具有合并链路的飞行器控制系统的制作方法

具有合并链路的飞行器控制系统的制作方法
【专利摘要】本发明涉及一种飞行器控制系统，其位于航空电子设备舱中并且包括计算机（210）、远程设备（230）如控制面的致动器、以及AFDX网络（220）。该计算机包括第一模块（211）和第二模块（212），第一模块（211）和第二模块（212）分别借助于通过网络共享公共路径的第一虚拟链路和第二虚拟链路而连接至设备的相应的第一模块（231）和第二模块（232），第一虚拟链路和第二虚拟链路借助于在应用层次进行独立编码而分离。复制和/或帧交换装置（235）一方面连接至公共端口（PE），并且另一方面连接至所述设备的第一模块和第二模块的端口
【专利说明】具有合并链路的飞行器控制系统
【技术领域】
[0001]本发明总体涉及飞行器控制系统。
【背景技术】
[0002]飞行器的飞行控制系统在控制构件(操纵杆、舵杆等)与空气动力控制面(副翼、垂直稳定器、升降舵等)之间构成链路。现代客机具有电气类型的飞行控制系统，在该飞行控制系统中，控制构件上的机械动作被转换成传送给操纵控制面的致动器的模拟信号。
[0003]飞行控制系统通常包括多个计算机，其意在从控制构件和/或飞机传感器(加速计、陀螺测试仪、惯性导航系统)接收信息项，并且根据所接收的信息项来确定施加于致动器的飞行控制。
[0004]传统的飞行控制系统使用用于每种飞行控制功能和ARINC 429或MIL-STD-1553类型的航空电子总线的特定计算机，以将命令传送到致动器。
[0005]新近一代飞行控制系统借助(call on)集成模块化架构(IMA)，换言之，以安装在航空电子设备舱的机架中的电子卡的形式来实践并且由于在其中执行的软件而彼此本质上不同的通用计算机。此外，这些新的飞行控制系统使用AFDX (航空电子全双工交换式以太网)通信网络来将控制传送给致动器。
[0006]想到针对航空的需求而专门开发的AFDX网络是基于交换式以太网网络的。可以在网站WWW.condoreng.com上可得的标题为“AFDX protocol tutorial”的文献中以及以 申请人:的名义提交的专利申请FR-A-2832011中找到这种网络的特点的详细描述。
[0007]此外，在以本 申请人:的名义提交的申请FR-A-2943036中会找到使用IMA架构的飞行控制系统的描述。
[0008]图1以示意性方式示出现有技术中已知的飞行控制系统100的架构。该系统通常包括多个通用计算机110，其接收来自控制构件(未示出)、以及如果合适的话来自系列飞机传感器(也未示出)的信息项。计算机根据这些信息项来确定施加于致动器的飞行控制。
[0009]计算机经由AFDX网络120将控制消息传送给致动器。更确切地说，每个致动器配备有被预订到AFDX网络的终端130，能够接收控制消息并且将信息或释放(acquittal)消息发送回计算机。而且，致动器可以配备有传感器，使其可以测量所致动的控制面的位置，在此情况下，相关联的终端也可以向控制其的计算机发送回相关的位置测量的信息项。此后，为了便利，将不加区别地参考致动器或其相关联的终端130，将理解，被预订到该网络的致动器实际上是配备有被预订到AFDX网络的终端的致动器。
[0010]AFDX网络包括多个帧交换机140，所述多个帧交换机140被安装在航空电子设备舱(在图中通过虚线划分)中，并且交换去往和/或来自网络的不同预订方的虚拟链路，特别是连接计算机110和所预订的致动器130的虚拟链路。
[0011]为了减少有线链路的数目和长度，AFDX网络可以包括帧交换设备指定的微交换机。这些微交换机使得可以在本地处理来自或去往被预订到网络的终端的群集的帧。更确切地说，微交换机具有通常连接至AFDX交换机或直接连接至计算机的第一端口、以及连接至不同的预订的终端的多个第二端口。在下行链路上，换言之，针对由第一端口接收的去往预订的终端的帧，微交换机起中继器(集线器)的作用，换言之，在所有第二端口上复制第一端口上的输入帧。接收该输入帧的预订的终端确定它们是否为被寻地址方，并且在否定的情况下忽视该输入帧，而在肯定的情况下考虑该输入帧。另一方面，在上行链路上，换言之，针对由不同的预订的终端传送的帧，微交换机根据“循环(round robin)”型机制轮流扫描第二端口并清空其在第一端口上的相应缓冲器，从而确保通带的公平共享。
[0012]将注意，图1所示的飞行控制系统包括多个这样的AFDX微交换机150，每个AFDX微交换机150连接至航空电子设备舱的交换机。连接计算机和致动器的虚拟链路通过一个或更多个交换机，从而根据需要可以通过微交换机。
[0013]每个计算机110包括两个计算模块，即被称为COM模块的控制模块111以及被称为MON模块的监视模块112。MON和COM模块具有相同结构，仅由于其编程的方式而不同(不同的算法)。COM模块可以被重新配置为MON模块，MON模块也可以被重新配置为COM模块。MON和COM模块以安装在航空电子设备舱的机架或IMA盒中的IMA卡的形式进行实践。
[0014]COM模块经由AFDX网络向致动器传送控制消息，并从致动器接收信息或确认消肩、O
[0015]MON模块也从致动器接收信息或确认消息，并且检验由COM模块发送的控制消息与由不同的致动器返回给COM模块的信息或确认消息之间的一致性。因此，MON模块可以检测由MON模块控制的致动器的故障。
[0016]以对称的方式，与致动器相关联的每个终端130通常配备有由131表示的控制模块COM以及由132表示的监视模块MON。COM模块负责根据由计算机传送的控制消息来施加电指令(electrical order)。对于MON模块的部分,其负责检验由COM模块传送给致动器的电指令是否确实与由计算机传送的命令一致，并且在异常的情况下立即通知计算机。
[0017]计算机的COM模块连接至其控制的致动器的COM模块。COM A链路通常指定在计算机的COM模块与致动器的COM模块之间的链路。在双重方式，这些致动器的MON模块连接至有关的计算机的MON模块。以类似的方式，MON链路指定在计算机的MON模块与致动器的MON模块之间的链路。
[0018]在当前的飞行控制系统中，COM链路和MON链路在空间上隔离。换言之，COM链路和MON链路不共享AFDX网络的任何公共要素。具体地，COM链路和MON链路不使用相同的交换机或微交换机，并且不使用相同的有线链路。这种空间隔离的目的在于避免在两个链路上的信息项的同时讹误(corruption)，从而保持高水平的可靠性。
[0019]最后，使AFDX网络冗余以满足可用性要求。换言之，网络的预订方被连接至由A和B指定的两个相同的AFDX网络(也被称为网络层)。因此，计算机的每个COM模块包括连接
至层A的第一端口巧0w和连接至层B的第二端口巧—。接收终端的COM模块也包括连接至层A的端口 if5.和连接至层B的端口 f。当计算机的COM模块向接收终端传送控制
消息时，实际上由端口 Pfm和分别在层A和层B上并行地传送两个相同的消息。然
后，根据COM链路进行传送所通过的网络来区分COM A链路和COM B链路。
[0020]以同样的方式，计算机或接收终端的每个MON模块包括连接至网络A的第一端口和连接至网络B的第二端口 pfB。然后，根据MON链路进行传送所通过的网络来区
分MON A链路和MON B链路。在所有情况下，在两个网络A和B上传送的消息完全相同。
[0021]一方面的空间隔离限制和另一方面的AFDX网络的冗余意味着:对于控制致动器130的每个计算机110，分别对应于COM A、C0M B,MON A,MON B链路的四根线缆是必需的。在大多数控制面远离航空电子设备舱进行定位的情况下，将致动器连接至网络的节点所需要的线缆量特别重要。
[0022]因此本发明的目的在于提出一种克服上述缺点的飞行器控制系统，尤其是减少航空电子设备舱与致动器之间的线缆，而不会牺牲上述可靠性和/或可用性要求。

【发明内容】

[0023]本发明通过飞行器控制系统来进行阐释，该飞行器控制系统包括计算机和远程设备，该计算机包括第一模块和第二模块，该计算机的第一模块借助于第一虚拟链路、通过航空电子全双工交换式以太网(AFDX)网络连接至所述设备的第一模块，并且该计算机的第二模块通过此相同网络连接至所述设备的第二模块，其中:
[0024]-所述设备包括复制和/或帧交换装置，所述复制和/或帧交换装置一方面连接至与AFDX网络连接的所述设备的公共端口，并且另一方面连接至所述设备的第一模块的端口以及所述设备的第二模块的端口；
[0025]-所述第一虚拟链路和第二虚拟链路通过AFDX网络共享公共路径，在第一虚拟链路或第二虚拟链路上传送的每个帧是通过在比链路层高的协议层次进行编码而获得的，对于所述第一虚拟链路和第二虚拟链路，该编码是分别进行的。
[0026]根据第一变型，复制和/或帧交换装置为混合复制和帧交换装置，到达公共端口的、由计算机向远程设备传送的任何帧被所述装置进行复制以在第一模块的端口或第二模块的端口上发送，来自设备的第一模块或第二模块的、由远程设备向计算机传送的任何帧被所述装置交换至公共端口。
[0027]根据第二变型，复制和/或帧交换装置为帧交换机，根据到达交换机的端口的每个帧所属的虚拟链路而将该帧交换到另一端口上。
[0028]根据第三变型，复制和/或帧交换装置为帧中继器，到达中继器的端口的每个帧在该中继器的所有其它端口上进行中继。
[0029]根据第一实施方式，该飞行器控制系统包括:
[0030]-由计算机的第一模块承载的第一传送应用借助于第一循环冗余校验(CRC)码在应用层次预先对其传送的包进行编码，由此编码的包以帧的形式在第一虚拟链路上进行传送，由设备的第一模块承载的第一接收应用借助于所述第一 CRC码来检验由此接收的每个包的完整性；
[0031]-由计算机的第二模块承载的第二传送应用借助于第二CRC码在应用层次预先对其传送的包进行编码，第二 CRC码独立于第一 CRC码，由此编码的包以帧的形式在第二虚拟链路上进行传送，由设备的第二模块承载的第二接收应用借助于所述第二 CRC码来检验所接收的每个包的完整性。
[0032]根据第二实施方式，该飞行器控制系统包括:
[0033]-由计算机的第一模块承载的第一传送应用借助于使用第一哈希函数和第一公钥的公钥系统预先对其传送的包进行数字签名，由此签名的包以帧的形式在第一虚拟链路上进行传送，由设备的第一模块承载的第一接收应用借助于对应于第一公钥的第一私钥来检验由此接收的每个包的完整性；
[0034]-由计算机的第二模块承载的第二传送应用借助于使用第二哈希函数和第二公钥的公钥系统预先对其传送的包进行数字签名，第二哈希函数和第二公钥独立于第一哈希函数和第一公钥，由此签名的包以帧的形式在第二虚拟链路上进行传送，由设备的第二模块承载的第二接收应用借助于对应于第二公钥的第二私钥来检验由此接收的每个包的完整性。
[0035]根据飞行器控制系统的第三实施方式，
[0036]-AFDX网络具有相同结构的第一层A和第二层B ；
[0037]-计算机的第一模块和第二模块均具有连接至层A的第一端口和连接至层B的第
二端口 ；
[0038]-该设备的第一模块和第二模块均具有连接至层A的第一端口和连接至层B的第
二端口 ；
[0039]-该设备具有连接至层A的第一公共端口和连接至层B的第二公共端口，该设备还包括:第一复制和/或帧交换装置，该第一复制和/或帧交换装置一方面连接至该设备的第一公共端口，并且在另一方面连接至该设备的第一模块和第二模块的第一端口 ；以及第二复制和/或帧交换装置，该第二复制和/或帧交换装置一方面连接至该设备的第二公共端口，并且在另一方面连接至该设备的第一模块和第二模块的第二端口。
[0040]在飞行器控制系统的第四实施方式中，AFDX网络具有相同结构的第一层A和第二层B，以及
[0041]-计算机的第一模块和第二模块均具有连接至层A的第一端口和连接至层B的第
二端口 ；
[0042]-该设备具有连接至层A的第一公共端口和连接至层B的第二公共端口，该设备还包括:第一复制和/或帧交换装置，该第一复制和/或帧交换装置一方面连接至该设备的第一公共端口，并且在另一方面连接至该设备的第一模块和第二模块的端口 ；以及第二复制和/或帧交换装置，该第二复制和/或帧交换装置一方面连接至该设备的第二公共端口，并且在另一方面连接至该设备的第一模块和第二模块的端口；
[0043]-根据在该设备的模块的端口上的输入帧是通过层A还是层B传送，而由第一逻辑端口和第二逻辑端口选择性接收所述输入帧。
[0044]远程设备可以为例如控制面的致动器，所述致动器被预订到AFDX网络。
[0045]计算机和设备的第一模块通常为控制模块，并且计算机和设备的第二模块为监视模块。
[0046]有利地，计算机的第一模块和第二模块是相同结构的控制模块，并且设备的第一模块和第二模块也是相同结构的控制模块。
[0047]本发明还涉及一种包括如上所述的飞行器控制系统的飞行器。
【专利附图】

【附图说明】
[0048]在阅读参照附图做出的本发明的优选实施方式时，本发明的其它特征和优点将变得清楚，在附图中:
[0049]图1示意性地示出从现有技术中已知的飞行控制系统的架构；
[0050]图2示意性地示出根据本发明的第一实施方式的飞行器的控制系统的架构；
[0051]图3示意性地示出根据本发明的第二实施方式的飞行器的控制系统的架构；
[0052]图4A和4B示出图3的远程设备的接口的两种变型；
[0053]图5示意性地示出根据本发明的第三实施方式的飞行器的控制系统的架构；以及
[0054]图6示意性地示出根据本发明的第四实施方式的飞行器的控制系统的架构。
【具体实施方式】
[0055]将再次考虑位于航空电子设备舱中的包括多个通用计算机的飞行器控制系统、多个远程元件、以及使得可以借助于虚拟链路将所述飞行器控制系统连接至所述多个远程元件的AFDX网络。在此采用远程设备来表示位于航空电子设备舱外部的设备。该设备被预订(subscribe)到AFDX网络，换言之，可以在该网络上接收和传送去往和来自通用计算机——以及更一般地预订到该网络的另一设备一的帧。
[0056]通用计算机可以以分别负责飞行器的具体功能的基本控制系统的形式被聚合到一起，所述基本控制系统为例如飞行控制系统、推进控制系统、起落架制动控制系统、轮定向控制系统、液压回路控制系统等，每个基本控制系统经由AFDX网络控制设备的一个或更多个远程项。
[0057]为了简化陈述而不损害一般化，下文中将考虑连接至远程设备的通用计算机的情况。该远程设备可以为例如控制面致动器、制动系统致动器、推进系统致动器等。然而，对本领域的技术人员而言，清楚的是控制系统可以包括若干通用计算机，每个通用计算机控制设备的一个或更多个远程项。
[0058]本发明的基本构思是保证将计算机连接至设备的COM链路和MON链路的完整性，而不采用其在计算机和设备所连接到的AFDX交换机之间的空间隔离。更确切地，这些链路的完整性的保证是通过这些链路的独立编码而获得的，从而在比链路层更高的协议层次优选地在应用层介入。在该设备内，提供复制/交换装置以在下行链路上复制帧并且在上行链路上交换所述帧，如下文中详细描述的。
[0059]图2示意性地表示根据本发明的实施方式的控制系统。
[0060]控制系统200包括通用计算机210，该通用计算机210包括控制模块COM 211和监视模块MON 212。COM模块和MON模块典型地为相同的IMA电子卡但装备有不同的软件。类似地，设备230包括COM控制模块231和MON监视模块232。
[0061]计算机210通常接收来自控制构件(未示出)的信息项，根据该信息项，计算机210确定传送给设备230的控制消息。
[0062]更确切地，在下行链路上，计算机的COM模块211借助于第一虚拟链路向远程设备的COM模块231传送控制消息。类似地，计算机的MON模块212可以借助于第二虚拟链路VLdmox在下行链路上传送消息。
[0063]以相同的方式，在上行链路上，远程设备的COM模块(对应地，MON模块)231 (对应地，232)借助于未示出的第三虚拟链路(对应地，也未示出的第四虚拟链路叹L.v )向计算机的COM模块(对应地，MON模块)211 (对应地，212)传送释放或信息消息。
[0064]应当注意虚拟链路和VLdmon通过网络在AFDX交换机240与设备的公共端口
Pe之间采用相同路径。类似地，虚拟链路74；_和以。Λ.通过网络在设备的公共端口匕与AFDX交换机之间采用相同路径。换言之，在本情况下，AFDX交换机与设备230之间需要单个物理链路。
[0065]假设在图2中一方面由虚拟链路采用的路径以及另一方面由虚拟链路VLlcov和VL1vox采用的路径通过AFDX交换机240和微AFDX交换机250。然而，在某些
情况下(例如在设备没有形成群集(cluster)的一部分时)，可以仅存在AFDX交换机240，在这种情况下端口 Pe直接连接至交换机的端口。相反地，在其它情况下，可以仅存在微AFDX交换机250，在该情况下计算机210的COM模块和MON模块的相应端口 Ρ『Μ和Aiftw以及设
备的端口 Pe连接至微交换机的第二端口之一。在特定情况下，为了增加计算机或所连接的设备的项的数目，可以将第二微交换机连接至第一微交换机。两个微交换机然后经由它们的第一端口、按照如本 申请人:名下的申请W0-A-2009/030706中所描述的被称为头对尾的配置而直接连接。
[0066]无论使用何种配置,设备230包括复制/交换装置235。
[0067]在设备内部的该装置具有连接至端口 Pe的被表示为Pm的第一端口、以及分别连接
至COM模块231与MON模块232的端口 P 'jP 的被表示为P1与P2的两个第二端口。
如在以下变型中详细描述的，该装置将端口之一上的输入帧交换或替代地复制至其另外两个端口。
·[0068]根据第一变型，复制/交换装置235起到微交换机的作用。在这种情况下，在第二端口 P1和P2的每个上复制第一端口 Pm上的输入帧(下行链路上的中继器功能)，转而在第一端口 Pm上传送端口 P1和P2上的输入帧(上行链路的交换功能)。因此，当由计算机的COM
模块211向设备的COM模块231传送帧时，实际上由装置235复制所述帧并在端口 F 和
f 二者上将其发送。然而，MON模块将拒绝所述帧，这是因为在检查帧头之后，MON模块确定所述帧不是对其寻址的。
[0069]根据第二变型，复制/交换装置235起到简单中继器的作用。因此其功能在下行链路方面将与第一变型相同。另一方面，在上行链路上，如果例如设备的COM模块231向计算机的COM模块211传送帧，则由装置235在端口 Pm和端口 P2 二者上复制该帧。然而，将接收该帧的MON模块将会拒绝所述帧，这是因为所述帧不是对其寻址的。
[0070]根据第三变型，复制/交换装置235起到AFDX交换机的作用。在这样的情况下，虚
拟链路以?.和以4?分别上行路由至端口 Pf 1和P ，换言之，装置235分别在其端口 P1和P2上交换打算用于COM模块231和MON模块232的帧。类似地，虚拟链路和
来自P w f和Zfav，并且路由至端口 PM。换言之，来自COM模块231和MON模块232并且分
别到达端口 ？1和匕的帧由有关的装置交换至端口 PM。应当注意，与前述变型不同，第三变型使得可以在证明需要COM模块与MON模块之间的通信的情况下在这两个模块之间路由虚拟链路。
[0071]无论所设想的变型如何，借助于OSI模型中比链路层更高的协议层次进行编码，优选地借助于以应用层次进行编码，来确保通过网络的COM链路和MON链路的完整性(除
了下行链路上的虚拟链路和与上行链路上的虚拟链路VLllvm和隔离之外)。
[0072]这种编码应用于有关的层的包(packet)或TOU (包数据单元)，并且可以包括例如每个包的CRC计算或数字签名。将CRC代码或数字签名添加至包。
[0073]更确切地，在COM链路上的(例如在计算机的COM模块中执行的)或在MON链路上的(例如在计算机的MON模块中执行的)传送应用使用CRC编码和/或数字签名用于其包的传送。采用包的数字签名来表示:以本身已知的方式，借助于公钥加密机制来生成聚合(condensate)以及该聚合的加密的哈希函数的应用。由此被加密的聚合,换言之签名，被添加至包。根据该情况，接收应用使用CRC代码或私有加密密钥确定从传送应用接收的包是否是完整的，换言之检验包的数据在网络上传送期间未变化。拒绝其中数据变化的包。在以本 申请人:的名义提交的申请FR-A-2933 557中描述了通过编码保证完整性的机制。
[0074]271和272用于表示分别由计算机的COM模块和MON模块执行的传送应用。将分别由设备的COM模块和MON模块执行的接收应用表示为281和282。
[0075]根据第一变型，应用271和272使用独立的CRC代码。将奇偶校验位添加至由应用271 (对应地，272)传送的包。应当注意，该保护机制不同于可以以链路层层次存在的基础保护机制(通过CRC进行的AFDX帧的保护)。
[0076]根据第二变型，应用271和272使用哈希函数Ill和匕(独立或不独立的)以及独立的公钥PUK1和PUK2。应用271 (对应地，272)的每个包在以帧的形式在虚拟链路Flgav
(对应地，Π^.ν)上被传送之前，借助于哈希函数Ii1 (对应地，h2)执行哈希，并且借助于公钥PUK1 (对应地PUK2)执行签名。
[0077]针对两个COM链路和MON链路使用独立的编码(在第一变型中的独立的CRC代码和在第二变型中的独立的私钥/公钥对)使得可以确保它们的隔离。
[0078]为了进一步提高控制系统的操作可靠性，如图3所示，可以将COM链路和MON链路的编码和空间隔离相结合。
[0079]图3示出了根据本发明的第二实施方式的控制系统。
[0080]该第二实施方式与第一实施方式的不同之处在于:其使用冗余AFDX网络，换言之，分别被表示为A和B的具有相同结构的两个AFDX网络(还被称为AFDX网络的两层)，其连接通用计算机与远程设备。在这种情况下，计算机(对应地，远程设备)的每个COM模块具有两个独立的端口，即连接至网络A的端口 P『MA (对应地，Pf )和连接至网络B的端
口吃_ (对应地，C。以相同的方式，计算机(对应地，远程设备)的每个MON模块具
有两个独立的端口，即连接至网络A的端口 P?ONA (对应地，P『A )和连接至网络B的端口
Pcmonb (对应地，Pemonb )。因此，连接端口 Pgmu与Pfu的COM A链路通过网络A，而连接
端口与/f的COM B链路通过网络B。以相同的方式，连接端口与的MONA链路通过网络Α，而连接端口 p『B._{f0NB的M0N B链路通过网络B。
[0081 ] 还应当注意，COM A链路和MON A链路通过网络A从AFDX交换机240A直至端口P:使用公共路径。在远程设备230内，复制/交换装置235A使得可以将COM A链路与MONA链路分隔开。以相似的方式，COM B和MON B这两个链路通过网络B从AFDX交换机240B直至端口 €使用公共路径。在远程设备230内，复制/交换装置235B使得可以将COM B链路与MON B链路分隔开。
[0082]在本实施方式中，应用被配置成优先选择隔离路径。例如，设备的COM模块将优先选择经由直接路径(换言之，经由交换机240A、微交换机250A和复制/交换装置235A)传送的帧。在这些帧发生故障或错误的情况下，该设备将选择经由间接路径(换言之，经由交换机240B、微交换机250B和复制/交换装置235B)传送的帧。
[0083]因此，应当理解，如果两个网络A和B之一发生故障，则一对MON链路和COM链路将保持操作。
[0084]为了检验完整性的目的，应用271、272和281、282 (在此未示出)使用与第一实施方式相同的编码系统。
[0085]在第二实施方式中，远程设备的COM模块和MON模块各自设置有两个独立的端口。COM模块的端口 if/^_分别连接至复制/交换装置235Α和235Β。如图4A所示，
MON模块的端口 PfONA、分别连接至复制/交换装置235A和235B。
[0086]可替选地，COM模块和MON模块中的每个可以装备有仅单个端口，然后以应用层次执行A链路与B链路的隔离。图4B中示意性地示出了远程设备的COM模块和MON模块的这种变型。COM模块的端口 pgm!连接至复制/交换装置235A和235B。MON模块的端口 Ρ/αν
也连接至这两个模块。应用28·1在来自COM A链路的包与来自COM B链路的包之间执行隔离。换言之，应用281 (或甚至更低的协议层)具有接收COM A链路的包的第一逻辑端口和接收COM B链路的包的第二逻辑端口。以相似的方式，应用282 (或甚至更低的协议层)具有接收MON A链路的包的第一逻辑端口和接收MON B链路的包的第二逻辑端口。可以借助于包头中的单个位在COM A链路的包与COM B链路的包之间或者在MON A链路的包与MONB链路的包之间进行区分。
[0087]图5示出了根据本发明的第三实施方式的飞行器的控制系统。
[0088]该第三实施方式与第二实施方式的不同之处在于:远程设备与计算机各自具有两个COM模块，而不是COM模块和MON模块。具有两个COM模块的该设备可以使得类似的输入-输出链加倍，以确保后者的高可用性。
[0089]更确切地，计算机的第一 COM模块211具有连接至网络的层A的交换机240Α的第一端口 Pf1夂和连接至网络的层B的交换机240Β的第二端口 Pf'类似地，计算机的
第二 COM模块212具有连接至网络A的交换机240Α的第一端口PcroiV/2'4和连接至网络B的
交换机240B的第二端口 Araw'远程设备具有经由层A和B连接至计算机的第一 COM模块的第一 COM模块231以及借助于层A和B连接至计算机的第二 COM模块的第二 COM模块232。
[0090]复制/帧交换装置235A —方面连接至设备的公共端口 P，另一方面连接至相应
模块231和232的端口与PenA。类似地，复制/帧交换装置235B —方面连接至设
备的公共端口 Zf，而另一方面连接至相应模块231和232的端口if2'在此还
可应用上述复制/交换装置的不同变型。
[0091]该第三实施方式适于不需要高完整性但可用性重要的控制系统。实际上，应当理解，可选地结合设备的COM模块之一的类似输入或输出故障的、仅网络A和B之一的损失将不会导致功能损失。
[0092]图6示出了根据本发明的第四实施方式的飞行器的控制系统。
[0093]本实施方式与前述实施方式相似,但不同之处在于:其使用三重冗余(triplexredundancy)ο将会想到:在具有三重冗余的控制系统中，控制消息通过三条独立的链路传送给接收设备；以及当消息不同于其它两个消息时，由于例如在网络上传送期间的讹误，接收设备根据多数投票(majority vote)做出决定。
[0094]在此AFDX网络包括被表示为A、B和C的具有相同结构三个独立层，计算机210和远程设备230被预订到网络的每个层。
[0095]更确切地，计算机包括三个独立的模块211、212、213，所述模块执行独立计算并且各自传送来自从控制构件接收的信息项的控制消息。模块211、212、213分别连接至网络的层A、B和C0
[0096]远程设备具有分别连接至层A、B和C的三个公共端口 P/、巧、^。该远程设备
还包括三个独立的模块231、232、233，该设备的每个模块分别对应于计算机211、212、213的模块，该设备的模块经由网络的三个层A、B和C并行地接收计算机的相应模块的帧。为此，提供了三个复制和/或帧交换装置235A、235B和235C。装置235A —方面连接至设备的
端口尸/，并且分别连接至模块231、232和233的端口 231A、232A和233A。装置235B —方面连接至设备的端口尸，并且连接至这些模块的端口 231B、232B和233B。最后，装置235C
一方面连接至设备的端口 ，并且连接至这些相同模块的端口 231C、232C和233C。
[0097]装置235A、235B和235C的操作与前述实施方式的装置235A和235B的操作相似，并且在此还可应用装置235A和235B的不同变型(中继器/交换机混合装置、中继器、交换机)。
[0098]本 领域技术人员将进一步理解:通过将投票算法适用于所选择的拓扑结构，该第四实施方式不难扩展至任意数量的计算机模块/设备模块和网络层。
【权利要求】
1.一种飞行器控制系统，包括计算机(210)和远程设备(230)，所述计算机包括第一模块和第二模块(211，212)，所述计算机的所述第一模块(211)借助于第一虚拟链路、通过航空电子全双工交换式以太网AFDX网络(220)连接至所述设备的第一模块(231)，并且所述计算机的所述第二模块(212)通过此相同网络、借助于第二虚拟链路连接至所述设备的第二模块(232)，其中， -所述设备包括复制和/或帧交换装置(235)，所述复制和/或帧交换装置(235) —方面连接至与所述AFDX网络连接的所述设备的公共端口(PE)，并且另一方面连接至所述设备的所述第一模块的端口( )以及所述设备的所述第二模块的端口( PJ )； -所述第一虚拟链路和所述第二虚拟链路通过所述AFDX网络共享公共路径，在所述第一虚拟链路或所述第二虚拟链路上传送的每个帧是通过在比链路层高的协议层次进行编码而获得的，对于所述第一虚拟链路和所述第二虚拟链路，所述编码是分别进行的。
2.根据权利要求1所述的飞行器控制系统，其中，所述复制和/或帧交换装置为混合复制和帧交换装置，到达所述公共端口的由所述计算机向所述远程设备传送的任何帧被所述装置进行复制以在所述第一模块的所述端口或所述第二模块的所述端口上发送，来自所述设备的所述第一模块或所述第二模块的、由所述远程设备向所述计算机传送的任何帧被所述装置交换至所述公共端口。
3.根据权利要求1所述的飞行器控制系统，其中，所述复制和/或帧交换装置为帧交换机，根据到达所述交换机的端口的每个帧所属于的虚拟链路而将所述帧交换到另一端口上。
4.根据权利要求1所述的飞行器控制系统，其中，所述复制和/或帧交换装置为帧中继器，到达所述中继器的端口的每个帧在所述中继器的所有其他端口上进行中继。`
5.根据前述权利要求中的一项所述的飞行器控制系统，其中， -由所述计算机的所述第一模块承载的第一传送应用借助于第一循环冗余校验CRC码在应用层次预先对其传送的包进行编码，由此编码的所述包以帧的形式在所述第一虚拟链路上进行传送，由所述设备的所述第一模块承载的第一接收应用借助于所述第一 CRC码来检验由此接收的每个包的完整性； -由所述计算机的所述第二模块承载的第二传送应用借助于第二 CRC码在应用层次预先对其传送的包进行编码，所述第二 CRC码独立于所述第一 CRC码，由此编码的所述包以帧的形式在所述第二虚拟链路上进行传送，由所述设备的所述第二模块承载的第二接收应用借助于所述第二 CRC码来检验所接收的每个包的完整性。
6.根据权利要求1至5中的一项所述的飞行器控制系统，其中， -由所述计算机的所述第一模块承载的第一传送应用借助于使用第一哈希函数和第一公钥的公钥系统预先对其传送的包进行数字签名，由此签名的所述包以帧的形式在所述第一虚拟链路上进行传送，由所述设备的所述第一模块承载的第一接收应用借助于对应于所述第一公钥的第一私钥来检验由此接收的每个包的完整性； -由所述计算机的所述第二模块承载的第二传送应用借助于使用第二哈希函数和第二公钥的公钥系统预先对其传送的包进行数字签名，所述第二哈希函数和所述与第二公钥独立于所述第一哈希函数和所述第一公钥，由此签名的所述包以帧的形式在所述第二虚拟链路上进行传送，由所述设备的所述第二模块承载的第二接收应用借助于对应于所述第二公钥的第二私钥来检验由此接收的每个包的完整性。
7.根据权利要求1所述的飞行器控制系统，其中，所述AFDX网络具有相同结构的第一层A和第二层B，其中， -所述计算机的所述第一模块和所述第二模块均具有连接至所述层A的第一端口和连接至所述层B的第二端口； -所述设备的所述第一模块和所述第二模块均具有连接至所述层A的第一端口和连接至所述层B的第二端口； -所述设备具有连接至所述层A的第一公共端口和连接至所述层B的第二公共端口，所述设备还包括:第一复制和/或帧交换装置，所述第一复制和/或帧交换装置一方面连接至所述设备的所述第一公共端口，并且在另一方面连接至所述设备的所述第一模块和所述第二模块的所述第一端口 ；以及第二复制和/或帧交换装置，所述第二复制和/或帧交换装置一方面连接至所述设备的所述第二公共端口，并且在另一方面连接至所述设备的所述第一模块和所述第二模块的所述第二端口。
8.根据权利要求1所述的飞行器控制系统，其中，所述AFDX网络具有相同结构的第一层A和第二层B，其中， -所述计算机的所述第一模块和所述第二模块均具有连接至所述层A的第一端口和连接至所述层B的第二端口； -所述设备具有连接至所述层A的第一公共端口和连接至所述层B的第二公共端口，所述设备还包括:第一复制和/或帧交换装置，所述第一复制和/或帧交换装置一方面连接至所述设备的所述第一公共端口，并且在另一方面连接至所述设备的所述第一模块和所述第二模块的所述端口 ；以及第二复制和/或帧交换装置，所述第二复制和/或帧交换装置一方面连接至所述设备的所述第二公共端口，并且在另一方面连接至所述设备的所述第一模块和所述第二模块 的所述端口； -根据在所述设备的模块的端口上的输入帧是通过所述层A还是所述层B传送的，由第一逻辑端口和第二逻辑端口选择性接收所述输入帧。
9.根据前述权利要求中的一项所述的飞行器控制系统，其中，所述远程设备是控制面的致动器，所述致动器被预订到所述AFDX网络。
10.根据前述权利要求中的一项所述的飞行器控制系统，其中，所述计算机和所述设备的所述第一模块为控制模块，其中，所述计算机和所述设备的所述第二模块为监视模块。
11.根据权利要求1至9中的一项所述的飞行器控制系统，其中，所述计算机的所述第一模块和所述第二模块是相同结构的控制模块，其中，所述设备的所述第一模块和所述第二模块也是相同结构的控制模块。
12.—种飞行器，其中，所述飞行器包括根据前述权利要求中的一项所述的飞行器控制系统。
【文档编号】B64C13/50GK103863557SQ201310681342
【公开日】2014年6月18日 申请日期:2013年12月12日 优先权日:2012年12月12日
【发明者】马克·费韦尔, 安托万·莫雄, 阿诺·勒卡尼, 西尔万·索旺 申请人:空中客车营运有限公司