search

AdaCore / RESSAC_Use_Case

A Collaborative Development Assurance Lab
6 stars 12 forks source link

F_EL: decision between Soft and Hard Landing #9

Open AnthonyLeonardoGracio opened 7 years ago

AnthonyLeonardoGracio commented 7 years ago

Document: UseCaseDevelopment/Layer1_MMS/RESSAC_muXAV_SystemRQ_MMS_SW_Incr1.doc Commit: 74aa074

F_EL doit décider entre le Soft et le Hard landing : mais avec quelles informations ? (pas de niveau de batterie dans l’input)

Réponse initiale

Si l’emergency landing est déclenché par F_MM, on est encore dans des conditions énergétiques raisonnables pour interrompre la mission. F_EL effectivement ne le sait pas, il n’a pas l’info (ultérieurement il aura les niveaux d’energie car F_EL sera dans EPS et HBS), mais il commande en couples propulseurs ou freineurs sans se poser de questions sur la dispo de l’énergie (PID comme dans F_FC). Ça marchera parce que F_MM a décidé avec suffisamment d’anticipation le Abort pour lui. Par contre si c’est F_EL qui a déclenché, alors là c’est forcément du hard landing (en incrément 1) parce que F_EL n’a pas l’information sur l’énergie restante, et en plus elle ne croit plus à rien venant des autres fonctions de MMS, donc en particulier F_EM. Elle se débrouille « toute seule et au plus vite ». Ca prendra sens surtout en incrément 2 et 3 : F_EL ne sera plus dans MMS, pour pouvoir poser le drone même quand on a perdu les deux voies du calculateur MMS, ou la gestion du bus. F_EL sera essentiellement dans HBS, pour la hard landing quand on a perdu MMS et EPS. C’est pour ça qu’il y a un peu de flottement dans la spec sur soft/hard landing dans F_EL incrément 1, je reconnais. Je vais mettre ça au carré en incrément 2 à l’occasion des exigences systèmes allouées aux contrôleurs d’EPS et HBS. On aura :

  • EPS.F_EL activé par MMS.F_MM : soft landing, la partie freinage étant assurée par HBS.F_EL sur ordres émis par EPS.F_EL
  • EPS.F_EL activé par EPS lui-même parce qu’il a diagnostiqué MMS.(F_MM + F_FC) comme ne contrôlant plus le drone : EPS.F_EL a en son sein le niveau d’énergie, il saura donc choisir entre hard et soft landing (la loi de commande à appliquer). Selon le cas HBS.F_EL ne fait qu’exécuter les ordres de freinage (soft landing, c’est un PID EPS qui fonctionne), soit elle a la totalité du contrôle, c’est son PID qui s’exécute, mais seul le couple freineur est commandé.