DE3432165C2 - - Google Patents
Info
- Publication number
- DE3432165C2 DE3432165C2 DE3432165A DE3432165A DE3432165C2 DE 3432165 C2 DE3432165 C2 DE 3432165C2 DE 3432165 A DE3432165 A DE 3432165A DE 3432165 A DE3432165 A DE 3432165A DE 3432165 C2 DE3432165 C2 DE 3432165C2
- Authority
- DE
- Germany
- Prior art keywords
- memory
- memory circuit
- memories
- devices
- assigned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
- 230000015654 memory Effects 0.000 claims description 108
- 230000007547 defect Effects 0.000 claims description 9
- 230000006870 function Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 230000002950 deficient Effects 0.000 description 5
- 238000013024 troubleshooting Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1666—Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1658—Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Aviation & Aerospace Engineering (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Automation & Control Theory (AREA)
- Radio Relay Systems (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Description
Die Erfindung betrifft eine Einrichtung zur automati
schen, im Falle eines Defektes in einem Gerät erforderlichen Rekonfi
guration einer intakten Gerätekombination aus den Geräten
zweier Gerätegruppen, gemäß
dem Oberbegriff des Patentanspruchs 1.
Redundant ausgelegte Systeme von Gerätegruppen
werden beispielsweise in der Raumfahrt verwendet, wo es
darauf ankommt, die Systeme möglichst ausfallsicher zu
gestalten. Bei einfacher Redundanz ist somit jedes Gerät
zweifach vorhanden. Bei diesen Geräten kann es sich
beispielsweise um Meßgeräte für die Drehzahl von Drall
rädern, Erdsensoren bzw. deren Auswerteschaltungen oder
auch Kontrollgeräte für den Einsatz von Lageregelungs
düsen handeln. Fällt eines der Geräte aus, so muß dafür
gesorgt werden, daß so schnell wie möglich das redun
dante Gerät in Betrieb genommen wird. Problematisch ist
dies, sobald etwa ein Satellit auf seiner Umlaufbahn
nur während gewisser begrenzter Zeitabschnitte mit einer
Bodenstation in Funkkontakt treten kann. Dann soll auf
jeden Fall sichergestellt sein, daß der Satellit in den
dazwischen liegenden Zeitabschnitten, wo ein Funkkontakt
unmöglich ist, in seiner Funktion wenigstens so weit
stabilisiert wird, daß die Mission nicht gefährdet wird.
In diesem Zusammenhang ist insbesondere eine ausreichende
Lageregelung von Bedeutung. Der Satellit soll nach
Möglichkeit die gewünschte Lage nicht vollständig ver
lieren. Er soll nicht in unkontrollierbare Torkel
bewegungen geraten, und es darf auch nicht vorkommen,
daß er selbst aufgrund von Störmomenten in zu schnelle
Drehung versetzt wird, verbunden mit einer Gefährdung
der ausgefahrenen Solarpanels aufgrund zu hoher Flieh
kräfte, oder daß die Drehzahlen von Schwungrädern die
Grenze des zulässigen Bereichs zu weit nach oben hin
überschreiten. Derartige Folgeerscheinungen auftreten
der Defekte könnten die gesamte Mission eines Satelliten
gefährden.
Es muß daher dafür Sorge getragen werden, daß bei Ausfall eines
Gerätes einer gerade aktiven Gerätekombination sofort
auf eine andere, noch intakte Gerätekombination umge
schaltet werden kann. Normalerweise werden zumindest die jeweils
eingeschalteten Geräte laufend auf ihre Funktions
tüchtigkeit überprüft, und zwar durch Überwachung
charakteristischer Funktionsparameter. Diese Überprüfung
braucht sich jedoch aus Gründen eines zu hohen Aufwan
des nicht auf sämtliche Geräte zu erstrecken, sondern
es reicht aus, gewisse besonders kritische Funktions
parameter zu überwachen. Hieraus ergibt sich allerdings
die Schwierigkeit, daß das Auswandern eines Funktions
parameters aus einem vorgegebenen zulässigen Bereich
nicht immer bedeuten muß, daß das diesen Funktions
parameter liefernde Gerät selbst defekt ist. Vielmehr
kann der Defekt in einem anderen, nicht überwachten
Gerät liegen, was erst durch eine gründlichere und zeit
aufwendige Fehlersuche festgestellt werden kann, die
nur unter Einschaltung der Bodenstation möglich ist.
Es genügt also nicht,
daß einfach das den Fehler meldende Gerät abge
schaltet und durch seinen redundanten Partner ersetzt
wird, da ja dieses Gerät selbst gar nicht defekt zu
sein braucht. Gewünscht ist, daß bei Meldung eines
Defektes eine auf jeden Fall intakte Gerätekombination
eingeschaltet wird, so daß bis zum nächsten Funkkontakt
mit der Bodenstation der Satellit eine stabilisierte
Lage beibehält, so daß dann die
eigentliche Fehlerquelle gesucht und das fehlerhafte
Gerät markiert werden kann.
Aus der DE-OS 23 21 260 ist eine Mehrprogramm-Daten
verarbeitungsanlage mit dynamischer Neuzuweisung von
Einheiten-Funktionen bekannt. Hierbei handelt es sich
um eine komplexe Datenverarbeitungsanlage, welche
mehrere gleichartige sog. Verarbeitungsgruppen enthält,
die wiederum jeweils gleichartige Geräte, beispiels
weise Prozessoren, Eingabe-Ausgabe-Einheiten, Speicher
module usw. aufweisen können. Jeder Verarbeitungsgruppe
ist eine Neuzuweisungseinheit zugeordnet, welche je
weils einen Notstandsdetektor enthält. Dieser tastet
Störungen oder Notstandsbedingungen in einer der Ein
heiten der jeweiligen Verarbeitungsgruppe ab. Weiterhin
ist jeder Verarbeitungsgruppe ein Neuzuweisungsspeicher
zugeordnet, welcher beispielsweise 15 Umorganisations-
Steuerwörter enthält. Diese geben in unterschiedlicher
Weise an, wie die Einheiten einer Verarbeitungsgruppe
umzuorganisieren sind. Jeder Neuzuweisungsspeicher ist
pauschal mit der Neuzuweisungseinheit der ent
sprechenden Verarbeitungsgruppe verbunden. Die Neuzu
weisungsspeicher dienen dazu, den Einheiten einer Ver
arbeitungsgruppe neue Funktionen zuzuweisen, falls die
als Fehlerdetektor fungierende Neuzuweisungseinheit der
selben Verarbeitungsgruppe Störungen in einer Einheit
detektiert. Die Neuzuweisung von Funktionen spielt sich
dabei innerhalb der Einheiten ein und derselben Ver
arbeitungsgruppe ab.
Diese bekannte Einrichtung ist aufgrund ihrer kompli
zierten Struktur sowie der erforderlichen Verwendung
komplexer Bauelemente zur Lösung der obenerwähnten
Problematik nicht geeignet.
Der Erfindung liegt demnach die Aufgabe zugrunde, eine
Einrichtung der eingangs genannten Art bereitzustellen,
die möglichst einfach strukturiert ist und mit mög
lichst einfachen Bauelementen auskommt, mit der jedoch
gleichwohl sichergestellt ist, daß bei Ausfall eines
Gerätes einer gerade aktiven Gerätekombination sofort
auf eine andere, noch intakte Gerätekombination umge
schaltet wird.
Diese Aufgabe wird gemäß der Erfindung durch die im
kennzeichnenden Teil des Patentanspruchs 1 genannten
Merkmale gelöst.
Gemäß der Erfindung soll demnach
jede der beiden Speicherschaltungen eine der Anzahl der Gerätepaare entsprechende Anzahl
nicht flüchtiger Speicher enthalten, welche jeweils lediglich
zwei Speicherzustände einnehmen können. Den Speichern
nachgeordnete Logikschaltungen sorgen dafür, daß bei
Aktivierung der zugehörigen Speicherschaltung je nach
dem Speicherzustand des der einzelnen Logikschaltung
vorgeschalteten Speichers das eine oder das andere
Gerät des zugeordneten Gerätepaares eingeschaltet wird.
Die Speicher sind zuvor so gesetzt worden, daß auf
jeden Fall ein intaktes Gerät zugeschaltet wird. Meldet
der Fehlerdetektor einen Defekt in der von der jeweils
gerade aktiven Speicherschaltung eingeschalteten Geräte
kombination, so wird diese Speicherschaltung desakti
viert und die bisher inaktive andere Speicherschaltung
aktiviert, welche nun je nach deren Speicherzuständen
eine andere, intakte Gerätekombination einschaltet.
Der Wert der Erfindung liegt vor allem darin, daß mit
außerordentlich einfachen Mitteln, insbesondere ohne
großen Rechneraufwand, eine enorme Zuverlässigkeits
steigerung bei Satellitenmissionen erzielt wird, die
den Einsatz von weniger Bodenstationen ermöglicht und
die Ausfallzeiten verringert. Die Erfindung ist jedoch
nicht nur in der Raumfahrt anwendbar, sondern vielmehr
überall dort, wo einfach redundante Gerätesysteme vor
liegen, die zwar hinsichtlich besonders kritischer
Funktionsparameter dauernd überwacht werden, jedoch nur
in gewissen Zeitabständen einer gründlichen Fehlersuche
unterzogen werden können.
Weitere Ausbildungen der Erfindung sind den Unteran
sprüchen zu entnehmen.
Im folgenden wird ein Ausführungsbeispiel der Erfindung
anhand der Abbildungen näher erläutert. Es zeigt in
schematischer Weise
Fig. 1 ein Blockschaltbild einer Einrichtung gemäß
der Erfindung mit drei Gerätepaaren,
Fig. 2 die beiden Speicherschaltungen der Ein
richtung gemäß der Fig. 1,
Fig. 3 die den Leseleitungen zugeordneten Ausgangs
teile der Speicherschaltungen,
Fig. 4 ein einem Gerätepaar zugeordnetes Paar von
Logikschaltungen.
In Fig. 1 sind zwei Gerätegruppen 1, 2 dargestellt, die
jeweils aus drei Geräten G 11, G 12, G 13 bzw. G 21, G 22,
G 23 bestehen, wobei jeweils Gerätepaare G 11, G 21
gleichartiger Geräte vorhanden sind. Den beiden Geräte
gruppen 1 und 2 sind zwei Speicherschaltungen 10 bzw. 20
zugeordnet. Diese bestehen im wesentlichen aus jeweils
drei nicht flüchtigen, binären Speichern S 11, S 12, S 13
bzw. S 21, S 22, S 23. Den einzelnen Speichern nachge
schaltet sind über Leseleitungen 3, 4, 5 bzw. 6, 7, 8
Logikschaltungen 14, 15, 16 bzw. 17, 18, 19. Sowohl die
Speicherschaltungen 10, 20 als auch die diesen zugeord
neten Logikschaltungen werden von einem Fehlerdetektor
9 her aktiviert, der über sechs, jeweils den einzelnen
Geräten G 11, G 23 zugeordnete Ausgänge 51 bis 56
verfügt. Der Fehlerdetektor überwacht kritische Para
meter der jeweils eingeschalteten Geräte und gibt bei
Auftreten eines Defektes ein Signal an den jeweils zuge
ordneten Ausgang. Dieses Signal gelangt zu einem ODER-
Glied 49, worauf das an dessen Ausgang erscheinende
Ausgangssignal bewirkt, daß von der gerade aktiven
Speicherschaltung auf die gerade inaktive umgeschaltet
wird. Dies ist durch einen Schalter 50 symbolisiert.
Zusammen mit der neu aktivierten Speicherschaltung
werden auch die dieser zugeordneten Logikschaltungen
aktiviert.
Den einzelnen Speichern S 11 bis S 23 sind jeweils Setz
leitungen 24 bis 34 zugeordnet, die jeweils nur zu
diesen Speichern führen. Weiterhin sind Setzleitungen
25 bis 35 vorhanden, die zu den beiden einem Gerätepaar
zugeordneten, aber unterschiedlichen Speicherschaltun
gen angehörigen Speichern, beispielsweise S 11 und S 21,
führen. Die zuerst genannten Setzleitungen 24 bis 34
sind noch mit den Ausgängen 51 bis 56 des Fehlerdetek
tors 9 verbunden. Weiterhin sind Rücksetzleitungen 36
und 37 vorgesehen, die jeweils den Speichern S 11 bis
S 13 bzw. S 21 bis S 23 einer Speicherschaltung gemeinsam
zugeordnet sind, aber nur die Speicher dieser jeweils
einen zugeordneten Speicherschaltung zurücksetzen
können. Über zusätzliche Rücksetzleitungen 38, 39 wird
der gemeinsame Zugriff zu sämtlichen Speichern beider
Speicherschaltungen 10 und 20 möglich.
Im Falle eines Satellitten sind sämtliche Setz- und
Rücksetzleitungen mit den vorhandenen Telekommandoein
richtungen verbunden, so daß die Speicher durch Kommando
von der Bodenstation aus sowohl gesetzt als auch zurück
gesetzt werden können. Wie später noch deutlich wird,
und zwar anhand von Fig. 3, ist es auch möglich, den
Speicherzustand von der Bodenstation aus zu lesen.
In Fig. 2 sind die Eingangsseiten der beiden Speicher
schaltungen 10 und 20 dargestellt. Die Setzleitungen 24
bis 34 sowie 25 bis 35 entsprechen ebenso wie die Rück
setzleitungen 36, 37 bzw. 38, 39 den in Fig. 1 bereits
dargestellten und erläuterten. Die Setz- bzw. Rücksetz
kommandos werden durch Treiber bzw. Verstärker, von
denen einer in Fig. 2 mit 57 bezeichnet ist, in
Stromimpulse ausreichender Höhe umgesetzt, um die als
Relais ausgebildeten Speicher S 11 bis S 13 bzw. S 21 bis
S 23 umschalten zu können. Diese Relais verfügen je über
zwei Spulen, und je nachdem welche von diesen einen
Stromimpuls erhält, wird ausgangsseitig ein Schalt
kontakt geöffnet oder geschlossen (siehe auch Fig. 3).
Diese beiden Schaltstellungen entsprechen den beiden
möglichen Speicherzuständen. Die beiden Spulen eines
jeden Relais empfangen von den Treiben her positive
Stromimpulse und sind an ihren anderen Enden mit Null-
Potential verbunden. Dioden, beispielsweise 58, 59, 60,
sorgen dafür, daß die ankommenden Setz- bzw. Rücksetz
kommandos über die richtigen Leitungen weitergeführt
werden. So kann ein über die Rücksetzleitung 36 an
kommendes Rücksetzkommando zwar die Diode 60 passieren
und somit an alle drei Speicher S 11 bis S 13 gelangen
und diese zurücksetzen, er wird jedoch durch die Diode
59 daran gehindert, in die Speicherschaltung 20 über
zugreifen. Ebenso kann ein über die Setzleitung 24
ankommendes Setzkommando wegen der Dioden 62 und 63
lediglich die Diode 61 passieren und den Speicher S 11
setzen. Ein über die Setzleitung 25 eintreffendes
Setzkommando hingegen ist wegen der Polung der Dioden
64, 62 sowie 65 in der Lage, nicht nur den Speicher S 11
der Speicherschaltung 10, sondern auch den Speicher S 21
der anderen Speicherschaltung 20 zu setzen.
In Fig. 3 sind die Ausgangsteile der Speicherschaltungen
10 und 20 dargestellt. Ausgangsseitig verfügen die die
entsprechenden Speicher S 11 bis S 32 bildenden Relais
jeweils über zwei Schaltkontakte, die jedoch gemeinsam
in der gleichen Weise umgeschaltet werden und jeweils
denselben Schaltzustand einnehmen. Prinzipiell ist es
jedoch auch möglich, mit jeweils nur einem ausgangs
seitigen Schaltkontakt auszukommen. Bei aktivierter
Speicherschaltung ist auch die jeweilige Spannungs
versorgung aktiviert, so daß beispielsweise im Falle
der Speicherschaltung 10 die Leseleitung 3 bei geöff
netem Schaltkontakt an positivem und bei geschlossenem
Schaltkontakt an Nullpotential liegt. Diese beiden
Potentialwerte entsprechen der logischen 1 und 0, die
von der mit der Leseleitung 3 verbundenen Logik
schaltung 14 verarbeitet werden (siehe auch Fig. 4).
Entsprechendes gilt für die übrigen in Fig. 3 darge
stellten Speicher bzw. Relais und deren ausgangsseitige
Schaltkontakte sowie Leseleitungen. Von diesen Lese
leitungen 3 bis 8 zweigen noch weitere Leitungen ab,
beispielsweise die mit 66 bezeichnete, und führen zu der
Telemetrie-Sendeeinrichtung, mit deren Hilfe die
Speicherzustände von der Bodenstation aus gelesen werden
können. Es kann erforderlich sein, die Speicherzustände
der einen Speicherschaltung 10 auch von der anderen
Speicherschaltung 20 her lesbar zu machen. Dafür sind
die mit weiteren Leseleitungen 43, 44, 45 verbundenen
Schaltkontakte der Speicher S 11 bis S 13 vorgesehen
- so wie im umgekehrten Falle die weiteren Leseleitungen
40, 41, 42 - wobei diese Leseleitungen ebenfalls mit
der Telemetrie-Sendeeinrichtung verbunden sind. Ist die
Spannungsversorgung beispielsweise der Speicherschaltung
10 aktiviert, so ist es demnach möglich, von der Boden
station aus nicht nur deren Speicherzustände, sondern
auch die Speicherzustände der anderen Speicherschaltung
20 zu lesen, obwohl deren Spannungsversorgung nicht
aktiviert ist. Dies ist dadurch möglich, daß auch die
den Leseleitungen 40 bis 42 zugeordneten Schaltkontakte
der Speicher S 21 bis S 35 an die Spannungsversorgung der
Speicherschaltung 10 angeschlossen sind, und zwar durch
Leitungen 67, 68 und 69. So liegt am Verbindungspunkt 70
der Leseleitung 40 mit der Leitung 67 ein der Spannungs
versorgung entsprechendes positives Potential, wenn der
zugeordnete Schaltkontakt geöffnet ist, und ein wesent
lich niedrigeres positives Potential, sobald der Schalt
kontakt geschlossen ist.
Die Aktivierung einer der Speicherschaltungen 10 oder
20 bedeutet, daß dieses sowohl eingangsseitig, siehe die
Treiber, beispielsweise 57, in Fig. 2, als auch ausgangs
seitig, siehe Fig. 3, an die Spannungsversorgung ange
schlossen wird, wobei die jeweils andere Speicher
schaltung von dieser Spannungsversorgung getrennt wird.
Diese Spannungsversorgung ist in Fig. 1 mit 80 gekenn
zeichnet.
In Fig. 4 ist dargestellt, wie die als repräsentativ
herausgegriffenen Logikschaltungen 14 und 17, die zum
Gerätepaar G 11 und G 21 gehören, schaltungstechnisch
realisiert werden können. Die Logikschaltungen sind wie
dargestellt aus UND-Gliedern 71 bis 74 sowie NICHT-
Gliedern 75, 76 aufgebaut. Über Spannungsversorgungs
leitungen 77, 78 kann wahlweise entweder die Logik
schaltung 14 oder die Logikschaltung 17 aktiviert
werden. Dann liegt an den entsprechenden Eingängen der
UND-Glieder die logische 1 an. Ist nun beispielsweise
die Logikschaltung 14 in dieser Weise aktiviert und ist
der mit der Leseleitung 3 verbundene ausgangsseitige
Schaltkontakt des Speichers S 11 geöffnet, so liegt am
anderen Eingang des UND-Gliedes 73 ebenfalls die logi
sche 1 an, so daß das Gerät G 11 eingeschaltet wird.
Am anderen Eingang des UND-Gliedes 74 liegt dann wegen
des vorgeschalteten NICHT-Gliedes die logische 0, so daß
am Ausgang dieses UND-Gliedes kein Ausgangssignal ent
steht und das zugehörige Gerät G 21 ausgeschaltet bleibt.
Dem durch den geöffneten Schaltkontakt repräsentierten
Speicherzustand des Speichers S 11 entspricht somit die
Forderung, daß das Gerät G 11 eingeschaltet werden soll.
Umgekehrt bedeutet der durch den geschlossenen Schalt
kontakt gegebene Speicherzustand des Speichers S 11, daß
das Gerät G 21 eingeschaltet werden soll, wie leicht aus
Fig. 4 folgt. Ist nun anstelle der Logikschaltung 14 die
Logikschaltung 17 aktiviert, so daß über deren Spannungs
versorgungsleitung 78 an den einen Eingängen der UND-
Glieder 71 und 72 die logische 1 ansteht, so ergibt
sich analog bei geöffnetem ausgangsseitigen Schaltkontakt
des Speichers S 21, daß über die Leseleitung 6 eine
logische 1 an den anderen Eingang des UND-Gliedes 71
und eine logische 0 an den anderen Eingang des UND-
Gliedes 72 gelangt. Damit wird auch hier im Falle des
geöffneten Schaltkontaktes das Gerät G 11 eingeschaltet
und im Falle des geschlossenen Schaltkontaktes, wie eine
analoge Betrachtung ergibt, das Gerät G 21. Die Zuordnung
von Schaltkontaktstellung bzw. Speicherzustand und ein
zuschaltendem Gerät des jeweiligen Gerätepaares ist
also in beiden Fällen dieselbe.
Mit der oben geschilderten Einrichtung sind nun folgende
Funktionsmöglichkeiten realisierbar:
Zunächst kann von der Bodenstation aus eine automatische
Einschaltsequenz für eine gewünschte Gerätekombination
vorgegeben werden. Wird z. B. gewünscht, daß zu Beginn
die Geräte G 11, G 12 und G 13 einzuschalten sind, so
müssen die Speicher S 11 bis S 13 in einen entsprechenden
Speicherzustand gebracht werden, d. h. in diesem Falle
(siehe Fig. 4) müsen die ausgangsseitigen Schaltkontakte
der entsprechenden Relais geöffnet sein. Diese geöffnete
Schaltkontaktstellung kann mit einem Rücksetzkommando
über die Rücksetzleitung 36 erzielt werden. Vorher werden
jedoch auf die Setzleitungen 25, 27 sowie 29 Setz
kommandos gegeben, durch welche sowohl die Speicher S 11
bis S 13 der Speicherschaltung 10 als auch die
Speicher S 21 bis S 23 der Speicherschaltung 20 bzw. die
entsprechenden Relais ausgangsseitig in den geschlosse
nen Zustand gebracht werden. Der Grund hierfür wird
später deutlich. Nach dem anschließenden Rücksetz
kommando über Rücksetzleitung 36 werden die den
Speichern S 11 bis S 13 zugeordneten Relais ausgangs
seitig wieder geöffnet, so daß durch die Speicher
schaltung 10 die Geräte G 11 bis G 13 eingeschaltet
werden. Tritt nun in dieser Gerätekombination ein Defekt
auf, so wird der Fehlerdetektor 9 über das ODER-Glied 49
die Speicherschaltung 20 aktivieren. In dieser sind die
den Speichern S 21 bis S 23 zugeordneten Relais ausgangs
seitig aufgrund der obenerwähnten Setzkommandos im
geschlossenen Zustand. Dies entspricht - siehe Fig. 4 -
der Forderung, daß nunmehr die Geräte G 21, G 22 sowie
G 23 einzuschalten sind.
Gleichzeitig mit dem Umschaltkommando, das durch ein
Ausgangssignal an einem der drei Ausgänge 51 bis 53 des
Fehlerdetektors 9 abgegeben wird, gelangt vom selben
Ausgang her ein Setzkommando an die entsprechende der
drei Setzleitungen 24, 26 bzw. 28. Hierdurch wird nun
mehr der zugeordnete Speicher bzw. das diesen bildende
Relais ausgangsseitig in den anderen, d. h. geschlosse
nen Zustand gebracht. Hiermit ist markiert, daß der
Fehlerdetektor 9, die Fehlermeldung von dem diesem
Speicher zugeordneten Gerät bekommen hat. Bei dem
nächsten Kontakt mit der Bodenstation kann die ent
sprechende Information gelesen werden. Dies kann hilf
reich bei der anschließenden Fehlersuche sein.
Hat die Bodenstation das fehlerhafte Gerät ermittelt,
und zwar mit Methoden üblicher Art, auf die hier nicht
näher eingegangen werden soll, so muß die entsprechende
Information in den Speicherschaltungen niedergelegt
werden. Ist beispielsweise das Gerät G 12 als fehlerhaft
erkannt, so darf dieses in keinem Falle wieder einge
schaltet werden, sondern von diesem Gerätepaar darf le
diglich noch das Gerät G 22 zum Einschalten freigegeben
werden. Die Speicher S 12 und S 22 müssen also gesetzt,
d. h. die ausgangsseitigen Schaltkontakte geschlossen
werden.
Da nunmehr die Speicherschaltung 20 aktiviert ist, kön
nen die entsprechenden Telekommandosignale nur von dieser
empfangen werden. Der Zustand der eingeschalteten Gerä
tekombination wird davon nicht berührt. Zunächst wird
über Rücksetzleitung 39 ein Rücksetzkommando zugeführt,
welches sämtliche Speicher S 11 bis S 23 zurücksetzt,
d. h. die Relais ausgangsseitig öffnet. Anschließend
wird ein Setzkommando auf Setzleitung 33 gegeben, so
daß die Speicher S 12 und S 22 gesetzt, d. h. die Relais
ausgangsseitig geschlossen werden. Danach wird durch
ein Rücksetzkommando auf Rücksetzleitung 37 der Spei
cher S 22 wieder zurückgesetzt, während der Speicher S 12
als einziger gesetzt bleibt. Die Speicherschaltung 20
ist nunmehr für eine Fehlermeldung vorbereitet, welche
vom Fehlerdetektor 9 her über eine der drei Setzlei
tungen 30, 32 oder 34 erfolgt. Dann wird erneut die
Speicherschaltung 10 aktiviert, durch welche nun auf
grund des zuvor gesetzten Speichers S 12 sowie der noch
zurückgesetzten Speicher S 11 und S 13 die intakten Ge
räte G 11, G 22 und G 13 eingeschaltet werden.
Ist der Fehler in der zuvor eingeschalteten Gerätekom
bination G 21, G 22 und G 32 gefunden, so muß dieser ein
gespeichert werden. Im Falle eines fehlerhaften Gerätes
G 21 müssen die Speicher S 11 und S 21 zurückgesetzt wer
den, damit nur Gerät G 11 eingeschaltet werden kann. Da
zu erfolgt ein Rücksetzkommando über Rücksetzleitung
38, welches alle Speicher S 11 bis S 23 zurücksetzt, ge
folgt von Setzkommandos auf den Setzleitungen 27 und 29
sowie einem Rücksetzkommando auf der Rücksetzleitung
36. Damit sind alle Speicher der Speicherschaltung 10
zurückgesetzt und diese ist für eine neue Fehlermeldung
vorbereitet. Andererseits werden bei Aktivierung der
Speicherschaltung 20 von dieser die intakten Geräte G 22
und G 23 sowie G 11 in Betrieb genommen. Nunmehr ist le
diglich noch ein Gerätepaar intakt, nämlich G 13 und G 23.
Der Fehlerdetektor kann ebenfalls redundant ausgelegt
sein. Wird von ihm ein Fehler gemeldet, so wird auch
hier der jeweils inaktive redundante aktiviert.
Unter dem Begriff Redundanz wird oben immer Kaltredun
danz verstanden. In der nach Auftreten eines Defektes
anzustrebenden stabilisierten Lage ist bei einem Satel
liten auch erforderlich, daß die Solarpanels weiterhin
auf die Sonne und Richtantennen weiterhin auf die Erde
ausgerichtet bleiben.
Claims (4)
1. Einrichtung zur automatischen, im Falle eines
Defektes in einem Gerät erforderlichen Rekonfiguration
einer intakten Gerätekombination aus den Geräten zweier
Gerätegruppen, wobei jedem Gerät einer Gerätegruppe ein
gleiches Gerät der anderen Gerätegruppe zugeordnet ist
und diese einander zugeordneten Geräte jeweils ein
Gerätepaar bilden, und wobei jeder der beiden Geräte
gruppen eine Speicherschaltung für die Rekonfiguration
betreffende Informationen zugeordnet sowie mindestens
ein die jeweils eingeschaltete Gerätekombination über
wachenden Fehlerdetektor vorhanden ist, dadurch
gekennzeichnet,
daß jede der beiden Speicherschaltungen (10, 20) für jedes der Gerätepaare (G 11, G 21) einen nicht flüchti gen Speicher (S 11, S 21) enthält, der zwei unter schiedliche Speicherzustände einnehmen kann,
daß jedem der Speicher (S 11, S 21) eine Leseleitung (3, 6) sowie ein Paar von Setzleitungen 24, 25; 30, 31) zugeordnet sind, wobei eine der Setzleitungen (24, 30) jeweils nur mit einem der Speicher (S 11, S 21) und die andere der Setzleitungen (25, 31) zusätzlich mit dem demselben Gerätepaar (G 11, G 21) zugeordneten der Speicher (S 21, S 11) der anderen Speicherschaltung (20, 10) verbunden ist,
daß jede Leseleitung (3, 6) mit einer eigenen Logik schaltung (14, 17) verbunden ist, welche je nach Speicherzustand Einschaltkommandos für das eine oder das andere Gerät (G 11, G 21) des dem jeweiligen Speicher zugeordneten Gerätepaares liefert,
daß jeder Speicherschaltung (10, 20) mindestens eine Rücksetzleitung (36, 37) nur für die eigenen Speicher und mindestens eine weitere Rücksetzleitung (38, 39) für die eigenen Speicher und die der anderen Speicher schaltung zugeordnet sind,
und daß durch den Fehlerdetektor (9) bei Auftreten eines Defektes in einem Gerät die jeweils inaktive Speicherschaltung sowie die dieser zugeordneten Logik schaltungen durch Anlegen einer Spannungsversorgung (80) aktivierbar sind.
daß jede der beiden Speicherschaltungen (10, 20) für jedes der Gerätepaare (G 11, G 21) einen nicht flüchti gen Speicher (S 11, S 21) enthält, der zwei unter schiedliche Speicherzustände einnehmen kann,
daß jedem der Speicher (S 11, S 21) eine Leseleitung (3, 6) sowie ein Paar von Setzleitungen 24, 25; 30, 31) zugeordnet sind, wobei eine der Setzleitungen (24, 30) jeweils nur mit einem der Speicher (S 11, S 21) und die andere der Setzleitungen (25, 31) zusätzlich mit dem demselben Gerätepaar (G 11, G 21) zugeordneten der Speicher (S 21, S 11) der anderen Speicherschaltung (20, 10) verbunden ist,
daß jede Leseleitung (3, 6) mit einer eigenen Logik schaltung (14, 17) verbunden ist, welche je nach Speicherzustand Einschaltkommandos für das eine oder das andere Gerät (G 11, G 21) des dem jeweiligen Speicher zugeordneten Gerätepaares liefert,
daß jeder Speicherschaltung (10, 20) mindestens eine Rücksetzleitung (36, 37) nur für die eigenen Speicher und mindestens eine weitere Rücksetzleitung (38, 39) für die eigenen Speicher und die der anderen Speicher schaltung zugeordnet sind,
und daß durch den Fehlerdetektor (9) bei Auftreten eines Defektes in einem Gerät die jeweils inaktive Speicherschaltung sowie die dieser zugeordneten Logik schaltungen durch Anlegen einer Spannungsversorgung (80) aktivierbar sind.
2. Einrichtung nach Anspruch 1, dadurch ge
kennzeichnet, daß die Speicher Relais sind.
3. Einrichtung nach Anspruch 1 oder 2, dadurch
gekennzeichnet, daß jedem Speicher einer
Speicherschaltung (10, 20) eine weitere, mit der
anderen Speicherschaltung verbundene Leseleitung (40,
43, . . .) zugeordnet ist.
4. Einrichtung nach einem der vorhergehenden
Ansprüche, dadurch gekennzeichnet,
daß der Fehlerdetektor (9) zu den Setzleitungen (24,
30) der Speicher (S 11, S 21) führende Ausgangs
leitungen aufweist.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19843432165 DE3432165A1 (de) | 1984-08-31 | 1984-08-31 | Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination |
FR858511101A FR2569882B1 (fr) | 1984-08-31 | 1985-07-19 | Dispositif pour la reconfiguration automatique d'une combinaison intacte d'appareils |
JP60187541A JPH0695315B2 (ja) | 1984-08-31 | 1985-08-28 | 正常な機器の組を自動的に再構成する装置 |
US06/770,687 US4739498A (en) | 1984-08-31 | 1985-08-29 | Arrangement for the automatic reconfiguration of an intact equipment combination |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19843432165 DE3432165A1 (de) | 1984-08-31 | 1984-08-31 | Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination |
Publications (2)
Publication Number | Publication Date |
---|---|
DE3432165A1 DE3432165A1 (de) | 1986-03-06 |
DE3432165C2 true DE3432165C2 (de) | 1987-07-16 |
Family
ID=6244427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19843432165 Granted DE3432165A1 (de) | 1984-08-31 | 1984-08-31 | Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination |
Country Status (4)
Country | Link |
---|---|
US (1) | US4739498A (de) |
JP (1) | JPH0695315B2 (de) |
DE (1) | DE3432165A1 (de) |
FR (1) | FR2569882B1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3921281C1 (de) * | 1989-06-29 | 1990-12-13 | Erno Raumfahrttechnik Gmbh, 2800 Bremen, De |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5204836A (en) * | 1990-10-30 | 1993-04-20 | Sun Microsystems, Inc. | Method and apparatus for implementing redundancy in parallel memory structures |
US5260952A (en) * | 1991-04-30 | 1993-11-09 | Ibm Corporation | Fault tolerant logic system |
CA2068048A1 (en) * | 1991-05-06 | 1992-11-07 | Douglas D. Cheung | Fault tolerant processing section with dynamically reconfigurable voting |
KR100296850B1 (ko) * | 1992-05-28 | 2001-10-24 | 썬 마이크로시스템즈, 인코포레이티드 | 캐시램용다수의뱅크열용장성초기화제어기 |
US5951609A (en) * | 1997-05-29 | 1999-09-14 | Trw Inc. | Method and system for autonomous spacecraft control |
US6128555A (en) * | 1997-05-29 | 2000-10-03 | Trw Inc. | In situ method and system for autonomous fault detection, isolation and recovery |
US5970013A (en) * | 1998-02-26 | 1999-10-19 | Lucent Technologies Inc. | Adaptive addressable circuit redundancy method and apparatus with broadcast write |
US6011733A (en) * | 1998-02-26 | 2000-01-04 | Lucent Technologies Inc. | Adaptive addressable circuit redundancy method and apparatus |
DE19857894A1 (de) * | 1998-12-15 | 2000-06-21 | Bodenseewerk Geraetetech | Flugkörper |
US6438672B1 (en) | 1999-06-03 | 2002-08-20 | Agere Systems Guardian Corp. | Memory aliasing method and apparatus |
US6687851B1 (en) | 2000-04-13 | 2004-02-03 | Stratus Technologies Bermuda Ltd. | Method and system for upgrading fault-tolerant systems |
US6820213B1 (en) | 2000-04-13 | 2004-11-16 | Stratus Technologies Bermuda, Ltd. | Fault-tolerant computer system with voter delay buffer |
US6691225B1 (en) | 2000-04-14 | 2004-02-10 | Stratus Technologies Bermuda Ltd. | Method and apparatus for deterministically booting a computer system having redundant components |
US7065672B2 (en) * | 2001-03-28 | 2006-06-20 | Stratus Technologies Bermuda Ltd. | Apparatus and methods for fault-tolerant computing using a switching fabric |
US6928583B2 (en) * | 2001-04-11 | 2005-08-09 | Stratus Technologies Bermuda Ltd. | Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep |
US7856294B2 (en) * | 2007-12-14 | 2010-12-21 | Sra International, Inc. | Intelligent system and method for spacecraft autonomous operations |
CN117784616B (zh) * | 2024-02-23 | 2024-05-24 | 西北工业大学 | 一种基于智能观测器组的高速飞行器故障重构方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3768074A (en) * | 1972-05-12 | 1973-10-23 | Burroughs Corp | Multiprocessing system having means for permissive coupling of different subsystems |
JPS4925809U (de) * | 1972-06-08 | 1974-03-05 | ||
US3805039A (en) * | 1972-11-30 | 1974-04-16 | Raytheon Co | High reliability system employing subelement redundancy |
JPS543390A (en) * | 1977-06-08 | 1979-01-11 | Hitachi Ltd | Information processing system diagnosis system |
IT1109655B (it) * | 1978-06-28 | 1985-12-23 | Cselt Centro Studi Lab Telecom | Memoria di massa allo stato solido organizzata a bit autocorrettiva e riconfigurabile per un sistema di controllo a programma registrato |
JPS5720848A (en) * | 1980-07-14 | 1982-02-03 | Nissin Electric Co Ltd | Automatic switching device for double system device |
JPS5911454A (ja) * | 1982-07-13 | 1984-01-21 | Mitsubishi Electric Corp | 冗長化システム |
US4506364A (en) * | 1982-09-30 | 1985-03-19 | International Business Machines Corporation | Memory address permutation apparatus |
-
1984
- 1984-08-31 DE DE19843432165 patent/DE3432165A1/de active Granted
-
1985
- 1985-07-19 FR FR858511101A patent/FR2569882B1/fr not_active Expired - Lifetime
- 1985-08-28 JP JP60187541A patent/JPH0695315B2/ja not_active Expired - Fee Related
- 1985-08-29 US US06/770,687 patent/US4739498A/en not_active Expired - Lifetime
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3921281C1 (de) * | 1989-06-29 | 1990-12-13 | Erno Raumfahrttechnik Gmbh, 2800 Bremen, De |
Also Published As
Publication number | Publication date |
---|---|
FR2569882B1 (fr) | 1991-07-19 |
US4739498A (en) | 1988-04-19 |
DE3432165A1 (de) | 1986-03-06 |
JPS6165339A (ja) | 1986-04-03 |
JPH0695315B2 (ja) | 1994-11-24 |
FR2569882A1 (fr) | 1986-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3432165C2 (de) | ||
EP0038947B1 (de) | Programmierbare logische Anordnung | |
DE10257690A1 (de) | Überwachungs- und Steuerungssystem | |
DE2453011A1 (de) | Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen | |
DE69811380T2 (de) | Verteilungsautomatisierungs-endgeräteinheit | |
DE19520596A1 (de) | Anordnung zum Übertragen von Daten und Energie über eine Busleitung | |
DE3109638A1 (de) | Schutz- und ueberwachungseinrichtung fuer steuerschaltungsanordnungn in kraftfahrzeugen | |
DE3522220A1 (de) | Anordnung zur ausgabe von steuersignalen an stellelemente eines prozesses | |
DE2647367A1 (de) | Redundante prozessteueranordnung | |
EP0266567A1 (de) | Verfahren zur Ueberwachung und Steuerung eines Antennenwählers sowie Antennenwähler zur Durchführung des Verfahrens | |
EP0551114A1 (de) | Anordnung zur Informationsübermittlung | |
DE1931296A1 (de) | Redundantes Steuer- oder Regelsystem | |
EP0113379A1 (de) | Rechnerkopplung | |
DE3007960C2 (de) | Elektronisches Stellwerk | |
EP1016238A1 (de) | Redundanzsystem mit "1:n" und "1:1" redundanz für ein asn-system | |
EP0473834B1 (de) | Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks | |
DE2023117A1 (de) | Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen | |
DE4137489C2 (de) | Verfahren und Einrichtung zum zuverlässigen Steuern von Schaltgeräten einer Schaltanlage | |
DE19543817C2 (de) | Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur | |
DE3239434C1 (de) | Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems | |
DE3012159C2 (de) | Anordnung zur gesicherten Datenausgabe | |
DE19531923B4 (de) | Einrichtung zur Realisierung von safe-life-Funktionen | |
DE19934513B4 (de) | Steuerungsverfahren für eine technische Anlage | |
DE3013061C2 (de) | Verfahren und Vorrichtung zum Betrieb redundanter Steuerungseinrichtungen | |
DE3638680C2 (de) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: DEUTSCHE AEROSPACE AG, 8000 MUENCHEN, DE |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: DAIMLER-BENZ AEROSPACE AKTIENGESELLSCHAFT, 80804 M |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: DAIMLERCHRYSLER AEROSPACE AKTIENGESELLSCHAFT, 8099 |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: DAIMLERCHRYSLER AEROSPACE AG, 85521 OTTOBRUNN, DE |