Veronte Autopilot 4x ha sido diseñado como un sistema de control de alta fiabilidad robusto a fallos simples. De este modo garantiza una operación “fail-operational” robusta, incluso, ante un fallo en el árbitro.
Redundancia en alimentación
A fin de garantizar la redundancia del sistema, la alimentación es un factor clave. Veronte Autopilot 4x dispone de 4 entradas de alimentación: una para cada núcleo y una adicional para los árbitros.
Cada núcleo se alimenta individualmente y dispone de protecciones por fusibles, de manera que, en caso de fallo, este no se propague al resto. Además, los árbitros disponen de redundancia en alimentación es decir que cada pin de alimentación de cada núcleo está redundado para alimentar a los árbitros.
Para la alimentación de los distintos periféricos internos, se generan dominios de alimentación independientes, distribuyendo así la alimentación de los distintos componentes de forma fiable y robusta a fallos.
Redundancia 3+1
El autopiloto 4x está compuesto por 3 núcleos internos independientes (Veronte Autopilot 1x), permitiendo la conexión de un cuarto autopiloto externo, ya sea de Embention o de otro fabricante.
Todos los autopilotos tienen capacidad de controlar el vehículo, siendo la etapa de arbitraje la responsable de designar cual de los núcleos debe tomar el control en cada momento. En caso de fallo de uno de los núcleos, los árbitros detectarán este evento y decidirán cuál de los núcleos debe tener el control del vehículo en función de la estrategia de redundancia configurada.
Gestión de redundancia
Los árbitros reciben información de los distintos núcleos del autopiloto. Por un lado cada núcleo dispone de sus propios BITs (Built In Tests) internos que le permiten ejecutar un autodiagnóstico y comunicar su estado a los árbitros a través de un Watchdog. Esta señal pulsada sirve también para detectar si el microcontrolador de alguno de los núcleos no está funcionando correctamente. Además, los distintos núcleos envían mensajes de estado y variables de voto a los árbitros mediante dos buses de comunicaciones redundantes. Esta información es procesada por los árbitros que deciden qué núcleo toma el control del vehículo.
Robusto a fallos en el árbitro
En el remoto caso de darse un fallo en uno de los árbitros, existen distintos tipos de fallo que podrían ocurrir pero uno de los autopilotos tendría el control siempre. En caso de que el árbitro no generase una señal de salida, se queda seleccionado el core 1 por defecto. Considerando que ha fallado el árbitro, no se esperan fallos en los núcleos.
Robustez en el I/O
La redundancia del sistema debe diseñarse considerando la redundancia del vehículo en su conjunto. A fin de evitar puntos de fallo catastróficos, es crucial que actuadores u otros elementos críticos sean a su vez redundantes. Estos dispositivos pueden comunicarse a través de múltiples puertos en el autopiloto, gestionando la redundancia de comunicaciones de manera interna.
El diseño de la redundancia del sistema debe considerar las salidas y los bancos de alimentación del autopiloto, evitando así posibles puntos de fallo únicos. En buses como el RS232 o RS485, la salida de datos (Tx) será la del núcleo seleccionado por el árbitro mientras que los datos de entrada (Rx) se recibirán en todos los núcleos a la vez mediante buffers individuales, evitando el punto único de fallo en la recepción. La gestión de otro tipo de señales como son los PWM / GPIO disponen de sus propios bancos de multiplexión independientes. En caso de fallo en el multiplexor podría perderse el I/O asociado, utilizándose en este caso el segundo I/O asociado al periférico.
FTS integrado
Adicionalmente, Veronte Autopilot 4x dispone de un sistema de votación hardware completamente independiente de los árbitros, el cual puede utilizarse como FTS (sistema de terminación de vuelo) en caso de que se produzca un fallo catastrófico que afecte a los 3 núcleos del autopiloto.
Estas cualidades hacen de Veronte Autopilot 4x el sistema de control redundante más robusto de su categoría. Además, su diseño ligero y compacto lo hacen la solución ideal para el control de vehículos autónomos, siendo el sistema de control escogido por los principales fabricantes de todo tipo de drones y eVTOL.
