BR102016004145A2 - aparelho, e, método para controlar um atuador - Google Patents

aparelho, e, método para controlar um atuador Download PDF

Info

Publication number
BR102016004145A2
BR102016004145A2 BR102016004145A BR102016004145A BR102016004145A2 BR 102016004145 A2 BR102016004145 A2 BR 102016004145A2 BR 102016004145 A BR102016004145 A BR 102016004145A BR 102016004145 A BR102016004145 A BR 102016004145A BR 102016004145 A2 BR102016004145 A2 BR 102016004145A2
Authority
BR
Brazil
Prior art keywords
actuator
commands
control command
command
controller
Prior art date
Application number
BR102016004145A
Other languages
English (en)
Other versions
BR102016004145B1 (pt
Inventor
Gen Matsui
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Publication of BR102016004145A2 publication Critical patent/BR102016004145A2/pt
Publication of BR102016004145B1 publication Critical patent/BR102016004145B1/pt

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64CAEROPLANES; HELICOPTERS
    • B64C13/00Control systems or transmitting systems for actuating flying-control surfaces, lift-increasing flaps, air brakes, or spoilers
    • B64C13/24Transmitting means
    • B64C13/38Transmitting means with power amplification
    • B64C13/50Transmitting means with power amplification using electrical energy
    • B64C13/505Transmitting means with power amplification using electrical energy having duplication or stand-by provisions
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/10Simultaneous control of position or course in three dimensions
    • G05D1/101Simultaneous control of position or course in three dimensions specially adapted for aircraft
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Control Of Position, Course, Altitude, Or Attitude Of Moving Bodies (AREA)

Abstract

um aparelho e método para controlar um atuador. uma pluralidade de comandos para o atuador é recebida de um número de controladores primários por uma via de comando e uma via de monitor. a via de comando seleciona um primeiro número selecionado de comandos da pluralidade de comandos usando uma regra de seleção. a via de monitor seleciona um segundo número selecionado de comandos da pluralidade de comandos usando a regra de seleção e gerar um valor de verificação para o segundo número selecionado de comandos. o primeiro número selecionado de comandos da via de monitor e o valor de verificação da via de monitor são combinados para formar uma mensagem de comando de controle de atuador compreendendo o primeiro número selecionado de comandos e o valor de verificação. a mensagem de comando de controle de atuador é enviada a um controlador de atuador para controlar o atuador.

Description

“APARELHO, E, MÉTODO PARA CONTROLAR UM ATUADOR” FUNDAMENTOS
[001] A presente invenção refere-se, em geral, a sistemas de controle de voo para aeronave. Mais particularmente, a presente invenção refere-se a um método e aparelho para selecionar e transportar comandos de controladores primários para controladores de atuadores para controlar atuadores em uma aeronave ou outro veículo e para transportar dados de relatório dos controladores de atuadores de volta aos controladores primários.
[002] Comandos de atuadores em um sistema de controle de voo por sinais elétricos para uma aeronave podem compreender, por exemplo, comandos de posição, comandos de velocidade e comandos de modo de operação. Em um sistema irrestrito de controle de voo por sinais elétricos, múltiplos controladores de voo podem ser usados para prover fontes redundantes de comandos de controle de atuador para assegurar sua alta disponibilidade. Neste caso, uma seleção dos comandos de atuadores que serão utilizados para controlar atuadores na aeronave precisa ser feita pelos comandos providos por múltiplas fontes redundantes. O conjunto de comandos selecionado precisa, então, ser distribuído aos atuadores apropriados. Por exemplo, pode haver fontes primárias de comandos de controle de atuador das quais uma seleção é normalmente feita e uma fonte de reserva diferente de comandos de controle de atuador que é selecionada apenas em caso de perda de todas as fontes primárias.
[003] Pode ser também desejável que controladores de voo na aeronave sejam capazes de ligar e desligar corrente elétrica para controladores de atuadores individuais em paralelo com os comandos de controle de atuador. Adicionalmente, pode ser desejável transportar dados de relatório de atuadores remotos de volta para os controladores de voo primários na aeronave.
[004] Desse modo, seria desejável contar com um método e aparelho que levem em consideração um ou mais dos problemas explicados acima, cm como, outros problemas possíveis.
SUMÁRIO
[005] Uma modalidade ilustrativa provê um aparelho compreendendo uma via de comando, uma via de monitor e um combinador de comandos. A via de comando é configurada para receber uma pluralidade de comandos para um atuador proveniente de um número dos controladores primários e selecionar um primeiro número selecionado de comandos provenientes da pluralidade de comandos utilizando uma regra de seleção. A via de monitor é configurada para receber a pluralidade de comandos do número de controladores primários, selecionar um segundo número selecionado de comandos provenientes da pluralidade de comandos utilizando a regra de seleção, e gerar um valor de verificação para o segundo número selecionados de comandos. O combinador de comandos é configurado para combinar o primeiro número selecionado de comandos provenientes da via de comando e o valor de verificação da via de monitor para formar uma mensagem de comando de controle de atuador compreendendo o primeiro número selecionado de comandos e o valor de verificação, e enviar a mensagem de comando de controle de atuador a um controlador de atuador para controlar o atuador.
[006] Uma modalidade ilustrativa provê ainda um método para controlar um atuador. Uma pluralidade de comandos para o atuador é recebida de um número de controladores primários por uma via de comando e uma via de monitor. A via de comando seleciona um primeiro número selecionado de comandos da pluralidade de comandos utilizando uma regra de seleção. A via de monitor seleciona o segundo número selecionado de comandos da pluralidade de comandos utilizando a regra de seleção e gerar um valor de verificação para o segundo número selecionado de comandos. O primeiro número selecionado de comandos da via de comando e o valor de verificação da via de monitor são combinados para formar uma mensagem de comando de controle de atuador compreendendo o primeiro número selecionado de comandos e o valor de verificação. A mensagem e comando de controle de atuador é enviada a um controlador de atuador para controlar o atuador.
[007] Uma modalidade ilustrativa provê ainda outro método para controlar um atuador. Uma mensagem de comando de controle de atuador compreendendo um primeiro número selecionado de comandos proveniente de uma via de comando e um valor de verificação para o primeiro número selecionado de comandos gerado por uma via de monitor é recebido. A validade da mensagem de comando de controle de atuador é determinada pelo uso do primeiro número selecionado de comandos proveniente da via de comando e o valor de verificação da via de monitor. O atuador é controlado conforme indicado pelo primeiro número selecionado de comandos em resposta a uma determinação de que a mensagem de comando de controle de atuador é válida.
[008] Os aspectos, funções e vantagens podem ser obtidas independentemente em várias modalidades da presente invenção ou podem ser combinadas ainda em outras modalidades nas quais detalhes adicionais podem ser vistos com referência à descrição e desenhos a seguir.
BREVE DESCRIÇÃO DOS DESENHOS
[009] Os aspectos inéditos considerados característicos da invenção estão apresentadas nas reivindicações apensas. A própria invenção, porém, bem como, um modo preferido de uso, outros objetivos e vantagens da mesma, serão mais bem entendidos pela referência à descrição detalhada a seguir de uma modalidade ilustrativa da presente invenção quando lida em conjunto com os desenhos anexos, nos quais: a figura 1 é uma ilustração de um diagrama de blocos de um sistema de controle de atuador de acordo com uma modalidade ilustrativa; a figura 2 é uma ilustração de um diagrama de blocos de um controlador primário de acordo com uma modalidade ilustrativa; a figura 3 é uma ilustração de um diagrama de blocos de um módulo de interface de acordo com uma modalidade ilustrativa; a figura 4 é uma ilustração de um diagrama de blocos de uma via de comando de acordo com uma modalidade ilustrativa; a figura 5 é uma ilustração de um diagrama de blocos de uma via de monitor de acordo com uma modalidade ilustrativa; a figura 6 é uma ilustração de um diagrama de blocos de um controlador de reserva de acordo com uma modalidade ilustrativa; a figura 7 é uma ilustração de um diagrama de blocos de um combinador de comandos de acordo com uma modalidade ilustrativa; a figura 8 é uma ilustração de um diagrama de blocos de outro combinador de comandos alternativo de acordo com uma modalidade ilustrativa; a figura 9 é uma ilustração de um diagrama de blocos de um controlador de atuador de acordo com uma modalidade ilustrativa; a figura 10 é uma ilustração de um fluxo de dados de comando em um modo primário de acordo com uma modalidade ilustrativa; a figura 11 é uma ilustração de um fluxo de dados de relatório de acordo com uma modalidade ilustrativa; a figura 12 é uma ilustração de fluxo de dados de comando em um modo de reserva de acordo com uma modalidade ilustrativa; a figura 13 é uma ilustração de um exemplo de uma estrutura para uma mensagem de comando de controle de atuador de acordo com uma modalidade ilustrativa; a figura 14 é uma ilustração de um exemplo de uma estrutura para uma mensagem de dados de relatório e uma mensagem de relatório de acordo com uma modalidade ilustrativa; a figura 15 é uma ilustração de um fluxograma de um processo para um controlador primário de acordo com uma modalidade ilustrativa; a figura 16 é uma ilustração de um fluxograma de um processo para uma via de comando de acordo com uma modalidade ilustrativa; a figura 17 é uma ilustração de um fluxograma de um processo para uma via de monitor de acordo com uma modalidade ilustrativa; a figura 18 é uma ilustração de um fluxograma de um processo para um controlador de reserva de acordo com uma modalidade ilustrativa; a figura 19 é uma ilustração de um fluxograma de um processo para um controlador de atuador de acordo com uma modalidade ilustrativa; a figura 20 é uma ilustração de um diagrama de blocos de um sistema de processamento de dados de acordo com uma modalidade ilustrativa.
DESCRIÇÃO DETALHADA DA INVENÇÃO
[0010] Diferentes modalidades ilustrativas reconhecem e levam em consideração um número de diferentes considerações. “Um número” como usado aqui com referência a itens, significa um ou mais itens. Por exemplo, “um número de diferentes considerações” pode ser uma ou mais diferentes considerações.
[0011] As diferentes modalidades ilustrativas reconhecem e levam em consideração que é desejável que as funcionalidades e trajetos de dados para prover comandos dos controladores primários a controladores de atuadores remotos sejam da mais alta integridade, de modo que nenhuma corrupção de dados passe sem ser detectada. Ao mesmo tempo, o sistema como um todo tem que ser robarramentoto. Em outras palavras, pode ser desejável que o sistema seja tolerante à ocorrência de corrupção de dados e seja capaz de prover um alto nível de controle acompanhando estes eventos.
[0012] As diferentes modalidades ilustrativas reconhecem e levam em consideração que um sistema que monitora trajetos de dados muito rigorosamente pode ser capaz de prover alta integridade. Entretanto, tal sistema não seria considerado robarramentoto caso estes monitores precisassem ser projetados para se desativarem muito facilmente para fazer com que componentes de sistema sejam desligados frequentemente.
[0013] As modalidades ilustrativas atingem os objetivos de alta integridade e alta robarramentotez por bloquearem efeitos de mau funcionamento de modo a nunca atingirem os atuadores. Pelo bloqueio de efeito de mau funcionamento em relação aos atuadores, alta integridade é mantida. Devido aos atuadores não responderem aos maus funcionamentos, a monitoração no sistema pode ser relaxada, obtendo-se, assim, alta robarramentotez. Os maus funcionamentos importantes são aqueles que corrompem trajetos de dados para e de os atuadores, bem como, trajetos de controle de energia.
[0014] Passando à figura 1, temos uma ilustração de um diagrama de blocos de um sistema de controle de atuador de acordo com uma modalidade ilustrativa. O sistema de controle de atuador 100 é configurado para selecionar e despachar os selecionados dentre uma pluralidade de comandos 102 do número de controladores primários 104 para o número de controladores de atuadores 106, para controlar o número de atuadores 108. O sistema de controle de atuador 100 pode ser ainda configurado para selecionar e despachar os selecionados dentre uma pluralidade de comandos 102 do número de controladores primários 104 para o número de controladores de energia 110 para controlar a provisão de energia elétrica ao número de controladores de atuadores 106.
[0015] O sistema de controle de atuador 100 pode ser configurado para prover relatório de controle e dados para o número de atuadores 108 na aeronave 114. Por exemplo, sem limitação, o número de atuadores 108 pode ser configurado para movimentar superfícies de controle de voo ou efetuar outras funções apropriadas na aeronave 114. Neste caso, o sistema de controle de atuador 100 pode compreende sistema de controle de voo 115 e número de controladores primários 104 pode compreendes o número de controladores de voo primários 116.
[0016] A aeronave 114 pode ser uma aeronave de passageiros comercial, uma aeronave de aviação privada ou pessoal uma aeronave militar, ou qualquer outro tipo de aeronave apropriado que possa ser usado para qualquer fim apropriado. A aeronave 114 pode ser de asa fixa, asa rotativa ou mais leve do que o ar. A aeronave 114 pode compreende uma aeronave tripulada ou um veículo aéreo não tripulado.
[0017] A aeronave 114 é um exemplo de veículo 117. As modalidades ilustrativas podem ser usadas para controlar e prover transporte de dados de relatório para um número de atuadores 108 em veículo 117 outro que não a aeronave 114. O veículo 117 pode compreender qualquer veículo configurado para operação no ar, no espaço, em terra, na água, sob a água, ou em qualquer outro meio ou combinações de meios.
[0018] O veículo 117 é um exemplo de plataforma 118. As modalidades ilustrativas podem ser usadas para controlar a prover transporte de dados de relatório para um número de atuadores 108 na plataforma 118 outra que não o veículo 117. A plataforma 118 pode ser fixa ou móvel.
[0019] Uma pluralidade de comandos 102 pode ser gerada ou, de outro modo, provida pelo número de controladores primários 104. Pluralidade de comandos 102 pode incluir comandos de controle de atuador 120 e comandos de controle de energia 122.
[0020] Comandos de controle de atuador 120 podem compreender qualquer comando apropriado indicando uma posição desejada, movimentação, estado ou outra condição de número de atuadores 108. Por exemplo, sem limitação, comandos de controle de atuador 120 podem compreender comandos de posição 124, comandos de velocidade 126, comandos de modo de operação 128, outros comandos 130, ou várias combinações de comandos identificando uma posição desejada, movimentação, estado ou operação, ou outra condição de número de atuadores 108.
[0021] Comandos de controle de energia 122 podem indicar se energia deve ser provida ao número de controladores de atuador 106 pelo número de controladores de energia 110, se energia deve ser removida do número de controladores de atuador 106 pelo número de controladores de energia 110, ou ambos. Por exemplo, sem limitação, comandos de controle de energia 122 podem incluir comandos de aplicação de energia 132, comandos de remoção de energia 134, ou ambos. Comandos de aplicação de energia 132 podem indicar que energia deve ser provida ao número de controladores de atuador 106 pelo número de controladores de energia 110. Comandos de remoção de energia 134 podem indicar que energia deve ser removida do número de controladores de atuador 106 pelo número de controladores de energia 110.
[0022] De acordo com uma modalidade, pluralidade de comandos 102 pode ser enviada do número de controladores primários 104 para o número de controladores de atuador 106 e número de controladores de energia 110 via módulo de interface 140. Dados de relatório 112 podem ser enviados do número de controladores de atuador 106 para o número de controladores primários 104 via o módulo de interface 140. O módulo de interface 140 pode compreender via de comando 142, via de monitor 144, combinador de comandos 146, controlador de reserva 148 e combinador de mensagens de relatório 150.
[0023] Via de comando 142 e via de monitor 144 podem, ambas, receber pluralidade de comandos 102 do número de controladores primários 104 e ambas podem selecionar comandos da pluralidade de comandos 102 para enviar ao número de controladores de atuador 106 usando a mesma regra. A via de monitor 144 pode também gerar um valor de verificação para os comandos selecionados. O combinador de comandos 146 pode combinar os comandos selecionados pela via de comando 142 com o valor de verificação gerado pela via de monitor 144 para prover uma mensagem de comando ao número de controladores de atuador 106. O número de controladores de atuador 106 pode usar o valor de verificação para validar a mensagem de comando antes de controlar o número de controladores de atuador 106 de acordo com os comandos recebidos. O combinador de comandos 146 pode ainda enviar um comando de controle de energia apropriado selecionado pela via de comando 142 e via de monitor 144 para o número de controladores de energia 110.
[0024] O controlador de reserva 148 pode receber os comandos selecionados da pluralidade de comandos 102 pela via de comando 142. O controlador de reserva 148 pode gerar comandos de controle de atuador de reserva e comandos de energia em resposta a uma determinação de que um modo de reserva é desejado. O combinador de comandos 146 pode direcionar os comandos de reserva apropriados do controlador de reserva 148 para o número de controladores de atuador 106 e número de controladores de energia 110 em resposta à determinação de que um modo de reserva é desejado. No caso em que o sistema de controle de atuador 100 compreende sistema de controle de voo 115 na aeronave 114, o controlador de reserva 148 pode ser controlador de voo de reserva 152.
[0025] Via de comando 142 e via de monitor 144 podem, ambas, receber dados de relatório 112 do número de controladores de atuador 106, e ambas podem adicionar os mesmos dados adicionais aos dados de relatório 112. A via de monitor 144 pode também gerar um valor de verificação para os dados de relatório 112 e dados adicionas. Combinador de mensagem de relatório 150 pode combinar dados de relatório 112 e outro dados de via de comando 142 com o valor de verificação para dados de relatório 112 e outros dados gerados pela via de monitor 144 para prover uma mensagem de relatório ao número de controladores primários 104. O número de controladores primários 104 pode usar o valor de verificação para validar a mensagem de relatório antes de usar os dados de relatório 112 e outros dados na mensagem de relatório para qualquer finalidade apropriada.
[0026] Passando agora à figura 2, uma ilustração de um diagrama de blocos de um controlador primário é mostrada de acordo com uma modalidade ilustrativa. O controlador primário 200 pode ser um exemplo de uma implementação de número de controladores primários 104 na figura 1. Por exemplo, sem limitação, o controlador primário 200 pode compreender controlador de voo primário 202 em uma aeronave.
[0027] O controlador primário 200 pode compreender gerador de comando 204, gerador de valor de verificação 206 e gerador de mensagem de comando 208. O gerador de comando 204 pode gear um número de comandos 210. O gerador de valor de verificação 206 pode gerar um número de valores de verificação 212 para o número de comandos 210. Por exemplo, sem limitação, o número de valores de verificação 212 pode compreender valores para um controle de redundância cíclico ou para outro método apropriado de detecção de erro. O gerador de mensagem de comando 208 pode combinar o número de comandos 210 e o número de valores de verificação 212 de uma maneira apropriada para formar mensagens de comando 214.
[0028] O controlador primário 200 pode compreender adicionalmente receptor de mensagem de relatório, validador 218 e monitor de dados de relatório 220. O validador 218 pode compreender gerador de valor de verificação 206 e comparador 222. Um gerador de valor de verificação igual ou diferente 206 pode ser usado no validador 218 e gerar número de valores de verificação 212.
[0029] O receptor de mensagem de relatório 216 pode ser configurado para receber mensagens de relatório 224 compreendendo dados de mensagem de relatório 226 e valores de verificação de mensagens de relatório 228. O validador 218 pode determinar se as mensagens de relatório 224 são válidas através da geração de um valor de verificação para dados de mensagem de relatório 226 usando o gerador de valor de verificação 206 e usando o com[arador 222 para comparar o valor de verificação gerado com os valores de verificação de mensagens de relatório 228. As mensagens de relatório 224 podem ser determinadas como válidas quando o valor de verificação gerado pelo gerador de valor de verificação 206 conjuga com valores de verificação de mensagens de relatório 228. Dados de mensagem de relatório 226 nas mensagens de relatório 224 determinadas como válidas podem ser usados pelo controlador primário 200 de qualquer maneira apropriada.
[0030] Monitor de dados de relatório 220 pode monitorar mensagens de relatório 224 quanto à validade e frescor. Por exemplo, sem limitação, monitor de dados de relatório 220 pode desligar quando mensagens de relatório 224 provenientes de um determinado controlador de atuador forem determinadas como não válidas por uma duração finita ou se uma porção significativa de mensagens de relatório 224 provenientes do controlador de atuador não for válida. Monitor de dados de relatório 220 pode também desligar quando não houver novas mensagens de relatório 224 de um determinado controlador de atuador por uma duração finita ou quando uma porção significativa de mensagens de relatório 224 proveniente do controlador de atuador estiver faltando. Quando o monitor de dados de relatório 220 desliga, o controlador primário 200 pode gerar e enviar mensagens de comando 214 para remover energia do controlador de atuador afetado e comandar que o controlador de atuador afetado tome passivo o atuador relevante.
[0031] Passando à figura 3, é ilustrado um diagrama de blocos de um módulo de interface de acordo com uma modalidade ilustrativa. O módulo de interface 300 pode ser um exemplo de uma implementação de módulo de interface 140 na figura 1. O módulo de interface 300 pode compreender via de comando 302, via de monitor 304, combinador de comandos 306, controlador de reserva 308 e combinador de mensagem de relatório 310.
[0032] Mensagens de comando 312 provenientes de um controlador primário podem compreender uma pluralidade de comandos 314 e valores de verificação 316. Mensagens de comando 312 podem ser um exemplo de uma implementação de mensagens de comando 214 do controlador primário 200 na figura 2.
[0033] Mensagens de comando 312 podem ser providas a ambas as vias de comando 302 e de monitor 304. A via de comando 302 pode selecionar comandos de controle de atuador selecionados 318 e comando de controle de energia selecionado 320 dentre a pluralidade de comandos 314 em mensagens de comando 312. Comando de controle de energia selecionado 320 pode ser referido como um primeiro comando de controle de energia selecionado. Operando de modo independente, a via de monitor 304 pode gerar valor de verificação 322 para comandos de controle de atuador selecionados 318 e pode selecionar comando de controle de energia selecionado 324 da pluralidade de comandos 314 nas mensagens de comando 312. Comando de controle de energia selecionado 324 pode ser referido como um segundo comando de controle de energia selecionado.
[0034] O combinador de comando 306 pode combinar comandos de controle de energia selecionados 318 da via de comando 302 e valor de verificação 322 da via de monitor 304 para formar mensagem de comando de controle de atuador 326 compreendendo comandos de controle de atuador 328 e valor de verificação 330 para comandos de controle de atuador 328. Por exemplo, sem limitação, combinador de comandos 306 pode compreender multiplexador 332 para combinar comandos de controle de atuador selecionados 318 e valor de verificação 322 para formar mensagem de comando de controle de atuador 326.
[0035] Combinador de comandos 306 pode prover ainda comando de controle de energia 334 para o controlador de energia 336 através da combinação apropriada de comando de controle de energia selecionado 320 da via de comando 302 e comando de controle de energia selecionado 324 da via de monitor 304. Neste exemplo, o combinador de comandos 306 compreende conjunção lógica “e” 347 configurada para prover comando de controle de energia 334 ao controlador de energia 336 para prover energia a um controlador de atuador quando ambos os comandos de controle de energia selecionados 320 e de comando de controle de energia 324 forem comandos de aplicação de energia indicando que energia deve ser provida ao controlador de atuador.
[0036] O controlador de reserva 308 pode receber comandos de controle de atuador selecionados 318 da via de comando 302 e valor de verificação 322 da via de monitor 304. O controlador de reserva 308 pode gerar também mensagem de controle de atuador de reserva 338 e comando de controle de energia de reserva 340. Durante operação de modo primário, mensagem de controle de atuador de reserva 338 pode incluir comandos de controle de atuador que são iguais aos comandos de controle de atuador selecionados 318 recebidos da via de comando 302.
[0037] O combinador de comandos 306 pode selecionar mensagem de controle de atuador de reserva 338 para prover mensagem de comando de controle de atuador 326 quando indicação de modo operacional 342 provida pela lógica de seleção de modo de reserva 344 indicar um modo de reserva. Por exemplo, sem limitação, o combinador de comandos 306 pode compreender multiplexador 346 para selecionar mensagem de controle de atuador de reserva 338 quando indicação de modo operacional 342 indicar o modo de reserva.
[0038] Quando lógica de seleção de modo de reserva 344 indicar incorretamente o modo de reserva, comandos de controle de atuador selecionados318 providos pelo controlador de reserva 308 na mensagem de controle de atuador de reserva 338 podem continuar a ser providos como comandos de controle de atuador 328 na mensagem de comando de controle de atuador 326. Neste caso, comandos de controle de atuador 328 providos a um controlador de atuador não são afetados por uma indicação incorreta do modo de reserva pela indicação de modo operacional 342.
[0039] O combinador de comandos 306 pode selecionar comando de controle de energia de reserva 340 para prover como comando de controle de energia 334 quando indicação de modo operacional 342 provida pela lógica de seleção de modo de reserva 344 indicar o modo de reserva. Por exemplo, sem limitação, o combinador de comandos 306 pode compreender comutador 348 para selecionar comando de controle de energia de reserva 340 quando indicação de modo operacional 342 indicar o modo de reserva. O comutador 348 pode ser implementado de qualquer maneira apropriada.
[0040] Mensagem de dados de relatório 350 compreendendo dados de relatório 352 e valor de verificação 354 pode ser provida de um controlador de atuador ã via de comando 302 e via de monitor 304. A via de comando 302 pode prover dados de mensagem de relatório 356 compreendendo dados de relatório 352. A via de monitor 304 pode gerar valor de verificação de mensagem de relatório 358 para dados de mensagem de relatório 356.
[0041] Combinador de mensagem de relatório 310 pode combinar dados de mensagem de relatório 356 de via de comando 302 e valor de verificação de mensagem de relatório 358 da via de monitor 304 para formar mensagens de relatório 360 compreendendo dados de mensagem de relatório 356 e valor de verificação de mensagem de relatório 358 para dados de mensagem de relatório 356. Por exemplo, sem limitação, o combinador de mensagem de relatório 310 pode compreender multiplexador 366 para combinar dados de mensagem de relatório 356 e valor de verificação de mensagem de relatório 358 para formar mensagens de relatório 360.
[0042] Passando à figura 4, é mostrada uma ilustração de um diagrama de blocos de uma via de comando de acordo com uma modalidade ilustrativa. A via de comando 400 pode ser um exemplo de uma implementação de via de comando 142 na figura 1 e via de comando 302 na figura 3. A via de comando 400 compreende validador 402, seletor 404 e gerador de mensagem de relatório 406.
[0043] O validador 402 é configurado para validar mensagens de comando 408 compreendendo pluralidade de comandos 410 e valores de verificação 412. O validador 402 pode compreender gerador de valor de verificação 414 e comparador 416. O gerador de valor de verificação 414 gera um valor de verificação para a pluralidade de comandos 410. O comparador 416 compara o valor de verificação gerado pelo gerador de valor de verificação 414 com valores de verificação 412 em mensagens de comando 408. Mensagens de comando 408 são válidas quando o valor de verificação gerado pelo gerador de valor de verificação 414 conjuga com valores de verificação 412 nas mensagens de comando 408.
[0044] O seletor 404 é configurado para selecionar comandos de controle de atuador selecionados 418 e comando de controle de energia selecionado 420 da pluralidade de comandos 410 usando a regra 422. A regra 422 pode definir qualquer método de seleção apropriado. Por exemplo, sem limitação, a regra 422 pode definir uma seleção de valor médio para parâmetros contínuos ou uma seleção de voto majoritário para parâmetros discretos.
[0045] O validador 402 também pode ser usado para validar mensagem de dados de relatório 424 compreendendo dados de relatório 426 e valor de verificação 428 recebidos de um controlador de atuador. Neste caso, o gerador de valor de verificação 414 pode gerar um valor de verificação para dados de relatório 426. O comparador 416 compara o valor de verificação gerado pelo gerador de valor de verificação 414 com o valor de verificação 428 na mensagem de dados de relatório 424. A mensagem de dados de relatório 424 é válida quando o valor de verificação gerado pelo gerador de valor de verificação 414 conjuga com o valor de verificação 428 na mensagem de dados de relatório 424. Dados de relatório 426 da mensagem de dados de relatório 424 que são determinados como válidos podem ser combinados com outros dados 430 pelo gerador de mensagem de relatório 406 para prover dados de mensagem de relatório 432.
[0046] Dados de mensagem de relatório 424 podem não ser validados pela via de comando 400 quando a mensagem de dados de relatório 424, incluindo valor de verificação 428, esteja embutida em uma mensagem de relatório enviada de um módulo de interface para um controlador primário. Neste caso, validação de mensagem de dados de relatório 424 pode ser efetuada pelo controlador primário.
[0047] Passando à figura 5, uma ilustração de um diagrama de blocos de uma via de monitor é mostrada de acordo com uma modalidade. A via de monitor 500 pode ser um exemplo de uma implementação de via de monitor 144 na figurai e via de monitor 304 na figura 3. A via de monitor 500 pode compreender validador 502, seletor 504, gerador de valor de verificação 506 e gerador de mensagem de relatório 508.
[0048] O validador 502 pode ser configurado para validar mensagens de comando 510 compreendendo pluralidade de comandos 512 e valores de verificação 514. O validador 502 pode compreender gerador de valor de verificação 516 e comparador 518. O gerador de valor de verificação 516 gera um valor de verificação para a pluralidade de comandos 512. O comparador 518 compara o valor de verificação gerado pelo gerador de valor de verificação 516 com valores de verificação 514 em mensagens de comando 510. Mensagens de comando 510 são válidas quando o valor de verificação gerado pelo gerador de valor de verificação 516 no validador 502 conjuga com valores de verificação 514 nas mensagens de comando 510.
[0049] O seletor 504 é configurado para selecionar comandos de controle de atuador selecionados 520 e comando de controle de energia selecionado 526 da pluralidade de comandos 512 usando a regra 522. A regra 522 pode definir qualquer método de seleção apropriado. Entretanto, a regra 522 tem que ser a mesma regra 422 usada para definir a seleção feita pelo seletor 404 na via de comando 400 na figura 4. O gerador de valor de verificação 506 pode ser usado para gerar valor de verificação 524 para comandos de controle de atuador selecionados 520.
[0050] O validador 502 também pode ser usado para validar mensagem de dados de relatório 528 compreendendo dados de relatório 530 e valor de verificação 532 recebidos de um controlador de atuador. Neste caso, o gerador de valor de verificação 516 pode gerar um valor de verificação para dados de relatório 530. O comparador 518 compara o valor de verificação gerado pelo gerador de valor de verificação 516 com o valor de verificação 532 na mensagem de dados de relatório 528. A mensagem de dados de relatório 528 é válida quando o valor de verificação gerado pelo gerador de valor de verificação 516 conjuga com o valor de verificação 532 na mensagem de dados de relatório 528.
[0051] Dados de relatório 530 de mensagem de dados de relatório 528 que são determinados como válidos podem ser combinados com outros dados 534 pelo gerador de mensagem de relatório 508 para prover dados de mensagem de relatório 536. O gerador de valor de verificação 506 pode ser usado para gerar valor de verificação de mensagem de relatório 538 para dados de mensagem de relatório 536.
[0052] Mensagem de dados de relatório 528 pode não ser validada pela via de monitor 500 quando a mensagem de dados de relatório 528, incluindo valor de verificação 532, esteja embutida em uma mensagem de relatório enviada de um módulo de interface para um controlador primário. Neste caso, a validação da mensagem de dados de relatório 528 pode ser efetuada pelo controlador primário.
[0053] Passando à figura 6, é mostrada uma ilustração de um diagrama de blocos de um controlador de reserva de acordo com a modalidade ilustrativa. O controlador de reserva 600 pode ser um exemplo de uma implementação de controlador de reserva 148 na figura 1 ou controlador de reserva 308 na figura 3. O controlador de reserva 600 pode compreender validador 602, gerador de comando de reserva 604, lógica de seleção de modo de reserva 606 e gerador de mensagem de controle de atuador de reserva 608.
[0054] O validador 602 pode ser configurado para validar comandos de controle de atuador selecionados 610 recebidos de uma via de comando usando correspondente valor de verificação 612 recebido de uma via de monitor. O validador 602 pode compreender gerador de valor de verificação 614 e comparador 615. O gerador de valor de verificação 614 gera um valor de verificação para comandos de controle de atuador selecionados 610. O comparador 615 compara o valor de verificação gerado pelo gerador de valor de verificação 614 com o valor de verificação 612 da via de monitor. Comandos de controle de atuador selecionados 610 são válidos quando o valor de verificação gerado pelo gerador de valor de verificação 614 no validador 602 conjuga com o valor de verificação 612 da via de monitor. Comandos de controle de atuador selecionados 610 que são determinados como válidos podem ser providos ao gerador de comando de reserva 604.
[0055] O gerador de comando de reserva 604 pode gerar comando de controle de atuador de reserva 616 quando indicação de modo operacional 618 gerada pela lógica de seleção de modo de reserva 606 indicar operação em modo de reserva 620. Gerador de comando de reserva 604 pode não gerar comando de controle de atuador de reserva 616 quando a indicação de modo operacional 618 gerada pela lógica de seleção de modo de reserva 606 indicar operação em modo primário 622. O gerador de comando de reserva 604 gerar comando de controle de atuador de reserva 616 que conjuga com comandos de controle de atuador selecionados 610 quando indicação de modo operacional 618 gerada pela lógica de seleção de modo de reserva 606 indicar operação em modo primário 622.
[0056] Lógica de seleção de modo de reserva 606 para controlador de reserva 600 pode ser separada e operada de modo independente da lógica de seleção de modo de reserva 344 para o módulo de interface 300 na figura 3. Neste caso, os comandos de controle de atuador corretos podem ser providos a um controlador de atuador quando uma dentre a lógica de seleção de modo de reserva 606 ou lógica de seleção de modo de reserva 344 determinar o modo operacional de modo incorreto.
[0057] O gerador de valor de verificação 614 pode ser usado para gerar valor de verificação 624 para comando de controle de atuador de reserva 616. O gerador de mensagem de controle de atuador de reserva 608 pode ser configurado para combinar o comando de controle de atuador de reserva 616 e o valor de verificação 624 para o comando de controle de atuador de reserva 616 formar mensagem de controle de atuador de reserva 626.
[0058] O gerador de comando de reserva 604 pode gerar comando de controle de energia de reserva 628 quando a indicação de modo operacional 618 gerada pela lógica de seleção de modo de reserva 606 indicar operação no modo de reserva 620. O gerador de comando de reserva 604 pode não gerar comando de controle de energia de reserva 628 quando a indicação de modo operacional 618 gerada pela lógica de seleção de modo de reserva 606 indicar operação em modo primário 622.
[0059] Passando à figura 7, é mostrada uma ilustração de um diagrama de blocos de um combinador de comandos alternativo de acordo com uma modalidade ilustrativa. O combinador de comandos 700 compreende lógica de conjunção OU 702 que é configurada para prover comando de controle de energia 334 a um controlador de energia para remover energia de um controlador de atuador quando ambos os comandos selecionados de controlador de energia 320 da via de comando 302 e de controlador de energia 324 da via de monitor 304 indicarem que energia deve ser removida para o controlador de atuador. Neste exemplo, quando o comando de controle de energia selecionado 320 da via de comando 302 ou o comando de controle de energia selecionado 324 da via de monitor 304 indicar que energia deve ser provida ao controlador de atuador, a saída de lógica de conjunção OU 702 indicará que energia deve ser provida ao controlador de atuador.
[0060] Passando à figura 8, uma ilustração de um diagrama de blocos de outro combinador de comandos alternativo é mostrada de acordo com uma modalidade ilustrativa. O combinador de comandos 800 compreende um multiplexador 802 para prover mensagem de comando de controle de atuador 326 dos comandos de controle de atuador selecionados 318 e valor de verificação 322 ou da mensagem de controle de atuador de reserva 338 usando um único multiplexador.
[0061] Passando à figura 9, é mostrada uma ilustração de um controlador de atuador de acordo com uma modalidade ilustrativa. O controlador de atuador 900 pode ser um exemplo de uma implementação de um número de controladores de atuadores 106 na figura 1.
[0062] O controlador de atuador 900 pode compreender validador 902, gerador de sinal de controle 904 e monitor de mensagem de comando 906. O validador 902 pode ser configurado para validar mensagem de comando de controle de atuador 914 compreendendo comandos de controle de atuador 916 e valor de verificação 918 para comandos de controle de atuador 916. O validador 902 pode compreender gerador de valor de verificação 922 e comparador 920. O gerador de valor de verificação 922 gera um valor de verificação para comandos de controle de atuador 916. O comparador 920 compara o valor de verificação gerado pelo gerador de valor de verificação 922 com o valor de verificação 918 da mensagem de comando de controle de atuador 914. Comandos de controle de atuador 916 são válidos quando o valor de verificação gerado pelo gerador de valor de verificação 922 no validador 902 conjuga com o valor de verificação 918 da mensagem de comando de controle de atuador 914.
[0063] Comandos de controle de atuador 916 que são determinados como válidos podem ser providos ao gerador de sinal de controle 904. O gerador de sinal de controle 904 pode gerar sinais de controle apropriados 924 para atuadores de controle 926 de uma maneira apropriada conforme definido pelos comandos de controle de atuador válidos 916.
[0064] O monitor de mensagem de comando 906 pode monitorar mensagem de comando de controle de atuador 904 recebida pelo controlador de atuador 900 quanto à validade e frescor. Por exemplo, sem limitação, o monitor de mensagem de comando 906 pode ser configurado para colocar os atuadores 926 em um estado de desligamento apropriado, caso mensagens de comando de controle de atuador não válidas sejam recebidas por uma duração finita de tempo.
[0065] O controlador de atuador 900 pode compreender adicionalmente gerador de dados de relatório 908, gerador de valor de verificação 910, e gerador de mensagem de dados de relatório 912. Gerador de dados de relatório 908 pode gerar dados de relatório 930. O gerador de valor de verificação 910 pode gerar valor de verificação 932 para dados de relatório 930. Gerador de mensagem de dados de relatório 912 pode combinar dados de relatório 930 e valor de verificação 932 de uma maneira apropriada para formar mensagem de dados de relatório 934.
[0066] As ilustrações das figuras 1-9 não têm a intenção de implicar em limitações físicas ou arquiteturais em relação à maneira pela qual as diferentes modalidades ilustrativas podem ser implementadas. Outros componentes em adição a, no lugar de, ou tanto em adição como em vez de os ilustrados podem ser usados. Alguns componentes podem ser desnecessários em algumas modalidades ilustrativas. Além disso, os blocos são apresentados para ilustrar alguns componentes funcionais. Um ou mais destes blocos podem ser combinados, divididos ou combinados e divididos em blocos diferentes quando implementados em diferentes modalidades ilustrativas.
[0067] Passando à figura 10, é ilustrado um fluxo de dados de comando em um modo primário de acordo com uma modalidade ilustrativa. Fluxo de dados de comando entre o controlador primário 1000, via de comando 1002, via de monitor 1004, controlador de atuador 1006, controlador de energia 1008 e controlador de reserva 1010 durante operação de um sistema de controle de atuador em um modo primário é ilustrado e descrito.
[0068] O controlador primário 1000 gera número de comandos 1012, gera valores de verificação 1014 para o número de comandos, e gera mensagem de comando 1016 compreendendo o número de comandos e os valores de verificação. Mensagem de comando 1018 é enviada do controlador primário 1000 para ambas as vias de comando 1002 e de monitor 1004.
[0069] A via de comando 1002 valida a mensagem de comando 1020 e seleciona comandos 1022 da mensagem de comando quando esta é determinada como válida. Comandos de controle de atuador selecionados 1024 são enviados da via de comando 1002 para o controlador de atuador 1006 e controlador de reserva 1010. Comando de controle de energia selecionado 1026 é enviado da via de comando 1002 para o controlador de energia 1008.
[0070] A via de monitor 1004 valida a mensagem de comando 1028 e seleciona comandos 1030 da mensagem de comando quando a mensagem de comando é determinada como válida. A via de monitor 1004 também gera valores de verificação 1032 para os comandos de controle de atuador selecionados. O valor de verificação 1034 é enviado da via de monitor 1004 para o controlador de atuador 1006 e controlador de reserva 1010. Comando de controle de energia selecionado 1036 é enviado da via de monitor 1004 para o controlador de energia 1008.
[0071] O controlador de atuador 1006 valida a mensagem de comando de controlador de atuador 1038 compreendendo comandos de controle de atuador selecionados 1024 da via de comando 1002 usando valor de verificação 1034 da via de monitor 1004. O controlador de atuador 1006 pode controlar o atuador 1040 de maneira definida pelos comandos de controle de atuador selecionados 1024 quando a mensagem de comando de controlador de atuador é determinada como válida.
[0072] O controlador de energia 1008 pode controlar energia para o controlador de atuador 1042 de acordo com o comando de controle de energia selecionado 1026 da via de comando 1002 e comando de controle de energia selecionado 1036 da via de monitor 1004.
[0073] O controlador de reserva 1010 pode validar a mensagem de comando de controlador de atuador 1044 compreendendo comandos de controle de atuador selecionados 1024 da via de comando 1002 usando valor de verificação 1034 da via de monitor 1004. O controlador de reserva 1010 pode usar comandos de controle de atuador selecionados 1046 que sejam determinados como válidos em qualquer maneira apropriada.
[0074] Passando à figura 11, é ilustrado um fluxo de dados de relatório de acordo com uma modalidade ilustrativa. Fluxo de dados de relatório entre o controlador primário 1100, via de comando 1102, via de monitor 1104 e controlador de atuador 1106 é ilustrado e descrito.
[0075] Controlador de atuador 1106 gera dados de relatório 1108 e gera um valor de verificação 1110 para os dados de relatório. Dados de relatório 1112 e o valor de verificação 1114 para dados de relatório 1112 são enviados do controlador de atuador 1106 para ambas as vias de comando 1102 e de monitor 1104.
[0076] A via de comando 1102 valida os dados de relatório 1116 e gera dados de mensagem de relatório 1118 quando os dados de relatório são determinados como válidos. Dados de mensagem de relatório 1120 são enviados da via de comando 1102 para o controlador primário 1100.
[0077] A via de monitor 1104 valida os dados de relatório 1122 e gera dados de mensagem de relatório 1124 quando os dados de relatório são determinados como válidos. A via de monitor 1104 também gera valor de verificação de mensagem de relatório 1126 para os dados de mensagem de relatório. Valor de verificação de mensagem de relatório 1128 é enviado da via de monitor 1104 para o controlador primário 1100.
[0078] O controlador primário 1100 valida a mensagem de relatório 1130 compreendendo dados de mensagem de relatório da via de comando 1102 usando valor de verificação de mensagem de relatório 1132 em qualquer maneira apropriada quando a mensagem de relatório é determinada como válida.
[0079] Passando à figura 12, é ilustrado um fluxo de dados de comando em um modo de reserva de acordo com uma modalidade ilustrativa. Fluxo de dados de comando entre controlador de reserva 1200, controlador de atuador 1202 e controlador de energia 1204 durante operação de um sistema de controle de atuador em um modo de reserva é ilustrado e descrito.
[0080] Controlador de reserva 1200 gera um comando de controle de atuador de reserva 1208 para o comando de controle de atuador de reserva, e gera uma mensagem de controle de atuador de reserva 1210 compreendendo o comando de controle de atuador de reserva e o valor de verificação. A mensagem de controle de atuador de reserva 1212 é enviada do controlador de reserva 1200 para o controlador de atuador 1202.
[0081] O controlador de reserva 1200 também gera um comando de controle de energia de reserva 1214. O comando de controle de energia de reserva 1216 é enviado do controlador de reserva 1200 para o controlador de energia 1204.
[0082] O controlador de atuador 1202 valida a mensagem de controle de atuador de reserva 1218 compreendendo o comando de controle de atuador de reserva usando o valor de verificação provido na mensagem de controle de atuador de reserva 1212. O controlador de atuador 1202 pode controlar um atuador 1220 na maneira definida pelo comando de controle de atuador de reserva quando a mensagem de controle de atuador de reserva 1212 for determinada como válida.
[0083] O controlador de energia 1204 pode controlar energia para o controlador de atuador de acordo com o comando de controle de energia de reserva 1216.
[0084] Passando à figura 13, é ilustrado um exemplo de uma estrutura para uma mensagem de comando de controle de atuador de acordo com uma modalidade ilustrativa. A mensagem de comando de controle de atuador 1300 pode ser um exemplo de uma implementação de mensagem de comando de controle de atuador 326 na figura 3.
[0085] Passando à figura 14, é ilustrado um exemplo de uma estrutura para uma mensagem de dados de relatório e uma mensagem de relatório de acordo com uma modalidade ilustrativa. A mensagem de dados de relatório 1400 pode ser um exemplo de uma implementação de mensagem de dados de relatório 350 na figura 3. A mensagem de relatório 1402 pode ser um exemplo de uma implementação de mensagem de dados de relatório 360 na figura 3. Mensagem de dados de relatório 1400 pode ser embutida na mensagem de relatório 1402.
[0086] Passando à figura 15, é ilustrado um fluxograma de um processo para um controlador primário de acordo com uma modalidade ilustrativa. Por exemplo, o processo 1500 pode ser efetuado pelo número de controladores primários 104 na figura 1 ou controlador primário 200 na figura 2.
[0087] O processo 1500 pode ser iniciado com a geração de comandos (operação 1502) e geração de valores de verificação para os comandos (operação 1504). Uma mensagem de comando compreendendo os comandos e os valores de verificação podem, então, ser gerados (operação 1506). A mensagem de comando pode, então, ser enviada a um módulo de interface (operação 1508) para despacho a um controlador de atuador via o módulo de interface.
[0088] Uma mensagem de relatório pode ser recebida (operação 1510). A mensagem de relatório pode ser validada (operação 1512) para determinar se os dados de relatório na mensagem de relatório são válidos (operação 1514). Os dados de relatório podem ser usados em qualquer maneira apropriada (operação 1516) em resposta a uma determinação na operação 1514 de que os dados de relatório são válidos, com o processo terminando em seguida. O processo pode terminar sem usar os dados de relatório em resposta a uma determinação na operação 1514 de que os dados de relatório não são válidos.
[0089] Retomando à operação 1512, a recepção de dados de relatório e sua validade conforme determinada pela operação 1512 pode ser monitorada (operação 1518). Pode ser determinado, então se há um problema com a recepção ou validade dos dados de relatório recebidos (operação 1520). Energia pode ser removida de um controlador de atuador e o correspondente atuador pode ser passivado (operação 1522) em resposta a uma determinação na operação 1520 de que um problema foi identificado, com o processo terminando em seguida. De outro modo, o processo 1500 pode terminar em resposta a uma determinação na operação 1520 de que um problema não foi identificado.
[0090] Passando à figura 16, é ilustrado um fluxograma de um processo para uma via de comando de acordo com uma modalidade ilustrativa. Por exemplo, o processo 1600 pode ser efetuado pela via de comando 142 na figura 1, via de comando 302 na figura 3, ou via de comando 400 na figura 4.
[0091] O processo 1600 pode ser iniciado com a recepção de mensagens de comando (operação 1602). As mensagens de comando podem ser validadas (operação 1604) para determinar se as mensagens de comando são válidas (oopel606). Comandos de mensagem de comando podem ser selecionados (operação 1608) em resposta a uma determinação na operação 1606 de que as mensagens de comando são válidas. CoOmandos das mensagens de comando podem não ser selecionados, ou seja, a operação 1608 pode não ser efetuada, em resposta a uma determinação na operação 1606 de que as mensagens de comando não são válidas.
[0092] Uma mensagem de dados de relatório pode ser recebida de um controlador de atuador (operação 1610). A mensagem de dados de relatório pode ser validada (operação 1612) para determinar se os dados de relatório na mensagem de dados de relatório são válidos (operação 1614). O processo 1600 pode terminar em resposta a uma determinação na operação 1614 de que os dados de relatório na mensagem de dados de relatório não são válidos. Uma mensagem de relatório incluindo aos dados de relatório da mensagem de dados de relatório pode ser gerada (operação 1616) em resposta a uma determinação na operação 1614 de que os dados de relatório na mensagem de dados de relatório são válidos, com o processo terminando em seguida.
[0093] A mensagem de dados de relatório pode não ser validada, ou seja, as operações 1612 e 1614 podem não ser efetuadas, quando a mensagem de dados de relatório estiver embutida em uma mensagem de relatório enviada de um módulo de interface para um controlador primário. Neste caso, a validação da mensagem de dados de relatório pode ser efetuada pelo controlador primário.
[0094] Passando à figura 17, é ilustrado um fluxograma de um processo para uma via de monitor de acordo com uma modalidade ilustrativa. Por exemplo, o processo 1700 pode ser efetuado pela via de monitor 144 na figura 1, via de monitor 304 na figura 3, ou via de monitor 500 na figura 5.
[0095] O processo 1700 pode ser iniciado com a recepção de mensagens de comando (operação 1702). As mensagens de comando podem ser validadas (operação 1704) para determinar se as mensagens de comando são válidas (operação 1706). Comandos das mensagens de comando podem ser selecionados (operação 1708) em resposta a uma determinação na operação 1706 de que as mensagens de comando são válidas. Um valor de verificação para as mensagens de comando selecionadas pode, então, ser gerado (operação 1710). Comandos das mensagens de comando podem não ser selecionados, ou seja, as operações 1708 e 1710 podem não ser efetuadas, em resposta a uma determinação na operação 1706 de que as mensagens de comando não são válidas.
[0096] Uma mensagem de dados de relatório pode ser recebida de um controlador de atuador (operação 1712). A mensagem de dados de relatório pode ser validada (operação 1714) para determinar se os dados de relatório na mensagem de dados de relatório são válidos (operação 1716). O processo 1700 pode terminar em resposta a uma determinação na operação 1716 de que os dados de relatório na mensagem de dados de relatório não são válidos. Uma mensagem de relatório incluindo dados de relatório da mensagem de dados de relatório pode ser gerada (operação 1718) em resposta a uma determinação na operação 1716 de que os dados de relatório na mensagem de dados de relatório são válidos. Um valor de verificação para a mensagem de relatório pode ser gerado (operação 1720), com o processo terminando em seguida.
[0097] A mensagem de dados de relatório pode não ser validada, ou seja, as operações 1714 e 1716 podem não ser efetuadas, quando a mensagem de dados de relatório estiver embutida em uma mensagem de relatório enviada de um módulo de interface para um controlador primário. Neste caso, a validação da mensagem de dados de relatório pode ser efetuada pelo controlador primário.
[0098] Passando à figura 18, é ilustrado um fluxograma de um processo para um controlador de reserva de acordo com uma modalidade ilustrativa. Por exemplo, o processo 1800 pode ser efetuado pelo controlador de reserva 148 na figura 1, controlador de reserva 308 na figura 3, ou controlador de reserva 600 na figura 6.
[0099] O processo 1800 pode ser iniciado com a recepção de comandos de controle de atuador selecionados e um valor de verificação (operação 1802). Os comandos de controle de atuador selecionados podem ser validados (operação 1804) usando o valor de verificação para determinar se os comandos de controle de atuador selecionados são válidos (operação 1806). Comandos de controle de atuador selecionados válidos podem ser usados de maneira apropriada por um controlador de reserva (operação 1808) em resposta a uma determinação na operação 1806 de que os comandos de controle de atuador selecionados são válidos. Por exemplo, sem limitação, a operação 1808 pode incluir o uso de comandos de controle de atuador selecionados que conjugam com os comandos de controle de atuador selecionados quando um modo primário é indicado. Os comandos de controle de atuador selecionados podem não ser usados pelo controlador de reserva em resposta a uma determinação na operação 1806 de que os comandos de controle de atuador selecionados não são válidos.
[00100] Pode ser determinado se um modo de reserva é indicado (operação 1810). O processo 1800 pode terminar em resposta a uma determinação na operação 1810 de que o modo de reserva não é indicado. Em resposta a uma determinação na operação 1810 de que o modo de reserva é indicado, comandos de reserva podem ser gerados (operação 1812), um valor de verificação para os comandos de reserva pode ser gerado (operação 1814), e uma mensagem de comando de controle de atuador de reserva compreendendo os comandos de reserva e o valor de verificação podem ser gerados (operação 1816), com o processo terminando em seguida.
[00101] Passando à figura 19, é ilustrado um fluxograma de um processo para um controlador de atuador de acordo com uma modalidade ilustrativa. Por exemplo, o processo 1900 pode ser efetuado pelo número de controladores de atuadores 106 na figura 1 ou controlador de atuador 900 na figura 9.
[00102] O processo 1900 pode ser iniciado com a recepção de uma mensagem de comando de controle de atuador (operação 1902). A mensagem de comando de controle de atuador pode ser validada (operação 1904) para determinar se os comandos de controle de atuador na mensagem de comando de controle de atuador são válidos (operação 1906). Um atuador pode ser controlado pela maneira definida pelos comandos de controle de atuador (operação 1908) em resposta a uma determinação na operação 1906 de que os comandos de controle de atuador na mensagem de comando de controle de atuador são válidos. O atuador pode não ser controlado de acordo com os comandos de controle de atuador em resposta a uma determinação na operação 1906 de que os comandos de controle de atuador na mensagem de comando de controle de atuador não são válidos.
[00103] Dados de relatório podem ser gerados (operação 1910), um valor de verificação para os dados de relatório pode ser gerado (operação 1912), e uma mensagem de dados de relatório compreendendo os dados de relatório e o valor de verificação pode ser gerada (operação 1914). A mensagem de dados de relatório pode ser enviada a um módulo de interface (operação 1916) para despacho a um controlador primário via o módulo de interface, com o processo terminando em seguida.
[00104] Retomando à operação 1904, a recepção de comandos de controle de atuador e sua validação como determinada pela operação 1904 podem ser monitoradas (operação 1918). Pode ser determinado se nenhum comando de controle de atuador válido foi recebido por uma duração finita (operação 1920) O atuador pode ser colocado em um estado desligado (operação 1922) em resposta a uma determinação na operação 1920 que nenhum comando de controle de atuador válido foi recebido por uma duração finita, com o processo terminando em seguida. O processo 1900 pode terminar em resposta a uma determinação na operação 1920 de que comandos de controle de atuador válidos foram recebidos dentro da duração finita de tempo.
[00105] Passando à figura 20, é ilustrado um diagrama de blocos de um sistema de processamento de dados de acordo com uma modalidade ilustrativa. O sistema de processamento de dados 2000 pode ser um exemplo de uma implementação de um sistema no qual várias porções e funções de sistema de controle de atuador 100 na figura 1 podem implementados. Neste exemplo ilustrativo, sistema de processamento de dados 2000 inclui rede de comunicações 2002, que provê comunicações entre a unidade de processador 2004, memória 2006, armazenamento persistente 2008, unidade de comunicações 2010, unidade de entrada e saída (E/S) 2012, e visor 2014.
[00106] A unidade de processador 2004 serve para executar instruções para software que podem ser carregados na memória 2006. A unidade de processador 2004 pode ser um número de processadores, um núcleo multiprocessador, ou algum outro tipo de processador, dependendo da implantação particular. Além disso, a unidade de processador 2004 pode ser implementada usando um número de sistemas de processadores heterogêneos, no qual um processador principal está presente com processadores secundários em um único chip. Como outro exemplo ilustrativo, a unidade de processador 2004 pode ser um sistema de multiprocessadores simétricos contendo múltiplos processadores do mesmo tipo.
[00107] A memória 2006 e armazenamento persistente 2008 são exemplos de dispositivos de armazenamento 2016. Um dispositivo de armazenamento é qualquer peça de hardware capaz de armazenar informação como, por exemplo, sem limitação, dados, código de programa em forma funcional, e/ou outra informação adequada em base temporária e/ou em base permanente. Dispositivos de armazenamento 2016 também podem ser referidos como dispositivos de armazenamento legíveis por computador nestes exemplos. A memória 2006, nestes exemplos, pode ser, por exemplo, uma memória de acesso aleatório ou qualquer outro dispositivo de armazenamento volátil ou não volátil adequado. Armazenamento persistente 2008 pode apresentar várias formas, dependendo da implementação particular.
[00108] Por exemplo, armazenamento persistente 2008 pode conter um ou mais componentes ou dispositivos. Por exemplo, armazenamento persistente 2008 pode ser um disco rígido, uma memória flash, um disco óptico regravável, uma fita magnética regravável, ou alguma combinação dos acima. A mídia usada pelo armazenamento persistente 2008 também pode ser removível. Por exemplo, um disco rígido removível pode ser usado para armazenamento persistente 2008.
[00109] A unidade de comunicação 2010, nestes exemplos, provê comunicações com outros sistemas ou dispositivos de processamento de dados. Nestes exemplos, a unidade de comunicação 2010 é uma placa de interface de rede. A unidade de comunicação 2010 pode prover comunicações através do uso de um ou de ambos enlaces de comunicações físico e sem fio.
[00110] A unidade de entrada/saída 2012 permite entrada e saída de dados com outros dispositivos que possam ser conectados ao sistema de processamento de dados 2000. Por exemplo, a unidade de entrada/saída 2012 pode prover uma conexão para entrada de usuário através de um teclado, um mouse, e/ou algum outro dispositivo de entrada adequado. Além disso, a unidade de entrada/saída 2012 pode enviar informação a uma impressora. A visor 2014 provê um mecanismo para exibir informação a um usuário.
[00111] Instruções para o sistema operacional, aplicações, e/ou programas podem ficar localizadas em dispositivos de armazenamento 2016, que ficam em comunicação com a unidade de processador 2004 através da rede de comunicações 2002. Nestes exemplos ilustrativos, as instruções estão em uma forma funcional no armazenamento persistente 2008. Estas instruções podem ser carregadas na memória 2006 para execução pela unidade de processador 2004. Os processos das diferentes modalidades podem ser efetuados pela unidade de processador 2004 usando instruções implementadas de computador, que podem estar localizadas em uma memória, como memória 2006.
[00112] Estas instruções são referidas como código de programa, código de programa usável por computador, ou código de programa legível por computador que pode ser lido e executado por um processador na unidade de processador.
[00113] O código de programa 2018 fica localizado em uma forma funcional na mídia legível por computador 2020 que é seletivamente removível e que pode ser carregada ou transferida para o sistema de processamento de dados 2000 para execução pela unidade de processador 2004. O código de programa 2018 e mídia legível por computador 2020 formam produto de programa de computador 2022 nestes exemplos. Em um exemplo, a mídia legível por computador 2020 pode ser mídia de armazenamento legível por computador 2024 ou mídia de sinal legível por computador 2026. A mídia de armazenamento legível por computador 2024 pode incluir, por exemplo, um disco óptico ou magnético que é inserido ou colocado em um drive ou outro dispositivo que faça parte de armazenamento persistente 2008 para transferência a um dispositivo de armazenamento, como um disco rígido, que faz parte de armazenamento persistente 2008.
[00114] Mídia de armazenamento legível por computador 2024 pode tomar ainda a forma de um armazenamento persistente, como um disco rígido, um pen drive ou uma memória flash, que é conectada ao sistema de processamento de dados 2000. Em alguns casos, a mídia de armazenamento legível por computador 2024 pode não ser removível do sistema de processamento de dados 2000. Nestes exemplos, mídia de armazenamento legível por computador 2024 é um dispositivo de armazenamento físico ou tangível usado para armazenar código de programa 2018 em vez de uma mídia que propaga ou transmite código de programa 2018. A mídia de armazenamento legível por computador 2014 é também referida como um dispositivo de armazenamento tangível legível por computador ou um dispositivo de armazenamento físico legível por computador. Em outras palavras, mídia de armazenamento legível por computador 2024 é uma mídia que pode ser tocada por uma pessoa.
[00115] Alternativamente, código de programa 2018 pode ser transferido ao sistema de processamento de dados 2000 através de mídia de sinal legível por computador 2026. Mídia de sinal legível por computador 2026 pode ser, por exemplo, um sinal de dados propagado contendo código de programa 2018. Por exemplo, a mídia de sinal legível por computador 2026 pode ser um sinal eletromagnético, um sinal óptico e/ou qualquer outro tipo de adequado de sinal. Estes sinais podem ser transmitidos através de enlaces de comunicação, como enlaces de comunicação sem fio, cabo de fibra óptica, cabo coaxial, um fio, e/ou qualquer outro tipo de enlace adequado de comunicações. Em outras palavras, o enlace de comunicação e/ou a conexão podem ser físicos ou sem fio nos exemplos ilustrativos.
[00116] Em algumas modalidades ilustrativas, o código de programa 2018 pode ser baixado de outro dispositivo ou sistema de processamento de dados através de mídia de sinal legível por computador 2026 para uso dentro do sistema de processamento de dados 2000. Por exemplo, código de programa armazenado em uma mídia de armazenamento legível por computador em um sistema de processamento de dados de servidor pode ser baixado através de uma rede do servidor para o sistema de processamento de dados 2000. O sistema de processamento de dados provendo código de programa 2018 pode ser um computador servidor, um computador cliente, ou algum outro dispositivo capaz de armazenar e transmitir código de programa 2018.
[00117] Os diferentes componentes ilustrados para o sistema de processamento de dados 2000 não têm a intenção de prover limitações arquiteturais à maneira pela qual diferentes modalidades podem ser implementadas. As diferentes modalidades ilustrativas podem ser implementadas em um sistema de processamento de dados incluindo componentes em adição ou no lugar daqueles ilustrados para o sistema de processamento de dados 2000.
[00118] Outros componentes mostrados na figura 20 podem ser variados dos exemplos ilustrativos mostrados. As diferentes modalidades podem ser implementadas pelo uso de qualquer dispositivo de hardware ou sistema capaz de rodar código de programa. Como um exemplo, o sistema de processamento de dados pode incluir componentes orgânicos e/ou podem ser compreendidos inteiramente de componentes orgânicos, excluindo um ser humano. Por exemplo, um dispositivo de armazenamento pode ser compreendido de um semicondutor orgânico.
[00119] Em outro exemplo ilustrativo, a unidade de processador 2004 pode ter a forma de uma unidade de hardware tendo circuitos que são fabricados ou configurados para um uso particular. Este tipo de hardware pode efetuar operações sem necessitar de código de programa para ser carregado na memória de um dispositivo de armazenamento e ser configurado para efetuar as operações.
[00120] Por exemplo, quando a unidade de processador 2004 tem a forma de uma unidade de hardware, a unidade de processador 2024 pode ser um sistema de circuito, um circuito integrado de aplicação específica (ASIC), um dispositivo lógico programável, ou algum outro tipo adequado de hardware configurado para efetuar um número de operações. Com um dispositivo lógico programável, o dispositivo é configurado para efetuar o número de operações.
[00121] O dispositivo pode ser reconfigurado em um momento posterior ou pode ser configurado permanentemente para efetuar o número de operações. Exemplos de dispositivos lógicos programáveis incluem, por exemplo, uma matriz lógica programável, lógica de matriz programável, e outros dispositivos de hardware adequados. Com este tipo de implementação, o código de programa 2018 pode ser omitido devido aos processos para as diferentes modalidades serem implementados em uma unidade de hardware.
[00122] Em outro exemplo ilustrativo, a unidade de processador 2004 pode ser implementada pelo uso de uma combinação de processadores encontrados em computadores e unidades de hardware. A unidade de processador 2004 pode ter um número de unidades de hardware e um número de processadores configurados para rodar código de programa 2018. Com este exemplo ilustrado, alguns dos processos podem ser implementados no número de unidades de hardware, enquanto outros processos podem ser implementados no número de processadores.
[00123] Em outro exemplo, um sistema de barramento pode ser usado para implementar rede de comunicações 2002 e pode ser compreendido de um ou mais barramentos, como um sistema de barramento ou um barramento de entrada/saída. Naturalmente, o sistema de barramento pode ser implementado pelo uso de qualquer tipo adequado de arquitetura que proveja uma transferência de dados entre diferentes dispositivos ou componentes ligados ao sistema de barramento.
[00124] Adicionalmente, uma unidade de comunicação pode incluir um número de mais dispositivos que transmitem dados, recebem dados, ou transmitem e recebem dados. Uma unidade de comunicação pode ser, por exemplo, um modem ou um adaptador de rede, dois adaptadores de rede, ou alguma combinação dos mesmos. Além disso, uma memória pode ser, por exemplo, memória 2006, ou um cache, como o encontrado em um cubo controlador de interface e memória que pode estar presente na rede de comunicações 2002.
[00125] Os fluxogramas e diagramas de bloco nas diferentes modalidades ilustram a arquitetura, funcionalidade, e operação dalgumas implementações possíveis de aparelho e métodos em uma modalidade ilustrativa. A este respeito, cada bloco nos fluxogramas ou diagramas de bloco pode representar um módulo, segmento, função, e/ou uma porção de uma operação ou etapa. Por exemplo, um ou mais dos blocos pode ser implementado como código de programa, em hardware, ou uma combinação do código de programa e hardware. Quando implementado em hardware, este pode, por exemplo, ter a forma de circuitos integrados que são fabricados ou configurados para efetuar uma ou mais operações nos fluxogramas ou diagramas de bloco.
[00126] Em algumas implementações alternativas de uma modalidade ilustrativa, a função ou funções apontadas em um bloco pode ocorrer fora da ordem apontada nas figuras. Por exemplo, em alguns casos, dois blocos mostrados em sucessão podem ser executados substancialmente de modo concorrente, ou as funções associadas aos blocos podem, por vezes, ser efetuadas na ordem inversa, dependendo da funcionalidade envolvida. Além disso, outros blocos podem ser adicionados aos blocos ilustrados em um fluxograma ou diagrama de blocos.
[00127] Além disso, diferentes modalidades ilustrativas podem prover vantagens diferentes em comparação a outras modalidades ilustrativas. A modalidade ou modalidades selecionadas são escolhidas e descritas de modo a mais bem explicar os princípios da invenção, a aplicação prática, e para possibilitar que outros conhecedores comuns da técnica entendam a invenção para várias modalidades com várias modificações conforme adequadas ao uso particular contemplado.
[00128] Nota: Os parágrafos a seguir descrevem outros aspectos da invenção: AL Um método para controlar um atuador (108), compreendendo: receber uma mensagem de comando de controle de atuador (326) compreendendo um primeiro número selecionado de comandos (318) de uma via de comando (142) e um valor de verificação (322) para o primeiro número selecionado de comandos (318) gerados por uma via de monitor (114); determinar a validade da mensagem de comando de controle de atuador (326) usando o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de monitor (144); e controlar o atuador (108) conforme indicado pelo primeiro número selecionado de comandos (318) em resposta a uma determinação de que a mensagem de comando de controle de atuador (32Λ) é válida. A2. O método do parágrafo Al compreendendo adicionalmente: gerar dados de relatório (112); gerar um valor de verificação (354) para os dados de relatório (112); e enviar os dados de relatório (112) e o valor de verificação (354) para os dados de relatório (112) para ambas as vias de comando (142) e de monitor (144).
REIVINDICAÇÕES

Claims (15)

1. Aparelho, caracterizado pelo fato de que de que compreende: uma via de comando (142) configurada para receber uma pluralidade de comandos (102) para um atuador (108) de um número de controladores primários (104) e selecionar um primeiro número selecionado de comandos (318) da pluralidade de comandos (102) usando uma regra de seleção (422); uma via de monitor (144) configurada para receber a pluralidade de comandos (102) do número de controladores primários (104), selecionar um segundo número selecionado de comandos (520) da pluralidade de comandos (102) usando a regra de seleção (522), e gerar um valor de verificação (322) para o segundo número selecionado de comandos (520); e um combinador de comandos (146) configurado para combinar o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de monitor (144) para formar uma mensagem de comando de controle de atuador (326) compreendendo o primeiro número selecionado de comandos (318) e o valor de verificação (322) e enviar a mensagem de comando de controle de atuador (326) para um controlador de atuador (106) para controlar o atuador (108).
2. Aparelho de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente: o controlador de atuador (106) configurado para determinar a validade da mensagem de comando de controle de atuador (326) usando o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de comando (142) e o valor de verificação (322) da via de monitor (144) e para controlar o atuador (108) conforme indicado pelo primeiro número selecionado de comandos (318) em resposta a uma determinação de que a mensagem de comando de controle de atuador (326) é válida.
3. Aparelho de acordo com a reivindicação 1, caracterizado pelo fato de que: a via de comando (142) é configurada para selecionar um primeiro comando de controle de energia selecionado (320) da pluralidade de comandos (102) usando a regra de seleção (422); a via de monitor (144) é configurada para selecionar um segundo comando de controle de energia (324) da pluralidade de comandos (102) usando a regra de seleção (522); e o combinador de comandos (146) é configurado para enviar um comando de controle de energia (334) a um controlador de energia (110) para prover energia ao controlador de atuador (106) quando ambos o primeiro comando de controle de energia selecionado (320) e o segundo comando de controle de energia selecionado (324) são comandos de aplicação de energia (132) para prover a energia ao controlador de atuador (106).
4. Aparelho de acordo com a reivindicação 1, caracterizado pelo fato de que: a via de comando (142) é configurada para selecionar um primeiro comando de controle de energia selecionado (320) da pluralidade de comandos (102) usando a regra de seleção (422); a via de monitor (144) é configurada para selecionar um segundo comando de controle de energia selecionado (324) da pluralidade de comandos (102) usando a regra de seleção; e o combinador de comandos (146) é configurado para enviar um comando de controle de energia (334) a um controlador de energia (110) para remover energia do controlador de atuador (106) quando tanto o primeiro comando de controle de energia selecionado (320), como o segundo comando de controle de energia selecionado (324) forem comandos de remoção de energia (134) para remover a energia do controlador de atuador (106).
5. Aparelho de acordo com a reivindicação 1, caracterizado pelo fato de que compreende adicionalmente: um controlador de reserva (148) configurado para receber o primeiro número selecionado de comandos (318) da via de comando (142), gerar um primeiro comando de controle de atuador de reserva (616) que conjuga com o primeiro número selecionado de comandos (318) e um valor de verificação (624) para o primeiro comando de controle de atuador de reserva (616) em resposta a uma indicação de modo operacional (618) gerada por uma primeira lógica de seleção de modo de reserva (606) indicando que o aparelho está em um modo primário (622),e gerar um segundo comando de controle de atuador de reserva (616) e um valor de verificação (624) para o segundo comando de controle de atuador de reserva (616) em resposta à indicação de modo operacional (618) gerada pela primeira lógica de seleção de modo de reserva (606) indicando que o aparelho está em um modo de reserva (620); e em que o combinador de comandos (146) é configurado para enviar um do primeiro comando de controle de atuador de reserva (616) e o valor de verificação (624) para o primeiro comando de controle de atuador de reserva (616) ou o segundo comando de controle de atuador de reserva (616) e o valor de verificação (624) para o segundo comando de controle de atuador de reserva (616) para o controlador de atuador (106) quando a mensagem de comando de controle de atuador (326) em resposta a uma indicação de modo operacional (342) gerada por uma segunda lógica de seleção de modo de reserva (344) indicando que o aparelho está nem um modo de reserva (620).
6. Aparelho de acordo com a reivindicação 5, caracterizado pelo fato de que: o controlador de reserva (148) é configurado para gerar um comando de controle de energia (340) em resposta à indicação de modo operacional (618) gerada pela primeira lógica de seleção de modo de reserva (606) indicando que o aparelho está em um modo de reserva (620); e o combinador de comandos (146) é configurado para enviar o comando de controle de energia de reserva (340) a um controlador de energia (110) como um comando de controle de energia (334) em resposta à indicação de modo operacional (342) gerada pela segunda lógica de seleção de modo de reserva (344) indicando que o aparelho está no modo de reserva (620), em que, além disso, o combinador de comandos (146) é configurado para enviar o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de comando (142) e o valor de verificação (322) da via de monitor (144) para o controlador de reserva (148) em resposta à indicação de modo operacional (342) gerada pela segunda lógica de seleção de modo de reserva (344) indicando que o aparelho está no modo primário (622).
7. Aparelho de acordo com a reivindicação 1, caracterizado pelo fato de que: a via de comando (142) é configurada para receber dados de relatório (112) do controlador de atuador (106); a via de monitor (144) é configurada para receber os dados de relatório (1120) do controlador de atuador (106) e gerar um valor de verificação de mensagem de relatório (358) para os dados de relatório (112); e compreendendo adicionalmente um combinador de mensagens de relatório (150) configurado para combinar os dados de relatório (112) da via de comando (142) e o valor de verificação de mensagem de relatório (358) da via de monitor (144) para formar uma mensagem de relatório (360) compreendendo os dados de relatório (112) e o valor de verificação de mensagem de relatório (358) e enviar a mensagem de relatório (360) para um controlador primário (104).
8. Aparelho de acordo com a reivindicação 1, caracterizado pelo fato de que o número de controladores primários (104) compreende um controlador de voo (116) para uma aeronave (114) e o atuador (148) é configurado para mover uma superfície uma superfície de controle de voo da aeronave (114) em resposta aos sinais de controle (924) gerados pelo controlador de atuador (106).
9. Método para controlar um atuador (108), caracterizado pelo fato de que compreende: receber uma pluralidade de comandos (102) para o atuador (108) de um número de controladores primários (104) através de uma via de comando (142); selecionar um primeiro número selecionado de comandos (318) da pluralidade de comandos (102) pela via de comando (142) usando uma regra de seleção (422); receber a pluralidade de comandos (102) do número de controladores primários (104) através de uma via de monitor (144); selecionar um segundo número selecionado de comandos (520) da pluralidade de comandos (102) através da via de monitor (144) usando a regra de seleção (522); gerar um valor de verificação (322) para o segundo número selecionado de comandos (520) através da via de monitor (144); combinar o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de monitor (144) para formar uma mensagem de comando de controle de atuador (326) compreendendo o primeiro número selecionado de comandos (318) e o valor de verificação (322); e enviar a mensagem de comando de controle de atuador (326) a um controlador de atuador (106) para controlar o atuador (108).
10. Método de acordo com a reivindicação 9, caracterizado pelo fato de que compreende adicionalmente: determinar a validade da mensagem de comando de controle de atuador (326) através do controlador de atirador (106) usando o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de monitor (144); e controlar o atuador (108) conforme indicado pelo primeiro número selecionado de comandos (318) em resposta a uma determinação de que a mensagem de comando de controle de atuador (326) é válida.
11. Método de acordo com a reivindicação 9, caracterizado pelo fato de que compreende adicionalmente: selecionar um primeiro comando de controle de energia selecionado (320) da pluralidade de comandos (102) pela via de monitor (142) usando a regra de seleção (422); selecionar um segundo comando de controle de energia selecionado (324) da pluralidade de comandos (102) pela via de monitor (144) usando a regra de seleção (522); e enviar um comando de controle de energia (334) a um controlador de energia (110) para prover energia ao controlador de atuador (106) quando ambos o primeiro comando de controle de energia selecionado (320) e o segundo comando de controle de energia selecionado (324) forem comandos de aplicação de energia (132) para prover a energia ao controlador de atuador (106).
12. Método de acordo com a reivindicação 9, caracterizado pelo fato de que compreende adicionalmente: selecionar um primeiro comando de controle de energia selecionado (320) da pluralidade de comandos (102) pela via de comando (142) usando a regra de seleção (422); selecionar um segundo comando de controle de energia selecionado (324) da pluralidade de comandos (102) pela via de monitor (144) usando a regra de seleção (522); e enviar um comando de controle de energia (334) a um controlador de energia (110) para remover energia do controlador de atuador (106) quando ambos o primeiro comando de controle de energia selecionado (320) e o segundo comando de controle de energia selecionado (324) forem comandos de remoção de energia (134) para remover a energia do controlador de atuador (106).
13. Método de acordo com a reivindicação 9, caracterizado pelo fato de que compreende adicionalmente: gerar um primeiro comando de controle de atuador de reserva (616) que conjuga o primeiro número selecionado de comandos (318) e um valor de verificação (624) para o primeiro comando de controle de atuador de reserva (616) por um controlador de reserva (148) em resposta a uma indicação de modo operacional (618) gerada por uma primeira lógica de seleção de modo de reserva (606) indicando um modo primário (622); gerar um segundo comando de controle de atuador de reserva (616) e um valor de verificação (624) para o segundo comando de controle de atuador de reserva (616) pelo controlador de reserva (148) em resposta à indicação de modo operacional (618) gerada pela primeira lógica de seleção de modo de reserva (606) indicando um modo de reserva (620); e enviar um do primeiro comando de controle de atuador (616) e valor de verificação (624) para o primeiro comando de controle de atuador de reserva (616) ou o segundo comando de controle de atuador de reserva (616) e o valor de verificação (624) para o segundo comando de controle de atuador (616) para o controlador de atuador (106) como a mensagem de comando de controle de atuador (326) em resposta a uma indicação de modo operacional (342) gerada por uma segunda lógica de seleção de modo de reserva (344) indicando o modo de reserva (620).
14. Método de acordo com a reivindicação 13, caracterizado pelo fato de que compreende adicionalmente: gerar um comando de controle de energia de reserva (340) pelo controlador de reserva (148) em resposta à indicação de modo operacional (618) gerada pela primeira lógica de seleção de modo de reserva (606) indicando o modo de reserva (620); enviar o comando de controle de energia de reserva (340) ao controlador de energia (110) como um comando de controle de energia (334) em resposta à indicação de modo operacional (342) gerada pela segunda lógica de seleção de modo de reserva (344) indicando o modo de reserva (620); e enviar o primeiro número selecionado de comandos (318) da via de comando (142) e o valor de verificação (322) da via de monitor (142) em resposta à indicação de modo operacional (342) gerada pela segunda lógica de seleção de modo de reserva (344) indicando o modo de operação primário (622).
15. Método de acordo com a reivindicação 9, caracterizado pelo fato de que compreende adicionalmente: receber dados de relatório (112) do controlador de atuador (106) através da via de comando (142); receber dados de relatório (112) do controlador de atuador (106) através da via de monitor (144); gerar um valor de verificação de mensagem de relatório (358) para os dados de relatório (112) pela via de monitor (144); combinar os dados de relatório (1120) da via de comando (142) e o valor de verificação de mensagem de relatório (358) da via de monitor (144) para formar uma mensagem de relatório (360) compreendendo os dados de relatório (112) e o valor de verificação de mensagem de relatório (358); e enviar a mensagem de relatório (360) a um controlador primário (104), em que o número de controladores primários (104) compreende um controlador de voo (116) para uma aeronave (114) e o atuador (108) é configurado para mover uma superfície de controle de voo da aeronave (114) em resposta a sinais de controle (924) gerados pelo controlador de atuador (106).
BR102016004145-7A 2015-03-20 2016-02-25 Aparelho, e, método para controlar um atuador BR102016004145B1 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/664,355 US9493231B2 (en) 2015-03-20 2015-03-20 Flight control system command selection and data transport
US14/664,355 2015-03-20

Publications (2)

Publication Number Publication Date
BR102016004145A2 true BR102016004145A2 (pt) 2016-09-20
BR102016004145B1 BR102016004145B1 (pt) 2022-08-16

Family

ID=55646283

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102016004145-7A BR102016004145B1 (pt) 2015-03-20 2016-02-25 Aparelho, e, método para controlar um atuador

Country Status (6)

Country Link
US (1) US9493231B2 (pt)
EP (1) EP3079063B1 (pt)
JP (1) JP6587561B2 (pt)
CN (1) CN105988480B (pt)
BR (1) BR102016004145B1 (pt)
CA (1) CA2918108C (pt)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10248430B2 (en) 2016-12-16 2019-04-02 Hamilton Sundstrand Corporation Runtime reconfigurable dissimilar processing platform
CA3037463C (en) * 2017-02-01 2020-03-24 Thales Canada Inc. Backup actuation control unit for controlling an actuator dedicated to a given surface and method of using same
US10336437B2 (en) * 2017-05-05 2019-07-02 Hamilton Sundstrand Corporation Method to measure aircraft high-lift system brake response time
US10571914B2 (en) * 2017-06-29 2020-02-25 The Boeing Company Fault coverage for multiple failures in redundant systems
US10353767B2 (en) * 2017-09-14 2019-07-16 Bae Systems Controls Inc. Use of multicore processor to mitigate common mode computing faults
TR201716275A1 (tr) * 2017-10-23 2019-05-21 Tuerkiye Bilimsel Ve Teknolojik Arastirma Kurumu Tuebitak Hava araçlari i̇çi̇n bi̇r kontrol paneli̇ denetleme ci̇hazi
US11131991B2 (en) * 2018-01-19 2021-09-28 Ge Aviation Systems Llc Autopilot control system for unmanned vehicles
US10988237B1 (en) * 2019-12-17 2021-04-27 The Boeing Company Feed forward equalization control for active-active redundant actuation systems
EP3862835B1 (en) * 2020-02-10 2023-10-25 Volocopter GmbH Method and system for monitoring a condition of a vtol-aircraft
US11155356B2 (en) * 2020-02-19 2021-10-26 Kitty Hawk Corporation Thrust allocation using optimization in a distributed flight control system
CN116243594B (zh) * 2023-05-11 2023-08-04 广州汽车集团股份有限公司 一种飞行器控制系统、飞行控制方法、存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7167452B2 (en) * 2002-07-23 2007-01-23 Lockheed Martin Corporation Selection of data to be transmitted between nodes in a network having limited bandwidth
JPWO2006098469A1 (ja) * 2005-03-18 2008-08-28 ヤマハ発動機株式会社 飛行制御システム
US7765427B2 (en) * 2005-08-05 2010-07-27 Honeywell International Inc. Monitoring system and methods for a distributed and recoverable digital control system
US8260492B2 (en) * 2005-08-05 2012-09-04 Honeywell International Inc. Method and system for redundancy management of distributed and recoverable digital control system
US7421320B2 (en) * 2005-10-06 2008-09-02 The Boeing Company Methods and apparatus for implementing mid-value selection functions for dual dissimlar processing modules
JP2009523657A (ja) * 2006-01-17 2009-06-25 ガルフストリーム・エアロスペース・コーポレイション 統合バックアップ制御システム用のシステムおよび方法
CA2637226A1 (en) * 2006-01-17 2007-07-26 Gulfstream Aerospace Corporation Apparatus and method for backup control in a distributed flight control system
US7693616B2 (en) * 2006-03-31 2010-04-06 Honeywell International Inc. System and method of redundancy management for fault effect mitigation
EP2156256A2 (en) * 2007-04-05 2010-02-24 Bombardier Inc. Multi-axis serially redundant, single channel, multi-path fly-by-wire flight control system
US7840316B2 (en) * 2007-12-17 2010-11-23 Honeywell International Inc. Limited authority and full authority mode fly-by-wire flight control surface actuation control system
FR2927308B1 (fr) * 2008-02-08 2010-10-22 Airbus France Systeme distribue de commande de vol.
FR2941912B1 (fr) * 2009-02-10 2011-02-18 Airbus France Systeme de commande de vol et aeronef le comportant
FR2959835B1 (fr) * 2010-05-10 2012-06-15 Airbus Operations Sas Systeme de commande de vol et aeronef le comportant
US8601150B1 (en) * 2010-10-01 2013-12-03 The Boeing Company Cross-channel data link

Also Published As

Publication number Publication date
US9493231B2 (en) 2016-11-15
CN105988480A (zh) 2016-10-05
JP6587561B2 (ja) 2019-10-09
CN105988480B (zh) 2021-02-23
EP3079063B1 (en) 2020-05-06
CA2918108C (en) 2020-03-24
EP3079063A2 (en) 2016-10-12
BR102016004145B1 (pt) 2022-08-16
JP2016210407A (ja) 2016-12-15
CA2918108A1 (en) 2016-09-20
EP3079063A3 (en) 2016-11-16
US20160272300A1 (en) 2016-09-22

Similar Documents

Publication Publication Date Title
BR102016004145A2 (pt) aparelho, e, método para controlar um atuador
US10152393B2 (en) Out-of-band data recovery in computing systems
TW201411401A (zh) 可擴充的儲存保護
BR102014028190A2 (pt) Método para usar uma parte de software de configuração para uma aeronave, e, aparelho
US11100228B2 (en) System and method to recover FPGA firmware over a sideband interface
US10606784B1 (en) Software filtering of redundant sideband device management bus communications
US10360116B2 (en) Disk preservation and failure prevention in a raid array
BR112015027851B1 (pt) Método para verificar dados e aparelho
CN103858107A (zh) 安全恢复装置和方法
US20200133759A1 (en) System and method for managing, resetting and diagnosing failures of a device management bus
JP2022088346A (ja) コア同期のためのデバッグトレースストリーム
US20160378625A1 (en) Reverse resynchronization by a secondary data source when a data destination has more recent data
JP5421152B2 (ja) 半導体集積回路
US10402113B2 (en) Live migration of data
US20200137079A1 (en) System and method for detecting rogue devices on a device management bus
US20190354158A1 (en) Preventing unexpected power-up failures of hardware components
US10852792B2 (en) System and method for recovery of sideband interfaces for controllers
US10853204B2 (en) System and method to detect and recover from inoperable device management bus
US9281079B2 (en) Dynamic hard error detection
US10691353B1 (en) Checking of data difference for writes performed via a bus interface to a dual-server storage controller
US12175231B2 (en) Systems and methods for thermal monitoring during firmware updates
US20250299762A1 (en) Monitoring a device data path via an emulated data path
US20200081630A1 (en) Rack-power-controller-initiated data protection
US9836364B2 (en) In-band recovery mechanism for I/O modules in a data storage system
Alme Firmware development and integration for ALICE TPC and PHOS front-end electroncis

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 25/02/2016, OBSERVADAS AS CONDICOES LEGAIS