DE3906846A1 - Redundant computer arrangement for control systems - Google Patents

Redundant computer arrangement for control systems

Info

Publication number
DE3906846A1
DE3906846A1 DE3906846A DE3906846A DE3906846A1 DE 3906846 A1 DE3906846 A1 DE 3906846A1 DE 3906846 A DE3906846 A DE 3906846A DE 3906846 A DE3906846 A DE 3906846A DE 3906846 A1 DE3906846 A1 DE 3906846A1
Authority
DE
Germany
Prior art keywords
computers
input
output units
function
pair
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE3906846A
Other languages
German (de)
Other versions
DE3906846C2 (en
Inventor
Reinhard Wolfram Dr Reichel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Diehl Aerospace GmbH
Original Assignee
Bodenseewerk Geratetechnik GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bodenseewerk Geratetechnik GmbH filed Critical Bodenseewerk Geratetechnik GmbH
Priority to DE3906846A priority Critical patent/DE3906846C2/en
Priority to FR9002843A priority patent/FR2643995B1/en
Publication of DE3906846A1 publication Critical patent/DE3906846A1/en
Application granted granted Critical
Publication of DE3906846C2 publication Critical patent/DE3906846C2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0055Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements
    • G05D1/0077Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware

Abstract

A plurality of computers are provided which are in redundant arrangement. The computers receive inputs from input-output units, so that the computers can monitor each other, and failed computers can be eliminated. The input-output units (116, 118, 120, 122, 124, 126) are in the form of separate components from the computers. At least some of the input-output units (116, 118, 120, 122, 124, 126) are connected directly to more than one computer (98, 100; 102, 104). One computer (89) is also connected to a plurality of input-output units (116, 118, 120). A high degree of redundancy can thus be achieved with a minimum of hardware cost. <IMAGE>

Description

Technisches GebietTechnical field

Die Erfindung betrifft eine redundante Rechneranordnung für Steuersysteme, enthaltendThe invention relates to a redundant computer arrangement for control systems containing

  • a) eine Mehrzahl von Rechnern in redundanter Anordnung, die mit Eingaben von Eingabe-Ausgabe-Einheiten beaufschlagt sind, wobei durch gegenseitige Überwachung der Rechner ausgefallene Rechner eliminierbar sind.a) a plurality of computers in a redundant arrangement, those with inputs from input-output units are acted upon, by mutual Monitoring the computers failed computers can be eliminated.
Zugrundeliegender Stand der TechnikUnderlying state of the art

Bei Flugsteuersystemen wird ein hohes Maß an Zuverlässig­ keit verlangt. Bei Ausfall eines Bauteils muß das Flug­ steuersystem noch funktionsfähig bleiben. Für manche Funktionen des Flugsteuersystems, die für die Fliegbarkeit des Flugzeugs lebenswichtig sind, wird gefordert, daß auch nach Ausfall von zwei oder drei Bauteilen die Funktions­ fähigkeit des Flugsteuersystems noch gewährleistet ist. Aus diesem Grund werden Bauteile bei solchen Flugsteuer­ systemen vermehrfacht. Man spricht von einer redundanten Anordnung. Flight control systems become highly reliable demanded. If one component fails, the flight must control system still remain functional. For some Functions of the flight control system necessary for the flightability of the aircraft are vital, that is also required after two or three components fail, the function capability of the flight control system is still guaranteed. For this reason, components are used in such flight tax systems multiply. One speaks of a redundant Arrangement.  

Ähnliche Probleme treten auch bei anderen Steuersystemen auf, bei denen ein Ausfall des Steuersystems schwer­ wiegende Folgen haben kann, beispielsweise bei Robotern oder bei Kernkraftwerken.Similar problems also occur with other tax systems on where a failure of the tax system is severe can have serious consequences, for example with robots or at nuclear power plants.

Diese Forderung nach Funktionsfähigkeit nach Ausfall eines Bauteils gilt auch für Rechner, die in einem solchen Steuersystem verwendet werden. Bei digital arbeitenden Rechnern ergibt sich jedoch noch ein besonderes Problem: Die Rechner arbeiten nach einem recht komplizierten Programm. Es kann nicht ausgeschlossen werden, daß ein solches Programm Fehler aufweist, die nur bei einer ganz bestimmten Kombination von Zuständen in Erscheinung treten. Es ist nicht möglich, die Fehlerfreiheit eines Programmes zu beweisen. Ein Testen eines Programmes bei allen denkbaren Zuständen ist ähnlich unmöglich wie etwa das Durchspielen aller möglichen Spielverläufe eines Schachspiels. Wenn daher zwei Rechner gleicher Bauart (Hardware) mit gleichen Programmen redundant vorgesehen würden, dann würde ein Fehler, der durch einen Fehler des Programms bedingt ist, gleichzeitig bei beiden Rechnern auftreten. Ein solcher Fehler würde trotz redundanter Anordnung der Rechner nicht bemerkt werden.This requirement for functionality after a failure Component also applies to computers in such a Control system can be used. For digitally working However, computers still have a special problem: The computers work on a rather complicated Program. It cannot be ruled out that a such a program has errors that only occur with a whole certain combination of states in appearance to step. It is not possible to be error-free Programs to prove. Testing a program at all conceivable states are as impossible as, for example playing through all possible game progressions Chess game. So if two computers of the same type (Hardware) redundantly provided with the same programs would then be an error caused by an error of the Program is due to both computers at the same time occur. Such an error would be despite redundant Arrangement of the computers can not be noticed.

Dieses Problem wird dadurch gelöst, daß zwei einander überwachende Rechner unabhängig voneinander, üblicherweise mit unterschiedlichen Programmiersprachen und von verschiedenen Programmiererteams programmiert werden. Da die geforderten Operationen auf sehr viele verschiedene Weisen durch Programme durchführbar sind, und auch die unterschiedlichen Programmiersprachen unterschiedliche Programmierung bedingen, ist die Wahrscheinlichkeit dafür, daß ein Softwarefehler in beiden Rechnern gleichzeitig auftritt, extrem gering. Zusätzlich sind weitere Paare von einander überwachenden Rechnern vorgesehen, die von den vorerwähnten Rechnern auch in der Bauart (Hardware) abweichen und ebenfalls unabhängig von diesen und voneinander programmiert sind.This problem is solved by having two each other monitoring computers independently of each other, usually with different programming languages and from different programming teams can be programmed. There the operations required on many different Ways are feasible through programs, and so are the different programming languages different Conditional programming is the likelihood of that a software error in both computers at the same time occurs, extremely low. In addition, other pairs of monitoring computers provided by the  aforementioned computers also in the type (hardware) deviate and also independently of these and are programmed from each other.

Bei bekannten redundanten Rechneranordnungen gehört zu jedem Rechner eine Eingabe-Ausgabe-Einheit. Diese bildet einen Teil des Rechners. Sie dient dazu, Daten, die z.B. von Sensoren erhalten werden, aufzubereiten und Ausgangs­ daten des Rechners ebenfalls entsprechend aufbereitet z.B. Stellmotoren (Actuators) zuzuführen. Die beiden Rechner eines jeden Paares überwachen einander. Bei einem Fehler eines der Rechner, wenn also die Ausgangsdaten nicht übereinstimmen, wird das gesamte Paar abgeschaltet. Es sind mehrere solche Paare vorhanden. Bei Ausfall eines Paares wird auf ein anderes Paar umgeschaltet. Beispiels­ weise können für eine bestimmte Funktion insgesamt vier Paare von Rechnern vorgesehen sein. Dann erfolgt bei einem Ausfall eines ersten Paares von Rechnern eine Umschaltung auf ein zweites Paar, bei Ausfall auch des zweiten Paares eine Umschaltung auf ein drittes Paar und, wenn auch das dritte Paar ausfällt, eine Umschaltung auf das vierte und letzte Paar. Ein solches System "überlebt" somit drei Aus­ fälle und bleibt noch funktionsfähig. Ein vierter Ausfall würde das System außer Betrieb setzen. Für diese Funktion sind somit insgesamt acht Rechner mit je einer Eingabe- Ausgabeeinheit erforderlich.In the case of known redundant computer arrangements, an input-output unit for each computer. This forms part of the calculator. It is used to store data, e.g. obtained from sensors, process and output data of the computer also prepared accordingly e.g. Actuators to feed. The two Each pair's computers monitor each other. At a Error in one of the computers, if the output data do not match, the entire pair is switched off. There are several such pairs. If one fails Pair is switched to another pair. Example A total of four can be used for a certain function Pairs of computers can be provided. Then at one Failure of a first pair of computers to switch to a second pair, and if the second pair fails, too a switch to a third pair and, if that third pair fails, switching to the fourth and last couple. Such a system "survives" three times falls and still remains functional. A fourth failure would shut down the system. For this function are a total of eight computers with one input each Output unit required.

Ein festgestellter Ausfall eines Rechners kann durch einen Defekt oder Fehler des eigentlichen Rechners hervorgerufen sein oder aber durch einen Defekt der Eingabe-Ausgabe- Einheit. Das ist bei den bekannten Steuersystemen, z.B. Flugsteuersystemen, nicht zu unterscheiden. A determined failure of a computer can be caused by a Defect or error of the actual computer caused or due to a defect in the input-output Unit. This is the case with the known control systems, e.g. Flight control systems, indistinguishable.  

An verschiedene Funktionen des Steuersystems werden unterschiedlich hohe Anforderungen hinsichtlich der Zuverlässigkeit gestellt. Einige Funktionen müssen auch nach Ausfall mehrerer Bauteile, z.B. Rechner, erhalten bleiben. Bei anderen Funktionen genügt ein geringerer Grad von Redundanz. So ist bei einem Flugsteuersystem die Flugregelung, umfassend u.a. die Regelung der Fluglage und die Dämpfung von Fluglageschwingungen sowie die Regelung und Überwachung der Stellmotore, eine Funktion, die für die Fliegbarkeit des Flugzeugs lebenswichtig ist. Für diese Flugregelung muß auch nach Ausfall von drei Rechnern bzw. Rechnerpaaren, wie oben beschrieben, noch ein Rechner funktionsfähig sein. Andere Funktionen wie die Flugführung, also die Vorgabe von Kurs, Steig- oder Sinkgeschwindigkeit, sind im allgemeinen für die Fliegbarkeit des Flugzeugs weniger lebenswichtig. Sie können notfalls vom Piloten übernommen werden und brauchen daher gegebenenfalls keine Redundanz. Üblicherweise sind aber Rechner für solche Funktionen auch redundant vorhanden. Es ergibt sich daher ein erheblicher Aufwand für die Erzielung der geforderten Zuverlässigkeit. Das erhöht den Raumbedarf, das Gewicht und die Kosten des Flugsteuersystems.Various functions of the control system different requirements regarding the Reliability posed. Some functions also need after failure of several components, e.g. Calculator, received stay. A lower degree is sufficient for other functions of redundancy. This is the case with a flight control system Flight regulations, including the attitude of the flight attitude and the damping of attitude vibrations as well as the regulation and monitoring the servomotors, a function that is used for the flightability of the aircraft is vital. For this flight regulation must also after three computers fail or computer pairs, as described above, another computer be functional. Other functions like that Flight guidance, i.e. the specification of course, climb or Sink rate, are generally for that Aircraft flightability less vital. they can be taken over by the pilot and need if necessary therefore possibly no redundancy. Usually are but computers for such functions are also redundant available. There is therefore a considerable effort for achieving the required reliability. The increases the space, weight and cost of the Flight control system.

Offenbarung der ErfindungDisclosure of the invention

Der Erfindung liegt die Aufgabe zugrunde, bei einer redundanten Rechneranordnung für Steuersysteme der eingangs definierten Art den für einen bestimmten Grad von Zuverlässigkeit erforderlichen Aufwand zu verringern. The invention has for its object in a redundant computer arrangement for control systems of the type defined at the outset for a certain degree of Reliability to reduce effort required.  

Erfindungsgemäß wird diese Aufgabe dadurch gelöst, daßAccording to the invention, this object is achieved in that

  • b) die Eingabe-Ausgabe-Einheiten als von den Rechnern getrennte Bauteile ausgebildet sind undb) the input-output units as from the computers separate components are formed and
  • c) wenigstens ein Teil der Eingabe-Ausgabe-Einheiten mit mehr als einem Rechner direkt verbunden sind.c) at least part of the input-output units are directly connected to more than one computer.

Es können dann die über die Eingabe-Ausgabe-Einheiten erhaltenen Signale wahlweise durch den einen oder durch den anderen Rechner verarbeitet werden. Es kann dadurch eine Erhöhung der Redundanz ohne Erhöhung des Hardware­ aufwandes erreicht werden.It can then use the input-output units signals obtained either by one or by the other computer are processed. It can an increase in redundancy without increasing the hardware effort can be achieved.

Vorteilhafterweise ist außerdem wenigstens ein Rechner mit mehreren Eingabe-Ausgabe-Einheiten verbunden. Dann kann der Rechner die Funktion der Eingabe-Ausgabe-Einheiten überwachen und ausgefallene Eingabe-Ausgabe-Einheiten abschalten.It is also advantageous to have at least one computer connected to several input / output units. Then can the calculator performs the function of the input-output units monitor and failed input-output units switch off.

Eine besonders vorteilhafte Lösung besteht darin, daßA particularly advantageous solution is that

  • a) wenigstens ein erstes und ein zweites Paar von Rechnern vorgesehen sind, die mit gleichen Eingaben von Eingabe-Ausgabe-Einheiten beaufschlagt sind, wobei bei einer Abweichung der Ausgaben des einen und des anderen Rechners des ersten Paares eine Umschaltung auf die Rechner des zweiten Paares erfolgt,a) at least a first and a second pair of Computers are provided with the same inputs are acted upon by input-output units, if there is a deviation in the expenditure of one and the other calculator of the first pair one Switch to the computers of the second pair he follows,
  • b) den beiden Paaren von Rechnern drei von den Rechnern getrennte Eingabe-Ausgabe-Einheiten zugeordnet sind,b) the two pairs of computers three of the computers separate input-output units are assigned,
  • c) jede der Eingabe-Ausgabe-Einheiten mit jedem der Rechner verbunden ist und c) each of the input-output units with each of the Computer is connected and  
  • d) die Rechner zur Erkennung und Eliminierung einer Eingabe-Ausgabe-Einheit eingerichtet sind, deren Signale von denen der beiden anderen Eingabe- Ausgabe-Einheiten merklich abweichen.d) the computers for detecting and eliminating one Input-output unit are set up whose Signals from those of the other two input Output units differ noticeably.

Die Eingabe-Ausgabe-Einheiten sind so von den Rechnern getrennt. Das macht es möglich, die drei Eingabe-Ausgabe- Einheiten gleichzeitig sowohl dem einen, zunächst betriebsbereiten Paar von Rechnern als auch dem anderen, in Bereitschaft stehenden Paar von Rechnern zuzuordnen. Bei einen Ausfall einer der Eingabe-Ausgabe-Einheiten können die Rechner durch Mehrheitsbetrachtung feststellen, welche der drei Eingabe-Ausgabe-Einheiten ausgefallen ist und diese abschalten. Bei drei Eingabe-Ausgabe-Einheiten liefern ja bei Defekt einer dieser Einheiten die beiden anderen noch übereinstimmende, vom Signal der defekten Einheit abweichende Signale. Daraus kann die defekte Einheit erkannt werden. Eine Umschaltung der Rechner ist damit noch nicht erforderlich. Wenn die Rechner des ersten Paares eine Abweichung voneinander feststellen und abgeschaltet werden, werden die Rechner des zweiten Paares stattdessen in Betrieb genommen.The input-output units are thus from the computers Cut. This makes it possible to use the three input-output Units simultaneously both the one, initially operational pair of computers as well as the other, to assign standby pair of computers. If one of the input / output units fails the computers can determine by majority observation which of the three input-output units has failed and switch it off. With three input-output units if one of these units is defective, deliver the two others still matching, from the signal of the defective Unit deviating signals. From this, the defective Unit can be recognized. There is a switchover of the computers so not required yet. If the calculator of the first Couple determine a deviation from each other and are switched off, the computers of the second pair put into operation instead.

Bei einer solchen Anordnung ergibt sich der gleiche Grad von Sicherheit wie bei einer Anordnung mit zwei Paaren von Rechnern, von denen jeder eine Eingabe-Ausgabe-Einheit aufweist. Dies wird jedoch mit drei statt bisher vier Eingabe-Ausgabe-Einheiten erreicht. Bei einer Anordnung mit insgesamt vier Paaren von Rechnern ergibt sich eine Einsparung von zwei Eingabe-Ausgabe-Einheiten. With such an arrangement the same degree results of security like an arrangement with two pairs of Computers, each of which is an input-output unit having. However, this will be three instead of four Input-output units reached. With an arrangement with a total of four pairs of computers there is one Saving two input / output units.  

Eine weitere Einsparung ergibt sich dadurch, daßAnother saving results from the fact that

  • a) erste Rechner für eine erste Funktion mit hohen Redundanzanforderungen vorgesehen sind,a) first calculator for a first function with high Redundancy requirements are provided,
  • b) zweite Rechner für eine Funktion mit geringeren Redundanzanforderungen vorgesehen sind,b) second computer for a function with less Redundancy requirements are provided,
  • c) die zweiten Rechner zusätzlich für die erste Funktion programmiert sind,c) the second computer additionally for the first function are programmed
  • d) die zweiten Rechner auch mit den Eingabe-Ausgabe- Einheiten der ersten Rechner verbunden sind undd) the second computer also with the input-output Units of the first computers are connected and
  • e) bei Ausfall eines ersten Rechners wenigstens ein zweiter Rechner mit der ersten Funktion einschaltbar ist.e) at least one if a first computer fails second computer with the first function can be switched on is.

Es können beispielsweise zwei Paare von ersten Rechnern vorgesehen sein, die für die erste Funktion "Flugregelung" programmiert sind. Ebenso sind zwei Paare von zweiten Rechnern vorgesehen, die für die weniger kritische zweite Funktion "Flugführung" programmiert sind. Die zweiten Rechner sind aber zusätzlich auch für die Funktion "Flugregelung" programmiert und für diese Zwecke ebenfalls einsetzbar. Beide Funktionen sind somit zweifach redundant durch Paare von einander überwachenden Rechnern besetzt. Wenn ein erstes Paar von ersten Rechnern ausfällt, wird seine Funktion von dem zweiten Paar von ersten Rechnern übernommen. Fällt auch dieses Paar von ersten Rechnern aus, erfolgt eine Umschaltung auf ein Paar von zweiten Rechnern. Dieses Paar von zweiten Rechnern wird aber jetzt mit dem Programm "Flugregelung" betrieben. Die "Flugführung" ist jetzt nur noch mit einem Paar von Rechnern besetzt. Nun ist eine Redundanz der Rechner für die Flugführung in bestimmten Fällen vorgeschrieben, beispielsweise für einen Landeanflug im Nebel. Solche Zustände lassen sich aber im allgemeinen vermeiden. Im Notfall, bei Ausfall auch des dritten Paares von zweiten Rechnern kann auch das vierte Paar von zweiten Rechnern für die Flugregelung eingesetzt werden. Die Funktion der Flugführung muß dann der Pilot von Hand übernehmen.For example, two pairs of first computers can be used be provided for the first function "flight control" are programmed. Likewise, there are two pairs of second Computers provided for the less critical second "Flight guidance" function are programmed. The second But computers are also for the function "Flight control" programmed and also for these purposes applicable. Both functions are therefore dual redundant due to pairs of computers monitoring each other occupied. If a first pair of first computers fails, its function is performed by the second pair of first computers. This pair also falls from first computers, there is a switch to a pair from second computers. This pair of second computers is now operated with the "Flight Control" program. The "flight guidance" is now only with a pair of  Computers occupied. Now there is redundancy of the computers for flight guidance is mandatory in certain cases, for example for a landing approach in the fog. Such However, conditions can generally be avoided. in the Emergency, in the event of failure of the third pair of the second Computers can also use the fourth pair of second computers be used for flight control. The function of the The pilot must then take over flight control by hand.

Diese Art der "dynamischen Redundanz" wird bei dem Flug­ steuersystem dadurch ermöglicht, daß die Eingabe-Ausgabe- Einheiten von den Rechnern getrennt sind, so daß verschiedene Rechner, ggf. auch unterschiedlicher Grund­ funktion mit gemeinsamen Eingabe-Ausgabe-Einheiten zusammenwirken können.This type of "dynamic redundancy" is used during the flight control system by allowing the input-output Units are separated from the computers so that different computers, possibly different reasons function with common input-output units can work together.

Zwei Ausführungsbeispiele der Erfindung sind nachstehend unter Bezugnahme auf die zugehörigen Zeichnungen näher erläutert.Two embodiments of the invention are below with reference to the accompanying drawings explained.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

Fig. 1 zeigt schematisch ein Flugzeug mit einem Flugsteuersystem, bei welchem Rechner redundant vorgesehen sind. Fig. 1 schematically shows an aircraft having a flight control system, are provided in which computer redundant.

Fig. 2 zeigt das Seitenleitwerk des Flugzeugs. Fig. 2 shows the vertical tail of the aircraft.

Fig. 3 ist ein Blockdiagramm eines Flugsteuersystems. Fig. 3 is a block diagram of a flight control system.

Fig. 4 ist ein Blockdiagramm eines Flugsteuersystems für ein Flugzeug für militärische Anwendungen. Figure 4 is a block diagram of an aircraft flight control system for military applications.

In Fig. 1 ist mit 10 ein Flugzeug bezeichnet. Das Flugzeug 10 hat eine Mehrzahl von Steuerflächen, die von hydraulischen Stellmotoren verstellbar sind. Dabei sind wesentliche Steuerflächen jeweils redundant durch mehrere Stellmotore ansteuerbar. Mit 12 und 14 sind Querruder bezeichnet. Das Querruder 12 ist von zwei Stellmotoren 16 und 18 verstellbar. Das Querruder 14 ist von zwei Stell­ motoren 20 und 22 verstellbar. Die Stellmotoren jedes Paares 16, 18 bzw. 20, 22 sind an unterschiedliche Hydrauliknetze angeschlossen, welche durch die Buchstaben "G" (grün) und "B" (blau) entsprechend der Farbe der für diese Netze verwendeten Hydraulikleitungen gekennzeichnet sind. Durch diese Maßnahme soll erreicht werden, daß bei Ausfall eines Hydrauliknetzes jeweils noch ein Stellmotor 16 oder 18 bzw. 20 oder 22 funktionsfähig bleibt.In Fig. 1, 10 denotes an aircraft. The aircraft 10 has a plurality of control surfaces which are adjustable by hydraulic servomotors. Essential control surfaces can be controlled redundantly by several servomotors. With 12 and 14 ailerons are designated. The aileron 12 is adjustable by two servomotors 16 and 18 . The aileron 14 is adjustable by two actuators 20 and 22 . The actuators of each pair 16 , 18 and 20 , 22 are connected to different hydraulic networks, which are identified by the letters "G" (green) and "B" (blue) according to the color of the hydraulic lines used for these networks. This measure is intended to ensure that a servomotor 16 or 18 or 20 or 22 remains functional in the event of a hydraulic network failure.

Auf der Tragfläche 24 sitzen Spoiler 28, 30, 32, 34 und 36. Auf der Tragfläche 26 sitzen Spoiler 38, 40, 42, 44 und 46. Die Spoiler dienen zum Abbremsen und zur Unterstützung der Querruder bei der Einleitung einer Rollbewegung. Die Spoiler sind durch Stellmotore 48, 50, 52, 54 und 56 bzw. 58, 60, 62, 64 und 66 verstellbar. Die Stellmotore sind wieder an verschiedene Hydrauliknetze angeschlossen. Außer den schon erwähnten Hydrauliknetzen G und B ist noch ein drittes Hydrauliknetz Y ("yellow") vorgesehen.Spoilers 28 , 30 , 32 , 34 and 36 sit on the wing 24 . Spoilers 38 , 40 , 42 , 44 and 46 sit on the wing 26 . The spoilers are used to brake and support the ailerons when initiating a roll movement. The spoilers are adjustable by actuators 48 , 50 , 52 , 54 and 56 or 58, 60, 62, 64 and 66 . The servomotors are again connected to various hydraulic networks. In addition to the hydraulic networks G and B already mentioned, a third hydraulic network Y ("yellow") is provided.

Ein Querruder 68 am Seitenleitwerk 70 wird dreifach redundant von drei Stellmotoren 72, 74 und 76 angesteuert. Die drei Stellmotoren 72, 74 und 76 werden aus den drei verschiedenen Hydrauliknetzen B, G und Y gespeist. An einem Höhenleitwerk 78 sitzen Höhenruder 80 und 82. Das Höhen­ ruder 80 wird zweifach redundant von zwei Stellmotoren 84 und 86 angesteuert. Stellmotor 84 wird aus dem Hydraulik­ netz G gespeist. Stellmotor 86 wird aus dem Hydrauliknetz B gespeist. Das Höhenruder 82 wird zweifach redundant von zwei Stellmotoren 88 und 90 gespeist. Der Stellmotor 88 wird aus dem Hydrauliknetz B gespeist. Der Stellmotor 90 wird aus dem Hydrauliknetz Y gespeist.An aileron 68 on the vertical tail 70 is controlled three times redundantly by three servomotors 72 , 74 and 76 . The three servomotors 72 , 74 and 76 are fed from the three different hydraulic networks B, G and Y. Elevators 80 and 82 are located on an elevator 78 . The elevator 80 is controlled redundantly by two servomotors 84 and 86 . Actuator 84 is fed from the hydraulic network G. Actuator 86 is fed from the hydraulic network B. The elevator 82 is fed redundantly by two servomotors 88 and 90 . The servomotor 88 is fed from the hydraulic network B. The servomotor 90 is fed from the hydraulic network Y.

Eine Stellmotoranordnung 92 steuert Landeklappen 94 und 96.A servomotor assembly 92 controls landing flaps 94 and 96 .

Die Stellmotore werden von Rechnern über Eingabe-Ausgabe- Einheiten gesteuert. Die Rechner sind paarweise vorgesehen. Zwei Paaren von Rechnern sind jeweils drei davon getrennte Eingabe-Ausgabe-Einheiten zugeordnet.The servomotors are operated by computers via input-output Units controlled. The computers are in pairs intended. Two pairs of computers are three each assigned separate input-output units.

Ein erstes Paar von "ersten" Rechnern 98 und 100 ist für die Flugregelung (Flight Control) programmiert. Dazu gehört die eigentliche Flugregelung, also die Einregelung des Flugzeuges in eine kommandierte Fluglage und die Dämpfung von Lageschwingungen. Dazu gehört weiter die Regelung und Überwachung der Stellmotore. Der Rechner regelt also einen Stellmotor in eine bestimmte Stellung ein. Der Rechner kontrolliert außerdem, ob der Stellmotor eine kommandierte Stellung auch eingenommen hat und schaltet erforderlichenfalls einen defekten Stellmotor ab. Ferner gehört zu der "Flight Control" die Flugbereichs­ überwachung. Der Rechner überwacht z.B. ob das Flugzeug hinreichend oberhalb der Abreißgeschwindigkeit fliegt. Schließlich gehört zu den Aufgaben der "Flight Control" die "Flügellastminderung". Wenn bei bestimmten Flug­ zuständen Eigenschwingungen der Tragflächen angeregt werden, die zu einer kritischen Belastung der Tragflächen führen können, dann werden solche Eigenschwingungen durch Betätigung von Steuerflächen gedämpft.A first pair of "first" computers 98 and 100 are programmed for flight control. This includes the actual flight control, i.e. the adjustment of the aircraft to a commanded flight position and the damping of position vibrations. This also includes the control and monitoring of the servomotors. The computer regulates a servomotor in a certain position. The computer also checks whether the servomotor has also assumed a commanded position and switches off a defective servomotor if necessary. The flight control also includes flight control. The computer monitors, for example, whether the aircraft is flying sufficiently above the tear-off speed. After all, one of the tasks of "Flight Control" is "wing load reduction". If, in certain flight conditions, natural vibrations of the wings are excited, which can lead to a critical load on the wings, then such natural vibrations are damped by actuating control surfaces.

Ein zweites Paar von "ersten" Rechnern 102 und 104 dient ebenfalls der Flugregelung. A second pair of "first" computers 102 and 104 also serve to control the flight.

Ein Paar von "zweiten" Rechnern 106 und 108 dient der Flugführung ("Flight Guidance Envelope). Dazu gehören die Autopilotfunktionen, also beispielsweise die Vorgabe eines bestimmten Kurses oder eines Steig- oder Sinkwinkels. Ferner gehört zu dieser Flugführung die Funktion des "Flight-Directors", also die Anzeige der Abweichung von einem Leitstrahl beim Landeanflug, wobei diese Abweichung dann vom Piloten manuell korrigiert wird. Schließlich gehören zu der Flugführung die "Envelope- Steuerung und -Überwachung, also die Führung des Flugzeuges innerhalb eines räumlichen "Toleranz­ schlauches".A pair of "second" computers 106 and 108 are used for flight guidance ("Flight Guidance Envelope"). These include the autopilot functions, for example the specification of a specific course or a climb or descent angle. Directors ", ie the display of the deviation from a guide beam on landing, whereby this deviation is then corrected manually by the pilot. Finally, flight control includes" envelope control and monitoring, ie the guidance of the aircraft within a spatial "tolerance hose" .

Die zweiten Rechner sind zusätzlich aber auch für die Funktion des Flugreglers, wie die ersten Rechner, programmiert. Sie können im Bedarfsfall auf diese Funktion umgeschaltet werden und dann die Funktion eines ausgefallenen Paares von "ersten" Rechnern übernehmen.The second computer is also for Function of the flight controller, like the first computers, programmed. You can use this function if necessary be switched and then the function of a failed pair of "first" computers.

Schließlich ist noch ein weiteres Paar von "zweiten" Rechnern 110 und 112 vorgesehen.Finally, a further pair of "second" computers 110 and 112 are provided.

Die Rechner erhalten Signale von Sensoren über Eingabe- Ausgabe-Einheiten und liefern Ausgangsdaten, z.B. Steuer­ befehle für die Stellmotoren oder Informationen für ein Bediengerät 114 im Cockpit des Flugzeuges, über diese Eingabe-Ausgabe-Einheiten. Den Rechnerpaaren 98, 100 und 106, 108 sind drei Eingabe-Ausgabe-Einheiten 116, 118 und 120 zugeordnet. Den Rechnerpaaren 102, 104 und 110, 112 sind drei Eingabe-Ausgabe-Einheiten 122, 124 und 126 zugeordnet. Jede der Eingabe-Ausgabe-Einheiten 116, 118 und 120 ist mit jedem der Rechner 98, 100, 106 und 108 verbunden. Jede der Eingabe-Ausgabe-Einheiten 122, 124 und 126 ist mit jedem der Rechner 102, 104, 110 und 112 verbunden. Ausgangssignale werden von den Eingabe-Ausgabe-Einheiten 118 und 120 parallel abgegriffen. Ebenso werden Ausgangssignale von den Eingabe-Ausgabe-Einheiten 124 und 126 abgegriffen. Die Eingabe-Ausgabe-Einheiten 116 und 122 liefern keine Ausgangssignale.The computers receive signals from sensors via input / output units and supply output data, for example control commands for the servomotors or information for an operating device 114 in the cockpit of the aircraft, via these input / output units. The computer pairs 98 , 100 and 106 , 108 are assigned three input-output units 116 , 118 and 120 . The computer pairs 102 , 104 and 110 , 112 are assigned three input-output units 122 , 124 and 126 . Each of the input-output units 116 , 118 and 120 is connected to each of the computers 98 , 100 , 106 and 108 . Each of the input-output units 122 , 124 and 126 is connected to each of the computers 102 , 104 , 110 and 112 . Output signals are tapped in parallel by the input / output units 118 and 120 . Output signals are also tapped from the input / output units 124 and 126 . The input-output units 116 and 122 do not provide any output signals.

Die Rechner jedes Paares, z.B. 98 und 100, überwachen sich gegenseitig. Sie sind zu diesem Zweck miteinander ver­ bunden, wie in Fig. 3 dargestellt ist. Wenn ein Rechner ausfällt, so daß seine Ausgangsdaten von denen des anderen Rechners des Paares abweichen, dann wird das gesamte Paar von Rechnern abgeschaltet. Seine Funktion wird von einem anderen Paar übernommen. Der Aufbau der Rechneranordnung ist in Fig. 3 im einzelnen dargestellt.The computers in each pair, eg 98 and 100 , monitor each other. For this purpose, they are connected to one another, as shown in FIG. 3. If one computer fails so that its output data differs from that of the other computer in the pair, the entire pair of computers is switched off. Another couple takes over. The structure of the computer arrangement is shown in detail in FIG. 3.

Zur Vermeidung systematischer Fehler, die durch Programm­ fehler aber auch durch Fehler der Hardware auftreten können und die, weil sie an beiden Rechnern eines Paares auftreten würden, nicht entdeckt werden könnten, wird folgendermaßen vorgegangen.To avoid systematic errors caused by program errors also occur due to hardware errors can and because they are on both computers of a pair would occur, could not be discovered proceeded as follows.

Es sind für die gleichen Funktionen, nämlich hier für die Flugregelung und für die Flugführung zwei Rechnersysteme vorgesehen, die links und rechts der Trennlinie 128 dargestellt sind. Diese Rechnersysteme sind für jeweils gleiche Funktionen mit unterschiedlicher Hardware aufgebaut. Die Rechner jedes Paares sind mit untereinander gleicher Hardware aufgebaut jedoch unterschiedlich, d.h. mit unterschiedlichen Programmiersprachen und durch verschiedene Programmiererteams programmiert. So ist der Rechner 98 mit einem Programm "A" für die Funktion "Flugregler" programmiert und der Rechner 100 mit einem Programm "B" ebenfalls für die Funktion "Flugregler". Der Rechner 108 ist mit einem Programm "A" für die Funktion "Flugführung" programmiert und zusaätzlich für die Funktion "Flugregler". Der Rechner 106 ist mit einem Programm "B" ebenfalls für die Funktion "Flugführung" und zusätzlich für die Funktion "Flugregler" programmiert. In gleicher Weise ist, bei anderer Hardware, der Rechner 104 mit einem Programm "C" für die Funktion "Flugregelung" programmiert. Der Rechner 102 ist mit einem Programm "D" ebenfalls für die Funktion "Flugregelung" programmiert. Der Rechner 112 ist mit einem Programm "C" für die Funktion "Flugführung" programmiert und zusätzlich umschaltbar programmiert für die Funktion "Flugregler". Schließlich ist der Rechner 110 mit einem Programm "D" für die Funktion "Flugführung" und zusätzlich für die Funktion "Flugregelung" programmiert. Die zusätzliche Funktion kann sehr einfach durch einen zusätzlichen Programmbaustein in den Rechnern 108, 106, 112 und 110 implementiert werden.Two computer systems are provided for the same functions, namely here for flight control and flight control, which are shown on the left and right of dividing line 128 . These computer systems are designed for the same functions with different hardware. The computers of each pair are built with the same hardware, but different, ie with different programming languages and programmed by different programming teams. For example, the computer 98 is programmed with a program "A" for the function "flight controller" and the computer 100 with a program "B" also for the function "flight controller". The computer 108 is programmed with a program "A" for the "flight control" function and additionally for the "flight controller" function. The computer 106 is also programmed with a program “B” for the “flight guidance” function and additionally for the “flight controller” function. In the same way, with other hardware, the computer 104 is programmed with a program "C" for the "flight control" function. The computer 102 is also programmed with a program "D" for the function "flight control". The computer 112 is programmed with a program "C" for the function "flight guidance" and is additionally switchably programmed for the function "flight controller". Finally, the computer 110 is programmed with a program “D” for the “flight guidance” function and additionally for the “flight control” function. The additional function can be implemented very simply by an additional program module in the computers 108 , 106 , 112 and 110 .

Die Rechner 98 und 100 überwachen die Eingabe-Ausgabe- Einheiten 116, 118 und 120 anhand von Mehrheits­ betrachtungen. Wenn eine dieser Einheiten 116, 118 oder 120 ausfällt, dann weichen deren Eingangssignale von den Eingangssignalen der anderen beiden Einheiten um mehr als einen vorgegebenen Toleranzbereich ab. Die ausgefallene Eingabe-Ausgabe-Einheit wird dann abgeschaltet.The computers 98 and 100 monitor the input / output units 116 , 118 and 120 on the basis of majority considerations. If one of these units 116 , 118 or 120 fails, its input signals deviate from the input signals of the other two units by more than a predetermined tolerance range. The failed input-output unit is then switched off.

Wenn das Paar von Rechnern 98 und 100 eine Abweichung zwischen den Rechenergebnissen feststellt, schaltet sich das Paar von Rechnern 98 und 100 ab. Die Funktion dieses Paares von Rechnern wird dann von dem Paar von Rechnern 102 und 104 übernommen. Auch diese beiden Rechner 102, 104 überwachen sich gegenseitig. Bei Ausfall dieses Paares von Rechnern 102, 104, wenn die Rechner Abweichungen der Rechenergebnisse feststellen, übernimmt das Paar von Rechnern 106 und 108 deren Funktion. Die Rechner 106 und 108 werden dabei auf das Programm "Flugregelung" umgeschaltet. Für die Funktion "Flugführung" ist dann nur noch ein Paar von Rechnern verfügbar. Diese Funktion ist aber im allgemeinen nicht so sicherheitrelevant wie die Funktion Flugregelung. Wie oben schon gesagt wurde, wird eine Redundanz der Rechner für diese Funktion nur bei speziellen Flugmanövern, beispielsweise beim Landeanflug im Nebel, verlangt. Solche Flugmanöver müssen dann nach Ausfall der Rechner 98 bis 104 vermieden werden. Sollte auch das Paar von Rechnern 106, 108 ausfallen, dann wird dessen Funktion von dem Paar von Rechnern 110, 112, wieder nach Umschaltung auf das Programm "Flugregelung" über­ nommen. Die Funktion "Flugführung" kann der Pilot notfalls von Hand übernehmen.If the pair of computers 98 and 100 determine a discrepancy between the calculation results, the pair of computers 98 and 100 turns off. The function of this pair of computers is then taken over by the pair of computers 102 and 104 . These two computers 102 , 104 also monitor one another. If this pair of computers 102 , 104 fails , if the computers determine deviations in the calculation results, the pair of computers 106 and 108 takes over their function. The computers 106 and 108 are switched over to the "flight control" program. Only a pair of computers are then available for the "flight guidance" function. However, this function is generally not as safety-relevant as the flight control function. As already mentioned above, redundancy of the computers for this function is only required for special flight maneuvers, for example when approaching in the fog. Such flight maneuvers must then be avoided after computers 98 to 104 fail. Should the pair of computers 106 , 108 also fail, its function will be taken over by the pair of computers 110 , 112 again after switching to the "flight control" program. If necessary, the pilot can take over the "flight guidance" function by hand.

Bei normalem Betrieb ist auch die Funktion "Flugführung" durch zwei Paare von sich gegenseitig überwachenden, dissimilaren Rechnern besetzt.In normal operation, the function "flight guidance" by two pairs of mutually monitoring, dissimilar computers occupied.

Fig. 4 zeigt ein Flugsteuersystem für ein Kampfflugzeug. Fig. 4 shows a flight control system for a combat aircraft.

Das Flugsteuersystem von Fig. 4 enthält drei Rechner 130, 132 und 134 für die Funktion "Flugregelung". Weiterhin enthält das Flugsteuersystem drei Rechner 136,138 und 140 für die Funktion "Flugführung und Luftdaten" ("Flight Guidance" und "Airdata"). Drei weitere Rechner 142, 144 und 146 sind für die Funktion "Trägheitsmeßeinheit" vorge­ sehen, und zwei weitere Rechner 148 und 150 für die Triebwerksregelung. Die jeweils dreifach für die gleiche Funktion vorgesehenen Rechner überwachen sich gegenseitig durch Mehrheitsbetrachtungen, wie in Fig. 4 angedeutet ist. The flight control system of FIG. 4 contains three computers 130 , 132 and 134 for the function "flight control". The flight control system also contains three computers 136, 138 and 140 for the function “flight guidance and air data” (“flight guidance” and “air data”). Three other computers 142 , 144 and 146 are seen for the function "inertia measuring unit", and two other computers 148 and 150 for the engine control. The computers provided three times for the same function monitor each other by majority considerations, as indicated in FIG. 4.

Jedem Rechner ist eine davon getrennte Eingabe-Ausgabe- Einheit zugeordnet: Dem Rechner 130 ist eine Eingabe- Ausgabe-Einheit 152 zugeordnet. Dem Rechner 132 ist eine Eingabe-Ausgabe-Einheit 154 zugeordnet. Dem Rechner 134 ist eine Eingabe-Ausgabe-Einheit 156 zugeordnet. Die Eingabe-Ausgabe-Einheiten 152, 154 und 156 sind mit den Stellmotoren verbunden.A separate input-output unit is assigned to each computer: An input-output unit 152 is assigned to the computer 130 . An input-output unit 154 is assigned to the computer 132 . An input-output unit 156 is assigned to the computer 134 . The input-output units 152 , 154 and 156 are connected to the servomotors.

Dem Rechner 138 ist eine Eingabe-Ausgabe-Einheit 160 zugeordnet. Dem Rechner 140 ist eine Eingabe-Ausgabe- Einheit 162 zugeordnet. Die Eingabe-Ausgabe-Einheiten 160 und 162 sind mit einem Bus (MIL - BUS) des Flugzeugs verbunden.An input-output unit 160 is assigned to the computer 138 . An input-output unit 162 is assigned to the computer 140 . The input-output units 160 and 162 are connected to a bus (MIL - BUS) of the aircraft.

Dem Rechner 142 ist eine Eingabe-Ausgabe-Einheit 164 zugeordnet. Dem Rechner 144 ist eine Eingabe-Ausgabe- Einheit 166 zugeordnet. Dem Rechner 146 ist eine Eingabe- Ausgabe-Einheit 168 zugeordnet. Die Eingabe-Ausgabe- Einheiten 164, 166 und 168 sind mit Kreiseln und Beschleunigungsaufnehmern verbunden.An input-output unit 164 is assigned to the computer 142 . An input-output unit 166 is assigned to the computer 144 . An input / output unit 168 is assigned to the computer 146 . The input-output units 164 , 166 and 168 are connected to gyroscopes and accelerometers.

Die Rechner 148 und 150 sind mit je einer Eingabe-Ausgabe- Einheit 170 bzw. 172 verbunden. Die Eingabe-Ausgabe- Einheiten 170 und 172 sind mit einem Treibstoffsteller verbunden.The computers 148 and 150 are connected to an input / output unit 170 and 172 , respectively. The input-output units 170 and 172 are connected to a fuel plate.

Die meisten Eingabe-Ausgabe-Einheiten sind bei der Anordnung nach Fig. 4 mit dem zugeordneten Rechner verbunden. Zusätzlich sind aber die Rechner 136, 138, 140 und die Rechner 142, 144, 146 mit den Eingabe-Ausgabe- Einheiten 152, 154 und 156 verbunden. Die Rechner 132 und 134 sind mit den Eingabe-Ausgabe-Einheiten 160, 162 verbunden. Auch die Rechner 148 und 150 sind mit den Eingabe-Ausgabe-Einheiten verbunden. In the arrangement according to FIG. 4, most of the input / output units are connected to the assigned computer. In addition, the computers 136 , 138 , 140 and the computers 142 , 144 , 146 are connected to the input / output units 152 , 154 and 156 . The computers 132 and 134 are connected to the input-output units 160 , 162 . The computers 148 and 150 are also connected to the input / output units.

Die Eingabe-Ausgabe-Einheit 158 ist in Bereitschaft für den Fall, daß eine der Eingabe-Ausgabe-Einheiten 152, 154 oder 156 ausfällt. Auch diese Anordnung gestattet in ähnlicher Weise wie die Anordnung nach Fig. 3 eine "dynamische Redundanz", d.h. die Übernahme von Funktionen eines ausgefallenen Rechners durch andere Rechner, die auch redundant vorhanden sind aber weniger sicherheits­ relevante Funktionen erfüllen.The input-output unit 158 is on standby in the event that one of the input-output units 152 , 154 or 156 fails. In a manner similar to the arrangement according to FIG. 3, this arrangement also permits "dynamic redundancy", ie the takeover of functions of a failed computer by other computers which are also redundant but perform less security-relevant functions.

Claims (10)

1. Redundante Rechneranordnung für Steuersysteme, enthaltend
  • a) eine Mehrzahl von Rechnern in redundanter Anordnung, die mit Eingaben von Eingabe-Ausgabe- Einheiten beaufschlagt sind, wobei durch gegen­ seitige Überwachung der Rechner ausgefallene Rechner eliminierbar sind,
1. Redundant computer arrangement for control systems, containing
  • a) a plurality of computers in a redundant arrangement, to which inputs from input / output units are applied, the computers failing due to mutual monitoring of the computers being able to be eliminated,
dadurch gekennzeichnet, daßcharacterized in that
  • b) die Eingabe-Ausgabe-Einheiten (116, 118, 120, 122, 124, 126) als von den Rechnern getrennte Bauteile ausgebildet sind undb) the input / output units ( 116 , 118 , 120 , 122 , 124 , 126 ) are designed as components separate from the computers and
  • c) wenigstens ein Teil der Eingabe-Ausgabe-Einheiten (116, 118, 120, 122, 124, 126) mit mehr als einem Rechner (98, 100; 102, 104) direkt verbunden sind.c) at least some of the input / output units ( 116 , 118 , 120 , 122 , 124 , 126 ) are directly connected to more than one computer ( 98 , 100 ; 102 , 104 ).
2. Redundante Rechneranordnung nach Anspruch 1, dadurch gekennzeichnet, daß ein Rechner (89) mit mehreren Eingabe-Ausgabe-Einheiten (116, 118, 120) verbunden ist. 2. Redundant computer arrangement according to claim 1, characterized in that a computer ( 89 ) with a plurality of input-output units ( 116 , 118 , 120 ) is connected. 3. Redundante Rechneranordnung nach Anspruch 2, dadurch gekennzeichnet, daß
  • a) wenigstens ein erstes und ein zweites Paar von Rechnern (98, 100; 106, 108) vorgesehen sind, die mit gleichen Eingaben von Eingabe-Ausgabe-Einheiten (116, 118, 120) beaufschlagt sind, wobei bei einer Abweichung der Ausgaben des einen und des anderen Rechners (98, 100) des ersten Paares eine Umschaltung auf die Rechner (106, 108) des zweiten Paares erfolgt,
  • b) den beiden Paaren von Rechnern (98, 100; 106, 108) drei von den Rechnern getrennte Eingabe-Ausgabe- Einheiten (116, 118, 120) zugeordnet sind,
  • c) jede der Eingabe-Ausgabe-Einheiten (116, 118, 120) mit jedem der Rechner verbunden ist und
  • d) die Rechner (98, 100) zur Erkennung und Eliminierung einer Eingabe-Ausgabe-Einheit (116, 118, 120) eingerichtet sind, deren Signale von denen der beiden anderen Eingabe- Ausgabe-Einheiten merklich abweichen.
3. Redundant computer arrangement according to claim 2, characterized in that
  • a) at least a first and a second pair of computers ( 98 , 100 ; 106 , 108 ) are provided, which are subjected to the same inputs from input-output units ( 116 , 118 , 120 ), with a deviation of the outputs of the one and the other computers ( 98 , 100 ) of the first pair are switched over to the computers ( 106 , 108 ) of the second pair,
  • b) the two pairs of computers ( 98 , 100 ; 106 , 108 ) are assigned three input / output units ( 116 , 118 , 120 ) separate from the computers,
  • c) each of the input-output units ( 116 , 118 , 120 ) is connected to each of the computers and
  • d) the computers ( 98 , 100 ) are set up to recognize and eliminate an input / output unit ( 116 , 118 , 120 ), the signals of which differ markedly from those of the other two input / output units.
4. Redundante Rechneranordnung nach Anspruch 1, dadurch gekennzeichnet, daß
  • a) erste Rechner (98, 100, 102, 104) für eine erste Funktion mit hohen Redundanzanforderungen vorgesehen sind,
  • b) zweite Rechner (106, 108; 110, 112) für eine Funktion mit geringeren Redundanzanforderungen vorgesehen sind,
  • c) die zweiten Rechner (106, 108; 110, 112) zusätzlich für die erste Funktion programmiert sind,
  • d) die zweiten Rechner (106, 108; 110, 112) auch mit den Eingabe-Ausgabe-Einheiten (116, 118, 120; 122, 124, 126) der ersten Rechner (98, 100; 102, 104) verbunden sind und
  • e) bei Ausfall eines ersten Rechners (98, 100; 102, 104) wenigstens ein zweiter Rechner (106, 108; 110, 112) mit der ersten Funktion einschaltbar ist.
4. Redundant computer arrangement according to claim 1, characterized in that
  • a) first computers ( 98 , 100 , 102 , 104 ) are provided for a first function with high redundancy requirements,
  • b) second computers ( 106 , 108 ; 110 , 112 ) are provided for a function with lower redundancy requirements,
  • c) the second computers ( 106 , 108 ; 110 , 112 ) are additionally programmed for the first function,
  • d) the second computers ( 106 , 108 ; 110 , 112 ) are also connected to the input / output units ( 116 , 118 , 120 ; 122 , 124 , 126 ) of the first computers ( 98 , 100 ; 102 , 104 ) and
  • e) if a first computer ( 98 , 100 ; 102 , 104 ) fails, at least one second computer ( 106 , 108 ; 110 , 112 ) can be switched on with the first function.
5. Redundante Rechneranordnung nach Anspruch 4, dadurch gekennzeichnet, daß mehrere Paare von ersten Rechnern (98, 100; 102, 104) und mehrere Paare von zweiten Rechnern (106, 108; 110, 112) vorgesehen sind, wobei sich die Rechner jedes Paares gegenseitig kontrollieren und bei Abweichungen voneinander eine Ausschaltung des betreffenden Paares auslösen.5. Redundant computer arrangement according to claim 4, characterized in that several pairs of first computers ( 98 , 100 ; 102 , 104 ) and several pairs of second computers ( 106 , 108 ; 110 , 112 ) are provided, the computers of each pair check each other and, in the event of deviations from one another, trigger the pair to be switched off. 6. Redundante Rechneranordnung nach Anspruch 5, dadurch gekennzeichnet, daß die Rechner jedes Paares unter­ schiedlich programmiert sind.6. Redundant computer arrangement according to claim 5, characterized characterized in that each pair's calculator under are programmed differently. 7. Redundante Rechneranordnung nach Anspruch 6, dadurch gekennzeichnet, daß für jede Funktion Paare von Rechnern einer ersten Bauart und Paare von Rechnern einer zweiten, von der ersten dissimilaren Bauart vorgesehen sind.7. Redundant computer arrangement according to claim 6, characterized characterized in that for each function pairs of First type computers and pairs of computers a second, of the first dissimilar type are provided. 8. Redundante Rechneranordnung nach Anspruch 4, dadurch gekennzeichnet, daß die erste Funktion die Flug­ regelung eines Flugzeugs umfaßt. 8. Redundant computer arrangement according to claim 4, characterized characterized that the first function is the flight regulation of an aircraft includes.   9. Redundante Rechneranordnung nach Anspruch 8, dadurch gekennzeichnet, daß die zweite Funktion die Flugführung des Flugzeugs umfaßt.9. Redundant computer arrangement according to claim 8, characterized characterized in that the second function is the Flight guidance of the aircraft includes.
DE3906846A 1989-03-03 1989-03-03 Redundant computer arrangement for control systems Expired - Lifetime DE3906846C2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE3906846A DE3906846C2 (en) 1989-03-03 1989-03-03 Redundant computer arrangement for control systems
FR9002843A FR2643995B1 (en) 1989-03-03 1990-03-02 CALCULATOR DEVICE FOR CONTROL SYSTEMS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE3906846A DE3906846C2 (en) 1989-03-03 1989-03-03 Redundant computer arrangement for control systems

Publications (2)

Publication Number Publication Date
DE3906846A1 true DE3906846A1 (en) 1990-09-06
DE3906846C2 DE3906846C2 (en) 1994-02-17

Family

ID=6375475

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3906846A Expired - Lifetime DE3906846C2 (en) 1989-03-03 1989-03-03 Redundant computer arrangement for control systems

Country Status (2)

Country Link
DE (1) DE3906846C2 (en)
FR (1) FR2643995B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001093039A1 (en) * 2000-05-22 2001-12-06 Saab Ab Control system for actuators in an aircraft
EP1310848A1 (en) * 2001-11-13 2003-05-14 Goodrich Actuation Systems Ltd Aircraft flight surface control system
US7337044B2 (en) * 2004-11-10 2008-02-26 Thales Canada Inc. Dual/triplex flight control architecture
EP2216244A1 (en) * 2009-02-10 2010-08-11 Airbus Operations Flight control system and aircraft comprising the same
DE102017010716A1 (en) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System for at least partially autonomous operation of a motor vehicle with double redundancy

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5493497A (en) * 1992-06-03 1996-02-20 The Boeing Company Multiaxis redundant fly-by-wire primary flight control system
DE19531923B4 (en) * 1995-08-16 2004-05-06 Siemens Ag Device for realizing safe-life functions

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2710466A1 (en) * 1976-03-10 1977-09-15 Smiths Industries Ltd CONTROL SYSTEM FOR ERROR MONITORING
DE2701925B2 (en) * 1977-01-19 1981-02-26 Standard Elektrik Lorenz Ag, 7000 Stuttgart Vehicle control with two on-board computers
DE2320698C2 (en) * 1972-04-26 1985-03-21 The General Electric Co. Ltd., London Arrangement for error monitoring in a multiple data processing system
US4569015A (en) * 1983-02-09 1986-02-04 International Business Machines Corporation Method for achieving multiple processor agreement optimized for no faults
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
US4644538A (en) * 1982-06-16 1987-02-17 The Boeing Company Autopilot flight director system
US4654846A (en) * 1983-12-20 1987-03-31 Rca Corporation Spacecraft autonomous redundancy control
DD247535A1 (en) * 1986-03-31 1987-07-08 Werk Signal Sicherungstech Veb CIRCUIT ARRANGEMENT FOR CONTROLLING SAFE PROCESS PERIPHERAL

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4327437A (en) * 1980-07-30 1982-04-27 Nasa Reconfiguring redundancy management
US4635184A (en) * 1984-12-17 1987-01-06 Combustion Engineering, Inc. Distributed control with mutual spare switch over capability

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2320698C2 (en) * 1972-04-26 1985-03-21 The General Electric Co. Ltd., London Arrangement for error monitoring in a multiple data processing system
DE2710466A1 (en) * 1976-03-10 1977-09-15 Smiths Industries Ltd CONTROL SYSTEM FOR ERROR MONITORING
DE2701925B2 (en) * 1977-01-19 1981-02-26 Standard Elektrik Lorenz Ag, 7000 Stuttgart Vehicle control with two on-board computers
US4644538A (en) * 1982-06-16 1987-02-17 The Boeing Company Autopilot flight director system
US4569015A (en) * 1983-02-09 1986-02-04 International Business Machines Corporation Method for achieving multiple processor agreement optimized for no faults
US4654846A (en) * 1983-12-20 1987-03-31 Rca Corporation Spacecraft autonomous redundancy control
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
DD247535A1 (en) * 1986-03-31 1987-07-08 Werk Signal Sicherungstech Veb CIRCUIT ARRANGEMENT FOR CONTROLLING SAFE PROCESS PERIPHERAL

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
- DE-Z: RAPHAEL, Howard, A.: Mehrfachverarbeitung mit Multiprozessorsystemen. In: Elektronik 1978, H. 11, S. 84-87 *
- US-Z: BANERJEE, Pritzviraj, DUGAR, Abhijeet: The Design, Analysis and Simulation of a Fault- Tolerant Interconnection Network Supporting the Fetch and Add Primitive. In: IEEE, Transaction *
- US-Z: JUANG, Jie-Yong, WAH, Benjamin W.: Resource Sharing Interconnection Networks in Multiprocessors. In: IEEE Transaction on Computers, Vol. 38, No. 1, Jan. 1989, S. 115-129 *
DE-Z: DIETRICH, Dietmar: Fehlerredundante Rechner:Die Natur als Vorbild, In: Elektronik 19, 21.9.1984, S. 81-86 *
DE-Z: JÖRN, Fritz H.: Das Tandem ist zuverlässigerals zwei Einzelkämpfer. In: Technische Rundschau, 1986, Nr. 36, S. 76-79 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001093039A1 (en) * 2000-05-22 2001-12-06 Saab Ab Control system for actuators in an aircraft
US7017861B1 (en) 2000-05-22 2006-03-28 Saab Ab Control system for actuators in an aircraft
EP1310848A1 (en) * 2001-11-13 2003-05-14 Goodrich Actuation Systems Ltd Aircraft flight surface control system
US6860452B2 (en) 2001-11-13 2005-03-01 Goodrich Actuation Systems Limited Aircraft flight surface control system
US7337044B2 (en) * 2004-11-10 2008-02-26 Thales Canada Inc. Dual/triplex flight control architecture
EP2216244A1 (en) * 2009-02-10 2010-08-11 Airbus Operations Flight control system and aircraft comprising the same
FR2941912A1 (en) * 2009-02-10 2010-08-13 Airbus France FLIGHT CONTROL SYSTEM AND AIRCRAFT COMPRISING SAME
US8805600B2 (en) 2009-02-10 2014-08-12 Airbus Operations S.A.S. Flight control system and aircraft comprising it
DE102017010716A1 (en) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System for at least partially autonomous operation of a motor vehicle with double redundancy
US11332158B2 (en) 2017-11-10 2022-05-17 Knorr-Bremse Systeme Fuer Nutzfahrzeuge Gmbh System for the at least partially autonomous operation of a motor vehicle with double redundancy

Also Published As

Publication number Publication date
DE3906846C2 (en) 1994-02-17
FR2643995A1 (en) 1990-09-07
FR2643995B1 (en) 1995-05-05

Similar Documents

Publication Publication Date Title
DE60202924T2 (en) Aircraft control system
DE3638820C2 (en)
EP2435308B1 (en) Aircraft with a high-lift system
EP0616941B1 (en) System to avoid the self-opening of a door or a cover not correctly closed and locked, in an aircraft fuselage
DE3613197A1 (en) AVIATION ELECTRONICS CONTROL - CONTROL SYSTEM
EP3563527B1 (en) Flight control system
DE3137157A1 (en) REGULATOR FOR A DOUBLE SERVER
DE69534317T2 (en) Over-speed protection system for autopilot / trajectory controller
EP1028890A1 (en) Method for compensating structural variations in an airplane that are due to external disturbances
DE3106848C2 (en)
DE3600092C2 (en)
DE102018118437A1 (en) System and method for monitoring the condition of an unmanned aircraft
DE69629828T2 (en) RECONFIGURABLE FLIGHT CONTROL SYSTEM FOR HELICOPTER
DE60111303T2 (en) Airplane with electric flight control, equipped with an autopilot system
EP1092177A1 (en) Controller or engine controller, engine and method for adjusting a control or drive system or an engine
DE102006039671A1 (en) Modular electronic flight control system has actuator control-electronics having selection logic to decide whether to use directly received pilot guidelines or reference values of flight control processor for controlling actuator module
DE102011115362A1 (en) Modular electronic flight control system for controlling actuators in e.g. primary flight controls of e.g. civilian aircraft, has control units comprising electronic control of actuators and arranged and distributed in airplane
DE102005008556A1 (en) Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers
DE2808792A1 (en) POSITIONING SYSTEM
DE3906846C2 (en) Redundant computer arrangement for control systems
DE102008022895A1 (en) Control arrangement for controlling actuators arranged in rotor blade of aircraft i.e. helicopter, has control device connected with groups of actuators by interface connecting units, respectively
EP3448735B1 (en) Server device operating a piece of software for controlling a function of a rail transport safety system
DE102011115356A1 (en) Flight control system for electronic control of actuators of e.g. military aircraft, has flight control devices for performing signal transmissions via digital data bus i.e. triple-redundant bidirectional bus
DE1481514A1 (en) Abundantly equipped control system
DE2828484C2 (en)

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DIEHL BGT DEFENCE GMBH & CO. KG, 88662 UBERLINGEN,

8327 Change in the person/name/address of the patent owner

Owner name: DIEHL AVIONIK SYSTEME GMBH, 88662 UBERLINGEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: DIEHL AEROSPACE GMBH, 88662 UBERLINGEN, DE