FR3131401A1 - Architecture de commande virtualisee d un aeronef et procede associe. - Google Patents

Architecture de commande virtualisee d un aeronef et procede associe. Download PDF

Info

Publication number
FR3131401A1
FR3131401A1 FR2114489A FR2114489A FR3131401A1 FR 3131401 A1 FR3131401 A1 FR 3131401A1 FR 2114489 A FR2114489 A FR 2114489A FR 2114489 A FR2114489 A FR 2114489A FR 3131401 A1 FR3131401 A1 FR 3131401A1
Authority
FR
France
Prior art keywords
command
functional element
main
confirmation
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2114489A
Other languages
English (en)
Inventor
Cyril SAINT REQUIER
Samuel GRIMON
Sébastien CAMAND
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dassault Aviation SA
Original Assignee
Dassault Aviation SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dassault Aviation SA filed Critical Dassault Aviation SA
Priority to FR2114489A priority Critical patent/FR3131401A1/fr
Priority to CA3184400A priority patent/CA3184400A1/fr
Priority to US18/087,002 priority patent/US20230202671A1/en
Publication of FR3131401A1 publication Critical patent/FR3131401A1/fr
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D43/00Arrangements or adaptations of instruments
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D45/00Aircraft indicators or protectors not otherwise provided for
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64DEQUIPMENT FOR FITTING IN OR TO AIRCRAFT; FLIGHT SUITS; PARACHUTES; ARRANGEMENT OR MOUNTING OF POWER PLANTS OR PROPULSION TRANSMISSIONS IN AIRCRAFT
    • B64D45/00Aircraft indicators or protectors not otherwise provided for
    • B64D2045/0085Devices for aircraft health monitoring, e.g. monitoring flutter or vibration

Landscapes

  • Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Architecture de commande virtualisée d’un aéronef et procédé associé L’Architecture (10) de commande d’un élément fonctionnel (3) d’un aéronef (1) pilotable entre plusieurs configurations comprend : - une interface homme-machine (12) configurée pour générer une commande principale en fonction d’une action d’un opérateur visant à passer l’élément fonctionnel (3) dans une configuration cible ; - un module (16) de contrôle de l’élément fonctionnel (3) entre ses configurations. L’architecture (10) comprend un module (14) de confirmation de la commande principale, configuré pour générer une commande de sécurité associée, un module d’interfaçage (18) configuré pour transmettre la commande principale et la commande de sécurité au module de contrôle (16), le module de contrôle (16) passant l’élément fonctionnel (3) dans la configuration cible lorsque respectivement les commandes principale et de sécurité correspondent à une commande principale attendue et à une commande de sécurité attendue de passage dans la configuration cible. Figure pour l'abrégé : Figure 1

Description

Architecture de commande virtualisée d’un aéronef et procédé associé
La présente invention concerne une architecture de commande d’au moins un élément fonctionnel d’un aéronef pilotable entre une pluralité de configurations, l’architecture comprenant :
- au moins une interface homme-machine comportant un afficheur et une unité de gestion d’affichage sur l’afficheur, l’unité de gestion d’affichage étant configurée pour générer une commande principale en fonction d’une action d’un opérateur visant à passer l’au moins un élément fonctionnel dans une configuration cible ;
- au moins un module de contrôle de l’au moins un élément fonctionnel apte à piloter l’au moins un élément fonctionnel entre ses configurations ;
- au moins un module d’interfaçage configuré pour transmettre la commande principale à l’au moins un module de contrôle.
Une telle architecture de commande virtualisée permet à un pilote, par exemple, au moyen d’un écran tactile de contrôler un élément fonctionnel de l’aéronef.
Il existe quelques architectures virtualisées sur les aéronefs actuels. Cependant, certaines fonctions de certains éléments fonctionnels constituent des fonctions critiques qui, si elles ne sont pas exécutées de manière adéquate, peuvent mettre en danger l’intégrité de l’aéronef ou nuire à la sécurité de ses passagers.
Il est donc impératif que la commande principale transmise à l’élément fonctionnel corresponde effectivement à la fonction que souhaite effectuer l’opérateur.
Toutefois, dans une telle architecture de commande virtualisée, il existe une certaine probabilité que la commande principale soit corrompue, de sorte qu’elle ne corresponde pas réellement à ce que souhaite réaliser l’opérateur. Une telle corruption peut avoir lieu lors de la génération de la commande principale, ou lors de sa transmission au module d’interfaçage et/ou au module de contrôle. La corruption de la commande peut alors aboutir à la non-exécution de la fonction souhaitée par l’opérateur ou, pire encore, à l’exécution d’une fonction non-souhaitée par l’opérateur. Une telle corruption de la commande présente donc un risque substantiel pour l’aéronef. Une telle architecture n’est donc pas adaptée pour piloter des fonctions critiques de l’aéronef.
Un but de l’invention est de pallier cet inconvénient en améliorant la fiabilité d’une telle architecture de commande afin qu’elle permette de piloter des fonctions critiques.
A cet effet, l’invention a pour objet une architecture de commande du type précité, comprenant en outre, au moins un module de confirmation de la commande principale, configuré pour générer une commande de sécurité associée à la commande principale,
l’au moins un module d’interfaçage étant configuré pour transmettre la commande de sécurité à l’au moins un module de contrôle ,
l’au moins un module de contrôle passant l’au moins un élément fonctionnel dans la configuration cible lorsque la commande principale correspond à une commande principale attendue de passage de l’au moins un élément fonctionnel dans la configuration cible et lorsque la commande de sécurité correspond à une commande de sécurité attendue de passage de l’au moins un élément fonctionnel dans la configuration cible.
L’architecture de commande selon l’invention peut comprendre l’une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toute combinaison techniquement envisageable :
- la commande principale comprend un multiplet principal, la commande principale attendue comprend un multiplet principal attendu, la commande de sécurité comprend un multiplet de sécurité et la commande de sécurité attendue comprend un multiplet de sécurité attendu,
le multiplet principal et le multiplet principal attendu comprenant respectivement N bits, le multiplet de sécurité et le multiplet de sécurité attendu comprenant respectivement M bits,
N et M étant des entiers supérieurs à 8, N et M étant par exemple égaux entre eux, notamment respectivement égaux à 16 ;
- l’architecture de commande est telle que :
- au moins K bits sont distincts entre le multiplet principal attendu et le multiplet de sécurité attendu ;
- au moins K bits sont distincts entre le multiplet principal attendu correspondant au passage de l’au moins un élément fonctionnel dans la configuration cible et tout multiplet principal attendu correspondant à une commande alternative différant du passage de l’au moins un élément fonctionnel dans la configuration cible ;
- au moins K bits sont distincts entre le multiplet de sécurité attendu correspondant au passage de l’au moins un élément fonctionnel dans la configuration cible et tout multiplet de sécurité attendu correspondant à une commande alternative différant du passage de l’au moins un élément fonctionnel dans la configuration cible ;
K étant un entier inférieur ou égal au minimum entre N et M, K étant notamment supérieur ou égal à 4 ;
- l’unité de gestion d’affichage est configurée pour transmettre simultanément la commande principale à l’au moins un module d’interfaçage et à l’au moins un module de confirmation, l’au moins un module d’interfaçage étant configuré, sur réception de la commande principale, pour transmettre la commande principale à l’au moins un module de contrôle, l’au moins un module de confirmation générant la commande de sécurité après une temporisation commençant lorsque l’au moins un module de confirmation reçoit la commande principale ;
- l’au moins un module de contrôle est configuré pour recevoir successivement dans le temps une première commande et une deuxième commande, l’au moins un module de contrôle comprenant :
- un champs mémoire principal configuré pour stocker la première commande ;
- un champs mémoire de sécurité configuré pour stocker la deuxième commande ;
- une unité de vérification générant une autorisation de passage de l’au moins un élément fonctionnel dans la configuration cible lorsque simultanément la première commande stockée dans le champ mémoire principal correspond à la commande principale attendue correspondant au passage de l’au moins un élément fonctionnel dans la configuration cible et la deuxième commande stockée dans le champs mémoire de sécurité correspond à la commande de sécurité attendue correspondant au passage de l’au moins un élément fonctionnel dans la configuration cible, l’unité de vérification étant configurée pour transmettre l’autorisation de passage à une unité de contrôle ; et
- l’unité de contrôle, passant l’au moins un élément fonctionnel dans la configuration cible lorsqu’elle reçoit l’autorisation de passage de l’au moins un élément fonctionnel dans la configuration cible ;
- l’au moins un module de confirmation est configuré, sur réception de la commande principale, pour générer une demande de confirmation de la commande principale, l’unité de gestion d’affichage étant apte à afficher la demande de confirmation sur l’afficheur à destination de l’opérateur ;
- la demande de confirmation comprend une chaîne de caractères associée à la commande principale ;
- l’architecture de commande comprend en outre au moins un dispositif de confirmation indépendant de l’au moins une interface homme-machine et propre à être actionné par l’opérateur pour confirmer la commande principale lorsque la demande de confirmation correspond à une demande de confirmation de passage de l’au moins un élément fonctionnel dans la configuration cible, l’au moins un module de confirmation générant la commande de sécurité lorsque l’au moins un dispositif de confirmation est actionné pour confirmer la commande principale ;
- l’au moins un dispositif de confirmation est configuré pour générer une confirmation lorsqu’il est actionné pour confirmer la commande principale, la confirmation comprenant par exemple un unique bit de confirmation, l’architecture de commande comprenant en outre au moins un module d’interfaçage auxiliaire configuré pour transmettre la confirmation au module de confirmation ;
- l’au moins un module de contrôle est configuré pour générer des informations représentatives d’une configuration courante de l’au moins un élément fonctionnel, l’unité de gestion d’affichage étant apte à afficher lesdites informations sur l’afficheur à destination de l’opérateur.
L’invention a également pour objet un procédé de commande d’au moins un élément fonctionnel d’un aéronef, pilotable entre une pluralité de configurations à l’aide d’une architecture de commande telle que décrite précédemment, le procédé comprenant :
- la génération de la commande principale en fonction d’une action d’un opérateur visant à passer l’au moins un élément fonctionnel dans la configuration cible ;
- la transmission de la commande principale à l’au moins un module de contrôle et à l’au moins un module de confirmation;
- la génération par l’au moins un module de confirmation de la commande de sécurité associée à la commande principale ;
- la transmission de la commande de sécurité à l’au moins un module de contrôle;
- le passage de l’au moins un élément fonctionnel dans la configuration cible lorsque la commande principale correspond à la commande principale attendue de passage de l’au moins un élément fonctionnel dans la configuration cible et lorsque la commande de sécurité correspond à la commande de sécurité attendue de passage de l’au moins un élément fonctionnel dans la configuration cible ;
Le procédé de commande selon l’invention peut comprendre l’une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toute combinaison techniquement envisageable :
- l’unité de gestion d’affichage transmet simultanément la commande principale à l’au moins un module d’interfaçage et à l’au moins un module de confirmation, l’au moins un module d’interfaçage transmettant la commande principale au module de contrôle sur réception de la commande principale, l’au moins un module de confirmation générant la commande de sécurité après une temporisation commençant lorsque l’au moins un module de confirmation reçoit la commande principale ;
- sur réception de la commande principale, l’au moins un module de confirmation génère une demande de confirmation de la commande principale, l’unité de gestion d’affichage affichant la demande de confirmation sur l’afficheur à destination de l’opérateur ;
- l’opérateur actionne au moins un dispositif de confirmation indépendant de l’au moins une interface homme-machine pour confirmer la commande principale lorsque la demande de confirmation correspond à une demande de confirmation de passage de l’au moins un élément fonctionnel dans la configuration cible, l’au moins un module de confirmation générant la commande de sécurité lorsque l’au moins un dispositif de confirmation est actionné pour confirmer la commande principale.
L’invention sera mieux comprise à la lecture de la description qui va suivre donnée uniquement à titre d’exemple, et faite en se référant aux dessins annexés, sur lesquels :
la est une représentation schématique simplifiée d’une portion d’une architecture de commande selon un premier mode de réalisation de l’invention ;
la est une représentation schématique d’un afficheur de l’architecture de commande de la , l’afficheur affichant des informations représentatives de la configuration courante d’au moins un élément fonctionnel de l’aéronef et une demande de confirmation d’une commande principale ;
la est une représentation schématique simplifiée d’un module de contrôle de la portion d’architecture de commande de la ;
la est une représentation schématique simplifiée d’une portion de l’architecture de commande de la , différente de celle illustrée en ;
la est une représentation schématique simplifiée d’une portion d’architecture de commande selon un deuxième mode de réalisation de l’invention.
En référence aux figures 1 à 5, on décrit un aéronef 1 comprenant au moins un élément fonctionnel 3 et une architecture 10 de commande de l’au moins un élément fonctionnel 3.
En particulier, l’aéronef 1 comprend plusieurs éléments fonctionnels 3 et l’architecture 10 commande au moins un de ces éléments fonctionnels 3. Selon un exemple, l’architecture de commande 10 commande un élément fonctionnel 3. Selon un autre exemple, l’architecture de commande 10 commande une pluralité d’éléments fonctionnels 3.
Par soucis de concision, dans ce qui suit, on décrit la commande par l’architecture 10 d’un élément fonctionnel 3 donné parmi d’autres éléments fonctionnels 3.
L’élément fonctionnel 3 est propre à être piloté entre une pluralité de configurations. Parmi la pluralité de configurations, l’élément fonctionnel 3 est propre à être passé depuis une configuration initiale dans une configuration cible. Par « configuration cible », on entend une configuration de l’élément fonctionnel 3, distincte de la configuration initiale, que souhaite atteindre un opérateur de l’aéronef 1, par exemple un pilote de l’aéronef 1, parmi toute les configurations possibles de l’élément fonctionnel 3.
A titre d’exemple qui sera repris plusieurs fois dans la description pour illustrer une implémentation concrète de l’invention, l’élément fonctionnel 3 est un dispositif de transfert de carburant entre un premier réservoir de carburant de l’aéronef 1 et un deuxième réservoir de carburant de l’aéronef 1.
Ici, le dispositif de transfert de carburant est propre à être piloté entre une configuration dans laquelle il empêche le transfert de carburant entre le premier réservoir et le deuxième réservoir de l’aéronef 1, une configuration dans laquelle il autorise le transfert du carburant depuis le premier réservoir vers le deuxième réservoir de l’aéronef 1 et une configuration dans laquelle il autorise le transfert du carburant depuis le deuxième réservoir vers le premier réservoir de l’aéronef 1.
Le dispositif de transfert de carburant comprend par exemple au moins une vanne hydraulique mécanique ou électromécanique autorisant le transfert de carburant dans un sens (premier réservoir vers deuxième réservoir) ou dans l’autre (deuxième réservoir vers premier réservoir), ou empêchant le transfert de carburant entre les réservoirs.
A titre d’exemple, dans la suite, la configuration initiale correspond à la configuration dans laquelle le dispositif de transfert autorise le transfert du carburant depuis le deuxième réservoir vers le premier réservoir de l’aéronef 1 et la configuration cible correspond à la configuration dans laquelle le dispositif de transfert empêche le transfert de carburant entre le premier réservoir et le deuxième réservoir de l’aéronef 1. Ainsi, dans une situation initiale (illustrée sur la comme il sera décrit plus bas), du carburant est transféré depuis le deuxième réservoir vers le premier réservoir de l’aéronef 1. Par exemple, dans la suite de la description, l’opérateur souhaite être dans une situation cible dans laquelle aucun carburant n’est transféré entre les réservoirs.
Au moins une commande de l’élément fonctionnel 3 est, par exemple, critique pour l’aéronef 1. Par « critique », on entend que la fonction réalisée par l’élément fonctionnel 3 en réponse à certaines commandes de l’architecture de commande 10 est essentielle pour conserver l’intégrité de l’aéronef 1 ou la sécurité des passagers présents dans l’aéronef 1. Le transfert de carburant assuré par le dispositif de transfert de carburant est notamment critique.
L’architecture de commande 10 est configuré pour commander l’élément fonctionnel 3 entre ses différentes configurations, et en particulier entre la configuration initiale et la configuration cible. Une seule commande parmi l’ensemble des commandes possibles de l’architecture de commande 10 correspond au passage de l’élément fonctionnel 3 dans la configuration cible. Dans la suite, les commandes possibles différentes de la commande de passage de l’élément fonctionnel 3 vers la configuration cible sont appelées « commandes alternatives ». Les commandes alternatives correspondent, par exemple, à un passage de l’élément fonctionnel 3 vers une autre configuration que la configuration cible ou correspondent au contrôle d’autres éléments fonctionnels 3.
Comme illustré sur la , l’architecture de commande 10 comprend au moins une interface homme-machine 12 actionnable par l’opérateur pour générer une commande, au moins un module 14 de confirmation de la commande, au moins un module 16 de contrôle de l’élément fonctionnel 3 et au moins un module d’interfaçage 18 reliant l’interface homme-machine 12 et l’au moins un module de contrôle 16.
Par soucis de lisibilité des dessins, sur la , seuls une interface homme-machine 12, un module de confirmation 14, un module de contrôle 16 et deux modules d’interfaçage 18 sont illustrés. Le module d’interfaçage 18 illustré en pointillés est, par exemple, confondu avec l’un des deux modules d’interfaçage 18 en traits pleins.
Avantageusement, l’architecture de commande 10 comprend plusieurs interfaces homme-machine 12, plusieurs modules de confirmation 14, plusieurs modules de contrôle 16 et un ou plusieurs modules d’interfaçage 18, notamment pour assurer une certaine redondance afin de palier à l’avarie d’un ou plusieurs de ces interfaces homme-machine 12, modules de confirmations 14, modules de contrôle 16 et modules d’interfaçage 18.
Selon l’exemple illustré sur la , l’architecture de commande 10 comprend quatre interfaces homme-machine 12 et trois modules de confirmations 14 interconnectés. Comme illustré sur la , chaque interface homme-machine 12 est connecté à au moins deux modules de confirmation 14. Ainsi, lorsqu’une interface homme-machine 12 est hors-service, une autre interface homme-machine 12 peut être utilisée en remplacement. Lorsqu’un module de confirmation 14 est hors service, un autre module de confirmation 14 peut être utilisé en remplacement.
Optionnellement, l’architecture de commande 10 comprend en outre au moins un dispositif 20 de confirmation de la commande et au moins un module d’interfaçage auxiliaire 22 reliant le dispositif de confirmation 20 et le module de confirmation 14.
Avantageusement, l’architecture de commande 10 comprend plusieurs dispositifs de confirmation 20, notamment pour assurer une redondance afin de palier à l’avarie d’un dispositif de confirmation 20.
Selon l’exemple illustré sur la , l’architecture de commande 10 comprend deux dispositifs de confirmation 20. Comme illustré sur la , chaque module de confirmation 14 est connecté à au moins deux dispositif de confirmation 20. Lorsqu’un dispositif de confirmation 20 est hors-service, un autre dispositif de confirmation 20 peut être utilisée en remplacement.
L’architecture de commande 10 comprend par exemple une pluralité de modules d’interfaçage 18, notamment pour assurer une redondance afin de palier à l’avarie d’un module d’interfaçage 18. Ainsi, plusieurs modules d’interfaçage 18 relient l’interface homme-machine 12 et le module de contrôle 16 entre eux ainsi que le module de confirmation 14 et le module de contrôle 16 entre eux.
Dans ce qui suit, par soucis de concision, on décrit une seule interface homme-machine 12, un seul module de confirmation 14, un seul module de contrôle 16, un seul module d’interfaçage 18, un seul dispositif de confirmation 20 et un seul module d’interfaçage auxiliaire 22. Il est toutefois entendu que pour chacun de ces éléments de l’architecture 10, les autres éléments appelés pareillement sont identiques et assurent les mêmes fonctions ou des fonctions similaires.
Ainsi, il est entendu que dans l’exemple illustré sur la , dans lequel l’architecture de commande 10 comprend deux modules d’interfaçage 18, chacun de ces deux modules d’interfaçage 18 agit de manière identique ou au moins similaire au sein de l’architecture de commande 10.
En référence à la , l’interface homme-machine 12 comporte un afficheur 28 et une unité 30 de gestion d’affichage sur l’afficheur 28 (l’unité de gestion d’affichage 30 en pointillés est confondu avec l’unité de gestion d’affichage 30 en traits pleins).
L’afficheur 28 est avantageusement un écran tactile, avec lequel peut agir l’opérateur directement par le toucher.
L’unité de gestion d’affichage 30 comprend par exemple au moins un processeur et au moins une mémoire contenant des modules logiciels propres à être exécutés par le processeur.
L’unité de gestion d’affichage 30 est avantageusement apte à afficher des informations représentatives de la configuration courante de l’élément fonctionnel 3 sur l’afficheur 28 à destination de l’opérateur. Ces informations indiquent à l’opérateur dans quelle configuration est l’élément fonctionnel 3. L’affichage de ces informations permet notamment à l’opérateur de prendre connaissance de la configuration courante de l’élément fonctionnel 3 et, après qu’il ait initié une commande de l’élément fonctionnel 3, de s’assurer que la fonction correspondante ait été réalisée par l’élément fonctionnel 3.
Sur la , un exemple d’image affichée par l’écran tactile est représenté. L’image illustre l’exemple dans lequel l’élément fonctionnel 3 est le dispositif de transfert de carburant. L’afficheur 28 affiche une information indiquant que la configuration courante de l’élément fonctionnel 3, c’est-à-dire le dispositif de transfert de carburant, est la configuration dans laquelle le dispositif de transfert autorise le transfert du carburant depuis le deuxième réservoir (représenté par un élément graphique 102) vers le premier réservoir (représenté par un élément graphique 104). Grâce à cette information, l’opérateur prend connaissance du transfert de carburant depuis le deuxième réservoir vers le premier réservoir.
L’unité de gestion d’affichage 30 est configuré pour générer une commande principale en fonction d’une action de l’opérateur visant à passer l’élément fonctionnel 3 dans la configuration cible. L’action de l’opérateur est par exemple un pointage sur une portion spécifique de l’écran tactile à l’aide d’un ou plusieurs de ses doigts ou d’un organe de pointage dédié.
La commande principale générée par l’unité 30 dépend de l’action de l’opérateur. En particulier, la commande principale dépend de la localisation de la portion spécifique de l’écran tactile pointé par l’opérateur, de la durée du pointage, de la direction de déplacement du pointage lorsque l’opérateur déplace le pointage au cours du temps et/ou du nombre de pointages effectués simultanément par l’opérateur.
Sur l’exemple de la , une portion 106 de l’écran tactile est destinée à être pointée par l’opérateur lorsque celui-ci souhaite passer l’élément fonctionnel 3 vers la configuration cible.
Dans des conditions nominales de fonctionnement de l’unité de gestion d’affichage 30, l’unité de gestion d’affichage 30 est configurée pour générer une commande principale correspondant au passage de l’élément fonctionnel 3 dans la configuration cible lorsque la portion 106 est pointée.
Les conditions nominales de fonctionnement de l’unité de gestion d’affichage 30 sont à distinguer des conditions d’avaries de l’unité de gestion d’affichage 30 dans laquelle la commande principale correspondant au passage de l’élément fonctionnel 3 dans la configuration cible ne serait pas générée malgré un pointage de la portion 106 par l’opérateur ou une commande principale différente du passage de l’élément fonctionnel 3 dans la configuration cible serait générée malgré un pointage de la portion 106 par l’opérateur.
La commande principale comprend, par exemple, un multiplet principal comportant N bits, N étant un entier supérieur à 8, notamment égal à 16. En d’autres termes, le multiplet principal est un multiplet de N bits, c’est-à-dire un multiplet ayant une longueur de N bits.
L’unité de gestion d’affichage 30 est avantageusement configurée pour transmettre la commande principale au module de contrôle 16 par l’intermédiaire du module d’interfaçage 18 et pour transmettre la commande principale au module de confirmation 14. En particulier, l’unité de gestion d’affichage 30 est configuré pour transmettre simultanément la commande principale au module d’interfaçage 18 et au module de confirmation 14.
Avantageusement, comme il sera décrit plus bas, l’unité de gestion d’affichage 30 est apte à afficher une demande de confirmation de la commande principale sur l’afficheur 28 à destination de l’opérateur. L’affichage de cette demande de confirmation permet à l’opérateur de s’assurer que la commande principale correspond effectivement à la réalisation de la fonction qu’il souhaite, c’est-à-dire ici le passage de l’élément fonctionnel 3 dans la configuration cible.
Sur l’exemple de la , un élément graphique dédié 108 est destiné à être affiché sur l’afficheur 28 pour communiquer la demande de confirmation à l’opérateur.
Le module de confirmation 14 est configuré pour générer une commande de sécurité associée à la commande principale générée par l’unité de gestion d’affichage 30.
Le module de confirmation 14 est indépendant de l’interface homme-machine 12. Par « indépendant », on entend que le module de confirmation 14 présente une électronique ou une mécanique distincte de celle de l’interface homme-machine 12, de sorte qu’une éventuelle avarie de l’interface homme-machine 12 n’impacte pas le module de confirmation 14 et inversement.
Notamment, la commande de sécurité comprend un multiplet de sécurité comportant M bits, M étant par exemple un entier supérieur à 8, par exemple égal à N, notamment égal à 16. En d’autres termes, le multiplet de sécurité est un multiplet de M bits, c’est-à-dire un multiplet ayant une longueur de M bits.
Il est à noter que les valeurs de N et M sont adaptables selon les besoins en fonction, par exemple, de l’architecture électronique des modules 14, 16, 18, du degré de sécurité désiré, du degré de complexité de l’architecture de commande 10 souhaité.
Avantageusement, la commande de sécurité est différente de la commande principale. En particulier, le multiplet de sécurité est différent du multiplet principal. Autrement dit, le multiplet de sécurité et le multiplet principal correspondent à des combinaisons différentes de bits.
Par exemple, le module de confirmation 14 génère la commande de sécurité après une temporisation commençant lorsque le module de confirmation 14 reçoit la commande principale. Par exemple, la temporisation est comprise entre 500 ms et 15 s. La temporisation est par exemple supérieure ou égale à un temps minimum, ce qui assure un certain décalage d’un envoi vers le module de contrôle 16 de la commande de sécurité chronologiquement par rapport à l’envoi de la commande principale vers le module de contrôle 16.
En particulier, comme il sera décrit plus bas, le module de confirmation 14 génère la commande de sécurité lorsque le dispositif de confirmation 20 est actionné pour confirmer la commande principale. La temporisation est alors supérieure ou égale à un délai nécessaire au pilote pour actionner le dispositif de confirmation 20 le cas échéant.
Avantageusement, le module de confirmation 14 est configuré, après réception de la commande principale, pour générer la demande de confirmation de la commande principale. En particulier, la demande de confirmation comprend une chaîne de caractères associée à la commande principale. Le module de confirmation 14 est en outre par exemple configuré pour transmettre la demande de confirmation à l’unité de gestion d’affichage 30 afin que celui-ci l’affiche sur l’afficheur 28.
En référence à la , l’élément graphique 108 correspondant à la demande de confirmation comprend la chaîne de caractère. Dans l’exemple de la , lorsque la commande principale correspond au passage de l’élément fonctionnel 3 dans la configuration cible, la chaîne de caractère correspond à un message comme par exemple «X-TK2-1 OFF Confirm ?» qui retranscrit une demande de confirmation de passage de l’élément fonctionnel 3 dans la configuration cible. Lorsque la commande principale diffère de la commande correspondant au passage de l’élément fonctionnel 3 dans la configuration cible, une chaîne de caractères correspondant à un autre message est affichée. Cette chaine de caractère correspond par exemple alors au passage de l’élément fonctionnel 3 dans une configuration différente de la configuration cible, au contrôle d’un élément fonctionnel 3 distinct, ou à aucun contrôle tangible d’un élément fonctionnel 3 quelconque de l’aéronef 1. L’opérateur prend alors conscience que la commande principale ne correspond pas au passage de l’élément fonctionnel 3 dans la configuration cible. Ceci peut découler soit du fait d’une action incorrecte de l’opérateur, par exemple d’un pointage incorrect sur l’écran tactile correspondant à une commande alternative, soit d’une avarie de l’unité de gestion d’affichage 30 qui n’a pas généré la commande principale adéquate malgré une action correcte de l’opérateur.
Le module de contrôle 16 est apte à passer l’élément fonctionnel 3 entre ses configurations. Pour ce faire, le module de contrôle 16 comprend tout élément électronique, mécanique, ou électromécanique nécessaire pour réaliser le contrôle de l’élément fonctionnel 3.
Par exemple, dans le cas où l’élément fonctionnel 3 est un dispositif de transfert de carburant, le module de contrôle 16 comprend un organe mécanique ou électromécanique apte à ouvrir ou fermer l’au moins une vanne du dispositif de transfert de carburant.
En particulier, le module de contrôle 16 passe l’élément fonctionnel 3 dans la configuration cible lorsque la commande principale correspond à une commande principale attendue de passage de l’élément fonctionnel 3 dans la configuration cible et lorsque la commande de sécurité correspond à une commande de sécurité attendue de passage de l’élément fonctionnel 3 dans la configuration cible.
Avantageusement, la commande principale attendue de passage de l’élément fonctionnel 3 dans la configuration cible comprend un multiplet principal attendu de passage de l’élément fonctionnel 3 dans la configuration cible comportant N bits. En d’autres termes, le multiplet principal attendu de passage de l’élément fonctionnel 3 dans la configuration cible est un multiplet de N bits, c’est-à-dire un multiplet ayant une longueur de N bits.
Encore avantageusement, la commande de sécurité attendue de passage de l’élément fonctionnel 3 dans la configuration cible comprend un multiplet de sécurité attendu de passage de l’élément fonctionnel 3 dans la configuration cible comportant M bits. En d’autres termes, le multiplet de sécurité attendu de passage de l’élément fonctionnel 3 dans la configuration cible est un multiplet de M bits, c’est-à-dire un multiplet ayant une longueur de M bits.
Selon un exemple, la commande de sécurité attendue de passage de l’élément fonctionnel 3 dans la configuration cible est différente de la commande principale attendue de passage de l’élément fonctionnel 3 dans la configuration cible. En particulier, le multiplet de sécurité attendu de passage de l’élément fonctionnel 3 dans la configuration cible est différent du multiplet principal attendu de passage de l’élément fonctionnel 3 dans la configuration cible. Autrement dit, le multiplet de sécurité attendu et le multiplet principal attendu de passage de l’élément fonctionnel 3 dans la configuration cible correspondent à des combinaisons différentes de bits.
Par exemple, au moins K bits sont distincts entre le multiplet principal attendu de passage de l’élément fonctionnel 3 dans la configuration cible et le multiplet de sécurité attendu de passage de l’élément fonctionnel 3 dans la configuration cible, K étant un entier inférieur ou égal au minimum entre N et M, K étant notamment supérieur ou égal à 4. Notamment, dans le cas ou N est égal à M, pour chacun de K bits du multiplet principal attendu de passage de l’élément fonctionnel 3 dans la configuration cible, situé à une position p dudit multiplet principal attendu, p ayant pour valeur un entier entre 1 et N, le bit en position p du multiplet de sécurité attendu de passage de l’élément fonctionnel 3 dans la configuration cible est distinct dudit bit dudit multiplet principal attendu.
Le module de contrôle 16 est configuré pour recevoir successivement dans le temps une première commande et une deuxième commande depuis le module d’interfaçage 18. Comme il sera décrit plus en détails ci-dessous, la première commande correspond à la commande principale.
Lors d’un fonctionnement nominal du module d’interfaçage 18, la deuxième commande correspond à la commande de sécurité. En effet, le module de contrôle 16 est destiné à recevoir la commande de sécurité après un temps au moins égal à la temporisation. Ceci est notamment dû au fait que la commande de sécurité soit générée après la temporisation. Lors d’une avarie du module d’interfaçage 18, il est possible que la deuxième commande corresponde, comme la première commande, à la commande principale.
Le module de contrôle 16 comprend, par exemple, un champs mémoire principal 34 configuré pour stocker la première commande, un champs mémoire de sécurité 36 configuré pour stocker la deuxième commande, une mémoire 38, une unité de vérification 40 et une unité 42 de contrôle de l’élément fonctionnel 3.
Optionnellement, le module de contrôle 16 comprend, en outre, une unité 44 de gestion des champs mémoires 34, 36.
Avantageusement, le module de contrôle 16 comprend un unique champs mémoire principal 34 et un unique champs mémoire de sécurité 36.
Ici, le champs mémoire principal 34 ne peut stocker qu’une seule et unique commande principale à un instant donné, par exemple un seul et unique multiplet principal. En d’autres termes, à un instant donné, le champs mémoire principal 34 est configuré pour stocker N bits.
Ici encore, le champs mémoire de sécurité 36 ne peut stocker qu’une seule et unique commande de sécurité à un instant donné, par exemple un seul et unique multiplet de sécurité. En d’autres termes, à un instant donné, le champs mémoire de sécurité 36 est configuré pour stocker M bits.
Ainsi, à un instant donné, le module de contrôle 16 ne peut traiter qu’une seule et unique commande.
La mémoire 38 du module de contrôle 16 stocke la commande principale attendue et la commande de sécurité attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et les associe respectivement au passage de l’élément fonctionnel 3 dans la configuration cible. Par exemple, la mémoire 38 associe respectivement le multiplet principal attendu et le multiplet de sécurité attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible au passage de l’élément fonctionnel 3 dans la configuration cible.
Avantageusement, la mémoire 38 stocke également les commandes principales attendues et les commandes de sécurité attendues correspondant à des passages de l’élément fonctionnel 3 dans des configurations différentes de la configuration cible et les associe respectivement avec les passages de l’élément fonctionnel 3 dans lesdites configurations différentes correspondantes. Par exemple, la mémoire 38 associe respectivement des multiplets principaux attendus et des multiplets de sécurité attendus correspondant à des passages de l’élément fonctionnel 3 dans des configurations différentes de la configuration cibles et les associe respectivement avec les passages de l’élément fonctionnel 3 dans lesdites configurations différentes correspondantes.
Avantageusement, au moins K bits sont distincts entre le multiplet principal attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et tout multiplet principal attendu correspondant à une commande alternative différant du passage de l’élément fonctionnel 3 dans la configuration cible.
Par exemple, dans le cas où N est égal à M, pour tout multiplet principal attendu correspondant à une commande alternative, pour chacun de K bits du multiplet principal attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible situé à une position p dudit multiplet principal attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible, le bit en position p dudit multiplet principal attendu correspondant à ladite commande alternative est distinct dudit bit du multiplet principal attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible.
Encore avantageusement, au moins K bits sont distincts entre le multiplet de sécurité attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et tout multiplet de sécurité attendu correspondant à une commande alternative différant du passage de l’élément fonctionnel 3 dans la configuration cible.
Par exemple, dans le cas où N est égal à M, pour tout multiplet de sécurité attendu correspondant à une commande alternative, pour chacun de K bits du multiplet de sécurité attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible situé à une position p dudit multiplet de sécurité attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible, le bit en position p dudit multiplet de sécurité attendu correspondant à ladite commande alternative est distinct dudit bit du multiplet de sécurité attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible.
Ainsi, les multiplets correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et les multiplets correspondant à des commandes alternatives sont suffisamment différents, de sorte à minimiser le risque que par erreur de codage de quelques bits, un multiplet correspondant à une commande alternative soit confondu avec un multiplet correspondant au passage de l’élément fonctionnel 3 dans la configuration cible.
Lorsque simultanément la première commande stockée dans le champs mémoire principal 34 correspond à la commande principale attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et la deuxième commande stockée dans le champs mémoire de sécurité 36 correspond à la commande de sécurité attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible, l’unité de vérification 40 génère une autorisation de passage de l’élément fonctionnel 3 vers la configuration cible.
Pour ce faire, l’unité de vérification 40 est connectée à la mémoire 38 et est configurée dans un premier temps pour identifier si la première commande stockée dans le champs mémoire principal 34 correspond à un passage de l’élément fonctionnel 3 dans une des configurations possibles de l’élément fonctionnel 3.
Si la première commande stockée dans le champs mémoire principal 34 ne correspond à aucun passage de l’élément fonctionnel 3 dans une des configurations possibles de l’élément fonctionnel 3, aucune autorisation de passage de l’élément fonctionnel 3 dans l’une quelconque des configurations possibles n’est générée.
Si la première commande stockée dans le champs mémoire principal 34 correspond au passage de l’élément fonctionnel 3 dans une des configurations possibles de l’élément fonctionnel 3, dans un deuxième temps, l’unité de vérification 40 identifie si la deuxième commande stockée dans le champs mémoire de sécurité 36 correspond également au passage de l’élément fonctionnel 3 dans ladite configuration possible de l’élément fonctionnel 3.
Lorsque la première commande stockée dans le champs mémoire principal 34 ne correspond pas à la commande principale attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible ou lorsque la deuxième commande stockée dans le champs mémoire de sécurité 36 ne correspond pas à la commande de sécurité attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible, aucune autorisation de passage de l’élément fonctionnel 3 dans la configuration cible n’est générée.
Lors d’une avarie de l’unité de gestion d’affichage 30 ou du module d’interfaçage 18, il est possible que la commande principale soit transmise deux fois successivement au module de contrôle 16 dans un intervalle de temps inférieur à la temporisation. Le champs mémoire principal 34 et le champ mémoire de sécurité 36 stockent alors tous deux la commande principale. Etant donné qu’au moins K bits sont distincts entre le multiplet principal attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et le multiplet de sécurité attendu correspondant au passage de l’élément fonctionnel 3 dans la configuration cible, le risque qu’une autorisation de passage de l’élément fonctionnel 3 dans la configuration cible soit générée suite à une telle avarie est considérablement réduit.
L’unité de vérification 40 est en outre configurée pour transmettre l’autorisation de passage à l’unité de contrôle 42.
L’unité de contrôle 42 est configurée pour piloter l’élément fonctionnel 3 entre ses différentes configurations.
L’unité de contrôle 42 comprend avantageusement une zone mémoire (non-illustrée) propre à stocker les informations représentatives de la configuration courante de l’élément fonctionnel 3.
Lorsque l’unité de contrôle 42 reçoit l’autorisation de passage de l’élément fonctionnel 3 dans la configuration cible, elle passe l’élément fonctionnel 3 dans la configuration cible.
L’unité de contrôle 42 génère alors des informations représentatives de la configuration courante de l’élément fonctionnel 3, mises à jour et les stocke dans sa zone mémoire en y écrasant les informations présentes.
L’unité 44 de gestion des champs mémoires est avantageusement apte à supprimer les commandes stockées dans les champs mémoires. En particulier, lorsqu’au bout d’un temps prédéfini commençant lorsque le champs mémoire principal 34 stocke la première commande, aucune deuxième commande n’est reçue par le module de contrôle 16, l’unité 44 supprime la commande principale stockée dans le champs mémoire principal 34. La commande principale générée suite à l’action de l’opérateur sur l’interface homme-machine 12 n’est alors pas prise en compte par l’architecture de commande 10. Par exemple, le temps prédéfini est compris entre 1 s et 15 s.
Avantageusement, lorsqu’après un délai commençant au moment où le champs mémoire principale 34 reçoit la première commande est supérieur au temps prédéfini et lorsque le module de contrôle 16 reçoit une commande subséquente, le champs mémoire principal 34 stocke ladite commande subséquente en remplacement de ladite première commande.
Ainsi, comme explicité ci-dessus, le module de contrôle 16 est configuré pour générer les informations représentatives de la configuration courante de l’élément fonctionnel 3. Par exemple, après avoir passé l’élément fonctionnel 3 dans la configuration cible, l’unité de contrôle 42 génère des informations indiquant que la configuration courante de l’élément fonctionnel 3 est désormais la configuration cible. En variante ou potentiellement en complément, le module de contrôle 16 comprend par exemple un capteur (non-illustré), connecté à l’unité de contrôle 42, configuré pour déterminer la configuration courante de l’élément fonctionnel 3. Dans le cas où l’élément fonctionnel 3 est le dispositif de transfert de carburant, le capteur détermine par exemple si la ou chaque vanne du dispositif de transfert de carburant est ouverte ou fermée.
Le module d’interfaçage 18 est interposé entre l’interface homme-machine 12 et le module de contrôle 16 et également entre le module de confirmation 14 et le module de contrôle 16.
Le module d’interfaçage 18 est configuré pour transmettre la commande principale, générée par l’unité de gestion d’affichage 30, et la commande de sécurité, générée par le module de confirmation 14, au module de contrôle 16. En particulier, le module d’interfaçage 18 est configuré, sur réception de la commande principale, pour transmettre la commande principale au module de contrôle 16. En d’autres termes, lors d’un fonctionnement nominal, la réception de la commande principale par le module de contrôle 16 est réalisée antérieurement dans le temps par rapport à la réception de la commande de sécurité par le module de contrôle 16.
Le module d’interfaçage 18 est en outre configuré pour transmettre les informations, générées par le module de contrôle 16, à l’unité de gestion d’affichage 30.
Le dispositif de confirmation 20 est indépendant de l’interface homme-machine 12. Par « indépendant », on entend que le dispositif de confirmation 20 présente une électronique ou une mécanique distincte de celle de l’interface homme-machine 12, de sorte qu’une éventuelle avarie de l’interface homme-machine 12 n’impacte pas le dispositif de confirmation 20 et inversement.
Le dispositif de confirmation 20 est propre à être actionné par l’opérateur pour confirmer la commande principale lorsque la demande de confirmation, affichée sur l’afficheur 28, correspond à une demande de confirmation de passage de l’élément fonctionne 3 dans la configuration cible.
Le dispositif de confirmation 20 comprend par exemple un bouton disposé dans un cockpit de l’aéronef 1.
La temporisation après laquelle le module de confirmation 14 génère la commande de sécurité correspond au moins au temps nécessaire à l’opérateur pour prendre connaissance de la demande de confirmation et actionner le dispositif de confirmation 20.
Avantageusement, le dispositif de confirmation 20 est configuré pour générer une confirmation lorsqu’il est actionné pour confirmer la commande principale. La confirmation comprend par exemple un unique bit de confirmation. Avantageusement, lorsqu’au bout du temps prédéfini, le dispositif de confirmation 20 n’a pas été actionné, la commande principale est infirmée, c’est-à-dire que la commande principale générée suite à l’action de l’opérateur sur l’interface homme-machine 12 n’est alors pas prise en compte par l’architecture de commande 10.
Le module d’interfaçage auxiliaire 22 est configuré pour transmettre la confirmation au module de confirmation 14. Selon un exemple, le module d’interfaçage auxiliaire 22 est confondu avec le module d’interfaçage 18.
Dans ce qui suit, on décrit un procédé de commande de l’élément fonctionnel 3 entre une pluralité de configurations à l’aide de l’architecture de commande 10. Ici, l’opérateur souhaite passer l’élément fonctionnel 3 dans une configuration cible.
Par exemple, initialement, l’unité de gestion d’affichage 30 affiche à destination de l’opérateur les informations représentatives de la configuration courante de l’élément fonctionnel 3. L’opérateur consulte l’afficheur 28 pour prendre connaissance des informations. Les informations indiquent que l’élément fonctionnel 3 est dans une configuration courante différente de la configuration cible.
Premièrement, une commande principale est générée en fonction d’une action de l’opérateur visant à passer l’élément fonctionnel 3 dans la configuration cible. Pour ce faire, dans l’exemple de la où l’afficheur 28 est un écran tactile, l’opérateur pointe la portion 106 de l’écran tactile.
En particulier, l’unité de gestion d’affichage 30 génère la commande principale.
Ensuite, la commande principale est transmise au module de contrôle 16, notamment par l’intermédiaire du module d’interfaçage 18, ainsi qu’au module de confirmation 14. En particulier, l’unité de gestion d’affichage 30 transmet la commande principale simultanément au module d’interfaçage 18 et au module de confirmation 14. Notamment, sur réception de la commande principale, le module d’interfaçage 18 transmet la commande principale au module de contrôle 16.
Sur réception de la commande principale, le module de confirmation 14 génère une demande de confirmation de la commande principale. Le module de confirmation 14 transmet ensuite la demande de confirmation à l’unité de gestion d’affichage 30 qui, notamment, l’affiche à destination de l’opérateur sur l’afficheur 28.
En particulier, la chaîne de caractères de la demande de confirmation est affichée sur l’afficheur 28. En lisant la chaîne de caractères de la demande de confirmation, l’opérateur reconnait si la demande de confirmation correspond à une demande de confirmation de passage de l’élément fonctionnel 3 dans la configuration cible ou non.
Lorsque la demande de confirmation ne correspond pas à une demande de confirmation de passage de l’élément fonctionnel 3 dans la configuration cible, l’opérateur prend conscience que la commande principale générée ne correspond pas au passage de l’élément fonctionnel 3 dans la configuration cible.
Par contre, lorsque la demande de confirmation correspond à une demande de confirmation de passage de l’élément fonctionnel 3 dans la configuration cible, l’opérateur actionne le dispositif de confirmation 20 pour confirmer la commande principale.
Après la transmission de la commande principale au module de confirmation 14, notamment lorsque le dispositif de confirmation 20 est actionné pour confirmer la commande principale, le module de confirmation 14 génère la commande de sécurité associée à la commande principale.
En particulier, le module de confirmation 14 génère la commande de sécurité après une temporisation commençant lorsqu’il reçoit la commande principale.
La commande de sécurité est alors transmise au module de contrôle 16.
Lorsque la commande principale correspond à la commande principale attendue de passage de l’élément fonctionnel 3 dans la configuration cible et lorsque la commande de sécurité correspond à la commande de sécurité attendue de passage de l’élément fonctionnel 3 dans la configuration cible, l’élément fonctionnel 3 est passé dans la configuration cible.
En particulier, le module de contrôle 16 reçoit successivement dans le temps une première commande et une deuxième commande. Le champs mémoire principal 34 du module de contrôle 16 stocke la première commande. Le champs mémoire de sécurité 36 du module de contrôle 16 stocke la deuxième commande.
L’unité de vérification 40 génère l’autorisation de passage de l’élément fonctionnel 3 dans la configuration cible lorsque simultanément la première commande stockée dans le champs mémoire principal 34 correspond à la commande principale attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible et la deuxième commande stockée dans le champs mémoire de sécurité 36 correspond à la commande de sécurité attendue correspondant au passage de l’élément fonctionnel 3 dans la configuration cible.
Après avoir généré l’autorisation de passage de l’élément fonctionnel 3 dans la configuration cible, l’unité de vérification 40 transmet ladite autorisation de passage à l’unité de contrôle 42.
L’unité de contrôle 42 passe alors l’élément fonctionnel 3 dans la configuration cible. L’unité de contrôle 42 génère alors les informations représentatives de la configuration courante de l’élément fonctionnel 3, mises à jour et les stocke dans sa zone mémoire en y écrasant les informations présentes.
Avantageusement, si au bout d’un temps prédéfini, commençant lors du stockage de la première commande dans le champs mémoire principal 34, aucune deuxième commande n’est reçue par le module de contrôle 16, l’unité 44 de gestion des champs mémoires vide le champs mémoire principal 34.
Avantageusement, le module de contrôle 16 génère les informations représentatives de la configuration courante de l’élément fonctionnel 3. En particulier, comme explicité ci-dessus, l’unité de contrôle 42 génère les informations.
Ces informations mises à jour sont alors transmises à l’unité de gestion d’affichage 30.
L’opérateur peut alors consulter l’afficheur 28 pour évaluer si l’action qu’il a réalisée sur l’interface homme-machine 12 a abouti à un passage de l’élément fonctionnel 3 dans sa configuration cible. Alternativement ou en complément, l’opérateur peut consulter un instrument au sein du cockpit lui indiquant la configuration de l’élément fonctionnel 3.
Selon un deuxième mode de réalisation de l’invention illustré sur la , le dispositif de confirmation 20 est confondu avec l’interface homme-machine 12 et l’architecture 10 est dépourvue de module d’interfaçage auxiliaire 22.
Ainsi, lorsque la demande de confirmation correspond à une demande de confirmation de passage de l’élément fonctionnel 3 dans la configuration cible, pour confirmer la commande principale, l’opérateur actionne l’interface homme-machine 12.
Par exemple, dans le cas où l’afficheur 28 est un écran tactile, une portion de l’écran tactile est destinée à être pointée par l’opérateur lorsque celui-ci souhaite confirmer la commande principale.
Selon un mode de réalisation non illustré, l’architecture de commande 10 est dépourvue de dispositif de confirmation 20 et de module d’interfaçage auxiliaire 22.
Aucune demande de confirmation n’est alors générée par le module de confirmation 14.
La temporisation après laquelle le module de confirmation génère la commande de sécurité est alors prédéfinie.
Selon une variante, l’afficheur 28 est un écran non-tactile. L’opérateur agit alors avec l’afficheur 28 par l’intermédiaire, par exemple, d’une souris.
Selon une autre variante, l’interface homme-machine 12 comporte un périphérique d’entrée audio, tel qu’un microphone. L’action de l’opérateur visant à passer l’élément fonctionnel 3 dans la configuration cible est alors une commande vocale.
Selon encore une autre variante, le dispositif de confirmation 20 est actionnable entre plusieurs configurations dont l’une correspond à une confirmation de la commande principale et une autre correspond à une infirmation de la commande principale.
Selon encore une autre variante, le module d’interfaçage 18 illustré en pointillés sur la est un module supplémentaire au deux modules d’interfaçage 18, illustrés en traits pleins.
Dans tout ce qui précède, l’architecture de commande 10 comprend au moins un calculateur comportant un processeur et au moins une mémoire contenant des modules logiciels susceptibles d’être exécutés par le processeur. Dans ce cadre, les modules de confirmation 14, de contrôle 16, d’interfaçage 18 et d’interfaçage auxiliaire 22 sont des modules logiciels stockés dans la mémoire. En variante, au moins une partie des modules sont réalisés sous forme de circuits électroniques dédiés.
Grâce à l’invention, les risques de réalisation d’une fonction non-souhaitée par l’architecture de commande 10, c’est-à-dire la prise en compte par le module de contrôle 16 d’une commande ne correspondant pas à une commande souhaitée par l’opérateur sont considérablement réduits. Grâce à l’invention, un tel risque est avantageusement inférieur à 10-7. Cette probabilité faible d’erreur est notamment atteinte grâce au contrôle simultané de correspondance entre la commande principale, générée en fonction d’une action de l’opérateur, et la commande principale attendue de passage de l’élément fonctionnel 3 dans la configuration cible et entre la commande de sécurité, générée en fonction de la commande principale, et la commande de sécurité attendue de passage de l’élément fonctionnel 3 dans la configuration cible.
Ce risque est davantage diminué grâce aux caractéristiques suivantes :
- une demande de confirmation sous forme de champ textuel est transmise à l’opérateur. Ceci permet à l’opérateur de vérifier si la commande principale correspond à la commande qu’il souhaite effectuer. Lorsque l’opérateur se rend compte, par la lecture du champ textuel, que la commande principale ne correspond pas à la commande qu’il souhaite effectuer, il peut supposer que son action vis-à-vis de l’interface homme-machine était erronée ou que l’unité de gestion d’affichage présente une avarie ;
- la commande principale est confirméeviale dispositif de confirmation qui est indépendant de l’interface homme-machine et qui est simple (la confirmation comprend un unique bit de confirmation). La confirmation est ainsi réalisée de manière sécurisé, sans être impactée par une éventuelle avarie de l’interface homme-machine ;
- la commande principale et la commande de sécurité sont différentes, en particulier les multiplets principal et de sécurité sont différents. Ceci permet de réduire le risque pour le module de contrôle de les confondre ;
- la commande principale attendue, respectivement la commande de sécurité attendue, correspondant au passage de l’élément fonctionnel dans la configuration cible est différente de toute commande principale attendue, respectivement toute commande de sécurité attendue, correspondant à une commande alternative différent du passage de l’élément fonctionnel dans la configuration cible. Ceci permet de réduire le risque pour le module de contrôle d’autoriser par erreur, le passage de l’élément fonctionnel vers une configuration autre que celle de la configuration cible ; et
- les informations représentatives de la configuration courante de l’élément fonctionnel sont affichées à destination de l’opérateur. L’opérateur peut suivre l’évolution de la configuration courante de l’élément fonctionnel suite à son action sur l’interface homme-machine pour vérifier le passage de l’élément fonctionnel vers la configuration cible.

Claims (14)

  1. Architecture (10) de commande d’au moins un élément fonctionnel (3) d’un aéronef (1) pilotable entre une pluralité de configurations, l’architecture (10) comprenant :
    - au moins une interface homme-machine (12) comportant un afficheur (28) et une unité (30) de gestion d’affichage sur l’afficheur (28), l’unité de gestion d’affichage (30) étant configurée pour générer une commande principale en fonction d’une action d’un opérateur visant à passer l’au moins un élément fonctionnel (3) dans une configuration cible ;
    - au moins un module (16) de contrôle de l’au moins un élément fonctionnel (3) apte à piloter l’au moins un élément fonctionnel (3) entre ses configurations ;
    - au moins un module d’interfaçage (18) configuré pour transmettre la commande principale à l’au moins un module de contrôle (16) ;
    caractérisé en ce que l’architecture de commande (10) comprend, en outre, au moins un module (14) de confirmation de la commande principale, configuré pour générer une commande de sécurité associée à la commande principale,
    l’au moins un module d’interfaçage (18) étant configuré pour transmettre la commande de sécurité à l’au moins un module de contrôle (16),
    l’au moins un module de contrôle (16) passant l’au moins un élément fonctionnel (3) dans la configuration cible lorsque la commande principale correspond à une commande principale attendue de passage de l’au moins un élément fonctionnel (3) dans la configuration cible et lorsque la commande de sécurité correspond à une commande de sécurité attendue de passage de l’au moins un élément fonctionnel (3) dans la configuration cible.
  2. Architecture de commande (10) selon la revendication 1, dans lequel la commande principale comprend un multiplet principal, la commande principale attendue comprend un multiplet principal attendu, la commande de sécurité comprend un multiplet de sécurité et la commande de sécurité attendue comprend un multiplet de sécurité attendu,
    le multiplet principal et le multiplet principal attendu comprenant respectivement N bits, le multiplet de sécurité et le multiplet de sécurité attendu comprenant respectivement M bits,
    N et M étant des entiers supérieurs à 8, N et M étant par exemple égaux entre eux, notamment respectivement égaux à 16.
  3. Architecture de commande (10) selon la revendication 2, dans lequel :
    - au moins K bits sont distincts entre le multiplet principal attendu et le multiplet de sécurité attendu ;
    - au moins K bits sont distincts entre le multiplet principal attendu correspondant au passage de l’au moins un élément fonctionnel (3) dans la configuration cible et tout multiplet principal attendu correspondant à une commande alternative différant du passage de l’au moins un élément fonctionnel (3) dans la configuration cible ;
    - au moins K bits sont distincts entre le multiplet de sécurité attendu correspondant au passage de l’au moins un élément fonctionnel (3) dans la configuration cible et tout multiplet de sécurité attendu correspondant à une commande alternative différant du passage de l’au moins un élément fonctionnel (3) dans la configuration cible ;
    K étant un entier inférieur ou égal au minimum entre N et M, K étant notamment supérieur ou égal à 4.
  4. Architecture de commande (10) selon l’une quelconque des revendications précédentes, dans laquelle l’unité de gestion d’affichage (30) est configurée pour transmettre simultanément la commande principale à l’au moins un module d’interfaçage (18) et à l’au moins un module de confirmation (14), l’au moins un module d’interfaçage (18) étant configuré, sur réception de la commande principale, pour transmettre la commande principale à l’au moins un module de contrôle (16), l’au moins un module de confirmation (14) générant la commande de sécurité après une temporisation commençant lorsque l’au moins un module de confirmation (14) reçoit la commande principale.
  5. Architecture de commande (10) selon la revendication 4, dans lequel l’au moins un module de contrôle (16) est configuré pour recevoir successivement dans le temps une première commande et une deuxième commande, l’au moins un module de contrôle (16) comprenant :
    - un champs mémoire principal (34) configuré pour stocker la première commande ;
    - un champs mémoire de sécurité (36) configuré pour stocker la deuxième commande ;
    - une unité de vérification (40) générant une autorisation de passage de l’au moins un élément fonctionnel (3) dans la configuration cible lorsque simultanément la première commande stockée dans le champ mémoire principal (34) correspond à la commande principale attendue correspondant au passage de l’au moins un élément fonctionnel (3) dans la configuration cible et la deuxième commande stockée dans le champs mémoire de sécurité (36) correspond à la commande de sécurité attendue correspondant au passage de l’au moins un élément fonctionnel (3) dans la configuration cible, l’unité de vérification (40) étant configurée pour transmettre l’autorisation de passage à une unité de contrôle (42) ; et
    - l’unité de contrôle (42), passant l’au moins un élément fonctionnel (3) dans la configuration cible lorsqu’elle reçoit l’autorisation de passage de l’au moins un élément fonctionnel (3) dans la configuration cible.
  6. Architecture de commande (10) selon l’une quelconque des revendications précédentes, dans lequel l’au moins un module de confirmation (14) est configuré, sur réception de la commande principale, pour générer une demande de confirmation de la commande principale, l’unité de gestion d’affichage (30) étant apte à afficher la demande de confirmation sur l’afficheur (28) à destination de l’opérateur.
  7. Architecture de commande (10) selon la revendication 6, dans lequel la demande de confirmation comprend une chaîne de caractères associée à la commande principale.
  8. Architecture de commande (10) selon la revendication 6 ou 7, comprenant en outre au moins un dispositif de confirmation (20) indépendant de l’au moins une interface homme-machine (12) et propre à être actionné par l’opérateur pour confirmer la commande principale lorsque la demande de confirmation correspond à une demande de confirmation de passage de l’au moins un élément fonctionnel (3) dans la configuration cible, l’au moins un module de confirmation (14) générant la commande de sécurité lorsque l’au moins un dispositif de confirmation (20) est actionné pour confirmer la commande principale.
  9. Architecture de commande (10) selon la revendication 8, dans lequel l’au moins un dispositif de confirmation (20) est configuré pour générer une confirmation lorsqu’il est actionné pour confirmer la commande principale, la confirmation comprenant par exemple un unique bit de confirmation, l’architecture de commande (10) comprenant en outre au moins un module d’interfaçage auxiliaire (22) configuré pour transmettre la confirmation au module de confirmation (14).
  10. Architecture de commande (10) selon l’une quelconque des revendications précédentes, dans lequel l’au moins un module de contrôle (16) est configuré pour générer des informations représentatives d’une configuration courante de l’au moins un élément fonctionnel (3), l’unité de gestion d’affichage (30) étant apte à afficher lesdites informations sur l’afficheur (28) à destination de l’opérateur.
  11. Procédé de commande d’au moins un élément fonctionnel (3) d’un aéronef (1), pilotable entre une pluralité de configurations à l’aide d’une architecture de commande (10) selon l’une quelconque des revendications précédentes, le procédé comprenant :
    - la génération de la commande principale en fonction d’une action d’un opérateur visant à passer l’au moins un élément fonctionnel (3) dans la configuration cible ;
    - la transmission de la commande principale à l’au moins un module de contrôle (16) et à l’au moins un module de confirmation (14) ;
    - la génération par l’au moins un module de confirmation (14) de la commande de sécurité associée à la commande principale ;
    - la transmission de la commande de sécurité à l’au moins un module de contrôle (16) ;
    - le passage de l’au moins un élément fonctionnel (3) dans la configuration cible lorsque la commande principale correspond à la commande principale attendue de passage de l’au moins un élément fonctionnel (3) dans la configuration cible et lorsque la commande de sécurité correspond à la commande de sécurité attendue de passage de l’au moins un élément fonctionnel (3) dans la configuration cible.
  12. Procédé de commande selon la revendication 11, dans lequel l’unité de gestion d’affichage (30) transmet simultanément la commande principale à l’au moins un module d’interfaçage (18) et à l’au moins un module de confirmation (14), l’au moins un module d’interfaçage (18) transmettant la commande principale au module de contrôle (16) sur réception de la commande principale, l’au moins un module de confirmation (14) générant la commande de sécurité après une temporisation commençant lorsque l’au moins un module de confirmation (14) reçoit la commande principale.
  13. Procédé de commande selon la revendication 11 ou 12, dans lequel, sur réception de la commande principale, l’au moins un module de confirmation (14) génère une demande de confirmation de la commande principale, l’unité de gestion d’affichage (30) affichant la demande de confirmation sur l’afficheur (28) à destination de l’opérateur.
  14. Procédé de commande selon la revendication 13, dans lequel l’opérateur actionne au moins un dispositif de confirmation (20) indépendant de l’au moins une interface homme-machine (12) pour confirmer la commande principale lorsque la demande de confirmation correspond à une demande de confirmation de passage de l’au moins un élément fonctionnel (3) dans la configuration cible, l’au moins un module de confirmation (14) générant la commande de sécurité lorsque l’au moins un dispositif de confirmation (20) est actionné pour confirmer la commande principale.
FR2114489A 2021-12-24 2021-12-24 Architecture de commande virtualisee d un aeronef et procede associe. Pending FR3131401A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR2114489A FR3131401A1 (fr) 2021-12-24 2021-12-24 Architecture de commande virtualisee d un aeronef et procede associe.
CA3184400A CA3184400A1 (fr) 2021-12-24 2022-12-19 Architecture de commande virtualisee d'un aeronef et procede associe
US18/087,002 US20230202671A1 (en) 2021-12-24 2022-12-22 Virtualized aircraft control architecture and associated method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2114489A FR3131401A1 (fr) 2021-12-24 2021-12-24 Architecture de commande virtualisee d un aeronef et procede associe.
FR2114489 2021-12-24

Publications (1)

Publication Number Publication Date
FR3131401A1 true FR3131401A1 (fr) 2023-06-30

Family

ID=81927982

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2114489A Pending FR3131401A1 (fr) 2021-12-24 2021-12-24 Architecture de commande virtualisee d un aeronef et procede associe.

Country Status (3)

Country Link
US (1) US20230202671A1 (fr)
CA (1) CA3184400A1 (fr)
FR (1) FR3131401A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3376375A1 (fr) * 2017-03-16 2018-09-19 Honeywell International Inc. Systèmes et procédés de gestion de commande
FR3087019A1 (fr) * 2018-10-09 2020-04-10 Thales Systeme de controle de commande d'un systeme commande via une interface graphique et procede de controle associe
FR3089375A1 (fr) * 2018-12-04 2020-06-05 Airbus Operations Procédé et système de protection d’un aéronef contre une instruction de commande incohérente

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2920055B1 (fr) * 2007-08-14 2013-05-03 Airbus France Systeme et procede de transmission de donnees entre au moins un ecran d'affichage et un systeme client
FR2927308B1 (fr) * 2008-02-08 2010-10-22 Airbus France Systeme distribue de commande de vol.
FR2959835B1 (fr) * 2010-05-10 2012-06-15 Airbus Operations Sas Systeme de commande de vol et aeronef le comportant
FR2960680B1 (fr) * 2010-05-28 2013-05-17 Airbus Operations Sas Systeme embarque a bord d'un aeronef
WO2014189594A2 (fr) * 2013-03-05 2014-11-27 Ihns Jurgen R Système de gestion et de commande d'avionique de bord
FR3025626B1 (fr) * 2014-09-05 2017-11-03 Sagem Defense Securite Architecture bi-voies avec liaisons ccdl redondantes
US10454620B2 (en) * 2017-06-16 2019-10-22 At&T Intellectual Property I, L.P. Facilitating notifications to indicate failed code block groups in 5G or other next generation networks
US11059577B2 (en) * 2019-03-25 2021-07-13 Textron Innovations Inc. System and method for monitoring aircraft pilot control position and providing a retrim prompt
FR3131402B1 (fr) * 2021-12-24 2024-02-02 Dassault Aviat Architecture de commande virtualisee d un aeronef et procede associe.

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3376375A1 (fr) * 2017-03-16 2018-09-19 Honeywell International Inc. Systèmes et procédés de gestion de commande
FR3087019A1 (fr) * 2018-10-09 2020-04-10 Thales Systeme de controle de commande d'un systeme commande via une interface graphique et procede de controle associe
FR3089375A1 (fr) * 2018-12-04 2020-06-05 Airbus Operations Procédé et système de protection d’un aéronef contre une instruction de commande incohérente

Also Published As

Publication number Publication date
CA3184400A1 (fr) 2023-06-24
US20230202671A1 (en) 2023-06-29

Similar Documents

Publication Publication Date Title
CA2743735C (fr) Equipement avionique securise et procede de securisation associe
EP0135422A1 (fr) Dispositif de protection de logiciels utilisés par un ordinateur connecté à au moins un terminal périphérique
WO2011095709A2 (fr) Module de retour haptique destiné à être intégré dans un véhicule automobile pour dispositif nomade et dispositif de commande correspondant
FR3072475B1 (fr) Procede de traitement d'une erreur lors de l'execution d'une procedure avionique predeterminee, programme d'ordinateur et systeme de detection et d'alerte associe
FR2508676A1 (fr) Systeme a micro-ordinateur
CA2621948C (fr) Systeme d'affichage pour un aeronef
FR3131402A1 (fr) Architecture de commande virtualisee d un aeronef et procede associe.
FR2931329A1 (fr) Procede de transmission de donnees entre au moins un ecran d'affichage d'un poste de pilotage et au moins un ensemble client distant
FR3131401A1 (fr) Architecture de commande virtualisee d un aeronef et procede associe.
FR2903386A1 (fr) Systeme d'affichage pour aeronef.
EP1600733B1 (fr) Procédé et dispositif pour fournir une trajectoire de vol à un aéronef
WO1993007707A1 (fr) Procede et dispositif de detection d'une sequence d'echappement dans un modem
FR2920055A1 (fr) Systeme et procede de transmission de donnees entre au moins un ecran d'affichage et un systeme client
CA1257698A (fr) Systeme pour la commande centralisee d'une pluralite d'appareils de radiocommunication et de radionavigation montes a bord d'un aeronef
US7814210B1 (en) Non-disruptive server replacement for server-based clients
WO2016079398A1 (fr) Procédé et dispositif pour commander un moyen d'affichage
EP1484673A1 (fr) Procédé et système de transmission d'information sur un aéronef
CA2308872A1 (fr) Dispositif de detection d'erreur dans une memoire associee a un processeur
FR3134062A1 (fr) Dispositif de génération d’un signal de limitation de mouvement d’un véhicule automobile autonome, système de contrôle, ensemble et procédé associés
EP1377035A1 (fr) Méthode de mise à jour de clés de sécurité dans un décodeur de télévision
EP1542441B1 (fr) Procédé pour basculer entre deux interfaces d'un poste téléphonique
FR2946165A1 (fr) Systeme de gestion automatique de controle de moteurs d'un aeronef.
EP1265419B1 (fr) Procédé de communication écrite entre deux installations à travers un réseau téléphonique
WO2025052053A1 (fr) Procédé et dispositif de contrôle d'un système d'alerte d'attention du conducteur d'un véhicule
FR2908006A1 (fr) Dispositif d'allocation de ressources materielles

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230630

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5