Titre de l'invention : Système de freinage d'aéronef avec dispositifs de commande dissimilaires et module logiciel utilisé en cas de défaillance

Domaine Technique

[0001 ] L’invention se rapporte au domaine général du freinage des aéronefs et plus précisément au freinage électrique.

[0002] L’invention concerne tout particulièrement les systèmes qui commandent des actionneurs électromécaniques utilisés pour le freinage.

Technique antérieure

[0003] Les aéronefs peuvent être équipés de systèmes de freinage électrique. Ces systèmes de freinage utilisent des actionneurs électromécaniques qui sont commandables pour ralentir la roue pour laquelle ils sont montés sur des freins.

[0004] De manière générale, un haut niveau de sécurité est désiré pour les systèmes de freinage. En particulier, on souhaite réduire l’impact des défaillances bien connues de l’homme du métier par l’expression « défaillances de mode commun » (« common mode failures » en anglais), caractérisées par l’apparition simultanée d’un défaut dans plusieurs éléments d’un système en conséquence d’une cause unique. Ces défaillances de mode commun peuvent affecter des éléments simples d’un système, et des éléments plus complexes, les éléments plus complexes étant davantage sujets à ces défaillances de mode commun.

[0005] Il a donc été proposé d’implémenter des équipements supplémentaires

(équipements de secours) qui sont redondants avec les équipements utilisés pour le fonctionnement normal du système (équipements normaux) et qui sont activés en cas de défaut des équipements normaux. La conception et/ou la fabrication des équipements de secours est différente de celles des équipements normaux afin d’éviter le risque d’apparition d’une défaillance de mode commun et d’augmenter la robustesse des systèmes dans les aéronefs. Le principal inconvénient de ces solutions est son impact sur la masse de l’aéronef.

[0006] De l’état de la technique antérieure, on connaît le document FR 2 952 009 qui décrit l’utilisation de contrôleurs qui ne contrôlent que deux actionneurs éléctromécaniques pour une roue équipée de quatre actionneurs

électromécaniques. Le système de ce document est un système « actif/actif », selon une expression bien connue de l’homme du métier, qui a pour avantage d’avoir une masse réduite. Par contre, ce document n’aborde pas les défaillances de mode commun.

[0007] On connaît également le document FR 2 954 753 qui propose d’implémenter une dissimilarité (même fonction mais présence de différences structurelles) dans une chaîne de secours. Le système de ce document est du type

« actif/passif », selon une autre expression bien connue de l’homme du métier.

La solution de ce document n’est pas satisfaisante en ce qui concerne la masse du système. Aussi, le document FR 3 054 201 décrit une autre solution qui n’est pas non plus satisfaisante et qui utilise des modules de commande de freinage dissimilaires.

[0008] L’invention vise notamment à pallier ces inconvénients.

Exposé de l’invention

[0009] A cet effet, l’invention propose un système de freinage d’aéronef

comprenant :

- un premier groupe d’au moins un actionneur électromécanique apte à appliquer un effort de freinage pour ralentir au moins une roue de l’aéronef (par exemple, ladite au moins une roue étant équipée d’au moins l’actionneur du premier groupe),

- une deuxième groupe d’au moins un moins un actionneur électromécanique apte à appliquer un effort de freinage pour ralentir ladite au moins une roue de l’aéronef (par exemple, ladite au moins une roue étant équipée d’au moins l’actionneur du deuxième groupe),

- un premier dispositif de commande configuré pour commander le premier groupe d’au moins un actionneur au moyen d’un premier module logiciel et d’un deuxième module logiciel, le deuxième module logiciel étant configuré pour commander le premier groupe d’au moins un actionneur au moins en cas de défaillance du premier module logiciel,

- un deuxième dispositif de commande configuré pour commander le deuxième groupe d’au moins un actionneur au moyen d’un troisième module logiciel et d’un quatrième module logiciel, le quatrième module logiciel étant configuré pour commander le deuxième groupe d’au moins un actionneur au moins en cas de défaillance du troisième module logiciel,

dans lequel le premier dispositif de commande et le deuxième dispositif de commande sont dissimilaires.

[0010] Selon une caractéristique générale, le deuxième module logiciel diffère du premier module logiciel en ce que :

- il comporte un nombre plus faible d’entrées, et/ou

- il comporte un nombre plus faible de sorties, et/ou

- il comporte un nombre plus faible de fonctionnalités,

et/ou dans lequel le quatrième module logiciel diffère du troisième module logiciel en ce que :

- il comporte un nombre plus faible d’entrées, et/ou

- il comporte un nombre plus faible de sorties, et/ou

- il comporte un nombre plus faible de fonctionnalités.

[0011 ] Ainsi, l’invention propose d’utiliser à la fois une dissimilarité entre les

dispositifs de commande (par exemple des dispositifs de commande matériels, qui peuvent comprendre des composants matériels, ou « hardware » en anglais), et une solution de secours logicielle (ou « software » en anglais). Cette solution est avantageuse en termes de masse car l’ajout d’une solution de secours logicielle (le deuxième et le quatrième modules logiciel) n’a pas d’impact sur la masse de l’aéronef, et elle permet d’obtenir une bonne robustesse.

[0012] Ici, on utilise deux dispositifs de commande dans une solution appelée

« actif/actif » car ces deux dispositifs sont destinés à être utilisés simultanément pour la commande des actionneurs d’une même roue ; aussi, on note que dans le système proposé, ces deux dispositifs de commande sont dissimilaires.

[0013] L’utilisation de modules logiciels destinés à fonctionner en cas de défaillance d’un autre module logiciel est une solution appelée « actif/passif », car les deuxième et quatrième modules logiciels ne sont pas en fonctionnement (ils sont donc passifs) lorsque les premier et troisième modules logiciels ne sont pas défaillants. L’invention propose donc un système qui est à la fois « actif/actif » (pour les dispositifs de commande) et « actif/passif » (pour les modules logiciels), selon ces expressions bien connues de l’homme du métier.

[0014] Ici, le premier module logiciel et le troisième module logiciel commandent respectivement le premier et le deuxième groupe d’au moins un actionneur pour leur fonctionnement normal.

[0015] En outre, on peut noter que le premier dispositif de commande et le deuxième dispositif de commande comprennent tous les deux une structure de système électronique comprenant en particulier un processeur, une mémoire non volatile et/ou une mémoire volatile. L’homme du métier saura obtenir deux systèmes électroniques dissimilaires.

[0016] En fait, le risque de défaillance de mode commun sur des éléments de

conception ou fabrication identiques est une notion connue de la norme

ARP4761 de l’association professionnelle SAE International dans sa version de 1996.

[0017] Aussi, le premier groupe peut comprendre deux ou (ou plus) actionneurs

électromécaniques aptes à appliquer un effort de freinage pour ralentir une ou plusieurs roues de l’aéronef, et le deuxième groupe peut comprendre deux (ou plus) actionneurs électromécaniques aptes à appliquer un effort de freinage pour ralentir ladite une ou plusieurs roues de l’aéronef.

[0018] La réduction du nombre d’entrées, de sorties, et/ou de fonctionnalités permet de simplifier le fonctionnement des deuxième et quatrième modules logiciels. Dès lors, la phase de test ou de validation des deuxième et quatrième modules logiciels peut être exhaustive (on peut tester toutes les combinaisons d’entrées et d’états possibles), ce qui permet d’obtenir une bonne robustesse.

[0019] On peut noter que ces différences peuvent également correspondre à un

nombre de points de fonctionnement plus faible pour le deuxième et/ou le quatrième module logiciel.

[0020] On peut noter que cette ou ces réductions conduisent à obtenir un

fonctionnement dans un mode de fonctionnement appelé mode dégradé.

[0021 ] Par exemple, le deuxième et/ou le quatrième module logiciel peuvent ne pas être configurés pour exécuter une fonction pour empêcher le blocage de la roue. [0022] Préférentiellement, le deuxième et/ou le quatrième module logiciel sont configurés pour l’exécution de fonctions permettant l’application par les

actionneurs de freinage d’un effort assurant une performance de freinage minimale tout en minimisant le risque de blocage de la roue, cet effort assurant une performance de freinage minimale peut être défini préalablement, par exemple au moyen de phases de test ou de calibration. L’application de l’effort assurant une performance de freinage minimale peut être considérée comme une fonction basique. D’autres fonctions non absolument nécessaires au freinage, typiquement des fonctions d’optimisation, de confort ou de

maintenance, ne sont pas assurées par le deuxième et/ou le quatrième module logiciel afin de simplifier le deuxième et/ou le quatrième module logiciel. Le deuxième et le quatrième module logiciel ont donc des fonctionnalités qui sont réduites au strict minimum fonctionnel nécessaire.

[0023] En fait, le deuxième et/ou le quatrième module logiciel assurent un

fonctionnement minimal ou essentiel des actionneurs électromécaniques.

[0024] Selon un mode de réalisation particulier, le premier dispositif de commande et le deuxième dispositif de commande présentent au moins une différence structurelle. Par exemple, cela permet d’obtenir la dissimilarité.

[0025] En particulier le premier le premier dispositif de commande et le deuxième dispositif de commande peuvent présenter une ou plusieurs différences choisies dans la liste comprenant : des architectures différentes (architectures CPU différentes, arrangements différents des composants, utilisation de registres différents, utilisation d’entrées et sorties différentes), des technologies différentes (composants analogiques/numériques, mémoires flash/EEPROM, transistors TTL/MOS, condensateurs céramiques/chimiques, finesse de gravure différentes), des conceptions différentes (règles/processus de conception différents), des chaînes de fabrications différentes (processus de fabrication différents, lots de composants ou matière différents, réglages/dérives machines différents).

Typiquement, des microcontrôleurs de fournisseurs différents seront définis par des concepteurs différents et fabriqués sur des chaînes différentes, minimisant le risque d’un défaut commun de conception ou de fabrication.

[0026] Ces différences permettent d’éviter des défaillances de mode commun. [0027] Selon un mode de réalisation particulier, le premier module logiciel et le deuxième module logiciel peuvent en outre être exécutés, par exemple par un même organe matériel (exemple un processeur appartenant au premier dispositif de commande), de manière isolée l’un par rapport à l’autre, et/ou le troisième module logiciel et le quatrième module logiciel peuvent en outre être exécutés, par exemple par un même autre organe matériel (par exemple un autre processeur du deuxième dispositif de commande), de manière isolée l’un par rapport à l’autre.

[0028] Ce mode de réalisation particulier peut être implémenté en utilisant deux

partitions logicielles, respectivement pour les premier/troisième et

deuxième/quatrième modules, dont l’exécution peut être activée ou désactivée indépendamment l’une de l’autre par le gestionnaire de tâches du processeur du dispositif de commande.

[0029] Cela permet notamment de s’assurer qu’en cas de blocage du premier

module logiciel ou du troisième module logiciel (par exemple s’ils exécutent une boucle infinie), il est possible d’exécuter le deuxième module logiciel et le quatrième module logiciel pour commander les actionneurs électromécaniques.

[0030] Selon un mode de réalisation particulier, le premier dispositif de commande et le deuxième dispositif de commande sont respectivement alimentés en énergie électrique par deux lignes d’alimentation électrique différentes.

[0031 ] Ce mode de réalisation particulier permet d’avoir en plus une redondance dans l’alimentation en énergie électrique.

[0032] Selon un mode de réalisation particulier, le système comprend un premier module de transmission de signaux de commande aux premier dispositif de commande et au deuxième dispositif de commande, et un deuxième module de transmission de signaux de commande aux premier dispositif de commande et au deuxième dispositif de commande configuré pour être utilisé en cas de défaillance du premier module de transmission de signaux de commande.

[0033] Ce mode de réalisation particulier améliore encore plus la robustesse du

système. [0034] Selon un mode de réalisation particulier, le premier dispositif de commande comprend un premier module de surveillance (« monitoring » en langue anglaise) du fonctionnement du premier dispositif de commande, et le deuxième dispositif de commande comprend un deuxième module de surveillance du fonctionnement du deuxième dispositif de commande dissimilaire du premier module de surveillance.

[0035] A titre indicatif, le module de surveillance peut permettre de contrôler le bon fonctionnement du dispositif de commande, typiquement en analysant la cohérence entre des consignes reçues via les premier et deuxième modules de transmission de signaux de commande visés ci-avant et les sorties des modules logiciels. En cas de détection d’un défaut de fonctionnement lors de l’opération du premier module logiciel, le module de surveillance peut ordonner une reconfiguration (dite reconfiguration interne) en activant le deuxième module logiciel, qui se substitue au premier module logiciel pour contrôler les actionneurs de freinage (dans le cas où le défaut en question est un défaut du logiciel et non un défaut matériel ; si le défaut est matériel, la reconfiguration logicielle est sans effet). En cas de détection d’un défaut et/ou de reconfiguration, il en informe les autres systèmes et le pilote (typiquement pour le prévenir d’une reconfiguration dans un mode dégradé).

[0036] Ce mode particulier de réalisation améliore également la robustesse du

système.

[0037] Selon un mode de réalisation particulier, le deuxième module logiciel est en outre configuré pour commander le premier groupe d’au moins un actionneur à la place du premier module logiciel après que le premier dispositif de commande ait reçu ou généré une commande de basculement entre le premier et le deuxième module logiciel, et/ou le quatrième module logiciel est en outre configuré pour commander le deuxième groupe d’au moins un actionneur à la place du troisième module logiciel après que le deuxième dispositif de commande ait reçu ou généré une commande de basculement entre le troisième et le quatrième module logiciel.

[0038] Dans ce mode de réalisation particulier, les commandes de basculement peuvent avoir été émises par un utilisateur à travers une interface humain- machine (dans ce cas la commande est reçue). Alternativement, elles peuvent avoir été émises par un module de surveillance qui surveille si le premier ou le troisième module logiciel sont en défaillance (dans ce cas la commande est générée, par exemple dans le cadre d’une reconfiguration interne).

[0039] Selon un mode de réalisation particulier, le premier dispositif de commande et le deuxième dispositif de commande forment une première unité de freinage de ladite au moins une roue, le système comprenant en outre au moins une deuxième unité de freinage de ladite au moins une roue ou d’au moins une autre roue, la première unité de freinage et la deuxième unité de freinage étant identiques.

[0040] L’invention n’est nullement limitée à deux unités de freinage et vise également des aéronefs équipés de plus de deux roues.

[0041 ] En particulier, l’invention vise également une unité de freinage qui commande des actionneurs sur deux roues. Par exemple, le premier groupe peut

comprendre au moins deux actionneurs électromécaniques aptes à appliquer des efforts de freinage pour ralentir deux roues de l’aéronef, et le deuxième groupe peut comprendre au moins deux actionneurs électromécaniques aptes à appliquer des efforts de freinage pour ralentir ces deux mêmes roues de l’aéronef.

[0042] Si l’aéronef est équipé de deux unités de freinage, leurs groupes

d’actionneurs d’au moins deux actionneurs peuvent être répartis sur deux roues. Ainsi, la défaillance d’une unité de freinage permet de conserver une capacité de freinage sur deux roues plutôt que sur une unique roue.

[0043] L’invention propose également un aéronef équipé d’un système de freinage tel que défini ci-avant.

Brève description des dessins

[0044] D’autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :

[Fig. 1 ] La figure 1 illustre de manière schématique un système de freinage selon un exemple. [Fig. 2] La figure 2 illustre une défaillance de mode commun d’un dispositif de commande.

[Fig. 3] La figure 3 illustre une défaillance de mode commun qui vise des modules logiciels.

[Fig. 4] La figure 4 illustre un aéronef selon un exemple.

Description des modes de réalisation

[0045] On va maintenant décrire un système de freinage pour un aéronef selon un exemple.

[0046] Ce système de freinage est adapté pour le freinage électrique et il permet d’obtenir une bonne robustesse par rapport aux défaillances des composants du système, et en particulier par rapport aux défaillances de mode commun.

[0047] Ce système est à la fois du type actif/actif (pour les dispositifs qui

comprennent des éléments matériels) et du type actif/passif (pour les modules logiciels), selon des expressions bien connues de l’homme du métier qui visent des types de redondances :

actif/actif : deux éléments sont prévus pour assurer la même fonction et sont simultanément actifs lorsque le système opère de façon nominale ;

actif/passif : un premier élément est prévu pour un fonctionnement nominal et un deuxième élément est prévu pour un fonctionnement en cas de défaillance du premier (mode de secours).

[0048] Sur la figure 1 , on a représenté un système 100 selon un exemple. Ce

système permet de commander le freinage de deux roues 200 et 201 d’un train d’atterrissage d’un aéronef. Le système 100 est configuré pour alimenter en énergie électrique et pour contrôler le fonctionnement d’actionneurs

électromécaniques configurés pour ralentir les roues 200 et 201. Ici, la roue 200 est équipée de quatre actionneurs électromécaniques 101 A, 101 B, 101 C et 101 D et la roue 201 est équipée de quatre actionneurs électromécaniques 102A, 102B, 102C, et 102D.

[0049] L’invention n’est nullement limitée au freinage de deux roues et peut être

adaptée au freinage de plus de deux roues d’un aéronef. [0050] Les actionneurs d’une même roue sont commandés par une unité de freinage qui est propre à la roue. De ce fait, sur la figure, on a représenté deux unités de freinage : une unité de freinage 103 associée à la roue 200 et à ses actionneurs électromécaniques 101 A à 101 D, et une unité de freinage 103’ associée à la roue 200 et à ses actionneurs électromécaniques 102A à 102D.

[0051 ] Dans ce qui suit, on va décrire l’unité de freinage 103. L’unité de freinage 103’ est identique à l’unité de freinage 103 et ses éléments identiques portent les mêmes références numériques que les éléments de l’unité de freinage 103 mais avec la notation «’ » après les chiffres.

[0052] L’unité de freinage 103 comprend un premier dispositif de commande 1 10 et un deuxième dispositif de commande 120. Le premier dispositif de commande 1 10 est associé aux actionneurs électromécaniques 101 A et 101 B (qui forment un premier groupe d’actionneurs électromécaniques), et le deuxième dispositif de commande 120 est associé aux actionneurs électromécaniques 101 C et 101 D (qui forment un deuxième groupe d’actionneurs électromécaniques).

[0053] On comprend que les deux dispositifs de commande 1 10 et 120 sont dans une configuration actif/actif. Une défaillance d’un des deux dispositifs de commande n’empêche pas tout freinage de la roue, car le dispositif de

commande non défaillant peut assurer un freinage avec au moins deux

actionneurs électromécaniques.

[0054] Pour éviter des défaillances de mode commun pour les dispositifs 1 10 et 120, c’est-à-dire des défaillances qui ont la même cause, les dispositifs de commande 1 10 et 120 sont dissimilaires.

[0055] Le premier dispositif de commande 1 10 et le deuxième dispositif de

commande 120 présentent au moins une différence structurelle. Par exemple, cette différence peut être choisie dans la liste comprenant : architectures CPU différentes, arrangements différents des composants, utilisation d’entrées et sorties différentes, règles/processus de conception différents, chaînes de fabrications différentes, lots de composants différents.

[0056] Dans le dispositif de commande 1 10, on a prévu un organe de contrôle

logiciel 1 1 1 , comportant typiquement un microcontrôleur, comprenant deux modules logiciels distincts. Il comprend en particulier un premier module logiciel 1 12 qui permet d’opérer un contrôle normal des actionneurs électromécaniques 101 A et 101 B. Ce premier module logiciel est un logiciel complexe, qui possède de nombreuses entrées, de nombreuses sorties, et de nombreuses

fonctionnalités (par exemple pour empêcher le blocage des roues ou des modes de maintenance).

[0057] L’organe de contrôle logiciel comporte également un deuxième module

logiciel 1 13 qui permet également d’opérer un contrôle des actionneurs électromécaniques 101 A et 101 B. Ce deuxième module logiciel 1 13 est notamment configuré pour commander ces actionneurs en cas de défaillance du premier module logiciel 1 12. Préférentiellement, le deuxième module logiciel est un logiciel moins complexe que le premier module logiciel 1 12 : il a moins d’entrées, de sorties, et de fonctionnalités. Par exemple, il peut ne pas être capable de mettre en oeuvre un empêchement du blocage des roues (« anti- skid » en anglais) ou certains modes de maintenance. On notera en particulier que si la fonctionnalité qui empêche le blocage des roues n’est pas implémentée par le deuxième module logiciel 1 13, ce dernier peut être configuré pour commander les actionneurs électromécaniques de sorte qu’ils ne puissent appliquer qu’un niveau limité de freinage (ce qui empêche également le blocage des roues).

[0058] On comprend notamment que le deuxième module logiciel est

particulièrement robuste, car il peut avoir été testé ou validé pour toutes les entrées possibles. En contrepartie, il fait fonctionner les actionneurs dans un mode dégradé. On notera que la simplicité de ce logiciel permet de d’éviter l’apparition d’erreurs de conception pouvant affecter ce module logiciel, et donc d’éviter l’apparition de défaillances de mode commun pouvant affecter toutes les occurrences de ce module logiciel simple dans le système.

[0059] On peut noter que les deux modules logiciels peuvent être exécutés de

manière isolée l’un par rapport à l’autre : la défaillance de l’un n’affecte pas l’autre qui peut être exécuté.

[0060] On peut noter que les deux modules logiciels 1 12 et 1 13 sont dans une

configuration actif/passif : le deuxième module logiciel 1 13 étant passif quand le premier module logiciel 1 12 est actif. [0061 ] Le dispositif de commande 1 10 comporte en outre un module de gestion de l’alimentation 1 14 qui assure la distribution de l’énergie électrique et le pilotage des actionneurs à partir des commandes élaborées par le premier ou par le deuxième module logiciel.

[0062] Il comporte également un module de surveillance du fonctionnement du

dispositif de commande 1 10. Ce module a des fonctions qui sont

traditionnellement désignées par l’expression anglo-saxonne « monitoring ».

[0063] Aussi, la commande des actionneurs électromécaniques 101 A et 101 B est obtenue par une connexion électrique 1 16, pour transmettre de l’énergie électrique aux actionneurs électromécaniques.

[0064] Dans le deuxième dispositif de commande 120, dissimilaire du premier

dispositif de commande 1 10, on a également un organe de contrôle logiciel 121. Préférentiellement, cet organe comprend un troisième module logiciel 122 qui peut être analogue au module logiciel 1 12, et un quatrième module logiciel 123 qui peut être analogue au module logiciel 1 13 (par analogue, on entend que leur code est identique).

[0065] Même si les modules logiciels sont analogues comme expliqué ci-avant, les éléments matériels utilisés pour implémenter les organes 1 11 et 121 peuvent être dissimilaires.

[0066] Par contre, le deuxième dispositif de commande comporte un module de

gestion de l’alimentation électrique 124 qui peut présenter des dissimilarités avec le module de gestion de l’alimentation électrique 1 14 (même s’il a la même fonction).

[0067] Le deuxième dispositif de commande comporte également un module de surveillance 125 du fonctionnement du dispositif de commande 120 qui peut présenter des dissimilarités avec le module de surveillance 115, bien qu’il ait la même fonction.

[0068] Aussi, la commande des actionneurs électromécaniques 101 C et 101 D est obtenue par une connexion électrique 126, pour transmettre de l’énergie électrique aux actionneurs électromécaniques. [0069] En ce qui concerne l’alimentation en énergie électrique, le premier dispositif de commande et le deuxième dispositif de commande sont respectivement alimentés par deux lignes d’alimentation 130 et 131 différentes et distinctes l’une de l’autre (dans une configuration actif/actif).

[0070] Pour commander les dispositifs de commande, on utilise un premier module de transmission de signaux commande 140 (par exemple un bus numérique) et un deuxième module de transmission de signaux de commande 141 (par exemple un autre bus numérique ou un organe qui délivre des signaux analogiques et/ou discrets) qui est configuré pour être utilisé en cas de défaillance du premier module de transmission de signaux de commande. Tous les dispositifs de commande reçoivent les signaux de commande des deux modules de transmission de signaux de commande.

[0071 ] Par exemple, pour le dispositif de commande 110, on peut utiliser le premier module de transmission de signaux de commande 140 pour le premier module logiciel 1 12 et le deuxième module de transmission de signaux de commande 141 pour le deuxième module logiciel 1 13.

[0072] On notera par ailleurs que le module de transmission de signaux de

commande 140 et/ou le module de transmission de signaux de commande 141 peuvent fournir ces signaux de commande aux modules de surveillance 115 et 125. Cela peut permettre de vérifier si une incohérence apparait entre ces signaux (qui sont des consignes) et les sorties des organes de contrôle logiciel.

[0073] Comme expliqué ci-avant, l’unité de freinage 103’ est analogue à l’unité de freinage 103, elle ne sera donc pas décrite plus en détail pour des raisons de concision.

[0074] Sur la figure 2, on a représenté la défaillance des premiers dispositifs de

commande 1 10 et 1 10’, cet évènement pouvant se produire en cas de défaillance de mode commun.

[0075] Le freinage reste possible car les deuxièmes dispositifs de commande 120 et 120’ restent opérationnels car ils ne sont normalement pas affectés par les mêmes défaillances que les premiers dispositifs de commande 110 et 1 10’. On notera cependant que seuls deux actionneurs par roue restent utilisables. [0076] Sur la figure 3, on a représenté la défaillance des premiers modules logiciels 1 12 et 1 12’, et des troisièmes modules logiciels 122 et 122’, dans un cas où ces deux modules sont identiques. S’ils sont identiques, ils peuvent être affectés par une défaillance de mode commun.

[0077] On notera que si une telle défaillance se produit, les modules de surveillance

1 15, 125, 1 15’, et 125’ peuvent la détecter et commander le basculement entre les modules logiciels pour que les modules logiciels 1 13, 123, 1 13’ et 123’ soient utilisés (de manière alternative, ce basculement peut être réalisé par un utilisateur qui émet une commande en ce sens).

[0078] Dans cet exemple, on a un fonctionnement dégradé du freinage.

[0079] Sur la figure 4, on a représenté un aéronef 300 équipé d’un système de

freinage 100 identique à celui décrit en référence à la figure 1 , et qui gère le freinage de roues 200 et 201.

[0080] Les modes de mise en oeuvre et de réalisation décrits ci-avant permettent d’obtenir une bonne robustesse du freinage, et ce en limitant la quantité de redondances matérielles, car des redondances logicielles sont utilisées (les deux modules logiciels dans chaque organe de contrôle logiciel).