DE3906846C2 - Redundante Rechneranordnung für Steuersysteme - Google Patents

Redundante Rechneranordnung für Steuersysteme

Info

Publication number
DE3906846C2
DE3906846C2 DE3906846A DE3906846A DE3906846C2 DE 3906846 C2 DE3906846 C2 DE 3906846C2 DE 3906846 A DE3906846 A DE 3906846A DE 3906846 A DE3906846 A DE 3906846A DE 3906846 C2 DE3906846 C2 DE 3906846C2
Authority
DE
Germany
Prior art keywords
computers
pair
function
input
output units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE3906846A
Other languages
English (en)
Other versions
DE3906846A1 (de
Inventor
Reinhard Wolfram Dr Reichel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Diehl Aerospace GmbH
Original Assignee
Bodenseewerk Geratetechnik GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bodenseewerk Geratetechnik GmbH filed Critical Bodenseewerk Geratetechnik GmbH
Priority to DE3906846A priority Critical patent/DE3906846C2/de
Priority to FR9002843A priority patent/FR2643995B1/fr
Publication of DE3906846A1 publication Critical patent/DE3906846A1/de
Application granted granted Critical
Publication of DE3906846C2 publication Critical patent/DE3906846C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Technisches Gebiet
Die Erfindung betrifft eine redundante Rechneranordnung für Steuersysteme.
Zugrundeliegender Stand der Technik
Aus der DD 2 47 535 A1 ist eine Schaltungsanordnung für die Steuerung sicherer Prozeßperipherie bekannt. Es sind dort drei Rechner gleichzeitig mit zwei Eingabe-Ausgabe- Einheiten über drei Busleitungen verbunden. Diese Eingabe-Ausgabe-Einheiten sind als von den Rechnern getrennte Bauteile ausgebildet und je einer Peripherie­ baugruppe zugeordnet.
Durch einen Aufsatz von Dietrich "Fehlerredundante Rechner: Die Natur als Vorbild" in "Elektronik" 19, 21.9.1984, Seiten 81-86 ist für die Flugregelung ein demokratisches, dissimilares System vorgesehen. Die nominell gleichen Ausgangsdaten von mehreren dissimilaren Rechner beaufschlagen "Voter", die bei Abweichungen der Ausgangsdaten voneinander diejenigen Ausgangsdaten auf Stellglieder durchschalten, die von der Mehrheit der Rechner geliefert werden. Ein von der Mehrheit abweichender Rechner wird als defekt angesehen.
Bei Flugsteuersystemen wird ein hohes Maß an Zuverlässig­ keit verlangt. Bei Ausfall eines Bauteils muß das Flug­ steuersystem noch funktionsfähig bleiben. Für manche Funktionen des Flugsteuersystems, die für die Fliegbarkeit des Flugzeugs lebenswichtig sind, wird gefordert, daß auch nach Ausfall von zwei oder drei Bauteilen die Funktions­ fähigkeit des Flugsteuersystems noch gewährleistet ist. Aus diesem Grund werden Bauteile bei solchen Flugsteuer­ systemen vermehrfacht. Man spricht von einer redundanten Anordnung.
Ähnliche Probleme treten auch bei anderen Steuersystemen auf, bei denen ein Ausfall des Steuersystems schwer­ wiegende Folgen haben kann, beispielsweise bei Robotern oder bei Kernkraftwerken.
Diese Forderung nach Funktionsfähigkeit nach Ausfall eines Bauteils gilt auch für Rechner, die in einem solchen Steuersystem verwendet werden. Bei digital arbeitenden Rechnern ergibt sich jedoch noch ein besonderes Problem: Die Rechner arbeiten nach einem recht komplizierten Programm. Es kann nicht ausgeschlossen werden, daß ein solches Programm Fehler aufweist, die nur bei einer ganz bestimmten Kombination von Zuständen in Erscheinung treten. Es ist nicht möglich, die Fehlerfreiheit eines Programmes zu beweisen. Ein Testen eines Programmes bei allen denkbaren Zuständen ist ähnlich unmöglich wie etwa das Durchspielen aller möglichen Spielverläufe eines Schachspiels. Wenn daher zwei Rechner gleicher Bauart (Hardware) mit gleichen Programmen redundant vorgesehen würden, dann würde ein Fehler, der durch einen Fehler des Programms bedingt ist, gleichzeitig bei beiden Rechnern auftreten. Ein solcher Fehler würde trotz redundanter Anordnung der Rechner nicht bemerkt werden.
Dieses Problem wird dadurch gelöst, daß zwei einander überwachende Rechner unabhängig voneinander, üblicherweise mit unterschiedlichen Programmiersprachen und von verschiedenen Programmiererteams programmiert werden. Da die geforderten Operationen auf sehr viele verschiedene Weisen durch Programme durchführbar sind, und auch die unterschiedlichen Programmiersprachen unterschiedliche Programmierung bedingen, ist die Wahrscheinlichkeit dafür, daß ein Softwarefehler in beiden Rechnern gleichzeitig auftritt, extrem gering. Zusätzlich sind weitere Paare von einander überwachenden Rechnern vorgesehen, die von den vorerwähnten Rechnern auch in der Bauart (Hardware) abweichen und ebenfalls unabhängig von diesen und voneinander programmiert sind.
Bei bekannten redundanten Rechneranordnungen gehört zu jedem Rechner eine Eingabe-Ausgabe-Einheit. Diese sind mit den Rechnern über Busleitungen verbunden und als von den Rechnern getrennte Bauteile ausgebildet. Sie dienen dazu, Daten, die z. B. von Sensoren erhalten werden, aufzube­ reiten und Ausgangsdaten des Rechners ebenfalls ent­ sprechend aufbereitet z. B. Stellmotoren (Actuators) zuzuführen. Die beiden Rechner eines jeden Paares überwachen einander. Bei einem Fehler eines der Rechner, wenn also die Ausgangsdaten nicht übereinstimmen, wird das gesamte Paar abgeschaltet. Es sind mehrere solche Paare vorhanden. Bei Ausfall eines Paares wird auf ein anderes Paar umgeschaltet. Beispielsweise können für eine bestimmte Funktion insgesamt vier Paare von Rechnern vorgesehen sein. Dann erfolgt bei einem Ausfall eines ersten Paares von Rechnern eine Umschaltung auf ein zweites Paar, bei Ausfall auch des zweiten Paares eine Umschaltung auf ein drittes Paar und, wenn auch das dritte Paar ausfällt, eine Umschaltung auf das vierte und letzte Paar. Ein solches System "überlebt" somit drei Aus­ fälle und bleibt noch funktionsfähig. Ein vierter Ausfall würde das System außer Betrieb setzen. Für diese Funktion sind somit insgesamt acht Rechner mit je einer Eingabe- Ausgabe-Einheit erforderlich.
Ein festgestellter Ausfall eines Rechners kann durch einen Defekt oder Fehler des eigentlichen Rechners hervorgerufen sein oder aber durch einen Defekt der Eingabe-Ausgabe- Einheit. Das ist bei den bekannten Steuersystemen, z. B. Flugsteuersystemen, nicht zu unterscheiden.
An verschiedene Funktionen des Steuersystems werden unterschiedlich hohe Anforderungen hinsichtlich der Zuverlässigkeit gestellt. Einige Funktionen müssen auch nach Ausfall mehrerer Bauteile, z. B. Rechner, erhalten bleiben. Bei anderen Funktionen genügt ein geringerer Grad von Redundanz. So ist bei einem Flugsteuersystem die Flugregelung, umfassend u. a. die Regelung der Fluglage und die Dämpfung von Fluglageschwingungen sowie die Regelung und Überwachung der Stellmotore, eine Funktion, die für die Fliegbarkeit des Flugzeugs lebenswichtig ist. Für diese Flugregelung muß auch nach Ausfall von drei Rechnern bzw. Rechnerpaaren, wie oben beschrieben, noch ein Rechner funktionsfähig sein. Andere Funktionen wie die Flugführung, also die Vorgabe von Kurs, Steig- oder Sinkgeschwindigkeit, sind im allgemeinen für die Fliegbarkeit des Flugzeugs weniger lebenswichtig. Sie können notfalls vom Piloten übernommen werden und brauchen daher gegebenenfalls keine Redundanz. Üblicherweise sind aber Rechner für solche Funktionen auch redundant vorhanden. Es ergibt sich daher ein erheblicher Aufwand für die Erzielung der geforderten Zuverlässigkeit. Das erhöht den Raumbedarf, das Gewicht und die Kosten des Flugsteuersystems.
Offenbarung der Erfindung
Der Erfindung liegt die Aufgabe zugrunde, bei einer redundanten Rechneranordnung für Steuersysteme der eingangs definierten Art den für einen bestimmten Grad von Zuverlässigkeit erforderlichen Aufwand zu verringern.
Erfindungsgemäß wird diese Aufgabe durch eine redundante Rechneranordnung für Steuersysteme gelöst, bei welcher
  • (a) eine Mehrzahl von Rechnern in redundanter Anordnung vorgesehen und mit Eingaben von Eingabe-Ausgabe-Einheiten beaufschlagt sind, wobei durch gegenseitige Überwachung ausgefallene Rechner eliminierbar sind,
  • (b) wenigstens ein erstes und ein zweites Paar von Rechnern vorgesehen sind, die mit gleichen Eingaben von den Eingabe-Ausgabe-Einheiten beaufschlagt sind, wobei bei einer Abweichung der Ausgaben des einen und des anderen Rechners des ersten Paares eine Umschaltung auf die Rechner des zweiten Paares erfolgt,
  • (c) den beiden Paaren von Rechnern drei von den Rechnern getrennte Eingabe-Ausgabe-Einheiten zugeordnet sind,
  • (d) jede der Eingabe-Ausgabe-Einheiten mit jedem der Rechner verbunden ist,
  • (e) die Rechner zur Erkennung und Eliminierung einer Eingabe-Ausgabe-Einheit eingerichtet sind, deren Signale von denen der beiden anderen Eingabe-Ausgabe- Einheiten merklich abweichen.
Die Eingabe-Ausgabe-Einheiten sind von den Rechnern getrennt. Das macht es möglich, die drei Eingabe-Ausgabe-Ein­ heiten gleichzeitig sowohl dem einen, zunächst betriebsbereiten Paar von Rechnern als auch dem anderen, in Bereitschaft stehenden Paar von Rechnern zuzuordnen. Bei einen Ausfall einer der Eingabe-Ausgabe-Einheiten können die Rechner durch Mehrheitsbetrachtung feststellen, welche der drei Eingabe-Ausgabe-Einheiten ausgefallen ist und diese abschalten. Bei drei Eingabe-Ausgabe-Einheiten liefern ja bei Defekt einer dieser Einheiten die beiden anderen noch übereinstimmende, vom Signal der defekten Einheit abweichende Signale. Daraus kann die defekte Einheit erkannt werden. Eine Umschaltung der Rechner ist damit noch nicht erforderlich. Wenn die Rechner des ersten Paares eine Abweichung voneinander feststellen und abgeschaltet werden, werden die Rechner des zweiten Paares statt dessen in Betrieb genommen.
Bei einer solchen Anordnung ergibt sich der gleiche Grad von Sicherheit wie bei einer Anordnung mit zwei Paaren von Rechnern, von denen jeder eine Eingabe-Ausgabe-Einheit aufweist. Dies wird jedoch mit drei statt bisher vier Eingabe-Ausgabe-Einheiten erreicht. Bei einer Anordnung mit insgesamt vier Paaren von Rechnern ergibt sich eine Einsparung von zwei Eingabe-Ausgabe-Einheiten.
Eine weitere Einsparung ergibt sich dadurch, daß
  • (a) die Rechner des ersten Rechnerpaares für eine erste Funktion mit hohen Redundanzanforderungen vorgesehen sind,
  • (b) die Rechner des zweiten Rechnerpaares für eine Funktion mit geringeren Redundanzanforderungen vorgesehen sind,
  • (c) die Rechner des zweiten Rechnerpaares zusätzlich für die erste Funktion programmiert sind,
  • (d) bei Ausfall eines Rechners des ersten Rechnerpaares wenigstens ein Rechner des zweiten Rechnerpaares mit der ersten Funktion einschaltbar ist.
Es können beispielsweise zwei Paare von ersten Rechnern vorgesehen sein, die für die erste Funktion "Flugregelung" programmiert sind. Ebenso sind zwei Paare von zweiten Rechnern vorgesehen, die für die weniger kritische zweite Funktion "Flugführung" programmiert sind. Die zweiten Rechner sind aber zusätzlich auch für die Funktion "Flugregelung" programmiert und für diese Zwecke ebenfalls einsetzbar. Beide Funktionen sind somit zweifach redundant durch Paare von einander überwachenden Rechnern besetzt. Wenn ein erstes Paar von ersten Rechnern ausfällt, wird seine Funktion von dem zweiten Paar von ersten Rechnern übernommen. Fällt auch dieses Paar von ersten Rechnern aus, erfolgt eine Umschaltung auf ein Paar von zweiten Rechnern. Dieses Paar von zweiten Rechnern wird aber jetzt mit dem Programm "Flugregelung" betrieben. Die "Flugführung" ist jetzt nur noch mit einem Paar von Rechnern besetzt. Nun ist eine Redundanz der Rechner für die Flugführung in bestimmten Fällen vorgeschrieben, beispielsweise für einen Landeanflug im Nebel. Solche Zustände lassen sich aber im allgemeinen vermeiden. Im Notfall, bei Ausfall auch des dritten Paares von zweiten Rechnern kann auch das vierte Paar von zweiten Rechnern für die Flugregelung eingesetzt werden. Die Funktion der Flugführung muß dann der Pilot von Hand übernehmen.
Diese Art der "dynamischen Redundanz" wird bei dem Flug­ steuersystem dadurch ermöglicht, daß die Eingabe-Ausgabe- Einheiten von den Rechnern getrennt sind, so daß verschiedene Rechner, ggf. auch unterschiedlicher Grund­ funktion mit gemeinsamen Eingabe-Ausgabe-Einheiten zusammenwirken können.
Ein Ausführungsbeispiel der Erfindung ist nachstehend unter Bezugnahme auf die zugehörigen Zeichnungen näher erläutert.
Kurze Beschreibung der Zeichnungen
Fig. 1 zeigt schematisch ein Flugzeug mit einem Flugsteuersystem, bei welchem Rechner redundant vorgesehen sind.
Fig. 2 zeigt das Seitenleitwerk des Flugzeugs.
Fig. 3 ist ein Blockdiagramm eines Flugsteuersystems.
In Fig. 1 ist mit 10 ein Flugzeug bezeichnet. Das Flugzeug 10 hat eine Mehrzahl von Steuerflächen, die von hydraulischen Stellmotoren verstellbar sind. Dabei sind wesentliche Steuerflächen jeweils redundant durch mehrere Stellmotore ansteuerbar. Mit 12 und 14 sind Querruder bezeichnet. Das Querruder 12 ist von zwei Stellmotoren 16 und 18 verstellbar. Das Querruder 14 ist von zwei Stell­ motoren 20 und 22 verstellbar. Die Stellmotoren jedes Paares 16, 18 bzw. 20, 22 sind an unterschiedliche Hydrauliknetze angeschlossen, welche durch die Buchstaben "G" (grün) und "B" (blau) entsprechend der Farbe der für diese Netze verwendeten Hydraulikleitungen gekennzeichnet sind. Durch diese Maßnahme soll erreicht werden, daß bei Ausfall eines Hydrauliknetzes jeweils noch ein Stellmotor 16 oder 18 bzw. 20 oder 22 funktionsfähig bleibt.
Auf der Tragfläche 24 sitzen Spoiler 28, 30, 32, 34 und 36. Auf der Tragfläche 26 sitzen Spoiler 38, 40, 42, 44 und 46. Die Spoiler dienen zum Abbremsen und zur Unterstützung der Querruder bei der Einleitung einer Rollbewegung. Die Spoiler sind durch Stellmotore 48, 50, 52, 54 und 56 bzw. 58, 60, 62, 64 und 66 verstellbar. Die Stellmotore sind wieder an verschiedene Hydrauliknetze angeschlossen. Außer den schon erwähnten Hydrauliknetzen G und B ist noch ein drittes Hydrauliknetz Y ("yellow") vorgesehen.
Ein Querruder 68 am Seitenleitwerk 70 wird dreifach redundant von drei Stellmotoren 72, 74 und 76 angesteuert. Die drei Stellmotoren 72, 74 und 76 werden aus den drei verschiedenen Hydrauliknetzen B, G und Y gespeist. An einem Höhenleitwerk 78 sitzen Höhenruder 80 und 82. Das Höhen­ ruder 80 wird zweifach redundant von zwei Stellmotoren 84 und 86 angesteuert. Stellmotor 84 wird aus dem Hydraulik­ netz G gespeist. Stellmotor 86 wird aus dem Hydrauliknetz B gespeist. Das Höhenruder 82 wird zweifach redundant von zwei Stellmotoren 88 und 90 gespeist. Der Stellmotor 88 wird aus dem Hydrauliknetz B gespeist. Der Stellmotor 90 wird aus dem Hydrauliknetz Y gespeist.
Eine Stellmotoranordnung 92 steuert Landeklappen 94 und 96.
Die Stellmotoren werden von Rechnern über Eingabe-Ausgabe-Ein­ heiten gesteuert. Die Rechner sind paarweise vorgesehen. Zwei Paaren von Rechnern sind jeweils drei davon getrennte Eingabe-Ausgabe-Einheiten zugeordnet.
Ein erstes Paar von "ersten" Rechnern 98 und 100 ist für die Flugregelung (Flight Control) programmiert. Dazu gehört die eigentliche Flugregelung, also die Einregelung des Flugzeuges in eine kommandierte Fluglage und die Dämpfung von Lageschwingungen. Dazu gehört weiter die Regelung und Überwachung der Stellmotore. Der Rechner regelt also einen Stellmotor in eine bestimmte Stellung ein. Der Rechner kontrolliert außerdem, ob der Stellmotor eine kommandierte Stellung auch eingenommen hat und schaltet erforderlichenfalls einen defekten Stellmotor ab. Ferner gehört zu der "Flight Control" die Flugbereichs­ überwachung. Der Rechner überwacht z. B. ob das Flugzeug hinreichend oberhalb der Abreißgeschwindigkeit fliegt. Schließlich gehört zu den Aufgaben der "Flight Control" die "Flügellastminderung". Wenn bei bestimmten Flug­ zuständen Eigenschwingungen der Tragflächen angeregt werden, die zu einer kritischen Belastung der Tragflächen führen können, dann werden solche Eigenschwingungen durch Betätigung von Steuerflächen gedämpft.
Ein zweites Paar von "ersten" Rechnern 102 und 104 dient ebenfalls der Flugregelung.
Ein Paar von "zweiten" Rechnern 106 und 108 dient der Flugführung ("Flight Guidance Envelope"). Dazu gehören die Autopilotfunktionen, also beispielsweise die Vorgabe eines bestimmten Kurses oder eines Steig- oder Sinkwinkels. Ferner gehört zu dieser Flugführung die Funktion des "Flight-Directors", also die Anzeige der Abweichung von einem Leitstrahl beim Landeanflug, wobei diese Abweichung dann vom Piloten manuell korrigiert wird. Schließlich gehören zu der Flugführung die "Envelope-Steuerung- und Überwachung", also die Führung des Flugzeuges innerhalb eines räumlichen "Toleranz­ schlauches".
Die zweiten Rechner sind zusätzlich aber auch für die Funktion des Flugreglers, wie die ersten Rechner, programmiert. Sie können im Bedarfsfall auf diese Funktion umgeschaltet werden und dann die Funktion eines ausgefallenen Paares von "ersten" Rechnern übernehmen.
Schließlich ist noch ein weiteres Paar von "zweiten" Rechnern 110 und 112 vorgesehen.
Die Rechner erhalten Signale von Sensoren über Eingabe- Ausgabe-Einheiten und liefern Ausgangsdaten, z. B. Steuer­ befehle für die Stellmotoren oder Informationen für ein Bediengerät 114 im Cockpit des Flugzeuges, über diese Eingabe-Ausgabe-Einheiten. Den Rechnerpaaren 98, 100 und 106, 108 sind drei Eingabe-Ausgabe-Einheiten 116, 118 und 120 zugeordnet. Den Rechnerpaaren 102, 104 und 110, 112 sind drei Eingabe-Ausgabe-Einheiten 122, 124 und 126 zugeordnet. Jede der Eingabe-Ausgabe-Einheiten 116, 118 und 120 ist mit jedem der Rechner 98, 100, 106 und 108 verbunden. Jede der Eingabe-Ausgabe-Einheiten 122, 124 und 126 ist mit jedem der Rechner 102, 104, 110 und 112 verbunden. Ausgangssignale werden von den Eingabe-Ausgabe-Einheiten 118 und 120 parallel abgegriffen. Ebenso werden Ausgangssignale von den Eingabe-Ausgabe-Einheiten 124 und 126 abgegriffen. Die Eingabe-Ausgabe-Einheiten 116 und 122 liefern keine Ausgangssignale.
Die Rechner jedes Paares, z. B. 98 und 100, überwachen sich gegenseitig. Sie sind zu diesem Zweck miteinander ver­ bunden, wie in Fig. 3 dargestellt ist. Wenn ein Rechner ausfällt, so daß seine Ausgangsdaten von denen des anderen Rechners des Paares abweichen, dann wird das gesamte Paar von Rechnern abgeschaltet. Seine Funktion wird von einem anderen Paar übernommen. Der Aufbau der Rechneranordnung ist in Fig. 3 im einzelnen dargestellt.
Zur Vermeidung systematischer Fehler, die durch Programm­ fehler, aber auch durch Fehler der Hardware auftreten können und die, weil sie an beiden Rechnern eines Paares auftreten würden, nicht entdeckt werden könnten, wird folgendermaßen vorgegangen.
Es sind für die gleichen Funktionen, nämlich hier für die Flugregelung und für die Flugführung zwei Rechnersysteme vorgesehen, die links und rechts der Trennlinie 128 dargestellt sind. Diese Rechnersysteme sind für jeweils gleiche Funktionen mit unterschiedlicher Hardware aufgebaut. Die Rechner jedes Paares sind mit untereinander gleicher Hardware aufgebaut, jedoch unterschiedlich, d. h. mit unterschiedlichen Programmiersprachen und durch verschiedene Programmiererteams programmiert. So ist der Rechner 98 mit einem Programm "A" für die Funktion "Flugregler" programmiert und der Rechner 100 mit einem Programm "B" ebenfalls für die Funktion "Flugregler". Der Rechner 108 ist mit einem Programm "A" für die Funktion "Flugführung" programmiert und zusätzlich für die Funktion "Flugregler". Der Rechner 106 ist mit einem Programm "B" ebenfalls für die Funktion "Flugführung" und zusätzlich für die Funktion "Flugregler" programmiert. In gleicher Weise ist, bei anderer Hardware, der Rechner 104 mit einem Programm "C" für die Funktion "Flugregelung" programmiert. Der Rechner 102 ist mit einem Programm "D" ebenfalls für die Funktion "Flugregelung" programmiert. Der Rechner 112 ist mit einem Programm "C" für die Funktion "Flugführung" programmiert und zusätzlich umschaltbar programmiert für die Funktion "Flugregler". Schließlich ist der Rechner 110 mit einem Programm "D" für die Funktion "Flugführung" und zusätzlich für die Funktion "Flugregelung" programmiert. Die zusätzliche Funktion kann sehr einfach durch einen zusätzlichen Programmbaustein in den Rechnern 108, 106, 112 und 110 implementiert werden.
Die Rechner 98 und 100 überwachen die Eingabe-Ausgabe- Einheiten 116, 118 und 120 anhand von Mehrheits­ betrachtungen. Wenn eine dieser Einheiten 116, 118 oder 120 ausfällt, dann weicht deren Eingangssignale von den Eingangssignalen der anderen beiden Einheiten um mehr als einen vorgegebenen Toleranzbereich ab. Die ausgefallene Eingabe-Ausgabe-Einheit wird dann abgeschaltet.
Wenn das Paar von Rechnern 98 und 100 eine Abweichung zwischen den Rechenergebnissen feststellt, schaltet sich das Paar von Rechnern 98 und 100 ab. Die Funktion dieses Paares von Rechnern wird dann von dem Paar von Rechnern 102 und 104 übernommen. Auch diese beiden Rechner 102,104 überwachen sich gegenseitig. Bei Ausfall dieses Paares von Rechnern 102, 104, wenn die Rechner Abweichungen der Rechenergebnisse feststellen, übernimmt das Paar von Rechnern 106 und 108 deren Funktion. Die Rechner 106 und 108 werden dabei auf das Programm "Flugregelung" umgeschaltet. Für die Funktion "Flugführung" ist dann nur noch ein Paar von Rechnern verfügbar. Diese Funktion ist aber im allgemeinen nicht so sicherheitsrelevant wie die Funktion Flugregelung. Wie oben schon gesagt wurde, wird eine Redundanz der Rechner für diese Funktion nur bei speziellen Flugmanövern, beispielsweise beim Landeanflug im Nebel, verlangt. Solche Flugmanöver müssen dann nach Ausfall der Rechner 98 bis 104 vermieden werden. Sollte auch das Paar von Rechnern 106, 108 ausfallen, dann wird dessen Funktion von dem Paar von Rechnern 110, 112, wieder nach Umschaltung auf das Programm "Flugregelung" über­ nommen. Die Funktion "Flugführung" kann der Pilot notfalls von Hand übernehmen.
Bei normalem Betrieb ist auch die Funktion "Flugführung" durch zwei Paare von sich gegenseitig überwachenden, dissimilaren Rechnern besetzt.

Claims (7)

1. Redundante Rechneranordnung für Steuersysteme, bei welcher
  • (a) eine Mehrzahl von Rechnern (98, 100, 106, 108) in redundanter Anordnung vorgesehen und mit Eingaben von Eingabe-Ausgabe-Einheiten (116, 118, 120) beaufschlagt sind, wobei durch gegenseitige Überwachung der Rechner ausgefallene Rechner eliminierbar sind,
  • (b) wenigstens ein erstes und ein zweites Paar von Rechnern (98, 100; 106, 108) vorgesehen sind, die mit gleichen Eingaben von den Eingabe-Ausgabe-Einheiten (116, 118, 120) beaufschlagt sind, wobei bei einer Abweichung der Ausgaben des einen und des anderen Rechners (98, 100) des ersten Paares eine Umschaltung auf die Rechner (106, 108) des zweiten Paares erfolgt,
  • (c) den beiden Paaren von Rechnern (98, 100; 106, 108) drei von den Rechnern getrennte Eingabe-Ausgabe- Einheiten (116, 118, 120) zugeordnet sind,
  • (d) jede der Eingabe-Ausgabe-Einheiten (116, 118, 120) mit jedem der Rechner (98, 100, 106, 108) direkt verbunden ist,
  • (e) die Rechner (98, 100, 106, 108) zur Erkennung und Eliminierung einer Eingabe-Ausgabe-Einheit (116, 118, 120) eingerichtet sind, deren Signale von denen der beiden anderen Eingabe-Ausgabe-Einheiten merklich abweichen.
2. Redundante Rechneranordnung nach Anspruch 1, dadurch gekennzeichnet, daß
  • (a) die Rechner des ersten Rechnerpaares (98, 100) für eine erste Funktion mit hohen Redundanzanforderungen vorgesehen sind,
  • (b) die Rechner des zweiten Rechnerpaares (106, 108) für eine Funktion mit geringeren Redundanzanforderungen vorgesehen sind,
  • (c) die Rechner des zweiten Rechnerpaares (106, 108) zusätzlich für die erste Funktion programmiert sind, und
  • (d) bei Ausfall eines Rechners des ersten Rechnerpaares (98, 100) wenigstens ein Rechner des zweiten Rechnerpaares (106, 108) mit der ersten Funktion einschaltbar ist.
3. Redundante Rechneranordnung nach Anspruch 2, dadurch gekennzeichnet, daß mehrere Paare von ersten Rechnern (98, 100; 102, 104) und mehrere Paare von zweiten Rechnern (106, 108; 110, 112) vorgesehen sind, wobei sich die Rechner jedes Paares gegenseitig kontrollieren und bei Abweichungen voneinander eine Ausschaltung des betreffenden Paares auslösen.
4. Redundante Rechneranordnung nach Anspruch 3, dadurch gekennzeichnet, daß die Rechner jedes Paares unterschiedlich programmiert sind.
5. Redundante Rechneranordnung nach Anspruch 4, dadurch gekennzeichnet, daß für jede Funktion Paare von Rechnern einer ersten Bauart und Paare von Rechnern einer zweiten, von der ersten dissimilaren Bauart vorgesehen sind.
6. Redundante Rechneranordnung nach Anspruch 2, dadurch gekennzeichnet, daß die erste Funktion die Flugregelung eines Flugzeugs umfaßt.
7. Redundante Rechneranordnung nach Anspruch 6, dadurch gekennzeichnet, daß die zweite Funktion die Flugführung des Flugzeugs umfaßt.
DE3906846A 1989-03-03 1989-03-03 Redundante Rechneranordnung für Steuersysteme Expired - Lifetime DE3906846C2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE3906846A DE3906846C2 (de) 1989-03-03 1989-03-03 Redundante Rechneranordnung für Steuersysteme
FR9002843A FR2643995B1 (fr) 1989-03-03 1990-03-02 Dispositif calculateur pour des systemes de commande

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE3906846A DE3906846C2 (de) 1989-03-03 1989-03-03 Redundante Rechneranordnung für Steuersysteme

Publications (2)

Publication Number Publication Date
DE3906846A1 DE3906846A1 (de) 1990-09-06
DE3906846C2 true DE3906846C2 (de) 1994-02-17

Family

ID=6375475

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3906846A Expired - Lifetime DE3906846C2 (de) 1989-03-03 1989-03-03 Redundante Rechneranordnung für Steuersysteme

Country Status (2)

Country Link
DE (1) DE3906846C2 (de)
FR (1) FR2643995B1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19531923B4 (de) * 1995-08-16 2004-05-06 Siemens Ag Einrichtung zur Realisierung von safe-life-Funktionen

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5493497A (en) * 1992-06-03 1996-02-20 The Boeing Company Multiaxis redundant fly-by-wire primary flight control system
US7017861B1 (en) 2000-05-22 2006-03-28 Saab Ab Control system for actuators in an aircraft
GB0127254D0 (en) * 2001-11-13 2002-01-02 Lucas Industries Ltd Aircraft flight surface control system
US7337044B2 (en) * 2004-11-10 2008-02-26 Thales Canada Inc. Dual/triplex flight control architecture
FR2941912B1 (fr) * 2009-02-10 2011-02-18 Airbus France Systeme de commande de vol et aeronef le comportant
DE102017010716A1 (de) 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems
GB1560554A (en) * 1976-03-10 1980-02-06 Smith Industries Ltd Control systems
DE2701925C3 (de) * 1977-01-19 1981-10-15 Standard Elektrik Lorenz Ag, 7000 Stuttgart Fahrzeugsteuerung mit zwei Bordrechnern
US4327437A (en) * 1980-07-30 1982-04-27 Nasa Reconfiguring redundancy management
WO1984000071A1 (en) * 1982-06-16 1984-01-05 Boeing Co Autopilot flight director system
DE3381526D1 (de) * 1983-02-09 1990-06-07 Ibm Verfahren zum erhalten der einigung mehrfacher rechner zum vermeiden von fehlern.
US4654846A (en) * 1983-12-20 1987-03-31 Rca Corporation Spacecraft autonomous redundancy control
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
US4635184A (en) * 1984-12-17 1987-01-06 Combustion Engineering, Inc. Distributed control with mutual spare switch over capability
DD247535A1 (de) * 1986-03-31 1987-07-08 Werk Signal Sicherungstech Veb Schaltungsanordnung fuer die steuerung sicherer prozessperipherie

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19531923B4 (de) * 1995-08-16 2004-05-06 Siemens Ag Einrichtung zur Realisierung von safe-life-Funktionen

Also Published As

Publication number Publication date
FR2643995B1 (fr) 1995-05-05
DE3906846A1 (de) 1990-09-06
FR2643995A1 (fr) 1990-09-07

Similar Documents

Publication Publication Date Title
DE60202924T2 (de) Flugzeugsteuerungssystem
DE69305112T2 (de) Primäres mehrachsig redundantes vollelektrisches Flugsteuersystem
DE3638821C2 (de)
EP2435308B1 (de) Flugzeug mit einem hochauftriebssystem
DE4316886C2 (de) Kabinendruckregelanlage für Flugzeuge
EP3563527B1 (de) Flugsteuersystem
EP0616941B1 (de) Anordnung zur Verhinderung des selbsttätigen Öffnens einer nicht ordnungsgemäss geschlossenen und verriegelten Tür oder Klappe im Flugzeugrumpf
DE3613197A1 (de) Luftfahrtelektroniksteuer- bzw. -regelsystem
DE3137157A1 (de) Regler fuer eine doppelservoanlage
DE102013013340A1 (de) Klappensystem für ein Flugzeughochauftriebsystem oder eine Triebwerksaktuation und Verfahren zur Überwachung eines Klappensystems
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE102011115362A1 (de) Modulares elektronisches Flugsteuerungssystem
DE3600092C2 (de)
DE102006039671A1 (de) Modulares elektronisches Flugsteuerungssystem
DE60111303T2 (de) Flugzeug mit elektrischer Flugsteuerung, versehen mit einem Autopilotsystem
DE102005008556A1 (de) Steuervorrichtung für Flugzeuge
DE3906846C2 (de) Redundante Rechneranordnung für Steuersysteme
DE3106848A1 (de) "steuereinrichtung fuer hubschrauber"
EP2449288B1 (de) Elektromechanische linearstelleinheit
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
DE102011115356A1 (de) Flugsteuerungssystem sowie ein Bussystem für ein Flugzeug
DE1481514A1 (de) UEberzaehlig ausgestattetes Steuersystem
DE102011115360A1 (de) Elektronisches Flugsteuerungssystem
DE102011115318B4 (de) Flugsteuerungssystem
DE3632068C2 (de)

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DIEHL BGT DEFENCE GMBH & CO. KG, 88662 UBERLINGEN,

8327 Change in the person/name/address of the patent owner

Owner name: DIEHL AVIONIK SYSTEME GMBH, 88662 UBERLINGEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: DIEHL AEROSPACE GMBH, 88662 UBERLINGEN, DE