La présente invention se rapporte au domaine général de l'aéronautique. Plus particulièrement, l'invention se rapporte au domaine des systèmes de commande électriques équipant un aéronef, ainsi qu'à une nacelle et/ou un aéronef équipés d'un tel système de commande.

Un tel système de commande électrique permet de commander électriquement tout dispositif d'actionnement montés dans un aéronef.

Sans que cela soit limitatif, dans une application à une nacelle, de tels dispositifs d'actionnement permettent, l'ouverture radiale de capotages pour la maintenance du turboréacteur, le déploiement et l'escamotage de capots mobiles de l'inverseur de poussée, ou encore l'ouverture radiale des deux demi parties de l'inverseur de poussée.

Dans une application à un aéronef, sans que cela soit limitatif, de tels systèmes de commande permettent les commandes des vols primaires et secondaires ou bien les fonctions de freinage, de direction, d'extension et de rétraction de train d'atterrissage, ou bien encore de pompes électriques.

En raison d'un espace réduit disponible dans la nacelle, la mise en place et protection de ces systèmes de commande électriques reste une préoccupation importante des constructeurs. Par ailleurs, un enjeu consistant à limiter les coûts des systèmes électriques nécessite de trouver un compromis entre un gain de disponibilité obtenu en redondant ces systèmes et l'augmentation des coûts liés à une telle redondance.

Chaque système de commande électrique utilisé pour piloter un dispositif d'actionnement assurant l'une des fonctions annexes précitées de la nacelle comprend successivement un module de commande, un module de puissance et une machine électrique formant ensemble une chaîne de commande en puissance pilotant une machine électrique du dispositif d'actionnement associé.

Ces systèmes de commande électriques présentent l'inconvénient d'être peu fiable du fait de la probabilité de défaillance d'un composant du module de commande pouvant, par exemple, empêcher le déploiement des capots mobiles en phase d'atterrissage de l'aéronef.

Pour remédier à cet inconvénient des systèmes de commande électriques ont été développés en vue d'optimiser leur fiabilité. Le document EP 2 419 620 Al décrit un système de commande électrique amélioré dont l'ensemble formant la chaîne de commande en puissance est doublé afin d'augmenter sa fiabilité en cas de défaillance. Pour cela, le système de commande électrique d'un dispositif d'actionnement comprend deux modules de commande chacune reliés électriquement à deux modules de puissance et dont chaque module de puissance est relié électriquement à une machine électrique pour former ensemble une chaîne de commande en puissance pilotant le dispositif d'actionnement. Une telle chaîne de commande en puissance améliore sensiblement sa disponibilité en cas de défaillance de l'un de ces composants et permet le pilotage du dispositif d'actionnement par un des modules de commande et de puissance lorsque l'autre module de commande ou de puissance est défaillant.

Bien qu'un tel système de commande électrique permette une plus grande disponibilité du système, il reste coûteux et encombrant dans son intégration à une nacelle. Par ailleurs, ce système de commande électrique présente l'inconvénient de doubler chacune des modules de commande et de puissance, ceci bien qu'un module de puissance formé de composants électroniques de puissance présente un degré de fiabilité sensiblement supérieur à un module de commande formé de composants électroniques de commande.

Le critère de disponibilité s'entend de la capacité pour le dispositif d'actionnement commandé par le système de commande électrique à être actionné sans défaillance afin de remplir la fonction qui lui est associée.

La fiabilité est la mesure de la probabilité de fonctionnement ou de panne d'un système utilisé dans des conditions déterminées et pendant un temps donné. En aéronautique, cette grandeur caractérise la sécurité de fonctionnement d'un matériel.

La présente invention a pour but de pallier au moins l'un des inconvénients précités en proposant un système de commande électrique amélioré prévu pour équiper une nacelle d'un turboréacteur qui présente un gain de disponibilité tout en facilitant son intégration dans une nacelle et en limitant son coût.

A cet effet, l'invention a pour objet un système de commande électrique destiné à équiper un aéronef, particulièrement une nacelle d'un aéronef, ledit système de commande électrique étant caractérisé en ce qu'il comprend deux modules de commande d'un unique module de puissance pilotant une machine électrique, et en ce qu'il comprend un module d'approbation reliant chacun des modules de commande au module de puissance, le module d'approbation autorisant sélectivement la commande du module de puissance par l'un des modules de commande. L'utilisation de deux modules de commande pour un unique module de puissance d'une machine électrique assure un degré de disponibilité élevé du système de commande électrique tout en réduisant significativement son coût et son encombrement dans une nacelle par rapport à un système de commande électrique totalement redondé.

Selon une caractéristique de l'invention, le module d'approbation est configuré pour identifier un état inactif du module de commande autorisé et lorsque cet état inactif est identifié pour permettre la sélection de l'autre module de commande pour la commande du module de puissance.

Selon une autre caractéristique de l'invention, le module d'approbation est formé par des composants électroniques discrets.

L'utilisation de composants électroniques discrets permet de garantir un degré de fiabilité élevé du module d'approbation et d'éviter le recours à du logiciel souvent coûteux en développement. Par ailleurs, les composants électroniques discrets ne nécessitent pas l'utilisation d'une alimentation externe.

Selon une autre caractéristique de l'invention, le système de commande est redondé pour permettre une tolérance à la panne simple de l'un des composants électroniques le constituant.

On entend ici par l'expression « composant électronique », un composant électronique pouvant être numérique tel que le module de commande, ou encore un composant électronique discret.

Selon une autre caractéristique de l'invention, pour chaque module de commande, le module d'approbation comprend un sous-module de contrôle de l'état du module de commande correspondant.

Selon une autre caractéristique de l'invention, à chaque sous-module de contrôle est associé un sous-module de validation de la commande du module de puissance par le module de commande correspondant au sous-module de contrôle.

Selon une autre caractéristique de l'invention, à chaque sous-module de contrôle et sous-module de validation est associé un sous-module de fonction logique, les sous-modules de fonction logique étant reliés en vue d'autoriser sélectivement la commande du module de puissance par l'un des premier ou deuxième modules de commande de sorte que, lorsque l'un des modules de commande assure la commande du module de puissance, il est vérifié que l'autre module de commande est désactivé.

Selon une autre caractéristique de l'invention, chaque module de commande comprend une unité d'asservissement de la machine électrique et une unité de commande de l'unité d'asservissement, l'unité de commande étant reliée à une unité de régulation électronique à pleine autorité par une liaison numérique.

Selon une autre caractéristique de l'invention, les modules de commande génèrent chacun simultanément et en parallèle des signaux de commande en largeur d'impulsions vers le module d'approbation, le module d'approbation étant configuré pour autoriser le passage des signaux de commande en largeur d'impulsions générés par le module de commande qu'il autorise pour la commande du module de puissance.

Ainsi, en cas de panne, aucun temps de reconfiguration du système de commande électrique n'est introduit. Par ailleurs, le système de commande ne nécessite pas de logiciel dédié. On comprendra que la reconfiguration est passive. Le temps de reconfiguration du système de commande électrique correspond au temps nécessaire, en cas de panne, pour le système de commande d'autoriser sélectivement la commande du module de puissance par l'autre module de commande non défaillant.

L'invention a également pour objet un système d'actionnement, par exemple d'un vérin, intégré à un aéronef, le système d'actionnement comprenant le système de commande électrique tel que défini dans le présent document.

L'invention a également pour objet une nacelle de turboréacteur d'un aéronef comportant un système de commande électrique tel que défini dans le présent document.

L'invention a par ailleurs pour objet un aéronef comprenant un système de commande électrique tel que défini dans le présent document ou un système d'actionnement tel que défini dans le présent document ou encore une nacelle de turboréacteur telle que définie dans le présent document.

D'autres aspects, buts et avantages de l'invention apparaîtront à la lecture de la description détaillée suivante de formes de réalisation préférées de celle-ci, donnée à titre d'exemple non limitatif et faite en référence aux dessins annexés sur lesquels :

- la figure 1 représente une vue schématique d'un système de commande électrique selon un premier mode de réalisation de l'invention qui comprend entre autres deux modules de commande d'un module de puissance pilotant une machine électrique, le module de puissance étant relié aux modules de commande par l'intermédiaire d'un module d'approbation.

- la figure 2 représente une vue schématique d'un système de commande électrique selon un deuxième mode de réalisation de l'invention,

- la figure 3 représente une vue schématique du module d'approbation selon le deuxième mode de réalisation, - la figure 4 représente une vue schématique d'un système de commande électrique selon un troisième mode de réalisation de l'invention.

A la figure 1, on a représenté un système de commande électrique 1 destiné à équiper une nacelle de turboréacteur d'un aéronef. Le système de commande électrique 1 comprend deux modules de commande 10, 20, à savoir un premier module de commande 10 et un deuxième module de commande 20, d'un unique module de puissance 30 pilotant une machine électrique 40 pouvant être avantageusement de tout type, par exemple de type solénoïde ou encore de type électro-aimant.

Les premier et deuxième modules de commande 10, 20 sont avantageusement des circuits numériques de type processeur. Le module de puissance 30 est de type onduleur.

Ces premier et deuxième modules de commande 10, 20 sont avantageusement reliés, par une liaison numérique 10', 20' de communication bidirectionnelle à une unité de régulation électronique à pleine autorité 50 communément dénommé EEC (Electronic Engine Control). La liaison numérique 10', 20' est avantageusement de type ARINC ou AFDX.

L'unité de régulation électronique à pleine autorité 50 assure entre autres la fonction d'envoi des ordres d'activation ou de désactivation des premier et deuxième modules de commande 10, 20. Plus particulièrement, l'unité de régulation électronique à pleine autorité 50 est configurée, à chaque instant, pour générer un ordre d'activation d'un des modules de commande 10, 20 et générer un ordre de désactivation de l'autre module de commande 10, 20 de sorte qu'il est assuré que le module de puissance 30 soit commandé par un seul module de commande 10, 20.

Ces ordres d'activation ou de désactivation envoyés par l'unité de régulation électronique à pleine autorité 50 vers les premier et deuxième modules de commande 10, 20 sont, par exemple, un bit dans un label du protocole de communication entre le premier ou deuxième modules de commande 10, 20 et l'unité de régulation électronique à pleine autorité 50. En d'autres termes, l'unité de régulation électronique à pleine autorité 50 envoie les mêmes ordres d'activation ou de désactivation à un instant donné vers chacun des modules de commande 10, 20. Les deux modules de commande 10, 20 reçoivent donc les mêmes consignes de l'unité de régulation électronique à pleine autorité 50.

Chacun des premier et deuxième modules de commande 10, 20 est configuré pour permettre une commande en asservissement de la machine électrique 40. Chaque premier et deuxième module de commande 10, 20 reçoit, par l'unité de régulation électronique à pleine autorité 50, les instructions de commande en asservissement de la machine électrique 40.

Une telle commande en asservissement permet un contrôle de la vitesse, de la position et du couple de la machine électrique 40.

Par ailleurs, le système électronique de commande 1 selon l'invention comprend un module d'approbation 60 reliant électriquement chacun des premier et deuxième modules de commande 10, 20 au module de puissance 30. Ce module d'approbation 60 permet d'autoriser sélectivement la commande du module de puissance 30 par l'un des premier ou deuxième modules de commande 10, 20 de sorte que lorsque l'un des modules de commande 10, 20 assure la commande du module de puissance 30, l'autre module de commande est désactivé.

La commande du module de puissance 30 par le premier ou deuxième module de commande 10, 20 permet, bien entendu, le pilotage de la machine électrique 40 auquel est relié le module de puissance 30.

On comprendra que chacun des premier et deuxième modules de commande 10, 20 est relié indirectement au module de puissance 30 par l'intermédiaire du module d'approbation 60.

On comprendra, par ailleurs, que le module d'approbation 60 est distinct de l'unité de régulation électronique à pleine autorité 50.

L'utilisation de deux modules de commande 10, 20 pour un unique module de puissance 30 d'une machine électrique 40 assure un degré de disponibilité élevé du système de commande électrique 1 tout en réduisant significativement son coût et son encombrement dans une nacelle par rapport à un système de commande électrique totalement redondé.

Le module d'approbation 60 est configuré pour identifier un état inactif du module de commande 10, 20 autorisé par l'unité de régulation électronique à pleine autorité 50 et lorsque cet état inactif est identifié pour sectionner l'autre module de commande 10, 20 pour la commande du module de puissance 30.

L'état inactif du module de commande 10, 20 autorisé par l'unité de régulation électronique à pleine autorité 50 est représentatif d'un état défaillant de ce module de commande 10, 20 de sorte que celui-ci ne peut assurer la commande en asservissement de la machine électrique 40.

Chaque premier et deuxième module de commande 10, 20 est relié électriquement au module d'approbation 60 par un bus de commande en largeur d'impulsions 10'', 20" du module de puissance 30 par lequel le pilotage de la machine électrique 40 est assuré par des signaux de commande en largeur d'impulsions. Les modules de commande 10, 20 génèrent chacun simultanément et en parallèle des signaux de commande en largeur d'impulsions 10”, 20” vers le module d'approbation 60, le module d'approbation 60 étant configuré pour autoriser le passage des signaux de commande en largeur d'impulsions 10”, 20” générés par le module de commande 10, 20 qu'il autorise pour la commande du module de puissance 60.Tel que représenté, chaque premier et deuxième module de commande 10, 20 est relié électriquement au module d'approbation 60 par une première voie A par laquelle est généré un premier signal 100, 200 représentatif de l'état d'activation ou de désactivation du module de commande correspondant 10, 20. Ce premier signal 100, 200 est généré en fonction des ordres d'activation ou de désactivation des premier et deuxième modules de commande 10, 20 reçus par ces derniers depuis l'unité de régulation électronique à pleine autorité 50.

Lorsqu'un module de commande 10, 20 reçoit, depuis l'unité de régulation électronique à pleine autorité 50, un ordre d'activation, ce module de commande 10, 20 génère un signal 100, 200 représentatif de son état d'activation qui est reçu par le module d'approbation 60. Lorsqu'un module de commande 10, 20 reçoit, depuis l'unité de régulation électronique à pleine autorité 50, un ordre de désactivation, ce module de commande 10, 20 génère un signal 100, 200 représentatif de son état désactivé qui est également reçu par le module d'approbation 60.

Ce premier signal 100, 200 reçu par le module d'approbation 60 permet à celui-ci d'identifier une première condition d'approbation de la commande du module de puissance 30 par le premier ou deuxième module de commande 10, 20, cette première condition étant validée lorsque qu'un module de commande 10, 20 génère un signal 100, 200 représentatif de son état d'activation qui est reçu par le module d'approbation 60.

Par ailleurs, chaque premier et deuxième module de commande 10, 20 est relié électriquement au module d'approbation 60 par une deuxième voie B par laquelle est généré un deuxième signal 101, 201 représentatif de la régulation de la commande du module de puissance 30 par le module de commande correspondant 10, 20.

Ce deuxième signal 101, 201 est avantageusement un signal d'horloge permettant la régulation de la commande du module de puissance 30 par le module de commande correspondant 10, 20. Dans ce cas, on comprendra que la régulation de la commande du module de puissance 30 est identifiée par le module d'approbation 60 lorsque ce signal d'horloge est reçu par le module d'approbation 60, alors qu'un défaut de la régulation de la commande du module de puissance 30 par le module de commande correspondant 10, 20 est identifié lorsque ce signal d'horloge n'est pas reçu par le module d'approbation 60 sur une période prédéterminée.

Ce deuxième signal 101, 201 reçu par le module d'approbation 60 permet à celui-ci d'identifier une deuxième condition d'approbation de la commande du module de puissance 30 par le premier ou deuxième module de commande 10, 20, cette deuxième condition d'approbation étant validée lorsque le signal d'horloge est reçu par le module d'approbation 60.

De plus, chaque premier ou deuxième module de commande 20 est relié électriquement au module d'approbation 60 par une troisième voie C par laquelle est généré un troisième signal 102, 202 représentatif de l'état actif ou inactif du module de commande correspondant 10, 20.

Bien entendu, lorsqu'un module de commande 10, 20 est actif, celui-ci génère un troisième signal 102, 202 représentatif de l'état actif du module de commande correspondant 10, 20. Lorsqu'un module de commande 10, 20 est inactif, celui-ci génère un troisième signal 102, 202 représentatif de l'état inactif du module de commande correspondant 10, 20.

On comprendra, par ailleurs, que le premier signal 100, 200 est généré en fonction des ordres d'activation ou de désactivation des premier et deuxième modules de commande 10, 20 reçus par ces derniers depuis l'unité de régulation électronique à pleine autorité 50. En d'autres termes, le premier signal 100, 200 désigne le module de commande 10, 20 sélectionné pour piloter le module de puissance 30 et le module de commande 10, 20 non sélectionné pour piloter le module de puissance 30.

D'autre part, le troisième signal 102, 202 est représentatif de l'état actif ou inactif du module de commande correspondant 10, 20. En fonctionnement nominal, c'est-à-dire dans un cas sans panne, les premier et deuxième modules de commande 10, 20 sont tous deux actifs, le troisième signal 102, 202 de chacun des modules de commande 10, 20 est représentatif de l'état actif des modules de commande 10, 20. On comprendra que ce troisième signal 102, 202 est ainsi représentatif de l'état de fonctionnement du module de commande 10, 20 correspondant qui permet ainsi d'identifier un défaut de fonctionnement.

Avantageusement, chaque premier et deuxième module de commande 10, 20 est relié électriquement au module d'approbation 60 par au moins deux troisièmes voies C par lesquelles sont générés sur chacune d'entre elles un troisième signal 102, 202 représentatif de l'état actif ou inactif du module de commande correspondant 10, 20. La redondance du troisième signal 102, 202 généré sur chacune des deux troisièmes voies des premier et deuxième modules de commande 10, 20 permet la tolérance à la perte d'information de ce troisième signal 102, 202.

Au moins un troisième signal 102, 202 généré par l'un des modules de commande 10, 20 est combiné par le module d'approbation 60 à au moins un troisième signal 102, 202 généré par l'autre module de commande 10, 20 en vue d'autoriser sélectivement la commande du module de puissance 30 par l'un des premier ou deuxième modules de commande 10, 20 de sorte que, lorsque l'un des premier ou deuxième modules de commande 10, 20 assure la commande du module de puissance 30, il est vérifié que l'autre module de commande 10, 20 est désactivé.

La combinaison de ces troisièmes signaux 102, 202 reçus par le module d'approbation 60 permet à celui-ci d'identifier une troisième condition d'approbation de la commande du module de puissance 30 par le premier ou deuxième module de commande 10, 20 autorisé par l'unité de régulation électronique à pleine autorité 50, cette troisième condition d'approbation étant validée lorsque le troisième signal 102, 202 généré par le module de commande autorisé par l'unité de régulation électronique à pleine autorité 50 est représentatif d'un état actif de ce module de commande 10, 20 et lorsque le troisième signal 102, 202 généré par l'autre module de commande est représentatif d'un état inactif de ce module de commande 10, 20.

Le module d'approbation 60 est relié électriquement à l'unité de régulation électronique à pleine autorité 50 par une quatrième voie D et une cinquième voie E. Alternativement, le module d'approbation 60 est relié électriquement par la quatrième voie D au premier module de commande 10 et le module d'approbation 60 est relié par la cinquième voie E au deuxième module de commande 20.

Depuis la quatrième voie D, le module d'approbation 60 génère un quatrième signal 103 représentatif de la combinaison de la deuxième et troisième conditions d'approbation relatif au premier module de commande 10. Depuis la cinquième voie E, le module d'approbation 60 génère un cinquième signal 203 représentatif de la combinaison de la deuxième et troisième conditions d'approbation relatif au deuxième module de commande 20.

Le fonctionnement du système de commande électrique 1 est décrit ci- après.

Lorsque le module de commande 10, 20 autorisé par l'unité de régulation électronique à pleine autorité 50 est le premier module de commande 10, l'unité de régulation électronique à pleine autorité 50 envoie un ordre d'activation du premier module de commande 10 et envoie un ordre de désactivation du deuxième module de commande 20. Lorsque les premier, deuxième et troisième conditions d'approbation relatives au premier module de commande 10 sont validées, la commande du module de puissance 30 par le premier module de commande 10 est autorisée par le module d'approbation 60. Le module d'approbation 60 autorise alors le premier module de commande 10 à commander le module de puissance 30 par l'intermédiaire du bus de commande en largeur d'impulsions 10" du module de puissance 30 du premier module de commande 10. Par ailleurs, les premier, deuxième et troisième conditions d'approbation relatives au deuxième module de commande 20 ne sont pas validées, la commande du module de puissance 30 par le deuxième module de commande 20 n'est pas autorisé par le module d'approbation 60.

Lorsque l'une des deuxième ou troisième condition d'approbation relative au premier module de commande 10 n'est pas validée, le quatrième signal 103 généré par le module d'approbation 60 est représentatif d'un état défaillant du premier module de commande 10. L'unité de régulation recevant ce quatrième signal 103 envoie un ordre de désactivation du premier module de commande 10 et un ordre d'activation du deuxième module de commande 20.

Le module de commande 10, 20 autorisé par l'unité de régulation électronique à pleine autorité 50 est alors le deuxième module de commande 20.

Lorsque les premier, deuxième et troisième conditions d'approbation relatives au deuxième module de commande 20 sont validées, la commande du module de puissance 30 par le deuxième module de commande 20 est autorisée par le module d'approbation 60. Le module d'approbation 60 autorise alors le deuxième module de commande 20 à commander le module de puissance 30 par l'intermédiaire du bus de commande en largeur d'impulsions du deuxième module de commande 20.

A la figure 2, on a représenté un deuxième mode de réalisation de l'invention où chaque premier et deuxième module de commande 10, 20 comprend une unité d'asservissement 10b, 20b de la machine électrique 40 et une unité de commande 10a, 20a de l'unité d'asservissement 10b, 20b reliées l'une à l'autre, l'unité de commande 10a, 20a étant reliée à une unité de régulation électronique à pleine autorité 50 par la liaison numérique 10', 20' tel que défini précédemment.

Selon ce mode de réalisation, pour chaque module de commande 10, 20, la première voie A relie électriquement l'unité de commande 10a, 20a correspondante au module d'approbation 60, alors que les deuxième et troisième voies B, C relient électriquement l'unité d'asservissement 10b, 20b correspondante au module d'approbation 60. Selon ce deuxième mode de réalisation, pour chaque premier et deuxième module de commande 10, 20, depuis la première voie A est généré un premier signal 100, 200 représentatif de l'état d'activation ou de désactivation de l'unité de commande 10a, 20a du module de commande correspondant 10, 20. Ce premier signal 100, 200 est généré en fonction des ordres d'activation ou de désactivation des premier et deuxième modules de commande 10, 20 reçus par ces unités de commande depuis l'unité de régulation électronique à pleine autorité 50.

Pour chaque premier et deuxième module de commande 10, 20, depuis la deuxième voie B est généré un deuxième signal 101, 201 représentatif de la régulation de la commande du module de puissance 30 par l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20.

Pour chaque premier et deuxième module de commande 10, 20 un troisième signal 102, 202 redondé et représentatif de l'état actif ou inactif de l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20. La redondance du troisième signal 102, 202 généré sur chacune des deux troisièmes voies 102, 202 de l'unité de commande 10a, 20a des premier et deuxième modules de commande 10, 20 permet la tolérance à la perte d'information de ce troisième signal 102, 202.

Par ailleurs, pour chaque module de commande 10, 20, l'unité d'asservissement 10b, 20b correspondante est reliée électriquement au module d'approbation 60 par un bus de commande en largeur d'impulsions du module de puissance 30.

Lorsque l'unité de commande 10a, 20a autorisé par l'unité de régulation électronique à pleine autorité 50 est l'unité de commande 10a du premier module de commande 10, l'unité de régulation électronique à pleine autorité 50 envoie un ordre d'activation de l'unité de commande 10a du premier module de commande 10 et envoie un ordre de désactivation de l'unité de commande 20a du deuxième module de commande 20.

Lorsque les premier, deuxième et troisième conditions d'approbation relatives au premier module de commande 10 sont validées, la commande du module de puissance 30 par le premier module de commande 10 est autorisée par le module d'approbation 60. Le module d'approbation 60 autorise alors l'unité d'asservissement 10b, 20b du premier module de commande 10 à commander le module de puissance 30 par l'intermédiaire du bus de commande en largeur d'impulsions 10" de l'unité d'asservissement 10b du premier module de commande 10. Lorsque l'une des deuxième ou troisième conditions d'approbation relative au premier module de commande 10 n'est pas validée, le quatrième signal 103 généré par le module d'approbation 60 est représentatif d'un état défaillant de l'unité d'asservissement 10b du premier module de commande 10 ou de tout autre composant électronique du module d'approbation 60. L'unité de commande 10a, 20a recevant ce quatrième signal 103 envoie à l'unité de régulation 50 une information de cet état défaillant. L'unité de régulation électronique à pleine autorité 50 envoie alors un ordre de désactivation de l'unité d'asservissement 10b du premier module de commande 10 et un ordre d'activation de l'unité de commande 20a du deuxième module de commande 20.

Lorsque les premier, deuxième et troisième conditions d'approbation relatives au deuxième module de commande 20 sont validées, la commande du module de puissance 30 par l'unité d'asservissement 20b du deuxième module de commande 20 est autorisée par le module d'approbation 60. Le module d'approbation 60 autorise alors l'unité d'asservissement 20b du deuxième module de commande 20 à commander le module de puissance 30 par l'intermédiaire du bus de commande en largeur d'impulsions 20' du deuxième module de commande 20.

A la figure 3, on a représenté une vue schématique du module d'approbation 60 selon le deuxième mode de réalisation.

Le module d'approbation 60 est formé par des composants électroniques discrets. L'utilisation de composants électroniques discrets permet de garantir un degré de fiabilité élevé du module d'approbation 60 et d'éviter le recours à du logiciel souvent coûteux en développement.

Pour chaque module de commande 10, 20, le module d'approbation 60 comprend un sous-module de contrôle 60a de l'état du module de commande correspondant 10, 20. Plus particulièrement, chaque sous-module de contrôle 60a permet de contrôler l'état de l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20.

Chaque sous-module de contrôle 60a comprend des bascules monostables 60aa et reçoit en entrée la deuxième voie B du module de commande correspondant 10, 20 par laquelle est généré le deuxième signal 101, 201 représentatif de la régulation de la commande du module de puissance 30 par le module de commande correspondant 10, 20. Ces bascules monostables 60aa permettent de générer en sortie un état stable résultant du deuxième signal 101, 201 généré par le module de commande correspondant 10, 20, plus particulièrement, généré par l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20. Ces bascules monostables 60aa permettent d'assurer que l'état oscillant du signal en entrée n'est pas bloqué. On comprendra que les bascules monostables 60aa sont redondées pour permettre la tolérance à la perte d'information.

A chaque sous-module de contrôle 60a est associé un sous-module de validation 60b de la commande du module de puissance 30 par le module de commande correspondant 10, 20 au sous-module de contrôle.

Chaque sous-module de validation 60b est formé des deux interrupteurs électroniques discrets 60bb relié en cascade l'un à l'autre. Une telle redondance des interrupteurs électroniques discrets 60bb est réalisée en vue de se prémunir d'une panne simple, par exemple lorsqu'un interrupteur électronique discret 60bb est bloqué empêchant alors la désactivation du module de commande actif 10, 20 et le basculement sur l'autre module de commande 10, 20. Chacun des interrupteurs électroniques discrets 60bb reçoit successivement en entrée les troisièmes signaux 102, 202 et le bus de commande en largeur d'impulsions 10", 20" reliés au module de commande correspondant 10, 20. Ces interrupteurs électroniques discrets 60bb reçoivent en entrée de validation, d'une part, le premier signal 100, 200 représentatif de l'état d'activation ou de désactivation de l'unité de commande 10a, 20a du module de commande correspondant 10, 20, et d'autre part, pour chacun d'entre eux l'état de sortie d'une bascule monostable 60aa du sous-module de contrôle 60a.

Lorsque la première condition et la deuxième condition sont validées, les interrupteurs électroniques discrets 60bb autorisent en sortie le passage de ces troisièmes signaux 102, 202 et signaux de commande en largeur d'impulsions 10", 20" de l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20.

Lorsque l'une des première condition ou deuxième condition n'est pas validée, les interrupteurs électroniques discrets 60bb n'autorisent pas en sortie le passage de ces troisièmes signaux 102, 202 et signaux de commande en largeur d'impulsions 10", 20" de l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20.

Par ailleurs, à chaque sous-module de contrôle 60a et sous-module de validation 60b est associé un sous-module de fonction logique 60c, les sous-modules de fonction logique 60c étant reliés en vue d'autoriser sélectivement la commande du module de puissance 30 par l'un des premier ou deuxième modules de commande 10, 20 de sorte que, lorsque l'un des modules de commande 10, 20 assure la commande du module de puissance 30, il est vérifié que l'autre module de commande 10, 20 est désactivé. Pour cela, chaque sous-module de fonction logique 60c comprend un premier composant électronique de logique combinatoire 60cl permettant une fonction logique de type XOR. Ce premier composant électronique de logique combinatoire 60cl reçoit en entrée, d'une part, un troisième signal 102, 202 généré par l'unité d'asservissement 10b, 20b du module de commande correspondant 10, 20 et, d'autre part, un troisième signal 102, 202 généré par l'unité d'asservissement 10b, 20b de l'autre module de commande 10, 20.

Pour chaque module de commande 10, 20, le signal en sortie du premier composant électronique de logique combinatoire 60cl correspond au troisième signal 102, 202 tel que défini précédemment.

Par ailleurs, chaque sous-module de fonction logique 60c comprend un deuxième composant électronique de logique combinatoire 60c2 permettant une fonction logique de type ET. Ce deuxième composant électronique de logique combinatoire 60c2 reçoit en entrée, d'une part, l'état de sortie d'une bascule monostable 60bb du sous-module de validation 60b et, d'autre part, l'état de sortie du premier composant électronique de logique combinatoire 60cl.

Le signal en sortie du deuxième composant électronique de logique combinatoire 60c2 du premier et deuxième module de commande 10, 20 correspond respectivement au quatrième et cinquième signal 103, 203 tel que défini précédemment.

Selon l'invention, le système de commande est redondé pour permettre une tolérance à la panne simple de l'un des composants électroniques le constituant,

La redondance est avantageusement obtenue par la redondance du troisième signal 102, 202, la redondance des bascules monostables 60aa, ainsi que par la redondance des interrupteurs électroniques discrets 60bb et plus généralement par la redondance de chacun des modules de commande 10, 20 et des sous-modules référencés 60a, 60b et 60c.

A la figure 4, on a représenté un troisième mode de réalisation de l'invention dans lequel l'unité de régulation électronique à pleine autorité 50 comprend chacune des unités de commande 10a, 20a des premier et deuxième modules de commande 10, 20. Selon ce mode de réalisation, la liaison numérique 10', 20' reliant les unités de commande 10a, 20a à l'unité de régulation électronique à pleine autorité 50 est directement intégrée à l'architecture de l'unité de régulation électronique à pleine autorité 50. Chaque unité de commande 10a, 20a est relié à son unité d'asservissement 10b, 20b correspondante. Par ailleurs, de la même façon, la première voie A, la quatrième voie D et la cinquième voie E relient électriquement l'unité de commande 10a, 20a correspondante intégré à l'unité de régulation électronique à pleine autorité 50 au module d'approbation 60.

Bien évidemment, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention. Notamment, les différentes caractéristiques, formes, variantes et modes de réalisation de l'invention peuvent être associés les uns avec les autres selon diverses combinaisons dans la mesure où ils ne sont pas incompatibles ou exclusifs les uns des autres. En particulier, toutes les variantes et modes de réalisation décrits précédemment sont combinables entre eux.