(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-07-07
(54)【発明の名称】モータ制御ユニットを監視するための方法
(51)【国際特許分類】
G06F 11/22 20060101AFI20220630BHJP
G05B 23/02 20060101ALI20220630BHJP
G06F 11/16 20060101ALI20220630BHJP
【FI】
G06F11/22 675C
G05B23/02 Z
G06F11/16 629
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2021564979
(86)(22)【出願日】2020-04-30
(85)【翻訳文提出日】2021-12-17
(86)【国際出願番号】 FR2020050732
(87)【国際公開番号】W WO2020225507
(87)【国際公開日】2020-11-12
(32)【優先日】2019-05-03
(33)【優先権主張国・地域又は機関】FR
(81)【指定国・地域】
(71)【出願人】
【識別番号】516227272
【氏名又は名称】サフラン・エアクラフト・エンジンズ
(74)【代理人】
【識別番号】110001173
【氏名又は名称】特許業務法人川口國際特許事務所
(72)【発明者】
【氏名】マルタン,クリストフ・ピエール・ジョルジュ
【テーマコード(参考)】
3C223
5B034
5B048
【Fターム(参考)】
3C223AA15
3C223BA01
3C223CC01
3C223DD01
3C223EB01
3C223EB02
3C223GG01
3C223HH01
5B034AA02
5B034CC01
5B048CC11
(57)【要約】
本発明は、少なくとも2つの別個のチャネル(4、6)を用いてモータ制御ユニット(2)を監視する方法(1、28)であって、前記2つのチャネル(4、6)の各々は、少なくとも:
- レイテンシ期間が経過する間の複数の連続的に実行される算出から部分的になる所与のアプリケーションタスクASを実行するための手段;
- 算出を行うことができる第1の構成要素(14);
- データを記憶することができる第2の構成要素(16);を備え、チャネル(4)のアプリケーションタスクASは、通信することができ、方法は、以下のステップ:
a)レイテンシ期間を検出するステップ;
b)このレイテンシ期間中に、構成要素(14、16)のうちの少なくとも1つの動作状態テスト(26)を行うステップ;
c)故障状態または健全状態に対応する前記構成要素(14、16)の状態を決定するステップを含む、方法(1、28)に関する。
【特許請求の範囲】
【請求項1】
各々が計算機を備える、少なくとも2つの別個のチャネル(4、6)を用いてエンジン制御ユニット(2)を監視する方法(1、28)であって、前記2つのチャネル(4、6)の各々は、少なくとも、
- レイテンシ期間が経過する間の複数の連続的に実行される計算から部分的になる所与のアプリケーションタスク(AS)を実行するための手段、
- 入力データから前記アプリケーションタスク(AS)の計算を遂行することができる第1の構成要素(14)、
- データを記憶するように適合されている第2の構成要素(16)を備え、第1のチャネル(4)によって実行されるアプリケーションタスク(AS)および第2のチャネル(6)によって実行されるアプリケーションタスク(AS)は、互いに通信するように適合され、方法は、チャネル(4、6)ごとにアプリケーションタスク(AS)の現在の実行サイクル(j)中に、以下のステップ、
a)レイテンシ期間を検出するステップ、
b)このレイテンシ期間中に、第1の構成要素(14)および第2の構成要素(16)のうちの少なくとも1つの動作状態テスト(26)を行うステップ、
c)故障状態または健全状態に対応する前記構成要素(14、16)の状態を決定するステップ
を含む、方法。
【請求項2】
ステップa)からc)が、以下のステップ、
- 2つのチャネル(4、6)の構成要素(14、16)うちの少なくとも1つの故障から生じる症状を検出するステップ
が完了すると行われる、請求項1に記載の方法(1、28)。
【請求項3】
症状が、2つのチャネル間のシグネチャの差異、および/または2つの計算機(4、6)間の通信の喪失である、請求項2に記載の方法。
【請求項4】
検出された症状が、2つのチャネル(4、6)間のシグネチャの差異である場合、検出が、現在の実行サイクル(j)に先立つ先行する実行サイクル(j-1)において行われる、請求項3に記載の方法。
【請求項5】
シグネチャの差異が、現在の実行サイクル(j)中に行われるアプリケーションタスク(AS)の計算の合計を、現在の実行サイクル(j)の終わりにおよび2つのチャネル(4、6)で並列に比較することに存する、請求項3または4に記載の方法。
【請求項6】
検出された症状が、2つの計算機(4、6)間の通信の喪失である場合、検出が、現在の実行サイクル(j)中に行われる、請求項3に記載の方法。
【請求項7】
ステップb)のテストの実行のための命令が、アプリケーションタスク(AS)によって送られる、請求項1から6のいずれか一項に記載の方法。
【請求項8】
第1の構成要素(14)が、再プログラム可能な集積回路またはFPGAからなる、請求項1から7のいずれか一項に記載の方法。
【請求項9】
構成要素(16)が、ダイナミックRAMからなる、請求項1から8のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、航空機のターボジェットまたはターボプロップエンジンなどのターボ機械に関し、より詳細には、そのようなターボ機械の制御ユニットに関する。
【背景技術】
【0002】
航空機のターボ機械の動作は、航空機の飛行の様々な段階中にターボ機械を操縦および調整することができる制御ユニットによって制御される。
【0003】
これらの制御ユニットは、例えば、ターボ機械の様々な部分のためのコマンドを確立するために、互いに通信するとともにセンサからの同じ入力データに基づいて並列で計算を遂行するオンボード電子計算機を備える。
【0004】
計算機の計算サイクル中に、3つのタスクが行われる。第1のタスクは、OSタスクと呼ばれ、オペレーティングシステム、すなわち、アプリケーションタスクによるリソースの使用を管理するプログラムのセットを起動することからなる。第2のタスクは、アプリケーティブシステム(AS)として知られており、ターボ機械を制御および調整するためのコマンドを決定するために必要な計算を遂行することからなる。ASタスクの実行時間は、計算サイクルに必要な時間の80%から90%を示す。第3のタスクは、計算サイクルを終える。これは、第1のタスクと同一のOSタスクである。
【0005】
多くの構成要素を含むこれらの計算機は、それらの構成要素に大きな誤動作がないことを確認するためにセルフテストを行う。これらのセルフテストは、OSタスク中に、すなわち、計算サイクルの始まりと終わりに行われる。
図1は、先行技術において知られているようなタスクおよびセルフテストのシーケンシングを示す。計算サイクル24の始まりに、単一のセルフテスト26が、OSタスクで開始される。
【0006】
それにもかかわらず、構成要素の誤動作は、アプリケーションタスク中に計算機の構成要素に発生し得る。したがって、そのような誤動作は、モータ制御ユニットに混乱をもたらし得る。混乱から欠陥のある構成要素、およびしたがって欠陥のある計算機を追跡することは、後処理解析によって可能である。これは、欠陥のある計算機が隔離されることを可能にする。
【発明の概要】
【発明が解決しようとする課題】
【0007】
この隔離は、ターボ機械の制御および調整に対する誤動作の影響を低減させるために、できるだけすぐに遂行される必要がある。本発明の目的は、特に、上述した先行技術の問題に対してシンプルで、有効で、経済的な解決策を提供することである。
【課題を解決するための手段】
【0008】
この目的を達成するために、各々が計算機を備える、少なくとも2つの別個のチャネルを用いてエンジン制御ユニットを監視するための方法であって、前記2つのチャネルの各々が、少なくとも:
- レイテンシ期間が経過する間の複数の連続的に実行される算出から部分的になる所与のアプリケーションタスクを実行するための手段;
- 入力データに基づいてアプリケーションタスクの算出を行うように適合された第1の構成要素;
- データを記憶するように適合されている第2の構成要素;を備え、
第1のチャネルによって実行されるアプリケーションタスクおよび第2のチャネルによって実行されるアプリケーションタスクは、互いに通信するように適合され、方法は、チャネルごとにアプリケーションタスクの現在の実行サイクルj中に、以下のステップ:
a)レイテンシ期間を検出するステップ;
b)このレイテンシ期間中に、第1の構成要素および第2の構成要素のうちの少なくとも1つの動作状態テストを行うステップ;
c)故障状態または健全状態に対応する構成要素の状態を決定するステップ
を含む、方法が提案される。
【0009】
したがって、そのような方法は、計算機に含まれる様々な構成要素のステータスを、各計算機がアプリケーションタスク中に、特にレイテンシ期間中に、計算サイクルの終わりを待つことなく、決定できるようにセルフテストを行うことを可能にする。したがって、そのような方法のおかげで、計算サイクルの終わりを待つことなく欠陥のある計算機を検出し、サイクルの終わりにそれを適切に隔離することが可能である。
【0010】
これは、セルフテストの回数を増加させることによって、保守診断が、続く地上の保守動作を容易にすることを可能にもする。
【0011】
所与のアプリケーションタスクは、第1のチャネルによって実行されるアプリケーションタスク、および第2のチャネルによってアプリケーションタスクとすることができる。したがって、第1および第2のチャネルは、同じ所与のアプリケーションタスクを実行することができる。
【0012】
代替として、ステップa)からc)は、以下のステップ:
- 2つのチャネルの構成要素うちの少なくとも1つの故障から生じる症状を検出するステップ
が完了すると遂行することができる。
【0013】
したがって、この監視方法は、構成要素の故障から生じる症状が検出されるとすぐに、構成要素のセルフテストがトリガされることを可能にする。このようにして、セルフテストは、エンジン制御ユニットの計算機における構成要素の故障から生じる先に識別された症状が発生すると、必要に応じてトリガされる。
【0014】
したがって、本発明は、構成要素の故障をモータ制御ユニットのイベントおよび/または望ましくない挙動にリンクすることを可能にする。これは、オンボード電子機器、言い換えれば構成要素の故障に症状をリンクする対応テーブルを得ることを可能にする。
【0015】
各サイクル中、検出された症状(および結果として得られる故障)は、保守作業を容易にするために、例えば熱および/または振動の、様々な環境情報と共に不揮発性メモリに記録される。
【0016】
加えて、症状は、2つのチャネル間のシグネチャの差異、および/または2つの計算機間の通信の喪失であり得る。
【0017】
目標は、計算機に影響を与える故障の症状を識別することである。これらの症状は、同じアプリケーションタスクを実行する2つのチャネル間のシグネチャの差異、すなわち、アプリケーションタスクの終わりの、第1のチャネルおよび第2のチャネルの計算機のそれぞれによって遂行される計算の結果間の差異に関連し得、またはそれらは、チャネルのうちの少なくとも1つのアプリケーションタスクの計算の実行を妨げる未到着データに関連し得る。
【0018】
2つのチャネルは、計算機でそれぞれ構成されることができる。
【0019】
さらに、検出された症状が2つのチャネル間のシグネチャの差異である場合、検出は、現在の実行サイクルjに先立つ実行サイクルj-1に行われ得る。実行サイクルj-1は、「先行する実行サイクル」または「先行するサイクル」と呼ばれる。
【0020】
シグネチャの差異は、現在の実行サイクルj中に行われるアプリケーションタスクの計算の合計を、サイクルjの終わりにおよび2つのチャネルで並列に比較することからなり得る。
【0021】
検出された症状が計算機間の通信の喪失である場合、検出は、現在の実行サイクルj中に行われ得る。
【0022】
別の特徴によれば、ステップb)のテストの実行のための命令は、アプリケーションタスクによって送られることができる。
【0023】
したがって、アプリケーションタスクは、アプリケーションタスクの計算に影響を与えることなく構成要素の機能ステータスが規則正しく確立され得るように、適切な頻度でレイテンシ期間中に機能ステータステストを開始する。
【0024】
さらなる特徴では、第1の構成要素は、再プログラム可能な集積回路またはFPGAであり得る。
【0025】
加えて、第2の構成要素は、ダイナミックRAMであってもよい。
【図面の簡単な説明】
【0026】
【
図1】従来技術による算出サイクルにおけるタスクおよび状態テストのシーケンシングを示す図である。
【
図2】本発明に係る方法の簡略化されたフローチャートである。
【
図3】2つの別個のチャネルを用いたモータ制御ユニットの一例のハードウェアアーキテクチャを示す図である。
【
図4】本発明の方法による計算サイクル中のタスクおよび状態テストのシーケンシングを示す図である。
【
図5】本発明に係る方法の一実施形態のフローチャートである。
【発明を実施するための形態】
【0027】
監視方法1(そのフローチャートは、
図2に示されている)は、少なくとも2つの別個のチャネル4、6を用いてモータ制御ユニット2を監視することを目指すものであり、そのアーキテクチャの例は、
図3に示されている。
【0028】
したがって、2チャネルモータ制御ユニット2、4、6は、
図3に見ることができるように、2つのチャネル4、6、すなわち、2つの計算機を備える。計算機4、6のこの冗長性は、計算機4、6の一方の起こり得る故障に対する耐性を確かなものにする。2つの計算機4、6は、同じ入力データから並列で同じ計算を行う(すなわち、同じアプリケーションタスクを行う)が、計算機4の1つのみが、コマンドを計算することによってターボ機械を制御および調整する。したがって、パッシブとも呼ばれる冗長な計算機6は、ターボ機械の構成部分にいかなるコマンドも送らない。
【0029】
図示されるエンジン制御ユニット2の計算機4、6は、同じアーキテクチャを有する。
【0030】
まず、各計算機4、6は、所与のアプリケーションタスクを行うための手段を含む。これらの手段は計算機のデジタルコア8および通信ボード10に分散される。
【0031】
デジタルコア8は、とりわけ、マイクロプロセッサ12を備える。計算機間の通信に関与する通信ボード10は、第1および第2の構成要素14、16を備える。入力データからアプリケーションタスクの計算を行うことができる第1の構成要素14は、この例ではFPGAであるが、再プログラム可能な集積回路とすることもできる。データを記憶することができる第2の構成要素16は、メモリ、好ましくはダイナミックRAMである。
【0032】
第1の構成要素14、この例ではFPGA(フィールドプログラマブルゲートアレイ)は、クロック制御される2つの計算機4、6間の交換を可能にする。第2の構成要素16、好ましくはDPRAM(デュアルポートランダムアクセスメモリ)は、第1の構成要素14から信号を受信し、センサからの入力データなどのデータおよび計算の中間結果を記憶する。
【0033】
レイテンシ期間が経過する間の複数の連続的に実行される計算から部分的になるアプリケーションタスクASは、例えばセンサからくる入力データから、ターボ機械を構成する可動要素のアクチュエータに対して意図された制御電流を計算することを特に可能にさせる。そのようなアクチュエータは、例えば、シリンダまたは他のデバイスと組み合わせて電気油圧式サーボ弁を含む。このように、アプリケーションタスクASは、エンジン制御ユニット2の各計算機4、6で並列に同時に実行される。第1のチャネル4で走るASアプリケーションタスク、および第2のチャネル6で走るASアプリケーションタスクは、第1のバス18、第2のバス20、および第3のバス22を介して互いに通信することができる。第1のバス18は、取り出されるデータメモリのアドレスを交換するために使用される。第2のバス20は、センサの入力データなどのデータを交換するために使用される。これは、例えば、エンジン温度値の取得などの測定を含み得る。中間計算および最終計算の結果は、計算を行うデジタルコア8から通信ボード10に向かって、例えば、計算された電流を伝達する第2のバス20を通過する。第3のバスは、入力データから計算されたコマンドを交換するために使用される。これは、計算機4、6ごとに第1のバス18および第2のバス20上で読み出しおよび書き込みの許可を制御するいわゆる制御バスである。したがって、この制御パスは、読み出し、書き込み、および交換の動作についての優先順位の交換および管理のシーケンシングを可能にする。
【0034】
図4に示されるように、監視方法1は、チャネルごとに各実行サイクル24で実行される。
【0035】
方法1の1のステップAは、2つのチャネル4、6の構成要素14、16うちの少なくとも1つの故障から生じる症状を検出することである。
【0036】
2つのチャネル4、6のうちの1つでの構成要素の故障14、16の症状は、以下の通りである:
- データが到着していない:(先行する計算からのまたはセンサからの)入力データアイテムを待っているASアプリケーションタスクは、さらなる計算を遂行するためのデータアイテムを受信していない。
- 誤ったデータ:(先行する計算からのまたはセンサからの)入力データアイテムを待っているASアプリケーションタスクは、誤ったデータアイテムを受信して、さらなる計算を遂行し、誤った計算という結果になっている。
- 間違ったアドレスに記憶されたデータ:データアイテムが受信されたときに、データアイテムが、第2の構成要素16、ダイナミックRAMにおけるアドレスに記憶される。
【0037】
データアイテムが記憶されているアドレスが間違っているとき、2つの結果があり得る:
- データアイテムが到着しない:データアイテムが記憶されるはずだったアドレスにおいて、ASアプリケーションタスクの計算に使用可能なデータアイテムがない。
- 誤ったデータアイテム:データアイテムが記憶されるはずだったアドレスにおいて、そこに先に記憶されたデータアイテムが、ASアプリケーションタスクによってさらなる計算に使用される。
【0038】
これらの症状は、2つの結果を有し得る。第1の結果は、観察された故障が、2つのチャネル4、6での、すなわち、所与のASアプリケーションタスクについてのシグネチャの差異に対応し、計算機4、6ごとに行われた計算は、異なる結果をもたらすということである。第2の結果は、観察された故障は、計算機間の通信の中断からなるということである(交換されたデータが誤っているまたは欠如している)。
【0039】
したがって、これらの症状の検出は、計算機4、6のうちの少なくとも1つの少なくとも1つ構成要素14、16の故障を示す。
【0040】
次いで、方法の第2のステップBは、アプリケーションタスクASのレイテンシ期間を検出することからなる。実際は、ASアプリケーションタスクが、いくつかの入力データアイテムからの複数の計算からなるとき、ASアプリケーションタスクが次の計算を行うためデータを待っている計算間のレイテンシ期間がある。これらのレイテンシ期間中、チャネル4、6、すなわち、第1の構成要素4および第2の構成要素6のリソースは使用されない。したがって、これらのレイテンシ期間は、第1の計算機4および第2の計算機6の第1の構成要素14および第2の構成要素16のどちらが故障しており、識別された症状を引き起こしているのか決定するために、動作ステータステストを行うために利用することができる。
【0041】
次いで、方法1の第3のステップCは、このレイテンシ期間中に、第1の構成要素14および第2の構成要素16のうちの少なくとも1つの動作状態テストを実行することからなる。この機能ステータステストは、2つのチャネル4、6で、すなわち、2つの計算機で並列に構成要素14、16ごとに遂行されることが好ましい。動作ステータステストのシーケンシングは、
図4に見られることができる。したがって、いくつかの機能テストが、OSタスク中のサイクルの始めにトリガされたものに加えて、アプリケーションタスクのレイテンシの間にトリガされる。
【0042】
セルフテストは、マーチテスト(March test)と呼ばれる。セルフテストは、各構成要素の読み書きする能力をテストするために使用される。これをするために、16進法でタイプAAAAおよび次いで5555のメッセージが、16進法でタイプ5555および次いでAAAAのアドレスへ連続的に書き込まれる。これらの2つのアドレスに内容を書き込むことにより、読み込みテストを自動でトリガする。
【0043】
これらのセルフテストは、レイテンシ時間(すなわち、自由時間)中におよびバス上の各交換とほとんど同時に遂行される。
【0044】
したがって、アプリケーションタスクASは、それぞれ、動作ステータステスト26を行うために、構成要素14、16ごとに命令を送る。言い換えれば、動作状態テスト26は、それらがレイテンシ時間中に実行されるようにASアプリケーションタスクによって呼び出される。したがって、行われるテストは、ASアプリケーションタスクの計算時間に影響を与えない。
【0045】
方法1の第4のステップDは、動作ステータステスト26が行われた構成要素14、16のステータスを決定することである。状態は、故障した状態または健全状態のどちらかであり得る。したがって、同じサイクルまたは2つの連続したサイクル中に、症状が観察され、構成要素14、16の一方の欠陥のある状態が発見された場合、検出された症状と発見された構成要素の欠陥の相関がなされる。
【0046】
識別された故障した構成要素の影響を制限するために、故障した構成要素を含む計算機が隔離される。言い換えれば、ASアプリケーションタスクによって開始される機能ステータステストまたはセルフテスト26の後に、検出され立証された故障を有する計算機は、続くサイクルにおいてASアプリケーションタスクをもはや実行せず、したがって、健全であると考えられる計算機ともはや通信しない。次いで、エンジン制御ユニット2は、シングルチャネルになり、アプリケーションタスクASは、健全であると考えられる1つのみの計算機で実行される。
【0047】
この隔離の後、2つのチャネル4、6の1つが隔離されるときにIFSD(飛行中のシャットダウン)を避けるために、アプリケーションタスクASによるセルフテスト26の起動が一時中断される。したがって、セルフテスト26は、サイクルの始まりと終わりにOSタスクによって行われるセルフテスト26を除いて、残りの計算機で行われない。
【0048】
図5は、本発明に係る方法28の別の例をフローチャートで示す。このシステムの全体的なストラテジは、制御ユニット2に症状が発生するとセルフテス26をトリガすることである。第1のステップは上で詳しく述べたように、サイクルjにおいて次の故障症状を検出することである。症状は、以下のものを含み得る:
- データアイテムが到着しない:ASアプリケーションタスクがレイテンシ期間中にデータアイテムをアクティブに待っているとき、到着しないデータアイテムが、アプリケーションタスクがデータアイテムを待つ時間が最大待機時間を超えるとすぐに検出される。最大待機時間は、少なくとも3msである。
- 第1のチャネル4と第2のチャネル6の間のシグネチャの差異:ASアプリケーションタスクの終わりに、2つのチャネル4、6でASアプリケーションタスクによって行われた計算の結果の合計が比較される。これは、2つのチャネル4、6が同じ計算を行うことを検証する。合計が2つのチャネル4、6で異なっている場合、これは、2つのチャネル4、6のうちの少なくとも1つが間違った計算入力を使用していることを意味する。アプリケーションタスクAS、すなわち、サイクルの終わりに合計は行われるので、この症状の検出は、セルフテスト26がサイクルjで起動されるように、先行するサイクルj-1において行われる。言い換えれば、シグネチャの差異は、先行するサイクルj-1の終わりにおよび2つのチャネル4、6で並列に、先行するサイクルj-1中に行われたアプリケーションタスクASの計算の合計を比較することからなる。先行するサイクルj-1におけるシグネチャの逸脱の検出の場合には、(
図2のフローチャートの)プロセス1のステップBからDが、現在のサイクルjにおいて行われる。
【0049】
上記の症状の1つが識別されるとき、アプリケーションタスクASは、症状を引き起こしているかもしれない構成要素の故障を識別するために、レイテンシ期間中のセルフテスト26のランの回数を増加させる。したがって、セルフテスト26は、現在の実行サイクルjの終わりまでに始められる。
【0050】
したがって、セルフテストの回数を増加させ、計算サイクルのレイテンシ期間にわたってそれらを分散させることによって、その結果として、セルフテストのカバレッジが増加される。
【0051】
第1の構成要素14、FPGAの起こり得る故障は、以下の通りである:
- 構成要素14の16個の分岐(branch)のうちの1つのはんだ接合の1つのマイクロクラッキング:マイクロクラッキングが対応する下位ビットの分岐はんだ接合に影響を与えるときを除いて、いくつかのマイクロクラックは、影響を与えないものであり得る;
- データが更新されない;
- メモリへの読み込みおよび/または書き込みのアクセス中の故障。
【0052】
第2の構成要素16、DPRAMの起こり得る故障は、以下の通りである:
- メモリ内の間違ったアドレスでのデータアイテムの記憶;
- データアイテムの不記憶;
- 以下の3つのタイプであり得る内部メモリ故障:短絡、結合の欠陥、および付着の欠陥。
【0053】
セルフテスト26によって故障が識別されるとすぐに、欠陥が検出されたトラックが安全にされ、すなわち、チャネルは隔離される。また、故障、ならびに温度、振動ステータス、エンジン速度、航空機の姿勢、エンジンの健康、故障の飛行ナンバーおよび日付などの制御ユニットのステータスについてのコンテキスト上の情報が、保守作業を容易にするために不揮発性メモリに記憶される。
【0054】
構成要素の故障が識別されない場合、監視プロセス28によってトリップが提供される。計算機を安全にすることは:
- OSタスクは、もはやASアプリケーションタスクを呼ばない、
- 制御電流はもはや計算されず、したがって、この計算機によってもはや発せられない
ことを確実にすることを意味する。
【0055】
そして、冗長性が失われる。
【国際調査報告】