无法由顺序器接收)。

下面描述了本发明的其它实施方案和概括。

根据本发明的一个方面，多个对等系统(“全部相等”并且彼此独立，或至少相互独立)彼此独立地执行轨迹计算和飞行计划操纵计算。具体而言，每个独立系统进行轨迹计算和/或候选排序。每个独立系统特别确定排序的一个或多个有效性区间。在另一个阶段(稍后或伴随计算进行)，每个独立系统将自己的计算结果传送至其它独立系统，并听取由其对等系统计算的结果。这导致协调步骤或阶段(该步骤或阶段可以是异步的)，因为每个独立系统可能不同时确定其自身的结果。可以实现从各种独立系统执行的计算中特别选择结果的各种模式(例如，i)选择随时间可用的第一结果，ii)通过考虑以绝对或不变方式预定义的标准来选择被确定为有效的第一结果，iii)将根据其它标准可用的各种结果进行相对比较，特别是随时间是动态的或可变的，iv)对于传送结果的独立系统，根据质量或可靠性标准对结果加权，等等)。

在一个实施方案中，公开了一种用于在包括多个独立(彼此独立)的系统的飞行管理系统中管理飞行器的飞行计划航段的方法，所述方法包括以下步骤：在每个独立系统中，确定飞行计划航段变化的条件，所述条件包括能够在时间和/或距离方面配置的有效性区间；通过每个独立系统，将其确定的窗口传送至其它独立系统；接收已发布的排序请求，所述请求确定了待飞行并发布的下一个飞行计划航段；在每个独立的系统中，通过在发布时验证待飞行的下一飞行计划航段和飞行计划的改变条件来(独立地)确定下一待飞行(候选)的飞行计划航段。

总体而言，公开了一种(例如，由计算机实现的)方法，其用于从多个结果中选择航空电子计算的结果，所述多个结果由并行执行并处于竞争的多个系统确定，每个系统将由计算结果满足的条件传送给至少部分其它系统，该方法包括如下步骤：当且仅当其自身的计算结果满足从至少一个其它系统接收的条件时，多个系统中的给定系统与至少一个其它系统共享其自身的计算结果。

并行执行的系统是冗余的、(隐含地)不可靠的并且独立的。

另一方面，在一个实施方案中，根据高水平抽象，并且从根据本发明的竞争系统中的给定系统的角度来看，i)由给定系统来确定计算结果；ii)由给定系统确定的计算结果必须满足的(不利的)条件由给定系统接收(来自除了给定系统以外的系统)；iii)当且仅当该结果满足不利条件时，所确定的结果被认为是有效的，并且将该结果传送至竞争系统的监督器。

在改进中，航空电子计算为飞行计划航段的改变的计算。

具体公开了一种用于操纵飞行器飞行计划航段的方法，该方法在系统(或多个系统、或并行执行并处于竞争的多个系统中的每个系统)中实现，该方法包括以下步骤：在知道飞行器的活跃飞行航段的情况下，确定待执行(或“候选”)的下一个飞行计划航段，所述下一个飞行计划航段确定对应于活跃飞行计划航段的结束并且对应于待飞行的下一个飞行计划航段的开始的联接点；确定“排序”(即，“飞行计划航段变化”区间，或更一般地，排序“条件”)，所述区间包括至少一个开始，该区间的开始位于联接点之前；将所确定的飞行计划航段的改变的所述区间传送到至少一个其它系统(或多个系统中的每个系统)。

飞行器在给定时刻飞过的飞行计划航段被称为“当前”段或“活跃”段。连续飞过各个航节，并且实际上可以执行(或检测、或初始化、或确定)排序(改变航节)。活跃航节的改变的指示可以例如来自于轨迹改变的检测，其变为等于航节改变之后所设想的轨迹。

每个独立的系统确定“排序窗口”，即，可以确定待飞过的下一飞行航段的条件。另外，排序窗口还称为(排序的)“有效区间”。排序窗口包括排序条件。

在次要细节中，可以在时间和/或空间上定义区间。排序区间(或排序窗口)可以包括空间类型和/或时间类型的数据。例如，排序窗口可以包括开始和结束，其在时间角度(“何时”，即，时钟)或空间角度(“哪里”，即，地点或地区或位置)进行表示。

另一方面，排序区间包括确定给定的飞行计划航段变化的有效性的起始标记和结束标记。

关于排序窗口的时间表示，变型实施方案设想使用所谓的“最终更新”机制，其是根据专有机制限定的精确瞬时。该机制包括：在飞行器(实际)过境这个新要素之前几秒钟，几何地冻结轨迹要素，曲线轨迹段的精确限定需要在飞过该航节时速度和风力的知识。这个动作通常在以下要素的排序之前的十二秒内执行(对依据要素的几何形状和飞行器的速度的额外持续时间取模)。在变型实施方案中，“最终更新”的该特定时刻用于确定排序区间的限制。

待飞过的飞行计划航段确定了“联接点”，该联接点对应于当前(或活跃)飞行计划航段的结束并对应于待飞行的所述下一飞行计划航段的开始。排序窗口的开始位于“联接点”的上游：排序还未进行。窗口的结束可以在联接点上或之后(时间)或下游(距离)。

在改进中，该方法进一步包括以下步骤：在至少一个(第一)系统中或者通过至少一个(第一)系统，从至少一个其它(或第二)系统接收飞行计划航段的改变的所述区间。

在一个实施方案中，每个独立系统将其排序窗口的开始和结束传送至其它独立系统的每一个。在一个实施方案中，如果和/或尽快地，系统实现该方法并且将其计算的结果传送(如果适当)到至少一个其它竞争系统(或所有系统，如果可能)。

在改进中，在至少一个系统中，该方法进一步包括以下步骤：如果所述候选飞行计划航段的联接点位于由至少一个其它系统传送的区间，则确定下一个候选飞行计划航段。

在实现该方法的多个竞争系统中的至少一个系统中，当且仅当候选飞行计划航段的改变位于由所述系统确定的窗口中时，并且如果候选排序位于由至少一个其它系统传送的窗口中，则确定候选飞行计划航段的改变。

各个对等系统全部平等地分别单独确定“它们的”下一个飞行计划航段，将这些确定的航段以迭代和集合方式进行互相比较。开始进行“协调”，并且产生或“出现”最终的或协调的飞行计划航段。在联接点的上游很好地执行飞行计划航段的确定(“一致性”测试)。

例如，在包括三个平等独立系统的整体系统中，如果第一独立系统首先确定出候选排序，随后第二独立系统确实可以验证该候选排序和当前飞行计划航段适当地满足排序条件；其随后确定出最终排序。第三独立系统可以不满足条件或随后满足条件：因此，第三独立系统不确定任何候选排序(其保持沉默)。

现有技术通常进行如下：i)表决，根据ii)预先建立的作用或优先级或层次结构(例如，主-从)。相比而言，本发明根据以下机制进行：a)由对等系统进行的实际测试或比较；b)认为是等同的实际测试或比较。在一个实施方案中，对等系统的一个和“处于竞争”的结果(例如，在时间上)的第一表现可以进行整个系统中的排序的确定。通过对等协调(采用集合方式获得的结果的出现)的该确定可以可选地通过加权或等级或得分或与整个系统中的每个独立系统的权重相关的标准(实际上，某些独立系统可以表现出可变的可靠性指标)来调整或优化。

在改进中，在至少一个系统中，该方法进一步包括以下步骤：传送下一候选飞行计划航段，所述航段变为选择的飞行计划航段。

在第一情况中，如果活跃航节在排序窗口中，并且如果至少一个其它独立系统已经传送对活跃航节有效的排序条件，则独立系统考虑有效方式的“排序”，即，将下一个候选飞行计划航段传遍系统(例如，飞行管理系统)，由此下一个候选飞行计划航段变为下一个最终飞行计划航段。

在改进中，在至少一个系统中，该方法进一步包括以下步骤：只要所述至少一个系统还未确定飞行计划航段的改变的任何区间，则从另一个系统接收飞行计划航段的改变的区间，并且该方法进一步包括停用两个系统中的一个和/或另一个系统的步骤。

在改进中，在至少一个系统中，该方法包括以下步骤：在该系统未计算任何排序条件时，从另一个系统接收排序区间，并且该方法包括停用所述两个系统中的一个和/或另一个系统的步骤。

两个独立系统的一个故障，或两个系统均故障，并且在不具有进一步信息的情况下无法确定哪一个。在实践中，飞行员被告知故障或不确定性；他通常不能选择，因此导致手动干预或求助第三方系统(例如，第三独立系统)。通常情况下，当不确定时，飞行员会增加飞行器的高度。

在改进中，在至少一个系统中，该方法进一步包括以下步骤：在所述系统未确定飞行计划航段的改变的任何区间时，从另一个系统接收飞行计划航段的改变的区间的确定，并且该方法进一步包括停用两个系统中的一个和/或另一个系统的步骤。

在改进中，在至少一个系统中，该方法进一步包括以下步骤：在所述系统没有任何打开的排序窗口时，从另一个系统接收排序条件的确定，并且该方法进一步包括停用独立系统中的一个和/或另一个系统的步骤。

因此，考虑的独立系统中的一个和/或另一个故障，并且每个系统继续独立地计算，而不再继续彼此通信(但是，与其它独立系统的交流可以继续)。可选地，采用与之前情况相同的方式，可以通知飞行员考虑的独立系统之间缺乏一致，可以提示飞行员利用各种提出的替代方案(而不需要整体系统可以决定性地推断候选飞行计划航段的哪个是有效的并且哪个是错误的)。

在改进中，对于独立系统，该方法进一步包括以下步骤：不接收或者不再接收一个或多个系统的排序条件。

根据本发明的独立系统可以不接收一个或多个系统的排序条件。根据本发明的独立系统可以不再接收一个或多个系统的排序条件，例如，在已经一次或多次接收第三方系统的排序条件之后。

在改进中，对于系统，该方法进一步包括以下步骤：不传送或不再传送获得的候选飞行计划航段。

根据本发明的独立系统可以不再确定飞行计划航段的改变，例如，在已经确定一个或多个飞行计划航段的改变之后。预定阈值可以限定给定独立系统的最小和/或最大数量的贡献。

在改进中，对于与多个独立系统相关或包括多个独立系统的飞行管理系统fms，该方法进一步包括以下步骤：隔离、排除或关闭一个或多个系统。

将各种独立并且竞争的系统组合在一起的飞行管理系统可以例如，根据额外的信息(置信水平、可靠性水平、服务质量水平等)，来隔离、或排除、或停用一个或多个独立系统。术语“隔离”表示fms系统可以继续监控从隔离系统产生的结果，并且可选地，根据预定标准和/或情况而考虑这些结果。术语“排除”表示fms系统可以忽视从隔离系统产生的结果，而例如另一个航空电子系统仍将对其进行访问。术语“关闭”覆盖各种情况，包括所考虑的独立系统的暂停(临时关闭)、重新启动(临时关闭)或完全关闭(永久关闭)。

在改进中，该方法进一步包括以下步骤：为飞行员显示涉及一个或多个隔离的、排除的或关闭的系统的一个或多个指示。

由于可以重新启动被认为故障的系统，因此飞行管理系统内的活跃系统的总数可以随时间而波动。有利地，将该动态倒计时通知给飞行员。

在改进中，排序区间具有时间类型，窗口区间的开始对应于所谓的“最终更新”事件，窗口的结束取决于飞行器的几何形状和速度。

“最终更新”事件将接下来的活跃航段的限定冻结。排序窗口的开始一般为大约12秒，与飞行器的几何形状和速度相关的持续时间的模。排序窗口的结束一般为大约20秒，与飞行器的几何形状和速度相关的持续时间的模。

在改进中，排序窗口具有复合类型，所述复合类型将时间和空间方面相结合。

例如，混合类型的窗口将对应于“5秒和1海里nm之间的最小值”的限定，该限定可以有利地考虑飞行器的动力学。

在改进中，该方法进一步包括以下步骤：为飞行器的飞行员显示从确定的飞行计划航段中选择出的飞行计划航段。

在改进中，排序区间是可配置的或取决于rnp值。

例如，区间或窗口的开始值和结束值可以取决于rnpar的海里的值(即，根据小或宽的空中走廊，例如，400米)。

在改进中，每个系统与预定参数相关，该方法进一步包括以下步骤：通过所述预定参数来将系统的结果加权。

与每个系统相关的参数可以表示与所考虑的系统相关联的优先级、或权重、或可靠性、或置信水平。否则，所描述的对等系统之间的协调方案可以通过加权的应用而进行调整，然后每个系统不再被认为是等于另一个系统。特定的系统可以在计算精度上表现出更好的特性，特别是在位置方面(gps传感器、惯性平台的性能可能会变化)。

在改进中，所述加权包括：根据预定阈值或预定的阈值跨度进行表决的机制。

特定地，可以实现阻止少数和/或多数，也是反对的否决权等。

公开了一种计算机程序产品，所述计算机程序包括代码指令，使得当在计算机上执行所述程序时可以执行该方法的步骤。

在一个实施方案中，根据本发明的方法可以在fms飞行管理系统的软件中实现。

在一个实施方案中，根据本发明的系统包括多个冗余实体和确定排序条件的顺序器(或排序实体mon)。硬件方面，这个顺序器可以实现为飞行管理系统的一部分，或者在飞行管理系统外部。

在一个实施方案中，根据本发明的方法可以用于引导系统和/或自动驾驶系统(其已经收到待排序的飞行计划和/或轨迹)。

在改进中，系统包括n个系统，一个系统具有主类型，n-1个剩余系统具有从类型，主类型的系统不需要从从类型的系统接收排序区间，从而确定其下一飞行计划航段，而从类型的系统需要从主类型的系统接收排序区间，从而可以确定下一个飞行计划航段。

在一个实施方案中，具体和预定的属性与独立系统相关联，或者至少与部分的独立系统相关联，实际上将不对称性引入至分配给构成整个系统的各个对等系统的特权和/或这些对等系统必须满足的要求。

在主/从对的共同意义中，主系统不需要从从系统接收排序区间，以便确定其下一个飞行计划航段。由于其作为主系统的能力(保持独立)，它可以将其确定的飞行计划航段(有权限)传送至飞行管理系统。主系统可以听取或可以不听取来自从系统的信息。

相反地，从系统变为依据主系统，因此其需要从主系统接收排序区间，从而可以确定下一个飞行计划航段(其涉及听取由主系统执行的计算)。

在改进中，系统包括n个系统，一个系统具有预定的主类型，一个系统具有预定的从类型，n-2个剩余系统具有不确定的类型。

不确定的系统没有任何预定的作用。在一个实施方案中，这些系统可以配置为支持一种或另一种功能，即，它们可以待机，例如根据需要，等待它们类型的分配(例如，如果从系统和/或主系统故障，则进行接管)。独立系统被称为储备(“池”)。在一个实施方案中，为了排序系统的极强的鲁棒性，可以使极大量的独立系统进行竞争。

在改进中，系统的数量n等于二，飞行管理系统被称为双重系统。

在改进中，一个系统具有预定的主类型，而其它系统具有预定的从类型。

在改进中，待排序的第一系统实际上变为主系统，而第二系统实际上变为从属的从系统。

在一个实施方案中，各个系统具有预定的功能，所述预定的功能被预先分配至各个系统。在一个实施方案中，所有系统或至少一部分系统不具有预定的功能。在一个实施方案中，主功能的分配依据采用有效方式进行排序的情况，如果适当，则其它系统变为从系统。

相反，如果独立系统从另一个系统接收到的排序区间无法由所述独立系统确定的排序满足，则情况是不确定的：一个系统故障或另一个系统故障或两个系统均故障。在一个实施方案中，系统中的一个和/或另一个停止传送排序区间。实际上，在包括大量竞争系统的飞行管理系统中，可以(通过彼此协调)将“故障”系统(即，对于其可靠性处于不确定的情况)与剩余的系统隔离，不再与它们进行通信。

在改进中，系统的数量n等于三，飞行管理系统被称为三重系统。

在一个实施方案中，三个独立系统交互(“三倍”或“三重”)。三个实体的一个具有主类型，其它两个系统的至少一个具有从类型(第三系统可以具有主类型、或从类型、或待机以等待支持一个或另一个功能)。