DE3432165A1 - Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination - Google Patents

Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination

Info

Publication number
DE3432165A1
DE3432165A1 DE19843432165 DE3432165A DE3432165A1 DE 3432165 A1 DE3432165 A1 DE 3432165A1 DE 19843432165 DE19843432165 DE 19843432165 DE 3432165 A DE3432165 A DE 3432165A DE 3432165 A1 DE3432165 A1 DE 3432165A1
Authority
DE
Germany
Prior art keywords
memory
assigned
memory circuit
circuit
memories
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19843432165
Other languages
English (en)
Other versions
DE3432165C2 (de
Inventor
Edelbert Dipl.-Ing. 8024 Deisenhofen Eichhorn
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus Defence and Space GmbH
Original Assignee
Messerschmitt Bolkow Blohm AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Messerschmitt Bolkow Blohm AG filed Critical Messerschmitt Bolkow Blohm AG
Priority to DE19843432165 priority Critical patent/DE3432165A1/de
Priority to FR858511101A priority patent/FR2569882B1/fr
Priority to JP60187541A priority patent/JPH0695315B2/ja
Priority to US06/770,687 priority patent/US4739498A/en
Publication of DE3432165A1 publication Critical patent/DE3432165A1/de
Application granted granted Critical
Publication of DE3432165C2 publication Critical patent/DE3432165C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Radio Relay Systems (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Einrichtung zur automatischen Rekonfiguration einer intakten Gerätekombination
Die Erfindung betrifft eine Einrichtung zur automatisehen, im Falle eines Defektes erforderlichen Rekonfiguration einer intakten Gerätekombination aus einem System einfach redundant ausgelegter Gerätegruppen.
Derartige redundant ausgelegte Systeme von Gerätegruppen werden beispielsweise in der Raumfahrt verwendet, wo es darauf ankommt, die Systeme möglichst ausfallsicher zu gestalten. Bei einfacher Redundanz ist somit jedes Gerät zweifach vorhanden. Bei diesen Geräten kann es sich beispielsweise um Meßgeräte für die Drehzahl von Drallrädern, Erdsensoren bzw. deren Auswerteschaltungen oder auch Kontrollgeräte für den Einsatz von Lageregelungsdüsen handeln. Fällt eines der Geräte aus, so muß dafür gesorgt werden, daß so schnell wie möglich das redundante Gerät in Betrieb genommen wird. Problematisch ist dies, sobald etwa ein Satellit auf seiner Umlaufbahn nur während gewisser begrenzter Zeitabschnitte mit einer Bodenstation in Funkkontakt treten kann. Dann soll auf jeden Fall sichergestellt sein, daß der Satellit in den dazwischen liegenden Zeitabschnitten, wo ein Funkkontakt unmöglich ist, in seiner Funktion wenigstens so weit stabilisiert wird, daß die Mission nicht gefährdet wird. In diesem Zusammenhang ist insbesondere eine ausreichende Lageregelung von Bedeutung. Der Satellit soll nach Möglichkeit die gewünschte Lage nicht vollständig verlieren, er soll nicht in unkontrollierbare Torkelbewegungen geraten, und es darf auch nicht vorkommen, daß er selbst aufgrund von Störmomenten in zu schnelle Drehung versetzt wird, verbunden mit einer Gefährdung der ausgefahrenen Solarpanels aufgrund zu hoher Fliehkräfte, oder daß die Drehzahlen von Schwungrädern die
*· τη η« ι Qf
MBB
Patentabteilung
30.08.1984 El/hl
9607
Grenze des zulässigen Bereichs zu weit nach oben hin überschreiten. Derartige Folgeerscheinungen auftretender Defekte könnte die gesamte Mission eines Satelliten gefährden.
Es stellt sich daher die/Aufgabe, bei Ausfall eines Gerätes einer gerade aktiven Gerätekombination sofort auf eine andere, noch intakte Gerätekombination umzuschalten. Normalerweise werden zumindest die jeweils eingeschalteten Geräte laufend auf ihre Punktionstüchtigkeit überprüft, und zwar durch Überwachung charakteristischer Funktibnsparameter. Diese Überprüfung braucht sich jedoch aus Gründen eines zu hohen Aufwandes nicht auf sämtliche Geräte zu erstrecken, sondern es reicht aus, gewisse besonders kritische Funktionsparameter zu überwachen. Hieraus ergibt sich allerdings die Schwierigkeit, daß das Auswandern eines Funktionsparameters aus einem vorgegebenen zulässigen Bereich nicht immer bedeuten muß, daß das diesen Funktionsparameter liefernde Gerät selbst defekt ist. Vielmehr kann der Defekt in einem anderen, nicht überwachten Gerät liegen, was erst durch eine gründlichere und zeitaufwendige Fehlersuche festgestellt werden kann, die p£* nur unter Einschaltung der Bodenstation möglich ist.
Die gestellte Aufgabe kann also nicht dadurch gelöst werden, daß einfach das den Fehler meldende Gerät abgeschaltet und durch seinen redundanten Partner ersetzt wird, da ja dieses Gerät selbst gar nicht defekt zu sein braucht. Gewünscht ist, daß bei Meldung eines Defektes eine auf jeden Fall intakte Gerätekombination eingeschaltet wird, so daß bis zum nächsten Funkkontakt mit der Bodenstation der Satellit eine stabilisierte Lage beibehält, so daß dann die eigentliche Fehlerquelle gesucht und das fehlerhafte Gerät markiert werden
35 kann.
MBB
Patentabteilung
30.08.1984 El/hl
9607
Die gestellte Aufgabe wird gemäß der Erfindung dadurch gelöst, daß
jeder der beiden Gerätegruppen eine aktivierbare Speicherschaltung zugeordnet ist, die für jedes der Gerätepaare einen nicht/flüchtigen, binären Speicher aufweist,
jedem Speicher eine Leseleitung sowie ein Paar von Setzleitungen zugeordnet sind, deren eine nur mit diesem Speicher und deren andere zusätzlich mit dem demselben Gerätepaar zugeordneten Speicher der anderen Speicherschaltung verbunden ist,
jede Leseleitung mit einer eigenen, zusammen mit der Speicherschaltung aktivierbaren Logikschaltung verbunden ist, welche je nach Speicherzustand Einschaltkommandos für das eine oder das andere Gerät des dem jeweiligen Speicher zugeordneten Gerätepaares liefert,
20
jeder Speicherschaltung mindestens eine Rücksetzleitung nur für die eigenen Speicher und mindestens eine weitere Rücksetζleitung für die eigenen Speicher und die der anderen Speicherschaltung zugeordnet sind,
25
und mindestens ein die jeweils eingeschaltete Gerätekombination überwachender, bei Auftreten eines Defektes die jeweils inaktive Speicherschaltung sowie die dieser zugeordneten Logikschaltungen aktivierender Fehlerdetektor vorhanden ist.
Gemäß der Erfindung ist für jede Gerätegruppe demnach eine eigene Speicherschaltung vorgesehen, und zwar ebenfalls aus Redundanzgründen. Jede Speicherschaltung soll binäre Speicher enthalten, welche somit lediglich
Patentabteilung - Jf - - 3432165
ζ - 1984
30.08.
MBB El/hl
9607
zwei Speicherzustände aufweisen können. Den Speichern nachgeordnete Logikschaltungen sorgen dafür, daß bei Aktivierung der zugehörigen Speicherschaltung je nach dem Speicherzustand des der einzelnen Logikschaltung vorgeschalteten Speichers das eine oder das andere Gerät des zugeordneten /Gerätepaares eingeschaltet wird. Die Speicher sind zuvor so gesetzt worden, daß auf jeden Fall ein intaktes Gerät zugeschaltet wird. Meldet der Fehlerdetektor einen Defekt in der von der jeweils gerade aktiven Speicherschaltung eingeschalteten Gerätekombination, so wird diese Speicherschaltung desaktiviert und die bisher inaktive andere Speicherschaltung aktiviert, welche nun je nach deren Speicherzuständen eine andere, intakte Gerätekombination einschaltet.
Der Wert der Erfindung liegt vor allem darin, daß mit außerordentlich einfachen Mitteln, insbesondere ohne großen Rechneraufwand, eine enorme Zuverlässigkeitssteigerung bei Satellitenmissionen erzielt wird, die den Einsatz von weniger Bodenstationen ermöglicht und die Ausfallzeiten verringert. Die Erfindung ist jedoch nicht nur in der Raumfahrt anwendbar, sondern vielmehr überall dort, wo einfach redundante Gerätesysteme vorliegen, die zwar hinsichtlich besonders kritischer Funktionsparameter dauernd überwacht werden, jedoch nur in gewissen Zeitabständen einer gründlichen Fehlersuche unterzogen werden können.
Weitere Ausbildungen der Erfindung sind den Unteran-Sprüchen zu entnehmen.
Im folgenden wird ein Ausführungsbeispiel der Erfindung anhand der Abbildungen näher erläutert. Es zeigen in schematischer Weise:
35
9 30.08.1
IMBB
Patentabteilung
30.08.1984 El/hl
9607
Fig.1 ein Blockschaltbild einer Einrichtung gemäß
der Erfindung mit drei Gerätepaaren,
Fig.2 die beiden Speicherschaltungen der Einrichtung gemäß, der Fig.1,
Fig.3 die den Leseleitungen zugeordneten Ausgangsteile der Speicherschaltungen,
Fig.4 ein einem Gerätepaar zugeordnetes Paar von
Logikschaltungen.
In Fig.1 sind zwei Gerätegruppen 1, 2 dargestellt, die jeweils aus drei Geräten G11, G12, G13 bzw. G21, G22, G23 bestehen, wobei jeweils Gerätepaare G11, G21 gleichartiger Geräte vorhanden sind. Den beiden Gerätegruppen 1 und 2 sind zwei Speicherschaltungen 10 bzw. zugeordnet. Diese bestehen im wesentlichen aus jeweils drei nicht flüchtigen, binären Speichern, S11, S12, S13 bzw. S21, S22, S23. Den einzelnen Speichern nachgeschaltet sind über Leseleitungen 3, 4, 5 bzw. 6, 7, 8 Logikschaltungen 14, 15, 16 bzw. 17, 18, 19. Sowohl die Speicherschaltungen 10, 20 als auch die diesen zugeordneten Logikschaltungen werden von einem Fehlerdetektor 9 her aktiviert, der über sechs, jeweils den einzelnen Geräten G11 bis G23 zugeordnete Ausgänge 51 bis 56 verfügt. Der Fehlerdetektor überwacht kritische Parameter der jeweils eingeschalteten Geräte und gibt bei Auftreten eines Defektes ein Signal an den jeweils zugeordneten Ausgang. Dieses Signal gelangt zu einem ODER-Glied 49, worauf das an dessen Ausgang erscheinende Ausgangssignal bewirkt, daß von der gerade aktiven Speicherschaltung auf die gerade inaktive umgeschaltet wird. Dies ist durch einen Schalter 50 symbolisiert.
Zusammen mit der neu aktivierten Speicherschaltung
Jf 30.08.15
MBB
Patentabteilung
30.08.1984 El/hl
9607
werden auch die dieser zugeordneten Logikschaltungen aktiviert.
Den einzelnen Speichern S11 bis S23 sind jeweils Setzleitungen 24 bis 34 zugeordnet, die jeweils nur zu diesen Speichern führen,· Weiterhin sind Setzleitungen 25 bis 35 vorhanden, die zu den beiden einem Gerätepaar zugeordneten, aber unterschiedlichen Speicherschaltungen angehörigen Speichern, beispielsweise S11 und S21, führen. Die zuerst genannten Setzleitungen 24 bis 34 sind noch mit den Ausgängen 51 bis 56 des Fehlerdetektors 9 verbunden. Weiterhin sind Rücksetzleitungen 36 und 37 vorgesehen, die jeweils den Speichern S11 bis S13 bzw. S21 bis S23 einer Speicherschaltung gemeinsam zugeordnet sind, aber nur die Speicher dieser jeweils einen zugeordneten Speicherschaltung zurücksetzen können. Über zusätzliche Rücksetzleitungen 38, 39 wird der gemeinsame Zugriff zu sämtlichen Speichern beider Speicherschaltungen 10 und 20 möglich.
20
Im Falle eines Satelliten sind sämtliche Setz- und Rücksetzleitungen mit den vorhandenen Tele»efes4^einrichtungen verbunden, so daß die Speicher durch Kommando von der Bodenstation aus sowohl gesetzt als auch zurückgesetzt werden können. Wie später noch deutlich wird, und zwar anhand von Fig.3, ist es auch möglich, den Speicherzustand von der Bodenstation aus zu lesen.
In Fig.2 sind die EingangsSeiten der beiden Speicherschaltungen 10 und 20 dargestellt. Die Setzleitungen 24 bis 34 sowie 25 bis 35 entsprechen ebenso wie die Rücksetzleitungen 36, 37 bzw. 38, 39 den in Fig.1 bereits dargestellten und erläuterten. Die Setz- bzw. Rücksetzkommandos werden durch Treiber bzw. Verstärker, von denen einer in Fig.2 mit 57 bezeichnet ist, in
*■ 30.08.19
\MBB
Patentabteilung
30.08.1984 El/hl
9607
Stromimpulse ausreichender Höhe umgesetzt, um die als Relais ausgebildeten Speicher S11 bis S13 bzw. S21 bis S23 umschalten zu können. Diese Relais verfügen je über zwei Spulen, und je nachdem welche von diesen einen Stromimpuls erhält, wird ausgangsseitig ein Schaltkontakt geöffnet oder geschlossen (siehe auch Fig.3). Diese beiden Schaltstellungen entsprechen den beiden möglichen Speicherzuständen. Die beiden Spulen eines jeden Relais empfangen von den Treibern her positive Stromimpulse und sind an ihren anderen Enden mit Null-Potential verbunden. Dioden, beispielsweise 58, 59, 60, sorgen dafür, daß die ankommenden Setz- bzw. Rücksetzkommandos über die richtigen Leitungen weitergeführt werden. So kann ein über die Rücksetzleitung 36 ankommendes Rücksetzkommando zwar die Diode 60 passieren und somit an alle drei Speicher S11 bis S13 gelangen und diese zurücksetzen, er wird jedoch durch die Diode 59 daran gehindert, in die Speicherschaltung 20 überzugreifen. Ebenso kann ein über die Setzleitung 24 ankommendes Setzkommando wegen der Dioden 62 und 63 lediglich die Diode 61 passieren und in den Speicher S11 setzen. Ein über die Setzleitung 25 eintreffendes Setzkommando hingegen ist wegen der Polung der Dioden 64, 62 sowie 65 in der Lage, nicht nur den Speicher S11 der Speicherschaltung 10, sondern auch den Speicher S21 der anderen Speicherschaltung 20 zu setzen.
In Fig.3 sind die Ausgangsteile der Speicherschaltungen 10 und 20 dargestellt. Ausgangsseitig verfügen die die entsprechenden Speicher S11 bis S32 bildenden Relais jeweils über zwei Schaltkontakte, die jedoch gemeinsam in der gleichen Weise umgeschaltet werden und jeweils denselben Schaltzustand einnehmen. Prinzipiell ist es jedoch auch möglich, mit jeweils nur einem ausgangsseitigen Schaltkontakt auszukommen. Bei aktivierter
M 30.08.19
IMBB
Patentabteilung
30.08.1984 El/hl
9607
Speicherschaltung ist auch die jeweilige Spannungsversorgung aktiviert, so daß beispielsweise im Falle der Speicherschaltung 10 die Leseleitung 3 bei geöffnetem Schaltkontakt an positivem und bei geschlossenem Schaltkontakt an Nullpotential liegt. Diese beiden Potentialwerte entsprechen der logischen 1 und 0, die von der mit der Leseleitung 3 verbundenen Logikschaltung 14 verarbeitet werden (siehe auch Fig.4). Entsprechendes gilt für die übrigen in Fig.3 dargestellten Speicher bzw. Relais und deren ausgangsseitige Schaltkontakte sowie Leseleitungen. Von diesen Leseleitungen 3 bis 8 zweigen noch weitere Leitungen ab, beispielsweise die mit 66 bezeichnete, und führen zu der Telemetrie-Sendeeinrichtung, mit deren Hilfe die Speicherzustände von der Bodenstation aus gelesen werden können. Es kann erforderlich sein, die Speicherzustände der einen Speicherschaltung 10 auch von der anderen Speicherschaltung 20 her lesbar zu machen. Dafür sind die mit weiteren Leseleitungen 43, 44, 45 verbundenen Schaltkontakte der Speicher S11 bis S13 vorgesehen - so wie im umgekehrten Falle die weiteren Leseleitungen 40, 41, 42 - wobei diese Leseleitungen ebenfalls mit der Telemetrie-Sendeeinrichtung verbunden sind. Ist die Spannungsversorgung beispielsweise der Speicherschaltung 10 aktiviert, so ist es demnach möglich, von der Bodenstation aus nicht nur deren Speicherzustände, sondern auch die Speicherzustände der anderen Speicherschaltung 20 zu lesen, obwohl deren Spannungsversorgung nicht aktiviert ist. Dies ist dadurch möglich, daß auch die den Leseleitungen 40 bis 42 zugeordneten Schaltkontakte der Speicher S21 bis S35 an die Spannungsversorgung der Speicherschaltung 10 angeschlossen sind, und zwar durch Leitungen 67, 68 und 69. So liegt am Verbindungspunkt der Leseleitung 40 mit der Leitung 67 an der Spannungs-Versorgung entsprechendes positives Potential, wenn der
Jf ^ 30.08.1£
IMBB
Patentabteilung
30.08.1984 El/hl
9607
zugeordnete Schaltkontakt geöffnet ist, und ein wesentlich niedrigeres positives Potential, sobald der Schaltkontakt geschlossen ist.
Die Aktivierung einer der Speicherschaltungen 10 oder 20 bedeutet, daß diese sowohl eingangsseitig, siehe die Treiber, beispielsweise 57, in Fig.2, als auch ausgangsseitig, siehe Fig.3, an die Spannungsversorgung angeschlossen wird, wobei die jeweils andere Speicherschaltung von dieser Spannungsversorgung getrennt wird. Diese Spannungsversorgung ist in Fig.1 mit 70 gekennzeichnet. /
In Fig.4 ist dargestellt, wie die als repräsentativ herausgegriffenen Logikschaltungen 14 und 17, die zum Gerätepaar G11 und G21 gehören, schaltungstechnisch realisiert werden können. Die Logikschaltungen sind wie dargestellt aus UND-Gliedern 71 bis 74 sowie NICHT-Gliedern 75, 76 aufgebaut. Über Spannungsversorgungsleitungen 77, 78 kann wahlweise entweder die Logikschaltung 14 oder die Logikschaltung 17 aktiviert werden. Dann liegt an den entsprechenden Eingängen der UND-Gliedern die logische 1 an. Ist nun beispielsweise die Logikschaltung 14 in dieser Weise aktiviert und ist der mit der Leseleitung 3 verbundene ausgangsseitige Schaltkontakt des Speichers S11 geöffent, so liegt am anderen Eingang des UND-Gliedes 73 ebenfalls die logische 1 an, so daß das Gerät G11 eingeschaltet wird. Am anderen Eingang des UND-Gliedes 74 liegt dann wegen des vorgeschalteten NICHT-Gliedes die logische 0, so daß am Ausgang dieses UND-Gliedes kein Ausgangssignal entsteht und das zugehörige Gerät G21 ausgeschaltet bleibt. Dem durch den geöffneten Schaltkontakt repräsentierten Speicherzustand des Speichers S11 entspricht somit die Forderung, daß das Gerät G11 eingeschaltet werden soll.
MBB
4%
Patentabteilung
30.08.1984 El/hl
9607
Umgekehrt bedeutet der durch den geschlossenen Schaltkontakt gegebene Speicherzustand des Speichers S11, daß das Gerät G21 eingeschaltet werden soll, wie leicht aus Fig.4 folgt. Ist nun anstelle der Logikschaltung 14 die Logikschaltung 17 aktiviert, so daß über deren Spannungsversorgungsleitung 78 an den einen Eingängen der UND-Glieder 71 und 72 die logische 1 ansteht, so ergibt sich analog bei geöffnetem ausgangsseitigen Schaltkontakt des Speichers S21, daß über die Leseleitung 6 eine logische 1 an den anderen Eingang des UND-Gliedes 71 und eine logische 0 an den anderen Eingang des UND-Gliedes 72 gelangt. Damit wird auch hier im Falle des geöffneten Schaltkontaktes das Gerät G11 eingeschaltet und im Falle des geschlossenen Schaltkontaktes, wie eine analoge Betrachtung ergibt, das Gerät G21. Die Zuordnung von Schaltkontaktstellung bzw. Speicherzustand und einzuschaltendem Gerät des jeweiligen Gerätepaares ist also in beiden Fällen dieselbe.
Mit der oben geschilderten Einrichtung sind nun folgende Funktionsmöglichkeiten realisierbar:
Zunächst kann von der Bodenstation aus eine automatische Einschaltsequenz für eine gewünschte Gerätekombination vorgegeben werden. Wird z.B. gewünscht, daß zu Beginn die Geräte G11, G12 und G13 einzuschalten sind, so müssen die Speicher S11 bis S13 in einen entsprechenden Speicherzustand gebracht werden, d.h. in diesem Falle (siehe Fig.4) müssen die ausgangsseitigen Schaltkontakte der entsprechenden Relais geöffnet sein. Diese geöffnete Schaltkontaktstellung kann mit einem Rücksetzkommando über die Rücksetzleitung 36 erzielt werden. Vorher werden jedoch auf die Setzleitungen 25, 27 sowie 2 9 Setzkommandos gegeben, durch welche sowohl die Speicher S11 bis S13 der Speicherschaltung 10 als auch die
arf 30.08.1'
IAfBB
Patentabteilung
30.08.1984 El/hl
9607
Speicher S21 bis S23 der Speicherschaltung 20 bzw. die entsprechenden Relais ausgangsseitig in den geschlossenen Zustand gebracht werden. Der Grund hierfür wird später deutlich. Nach dem anschließenden Rücksetzkommando über Rücksetzleitung 36 werden die den Speichern S11 bis S13 zugeordneten Relais ausgangsseitig wieder geöffnet, so daß durch die Speicherschaltung 10 die Geräte G11 bis G13 eingeschaltet werden. Tritt nun in dieser Gerätekombination ein Defekt auf, so wird der Fehlerdetektor 9 über das ODER-Glied die Speicherschaltung 20 aktivieren. In dieser sind die den Speichern S21 bis S28 zugeordneten Relais ausgangsseitig aufgrund der oben erwähnten Setzkommandos im geschlossenen Zustand. Dies entspricht - siehe Fig.4 der Forderung, daß nunmehr die Geräte G21, G22 sowie G23 einzuschalten sind.
Gleichzeitig mit dem Umschaltkommando, das durch ein Ausgangssignal an einem der drei Ausgänge 51 bis 53 des Fehlerdetektors 9 abgegeben wird, gelangt vom selben Ausgang her ein Setzkommando an die entsprechende der drei Setzleitungen 24, 26 bzw. 28. Hierdurch wird nunmehr der zugeordnete Speicher bzw. das diesen bildende Relais ausgangsseitig in den anderen, d.h. geschlossenen Zustand gebracht. Hiermit ist markiert, daß der Fehlerdetektor 9 die Fehlermeldung von dem diesem Speicher zugeordneten Gerät bekommen hat. Bei dem nächsten Kontakt mit der Bodenstation kann die entsprechende Information gelesen werden. Dies kann hilfsreich bei der anschließenden Fehlersuche sein.
35
>* 30.08.8-
MBB
Patentabteilung
30.08.84
El/hl 9607
Hat die Bodenstation das fehlerhafte Gerät ermittelt, und zwar mit Methoden üblicher Art, auf die hier nicht näher eingegangen werden soll, so muß die entsprechende Information in den Speicherschaltungen niedergelegt werden. Ist beispielsweise das Gerät G12 als fehlerhaft erkannt, so darf dieses/ in keinem Falle wieder eingeschaltet werden, sondern von diesem Gerätepaar darf lediglich noch das Gerät G22 zum Einschalten freigegeben werden. Die Speicher S12 und S22 müssen also gesetzt, d.h. die ausgangsseitigen Schaltkontakte geschlossen werden.
Da nunmehr die Speicherschaltung 20 aktiviert ist, können die entsprechenden Telekommadsignale nur von dieser empfangen werden. Der Zustand der eingeschalteten Gerätekombination wird davon nicht berührt. Zunächt wird über Rücksetzleitung 39 ein Rücksetzkommando zugeführt, welches sämtliche Speicher SIl bis S23 zurücksetzt, d.h. die Relais ausgangsseitig öffnet. Anschließend wird ein Setzkommando auf Setzleitung 33 gegeben, so daß die Speicher S12 und S22 gesetzt, d.h. die Relais ausgangsseitig geschlossen werden. Danach wird durch ein Rücksetzkommando auf Rücksetzleitung 37 der Speicher S22 wieder zurückgesetzt, während der Speicher S12 als einziger gesetzt bleibt.Die Speicherschaltung 20 ist nunmehr für eine Fehlermeldung vorbereitet, welche vom Fehlerdetektor 9 her über eine der drei Setzleitungen 30, 32 oder 34 erfolgt. Dann wird erneut die Speicherschaltung 10 aktiviert, durch welche nun aufgrund des zuvor gesetzten Speichers S12 sowie der noch zurückgesetzten Speicher SIl und S13 die intakten Geräte GlI, G22 und G13 eingeschaltet werden.
yf 30.08.8'
JVfBB
Patentabteilung
30.08.84
El/hl 9607
Ist der Fehler in der zuvor eingeschalteten Gerätekombination G21, G22 und G32 gefunden, so muß dieser eingespeichert werden. Im Falle eines fehlerhaften Gerätes G21 müssen die Speicher SIl und S21 zurückgesetzt werden, damit nur Gerät GIl eingeschaltet werden kann. Dazu erfolgt ein Rücksetzkommando über Rücksetzleitung 38, welches alle Speicher SIl bis S23 zurücksetzt, gefolgt von Setzkommandos auf den Setzleitungen 27 und sowie einem Rücksetzkommando auf der Rücksetzleitung
36. Damit sind alle Speicher der Speicherschaltung 10 zurückgesetzt und diese ist für eine neue Fehlermeldung vorbereitet. Andererseite werden bei Aktivierung der Speicherschaltung 20 von dieser die intakten Geräte G22 und G23 sowie GIl in Betrieb genommen. Nunmehr ist Iediglich noch ein Gerätepaar intakt, nämlich G13 und G23.
Der Fehlerdetektor kann ebenfalls redundant ausgelegt sein. Wird von ihm ein Fehler gemeldet, so wird auch hier der jeweils inaktive redundante aktiviert.
20
Unter dem Begriff Redundanz wird oben immer Kaltredundanz verstanden. In der nach Auftreten eines Defektes anzustrebenden stabilisierten Lage ist bei einem Satelliten auch erforderlich, daß die Solarpanels weiterhin auf die Sonne und Richtantennen weiterhin auf die Erde ausgerichtet bleiben.
35

Claims (5)

Einrichtung zur automatischen Rekonfiguration einer intakten Gerätekombination Patentansprüche
1. Einrichtung zur automatischen/ im Falle eines Defektes erforderlichen Rekonfiguration einer intakten Gerätekombination aus einem System einfach redundant ausgelegter Gerätegruppen, dadurch gekennzeichnet,
daß jeder der beiden Gerätegruppen (1, 2) eine aktivierbare Speicherschaltung (10, 20) zugeordnet ist, die für jedes der Gerätepaare (G 11, G 21, ...) einen nicht flüchtigen, binären Speicher (S 11, S 21, ...) aufweist,
daß jedem Speicher (S 11, S 21, ...) eine Leseleitung (3, 6, ....) sowie ein Paar von Setzleitungen (24, 25; 30, 31; ...) zugeordnet sind, deren eine (24, 30, ...) nur mit diesem Speicher (S 11, S 21, ...) und deren andere zusätzlich mit dem demselben Gerätepaar (G 11, G 21, ...) zugeordneten Speicher (S 21, S 11, ...) der anderen Speicherschaltung (20, 10) verbunden ist,
25
daß jede Leseleitung (3, 6, ...) mit einer eigenen Logikschaltung (14, 17, ...) verbunden ist, welche je nach Speicherzustand Einschaltkommandos für das eine oder das andere Gerät (G 11, G 21, ...) des dem jeweiligen Speicher zugeordneten Gerätepaares liefern,
daß jeder Speicherschaltung (10, 20,) mindestens eine Rücksetzleitung (36, 37) nur für die eigenen Speicher und mindestens eine weitere Rücksetzleitung (38, 39) für die eigenen Speicher und die der anderen Speicher-
MBB
Patentabteilung
30.08.1984 El/hl
9607
schaltung zugeordnet sind,
daß mindestens ein die jeweils eingeschaltete Gerätekombination überwachender, bei Auftreten eines Defektes die jeweils inaktive Speicherschaltung sowie die dieser zugeordneten Logikschal^ungen aktivierender Fehlerdetektor (9) vorhanden ist.
2. Einrichtung nach Anspruch 1, dadurch
gekennzeichnet, daß die Speicher Relais sind.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet , daß jeder Speicherschaltung (10, 20) eine deren Speicher gemeinsam zurücksetzende Rücksetζleitung (36, 37) sowie eine weitere, sowohl die eigenen Speicher als auch diejenigen der anderen Speicherschaltung gemeinsam zurücksetzende Rücksetzleitung (38, 39) zugeordnet sind.
20
4. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß jedem Speicher einer Speicherschaltung (10, 20) eine weitere, mit der anderen Speicherschaltung verbundene Leseleitung (40, 43,...) zugeordnet ist.
5. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Fehlerdetektor (9) zu den Setzleitungen (24, 30,...) der Speicher (S 11, S 21,...) führende Ausgangsleitungen (46, 47, 48) aufweist.
35
DE19843432165 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination Granted DE3432165A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19843432165 DE3432165A1 (de) 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination
FR858511101A FR2569882B1 (fr) 1984-08-31 1985-07-19 Dispositif pour la reconfiguration automatique d'une combinaison intacte d'appareils
JP60187541A JPH0695315B2 (ja) 1984-08-31 1985-08-28 正常な機器の組を自動的に再構成する装置
US06/770,687 US4739498A (en) 1984-08-31 1985-08-29 Arrangement for the automatic reconfiguration of an intact equipment combination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19843432165 DE3432165A1 (de) 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination

Publications (2)

Publication Number Publication Date
DE3432165A1 true DE3432165A1 (de) 1986-03-06
DE3432165C2 DE3432165C2 (de) 1987-07-16

Family

ID=6244427

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19843432165 Granted DE3432165A1 (de) 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination

Country Status (4)

Country Link
US (1) US4739498A (de)
JP (1) JPH0695315B2 (de)
DE (1) DE3432165A1 (de)
FR (1) FR2569882B1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0405186A1 (de) * 1989-06-29 1991-01-02 ERNO Raumfahrttechnik Gesellschaft mit beschränkter Haftung Einrichtung zur Sicherstellung der Einsatzbereitschaft von Raumfahrzeugen im Orbit
EP1020699A1 (de) * 1998-12-15 2000-07-19 Bodenseewerk Gerätetechnik GmbH Flugkörper
CN117784616A (zh) * 2024-02-23 2024-03-29 西北工业大学 一种基于智能观测器组的高速飞行器故障重构方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204836A (en) * 1990-10-30 1993-04-20 Sun Microsystems, Inc. Method and apparatus for implementing redundancy in parallel memory structures
US5260952A (en) * 1991-04-30 1993-11-09 Ibm Corporation Fault tolerant logic system
CA2068048A1 (en) * 1991-05-06 1992-11-07 Douglas D. Cheung Fault tolerant processing section with dynamically reconfigurable voting
KR100296850B1 (ko) * 1992-05-28 2001-10-24 썬 마이크로시스템즈, 인코포레이티드 캐시램용다수의뱅크열용장성초기화제어기
US5951609A (en) * 1997-05-29 1999-09-14 Trw Inc. Method and system for autonomous spacecraft control
US6128555A (en) * 1997-05-29 2000-10-03 Trw Inc. In situ method and system for autonomous fault detection, isolation and recovery
US5970013A (en) * 1998-02-26 1999-10-19 Lucent Technologies Inc. Adaptive addressable circuit redundancy method and apparatus with broadcast write
US6011733A (en) * 1998-02-26 2000-01-04 Lucent Technologies Inc. Adaptive addressable circuit redundancy method and apparatus
US6438672B1 (en) 1999-06-03 2002-08-20 Agere Systems Guardian Corp. Memory aliasing method and apparatus
US6687851B1 (en) 2000-04-13 2004-02-03 Stratus Technologies Bermuda Ltd. Method and system for upgrading fault-tolerant systems
US6820213B1 (en) 2000-04-13 2004-11-16 Stratus Technologies Bermuda, Ltd. Fault-tolerant computer system with voter delay buffer
US6691225B1 (en) 2000-04-14 2004-02-10 Stratus Technologies Bermuda Ltd. Method and apparatus for deterministically booting a computer system having redundant components
US7065672B2 (en) * 2001-03-28 2006-06-20 Stratus Technologies Bermuda Ltd. Apparatus and methods for fault-tolerant computing using a switching fabric
US6928583B2 (en) * 2001-04-11 2005-08-09 Stratus Technologies Bermuda Ltd. Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US7856294B2 (en) * 2007-12-14 2010-12-21 Sra International, Inc. Intelligent system and method for spacecraft autonomous operations

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2321260A1 (de) * 1972-05-12 1973-11-29 Burroughs Corp Mehrprogramm-datenverarbeitungsanlage mit dynamischer neuzuweisung von einheitenfunktionen

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS4925809U (de) * 1972-06-08 1974-03-05
US3805039A (en) * 1972-11-30 1974-04-16 Raytheon Co High reliability system employing subelement redundancy
JPS543390A (en) * 1977-06-08 1979-01-11 Hitachi Ltd Information processing system diagnosis system
IT1109655B (it) * 1978-06-28 1985-12-23 Cselt Centro Studi Lab Telecom Memoria di massa allo stato solido organizzata a bit autocorrettiva e riconfigurabile per un sistema di controllo a programma registrato
JPS5720848A (en) * 1980-07-14 1982-02-03 Nissin Electric Co Ltd Automatic switching device for double system device
JPS5911454A (ja) * 1982-07-13 1984-01-21 Mitsubishi Electric Corp 冗長化システム
US4506364A (en) * 1982-09-30 1985-03-19 International Business Machines Corporation Memory address permutation apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2321260A1 (de) * 1972-05-12 1973-11-29 Burroughs Corp Mehrprogramm-datenverarbeitungsanlage mit dynamischer neuzuweisung von einheitenfunktionen

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0405186A1 (de) * 1989-06-29 1991-01-02 ERNO Raumfahrttechnik Gesellschaft mit beschränkter Haftung Einrichtung zur Sicherstellung der Einsatzbereitschaft von Raumfahrzeugen im Orbit
EP1020699A1 (de) * 1998-12-15 2000-07-19 Bodenseewerk Gerätetechnik GmbH Flugkörper
CN117784616A (zh) * 2024-02-23 2024-03-29 西北工业大学 一种基于智能观测器组的高速飞行器故障重构方法
CN117784616B (zh) * 2024-02-23 2024-05-24 西北工业大学 一种基于智能观测器组的高速飞行器故障重构方法

Also Published As

Publication number Publication date
FR2569882B1 (fr) 1991-07-19
US4739498A (en) 1988-04-19
JPS6165339A (ja) 1986-04-03
JPH0695315B2 (ja) 1994-11-24
FR2569882A1 (fr) 1986-03-07
DE3432165C2 (de) 1987-07-16

Similar Documents

Publication Publication Date Title
DE3432165A1 (de) Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination
EP0038947B1 (de) Programmierbare logische Anordnung
DE3614979A1 (de) Sicherheitssystem fuer eine druckmaschine
DE3222692A1 (de) Elektrisches stromversorgungssystem
DE4117099A1 (de) Schaltungsanordnung fuer einen regler
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
EP0052759A2 (de) Einrichtung bei einem elektronischen Stellwerk zum Speisen und Fernüberwachen von Weichenantrieben
DE3109638A1 (de) Schutz- und ueberwachungseinrichtung fuer steuerschaltungsanordnungn in kraftfahrzeugen
EP0266567B1 (de) Verfahren zur Ueberwachung und Steuerung eines Antennenwählers sowie Antennenwähler zur Durchführung des Verfahrens
DE2938928C2 (de) Schaltung zur Rückstellung des Servomotors einer Servoeinrichtung bei Stromausfall
DE2255031C3 (de) Schaltungsanordnung für einen Baustein zum Aufbau fehlersicherer Schutzschaltungen
DE3012159C2 (de) Anordnung zur gesicherten Datenausgabe
DE3643755C1 (en) Switching fault protection device
DE2051857B2 (de) Einrichtung zur ueberwachung von zwei parallel geschalteten reglern
DE3801875C2 (de)
DE2758776C2 (de) Elektrische Übertragungsanlage, insbesondere Wechsel-, Gegen- oder Lautsprechanlage
DE19531923B4 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE2239519A1 (de) Ueberwachungseinrichtung fuer die funktions- und die stellungsrueckmeldung in automatischen nahsteuerungsanlagen
DE2051857C (de) Einrichtung zur Überwachung von zwei parallel geschalteten Reglern
DE1463398C (de) Anordnung zur Signalumsetzung und Fehlerüberwachung fur zweikanalige Steue rungen
DE1965512C (de) Schaltungsanordnung für Fernmeldevermittlungsanlagen, insbesondere Fernsprechvermittlungsanlagen, mit Haftkopplern
DE2503170A1 (de) Verfahren zur steuerung von bauelementen mit jeweils zwei betriebslagen, insbesondere zur steuerung von koppelrelais in fernsprech-vermittlungsanlagen
DE1277677B (de) Redundante Flugregelanlage, insbesondere fuer lotrecht startende und landende Flugzeuge
DE2348921A1 (de) Ueberwachte ansteuermatrix fuer empfangsschaltmittel, insbesondere speicherelemente
DE2937512A1 (de) Zentralgesteuerte nachrichtenvermittlungsanlage, insbesondere fernsprechwaehlanlage, mit steuernden und gesteuerten vermittlungsstellen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DEUTSCHE AEROSPACE AG, 8000 MUENCHEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER-BENZ AEROSPACE AKTIENGESELLSCHAFT, 80804 M

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AEROSPACE AKTIENGESELLSCHAFT, 8099

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AEROSPACE AG, 85521 OTTOBRUNN, DE