[go: up one dir, main page]

DE2710466A1 - Steuersystem zur fehlerueberwachung - Google Patents

Steuersystem zur fehlerueberwachung

Info

Publication number
DE2710466A1
DE2710466A1 DE19772710466 DE2710466A DE2710466A1 DE 2710466 A1 DE2710466 A1 DE 2710466A1 DE 19772710466 DE19772710466 DE 19772710466 DE 2710466 A DE2710466 A DE 2710466A DE 2710466 A1 DE2710466 A1 DE 2710466A1
Authority
DE
Germany
Prior art keywords
computer
control
control system
computers
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19772710466
Other languages
English (en)
Inventor
James Frederick Meredith
Brian Williams
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Smiths Group PLC
Original Assignee
Smiths Group PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Smiths Group PLC filed Critical Smiths Group PLC
Publication of DE2710466A1 publication Critical patent/DE2710466A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Patentanwalt
Augsburg 31 ■ Postfach 242
Rehli ngcnst ralle 8 Telefon: 0821/36015 Postscheckkonto: München Nr 1547 89-801
7308/70/Ch/Fr
Augsburg, 9. März 1977
SMITHS INDUSTRIES LIMITED Cricklewood Works GB-London NW2 60N, England
Steuersystem zur Fehlerüberwachung
Die Erfindung betrifft ein Steuersystem zur Fehlerüberwachung mit mindestens zwei Steuerkanälen zur digitalen Datenverarbeitung, deren nominell-äquivalente Ausgänge zur Bestimmung des Vorhandenseins eines Fehlers miteinander verglichen werden. Derartige Steuersysteme finden in erster Linie als Flugsteuersysteme Anwendung.
In einem derartigen System sind zwei oder mehrere Steuerkanäle vorgesehen, wobei der Ausgang jedeft Kanals als Steuerausgang zu dienen vermag. Die Kanäle arbeiten zusammen und ergeben somit einen hohen Grad von Redundanz, wodurch sichergestellt ist, daß auch bei Auftreten von Fehlern im System eine korrekte Arbeitsweise bzw. Steuerung gewährleistet ist.
709837/0966
7308/70/Ch/Fr - / - 9. März 1977
Wie schon eingangs erwähnt, werden derartige Systeme für Flugzeugsteuerungen verwendet. Die zu verarbeitenden digitalen Daten werden in jedem von drei oder mehr Kanälen verarbeitet und die einzelnen Ausgänge der Kanäle werden miteinander verglichen, wodurch festgestellt werden kann, ob ein Fehler in einem der Kanäle vorhanden ist. Derartige Systeme weisen somit einen hohen Grad an Sicherheit gegenüber dem Ausfall von Bauteilen auf, da die Wahrscheinlichkeit, daß Fehler zur gleichen Zeit in verschiedenen Kanälen auftreten, relativ gering ist.
Die Einführung digitaler Rechentechniken bei derartigen Mehrkanalsystemen führt jedoch zu Problemen bezüglich der Erfassung von Fehlern. Eine digitale Rechenverarbeitung erfordert die Verwendung komplizierter logischer Schaltkreise, wie beispielsweise NAND-Gatter, NOR-Gatter und Schieberegistern. Bei der Auslegung derartiger logischer Schaltkreise und der Verbindungen dieser Schaltkreise miteinander besteht die Gefahr, daß zusätzliche unbeabsichtigte logische Funktionen erzeugt werden. Beispielsweise besteht die Möglichkeit, daß bestimmte digitale Datendarstellungen in Kombination mit bestimmten Befehlen im Programm zur Steuerung der Arbeitsweise des Verfahrens in einer unerwarteten Weise miteinander zusammenwirken und sich gegenseitig beeinflussen. Als Folge davon entsteht die Gefahr einer Fehlfunktion, die nicht das Ergebnis eines fehlerhaften Bauteils ist, sondern das Resultat eines latenten Auslegungsfehlers allein oder in Kombination mit der Wirkung irgendwelcher Bauteiletoleranzen. Weisen alle Steuerkanäle die gleiche Auslegung auf und arbeiten diese Kanäle nach dem gleichen Programm, dann wurden sie alle die gleiche Fehlfunktion haben, was
709 837/0986
7308/70/Ch/Fr "/" 9. März 1977
fr
wiederum bedeutet, daß ein Vergleich der Ausgänge der Kanäle nicht zur Auffindung dieser Fehlfunktionen führt. Eine Fehlfunktion, die alle Kanäle betrifft, wird als gemeinsame Fehlfunktion bezeichnet.
Ein Analogsystem kann zur Eliminierung unerwarteter Resultate dadurch getestet werden, indem die Arbeitsweise für verschiedene Werte Jedes Eingangssignals von einem Extremzum anderen Extremwert geprüft wird und sodann aufgrund dieser Prüfung die Linearität des Systems überprüft wird, wobei die Zwischenwerte dann jeweils dieser Linearität zu folgen haben. Bei digital verarbeitenden Systemen jedoch begrenzt die diskontinuierliche Natur der digitalen Signale einen solchen Vergleich. Die gegenseitige Beeinflussung irgendeiner Kombination digitaler Daten und des Programms ist unterschiedlich zu der gegenseitigen Beeinflussung bei Vorliegen einer anderen Kombination. Der einzige Weg, eine richtige Arbeitsweise zu überprüfen, damit das System auch eine sichere Arbeitsweise aufweist, besteht darin, alle möglichen Kombinationen digitaler Daten und Programmbefehle zu prüfen. Hierbei können jedoch mehrere Millionen Kombinationen auftreten, so daß derartige Testprogramme sehr zeitraubend sind.
Es besteht daher die Aufgabe, das Steuersystem so auszubilden, daß Fehlfunktionen der vorgenannten Art leicht aufgefunden werden können, ohne daß die Notwendigkeit besteht, sehr lange Testprogramme mit dem System durchzuführen.
Gelöst wird diese Aufgabe mit den Merkmalen des Anspruches 1. Vorteilhafte Ausgestaltungen sind den Unteransprüchen entnehmbar.
709837/096 6
7308/70/Ch/Fr - / - 9. März 1977
Bei einem derartigen Steuersystem entsteht der Vorteil, daß selbst wenn eine der digitalen Datendarstellungen in einem der Kanäle fehlerhaft verarbeitet wird, der andere Kanal nicht die gleiche Fehlfunktion aufweist. Dies wird dadurch erreicht, weil der andere Steuerkanal nicht die gleiche Darstellung dieser Datenwerte enthält, so daß einer der Gründe für eine Fehlfunktion in diesem anderen Steuerkanal nicht vorhanden ist. Folglich tritt in beiden Steuerkanälen nicht gleichzeitig die gleiche Fehlfunktion auf.
Die gleichen Datenwerte können in den beiden Kanälen dargestellt werden durch digitale Darstellungen, die sich in ihrem Sinn voneinander unterscheiden. Die Unterscheidung dem Sinne nach, welche die einzige Unterscheidung sein kann, kann erreicht werden durch einfaches Umdrehen der Leitungsverbindungen, die von einem Transducer oder einer anderen Signalquelle Signale zu den Kanälen führen. Alternativ oder zusätzlich können sich die digitalen Darstellungen der gleichen Daten in den beiden Kanälen in einem konstanten Verhältnis voneinander unterscheiden, beispielsweise im Verhältnis 1 : 2.
Die digitale Datenverarbeitung in einem oder mehreren weiteren Kanälen oder in einem Monitorkanal kann bei den gleichen Eingangs- bzw. Rückkopplungsdaten durchgeführt werden mit einer digitalen Datendarstellung, die sich sowohl von derjenigen des ersten als auch von derjenigen des zweiten Kanals unterscheidet.
709837/0966
- / - 9. März 1977
Zwei Ausführungsbeispiele der Erfindung in Anwendung auf ein Flugsteuersystem werden nachfolgend anhand der Zeichnungen erläutert. Es zeigen:
Die Fig. 1 zusammengefügt ein Blockschaltbild eines ersten Flugsteuersystems und
Fig. 3 ein Blockschaltbild eines weiteren Flugsteuersystems.
Das erste beschriebene System ist Teil eines Doppelgegenflugsteuersystems, welches die konventionellen mechanischen Verbindungen zwischen dem Piloten und den beweglichen Rudern des Flugzeugs ersetzt. Die Steuerbewegungen des Piloten werden mittels elektrischer Transducer abgetastet, welche elektrische Signale erzeugen, welche repräsentativ für diese Bewegungen sind. Die Stellungen der Ruder und die Bewegungen des Flugzeugs werden in ähnlicher Weise abgetastet, wodurch zwei weitere Signalgruppen erzeugt werden. Diese drei Signalgruppen werden einem Rechner zugeführt, der die elektrischen Steuersignale zur Betätigung der Ruder in Übereinstimmung mit den Steuerbefehlen des Piloten errechnet. Die Steuerbefehle des Piloten und die Ruder sind somit lediglich durch elektrische Schaltkreise miteinander verbunden. Die Steuerung des Flugzeuges und damit auch seine Sicherheit hängt wesentlich von der Zuverlässigkeit dieser Schaltkreise ab.
In den Fig. 1 und 2 werden die Höhenruder 10 des Flugzeuges betätigt durch zwei Hydraulikzylinder 11 und 12, die miteinander und mit den Höhenrudern 10 durch ein gemeinsames Gelenk 13 verbunden sind. Die Hydraulikflüssig-
709837/096 6
2710A66
- Jf - 9. März 1977
keit wird den Zylindern 11 und 12 über Ventile 14 und 15 zugeführt, die miteinander über ein Gelenk 16 mechanisch verbunden sind. Die Stellung der Ventile 15 und 16 wird bestimmt durch zwei Sätze von jeweils drei Servoventilbetätigungsgliedern 17 bis 19 und 20 bis 22. Ein Satz von jeweils drei Betätigungsgliedern zum Antrieb jedes der Ventile 14 und 15 ist vorgesehen, damit, falls eines der drei Betätigungsglieder oder die zugehörige Steuerschaltung ausfällt, eine Unterbrechung dieses Betätigungsgliedes nicht erforderlich ist, da die beiden verbleibenden Betätigungsglieder des Satzes zusammen mit den drei Betätigungsgliedern des anderen Satzes ausreichend Kraft erzeugen, die Wirkung des fehlerhaften Betätigungsgliedes zu überwinden.
Die Stellung der Gelenkverbindung 13 wird abgetastet durch vier Meßwertumwandler 23 bis 26, von denen jeder ein Analogsignal in Übereinstimmung der Stellung erzeugt, wobei dieses Analogsignal jeweils einem der vier Flugsteuerrechner 27 bis 30 zu'geführt wird. Die Flugsteuerrechner 27 bis 30 erhalten weiterhin nominell-identische analoge Signale in Übereinstimmung der Steuerknüppelbefehle, welche von den vier Meßwertwandlern 31 bis 34 abgegeben werden. Diese vier Meßwertwandler 31 bis 34 sind mit dem Steuerknüppel verbunden. Weitere nominell"identische Analogsignale, im vorliegenden Fall in Übereinstimmung mit der Flugbewegung des Flugzeugs, insbesondere die Höhenänderungsgeschwindigkeit, werden den Computern 27 bis 30 von vier Gebern 35 bis 38 zugeführt.
709837/0966
- 7 - 9. März 1977
/IO
Die vier Steuerrechner 27 bis 30 erzeugen in Abhängigkeit der Eingangs- und Rückkopplungssignale, welche analoge Signale sind, Steuersignale zur Betätigung der Betätigungsglieder 17, 18, 21 und 22 zur Betätigung der Höhenruder 10 in Übereinstimmung mit dem Steuerbefehl des Piloten. Jeder der Rechner 27 bis 30 weist einen Analog-Digitalumsetzer 100 auf, dem die Eingangssignale zugeführt werden, wobei diese Signale dem Umsetzer über einen Multiplexer 101 in zyklischer Folge zugeführt werden. Der Umsetzer 100 führt entsprechende Digitaldarstellungen einer Prozeßeinheit 102 des Rechners zu. Die Einheit 102 jedes Rechners erhält nicht nur Digitaldarstellungen der Eingangs- und Rückkopplungsdaten vom Umsetzer 100 des gleichen Rechners, sondern erhält auch die nominell—identisehen digitalen Darstellungen der gleichen Daten von den Umsetzern 100 der anderen drei Rechner. Jede Einheit 102 arbeitet in Übereinstimmung mit einem gespeicherten Programm zur Errechnung eines Digitalbefehls, abhängig von den Eingangs- und Rückkopplungsdaten. Zum Zwecke der Berechnung wird der Wert jedes verarbeiteten Datums abgeleitet in Übereinstimmung mit einem Vermischungsprozeß eines Satzes von vier nominal-identischen Darstellungen des gleichen Datums. Jede Einheit 102 ist also so programmiert, daß für jeden Satz von vier digitalen Darstellungen bestimmt wird, ob einer der Werte außerhalb der Grenzen liegt, die von den zulässigen Toleranzen dieses Werts bestimmt werden. Ist dies nicht der Fall, dann wird zur Erzeugung eines digitalen Befehls eine Digitaldarstellung herangezogen, die zwischen den Extremwerten der vier Signalwerte liegt. Liegt einer der Signalwerte außerhalb der vorgenannten Grenzen, dann wird dieser Signalwert ausgeschieden und nicht berücksichtigt bei der Ableitung der Zwischenwertdarstellung.
709837/0966
- jf - 9. März 1977
AA
Ein Signal in Übereinstimmung mit dem digitalen Steuerbefehl, der von der Einheit 102 jedes Steuerrechners 27 bis 30 errechnet wurde, wird über einen Digital-Analogumsetzer 103 einem Sample-and -Hold-Schaltkreis 104· und direkt zwei digitalen Datenübermittlungsschaltkreisen 105 und 106 zugeführt. Der Ausgang des Schaltkreises 104· wird in einem Verstärker 107 verglichen mit einer Darstellung der Stellung der beiden Ventile 14 und 15. Zu diesem Zwecke sind vier Meßwertumwandler 39 bis hl mit dem Gelenk 16 verbunden, die den Verstärkern 107 der vier Rechner 27 bis 30 Analogsignale zuführen, welche repräsentativ sind für die Stellung der Ventile lh und 15 und damit für die Bewegung der Zylinder 11 und 12. Die Ausgangssignale der Verstärker 107 der vier Rechner 27 bis 30 geben damit den Lagefehler der Ventile lh und 15 an. Diese Fehlersignale werden den Betätigungsgliedern 17, 18, 20 und 21 zugeführt und zwar in einem solchen Sinne, daß dieser Fehler korrigiert wird, was bewirkt, daß die Zylinder 11 und 12 betätigt werden und die Höhenruder 10 über das Gelenk 13 so angetrieben werden, daß die Veränderungsgeschwindigkeit dem Steuerbefehl des Piloten entspricht.
Die Ausgangssignale der digitalen Datenübermittlungsschaltkreise 105 der Steuerrechner 27 bis 30 werden einzelnen digitalen Datenempfängern 110 bis 113 eines digitalen Monitorrechners h3 zugeführt. Die Ausgangssignale der Übermittlungsschaltkreise 106 der vier Steuerrechner 27 bis 30 werden entsprechenden digitalen Datenempfängern 110 bis 113 eines digitalen Monitorrechners hh zugeführt. Die von den Empfängern 110 bis 113 empfangenen digitalen Signale jedes Rechners h3 und hh werden miteinander verglichen, um festzustellen, ob eines dieser Signale be-
709837/0966
9. März 1977
trächtlich unvereinbar ist mit den anderen. Zu diesem Zweck weist jeder Rechner 43 und 44 eine digitale Prozeßeinheit 114 auf, welche gemäß einem gespeicherten Programm die vier Signale miteinander vergleicht und von ihnen ein repräsentatives Signal ableitet. Dieses repräsentative Signal hat einen Wert in Übereinstimmung mit einer Vermischung der vier Signale. Liegt eines der Signale außerhalb des Bereichs der drei anderen Signale, dann wird dieses Signal bei der Mittelwertbildung nicht berücksichtigt. Dieses repräsentative Signal wird über einen Digitalanalogumsetzer 115 einem Sample-and-Hold-Schaltkreis 116 zugeführt und in einem Verstärker 117 verglichen mit einer Darstellung der Stellung der beiden Ventile 14 und 15. Zu diesem Zweck sind zwei Meßwertumwandler 45 und 46 entsprechend den Meßwertwandlern 39 bis 42 mit dem Gelenk 16 verbunden. Diese Meßwertumwandler 45 und 46 führen den Verstärkern 117 der beiden Rechner 43 und &4 Analogsignale entsprechend der Stellung der Ventile 14 und 15 zu. Das resultierende Fehlersignal wird den Betätigungsgi iedem 19 und 22 zugeführt, entsprechend den Fehlersignalen der Verstärker 107 in Bezug auf die Betätigungsglieder 17, 18, 20 und 21.
Tritt ein Bauteilefehler in einem der vier Steuerrechner 27 bis 30 auf, der bewirkt, daß dieser Rechner ein Steuersignal erzeugt, welches nicht in Übereinstimmung steht mit den Steuersignalen, die die anderen drei Rechner erzeugen, dann wird, wie bereits oben erwähnt wurde, dieses Steuersignal von der Prozeßeinheit 114 erfaßt und von der durchzuführenden Rechnung ausgeschlossen. Deshalb befinden sich die Steuersignale, die den Betätigungsgliedern 19 und 22 zugeführt werden, im wesentlichen in Übereinstimmung mit
709837/0966
- ίο -
- 9. März 1977
/3
den Steuersignalen, die drei der vier Betätigungsglieder 17, 1Θ, 20 und 21 zugeführt werden. Die Stellungssteuerung des Ventils Ik oder 15 vom fehlerhaften Steuerrechner wird damit unterdrückt durch den anderen Steuerrechner und den Monitorrechner, die in Übereinstimmung miteinander wirken zur Steuerung des gleichen Ventils und ihre diesbezügliche Arbeitsweise wird erleichtert durch die beiden Steuerrechner und den Monitorrechner, die das andere Ventil steuern.
Die Wahrscheinlichkeit, daß mehr als einem der Rechner bis 30 der gleiche Bauteilefehler gleichzeitig auftritt, ist sehr gering, diese Wahrscheinlichkeit liegt in jedem Fall in den normal akzeptablen Grenzen des Fehlerbestands. Es verbleibt jedoch die Möglichkeit, daß einige spezielle Werte des Eingangssignals eine Digitaldarstellung bei den Steuerrechnern 27 bis 30 ergeben, die in Verbindung mit der.programmierten Arbeitsfolge innerhalb der digitalen Prozeßeinheit 102 eine Fehlfunktion bewirken. Eine solche Fehlfunktion kann beispielsweise auftreten, wenn bei der Aufstellung des Rechenprogramms für die Steuerrechner 27 bis 30 sich ein Fehler eingeschlichen hat, der zu einer nicht kategorlerten und falschen Wechselbeziehung zwischen dem Programm und den von den Eingangssignalen abgeleiteten Daten führt.
Die Steuerrechner 27 bis 30 weisen üblicherweise etliche tausend elektrische Schaltkreise auf und das bei den Rechnern verwendete Rechenprogramm besteht üblicherweise aus einigen tausend Rechenschritten. Falls irgendeiner der Schaltkreise während irgendeiner Rechnung nicht richtig arbeitet, dann wird das Ergebnis der Gesamtrechnung fehlerhaft. Die Praxis hat gezeigt, daß die Möglichkeit ei-
709837/0966
- - 9. März 1977
ner fehlerhaften Rechnerarbeitsweise in jedem Fall gegeben ist, selbst wenn der Rechner in allen anderen Bezügen korrekt ausgelegt ist und ihm Signale zugeführt werden, die für eine korrekte Arbeitsweise geeignet sind. Dies kann auftreten beispielsweise bei Umständen, wo eine Vielzahl komplizierter Schaltkreisverbindungen innerhalb des Rechners zu einer bei der Auslegung nicht beabsichtigten gegenseitigen Beeinflussung mit Schaltkreisen führt, die jedoch nur dann auftritt, wenn eine bestimmte Kombination von Binärdatensignalen erzeugt wird aufgrund eines bestimmten .Programmbefehls, wenn die Rechnerschaltkreise sich in einer bestimmten Kombination ihrer elektrischen Zustände befinden. Die Möglichkeit, daß dies auftritt, beträgt 1 : vielen Millionen und es ist praktisch unmöglich, die Auslegung der Rechner und das Programm von auf derartige gegenseitige Beeinflussungen zu testen.
Bei dem System gemäß den Fig. 1 und 2 sind alle vier Steuerrechner 27 bis 30 gleich ausgelegt und arbeiten nach dem gleichen Programm, so daß alle vier Steuerrechner 27 bis 30 die gleichen Fehlfunktionen ausführen würden, die somit nicht von den beiden Monitorrechnern ^3 und 4Ί· erfaßt werden wurden.
Es sind somit Vorkehrungen zu treffen, welche derartige Fehl funktionen vermeiden. Zu diesem Zweck werden die Eingangssignale zu den Steuerrechnern 29 und 30 in umgekehrter Richtung zugeführt in Bezug auf die Eingangssignale, die den Steuerrechnern 27 und 28 zugeführt werden. Um dies zu erreichen, werden die Verbindungen von den Meßwertumwandlern 25, 26, 33 und 3k und von den Sensoren 37 und 38 zu den Steuerrechnern 29 und 30 umgekehrt im Vergleich zu
709837/0966 ,-. .
9. März 1977
Α$
den Verbindungen zwischen den Meßwertumwandlern 23, 24-, 31 und 32 und den Sensoren 35 und 36 zu den Rechnern und 28. In den Zeichnungen ist die Umkehrung durch die Kreuze R und die Direktruführung durch die nicht gekreuzten Linien D dargestellt. Dies stellt sicher, daß die Binärzahlen zur Darstellung der gleichen Größe in zwei Rech· nerpaaren 27 und 28 bzw. 29 und 30 unterschiedlich ist. Die Weise, in welcher diese Differenz entsteht, kann demonstriert werden bei der Erläuterung des "Twos-Complement" Achtdigitbinärzahlensystems in Tabelle
Die Tabelle I verdeutlicht die Umdrehung des Vorzeichens ohne Änderung der Größe, was zur Änderung mindestens eines der binären Digits der Darstellung führt. Bei der Binärdarstellung von + 6b und -6k unterscheiden sich die Werte an den ersten Stellen.
Tabelle I
01111111 = +127
01111110 = +126
01111101 = +125
01000001 = +65
01000000 = +64
00111111 = +63
00000001 = +1
00000000 = 0
11111111 = -1
11000001 = -63
11000000 = -6k
10111111 = -65
10000001 = -127
10000000 = -128
709837/0966
- 13 -
9. März 1977
Obwohl die Steuerrechner 27 bis 30 alle die gleichen nominell identischen Eingangs- und Rückkopplungsdaten erhalten und diese verarbeiten, so arbeiten doch die Steuerrechner 29 und 30 mit Kombinationen von Binärdigits, die sich unterscheiden von denjenigen der Steuerrechner 27 und 28. Die Differenz von nur einem Digit infolge der Umdrehung des Vorzeichens ist ausreichend, daß Fehlfunktionen der gleichen Art in den vier Rechnern 27 bis 30 gleichzeitig auftreten.
Die Zeichenumkehr bei den Steuerrechnern 29 und 30 bedingt eine Zeichenumkehr bei der analogen Signalverbindung von den Meßumformern 41 und 42 zu den Verstärkern 107 der Rechner 29 und 30. Weiterhin wird eine Zeichenumkehr bewirkt in der Verbindungsleitung zwischen den Verstärkern 107 und den Betätigungsgliedern 20 und 21. Bei.den Signalen von den Meßwertumwandlern 39 und 40 und zu den Betätigungsgliedern 17 und 18 in Bezug auf die Verstärker 107 der Rechner 27 und 28 findet eine solche Zeichenumkehr nicht statt. Die von den Einheiten 102 der Steuerrechner 27 bis 30 ausgeführten Mittelwertbildungen und die Mittelwertbildungen in den Einheiten 114 der Monitorrechner 43 und 44 kompensieren automatisch die Zeichenumkehr, die zwischen einem Paar und dem anderen der zu vergleichenden digitalen Darstellungen besteht. Bei der Vermischung werden die jeweiligen Vorzeichen dazu verwendet, die Differenz der digitalen Darstellungen zu erhalten, wie zwischen verschiedenen Paaren von Rechnern 27 bis 30.
709837/0966
9. März 1977
Eine Fehlfunktion in jedem der Rechner 27 bis 30 äußert sich im wesentlichen auf zwei Arten: entweder in einer abrupten Änderung im Programmzyklus des Computers, beispielsweise indem dieser in einen Kreis von Befehlen verfällt, oder in einem offensichtlich falschen Ausgangsbefehl, der beispielsweise darin bestehen kann, daß das Höhenruder plötzlich in eine Extremstellung bewegt werden soll.
Die digitalen Prozeßeinheiten 102 der Steuerrechner 27 bis 30 vollenden jeweils einen Rechenzyklus und erzeugen jeweils einen Ausgangsbefehl in Abständen zwischen 10 bis 20 Millisekunden. 3ede digitale Prozeßeinheit 114 der Monitorrechner 43 und 44 führen ihr diesbezügliches Programm des Vergleichs und der Prüfung der Ausgangsbefehle der Steuerrechner 27 bis 30 und der Erzeugung des eigenen Ausgangssignals im gleichen Zeitintervall aus. Auf diese Weise resultiert eine plötzliche Änderung in der Programmausführung infolge einer Fehlfunktion in irgendeinem der Steuerrechner 27 bis 30 in einem Synchronisierfehler in den Monitorrechnern 43 und 44. Die Monitorrechner 43 und 44 prüfen kontinuierlich, ob diese beiden Rechner und die einzelnen Steuerrechner 27 bis 30 synchron arbeiten. Weichen zwei der Steuerrechner 27 und 28 bzw. 29 und 30 gleichzeitig von dieser synchronen Arbeitsweise ab, ist dies gleichbedeutend mit einer Fehlfunktion in diesen zwei Rechnern. Die Monitorrechner 43 und 44 erfassen auch die Veränderungsgeschwindigkeit der von den Steuerrechnern 27 bis 30 erzeugten Steuerbefehle und wird hierbei festgestellt, daß ein Paar dieser Befehle eine extreme Veränderungsgeschwindigkeit aufweist, dann ist dies ebenfalls gleichbedeutend mit einer Fehlfunktion in einem der
709837/0966 _ 15
λΛ 9· März 1977
Αί
Rechnerpaare. Die Ausgangssignale der fehlerhaft arbeitenden Rechner 27 und 28 bzw. 29 und 30 werden entsprechend dem Monitorrechnerprogramm bei der Erzeugung der Steuersignale für die Betätigungsglieder 19 und 22 nicht berücksichtigt. Die von den fehlangesteuerten Betätigungsgliedern 17 und 18 bzw. 20 und 21 ausgeführten Steuerbewegungen werden unterdrückt bzw. überspielt durch die jeweils anderen vier Betätigungsglieder.
Es ist durchaus möglich, daß bei einer Fehlfunktion ein falsches Ausgangskommando erzeugt wird, welches keiner übermäßigen Veränderungsgeschwindigkeit entspricht und deshalb von den Monitorrechnern 43 und 44 nicht erfaßt wird. Im allgemeinen jedoch ist dann die resultierende Differenz zwischen den Steuersignalen, die von zwei Steuerrechnerpaaren erzeugt werden, nicht groß und führt daher nicht zu ernsten Folgen. Außerdem ist hierbei zu berücksichtigen, daß solche Fehler nur vorübergehender Natur sind und spätestens nach einigen Sekunden verschwinden.
Die Rechner 27 bis 30 und 43 und 44 werden dazu verwendet, die Quer- bzw. Seitenruder und die Höhenruder bei einem Flugzeug zu steuern. Zwischen den meisten Teilen dieser Computer und den drei Steuerfunktionen besteht eine Zeitbeziehung. Lediglich die sample-and-hold Schaltkreise 104 und die Verstärker 107 der Rechner 27 bis 30 und die entsprechenden sample-and-hold Schaltkreise 116 und die Verstärker 117 der Rechner 43 und 44 sind in diese Zeitbezogenheit nicht einbezogen.
709837/0966
- 16 -
y& 9. März 1977
Die Erfindung ist auch anwendbar auf andere Systeme als auf das im Zusammenhang mit Fig. 1 und 2 beschriebene Doppelgegenflugsteuersystem. Als Beispiel für ein weiteres System wird anhand der Fig. 3 ein zweikanaliges Rückkopplungssystem beschrieben.
Die Höhenruder 200 eines Flugzeugs werden in diesem Fall gesteuert von zwei Digitalrechnern 201 und 202. Die Rechner 201 und 202 erhalten nominell-identische Eingangssignale von den Meßwertwandlern 203 und 20A-. Diese Meßwertwandler übermitteln die Steuerbefehle des Piloten. Außerdem werden diesen Rechnern Signale von den Sensoren 205 und 206 zugeführt, die irgendeinen Flugzustand des Flugzeugs erfassen. Die Signale, die dem Rechner 202 zugeführt werden, werden bezüglich ihres Vorzeichens umgedreht gegenüber denjenigen Signalen, die zum Rechner 201 gelangen.
Die Ausgangssteuersignale der Rechner 201 und 202 werden Betätigungsgliedern 207 und 20Θ zugeführt, die die Höhenruder 200 betätigen. Außerdem werden diese Ausgangssteuersignale einem gemeinsamen Monitorrechner 209 zugeführt. Der Rechner 209 erhält Eingangssignale von einem Meßwertwandler 210 und einem Sensor 211 entsprechend den Meßwertumwandlern 203 und 204 und den Sensoren 205 und 206. Diese Signale jedoch werden dem Monitorrechner 209 jeweils über Teilerschaltkreise 212 und 213 mit einem Teilungsverhältnis von zwei zugeführt.
Die Eingabe der Stellung der Höhenruder von den Meßwertumwandlern 21fr und 215 in die Rechner 201 und 202 erfolgt ebenfalls mit einer Zeichenumkehr bezüglich des Rechners
709837/0966 _17_
7308/70/Ch/Fr _ yt - 9. März 1977
202. Die Eingabe der Iststellung der Ruder 200 über den Heßwertumwandler 216 in den Rechner 209 erfolgt wiederum über eine Teilerschaltung 217 mit einem Teilungsverhältnis von zwei.
Der Monitorrechner 209 führt die gleichen digitalen Rechenprogramme aus, wie sie ausgeführt werden in den Rechnern 201 und 202. Die Eingangs- und Rückkopplungssignalgrößen sind jedoch nur halb so groß wie bei den Rechnern
201 und 202 und zudem gegenüber denjenigen des Rechners
202 im Vorzeichen umgekehrt. Auf diese Weise wird erreicht, daß alle drei Rechner bei gleichen Eingangsdaten unterschiedliche Rechenoperationen infolge der unterschiedlich zu verarbeitenden Daten ausführen. Die Möglichkeit einer gleichzeitigen Fehlfunktion in zwei oder drei der Rechner 201, 202 und 209 ist somit praktisch nicht gegeben.
Der Monitorrechner 209 prüft, ob die Ausgangsbefehle der Steuerrechner 201 und 202 mit dem eigenen Ausgang übereinstimmen. Falls eine beträchtliche Abweichung festgestellt wird, wird der entsprechende Rechner 201 oder abgeschaltet bzw. bezüglich seiner Daten außer acht gelassen.
- 18 709837/096S Ansprüche

Claims (11)

  1. 7308/70/Ch/Fr 9· März 1977
    Ansprüche
    Steuersystem zur Fehlerüberwachung mit mindestens zwei Steuerkanälen zur digitalen Datenverarbeitung, deren nominell-äquivalente Ausgänge zur Bestimmung des Vorhandenseins eines Fehlers miteinander verglichen werden, dadurch gekennzeichnet, daß in den beiden Kanälen zur Verarbeitung der gleichen Daten verschiedene digitale Darstellungen verwendet werden.
  2. 2. Steuersystem nach Anspruch 1, dadurch gekennzeichnet , daß die gleichen Datenwerte, die zu den digitalen Darstellungen in den beiden Kanälen führen, sich voneinander in Bezug auf die Richtung (Vorzeichen) unterscheiden.
  3. 3. Steuersystem nach Anspruch 2, dadurch gekennzeichnet , daß mindestens zwei Meßwertumwandlersätze oder Sensorensätze vorgesehen sind, wobei jeder Satz einem der Kanäle Eingangssignale zuführt und daß die Signalleitungsverbindungen von einem der Sätze zum zugehörigen Kanal umgedreht ist in Bezug auf die Verbindung des anderen Satzes zu dem diesem Satz zugehörigen Kanal.
  4. 4. Steuersystem nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet , daß eine Vielzahl von Steuerkanalpaaren vorgesehen ist und daß die Digitaldarstellungen zwischen den einzelnen Paaren unterschiedlich sind.
    709837/0966 original inspected
    - 19 -
    7308/70/Ch/Fr - >* - 9. März 1977
  5. 5. Steuersystem nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet , daß die digitalen Darstellungen in mindestens einem der Kanäle Daten entspricht, die in einem konstanten Verhältnis zu den Daten stehen, die in den anderen Kanälen digital dargestellt werden, wobei alle Daten von den gleichen Ausgangsdaten abgeleitet sind.
  6. 6. Steuersystem nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet , daß ein Steuerbefehl einem ersten Rechner und ein dazu inverses Signal einem zweiten Rechner zugeführt wird, in den Rechnern die Signale digital verarbeitet werden und von einem digitalen Sollwert ein analoger Sollwert erzeugt wird, der jeweilige analoge Sollwert mit einem analogen Istwert verglichen wird zur Erzeugung eines ein Servo system beaufschlagenden Stellbefehls, wobei der dem zweiten Rechner zugeführte Istwert gegenüber demjenigen für den. ersten Rechner und der vom zweiten Rechner dem zugehörigen Servosystem zugeführte Stellbefehl gegenüber demjenigen des ersten Rechners invers ist.
  7. 7. Steuersystem nach Anspruch 6, dadurch gekennzeichnet, daß die digitalen Sollwerte miteinander verglichen werden.
  8. 8. Steuersystem nach Anspruch 7, dadurch gekennzeichnet, daß die digitalen Sollwerte zur Erzeugung eines mittleren Sollwertes in einem dritten Rechner herangezogen werden und dieser mittlere Sollwert mit einem Istwert verglichen wird zur Erzeugung eines ein Servosystem beaufschlagenden Stellbefehls.
    709 837/0966
    - 20 -
    7308/70/Ch/Fr - 20 - 9. März 1977
  9. 9. Steuersystem nach Anspruch 6, dadurch gekennzeichnet, daß der erste und der zweite Rechner jeweils aus Rechnerpaaren bestehen.
  10. 10. Steuersystem nach Anspruch 8 und 9, dadurch gekennzeichnet , daß der dritte Rechner aus einem Rechnerpaar besteht.
  11. 11. Steuersystem nach einem der Ansprüche 6 bis 10, dadurch gekennzeichnet , daß die einem Rechner bzw. Rechnerpaar zugeführten Steuerbefehle und analogen Sollwerte bezüglich ihrer Amplitude in einem konstanten Verhältnis zu den Amplituden der den anderen Rechnern zugeführten Steuerbefehle und Sollwerte stehen.
    709837/0966
DE19772710466 1976-03-10 1977-03-10 Steuersystem zur fehlerueberwachung Withdrawn DE2710466A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB9643/76A GB1560554A (en) 1976-03-10 1976-03-10 Control systems

Publications (1)

Publication Number Publication Date
DE2710466A1 true DE2710466A1 (de) 1977-09-15

Family

ID=9875968

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19772710466 Withdrawn DE2710466A1 (de) 1976-03-10 1977-03-10 Steuersystem zur fehlerueberwachung

Country Status (3)

Country Link
DE (1) DE2710466A1 (de)
FR (1) FR2344074A1 (de)
GB (1) GB1560554A (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4181945A (en) * 1977-01-19 1980-01-01 International Standard Electric Corporation High-reliability vehicle control system
US4198678A (en) * 1977-01-19 1980-04-15 International Standard Electric Corporation Vehicle control unit
DE3906846A1 (de) * 1989-03-03 1990-09-06 Bodenseewerk Geraetetech Redundante rechneranordnung fuer steuersysteme

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2939935A1 (de) * 1979-09-28 1981-04-09 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Sichere datenverarbeitungseinrichtung
GB2125189B (en) * 1982-07-20 1986-04-03 Lucas Ind Plc Automatic control for a limiting device using duplicated control circuits
US4722061A (en) * 1984-12-20 1988-01-26 United Technologies Corporation Establishing synthesis validity between two signal sources
GB2172722B (en) * 1985-03-22 1989-06-28 United Technologies Corp Backup control system (bucs)
US5128943A (en) * 1986-10-24 1992-07-07 United Technologies Corporation Independent backup mode transfer and mechanism for digital control computers
US4890284A (en) * 1988-02-22 1989-12-26 United Technologies Corporation Backup control system (BUCS)
DE3928456A1 (de) * 1989-08-29 1991-03-07 Nord Micro Elektronik Feinmech Verfahren und schaltungsanordnung zum bilden eines auswertungssignals aus einer mehrzahl redundanter messsignale

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2861744A (en) * 1955-06-01 1958-11-25 Rca Corp Verification system
US3320598A (en) * 1962-10-04 1967-05-16 Ampex Self-clocking complementary redundant recording system
US3931505A (en) * 1974-03-13 1976-01-06 Bell Telephone Laboratories, Incorporated Program controlled data processor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4181945A (en) * 1977-01-19 1980-01-01 International Standard Electric Corporation High-reliability vehicle control system
US4198678A (en) * 1977-01-19 1980-04-15 International Standard Electric Corporation Vehicle control unit
DE3906846A1 (de) * 1989-03-03 1990-09-06 Bodenseewerk Geraetetech Redundante rechneranordnung fuer steuersysteme

Also Published As

Publication number Publication date
FR2344074A1 (fr) 1977-10-07
GB1560554A (en) 1980-02-06

Similar Documents

Publication Publication Date Title
DE2710517A1 (de) Steuersystem mit zwei oder mehr kanaelen
DE2135366C2 (de) Steuereinrichtung zum Einstellen eines Steuerelementes in Abhängigkeit von elektrischen Steuersignalen
DE69607168T2 (de) Verfahren zur sensorfehlererkennung
DE2529964A1 (de) Automatisches flugsteuersystem
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE3928456A1 (de) Verfahren und schaltungsanordnung zum bilden eines auswertungssignals aus einer mehrzahl redundanter messsignale
DE3129313A1 (de) Adaptive flugzeugstellantriebsfehlererkennungsanordnung
DE2808792A1 (de) Positioniersystem
WO2000067080A1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE2710466A1 (de) Steuersystem zur fehlerueberwachung
DE2912107A1 (de) Zweikanal-servosteuersystem fuer luftfahrzeug-selbststeueranlagen
DE1952349B2 (de) Anordnung zur pruefung eines redundanten regelsystems
EP3563527A1 (de) Flugsteuersystem
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE3106848A1 (de) "steuereinrichtung fuer hubschrauber"
DE2441351C2 (de) Selbstprüfende Fehlerprüfschaltung
DE4022954C2 (de)
DE2730738C2 (de) Steuerung für eine druckmittelbetätigte Stellgliedanordnung
DE69110546T2 (de) Vorrichtung zur Erzeugung eines der Eingangsgrösse der Vorrichtung entsprechenden Stromes.
DE2315906A1 (de) Anordnung zur ueberwachung und steuerung eines redundanten elektrohydraulischen stellantriebs
DE3206849A1 (de) Redundante stelleranordnung
DE3238692A1 (de) Datenuebertragungssystem
DE102006039671A1 (de) Modulares elektronisches Flugsteuerungssystem
EP3565752A1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
DE3906846A1 (de) Redundante rechneranordnung fuer steuersysteme

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee