具体实施方式

图1示出了根据本发明实施例的用于控制发动机的装置的示例。优选地，发动机是飞行器的发动机，例如为涡轮机。

该控制装置包括两个控制通道：第一控制通道V1和第二控制通道V2。

各控制通道V1、V2使得能够根据计算的命令或设定点C_V1、C_V2来驱动至少一个致动器ACT。在操作中，两个通道中只有一个驱动致动器ACT。它就是主动通道。另一个通道被认为是被动式，如果所述主动通道出现故障，则其可以取代主动通道。

各控制通道V1、V2接收待测量的输入参量A、B，并在此基础上计算对致动器ACT的命令。这些参量例如为：温度等。

在图1所示的示例中，各通道接收两个不同的待测量参量A、B，每个通道测量相同的参量。特别是，对于各通道V1、V2，这些参量由不同或相同的传感器测量：

-对于第一通道V1：第一参量A的第一测量结果MAV1由第一传感器CAV1测量，第二参量B的第二测量结果MBV1由第二传感器CBV1测量。

-对于第二通道V2：第一参量A的第一测量结果MAV2由第一传感器CAV2测量，第二参量B的第二测量结果MBV2由第二传感器CBV2测量。

使用的传感器取决于测量的参量：用于温度的温度传感器等。

为了确定命令C_V1、C_V2，每个通道将对所取得的测量结果执行一定量的处理操作。

具体地，各通道包括合并单元UC1、UC2，使得可以通过合并过程(例如通过对由两个通道的每个通道的传感器测量的值取平均值)来统一由两个通道中的每个通道的传感器测量的数据。

可以理解，通过通道间通信链路LCOM在通道V1、V2之间进行数据交换。

对于各通道，合并的结果随后被处理单元UT1、UT2使用，所述处理单元将计算用于致动器ACT的设定点C_V1、C_V2。

有利地，处理单元UT1、UT2可以使用在一个或多个先前的计算时间计算的命令以及在一个或多个先前的计算时间计算的中间结果作为输入数据。在这种情况下，处理单元可以包括第一计算模块MOD1和第二计算模块MOD2：第一计算模块和第二计算模块中的一个执行计算的第一部分，第一计算模块和第二计算模块中的第二个执行需要先前执行的中间计算的计算(参见图2)。来自第一模块的数据在通常为1到4个计算时间的延迟后由第二模块检索。

在正常运行情况下，各通道计算的设定点C_V1、C_V2是相同的。为了确保确实如此，各通道还包括监控单元US1、US2，负责检查计算出的命令C_V1、C_V2是否确实相同。为了能够对计算出的命令进行比较，监控单元US1、US2接收由其所属的通道计算出的命令并且通过通信链路LVER2、LVER1接收由其他通道计算出的命令。

当检测到两个计算出的命令C_V1、C_V2之间存在差异时，处理单元UT1、UT2的自检机制使得有可能识别错误可能来自何处，并禁用通道中的一个，被禁用的通道在这种情况下不将信息上升到另一个通道。在这种情况下，可以选择将处于“主动”状态或“被动”状态的通道，并禁用处于“被动”状态的通道。

如本文所介绍的，这是因为控制通道V1、V2各有一个“主动”或“被动”状态指示器。这使得能够确定哪个通道有效地控制发动机的致动器ACT。这些状态是互斥的：两个通道V1、V2不能处于相同的状态，必须一个是主动的，另一个是被动的。

另一方面，如果处理单元的自检机制没有检测到错误的来源，被动通道总是被禁用。然后它提供的冗余就失去了。如将理解的，当发生这种情况时，通道有可能在没有问题时被禁用，因为问题可能来自至少一个通道间通信链路LCOM。

因此，与禁用被动通道并假设问题来自通道间通信链路LCOM不同，控制装置将表现出故障安全运行模式，在该模式中由处理单元UT1、UT2计算的命令将被传输。特别地，这种传输是从主动的通道到被动的通道进行的。当由处理单元执行的计算基于在先前时间增量中计算的结果时，使得能够统一两个通道的计算单元的输入数据，以便允许命令在一定量的时间增量之后收敛。

有利地，对于处理单元，计算时间被设置为持续时间t，例如介于5到50毫秒之间，典型地t＝15毫秒，该持续时间是有限的，并且超过该持续时间导致处理单元的异常，并且导致异常所涉及的通道被禁用。因此，必须注意处理单元上执行的计算负荷。在通道V1、V2之间的通信链路中断的情况下，对于重新建立通道间通信链路LCOM，有必要遵循用于传输计算出的命令的机制，以确保计算的重新收敛。这导致处理单元的计算超负荷。因此，有必要优化交换的持续时间和计算的排序，以符合处理单元的时间限制。

根据本发明的优选实施例的控制装置的故障安全运行的示例性实施例

在图3至图5中示出了这种示例。所示的示例是只考虑先前的时间增量

t＝i-1处的计算

在本示例中，使

C_V1(0)＝C_V2(0)

只要系统在通道间链路中没有发生任何故障，计算就会如图3所示进行。此外，在本示例中，通道V1是主动通道，而通道V2是被动通道。

为了确定要在时间增量

t＝i

处应用于致动器ACT的命令，计算是根据与控制通道相关的传感器测量的数据进行的。在一个简化示例中，以下计算被执行：

C_V1(i)＝C_V1(i-1)+平均值(i)

C_V2(i)＝C_V2(i-1)+平均值(i)

其中：

它对应于图2，其中，操作符(operateurs)OP1、OP2例如是作为输入的两个项的和。还可以设想其他操作符。

这里很明显，在前文描述的计算之后，在标称操作额定值(regime defonctionnement nominal)的情况下，如果接受在先前的计算增量中的计算，那么确实有：

C_V1(i)＝C_V2(i)

，则在当前的计算增量中，确实验证了以下等式：

C_V1(i+1)＝C_V2(i+1)

另一方面，当通道间通信链路中断发生在时间

j

时，合并单元不再能够交换由连接到它们相应通道的传感器测量的数据。然后处理单元执行的计算如图4所示：两个通道中的每一个都执行之前在合并步骤中给出的计算(这里是平均值)。因此，处理单元执行以下计算：

C_V1(j)＝C_V1(j-1)+MAV1(j)+MBV1(j)

C_V2(j)＝C_V2(j-1)+MAV2(j)+MBV2(j)

然而，在实践中，由两个通道中的每一个的传感器测量的同类数据总是不同(这就是为什么合并是必要的)。这就给出了：

MAV1(j)+MBV1(j)≠MAV2(j)+MBV2(j)

并且在这种情况下，由两个通道计算出的命令不再相同：

C_V1(j)≠C_V2 (j)

所计算出的命令的这种差异被监控单元检测为错误。此外，即使链路被重新建立，先前的计算在处理后也是不同的，对于一个通道和另一个通道，计算出的命令仍然是不同的。

为了缓解这个问题，解决方案包括：当链路在时间

k

被重新建立时，将主动通道(在本示例中为通道V1)计算出的结果发送到被动通道(在本示例中为通道V2)

如图5所示。这里所作的计算如下：

C_V1(k+1)＝C_V1(k)+平均值(k+1)

C_V2(k+1)＝C_V1(k)+平均值(k+1)

因此：

C_V1(k+1)＝C_V2(k+1)

应注意，命令C_V1、C_V2的值与通道间通信链路LCOM的重建等同。

可能的实施示例

作为示例，两个通道中的每一个的处理单元可以被分成两个模块MOD1、MOD2，如图2所示。在这种情况下，计算是基于先前的多个结果进行的。更准确地说，计算使用了先前的4个命令的结果以及源于先前的3次计算的中间结果。在这种情况下，因此有必要交换在多个计算时间内计算的命令，以尽可能优化这些交换的持续时间(交换的持续时间在计算时间中是耗时的)。这些必须在尽可能短的时间内执行：

-当一个或多个先前的命令在一延迟时间(以计算时间的数量计量)

r₁

后被用作处理单元的输入时，命令必须在与链路中断持续时间相等的计算时间的数量期间从主动通道传输到被动通道，

-当一个或多个先前的中间结果在一延迟时间

r₂

后使用时，命令必须在计算增量的r₂

期间从主动通道传输到被动通道。

此外，为了满足任何机载控制装置所特有的实时系统要求，每个周期的持续时间不能超过预定的持续时间，例如15ms，因此有必要优化所添加的操作的顺序以继续遵守这一限制。为此，修改了由处理单元执行的任务的顺序，以便在处理单元等待通过数据链路接收数据时执行计算。通过这种方式，可以在下述情况节省计算时间：

-在标称运行模式下，在没有任何故障的情况下；

-在故障安全运行模式下，在通信故障期间；

-在故障安全运行模式下，在通道间链路反馈后，从主动通道到被动通道的数据交换过程中。

因此，所节省的计算时间使得能够遵守所要求的时间限制，并能够执行附加的自检以检测两个通道中的一个的组件的故障。