Note: Descriptions are shown in the official language in which they were submitted.
1
PROCÉDÉ DE CONTROLE DE LA RESTITUTION D'ALERTE(S) ET/OU DE
PROCÉDURE(S) DE RECONFIGURATION SYSTEME(S), PRODUIT PROGRAMME
D'ORDINATEUR ET SYSTEME DE CONTROLE ASSOCIÉS
DOMAINE
La présente invention concerne un procédé de contrôle de la restitution
d'alerte(s)
et/ou de procédure(s) de reconfiguration système(s) pour assister le pilotage
d'un
véhicule, tel qu'un aéronef, ou le pilotage d'un drone (aérien, terrestre ou
encore marin) et
un produit programme d'ordinateur associé.
La présente invention concerne également un système de contrôle de la
restitution
d'alerte(s) et/ou de procédure(s) de reconfiguration système(s).
Par la suite, on considère l'exemple où le véhicule est aérien, par exemple un
aéronef. On entend par aéronef , un engin mobile piloté par un pilote et
apte à voler
notamment dans l'atmosphère terrestre, tel qu'un avion ou un hélicoptère, ou
encore un
drone.
SOMMAIRE
L'aéronef comporte une pluralité de systèmes utilisables par le pilote pour
exploiter
l'aéronef. On entend ainsi par système , un dispositif au moins partiellement
électronique ou encore une association de tels dispositifs, embarqué dans
l'aéronef et
apte à mettre en oeuvre une ou plusieurs fonctions permettant d'exploiter
l'aéronef.
L'invention permet plus particulièrement d'aider le pilote à prioriser les
tâches
associées à des situations anormales causées par un dysfonctionnement d'un ou
plusieurs systèmes lors de l'exploitation de l'aéronef et à en réduire le
nombre ou la
priorité de sorte à obtenir en conséquence pour l'équipage un apaisement de
telles
situations anormales généralement synonymes de stress.
Parmi l'ensemble des systèmes d'un aéronef, il existe généralement au moins un
système de surveillance de type FWS (de l'anglais Flight Warning System )
permettant
de surveiller le fonctionnement des autres systèmes et de détecter
éventuellement leur
dysfonctionnement.
Lorsqu'aucun dysfonctionnement du système surveillé n'est détecté, le système
de
surveillance attribue à ce système l'état de fonctionnement normal.
Lorsqu'un dysfonctionnement du système surveillé est détecté, le système de
surveillance attribue à ce système l'état de fonctionnement défaillant.
CA 3020086 2018-10-05
2
Dans ce dernier cas, le système de surveillance permet d'avertir le pilote sur
le
dysfonctionnement détecté en générant notamment une alerte correspondant à la
dégradation ou à la perte de fonction associée. Certains des systèmes de
surveillance
permettent en outre de proposer au pilote une procédure de reconfiguration
d'un ou
plusieurs systèmes pour pallier ce dysfonctionnement et revenir à une
situation sure
d'un point de vue sécurité du vol.
Ceci est particulièrement le cas d'un système de surveillance connu sous le
terme
anglais Flight Warning System (FWS) et embarqué dans la plupart des
aéronefs
actuels.
Les systèmes du type FWS permettent notamment de surveiller une majeure
partie des systèmes de l'aéronef
Avec l'augmentation de la complexité des systèmes et le nombre croissant des
interconnections et dépendances entre les systèmes, le nombre de
dysfonctionnements
susceptibles d'apparaitre simultanément dans ces systèmes, augmente
considérablement. De plus, un dysfonctionnement dans un système donné peut
causer
de multiples dysfonctionnements dans des systèmes dépendant de celui-ci.
Selon les systèmes d'alerte de vol actuels, la criticité d'une alerte est
déterminée
de manière statique par une analyse faite lors de la conception du système et
de l'avion.
Cette analyse est faite en considérant l'intégralité des missions de l'aéronef
et donc le pire
cas.
Lorsqu'une défaillance survient sur l'un des systèmes, le niveau d'alerte qui
est
remonté peut donc être complètement décorrélé de la mission. En d'autres
termes, la
défaillance détectée n'est parfois pas essentielle à la bonne conduite de la
mission. La
génération et la restitution de l'alerte correspondante est donc inutile par
rapport à la
mission effectuée et dans ce cas une source de stress tout aussi inutile et
synonyme
d'une charge de travail pour l'équipage qui doit analyser l'alerte et la
manière de la traiter
avec le prisme mission en tête. Les conséquences de cet inconvénient des
systèmes
d'alerte actuels sont décuplées en cas de défaillances multiples, l'équipage
se retrouvant
alors seul et noyé sous la masse de données à traiter et à trier de sorte à
faire le tri entre
ce qui est requis et ce qui est superflu pour la mission à mener, l'amenant
potentiellement
à perdre de vue l'état global de l'appareil.
Un but de l'invention est donc de pallier ces inconvénients en proposant une
gestion automatique améliorée de la restitution d'alertes de sorte que le
niveau de criticité
des alertes soit adaptés au contexte de vol courant (i.e. à la mission en
cours) afin de
CA 3020086 2018-10-05
3
diminuer la charge en travail et en stress pesant habituellement sur les
épaules de
l'équipage en cas de situation anormale.
Pour cela l'invention a pour objet un procédé de contrôle de la restitution
d'alerte(s) et/ou de procédure(s) de reconfiguration système(s), le procédé
comprenant, la
surveillance du fonctionnement d'un ou plusieurs dispositif(s) d'un véhicule
propre à se
déplacer entre deux points distincts et la détermination d'alerte(s) et/ou de
procédure(s)
de reconfiguration associée(s) à restituer à l'équipage ou à au moins un
pilote du
véhicule, le véhicule étant propre à fonctionner conformément à au moins une
mission
sélectionnée parmi une pluralité de missions, une mission correspondant à une
séquence
de tâches opérationnelles mises en oeuvre par utilisation d'au moins une
capacité
opérationnelle associée à ladite mission,
le procédé comprenant en outre, pour une mission courante, les étapes
suivantes :
- obtention d'une liste de capacité(s) opérationnelle(s) requise(s) par ladite
mission
courante ;
- en fonction desdites capacité(s) opérationnelle(s) requise(s), et à partir
d'au moins une
information stockée dans une base de données accessible, le contrôle de la
restitution
d'alerte(s) et/ou de procédure(s) de reconfiguration système(s) par:
- modification du niveau associé d'alerte(s) et/ou de procédure(s) de
reconfiguration
issue(s) de la surveillance, et ordonnancement de la restitution à l'équipage
d'alerte(s) et/ou de procédure(s) en fonction dudit niveau, et/ou
- filtrage desdites alerte(s) et/ou procédure(s) de reconfiguration avant
restitution à
l'équipage.
Suivant des modes particuliers de réalisation, le procédé de contrôle comporte
une
ou plusieurs des caractéristiques suivantes, prises isolément ou suivant
toutes les
combinaisons techniquement possibles :
- dans la base de données chaque capacité opérationnelle est associée, par
phase de vol, à une liste de groupe d'éléments sur lesquels une alerte et/ou
une
procédure de reconfiguration est susceptible de porter, la modification et/ou
le filtrage
comprenant :
- la détection de la ou des capacités opérationnelles impactées par l'alerte
et/ou la
procédure de reconfiguration,
- la première comparaison desdites capacités opérationnelles impactées
auxdites
capacité(s) opérationnelle(s) requise(s), et
CA 3020086 2018-10-05
=
4
- la deuxième comparaison desdites capacités opérationnelles impactées à un
ensemble
de capacité(s) opérationnelle(s) basiques nécessaires en permanence au bon
fonctionnement du véhicule ;
- lorsque la première comparaison desdites capacités opérationnelles
impactées
auxdites capacité(s) opérationnelle(s) requise(s) est négative, le procédé
comprend la
diminution du niveau d'alerte(s) et/ou de procédure(s) de reconfiguration
issue(s) de la
surveillance, par application d'une loi de dégradation prédéterminée stockée
préalablement dans un fichier de configuration du véhicule ;
- lorsque la première comparaison desdites capacités opérationnelles impactées
auxdites capacité(s) opérationnelle(s) requise(s) est positive, et lorsque la
ou les
capacité(s) à la fois impactée(s) et requise(s) sont indépendantes du moment
courant de
la mission, la conservation du niveau d'alerte(s) et/ou de procédure(s) de
reconfiguration
est mise en oeuvre ;
- la base de données comprend en outre pour chaque capacité opérationnelle une
information représentative de sa période d'utilisation au cours de la mission
courante, et
dans lequel le procédé comprend la prise en compte de cette information pour
le contrôle
de la restitution d'alerte(s) et/ou de procédure(s) avionique(s) ;
- lorsque la première comparaison desdites capacités opérationnelles
impactées
auxdites capacité(s) opérationnelle(s) requise(s) est positive, et lorsque, à
un instant
courant, l'information représentative de la période d'utilisation de la ou des
capacité(s) à
la fois impactée(s) et requise(s) indique une utilisation ultérieure à
l'instant courant au
cours de la mission, la conservation du niveau d'alerte(s) et/ou de
procédure(s) de
reconfiguration est mise en oeuvre ;
- lorsque la première comparaison desdites capacités opérationnelles impactées
auxdites capacité(s) opérationnelle(s) requise(s) est positive, et lorsque, à
un instant
courant, l'information représentative de la période d'utilisation de la ou des
capacité(s) à
la fois impactée(s) et requise(s) indique une utilisation révolue par rapport
à l'instant
courant, le procédé comprend la diminution du niveau d'alerte(s) et/ou de
procédure(s) de
reconfiguration issue(s) de la surveillance, par application de la loi de
dégradation
prédéterminée stockée préalablement dans le fichier de configuration du
véhicule ;
- lorsque la deuxième comparaison des capacités opérationnelles impactées à
un
ensemble de capacité(s) opérationnelle(s) basiques est positive, la
conservation du
niveau d'alerte(s) et/ou de procédure(s) de reconfiguration est mise en
oeuvre.
CA 3020086 2018-10-05
5
L'invention a également pour objet un produit programme d'ordinateur
comprenant
une mémoire lisible par ordinateur stockant des instructions logicielles qui,
lorsque mis en
oeuvre par une unité de traitement d'informations intégrée à un aéronef ou
déportée
(notamment dans le cas d'un drone par ex), met en oeuvre un procédé de
contrôle tel que
défini ci-dessus.
L'invention a également pour objet un système de contrôle de la restitution
d'alerte(s) et/ou de procédure(s) de reconfiguration système(s), le système
étant
connectable à un système de surveillance du fonctionnement d'un ou plusieurs
dispositif(s) d'un véhicule propre à se déplacer entre deux points distincts,
le système de
surveillance du fonctionnement étant propre à mettre en oeuvre la
détermination
d'alerte(s) et/ou de procédure(s) de reconfiguration associée(s) à restituer à
l'équipage ou
à au moins un pilote du véhicule, le véhicule étant propre à fonctionner
conformément à
au moins une mission sélectionnée parmi une pluralité de missions, une mission
correspondant à une séquence de tâches opérationnelles mises en oeuvre par
utilisation
d'au moins une capacité opérationnelle associée à ladite mission,
pour la mise en oeuvre d'une mission courante, le système de contrôle étant
propre à:
- obtenir une liste de capacité(s) opérationnelle(s) requise(s) par ladite
mission
courante ;
- en fonction desdites capacité(s) opérationnelle(s) requise(s), et à
partir d'au moins une
information stockée dans une base de données accessible par le système de
contrôle,
le système est également apte à:
- modifier un niveau associé d'alerte(s) et/ou de procédure(s) de
reconfiguration
délivrées par le système de surveillance, et ordonner la restitution à
l'équipage
d'alerte(s) et/ou de procédure(s) en fonction dudit niveau, et/ou
- filtrer lesdites alerte(s) et/ou procédure(s) de reconfiguration avant
restitution à
l'équipage.
BREVE DESCRIPTION DES DESSINS
L'invention et ses avantages seront mieux compris à la lecture de la
description
détaillée qui va suivre d'un mode de réalisation particulier, donné uniquement
à titre
d'exemple non limitatif, cette description étant faite en se référant aux
dessins annexés
sur lesquels :
- la figure 1 est une vue schématique d'un aéronef comportant notamment un
système de surveillance, un écran d'affichage et un système d'aide à la
décision d'un
pilote pour le pilotage d'un aéronef selon l'invention ;
CA 3020086 2018-10-05
6
- les figures 2 et 3 sont des vues schématiques de différents exemples de
réalisation des systèmes de contrôle de la restitution d'alerte(s) et/ou de
procédure(s) de
reconfiguration système(s) selon l'invention ;
- les figures 4 et 5 sont des vues schématiques de l'organisation d'une base
de
données mise en oeuvre selon l'invention ;
- les figures 6 et 7 correspondent respectivement à un organigramme d'un
procédé
de contrôle de la restitution d'alerte(s) et/ou de procédure(s) de
reconfiguration
système(s) mis en oeuvre par le système de contrôle des figures 2 ou 3, et la
figure 7
correspond à un organigramme d'une de ses étapes.
DESCRIPTION DÉTAILLÉE
Dans l'exemple de réalisation de la figure 1, l'aéronef 10 est par exemple un
avion
apte à être exploité par au moins un pilote.
En variante, l'aéronef 10 est un hélicoptère, ou encore un drone piloté à
distance
par un pilote.
De manière connue, l'exploitation de l'aéronef 10 comprend une phase de
maintenance pilotée par le ou chaque opérateur de maintenance, et une phase de
mission pilotée par le ou chaque pilote d'un équipage. La phase de mission
comprend des
phases de vol et/ou des phases opérationnelles où des actions de type
treuillage de
charge ou de type repérage sont réalisées. Chaque phase de vol est notamment
choisie
parmi le groupe consistant au moins en : une phase de roulage (taxi), une
phase de
décollage, une phase de montée, une phase de croisière, une phase de descente
et une
phase d'atterrissage.
Toute exploitation de l'aéronef 10 ayant un but défini, constitue une mission
M de
l'aéronef 10. Ainsi, par exemple, lorsque l'aéronef 10 est un avion de ligne,
une de ses
missions M possibles est le transport des passagers d'une ville à une autre.
Dans cet
exemple la mission M est définie par la compagnie aérienne correspondante.
L'aéronef 10 est apte à évoluer lors de sa mission M sous l'influence de
conditions
externes. Ces conditions externes comprennent par exemple des conditions
météorologiques ou encore le trafic aérien dans les environs de l'aéronef 10.
L'aéronef 10 comporte un ensemble de systèmes 11 permettant d'exploiter
l'aéronef 10.
On entend ainsi par système , un dispositif au moins partiellement
électronique
ou encore une association de tels dispositifs, embarqué dans l'aéronef 10 et
apte à mettre
en oeuvre une ou plusieurs fonction(s) ou capacités permettant d'exploiter
l'aéronef 10.
CA 3020086 2018-10-05
7
Par fonction on entend des opérations (calcul de trajectoire, calcul de
position,
suivi de trajectoire...) qui contribuent à des degrés divers à la réalisation
de capacités
(par exemple une capacité de catégorie trois CAT III , une capacité de
communication
regroupant trois fonctions telles que la communication haute fréquence HF, la
communication BHF et la communication satellitaire) propre à offrir des
services à un
utilisateur, par exemple un service d'atterrissage automatique sans
visibilité.
titre d'exemple de tels systèmes, on peut notamment citer un système de
gestion de vol (FMS, de l'anglais Flight Management System ) ou un système
d'alerte
de trafic et d'évitement de collision (TCAS, de l'anglais Traffic Alert and
Collision
Avoidance System ) présentant des associations de différents dispositifs
mécaniques et
électroniques, ou encore un train d'atterrissage ou tout type de becs et de
volets
présentant des associations de différents dispositifs mécaniques.
Chaque système de l'ensemble de systèmes 11 est apte à fonctionner selon une
pluralité de configurations. Dans chaque configuration, un système est apte à
mettre en
oeuvre une fonction déterminée par cette configuration. La configuration d'un
système à
un instant donné est appelée par la suite configuration courante de ce
système.
Chaque système de l'ensemble de systèmes 11 est associé à une pluralité de
paramètres de fonctionnement caractérisant sa configuration courante. Chaque
paramètre de fonctionnement est apte à prendre par exemple une valeur
numérique pour
caractériser la configuration courante du système correspondant.
Ainsi, les paramètres de fonctionnement ont des valeurs numériques différentes
pour différentes configurations du système correspondant.
Par exemple, un paramètre de fonctionnement associé à un volet correspond à
différentes configurations de ce volet, telles que le volet ouvert ou le volet
entré. Ce
paramètre de fonctionnement est apte à prendre par exemple une valeur
numérique
correspondant à l'angle d'ouverture de ce volet pour caractériser sa
configuration
courante.
L'ensemble de systèmes 11 utilisés par le pilote pour exploiter l'aéronef 10 à
un
instant donné, les configurations courantes de ces systèmes à cet instant et
les conditions
externes courantes de l'aéronef 10 à cet instant forment un contexte
d'évolution, ou
encore contexte de vol courant, de l'aéronef 10. L'aéronef 10 est ainsi apte à
évoluer lors
de sa mission selon différents contextes d'évolution correspondant à
différents systèmes
utilisés par le pilote, différentes configurations courantes de ces systèmes
et/ou
différentes conditions externes.
CA 3020086 2018-10-05
8
Chaque contexte d'évolution de l'aéronef 10 correspond par exemple à l'une de
ses phases d'exploitation comme la phase de maintenance ou l'une des phases de
vol.
Des fonctions mises en oeuvre par au moins certains des systèmes relatifs à un
but de pilotage déterminé, forment une capacité opérationnelle C, de l'aéronef
10. On
entend ainsi par capacité opérationnelle , un ensemble de fonctions qui
combinées
ensemble forment une capacité propre à offrir à un utilisateur un ou une
pluralité de
services fournis par l'aéronef 10, en utilisant les systèmes pour accomplir un
but de
pilotage prédéterminé. Chaque capacité opérationnelle Cj repose donc sur un ou
plusieurs systèmes.
Selon le cas, au moins une capacité opérationnelle Cj est mise en oeuvre par
une
ou plusieurs chaines fonctionnelles.
Par exemple, lorsque la capacité doit présenter une forte disponibilité, les
chaines
fonctionnelles associées sont des chaines redondantes, propre à se substituer
les unes
aux autres en cas de défaillance.
Lorsque la capacité doit présenter une forte intégrité, les chaines
fonctionnelles
associées sont propres à fonctionner de manière complémentaire les unes par
rapport
aux autres (i.e. à fonctionner de concert), une chaine fonctionnelle étant
propre à
contrôler le fonctionnement d'une autre chaine fonctionnelle associée à cette
capacité.
Lorsque la capacité dot présenter à la fois une forte disponibilité et une
forte
intégrité les chaines fonctionnelles associées présentent à la fois de la
redondance et de
la complémentarité pour fonctionner de concert tout en restant efficace en cas
de
défaillance de l'une des chaines fonctionnelles.
Lorsqu'une ou plusieurs fonctions formant une capacité opérationnelle CI ne
sont
plus disponibles ou partiellement disponible, suite par exemple à un
dysfonctionnement
du ou des systèmes correspondant à ces services, la capacité opérationnelle Cj
est dite
perdue ou respectivement dégradée (lorsque la capacité opérationnelle est
partiellement
disponible).
Le pilote de l'aéronef 10 est apte à récupérer, ou compenser, une capacité
opérationnelle Cj perdue, respectivement dégradée, lorsqu'il existe une
possibilité de
reconfiguration permettant d'associer des nouveaux services à cette capacité
opérationnelle CI pour accomplir le même but de pilotage qu'avant l'apparition
de la
défaillance ayant causé la dégradation voire la perte de la capacité
opérationnelle C.
Chaque possibilité de reconfiguration d'une capacité opérationnelle Cj est
décrite
sous la forme d'une liste de chaines fonctionnelles, chaque chaine étant
capable de porter
à elle seule la capacité de manière complète ou dégradée.
CA 3020086 2018-10-05
9
Chaque capacité opérationnelle C, est choisie parmi le groupe comportant :
- propulsion de l'aéronef 10, connue également sous le terme anglais Power
Sources ;
- contrôle de la vitesse de l'aéronef 10, connu également sous le terme
anglais
Speed Management ;
- contrôle de l'altitude de l'aéronef 10, connu également sous le terme
anglais Alt
Management ;
- contrôle de paramètres de vol de l'aéronef 10, connu également sous le terme
anglais Flight Control ;
- surveillance de conditions givrantes, connue également sous le terme anglais
Icing Conditions ;
- contrôle de catégories d'approche l'aéronef 10 telles que CAT2 ou CAT3 DUAL
connues en soi ;
- performance de navigation exigée, appelée également RNP (de l'anglais
Required Navigation Performance ) ;
- performance de localisation avec un guidage vertical, appelée également LPV
(de l'anglais Localizer Performance with Vertical Guidance ) ;
- navigation verticale, appelée également VNAV (de l'anglais Vertical
Navigation ) ;
- atterrissage aux instruments, appelée également IL (de l'anglais
Instrument
Landing ) ;
- mode du radar altimétrique, appelée également RAD ALT Mode ;
- minimum de séparation verticale réduit, appelée également RVSM ( Reduced
Vertical Separation Minima ) ;
- spécification minimale de la performance de navigation, appelé également
MNPS
(de l'anglais minimum navigation performance specification ) ;
- communication via des messages textuels avec le sol ou d'autres aéronefs
( Datalink en anglais) ;
- communication via des satellites, appelée également SatCom (de l'anglais
Satellite Communication ) ;
- communication via des ondes d'hautes fréquences, appelée également HF (de
l'anglais High Frequency ) ;
- communication via des ondes de très hautes fréquences, appelée également
VHF (de l'anglais Very High Frequency ) ;
- surveillance du relief ;
CA 3020086 2018-10-05
10
- surveillance du trafic aérien ;
- surveillance de conditions météorologiques ;
- surveillance et actionnement de différentes gouvernes de l'aéronef 10;
- information pour les passagers ; et
- contrôle du roulage de l'aéronef 10
- vision nocturne, synthétique ou augmentée.
Les capacités opérationnelles C, de l'aéronef 10 permettent de réaliser des
tâches
opérationnelles T, exécutables par le pilote pour accomplir la mission M de
l'aéronef 10.
On entend ainsi par tâche opérationnelle , un ensemble de capacité que le
pilote est
apte à utiliser directement sur des systèmes ou indirectement via ces systèmes
pour
accomplir la mission M.
Lorsqu'une ou plusieurs capacités opérationnelles C, mettant en oeuvre une
tâche
opérationnelle T, sont perdues ou dégradée, la tâche opérationnelle T, est
dite perdue ou
incomplète.
Le pilote de l'aéronef 10 est apte à récupérer une tâche opérationnelle T,
perdue
lorsqu'il existe une possibilité de reconfiguration permettant d'associer des
nouvelles
capacités opérationnelles Cj pour mettre en oeuvre cette tâche opérationnelle
T, et/ou
lorsqu'il est possible de récupérer/compléter les capacités opérationnelles C,
perdues.
Comme dans le cas précédent, chaque procédure de reconfiguration d'une tâche
opérationnelle T, contient par exemple une pluralité d'actions prédéterminées
du pilote sur
des systèmes ou sur leur configuration permettant de parvenir à une telle
association.
Chaque tâche opérationnelle T, est choisie parmi le groupe consistant en :
- pilotage en vol de l'aéronef 10 comprenant un ensemble de capacités
utilisables
par le pilote pour maintenir l'aéronef 10 en vol, telles que par exemple des
capacités
d'actionnement de la manche ou des manettes de gaz;
- localisation de l'aéronef 10 comprenant un ensemble de capacités
utilisables par
le pilote pour localiser l'aéronef 10 dans l'espace ;
- guidage de l'aéronef 10 comprenant un ensemble de capacités utilisables
par le
pilote pour guider l'aéronef 10 selon une route prédéterminée ;
- communication de données entre l'aéronef 10 et l'extérieur (par exemple un
centre de contrôle, opérateur (ex : compagnie aérienne) ou d'autres aéronefs)
consistant
en la communication de l'aéronef 10 avec le contrôle aérien comprenant un
ensemble de
capacités utilisables par le pilote pour communiquer avec le contrôle aérien,
via par
exemple des moyens de radiocommunication et/ou consistant en la communication
commerciale de l'aéronef 10 comprenant un ensemble de capacités utilisables
par le
CA 3020086 2018-10-05
11
pilote pour communiquer avec la compagnie aérienne ou toute structure
définissant la
mission M de l'aéronef 10 ; et
- observation du milieu environnant l'aéronef 10 comprenant un ensemble de
capacités utilisables par le pilote pour éviter notamment des collisions dans
l'air ou avec
le sol.
L'ensemble de systèmes 11 comporte un système, dit système de surveillance et
désigné par la référence 14, un système, dit système de contrôle de la
restitution
d'alerte(s) et/ou de procédure(s) de reconfiguration système(s) et désigné par
la référence
16, un système réalisé sous la forme d'un écran d'affichage et désigné par la
référence
18, un système réalisé sous la forme d'un gestionnaire de mission et désigné
par la
référence 19, et d'autres systèmes 20A à 20N. Seuls les systèmes 14, 16, 18 et
19 seront
décrits plus en détail par la suite.
Le système de surveillance 14 est apte à surveiller le fonctionnement des
autres
systèmes 20A à 20N.
En particulier, lors de l'exploitation de l'aéronef 10, le système de
surveillance 14
est apte à attribuer à chaque autre système 20A à 20N, l'état de
fonctionnement normal
ou défaillant pour caractériser la disponibilité de ce système 20A à 20N à
mettre en
oeuvre des services correspondants.
Pour ce faire, tel qu'illustré par les figures 2 ou 3, le système de
surveillance 14 est
raccordé aux autres systèmes 20A à 20N et apte à recevoir et à analyser les
paramètres
de fonctionnement de ces systèmes 20A à 20N pour déterminer leur état de
fonctionnement, et la ou les alerte(s) et/ou la ou les procédure(s) de
reconfiguration
associée(s) à restituer à l'équipage.
L'état de fonctionnement d'un système est l'état normal lorsque le système est
apte à mettre en oeuvre tous les services obligatoires pour lesquels il est
conçu.
L'état de fonctionnement d'un système est l'état défaillant (i.e. dégradé)
lorsque le
système n'est pas apte ou est partiellement apte à mettre en oeuvre au moins
certains
des services obligatoires pour lesquels il est conçu, par exemple une
indication
intermittente de la position de l'appareil ou avec une précision moindre.
Le système de surveillance 14 est par exemple un système du type FVVS (de
l'anglais Flight VVarning System ) connu en soi dans l'état de la
technique.
Le système de contrôle de la restitution d'alerte(s) et/ou de procédure(s) de
reconfiguration système(s) 16 est raccordé au système de surveillance 14 pour
recevoir
les états de fonctionnement des systèmes 20A à 20N, les alerte(s) et/ou
procédure(s) de
reconfiguration correspondante(s), déterminés par le système de surveillance
14, et à
CA 3020086 2018-10-05
12
l'écran d'affichage 18 pour contrôler et communiquer au pilote les seules
alertes et/ou
procédures de reconfiguration pertinentes, ou encore associer aux alertes
et/ou
procédures de reconfiguration un niveau L de prise en compte par l'équipage
pertinent
pour la bonne conduite de la mission M et ce, en fonction du contexte
d'évolution de
l'aéronef 10.
Par exemple, les alertes avioniques sont catégorisées en six niveaux L, le
niveau
maximal indiquant une prise en compte prioritaire étant égal à six, tandis que
le niveau
minimal Lin indiquant un filtrage possible de l'alerte (i.e. sa non
restitution à l'équipage)
est égal à 1. Autrement dit toute alerte dont le niveau L, après traitement
par le système
de contrôle 16 selon l'invention, est strictement inférieur à deux, n'est pas
propre à être
restituer à l'équipage pour en limiter la charge de travail.
Une alerte de niveau Lmax=6, correspond par exemple au type d'alerte avionique
connue sous le nom anglais Fly-related warning est calculé sur l'ensemble
des
capacités opérationnelles pour lesquelles l'un des systèmes défaillant 20A à
20N
correspondant intervient, une alerte de niveau L=5 au type d'alerte Warning
, une
alerte de niveau L=4 au type d'alerte Caution , une alerte de niveau L=3 au
type
d'alerte Advisory également appelé Notification , une alerte de niveau
L=2 au type
d'alerte lnhibited ¨ see it Later .
Le gestionnaire de mission 19 est un calculateur apte à stocker et à analyser
un
ensemble d'informations relatives à la mission M de l'aéronef 10. En
particulier, le
gestionnaire de mission 19 permet de stocker une liste de capacités
opérationnelles
requises pour accomplir la mission M et le transmettre au système de contrôle
16.
En particulier, une telle liste de capacités opérationnelles Ci regroupant
tout ou
partie des capacités opérationnelles Cj citées précédemment, découle par
exemple
directement de la trajectoire courante suivie, de la phase de vol, ou encore
du type
d'aéronef, et est mise à jour en continue pour chacune des missions M prévues.
Par exemple, pour une mission M de survol de l'océan, pour la capacité
fonctionnelle de communication, la fonction de communication VHF sera utile
uniquement
à proximité de l'aéroport de départ ou d'arrivée, et pour le reste du temps de
mission,
c'est la fonction de communication satellitaire qui sera utile.
Par ailleurs, selon une première variante de réalisation, le gestionnaire de
mission
19 est propre à déduire (i.e. automatiquement sans intervention humaine)
directement la
liste de capacités opérationnelles Cj requises et leur type, pour chaque
mission, M à partir
de données saisies par au moins un pilote de l'équipage via une interface de
saisie non
CA 3020086 2018-10-05
13
représentée, par exemple une interface IHM, par exemple accessible via l'écran
d'affichage 18 tactile.
De manière optionnelle, le gestionnaire de mission 19 est également propre à
fournir aussi le ou les moments t où chaque capacité opérationnelle Cj est
censée être
utilisée. Ce moment t est par exemple décrit en temps relatif (i.e. en
fonction d'un
évènement prédéterminé, par exemple en fonction de la position de l'appareil
sur la
trajectoire) ou bien sous la forme de phase de vol par exemple.
Selon une deuxième variante de réalisation, le gestionnaire de mission 19 est
propre à acquérir une partie de la liste de capacités opérationnelles Ci
requises, ou
encore la liste complète de capacités opérationnelles C, saisie directement et
mise à jour
par l'équipage.
En relation avec la figure 2 ou la figure 3, à partir des informations
fournies
respectivement via le système de surveillance 14 et via le gestionnaire de
mission 19, le
système de contrôle 16 est apte à mettre en oeuvre le procédé de contrôle de
la restitution
d'alerte(s) et/ou de procédure(s) de reconfiguration système(s) selon
l'invention.
En particulier, le système de contrôle 16 est apte à obtenir la liste de
capacité(s)
opérationnelle(s) Cj requise(s) par la mission M courante, et en fonction des
capacité(s)
opérationnelle(s) Cl requise(s), et à partir d'au moins une information
stockée dans une
base de données 22 accessible par le système de contrôle 16, le système 16 est
également apte à:
- modifier un niveau associé d'alerte(s) et/ou de procédure(s) de
reconfiguration
délivrées par le système de surveillance 14, et ordonner la restitution à
l'équipage
d'alerte(s) et/ou de procédure(s) en fonction dudit niveau, et/ou
- filtrer lesdites alerte(s) et/ou procédure(s) de reconfiguration avant
restitution à
l'équipage.
Plus précisément, le système de contrôle 16 est propre à accéder à la base de
données 22. Comme décrit par la suite en relation avec les figures 4 et 5,
dans la base de
données 22, chaque capacité opérationnelle Cj est associée, par phase de vol,
à une liste
de groupe d'éléments sur lesquels une alerte A et/ou une procédure de
reconfiguration P
fournie(s) par le système de surveillance 14 est susceptible de porter.
De plus, pour mettre en oeuvre une modification du niveau associé d'alerte(s)
et/ou
de procédure(s) de reconfiguration et/ou un filtrage d'alerte(s) et/ou de
procédures de
reconfiguration, le système de contrôle 16 est propre à détecter au sein de la
base de
données 22 la ou les capacité(s) opérationnelle(s) impactée(s) Cump j par
l'alerte A ou la
procédure P de reconfiguration, avec i un index de capacité opérationnelle
impactée.
CA 3020086 2018-10-05
14
De plus, pour classer les alertes, voire pour les filtrer par rapport à un
seuil L, de
niveau d'alerte prédéterminé, le système de contrôle 16 est apte à comparer la
ou
l'ensemble des capacité(s) opérationnelle(s) impactée(s) Cump_, avec d'une
part
l'ensemble des capacités opérationnelles requise pour la mission courante M et
d'autre
part avec à un ensemble de capacité(s) opérationnelle(s) basiques Cg
nécessaires en
permanence au bon fonctionnement de l'aéronef 10, telles que les capacité(s)
opérationnelle(s) basiques pilotage , navigation ou encore
communication .
En fonction du résultat de ces comparaisons propres à être menées par le
système de contrôle 16 selon l'invention en accédant à la base de données 22,
tel que
décrit ultérieurement en relation avec le procédé selon l'invention, le
système de contrôle
16 est propre à déterminer si oui ou non le niveau L d'alerte A ou de
procédure P de
reconfiguration déterminé par le système de surveillance 14 est pertinent par
rapport à la
mission M en cours ou si une modification visant à dégrader ce niveau L en lui
soustrayant un nombre entier k est nécessaire, le nombre entier k étant
déterminé par le
système de contrôle 16 en accédant à une loi de dégradation 24 prédéterminée
et propre
à chaque alerte et stockée préalablement dans un fichier de configuration de
l'aéronef 10.
Plus précisément, pour une alerte donnée, une amplitude du nombre k est
définie, par
alerte, par la loi de dégradation 24. Par exemple, pour une alerte de type
Warning ,
concernant un équipement requis pour la mission M et pour la sécurité du
véhicule, en
cas de reconfiguration possible, la loi de dégradation 24 indique par exemple
une
dégradation possible d'un niveau, et en cas de reconfiguration impossible
indique une
impossibilité de dégradation. Pour une alerte de type Caution concernant
un
équipement requis pour la mission M et pour la sécurité du véhicule, en cas de
reconfiguration possible, la loi de dégradation 24 indique par exemple une
dégradation
possible de trois niveaux, et en cas de reconfiguration impossible indique une
dégradation
possible de deux niveaux.
Selon une variante non représentée, le système de contrôle 16 comprend en
outre
une interface de saisie permettant à l'équipage de l'activer ou le désactiver
ou de moduler
son traitement sur les niveaux d'alertes.
Les figures 2 et 3 représentent sont des vues schématiques de différents
exemples de réalisation des systèmes de contrôle de la restitution d'alerte(s)
et/ou de
procédure(s) de reconfiguration système(s) selon l'invention.
En particulier, sur la figure 2, le système de surveillance 14 et le système
de
contrôle 16 sont distincts et séparé, par exemple dans deux boîtiers distincts
non
représentés.
CA 3020086 2018-10-05
15
Dans l'exemple de réalisation de la figure 3, le système de surveillance 14 et
le
système de contrôle 16 sont réalisés sous la forme d'un seul équipement de
surveillance
et de contrôle 26 comportant, par exemple au sein d'un même boîtier, à la fois
les moyens
matériels configurés pour mettre en oeuvre le fonctionnement du système de
surveillance
14 et du système de contrôle 16. En d'autres termes, selon ce deuxième mode de
réalisation associé à la figure 3, l'équipement de surveillance et de contrôle
26 correspond
à un Flight Warning System (FVVS) enrichi (ou super FVVS , ou encore
FVVS
amélioré ) d'une fonction de tri et de classement des alertes A et/ou
procédure P de
reconfiguration à restituer à l'équipage en fonction de leur pertinence en
temps réel par
rapport à la mission M en cours.
Selon un aspect optionnel, non représenté sur la figure 2 ou la figure 3, le
système
de contrôle 16 qu'il soit séparé ou non du système de surveillance 14,
comprend en outre
une entrée spécifique propre à permettre à l'équipage de moduler manuellement
l'alerte A
ou la procédure P de reconfiguration et/ou d'activer/désactiver le système de
contrôle.
Les figures 4 et 5 sont des vues schématiques d'exemples d'association
d'éléments dans la base de données 22 mis en oeuvre selon l'invention.
Sur la figure 4, une première chaine de dispositifs 281, 301 et 321, et une
deuxième
chaine de dispositifs 282, 302 et 322 sont respectivement associées à une même
capacité
opérationnelle 34 correspondant à la navigation avec performance requise (RNP
de
l'anglais Required Navigation Performance ).
Les dispositifs 281 et 282 correspondent notamment chacun à une centrale
anémobarométrique (ADC de l'anglais Air Data Computer ), les dispositifs
301 et 302
correspondent chacun à une centrale de référence de cap et d'attitude (AHRS de
l'anglais
Attitude Heading Reference System ), et les dispositifs 321 et 322
correspondent
chacun au système de gestion de vol (FMS, de l'anglais Flight Management
System ).
Dans la base de données 22 accessible par le système de contrôle 16, la
capacité
opérationnelle 34 est associée différemment aux dispositifs précités en
fonction de la
phase de vol 36.
Par exemple, dans un premier cas la phase de vol 36 est une phase de descente,
et dans un deuxième cas la phase de vol 36 est une phase d'approche.
Dans le premier cas où la phase de vol 36 est une phase de descente, la
capacité
opérationnelle 34 correspondant à la navigation avec performance requise est
associée
dans la base de donnée 22, d'une part au premier sous-groupe d'éléments
comprenant le
premier système de gestion de vol 321, les deux centrales de référence de cap
et
d'attitude 301 et 302 propres à être connectées l'une à l'autre par une
liaison de
CA 3020086 2018-10-05
16
redondance R (en pointillés) de sorte à les rendre interchangeables, et les
deux centrales
anémobarométriques 281 et 282 propres à être connectées l'une à l'autre
également par
une liaison de redondance R (en pointillés) de sorte à les rendre
interchangeables, et
d'autre part au deuxième sous-groupe d'éléments comprenant le deuxième système
de
gestion de vol 322, les deux centrales de référence de cap et d'attitude 301
et 302, et les
deux centrales anémobarométriques 281 et 282.
En particulier, selon ce premier cas où la phase de vol 36 est une phase de
descente, et conformément à l'association ci-dessus dans la base de données
22, en cas
d'alerte A, délivrée par le système de surveillance 14, correspondant à une
panne du
deuxième système de gestion de vol 322 et de la deuxième centrale de référence
de cap
et d'attitude 302, par accès à la base de donnée 22, le système de contrôle 16
détermine
que l'alerte A impacte la capacité opérationnelle 34 RNP . Le système de
surveillance
14 est également propre à délivrer le statut associé de la capacité
opérationnelle 34
RNP à savoir dégradé pour représenter qu'une défaillance de cet élément
est
détectée et à délivrer la phase de vol 36 associée correspondant à la phase de
descente
de l'aéronef 10.
Si selon la présente invention, le système de contrôle 16 après comparaison de
la
capacité opérationnelle 34 impactée par l'alerte A à l'ensemble des capacités
opérationnelles requises pour la mission M en phase de vol de descente
délivrées par le
système de gestionnaire de mission 19, détecte que la capacité opérationnelle
34
RNP impactée n'est pas requise pour la mission M, alors le système de
contrôle 16
est, selon l'invention, propre à modifier le niveau de priorité de l'alerte A
portant sur le
deuxième système de gestion de vol 322 en le diminuant d'un nombre k=2, ce
système de
de gestion de vol 322 étant critique pour la capacité associée à la mission M
mais peu
critique pour la sécurité lorsqu'on envisage le pire cas obtenu à partir
des résultats
des analyses d'évènements redoutés et de sécurités. De plus, le système de
contrôle 16
est propre à modifier le niveau de priorité de l'alerte A portant sur la
deuxième centrale de
référence de cap et d'attitude 302 en le diminuant d'un nombre k=1, la
deuxième centrale
de référence de cap et d'attitude 302 étant plus critique pour la sécurité
lorsqu'on envisage
le pire cas que le système de de gestion de vol 322.
Si au contraire, cette capacité opérationnelle 34 impactée est requise pour la
mission M et que l'aéronef 10 est en phase de vol 36 d'approche et non en
phase de vol
36 de descente, le système de contrôle 16 est, selon l'invention, propre à
modifier le
niveau de priorité de l'alerte A portant respectivement sur le deuxième
système de gestion
de vol 322 et sur la deuxième centrale de référence de cap et d'attitude 302
de sorte à le
CA 3020086 2018-10-05
17
diminuer pour qu'il devienne inférieur à un seuil Ls de niveau L d'alerte,
prédéterminé, par
exemple L=2, de manière que l'alerte A portant sur le deuxième système de
gestion de
vol 322 ou sur la deuxième centrale de référence de cap et d'attitude 302 est
filtrée (i.e.
non restituée sur l'écran 18 à l'équipage).
Dans le deuxième cas où la phase de vol 36 est une phase d'approche, les deux
centrales de référence de cap et d'attitude 301 et 302, de même que
respectivement les
deux centrales anémobarométriques 281 et 282 ne sont pas propres à être
redondées
l'une par l'autre pendant cette phase de vol 36 d'approche.
Autrement dit, les liaisons de redondances R entre centrales de référence de
cap
et d'attitude 301 et 302 d'une part et entre les deux centrales
anémobarométriques 281 et
282 d'autre part sont désactivées dans ce deuxième cas lorsque la phase de vol
36 est
une phase d'approche et activée dans le premier cas lorsque la phase de vol 36
est une
phase de descente. En phase d'approche, les deux centrales de référence de cap
et
d'attitude 301 et 302 et les deux centrales anémobarométriques 281 et 282 sont
requises,
chacun de ces équipements étant propre à s'autocontrôler de manière à détecter
des
incohérences, tel un fonctionnement en mode en double sources (de l'anglais
dual
source ).
De plus, la capacité opérationnelle 34 correspondant à la navigation avec
performance requise est alors associée dans la base de donnée 22, d'une part
au premier
sous-groupe d'éléments comprenant le premier système de gestion de vol 321, la
première centrale de référence de cap et d'attitude 301, et la centrale
anémobarométriques 281, et d'autre part au deuxième sous-groupe d'éléments
comprenant le deuxième système de gestion de vol 322, la deuxième centrale de
référence de cap et d'attitude 301 et 302, et la deuxième centrales
anémobarométriques
282.
Selon ce deuxième cas, et en cas d'alerte A correspondant à une panne du
deuxième système de gestion de vol 322 et de la deuxième centrale de référence
de cap
et d'attitude 302 mais également à une panne du premier système de gestion de
vol 321 et
de la première centrale de référence de cap et d'attitude 301, le système de
surveillance
14 est propre à délivrer que le statut associé de la capacité opérationnelle
34 RNP est
perdue du fait qu'il n'y a pas de possibilité de récupérer la capacité
opérationnelle 34
RNP (i.e. car pas de redondance possible dans ce cas). Selon la présente
invention,
le système de contrôle 16, déterminant que la capacité opérationnelle 34 RNP
est
requise pour la mission M et que l'aéronef 10 est bien en phase de vol 36
d'approche, le
niveau de priorité des alertes portant sur le deuxième système de gestion de
vol 322 ou
CA 3020086 2018-10-05
18
sur la deuxième centrale de référence de cap et d'attitude 302 sera maintenu à
son niveau
maximum afin que l'équipage la traite en priorité.
Dans la base de donnée 22, les autres capacités opérationnelles Ci sont
associées de la même façon à une liste de groupe d'élément sur lesquels
l'alerte A et/ou
la procédure P de reconfiguration à restituer selon le système de surveillance
14 est
susceptible de porter.
La figure 5 illustre notamment l'association stockée au sein de la base de
données
22 portant sur la capacité opérationnelle de communication de l'aéronef 10
correspondant
à une capacité basique, nécessaire en permanence au bon fonctionnement de
l'aéronef
10, à savoir la capacité opérationnelle de communication air/sol.
En particulier, deux dispositifs redondants 381 et 382 de communication via
des
ondes d'hautes fréquences, appelée également HF (de l'anglais High Frequency
) sont
associés à la capacité opérationnelle 40 de communication HF, deux dispositifs
redondants 421 et 422 de communication via des ondes de très hautes
fréquences,
appelée également VHF (de l'anglais Very High Frequency ) ; sont associés à
la
capacité opérationnelle 42 de communication VHF, et deux dispositifs
redondants 441 et
442 de communication par satellite sont associés à la capacité opérationnelle
42 de
communication VHF 44 de communication par satellite.
En cas d'alerte A correspondant à une panne du premier dispositif 381 de
communication, si la capacité opérationnelle requise pour la mission M est la
capacité
opérationnelle 42 de communication VHF et non la capacité opérationnelle 40 de
communication HF, selon la présente invention, le système de contrôle 16, est
propre à
modifier le niveau de priorité de l'alerte A en le diminuant d'un nombre k=1
de sorte à
passer par exemple d'un niveau d'alerte L=4 de type Caution à un niveau
d'alerte L=3
de type Advisory .
Le procédé 48 de contrôle de la restitution d'alerte(s) et/ou de procédure(s)
de
reconfiguration système(s) va désormais être décrit en référence à la figure 6
illustrant un
organigramme de ses étapes pour une mission M courante.
Comme indiqué précédemment en relation avec les figures 2 et 3, le procédé est
mis en oeuvre par un système de contrôle 16 propre à être connecté, au sein
d'un même
boîtier 26 ou non, au système de surveillance 14 lui-même connecté à
l'ensemble 50
d'autres systèmes 20A à 20N mais également au gestionnaire de mission 19,
associé le
cas échéant avec une interface de saisie dans un même ensemble 52.
Lors d'une étape 54, la surveillance du fonctionnement d'un ou plusieurs
dispositif(s) avionique(s) de l'ensemble 50 de l'aéronef 10 et la
détermination d'alerte(s)
CA 3020086 2018-10-05
19
et/ou de procédure(s) de reconfiguration associée(s) à restituer à l'équipage
est mise en
oeuvre.
En d'autres termes, cette étape revient au calcul d'alertes et de contextes de
vol
courant (i.e. contexte d'évolution de l'aéronef), et de l'état du ou des
dispositif(s)
avioniques 50 de l'avion en se basant sur des combinaisons d'opérateurs
mathématiques
et logiques, le résultat de ce calcul étant ensuite fourni en entrée d'une
étape de contrôle
56 de la restitution 60 d'alerte(s) et/ou de procédure(s) avionique(s).
Par ailleurs, de manière indépendante, par exemple, en parallèle,
préalablement
ou successivement, le procédé comprend une étape 58 d'obtention de la liste de
capacité(s) opérationnelle(s) Cj requise(s) par la mission M courante, cette
liste étant
fournie par le gestionnaire de mission 19, par exemple associé dans l'ensemble
52 à une
interface de saisie permettant une sélection manuelle de l'équipage, en entrée
de l'étape
de contrôle 56 de la restitution 60 d'alerte(s) et/ou de procédure(s)
avionique(s).
A partir des informations délivrées par ces deux étapes 54 et 58 à savoir
respectivement alerte(s) A, procédure(s) P de reconfiguration, contexte(s) de
vol courant
d'une part et capacité(s) opérationnelle(s) Cj requise(s) par la mission M
courante d'autre
part, l'étape de contrôle 56 de la restitution 60 d'alerte(s) et/ou de
procédure(s)
avionique(s) est donc mise en uvre.
Plus précisément, selon cette étape le tri/présentation des alertes A et/ou
procédures de reconfiguration P en fonction des capacités requises pour la
mission M est
mis en uvre. Selon cette étape 56, est mis en oeuvre un accès à la base de
données 22
précédemment décrite et contenant :
- pour chaque alerte A et procédure P, ses caractéristiques pire cas et
cas
minimal en terme de priorité et de criticité, de charge pilote associée à
chaque
item de procédure,
- pour chaque capacité opérationnelle de l'aéronef 10, les listes de groupes
d'alertes pouvant entrainer la perte de la capacité opérationnelle, chaque
liste
découlant de l'analyse de sécurité de l'aéronef 10, et
-
pour chaque capacité opérationnelle basique Cg de l'aéronef les listes de
groupes
d'alertes pouvant entrainer la perte d'une telle capacité basique, chaque
liste
découlant également de l'analyse de sécurité de l'aéronef 10.
De manière optionnelle, non représentée, le ou les moments, en termes de phase
de vol ou de positionnement sur la trajectoire, où chaque capacité
opérationnelle est
censée être utilisée est également pris en compte en entrée de l'étape 56 de
contrôle de
restitution d'alerte.
CA 3020086 2018-10-05
20
Plus précisément, une telle étape 56 de contrôle de restitution revient à une
modification du niveau L associé d'alerte(s) et/ou de procédure(s) de
reconfiguration
issue(s) de la surveillance 54, et un ordonnancement de la restitution à
l'équipage
d'alerte(s) et/ou de procédure(s) en fonction niveau L, et/ou revient à un
filtrage des
alerte(s) et/ou procédure(s) de reconfiguration avant restitution à
l'équipage.
Par ailleurs, pour modifier (i.e. dégrader, diminuer) le niveau L d'alerte A
et/ou de
procédure de reconfiguration, le système 16 de contrôle de restitution accède
à un fichier
de configuration contenant une loi de dégradation utilisée pour déterminer le
niveau
d'alerte L dégradé, ou encore l'amplitude possible du niveau d'alerte L
dégradé.
Une telle loi de dégradation 24 correspond, par exemple, à l'application de la
table
de correspondance et d'analyse suivante :
Cj requise pour mission M
requise pour la sécurité en k=1 k=0
considérant la situation de pire
cas obtenu à partir de résultats
d'analyses d'évènements redoutés et
de sécurité (y compris hors mission)
d'Optimisation/optionnelle k=2 k=1
non requise pour le reste de la k=3 k=2
mission
Statut de la capacité opérationnelle Dégradé ¨ Perte définitive
délivré par la surveillance reconfiguration possible
Selon cet exemple, une pondération de la dégradation est effectuée en fonction
du
statut de la capacité opérationnelle délivré par la surveillance.
Par exemple, lorsqu'à l'issue de l'étape 54 de surveillance l'alerte A ou la
procédure de reconfiguration P associée à une capacité opérationnelle requise
pour la
sécurité de la mission M et associée au statut dégradé est délivrée, le
niveau d'alerte
ou de procédure de reconfiguration associé est propre à être dégradé de un
niveau au
maximum.
De même, lorsqu'à l'issue de l'étape 54 de surveillance l'alerte A ou la
procédure
de reconfiguration P associée à une capacité opérationnelle requise pour la
mission M et
associée au statut perte définitive est délivrée, le niveau d'alerte ou de
procédure de
reconfiguration associé est propre à être conservé.
La dégradation par diminution d'un entier k est tel que L-k-Lmin.
CA 3020086 2018-10-05
21
En variante, une telle loi est également propre à prendre en compte le moment
d'utilisation de la capacité opérationnelle, au regard de l'instant tc de mise
en uvre du
procédé 48 selon la présente invention. En d'autres termes, la loi prend en
compte la
phase de vol ou encore la position du véhicule sur la trajectoire (une telle
position étant
associée à un moment) où l'utilisation de la capacité opérationnelle est
requise, et lorsque
la capacité opérationnelle n'est plus requise pour le reste de la mission, une
autre partie
de la loi de dégradation 24 ou une autre loi de dégradation est appliquée pour
le
déroulement du reste de la mission.
En relation avec la figure 7, la mise en oeuvre, à un instant tc, via des
opérateurs
de comparaisons logiques de l'étape 56 de contrôle de restitution 60 d'alerte
est détaillée
ci-après.
Plus précisément, lors de l'étape 56, une étape 62 de parcours de la base
données 22 est mise en oeuvre par le système 16 de contrôle de restitution.
Cette étape
62, revient à la détection 62 de la ou des capacités opérationnelles impactées
Cump (i.e. la
ou les capacités perdues ou dégradées) par l'alerte A et/ou par la procédure P
de
reconfiguration dont la restitution est recommandée par le système de
surveillance 14.
Puis selon une étape 64, pour chaque capacité opérationnelle Cump_, perdue ou
dégradée, avec i un index de capacité opérationnelle impactée, une comparaison
à
l'ensemble des capacité(s) opérationnelle(s) C, requise(s) pour la mission M,
fournies par
le gestionnaire 19 de mission, est effectuée.
Si cette comparaison 64 est négative N, une étape 66 de diminution (i.e. de
dégradation) du niveau L d'alerte(s) A et/ou de procédure(s) de
reconfiguration issue(s)
de la surveillance, par application de la loi de dégradation 24 prédéterminée
et stockée
préalablement dans un fichier de configuration de l'aéronef 10. En d'autres
termes, selon
cette diminution effectuée à un instant te,i, le niveau d'alerte Lt,i= Le-k, k
étant défini en
conformité avec la loi de dégradation 24.
Selon le mode de réalisation de la figure 7, si la comparaison 64 est positive
Y, la
capacité opérationnelle Cump i perdue ou dégradée en cours d'analyse est
ensuite, selon
une étape 68, comparée à un ensemble de capacité(s) opérationnelle(s) basiques
Cg
nécessaires en permanence au bon fonctionnement de l'aéronef 10. Si la
capacité
opérationnelle Cump_, est identifiée comme basique (i.e. par basique on
entend requise
pour toutes les missions)Y dans la base de donnée 22 (par exemple
correspondant à la
propulsion de l'aéronef 10 dans le cas d'un avion de ligne), selon une étape
70 le niveau
Ltp+1 associé à l'alerte A ou à la procédure de reconfiguration P est
conservé. Autrement
CA 3020086 2018-10-05
22
dit, entre l'instant t, d'entrée et l'instant de sortie tc+, de l'étape de
contrôle de restitution
56, le niveau de priorité de restitution L restera inchangé (i.e. Lic+1= Ltc).
En revanche, si la deuxième comparaison 68 est négative N (i.e. la capacité
opérationnelle Cump_, perdue ou dégradée en cours d'analyse n'est pas basique
mais
nécessaire à la mission M), selon une étape 72, il est évalué si la capacité
opérationnelle
CL,,,p_, perdue ou dégradée en cours d'analyse est requise indépendamment du
temps Y,
dans ce cas selon l'étape 70 le niveau Ltc+1 associé à l'alerte A ou à la
procédure de
reconfiguration P est conservé, ou non N, dans ce cas au cours de deux étapes
74 et 76
est évalué si la capacité opérationnelle Cump_, perdue ou dégradée en cours
d'analyse est
nécessaire à la mission préalablement à l'instant tc d'entrée dans l'étape 56
de contrôle
de restitution ou ultérieurement.
Ainsi, si la capacité opérationnelle Cump_, est requise pour la mission M mais
dans
une période de temps à venir (t>tc) tel que testé selon l'étape74, le niveau L
est conservé
selon l'étape 70. Dans le cas contraire N, si la capacité opérationnelle
Cump_, est requise
pour la mission M mais dans une période de révolue (t<tc), le niveau L est
dégradé selon
une étape 78 conformément à la loi de dégradation 24 définie dans le fichier
de
configuration, de sorte que le niveau d'alerte Ltc+1= Ltc-k.
On conçoit ainsi que la présente invention propose, préalablement à la
restitution à
l'équipage un classement et un filtrage des alertes et des procédures de
reconfiguration
en fonction du contexte opérationnel de l'aéronef, permettant à termes
d'obtenir une
réduction du stress de l'équipage en lui offrant la possibilité de prioriser
ses taches de
manière plus aisée et donc également de réduire la charge associée au
traitement des
dites taches.
CA 3020086 2018-10-05
