DOMAINE TECHNIQUE GENERAL

L’invention concerne les dispositifs de commande des moteurs d’aéronef de type turboréacteur. Elle concerne plus particulièrement les dispositifs mettant en œuvre des calculs redondés à partir de mesures issues de capteurs configurés pour mesurer des paramètres du moteur.

ETAT DE LA TECHNIQUE

Un turboréacteur est classiquement équipé d’un dispositif de commande qui assure aussi une protection contre des événements dont les conséquences sont hazardous (redoutés) ou catastrophique tels que des cas de survitesse du moteur. Ainsi, un seul et même dispositif met en œuvre ces deux fonctions.

Un tel dispositif de commande comprend généralement deux voies identiques qui permettent de redonder l’acquisition de paramètres et le calcul de consigne pour commander un ou plusieurs actionneur(s).

Les voies sont idéalement indépendantes l’une de l’autre mais souvent, elles échangent des informations afin de permettre une consolidation des mesures.

L’objectif de la consolidation est de faire en sorte que les deux voies fassent les mêmes calculs au même moment dans le but d’assurer la redondance tiède du dispositif de commande : une voie est active et commande des actionneurs et une voie est passive et est prête à chaque instant à devenir active dans le cas où une défaillance surviendrait sur le système. En effet, une défaillance sur une voie peut conduire à des évènements hazardous ou catastrophiques.

Dans le cas où la commande du moteur et la protection contre ces évènements sont assurés par le même dispositif, il est nécessaire de prévoir une surveillance des processeurs effectuant les calculs pour s’assurer qu’ils ne sont pas défaillants. En effet, une défaillance du processeur peut déclencher un départ en survitesse du moteur.

Une telle surveillance est mise en œuvre en comparant les résultats des calculs de chacune des voies, une voie dite active commandes les actionnant (par exemple les géométries variables et/ou doseurs de carburant du moteur). En cas de divergence entre les calculs, la voie passive est désactivée et le dispositif de commande devient monovoie.

Un problème est qu’en comparant seulement les résultats des calculs sur chacune des voies, il n’est pas possible de discriminer une défaillance du processeur ou un problème d’échange entre les voies.

En effet, une coupure de la liaison inter voie, même fugitive, stoppe la surveillance mutuelle et oblige à sécuriser le système car cela peut engendrer une différence de calculs. La sécurisation consiste à isoler la voie passive pour le reste de la mission, pénalisant ainsi la disponibilité de la redondance pour la mission et la disponibilité des calculateurs en maintenance pour assurer la recherche des problèmes.

De ce fait la voie écartée peut être la voie saine car lors d’un problème de communication, on ne sait pas dire si l’erreur est localisée sur la voie émettrice ou réceptrice. Si la voie restante est défaillante et que cette défaillance est détectable par des autotests hardware, elle finit par s’isoler également conduisant alors à l’extinction du moteur. Ce type de comportement pénalise donc le taux d’arrêt en vol du moteur.

PRESENTATION DE L’INVENTION

L’objet de l’invention consiste donc à rendre plus robuste (c’est-à-dire résistant) le système aux pertes de liaison inter voie pour permettre de localiser les anomalies de façon sûre et ainsi assurer que seule la voie défaillante s’isole.

A cet effet, l’invention propose selon un premier aspect, un dispositif de commande d’un moteur comprenant une première voie de commande et une deuxième voie de commande, chaque voie de commande comprenant un premier capteur et un second capteur chacun configuré pour fournir respectivement une première mesure et une deuxième mesure à chaque voie, chacune des voies comprenant un état actif ou passif définissant une voie active ou une voie passive, la voie active étant destinée à piloter au moins un actionneur du moteur tandis que la voie passive est destinée à prendre le relais sur la voie active en cas de défaillance de cette dernière, le dispositif étant tel que chaque voie comprend :

- une unité de consolidation des mesures, chacune recevant en entrée les mesures issues des deux voies par l’intermédiaire d’au moins une liaison de communication inter-voie de manière à obtenir un paramètre de consolidation, - une unité de traitement d’au moins une commande d’au moins un actionneur du moteur, le dispositif comprenant :

- un fonctionnement nominal selon lequel l’unité de calcul de chaque voie calcule la commande en fonction du paramètre de consolidation et de la commande calculée à l’instant de calcul précédent, l’actionneur étant piloté par la voie active,

- un fonctionnement dégradé, en cas de coupure de la liaison de communication, selon lequel, l’unité de calcul de la voie passive calcule la commande en fonction de la commande calculée par la voie active à l’instant de calcul précédent.

L’invention est avantageusement complétée par les caractéristiques suivantes, prises seules ou en une quelconque de leur combinaison techniquement possible

- chaque voie comprend en outre une unité de surveillance des processus configurée pour détecter une différence de la valeur de la commande calculée par les deux voies

- l’unité de surveillance des processus est configurée pour désactiver

temporairement ou définitivement la voie passive dans le cas où une différence de la valeur de la commande calculée par les deux voies est détectée.

- l’unité de consolidation effectue une moyenne des valeurs mesurées par les deux voies.

- l’unité de traitement de chaque voie effectue un calcul nécessitant au moins un résultat calculé par elle-même à un pas de temps antérieur.

- l’unité de traitement de chaque voie effectue un calcul nécessitant au moins un résultat intermédiaire calculé par elle-même à un pas de calcul antérieur.

- le mode de fonctionnement dégradé est activé pendant une durée correspondant à la durée de la coupure de l’au moins une liaison de communication inter-voie.

- le mode de fonctionnement dégradé est activé pendant une durée correspondant au temps entre le calcul d’une valeur intermédiaire et l’instant de temps le plus éloigné durant lequel un calcul utilise cette valeur comme donnée initiale.

- le mode de fonctionnement dégradé est activé pendant une durée prédéterminée, estimée par des tests de panne de liaison de communication.

- l’unité de surveillance des processus est configurée pour désactiver définitivement la voie passive dans le cas où une différence dans la valeur de la commande calculée par les deux voies est détectée immédiatement après la fin du mode de fonctionnement dégradé. - lorsque l’une des deux voies attend de recevoir des mesures provenant de l’autre voie, ladite autre voie réalise à l’avance les prochains calculs prévus ne nécessitant pas de mesure provenant de la seconde voie dont elle ne dispose pas à cet instant. Les avantages de l’invention sont multiples.

La disponibilité de la redondance en augmentant la robustesse de la liaison aux défaillances fugitives. Cela contribue à améliorer également la disponibilité de la protection face aux risques catastrophiques et hazardous.

La disponibilité des calculateurs en maintenance en facilitant la recherche de pannes ainsi qu’en diminuant la proportion de calculateurs avec des pannes non confirmées ou de calculateurs déposés à tort.

Le taux d’arrêt moteur en vol lié à une défaillance de l’une des deux voies du dispositif de commande.

PRESENTATION DES FIGURES

D’autres caractéristiques, buts et avantages de l’invention ressortiront de la description qui suit, qui est purement illustrative et non limitative, et qui doit être lue en regard des dessins annexés sur lesquels :

- la figure 1 illustre un exemple de dispositif de commande d’un moteur comportant deux voies selon un mode de réalisation de l’invention ;

- la figure 2 illustre un exemple de réalisation d’une unité de traitement du dispositif de commande selon l’invention ;

- les figures 3 à 5 illustrent schématiquement des étapes de traitement mises en œuvre dans le dispositif de commande.

Sur l’ensemble des figures les éléments similaires portent des références identiques.

DESCRIPTION DETAILLEE DE L’INVENTION

On a illustré sur la figure 1 un dispositif de commande d’un moteur selon un mode de réalisation de l’invention. Le moteur est de préférence celui d’un aéronef tel qu’une turbomachine.

Le dispositif de commande comprend deux voies de commande : une première voie de commande V1 et une deuxième voie de commande V2.

Chaque voie de commande V1 , V2 permet de piloter au moins un actionneur ACT en fonction d’une commande ou consigne calculée C _v1 , C _v2 . En fonctionnement une seule des deux voies pilote l’actionneur ACT, il s’agit de la voie active. L’autre voie est considérée comme passive et permet de prendre le relais sur la voie active en cas de défaillance de ladite voie active.

Chaque voie de commande V1 , V2 reçoit en entrée des grandeurs A, B à mesurer à partir desquelles la commande de l’actionneur ACT est calculée. Ces grandeurs sont par exemple : température, etc.

Dans l’exemple illustré sur la figure 1 , chaque voie reçoit chacune deux grandeurs différentes A, B à mesurer, chaque voie mesurant les mêmes grandeurs. En particulier, pour chaque voie V1 , V2 ces grandeurs sont mesurées par des capteurs différents ou identiques :

- Pour la première voie V1 : une première mesure MAV1 de la première grandeur A est mesurée par un premier capteur CAV1 et une deuxième mesure MBV1 d’une deuxième grandeur B est mesurée par un deuxième capteur CBV1

- Pour la deuxième voie V2 : une première mesure MAV2 de la première grandeur A est mesurée par un premier capteur CAV2 et une deuxième mesure MBV2 de la deuxième grandeur B est mesurée par un deuxième capteur CBV2.

Les capteurs utilisés dépendent des grandeurs mesurées : un capteur de température pour la température etc.

Afin de déterminer une commande C _v1 , C _v2 chaque voie va effectuer un certain nombre de traitement sur les mesures effectuées.

En particulier, chaque voie comprend une unité de consolidation UC1 , UC2 permettant d’unifier les données mesurées par les capteurs de chacune des deux voies par un processus de consolidation, par exemple en effectuant une moyenne des valeurs mesurées par les capteurs de chacune des deux voies.

Comme on l’aura compris, il y a un échange de données entre les voies V1 , V2 au moyen d’une liaison de communication inter-voie LCOM.

Pour chaque voie, le résultat de la consolidation est alors utilisé par une unité de traitement UT1 , UT2 qui va calculer les consignes C _v1 , C _v2 pour l’actionneur ACT.

De manière avantageuse, l’unité de traitement UT1 , UT2 peut utiliser comme données d’entrée les commandes calculés à un ou plusieurs instants de calculs précédents ainsi que des résultats intermédiaires calculées à un ou plusieurs instants de calculs précédents. Dans ce cas, l’unité de traitement peut comprendre un premier module MOD1 de calcul et un deuxième module de calcul MOD2 : l’un d’eux réalise la première partie des calculs, et le second réalise les calculs nécessitant les calculs intermédiaires réalisés précédemment (voir figure 2). Les données issues du premier module sont récupérées par le deuxième module avec un retard, typiquement de 1 à 4 instants de calcul.

En fonctionnement nominal, les consignes C _v1 , C _v2 calculées par chacune des voies sont identiques. Pour s’assurer que c’est bien le cas, chaque voie comprend également une unité de surveillance US1 , US2, chargée de vérifier que les commandes C _v1 , C _v2 calculées sont bien identiques. Afin de pouvoir réaliser cette comparaison des commandes calculées, l’unité de surveillance US1 , US2 reçoit les commandes calculées par la voie à laquelle elle appartient, ainsi que celle calculées par l’autre voie via une liaison de communication LVER2, LVER1.

Lorsqu’une différence est détectée entre les deux commandes calculées C _v1 , C _v2 des mécanismes d’autotests des unités de traitement UT 1 , UT2 permettent d’identifier d’où peuvent venir les erreurs et désactiver une des voies qui dans ce cas ne remonte pas d’informations vers l’autre voie. Dans ce cas, il est possible de sélectionner la voie qui sera à l’état « actif » ou à l’état « passif » et de désactiver celle qui est à l’état « passif ».

En effet, comme déjà indiqué en introduction, on note que les voies de commande V1 , V2 disposent chacune d’un indicateur d’état « actif » ou « passif ». Celui-ci permet de déterminer quelle voie contrôle de manière effective le ou les

actionneur(s) ACT du moteur. Ces états sont exclusifs : les deux voies V1 , V2 ne peuvent pas être dans le même état, l’une doit être active et l’autre passive.

En revanche, si la source de l’erreur n’est pas détectée par les mécanismes d’autotests des unités de traitement, la voie passive est toujours désactivée. La redondance assurée par celle-ci est alors perdue. Comme on l’aura compris, il est dans ce cas possible de désactiver une voie alors qu’elle ne présente pas de problème, le problème pouvant venir de l’au moins une liaison de communication inter-voie LCOM.

En conséquence, plutôt que de désactiver la voie passive et en supposant que le problème vienne de la liaison de communication inter-voie LCOM, le dispositif de commande va présenter un mode de fonctionnement dégradé selon lequel on va procéder à une transmission des commandes calculées par les unités de traitement UT1 , UT2. En particulier, cette transmission est réalisée de la voie active vers la voie passive. Elle permet lorsque les calculs réalisés par l’unité de traitement reposent sur des résultats calculés à un pas de temps précèdent d’unifier les données d’entrée des unités de calculs des deux voies afin de permettre la convergence des commandes au bout d’un certain nombre de pas de temps.

De manière avantageuse, pour une unité de traitement le temps de calcul est fixé à une durée t, par exemple comprise entre 5 et 50 ms, typiquement t = 15ms, qui est limitée et le dépassement de cette durée engendre une exception de l’unité de traitement et la désactivation de la voie concernée par l’exception. Il est donc nécessaire d’être vigilant à la charge de calcul exécutée sur l’unité de traitement. En cas de coupure de la communication entre les voies V1 , V2, il est nécessaire, au rétablissement de la liaison de communication LCOM inter-voie, de suivre les mécanismes de transmission des commandes calculées pour assurer la

reconvergence des calculs. Ceci engendre une surcharge de calcul de l’unité de traitement. Il est donc nécessaire d’optimiser la durée des échanges et

l’ordonnancement des calculs pour respecter la contrainte temporelle de l’unité de traitement.

Exemple de mise en œuyre du fonctionnement dégradé du dispositif de commande selon un mode de réalisation préféré de l’invention

Un tel exemple est illustré sur les figures 3 à 5. L’exemple présenté est celui d’un calcul prenant en compte uniquement un résultat au pas de temps précédent (

dans cet exemple, il est admis que

. Tant que le système ne subit pas de panne de la liaison inter-voie, les calculs se déroulent tel qu’illustré sur la figure 3. En outre, dans cet exemple, la voie V1 est la voie active tandis que la voie V2 est la voie passive.

Pour déterminer la commande à appliquer à l’actionneur ACT à un pas de temps

des calculs sont réalisés à partir des données mesurées par les capteurs associés aux voies de commande. Dans un exemple simplifié, les calculs suivants sont réalisés :

avec :

Ce qui correspond à la figure 2 dans laquelle les opérateurs OP1 , OP2 sont par exemple des sommes des deux termes pris en entrée. D’autres opérateurs peuvent aussi être envisagés.

Il est ici évident qu’après les calculs décrit précédemment, dans le cadre d’un régime de fonctionnement nominal, si l’on admet qu’au pas calcul précédent on a bien :

, alors au pas de calcul courant, l’égalité suivante est bien vérifiée :

En revanche, lorsqu’une coupure survient sur la liaison de communication inter-voie à un instant

les unités de consolidations ne sont plus en mesure d’échanger les données mesurées par les capteurs reliés à leurs voies respectives. Les calculs réalisés par l’unité de traitement se déroulent alors tel que représenté dans la figure 4 : chacune des deux voies réalise les calculs présentés précédemment sans l’étape de consolidation (ici la moyenne). L’unité de traitement réalise donc les calculs suivants :

Cependant, les données de même nature mesurées par les capteurs de chacune des deux voies sont en pratique toujours différentes (c’est pourquoi la consolidation est nécessaire). On a donc :

Et dans ce cas les commandes calculées par les deux voies ne sont plus identiques :

Cette divergence des commandes calculées est détectée comme une erreur par les unités de surveillance. De plus, même si la liaison est rétablie, les calculs précédents étant différents après traitement, les commandes calculées resteront différentes d’une voie à l’autre.

Afin de pallier ce problème, la solution consiste à envoyer les résultats calculés par la voie active (dans cet exemple la voie V1) vers la voie passive (dans cet exemple la voie V2) lorsque la liaison est rétablie à un instant

tel que représenté dans la figure 5. Les calculs ici réalisés sont les suivants :

De ce fait :

On constate, que les valeurs des commandes C _v1 , C _v2 Sont identiques au rétablissement de la liaison de communication LCOM inter-voies.

Exemple d’implémentation possible A titre d’exemple les unités de traitement de chacune des deux voies peuvent être scindées en deux modules MOD1 , MOD2 comme illustré sur la figure 2. Dans ce cas, les calculs réalisés reposent sur plusieurs résultats précédents. Plus précisément, les calculs réalisés utilisent les résultats des 4 commandes

précédentes ainsi que des résultats intermédiaires venant des 3 instants de calculs précédents. Dans un tel cas, il est donc nécessaire d’échanger les commandes calculées pendant plusieurs instants de calcul, afin d’optimiser au maximum la durée de ces échanges qui sont coûteux en temps de calcul, ceux-ci doivent être réalisés pendant une durée la plus courte possible :

- lorsqu’une ou plusieurs commandes précédentes sont utilisées en entrée des unités de traitement avec un temps de retard

, mesuré en nombre d’instants de calcul, les commandes doivent être transmises de la voie active vers la voie passive pendant un nombre d’instants de calcul équivalent à la durée de la coupure de la liaison ;

- lorsqu’un ou plusieurs résultats intermédiaires précédents sont utilisés avec un retard

les commandes doivent être transmises de la voie active vers la voie passive pendant pas de calculs.

De plus, afin de satisfaire aux exigences de système temps réel propres à tout dispositif de pilotage embarqué, la durée de chaque cycle ne peut dépasser une durée prédéterminée, par exemple 15ms, dès lors, il est nécessaire d’optimiser l’ordre des opérations ajoutées afin de continuer à respecter cette contrainte. Pour cela, l’ordonnancement des taches réalisées par les unités de traitement est modifié afin de réaliser des calculs lorsque celles-ci sont en attente de la réception de données sur une liaison de données. De cette manière du temps de calcul est libéré :

- En mode de fonctionnement nominal, en l’absence de panne ;

- En mode de fonctionnement dégradé, lors de la panne de communication ;

- En mode de fonctionnement dégradé, après le retour de la liaison inter-voie, lors de l’échange de données depuis la voie active vers la voie passive. Ce temps de calcul libéré permet ainsi de respecter les contraintes de temps imposées ainsi que de réaliser des autotests supplémentaires afin de déceler un disfonctionnement d’un composant d’une des deux voies.