公开/公告号CN104108466A
专利类型发明专利
公开/公告日2014-10-22
原文格式PDF
申请/专利权人 通用电气航空系统有限责任公司;
申请/专利号CN201410154740.0
发明设计人 S.F.阿利;
申请日2014-04-17
分类号B64C19/02;
代理机构中国专利代理(香港)有限公司;
代理人叶晓勇
地址 美国密执安州
入库时间 2023-12-17 01:00:24
法律状态公告日
法律状态信息
法律状态
2017-04-12
授权
授权
2014-11-26
实质审查的生效 IPC(主分类):B64C19/02 申请日:20140417
实质审查的生效
2014-10-22
公开
公开
技术领域
在航空中,自动着陆系统使飞行器飞行的着陆阶段完全自动化,其中人类由机组人员监督该过程。响应于外部刺激,自动着陆系统主要在可见性差且无风或者稳定风的条件下使用。
背景技术
典型的自动着陆系统包括仪表着陆系统(ILS)无线电,具有集成的下滑道接收器、航向接收器、或许还有GPS接收器,来接收航向和下滑道信号。该无线电的输出是从中心的“偏离”,其被提供给飞行控制计算机以指引飞行控制系统和飞行器控制面,来维持飞行器中心位于该航向和下滑道。飞行控制系统另外控制油门,以维持适当的进场速度。在飞行器起落架放下之后,自动着陆系统还可以包含结合自动制动系统来自动制动至完全停止,并且有时自动展开阻流板和反推装置。
飞行器自动着陆由严格的规程支配,以保证飞行器以非常高的概率安全着陆在跑道上的指定区域(着陆框,landing box)。证实符合这些规程是个非常昂贵的过程,该过程包含模拟、飞行测试、统计和分析。因为未能安全执行着陆可能导致灾难性的后果,所以相关的系统必须通过最严格的设计保障等级(DAL)DAL A。
发明内容
在一个方面中,一种操作具有自动飞行系统的飞行器的方法,所述自动飞行系统包括向飞行控制系统提供输入的飞行引导功能性和自动着陆功能性,所述方法包含:通过从设计保障等级(DAL)B或更低的飞行引导程序向飞行控制系统提供输入,来驾驶飞行器;以及响应于对自动着陆功能性的请求,从飞行引导程序切换至DAL A自动着陆程序,用于向所述飞行控制系统提供输入。DAL A程序驻留在飞行器的计算机的存储器中与飞行引导程序分开的软件分区中。
在另一个方面中,一种用于飞行器的飞行系统,所述飞行器具有用于控制飞行器的飞行的多个控制面,所述飞行系统包含:飞行控制系统,接收飞行控制输入,并根据所述飞行控制输入来控制所述控制面的操作;以及航电系统。航电系统还包含:至少一个计算机,具有对应的存储器;飞行引导程序,具有B或更低的设计保障等级(DAL),存储在存储器中,并对所述飞行控制系统提供控制输入来控制所述飞行器的飞行;自动着陆程序,具有DAL A,存储在存储器的与飞行引导程序分开的软件分区中,并对飞行控制系统提供控制输入来控制所述飞行器的自动着陆;以及切换程序,驻留在存储器中来控制所述飞行引导程序和所述自动着陆程序中的哪个向飞行控制系统提供控制输入。当所述自动着陆程序被所述切换程序选择时,所述自动着陆程序从所述飞行引导程序接管所述飞行控制系统的控制。
按照本公开的第一方面,提供一种操作具有自动飞行系统的飞行器的方法,所述自动飞行系统包括向飞行控制系统提供输入的飞行引导功能性和自动着陆功能性,所述方法包括:
通过从设计保障等级(DAL)B或更低的飞行引导程序向所述飞行控制系统提供输入,来驾驶所述飞行器;以及
响应于对自动着陆功能性的请求,从所述飞行引导程序切换至DAL A自动着陆程序,用于向所述飞行控制系统提供输入,
其中,所述DAL A程序驻留在所述飞行器的计算机的存储器中与所述飞行引导程序分开的软件分区中。
按照第一方面的方法,还包括当所述自动着陆功能性向所述飞行控制系统提供输入时,在所述飞行器的主飞行显示器上提供指示。
按照第一方面的方法,其中,所述提供指示包括提供对所述自动着陆功能性的选择的指示。
按照第一方面的方法,还包括停止从所述飞行引导程序向所述飞行控制系统的数据通信。
按照第一方面的方法,还包括当停止从所述飞行引导程序向所述飞行控制系统的数据通信时,许可从所述飞行控制系统向所述飞行引导程序的数据通信。
按照第一方面的方法,还包括当主飞行显示器是DAL A时,许可从所述主飞行显示器向所述自动着陆程序的数据通信。
按照第一方面的方法,还包括许可所述主飞行显示器与所述自动着陆程序之间的双向通信。
按照第一方面的方法,还包括当主飞行显示器是DAL A时,许可从所述主飞行显示器向所述自动着陆程序的数据通信。
按照第一方面的方法,还包括许可所述主飞行显示器与所述自动着陆程序之间的双向通信。
按照本公开的第二方面,提供一种用于飞行器的飞行系统,所述飞行器具有用于控制所述飞行器的飞行的多个控制面,所述飞行系统包括:
飞行控制系统,接收飞行控制输入,并根据所述飞行控制输入来控制所述控制面的操作;以及
航电系统,包括:
至少一个计算机,具有对应的存储器;
飞行引导程序,具有B或更低的设计保障等级(DAL),存储在所述存储器中,并对所述飞行控制系统提供控制输入来控制所述飞行器的飞行;
自动着陆程序,具有DAL A,存储在所述存储器中作为与所述飞行引导程序分开的软件分区,并对所述飞行控制系统提供控制输入来控制所述飞行器的自动着陆;以及
切换程序,驻留在所述存储器中来控制所述飞行引导程序和所述自动着陆程序中的哪个向所述飞行控制系统提供所述控制输入,
其中,当所述自动着陆程序被所述切换程序选择时,所述自动着陆程序从所述飞行引导程序接管所述飞行控制系统的控制。
按照第二方面的飞行系统,其中,所述对应的存储器包括多个存储器设备。
按照第二方面的飞行系统,其中,所述飞行引导程序驻留在所述多个存储器设备中的一个上,并且所述自动着陆程序驻留在所述多个存储器设备中的另一个上。
按照第二方面的飞行系统,其中,具有对应的存储器的所述至少一个计算机包括具有对应的存储器的多个计算机。
按照第二方面的飞行系统,其中,所述飞行引导程序驻留在所述多个计算机中的一个的所述对应的存储器上,所述自动着陆程序驻留在所述多个计算机中的另一个的对应的存储器上。
按照第二方面的飞行系统,还包括具有DAL A、与所述自动着陆程序通信的主飞行显示器(PFD)。
按照第二方面的飞行系统,其中,所述PFD与所述自动着陆程序双向通信。
按照第二方面的飞行系统,其中,所述航电系统包括非DAL A系统,当所述自动着陆程序被所述切换程序选择时,其不与所述自动着陆程序通信。
附图说明
在附图中:
图1是依据本发明的一个实施例的自动飞行系统的概要视图。
具体实施方式
本发明的实施例可以在使用自动着陆系统的任何飞行器环境中实现,但目前考虑的是在飞行器的软件分区中实现,其中,自动着陆系统被认证为诸如商用飞行器中的、高等级的设计保障等级(DAL)。因此,所考虑的系统环境的简要说明会帮助更完整的理解。
现代飞行器含有执行飞行器的单独的或者系统功能的航电系统。这些电子系统的示例包含通信、导航、多个系统的显示与管理、防撞、天气雷达、以及甚至健康与使用监控系统。
一个具体的航电系统是飞行控制系统(FCS),是飞行控制面、驾驶舱控制、引擎控制、和飞行中控制飞行器的方向所必需的操作机构的系统。该系统允许由飞行员或者另一个航电系统通过启动飞行器的控制面或者引擎的推力产生,来控制滚转、俯仰、偏航、空速。飞行控制系统可以通过机械、液压机械、或者通过(在当前的实施例中特别关注的)“电传操纵(fly-by-wire)”系统中的电子传输信号和控制计算机,来做出从驾驶舱至面和引擎所必需的链接。在电传操纵系统中,主飞行控制计算机基于飞行员或者飞行系统输入来支配飞行控制面。
用于显示包含飞行控制系统的各种航电系统的一个这种界面是位于驾驶舱的主飞行显示器(PFD)。同很多显示器一样,PFD是围绕LCD或者CRT显示设备建立的。另外,PFD使用其他航电系统使用空气压力和气压表读数来精确给出高度、空速、垂直速度、和其他测量。空气数据计算机分析信息,并以可读格式将其显示给飞行员。
另一个航电系统是飞行管理系统(FMS)。FMS包含飞行计划、飞行路径的产生、与航路点相联系的速度曲线、以及其他飞行计划方面。然而,FMS不包含执行飞行路径或者速度命令所必需的系统。飞行路径或者速度命令的主要执行通过飞行员的手动控制执行,或者备选地通过与又一个航电系统、飞行引导系统(FGS)交互而执行。
FGS主要意图辅助飞行机组人员对飞行器的基本控制和策略引导。该系统还可以使飞行员的工作量减少,并提供更精确地沿飞行路径飞行的手段,以支持具体的操作要求、诸如缩小的垂直间隔(RVSM)或者所需导航性能(RNP)。当使用FGS时,FMS为了自动导航和速度控制提供引导命令。在一些实施例中,FGS可以包含自动飞行系统的组件。
自动飞行或自动驾驶系统被用于在没有来自飞行员的辅助的情况下引导交通工具。自动驾驶系统从机载无线电导航系统和其他仪器接收输入,以许可飞行器例如在不用飞行员注意的情况下在罗经航向上直线并水平飞行。现代自动驾驶系统使用计算机软件来控制飞行器。软件读出飞行器的当前位置,然后指示飞行控制系统来引导飞行器。现代复杂飞行器中的自动驾驶系统一般将飞行分为起飞、上升、巡航(水平飞行)、下降、进场和着陆阶段。
自动驾驶系统的细分、在跑道上受控着陆称为自动着陆。自动着陆系统使飞行器的飞行的着陆阶段完全自动化,其中人类机组人员监督该过程。响应于外部刺激,自动着陆系统主要在可见性差且无风或者风速稳定的条件下使用。
典型的自动着陆系统包括仪表着陆系统(ILS)无线电,具有集成的下滑道接收器、航向接收器、或许还有GPS接收器,来接收航向和下滑道信号。该无线电的输出是从中心的“偏离”,其被提供给飞行控制计算机以控制飞行器控制面,来维持飞行器中心位于该航向和下滑道,并且控制油门来维持适当的进场速度。在飞行器起落架放下之后,自动着陆系统还可以包含结合自动制动系统来自动制动至完全停止,并且有时自动展开阻流板和反推装置。
由于包含自动飞行和自动着陆的很多现代航电系统主要基于软件,因此需要特殊的软件认证要求。用于机载航电系统的软件的安全性由联邦航空管理局(FAA)的文件DO-178B、Software Considerations in Airborne Systems and Equipment Certification的适用来引导。该文件用于引导,以确定给定的软件是否会在机载环境中可靠执行。软件等级、也称为设计保障等级(DAL)是通过检查特定系统中的故障情况的效果、从安全性评估过程和事故分析来确定的。故障情况是按照其对飞行器、机组人员和乘客的效果分类的,按降序从A至E。在下面的讨论中,符合DAL A被称为“高于”或“超过”符合DAL B、C、D和E,而符合DAL B或者DAL C被称为“低于”或“不如”符合DAL A。表1示出DAL等级、故障情况、对飞行器的故障效果。
表1:DAL等级和故障效果
DO-178B不只意图保证软件安全性方面。设计中的并且当实现为功能性的安全性属性必须接收额外的强制系统安全性任务,来驱动并示出满足明确的安全性要求的客观证据。这些软件安全性任务和产物是记录在系统安全性评估(SSA)中的事故的严重程度和DAL确定的过程的整体支持部分。认证机构要求且DO-178B规定了使用建立DAL等级A-E的这些综合分析方法来建立正确的DAL。正是软件安全性分析来驱动系统安全性评估,系统安全性评估确定驱动DO-178B中适当的严格等级的DAL。此外,不同DAL等级的航电系统之间的交互必须结合数据和计算完整性保护,以保证认证的操作有效性。因此,DO-178B中心主题是已建立前提安全性要求后的设计保障和核实。
各种符合DAL的软件程序驻留在至少一个计算机系统中,每个计算机系统具有用于程序存储的一个或多个对应的存储器设备。符合不同DAL等级的、多个符合DAL的软件程序可以驻留在单个的存储器设备中、跨多个计算机的多个存储器设备中、或者一个或多个存储器设备中的分开的软件分区中,使得符合更高等级的DAL的软件的完整性不会被低等级DAL软件损害。在这个意义上,当单个的硬件模块或者计算机系统被分为多个逻辑单元,其中每个逻辑单元能够同时完成对于航电系统的给定的任务时,会发生软件划分,而不会损害任何其他被划分的航电系统。每个软件分区独立地被DAL认证。
证实符合这些规程是个昂贵的过程,包含模拟、飞行、测试、统计和分析。在很多实例中,对比符合DAL B或者C的系统,开发符合DAL A的系统的成本显著更加昂贵且资源密集。例如,开发符合DAL A的飞行引导系统的成本更贵,估计为符合DAL B或者C的飞行引导系统的成本的三倍。因此,符合DO-178B的软件的开发成本随着DAL等级的升高而增加。因为未能安全执行着陆可能导致灾难性的后果,所以相关的系统需要通过最严格的符合等级、DAL A。
如图1所示,自动飞行系统10包括具有飞行模式通报系统14的主飞行显示器(PFD)12、飞行引导系统(FGS)16、和飞行管理系统(FMS)18。PFD 12、FGS 16和FMS 18中的每个表现为软件组件,即使其每个可以具有物理组件。用于软件组件的示范性物理组件可以是专用计算设备,诸如GE B787通用核心系统。飞行模式通报系统14用于向飞行员指示或者通报特定操作。PFD 12可以结合额外的指示器、诸如光或者显示组件,向飞行员指示特定操作或者功能性。例如,PFD 12可以具有至少一个这种LED,当选择、已选择、或者使用自动着陆功能性时该LED点亮。可以想到用于指示自动着陆和其他系统操作的额外方法。
PFD 12以实现PFD 12与FGS 16之间的双向通信的方式与FGS 16接口。类似地,FGS 16以实现FGS 16与FMS 18之间的双向通信的方式与FMS 18接口。在当前实施例中,PFD 12符合DAL A,而FGS 16和FMS 18两者不如符合DAL A。例如,FGS 16可以符合DAL B,而FMS 18可以符合DAL C。
自动飞行系统10还包括自动着陆系统20,自动着陆系统20具有自动着陆控制器22、诸如监控器24的感测组件、以及开关26。自动着陆控制器22还包含操作飞行器着陆的自动着陆引导所必需的组件和程序。监控器24配置为对飞行器传感器或者系统轮询,以感测预定义的触发事件。如果感测到触发事件,则监控器24可以启动开关26。开关26可以是将电连接物理地耦合与去耦合的设备,或者可以是允许特定信号通过设备的电子开关。
自动着陆系统20还包括将FGS 16耦合至开关26的双向直通耦合28、将自动着陆控制器22耦合至开关26的双向自动着陆耦合30、以及在开关26的输出处的自动着陆系统输出32。自动着陆系统20以如下方式配置:当自动着陆功能性无效时、或者有效但是还未操作时,开关26处于第一位置,允许FGS 16经由自动着陆系统20的直通耦合28和开关26连接至自动着陆系统输出32。通过这样,自动着陆系统20许可从FGS 16向自动着陆系统输出32的双向数据通信,而不用任何另外的处理。
自动着陆系统20进一步以如下方式配置:当自动着陆功能性有效且可操作时,开关26处于第二位置,允许自动着陆控制器22经由自动着陆耦合30和开关26连接至自动着陆系统输出32。通过这样,自动着陆系统20许可从自动着陆控制器22向自动着陆系统输出32的双向数据通信,并停止从FGS 16向自动着陆系统输出32的数据通信。在该配置中,自动着陆系统20另外许可PFD 12与自动着陆控制器22之间的双向通信。
自动飞行系统10还包括耦合至自动着陆系统输出32的飞行控制系统(FCS)34,用于与FGS 16或者自动着陆控制器22双向数据通信。
在飞行器的操作期间,由具有DAL B或更低等级FGS 16的自动飞行系统10执行飞行。在该时间期间,自动着陆功能性无效,并且因此,开关26处于第一位置。所以,FGS 16使用自动着陆系统20的直通耦合28来控制FCS 34。在该模式下,在PFD 12上没有指示器示出自动着陆系统20的激活。另外,飞行模式通报系统14或者不做出通告,或者不做出有关自动着陆功能的通告。
然后飞行员经由符合DAL A的环境的PFD 12、或者诸如按钮的另一个界面来请求自动着陆功能性。在自动着陆系统20接管FCS 34的控制的准备中,PFD 12与符合DAL A的环境的自动着陆系统20的监控器24和自动着陆控制器22双向通信。另外,PFD 12与FGS 16双向通信,同时保留PFD 12的DAL A等级完整性,使得PFD 12检查飞行器操作条件并决定自动着陆系统20是否能够执行自动着陆。在这个意义上,自动着陆功能性有效,但是还未操作。
如果条件检查的结果为“是”,那么FGS 16修改引导来开始用于着陆的进场矢量和速度。在该时间期间,FGS 16仍然控制FCS 34。在该模式下,在PFD 12上可能有示出自动着陆系统20有效,但是并非自动着陆系统控制飞行器的指示器。另外,飞行模式通报系统14可以做出相同指示的通告。
接下来,监控器24开始测量触发条件,以将FCS 34的控制切换至自动着陆控制器22。一旦诸如飞行器经过规定的高度以下的触发条件被监控器24测量到,则监控器24将开关26指引至第二位置,停止由FGS 16控制FCS 34,并实现由自动着陆控制器22控制FCS 34。在该时间期间,没有与自动着陆系统20通信的不如符合DAL A的航电系统。在该模式下,指示器可以存在于PFD 12,指示自动着陆功能性有效、可操作,并控制飞行器。另外,飞行模式通报系统14可以做出相同指示的通告。符合DAL A的自动着陆系统20指引FCS 34,直至飞行器安全着陆。
另外已知的是在自动着陆功能性期间,即使FGS 16可能不指引FCS 34,FGS 16仍然是可操作的,使得如果飞行员中止自动着陆功能性,或者如果自动着陆系统20变得无法继续自动着陆功能性,则开关26可以替换回第一位置,FGS 16将再次接管FCS 34的控制。
由本公开可以想到除了上述图中示出的之外很多其他可能的实施例和配置。例如可以想到如下配置,其中,当处于第二位置时,开关26仅使从FGS 16向自动着陆系统输出32的方向的数据通信无效。在该配置中,当使用自动着陆系统20时,在FCS 34至FGS 16方向的数据通信仍然被许可。想到另一个示例,其中,与当开关26仅处于第二位置时相对,自动着陆控制器22总是与PFD 12双向数据通信。另一个实施例可以包含符合DAL B或者C的PFD 12,其中,PFD 12与自动着陆系统20之间的任何数据通信是从自动着陆系统20向PFD 12的单向,或者当自动着陆功能性可操作时,PFD 12不再与自动着陆系统20通信,以便维持DAL A数据和软件完整性。由本公开想到的又一个示例包含用于一个或多个航电系统的硬件分区、诸如分开的物理计算机模块,而不是所说明的软件分区。
本文公开的实施例提供用于飞行器的飞行系统及其操作方法,用于在符合DAL A的系统中提供自动着陆功能性。可以在上述实施例中实现的一个优点是,上述说明的实施例实现自动着陆系统软件模块的DAL A认证,其中,技术效果是,软件模块可以合并,而不用在由软件分区分开的单个的硬件模块中额外的DAL A认证的软件模块。因此,可以减小单独化硬件模块的数量,导致更低的重量和空间要求。另外,自动着陆系统可以是DAL A认证的,而不用必须将所有的自动飞行和飞行管理系统升级至更高标准的DAL等级A,同时仍然对自动着陆系统提供DAL A的完整性。典型地,升级整个自动飞行系统或者飞行管理系统包含很多的、跨操作的所有模式的DAL A标准的验证。将操作的所有模式带给DAL A标准会使开发成本倍增。
因此,由于更少的系统可用于更严格的DAL A标准,因此在FAA和DO-178B下的认证和验证的时间和成本降低。因此,上述实施例具有减小的时间和成本要求,导致竞争优势。
该书面说明使用包含最佳模式的示例公开了本发明,另外能使本领域的技术人员将本发明付诸实践,包含制造并使用任何设备或系统并执行任何结合的方法。本发明的可专利的范围由权利要求定义,并可以包含本领域的技术人员能想到的其他示例。如果该其他示例具有没有不同于权利要求的字面语言的构成要素,或者如果其包含与权利要求的字面语言具有非实质差异的等同构成要素,那么该其他示例预期落入权利要求的范围内。
机译: 具有自动着陆系统的飞机的飞行系统
机译: 具有自动着陆系统的飞机飞行系统
机译: 具有自动着陆系统的飞机的飞行系统
