航空機管理システムのアーキテクチャ

「私たちはあなたが飛ぶことを恐れないように働きます」





図1.風洞内のボンバルディアBD 500モデル



スローガンだったので、仕事のために何とか思いついた。 航空機制御システムの開発の本質を完全に表現しています。 そして、正直に言うと、これが世界中の現代の航空機制御システムのすべての開発者のモットーになりたいと思います。 なぜなら、飛行機は最も安全な輸送手段の1つであるとよく耳にしますが、世界中の何千人もの人々が飛行機を恐れて座席の腕にしがみついているためです...そして、多くの場合、すべての恐怖の理由は不明です。 このような壊れやすいデザイン、地上にぶら下がっているコード、ワイヤーやコードの断片、スチュワーデスの笑顔の隠れたベール、プログラムコードの秘密などを信頼する必要がある場合。 そして、これは明らかにする価値があります。



驚いたことに、私の以前の記事は、Habréとその限界を超えて予想外に大きな共鳴を引き起こしました。 私はいくつかの質問をされ、多くの不満を表明し、法的に「閉鎖された地域」と呼んでいました。 この意見に反して、この記事で説明したこと、およびこの記事で説明する内容はすべてインターネットで見つけることができます。 多分異なる言語で散らばっているかもしれませんが、一つの事実がノウハウではありません。 私の記事の目的は、読者に素晴らしい航空分野を紹介し、私が蓄積したすべての経験と知識を分類することです。 私が提起した問題のあるトピックや質問については、素晴らしい本「他の人があなたのことをどう思うか」でファインマン氏が説明した同様のケースを思い出したいと思います。 誰かが読んでいない場合は、必ず読んでください。 そこでリチャードはNASAで問題について話します。 シャトルクラッシュの原因となった問題について。 そして、それらを書いた機器、プログラム、プログラマーは常に有罪であるとは限らず、しばしば寛容、事実の隠蔽、そして保守的な決定が有罪である。 そして、あなたは何を知っていますか？ この事件と宣伝のためにNASAは悪化しませんでしたが、悲しいことにかかわらず、それ自体の経験から学んだだけです。 プレステージは落ちなかっただけでなく、成長し、 NASAは問題を解決し、それらを認識することができる組織であることが証明されました。 なぜなら、宇宙も航空も偉大な企業や忠実な人々が働く壮大な地域だからです。 そして、飛行機にトイレを設置した後、空はロマンチックな場所ではなくなったと言う人を信じないでください。



自動化は素晴らしいです。 不可欠です。 疲労を軽減し、安全性を高めます。 しかし、それが壊れたらどうしますか？



もちろん、皆さんは、 マーフィーの法則が機能することを知っています。そして、彼らの一人は、破ることができるものはすべて破られると言います。 壊れることのないものもすべて壊れます。 機器の故障の割合が何であれ、故障の可能性は存在します。 しかし、これらの障害を最小限に抑える方法があります。 そして、まず第一に、これらはハードウェアとソフトウェアの複合体のアーキテクチャ上の特徴です。





図2. T-4



現代の航空機は、いわゆるEDSU-電気遠隔制御システムによって制御されます。 これは実際にはそれほど目新しいものではありません。 初めて、このようなシステムがソビエトのマキシムゴーリキー航空機に搭載され、電流を送信することで表面を制御しました（アナログEMF）。 後に、軍事装備では、ソビエトT-4では完全デジタル形式で、 エアバスA320およびTu-204では民間航空で表示されます。 それにもかかわらず、まだ何も残っておらず、技術が改善され、新しいアプローチが開発され、新しいレベルのセキュリティが達成されています。

EMF

emfとは何ですか？ まず第一に、それは以下で構成されるハードウェアとソフトウェアの複合体です。

• 航空機操縦翼面ドライブ
• 制御センサー
• 制御システム
• ディスプレイシステムと補助システム
• 通信および電力システム

通常、各システムは少なくとも1回は複製されます。 必要な制御法、価格、およびレイアウトの決定に応じて、アーキテクチャは異なる場合があります-より多くの複製、制御、電源回路、または逆に、より少なく含まれます。 また、EMDSと機械式、油圧機械式制御システムの組み合わせも可能です。





図3. EMDSの構造図



EMDSを使用すると、主に制御システムの重量が大幅に削減されます。これは、重要な航空機では非常に重要です。 また、より柔軟なレイアウトオプションも提供され、多くの場合、飛行機のアクセス可能なほとんどすべての場所に制御システムを配置できます。 ちなみに、 フライバイワイヤ制御は、フライバイライト（光学を使用）やフライバイワイヤレス（ワイヤレステクノロジーを使用）。 重量を減らしてレイアウトを簡素化すると、以前に作動していた回路の1つが故障した状態で航空機を通常制御する追加の回路を入力できます。 可能であれば、自動モードで飛行パラメータを制御し、パイロットのコマンドを調整することにより、人的要因を減らすことができます。 重要な航空機システムのステータスをリアルタイムで監視し、最短時間でエラーを検出、追跡し、可能であれば修正することができます。





図4. EMDS機能図



ただし、このようなシステムの設計プロセスでは、適切なアーキテクチャを作成することが重要です。 これは、EDSUの最も脆弱な場所です。 最も典型的なエラーケースは次のとおりです。

• システムの電源への依存。これは機械的制御の場合は災害ですが、航空機全体の制御の喪失にはつながりません（ Tu-154の着陸 ）。
• 制御システムの誤った複製（ An-148のインシデント ）
• 「愚かな」ソフトウェアエラー。たとえば、赤道またはタイムゾーンを通過する際の符号の変更、民間航空機での負の速度の可能性など。

制御システムのアーキテクチャがどのようなものであっても、それらは次のことによって統合されます。

• 管理の重複
• 応答信号の存在（ フィードバック ）
• 自己制御システム（制御部と制御部への分離）。

残念ながら、ソビエトの航空機で使用された技術についてはわかりませんが、外国のプロジェクトとロシアのプロジェクトの両方に当てはまる現代のアプローチに似ていると思います。

制御システム

典型的な制御システムの構成は次のとおりです。

• PFC-Primary Flight Computer-すべての制御法則を含み、センサーおよびフィードバックからのすべての着信データを分析し、電子機器による実行用のデータを提供できる中央制御コンピューター。 飛行機のPFCは1（最も単純または安価なシステム）、2と3のいずれかです。PFCは通常モードで同時に動作します。
• ACE-アクチュエータ制御電子-アクチュエータ（ドライブ）によるエグゼクティブ制御モジュール。 メインコンピューターに障害が発生した場合の表面制御ロジックの一部が含まれます。 アクチュエータによる実行のためのコマンドを直接送信します。 タイプに応じて、電気駆動と油圧駆動の両方を制御するように設計されています。 ACEもアーキテクチャに応じて複製されます。
• 制御ノブ（ハンドル\ハンドル（サイドスティック）、ペダルなど）。
• インジケーター\情報画面。
• アクチュエータ。
• パワーエレクトロニクス（制御モジュールに含まれていない場合）。

図5. EMFボーイング777



システムの複雑さに応じて、追加のデバイスを追加したり、既存のデバイスを分割したりできます。 いずれにしても、システムの正しい複製と設計では、主な原則は「相違点」の原則への準拠です。つまり、複製モードで動作する各要素に対して、さまざまな電子部品、プロセッサ、プログラミング言語を適用し、異なるコードを記述し、接続ワイヤはさまざまな方法で独立して敷設されます。

制御電子機器

制御コンピューター（PFC）およびエグゼクティブモジュール（ACE）は、いくつかの独立したチャネルで構成されています。 最も単純なケースでは、実行するコマンドを計算する制御チャネル（制御チャネル）と、コマンドの正確性をチェックする制御チャネル（監視チャネル）で構成されます。 簡単にするために、1つ目は飛行機の挙動の動的モデルに基づいて複雑な制御法則を使用して計算された最も正確なデータを生成し、2つ目は受信機からの環境の評価に基づいて正しい評価を行い、「平均化されたバージョン「しかし、制御チャネルよりも速く実行し、実行用のコマンドが渡されてエラーを処理する前に新しい不正な信号をブロックする機能を備えています。





図6.ボーイング777のPFCアーキテクチャ図



プロジェクトに応じて、異なる数のモジュールとそれらの内部の異なるチャネルの組み合わせが使用されます。 たとえば、ボーイング777では、それぞれに3つのチャネルを持つ3つのメインコンピューターがあります。 さらに、各チャネルは異なる役割を果たすことができますが、それらの1つは常に制御チャネルであり、他の2つの制御です。 たとえば、ボーイングでは、1つのMC、1つのCC、および1つのホットスタンバイチャネルを持つ回路が一般的です。 他の構成では、パワーエレクトロニクスを制御するためのチャネル、またはセットアップと設計の目的のための拡張ボードまたは障害挿入ボードを個別にセットアップすることもできます。 チャネル間の通信は通常、 CANバスまたはspacewireや1394などのかなり高速なバスで行われます。...主な基準はデータ転送速度です。



航空における制御モジュールと周辺機器間の通信は、従来、 ARINCバスを介して行われていました。 一般的な場合、主な基準は、遠距離でも信頼性です。





図7.典型的な制御システムの実装の簡略図。



アナログおよびデジタル信号も直接使用されます。 古典的なレイアウトは、ACE内でADC \ DAC （アナログ-デジタルおよびデジタル-アナログコンバーター）を使用してセンサーをポーリングし、ドライブにコマンドを送信し、敏感な制御にリゾルバーを使用します。 ディスクリート信号の使用-同期（クロックジェネレーターを含む）、ピンコーディング（モジュールの位置と役割の決定）モジュール。 原則として、モジュールは相互の状態を認識しており、多くの場合、バックアップモジュールがメインモジュールの状態を取得してアクティブモードに切り替えると、数秒以内に以前のメインモジュールを置き換える「ホット」スタートがアーキテクチャに含まれます。 ACEとPFCはLRUモジュール（Line Replaceable Unit）、つまり線形交換モジュールです。これは、通信システム全体を交換（変更）する必要なく、1つのモジュール（拡張カードなど）を類似のモジュールと交換できることを意味します。 同様のアーキテクチャが、シャーシ、油圧、ハッチの制御システムなど、システムのコンポーネントに個別に使用されます。



さまざまなデバイスのコラボレーションに基づいて意思決定を行うことは複雑な質問であり、明確に答えることはできません。 さまざまなソリューションがあります：同期、ステータス（エラー）データを使用した平均的なソリューション、失敗したモジュールを検出して無効にする方法、および作業シナリオ。 たとえば、2つの同一チームと1つの優秀なチームが存在する状態で3つのPFCを使用すると、優秀なチームは拒否されます。 3つの異なるものを使用すると、2つのPFCのみを使用するシステムの異なる読み取り値と同様に、システムが無効になります。 EMFを機械制御システムで複製する際の作業アルゴリズムを含め、多くの異なるロジックが存在する可能性があります。 後者の場合、機械制御システムに障害が発生した場合、EDSUに障害を通知し、緊急モードに切り替えることでこれに対応する必要があるため、障害の確率が高くなります。





図8.電気油圧システムのACEペア設計

動作モード。

環境に応じて、システムはさまざまなモードで機能します 。 典型的なモードは次のとおりです。

• Init Mode-デバイスブートモード。通常、内部テストと外部テストを同期して実行することにより、デバイスの状態を判別します。
• 通常モードは通常のモードで、飛行プロセスはメインコンピューターによって制御され、パイロットのコマンドは制御法則に従って調整されます。 たとえば、これにより、コマンドの無効な組み合わせを禁止できます-攻撃の重要な角度、ロール、ガスを禁止し、無効なコマンド（たとえば、空中着陸装置）を禁止し、外部パラメーター（風、エンジン推力、機体機能）に応じて表面を減衰させます 通常モードでは、PFCからのコマンドはACEの無条件実行に送信されますが、ACEはPFCのステータスをポーリングすることで信号の有効性をチェックします。 また、通常モードは、空中モードとホイールオンウェイトモードに分けられる場合があります。これらのモードは、駐車、タクシー、離陸/着陸モードに分けられます。 現代の分類によれば、通常モードの一部の制御システムは、 IFCS （インテリジェントフライトコントロールシステム-インテリジェントコントロールシステム）に割り当てることができます。 誇りの理由として、私はスホーイスーパージェット用に設計されたレールでのフライトを提供する民間航空の最初で最高の1つに言及することができます。 将来的には、そのようなシステムが制御下で人工知能のフルパワーを使用することを願っています。
• 代替\二次法-ACEとPFCロジックを組み合わせたり、通常の制御法を事前に較正された法に置き換えることができる特別なモード。 これは特別なモードであり、航空機の非定型的な動作を達成する必要がある場合、または特別ではあるが重要ではない場合（低電力消費モード、表面欠陥）でエアバス\ボーイング航空機に典型的です。
• 直接モード-直接制御モード。 この制御モードでは、PFCを使用せずに、制御からACEに直接コマンドを送信します。 実際、ACEが機能している場合、パイロットから受信した信号の制御と変換の法則が制限されているため、実質的に直接的なものです。 ACEが失われると、表面全体も失われます。
• 機械法則-機械制御モード。 バックアップ機械制御システムがある場合に可能です。 飛行機では次第に見えなくなりますが、それでも、ACEが失われた場合でも、いくつかの表面を制御できます。
• フェイルセーフモード-デバイスまたはそれに関連する重要なシステムの障害を示す障害モード。 通常、機器（ハードウェアまたはソフトウェア）または制御されたデバイスの両方の障害の結果です。 それにも関わらず、それは重大に分けられます-地上保守および/または機器の交換によってのみ出力が可能である場合、およびシステムを診断することによって作業モード（ロジックに応じて直接、通常、代替）に戻される修正可能な障害によってのみ可能またはその飛行再開。
• リギング（キャリブレーション）モード-サービスモード、地上での機器キャリブレーション-航空機のキャリブレーションパラメーターの変更（たとえば、ジオメトリに応じて、または以前に飛行機で故障したことがあります）。 通常は、地上で定期的に（メンテナンス）またはエラーの後に（フェイルセーフモードでクラッシュ）開始されます。 メンテナンスは、モジュールの取り外しと内部ポート（RS232、USB）を介したデータの読み取り、およびターミナル（RS232、LAN）またはUSB、COM、LAN経由のOMS（オンボードメンテナンスシステム）を使用した飛行機での直接読み取りの両方で実行されます。

図9. 4つのPFC操作チャート

複製と保護についてもう一度

技術的な詳細や特定の実装に入らないように、簡単に要約します。各システムは複製されています。 そのため、制御モジュールに加えて、電源回路（3つ以上）、磁気ロック、センサー、デバイスからのメッセージ、制御ノブが複製されます。 各情報には確認が必要です。 そのため、エラーを診断するには、その重大度に応じて、通常はさまざまなデバイスから一度に確認するのに時間がかかります（干渉により事前にシステムを切断しないように）。 障害または複数の障害が発生した場合でも、代替モードで制御することができます。 これは、さまざまなハードウェアとソフトウェアを使用して実現されます。 そのため、同じデバイスに対して、異なるチャネルの異なるプロセッサと回路基板が使用されます。 たとえば、モトローラのプロセッサであるコントロールチャネルの場合、インフィニオンのモニタの場合、別のLRUの場合-テキサスインスツルメンツの場合などです。さまざまなコンパイラが使用され、異なるコードが記述されています。 理想的には、異なるPFC \ ACEにも異なるハードウェアおよびソフトウェアソリューションが必要ですが、単純な場合（これは常に技術的および経済的に可能であるとは限らない）、異なるピンコーディングと空間でのモジュールの異なる配置によって非類似性が達成されます。 システムは「愚か者から」理想的に保護されます。 まず第一に、人的要因から。 以下-重大な状態（短絡モード、電力損失、高温および低温）から、およびマーフィーによる不可能なイベントから。 コードでは、これは、たとえばパロノイドプログラミングに変換されます 。





図10. 4つのPFCペア

コード

static bool_t CANInterface_StripStatusData (CanMsgFrm_t * CanRxMsg_ip) { /*#FUNCTION_SIGNATURE# CANInterface_StripStatusData */ bool_t bSuccess = TRUE; /* Extract data from message ID 0xN using following layout: */ /* ------------------------------------------------------------------------------------- */ /* | Layout | Range | Name | Unit Ident | Description | */ /* |-----------------------------------------------------------------------------------| */ /* | Byte 0 | 0, 1 | ConsNgWow | 1, 2 | Consolidated Nose Gear | */ /* | Bit 0 | | | | Weight on Wheel | */ /* |-----------------------------------------------------------------------------------| */ /* If data is send trough valid pointer */ if (CanRxMsg_ip EQU_C NULL_C) { bSuccess = FALSE; } else { /* Process, only if unit is valid */ /* There is no data clipping and loss, we extracting only actual bits from message. */ if (cUnitIdent_g EQU_C UNIT_IDENT_UNIT1_E) { bConsNgWow_g = (bool_t)(CanRxMsg_ip->Message.cUint8_a[ZERO_C] & BITMASK_ONE_BIT_C); /* … */ /* Other bits are spare here, not used in this message */ } else if (cUnitIdent_g EQU_C UNIT_IDENT_UNIT2_E) { bConsNgWow_g = (bool_t)(CanRxMsg_ip->Message.cUint8_a[ZERO_C] & BITMASK_ONE_BIT_C); } else { bSuccess = FALSE; } } return(bSuccess); /*#end ACD# CANInterface_StripStatusData */ }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

典型的なコーディング標準に精通している人は、このコードの通常の規則に従うことを学びます。 一般に、このようなコードは最良で最適ではありませんが、不可能な状況の排除を保証します。

1. オブジェクトのアドレスが渡されるため、nullポインターで関数を呼び出すことはできません。 それにもかかわらず、ポインターとゼロの違いはチェックされます。 私の実践では、無効なポインターが複数回エラーが発生しました。これらのエラーは、通常のスタック操作中でも1台のマシンで発生し、どのような状況でも別のマシンでは発生しません。
2. アーキテクチャがいったん変更された場合、変更を追跡する必要がなく、またランダムなコンテキスト置換を実行して何かを壊すことがより困難である場合、すべてのマジックナンバーは定数に置き換えられます。
3. 必須の型変換はMISRAルールであり、頻繁に不当に行われることにより、符号付きの\符号なしの変換と符号の損失をキャッチできます。
4. この場合のboolはtrueまたはfalseにしかなれないため、1つのビットマスクはばかげているように見えます。 しかし、それでも、その後のコードの変更により、このメモリ領域に何か他のものが書き込まれても、期待される0または1のままであり、現在の位置の数ビットだけシフトしても、これは他の重要なビットから分離されることが保証されます。
5. 関数がまったく何もせず、その操作がシステムに影響を与えない場合でも、ステータスを返すことにより、関数の精度で問題を診断できます。
6. 重複コードであっても、すべてのオプションの説明。 ソフトウェアAの要件に加えて、コンパイラの特性により、1つのif-elseステートメントを使用したコードが期待どおりに解釈されない場合があります。さらに、変更を加えるとエラーが発生したり、PFC識別子が不可能な状況が解決されない場合があります。 コードが重複している場合、通常、コンパイラーの最適化によってコードが構成されます。 逆に、Dead Codeは、非アクティブ化された\条件付き（プロジェクト\ビルド固有の）コードを除いて、可能な限りすべての手段で回避する必要があります。
7. プラットフォームおよびコンパイラ関連のエラーを防ぐために標準タイプを使用しないでください
8. 特別なIDEを使用しなくても、十分なレベルのコードを明確にするために、ハンガリー語の表記法を尊重する必要があります。
9. コードには明確なコメントを含める必要があります
10. コードは高速でリソース効率がよくなければなりません

  /* convert label */ nTmp = (uint16_t)ArincData.Octet.nByte0; nTmp = ((nTmp & 0x55U) << ONE_U_C) | ((nTmp & 0xAAU) >> ONE_U_C); nTmp = ((nTmp & 0x33U) << TWO_U_C) | ((nTmp & 0xCCU) >> TWO_U_C); nTmp = ((nTmp & 0x0FU) << FOUR_U_C) | ((nTmp & 0xF0U) >> FOUR_U_C); /* write converted label back */ ArincData.Octet.nByte0 = nTmp;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ウォーレンのアルゴリズムでビットを反転します。

結論

これについては、おそらく記事、特にこのトピックを完了する価値があります。 結論として、システムが何であれ、ソリューションはボーイングのように複雑であるか、中国の航空産業の初期のような単純なものであり、システムは利便性と安全性に向かって発展していると言いたいと思います。 そして、すべての保護されたワイヤーとビットは、多くの人々、多くの場合このエリアで働く愛好家、そしてあなた、市民、彼に対する愛と人間の不完全さの批判でこの人生をより良くする乗客の仕事です。



PSところで、この記事の執筆中に、ボーイング777管理ソフトウェアはadaで書かれたことが判明しました。