DE2134079B2 - Anordnung zur redundanten Prozeßrechnersteuerung - Google Patents

Anordnung zur redundanten Prozeßrechnersteuerung

Info

Publication number
DE2134079B2
DE2134079B2 DE19712134079 DE2134079A DE2134079B2 DE 2134079 B2 DE2134079 B2 DE 2134079B2 DE 19712134079 DE19712134079 DE 19712134079 DE 2134079 A DE2134079 A DE 2134079A DE 2134079 B2 DE2134079 B2 DE 2134079B2
Authority
DE
Germany
Prior art keywords
process computer
control channel
computer
assigned
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19712134079
Other languages
English (en)
Other versions
DE2134079A1 (de
Inventor
Edward Stuart Corse Lawn Eccles
John Castledown Mcnamara
Eric Winterbourne Roberts
Bristol Thornbury
Andrew Hurlstone Almondsbury Waddicor
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rolls Royce PLC
Original Assignee
Rolls Royce PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rolls Royce PLC filed Critical Rolls Royce PLC
Publication of DE2134079A1 publication Critical patent/DE2134079A1/de
Publication of DE2134079B2 publication Critical patent/DE2134079B2/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02CGAS-TURBINE PLANTS; AIR INTAKES FOR JET-PROPULSION PLANTS; CONTROLLING FUEL SUPPLY IN AIR-BREATHING JET-PROPULSION PLANTS
    • F02C9/00Controlling gas-turbine plants; Controlling fuel supply in air- breathing jet-propulsion plants
    • F02C9/26Control of fuel supply
    • F02C9/42Control of fuel supply specially adapted for the control of two or more plants simultaneously
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung betrifft eine Anordnung zur redundanten Prozeßrechnersteuerung für Anlagen, die mindestens zwei gleichartige, über jeweils einen eigenen Steuerkanal zu steuernde Einrichtungen enthalten.
Ein Anwendungsgebiet der Erfindung ist die Steuerung der Gasturbinentriebwerke eines mit mindestens zwei Triebwerken ausgestatteten Flugzeugs.
Beispielsweise aus der US^PS 3636331 ist es im Zusammenhang mit nur einem einzigen Steuerkanal zur Steuerung einer einzigen Einrichtung (z. B. chemische Anlage) bekannt, die Steuerung dadurch redundant auszulegen, daß zwei (oder mehr) parallel angeordnete Prozeßrechner vorgesehen sind, damit beim Ausfall eines dieser Prozeßrechner einer der übrigen Prozeßrechner die Steuerung übernehmen kann. Dieses bekannte Prinzip ist auch schon bei der Steuerung einzelner Flugzeugtriebwerke angewendet worden.
Bei Anlagen, die mindestens zwei zu steuernde Einrichtungen enthalten, im Falle der Flugzeugtrieb-Werkssteuerung also Flugzeuge mit zwei oder mehr Triebwerken, erfordert die Anwendung des eben beschriebenen bekannten Prinzips natürlich, daß die Anzahl der vorgesehenen Prozeßrechner immer mindestens doppelt so groß wie die Anzahl der zu steuernden Einrichtungen (z. B. Triebwerke) ist. Damit erhält man aber eine im Vergleich zur tatsächlichen Ausfallwahrscheinlichkeit eines Prozeßrechners übermäßig große Gesamtanzahl von Prozeßrechnern und somit einen unnötig hohen Redundanzfaktor, der durch einen hohen, kaum noch zu vertretenden Aufwand erkauft werden muß.
Der Erfindung liegt daher die Aufgabe zugrunde, eine redundante Prozeßrechnersteuerung für Anlagen mit mindestens zwei gleichartigen Steuerkanälen so auszulegen, daß die im Hinblick auf Betriebssicherheit erforderliche Redundanz der Prozeßrechnerverfügbarkeit mit einer minimalen Gesamtanzahl von Prozeßrechnern erreicht wird.
Diese Aufgabe wird gemäß der Erfindung durch die im kennzeichnenden Teil des Anspruchs 1 angegebene Anordnung gelöst.
Damit wird der technische Fortschritt erreicht, daß mit minimalem Aufwand, nämlich bei nur einem einzigen Prozeßrechner pro Steuerkanal, die Steuerung jedes Steuerkanals redundant ist, d. h. es ist jeweils mindestens ein Ersatzrechner für jeden Steuerkanal vorhanden, der beim Ausfall des dem betreffenden Steuerkanal zugeordneten Prozeßrechners dessen Funktion übernimmt.
Bei dem erfindungsgemäßen Prinzip, zur Redundanzherstellung jedem Prozeßrechner, der jeweils einem bestimmten Steuerkanal zugeordnet ist, einen anderen Prozeßrechner eines anderen Steuerkanals als Ersatzrechner zuzuordnen, der im Bedarfsfall beide Steuerkanäle gleichzeitig steuern kann, liegt eine zu berücksichtigende besondere Schwierigkeit darin, die Anordnung so auszulegen, daß im Falle des Versagens eines Prozeßrechners tatsächlich der noch funktionsfähige andere Prozeßrechner die Steuerung beider Steuerkanäle übernimmt und nicht etwa der versagende bzw. fehlerhaft arbeitende Prozeßrechner den funktionsfähigen Prozeßrechner übersteuert und dadurch auch die Steuerung des diesem funktionsfähigen Ersatzrechner zugeordneten Steuerkanals an sich reißt. Dieses Problem ist bei der erfindungsgemäßen Anordnung dadurch gelöst, daß jeder Prozeßrechner eine ihn periodisch testende Fehlerprüfeinheit aufweist, die den Prozeßrechner beim Feststellen einer
Störung abschaltet, und daß die einzige Verbindung zwischen diesem Prozeßrechner und einem anderen Prozeßrechner (Ersatzrechner) die Überwachungsleitung ist, über welche der andere Prozeßrechner den Einschaltzustand des einen Prozeßrechners über- "> wacht. Nur we.nn der andere Prozeßrechner feststellt, daß der eine Prozeßrechner abgeschaltet worden ist, schaltet sich der andere Prozeßrechner auf den Steuerkanal des einen Prozeßrechners zu.
Einen zusätzlichen Sicherheitsschritt in dieser Hin- '« sieht gibt Anspruch 2 an, dessen Gegenstand zu verhindern sucht, daß ein Prozeßrechner aufgrund einer eigenen Störung das vom Zustandsdetektor eines anderen Prozeßrechners kommende und dessen Einschaltzusland darstellende Zustandssignal falsch in- >> terpretiert.
Bei der in den Ansprüchen 3 und 4 angegebenen Weiterbildung der Erfindung sind jeder zu steuernden Einrichtung zwei identische Gruppen von Meßwandlern zugeordnet. Damit wird sichergestellt, daß eine -'< > zu steuernde Einrichtung (z. B. Flugzeugtriebwerk) nur in dem unwahrscheinlichen Falle der Steuerung beraubt wird, wenn zwei einander entsprechende Meßwandler gleichzeitig ausfallen sollten. Fällt ein Meßwandler einer Gruppe aus oder ist die Verbin- -'"> dung zum Prozeßrechner der betreffenden Einrichtung gestört, so kann der Prozeßrechner über die Schalteinrichtung und die Eingabe/Ausgabe-Einheit des anderen Steuerkanals zur anderen Meßwandlergruppe der betreffenden Einrichtung Zugriff erlan- «> gen.
Ein Ausführungsbeispiel der Erfindung wird nachstehend mit Bezug auf die Zeichnungen näher beschrieben. Es zeigt
Fig. 1 ein Blockschaltbild einer Anordnung zur re- r> dundanten Prozeßrechnersteuerung nach der Erfindung mit zwei Steuerkanälen,
Fig. 2 ein weiter vereinfachtes Blockschaltbild dieser Anordnung zur Erläuterung der Auswirkungen einer Störung in einem der Prozeßrechner, und
Fig. 3 ein vereinfachtes Blockschaltbild ähnlich Fig. 2 zur Erläuterung der Auswirkungen einer Störung in einer Leitungsverbindung zwischen einem Prozeßrechner und der zugehörigen, zu steuernden Einrichtung. v>
Fig. 1 zeigt ein Blockschaltbild einer Anordnung zur redundanten Prozeßrechnersteuerung einer Flugzeugtriebwerksanlage mit zwei Triebwerken 114 und 214. Demgemäß umfaßt die Anordnung zwei Steuerkanäle, die in Fig. 1 durch die strichpunktierte Li- >o nie O voneinander getrennt und jeweils einem der beiden Triebwerke zugeordnet sind.
Die Komponenten des einen, in der oberen Hälfte der Fig. 1 dargestellten Steuerkanals sind durch mit 100 beginnende Bezugszeichen bezeichnet, während >r> die Komponenten des anderen, in der unteren Hälfte der Fig. 1 dargestellten Steuerkanals durch mit 200 beginnende Bezugszeichen bezeichnet sind.
Die beiden Steuerkanäle weisen jeweils einen Prozeßrechner 100 bzw. 200 auf, der über eine Vielfach- w> leitung 102 bzw. 202 mit einer Schalteinrichtung 104 bzw. 204 verbunden ist. Die Schalteinrichtung jedes Steuerkanals ist ihrerseits über eine Vielfachleitung 106 bzw. 206 mit einer Eingabe/Ausgabe-Einheit 107 bzw. 207 verbunden, die über Meßwandlerleitungen br> 110 bzw. 210 an eine Gruppe von dem betreffenden Triebwerk 114 bzw. 214 zugeordneten Meßwandlern 112 bzw. 212 angeschlossen ist. Außerdem ist die Eingabe/Ausgabe-Einheit 107 des einen Steuerkanals über weitere Meßwandlerleitungen 116 an eine weitere Gruppe von Meßwandlern 218 des durch den anderen Steuerkanal gesteuerten Triebwerks 214 und die Eingabe/Ausgabe-Einheit 207 des anderen Steuerkanals über weitere Meßwandlerleitungen 216 mit einer weiteren Gruppe von Meßwandlern 118 des durch den einen Steuerkanal gesteuerten Triebwerks 114 angeschlossen.
Von der Vielfachleitung 102 des einen Steuerkanals zweigt bei 105 eine Vielfachzweigleitung 103 ab, die an die Schalteinrichtung 204 des anderen Steuerkanals angeschlossen ist und über diese Schalteinrichtung eine Verbindung des Prozeßrechners 100 des einen Steuerkanals mit der Vielfachleitung 206 des anderen Steuerkanals gestattet. In gleicher Weise zweigt von der Vielfachleitung 202 des anderen Steuerkanals bei 205 eine Vielfachzweigleitung 203 ab, die an die Schalteinrichtung 104 des einen Steuerkanals angeschlossen ist und eine Verbindung des Prozeßrechners 200 des anderen Steuerkanals mit der Vielfachleitung 106 des einen Steuerkanals ermöglicht.
Bei den Meßwandlern 112,118, 212 und 218 handelt es sich um den Triebwerken 114 und 214 zugeordnete Meßwertaufnehmer, Stellorgane u. dgi. Jeweils ein Meßwandler der beiden jedem Triebwerk zugeordneten Meßwandlergruppen ist als Positionsgeber dem zu dem betreffenden Triebwerk gehörenden, vom Piloten zu bedienenden Gashebel 120 bzw. 220 zugeordnet. Die Meßwandler der weiteren Meßwandlergruppe 118 bzw, 218 jedes Triebwerks sind jeweils Duplikate der Meßwandler der Meßwandlergruppe 112 bzw. 212 jedes Triebwerks, d. h. für jeden Meß- oder Steuerparameter ist ein Paar identischer Meßwandler vorgesehen.
Die Eingabe/Ausgabe-Einheit 107 bzw. 207 jedes Steuerkanals enthält einen Multiplexer 108 bzw. 208 zum Adressieren der einzelnen Meßwandler im Multiplexverfahren und Digital/Analog-Wandler 122 bzw. 222 zur Signalumsetzung zwischen dem als Digitalrechnerausgebildeten Prozeßrechner 100 bzw. 200 und den im allgemeinen analog arbeitenden Meßwandlern.
Jede der Vielfach- bzw. Vielfachzweigleitungen besteht ihrerseits aus drei Leitungsgruppen, nämlich einer Adressenleitungsgruppe 1, einer Ausgabeleitungsgruppe 2, deren Leitungen an die als Stellantriebe dienenden Wandler angeschlossen sind, und einer Eingabeleitungsgruppe 3, deren Leitungen an die als Meßfühler bzw. Positionsgeber dienenden Wandler angeschlossen sind.
In Fig. 1 sind die Schalteinrichtungen 104 und 204 und die Multiplexer 108 und 208 symbolisch als einfache Drehschalter dargestellt. Tatsächlich erfolgt ihre Steuerung aber durch Adressensignale auf der Adressenleitungsgruppe 1.
Normalerweise steuert der Prozeßrechner 100 des einen Steuerkanals das ihm zugeordnete Triebwerk 114, während der Prozeßrechner 200 des anderen Steuerkanals das ihm zugeordnete Triebwerk 214 steuert. Dabei erfolgt der Informationsaustausch zwischen dem Rechner 100 und den Meßwandlern 112 über die Meßwandlerleitungen 110, jedoch kann auch ein Informationsaustausch über die Vielfachzweigleitung 103, die Schalteinrichtung 204 des anderen Steuerkanals, die Eingabe/Ausgabe-Einheit 207 des anderen Steuerkanals und die Meßwandlerleitungen 216
mit der weiteren Meßwandlergruppe 118 erfolgen. Entsprechendes gilt für den Informationsaustausch zwischen dem Rechner 200 des anderen Steuerkanals und den zu diesem gehörenden Meßwandlern 212 und 218.
Jeder der beiden Rechner 100 und 200 ist in der Lage, die Schalteinrichtungen 104 und 204 zu adressieren, um Zugriff zu den Multiplexern zu erhalten. Es sind jedoch Vorkehrungen getroffen, um zu verhindern, daß beide Rechner gleichzeitig Zugriff zu den gleichen Multiplexern haben.
Aus Sicherheitsgründen sind die beiden Steuerkanäle in dem Flugzeug, in welchem die beiden zu steuernden Triebwerke 114 und 214 installiert sind, so weit wie praktisch möglich räumlich voneinander entfernt angeordnet. Die beiden Steuerkanäle stehen über drei Kabel Cl, Cl und C3 miteinander in Kommunikation, von denen die beiden Kabel Cl und Cl durch die bereits erwähnten Vielfachzweigleitungen 103 und 203 gebildet sind. Das dritte Kabel C3 ist Bestandteil des nachstehend beschriebenen Fehlerprüfsystems der Anordnung. Der Anschluß der drei genannten Kabel an die beiden Steuerkanäle erfolgt über Steckerverbindungen Pll, P12, P13 bzw. P21, P22 und P23.
Nachstehend wird das Fehlerprüfsystem der Anordnung beschrieben.
Jedem der beiden Prozeßrechner 100 und 200 ist eine Fehlerprüfeinheit 126A bzw 226/4 zugeordnet, die über eine Leitung 124/1 bzw. 224/4 mit der Vielfachleitung 102 bzw. 202 des betreffenden Steuerkanals verbunden ist. Die Fehlerprüfeinheit 126/4 bzw. 226/4, die in regelmäßigen Intervallen die Funktionsfähigkeit des zugehörigen Prozeßrechners 100 bzw. 200 testet, betätigt beim Feststellen bestimmter Störungen ein Relais 128 bzw. 228, wodurch die zu dem betreffenden Rechner 100 bzw. 200 führende Stromversorgungsleitung 130 bzw. 230 unterbrochen und folglich der fehlerhafte Rechner abgeschaltet wird. Diese Abschaltung wird von einem in der betreffenden Fehlerprüfeinheit 126/4 bzw. 226/4 enthaltenen, den jeweiligen Schaltzustand feststellenden Zustandsdetektor 132/4 bzw. 232/4 festgestellt, der über eine Überwachungsleitung 134R bzw. 234Λ mit der Vielfachleitung 202 bzw. 102 des jeweils anderen Steuerkanals verbunden ist, so daß also eine Abschaltung des Rechners 100 durch den Zustandsdetektor 132/4 an den Rechner 200 bzw. eine Abschaltung des Rechners 200 durch den Zustandsdetektor 232/4 an den Rechner 100 signalisiert wird.
Jeder Rechner enthält außer dem Steuerprogramm für das von ihm zu steuernde Triebwerk zusätzlich ein Reservesteuerprogramm für das dem jeweils anderen Steuerkanal zugeordnete Triebwerk, so daß einer der Rechner, wenn ihm über den betreffenden Zustandsdetektor die Abschaltung des anderen Rechners signalisiert worden ist, mit Hilfe des Reservesteuerprogramms zusätzlich zur Steuerung des ihm zugeordneten Triebwerks auch die Steuerung des dem jeweils anderen Steuerkanal zugeordneten Triebwerks übernimmt.
Die beiden Überwachungsleitungen 134/? und 234R bilden zusammen das Kabel C3.
Die jedem Steuerkanal zugeordnete Fehlerprüfeinheit 126/4 bzw. 226/4 ist für das Feststellen folgender Störungen organisiert:
a) Störungen innerhalb des Rechners und innerhalb der betreffenden Fehlerprüfeinheit;
b) teilweise Störung des Informationsaustauschs zwischen dem betreffenden Prozeßrechner und dem zugeordneten Triebwerk, d. h. Störung in einem Meßwandler oder einer Meßwandlerleitung der Meßwandlergruppe 112 bzw. 212, so daß eine Steuerung des Triebwerks noch über die weitere Meßwandlergruppe 118 bzw. 218 erfolgen kann;
c) vollständige Störung des Informationsaustauschs zwischen dem betreffenden Prozeßrechner und dem zugeordneten Triebwerk, also beispielsweise eine Störung in den Vielfachleitungen oder in jedem von zwei einander entsprechenden Meßwandlern der beiden Meßwandlergruppen bzw. in deren Meßwandlerleitungen; und
d) Störungen in der Überwachungsfunktion, d. h. eine Störung in dem Erkennen des Einschaltzustands des jeweils anderen Rechners durch einen Rechner.
Die Auswirkung einer Rechnerstörung [Störungsart a) gemäß obiger Aufstellung] ist in Fig. 2 dargestellt, wobei eine Störung des Rechners 100 angenommen ist. Der Rechner 100 ist infolgedessen abgeschaltet, so daß auf den strichpunktiert dargestellten Vielfachleitungen keine Signale mehr übertragen werden. Die noch in Betrieb befindlichen, durch den anderen Rechner 200 gesteuerten Leitungen sind in ausgezogenen Linien dargestellt. Der Rechner 200 steuert demgemäß über seine Vielfachzweigleitung 203, die Schalteinrichtung 104 und den noch intakten Teil des dem defekten Rechner 100 zugeordneten Steuerkanals das Triebwerk 114 zusätzlich zu dem ihm zugeordneten Triebwerk 214. Wie aus Fig. 2 auch zu erkennen ist, bleibt der Zugriff zu sämtlichen Meßwandlergruppen erhalten.
Die Wirkung einer teilweisen Störung des Informationsaustauschs zwischen einem Rechner und dem ihm zugeordneten Triebwerk (Störungsart b) ist in Fig. 3 dargestellt, wobei eine Störung an beliebiger Stelle zwischen der Vielfachleitungsverzweigung 105 und der Eingabe/Ausgabe-Einheit 107 angenommen ist, so daß über die Vielfachleitung 106 keine brauchbare Informationsübertragung mehr stattfinden kann. Der dadurch nicht mehr betriebsfähige Teil der Anlage ist wiederum strichpunktiert gezeichnet, während die noch intakten Teile mit voll ausgezogenen Linien dargestellt sind. Da jedes Triebwerk mit zwei gleichartigen Gruppen von Meßwandlern ausgestattet ist und die Eingabe/Ausgabe-Einheit jedes Steuerkanals mit der einen Meßwandlergruppe des zugehörigen Triebwerks und der anderen Meßwandlergruppe des dem anderen Steuerkanal zugeordneten Triebwerks verbunden ist, kann der Rechner 100 über die Vielfachzweigleitung 103 und die Schalteinrichtung 204 und die Eingabe/Ausgabe-Einheit 207 des anderen Steuerkanals zu der zweiten Meßwandlergruppe 118 des Triebwerks 114 Zugriff erlangen. Damit erfolgt die Steuerung des Triebwerks 114 weiterhin durch den Rechner 100.
Treten eine Rechnerstörung (Störungsart a) und eine teilweise Störung des Informationsaustauschs (Störungsart b) gemeinsam auf, so steuert der noch intakte Rechner beide Triebwerke, und zwar jeweils über die noch intakte Meßwandlergruppe.
Das Feststellen von Fehlern bzw. Störungen erfolgt mit Hilfe von Fehlerprüfprogrammen.
Zur Überprüfung der Rechnerfunktionsfähigkeit führt dieser jeweils eine Anzahl von Testrechnungen
aus, die eine Prüfzahl ergeben, welche, wenn der Rechner in Ordnung ist, gleich einer vorgegebenen Zahl ist. Die jeweils erhaltene Prüfzahl wird der Fehlerprüfeinheit mitgeteilt, welche sie mit der vorgegebenen Zahl vergleicht.
Störungen des Informationsaustauschs werden dadurch festgestellt, daß der Rechner Testsignale auf die Ausgangsleitungsgruppe gibt, wobei, wenn das Leitungssystem in Ordnung ist, sich auf der Eingangsleitungsgruppe bestimmte Prüfsignale ergeben, die von der Fehlerprüfeinheit ausgewertet werden.
Störungen einzelner Meßwandler sind dadurch feststellbar, daß beispielsweise der betreffende Meßwandler nicht in der Lage ist, entsprechend einem im Rechner gespeicherten Schema zu arbeiten.
Störungen der Überwachungsfunktion zur Überwachung der Funktionsfähigkeit des jeweils anderen Steuerkanals werden dadurch festgestellt, daß zur Prüfung der eigenen Funktionsfähigkeit jeder Prozeßrechner aufgrund des vom Zustandsdetektor des jeweils anderen Prozeßrechners gelieferten Zustandssignals ein entsprechendes Prüfsignal erzeugt, das von einem in der zugehörigen Fehlerprüfeinheit enthaltenen Vergleicher mit dem empfangenen Zustandssignal verglichen wird. Falls zwischen diesen beiden Signalen keine Koinzidenz vorliegt, was eine Störung der eigenen Funktionsfähigkeit des betreffenden Rechners bedeutet, schaltet die Fehlerprüfeinheit den Rechner ab.
Das Fehlerprüfsystem ist zwar so ausgelegt, daß es im Falle von Rechnerstörungen oder vollständigen
to Störungen des Informationsaustauschs die Stromversorgung des betreffenden Rechners über das Relais 128/4 bzw. 22SA unterbricht, jedoch erfolgt diese Unterbrechung der Stromversorgung mit einer gewissen Verzögerung, um eine Außerbetriebsetzung aufgrund von nur kurzzeitig andauernden vorübergehenden Störungen auszuschließen. Jedoch erfolgt im Falle einer Rechnerstörung sofort eine Sperrung der Vielfachleitungen, um zu verhindern, daß ein gestörter Rechner ein Steuerprogramm ausführt.
Das in jedem Rechner gespeicherte Programm ist in Fig. 1 schematisch angedeutet und mit 138 bzw. 238 bezeichnet.
Hierzu 2 Blatt Zeichnungen
030 109/86

Claims (4)

Patentansprüche:
1. Anordnung zur redundanten Prozeßrechnersteuerung für Anlagen, die mindestens zwei gleichartige, über jeweils einen eigenen Steuerkanal zu steuernde Einrichtungen enthalten, dadurch gekennzeichnet, daß jedem Steuerkanal (100 bis 138, 200 bis 238) ein Prozeßrechner (100, 200) zugeordnet ist, daß jeder Prozeßrechner eine seine Funktionsfähigkeit in regelmäßigen Intervallen testende Fehlerprüfeinheit (126/1, 226/1), die beim Feststellen einer Störung den betreffenden Prozeßrechner abschaltet, und einen seinen Einschaltzustand feststellenden Zustandsdetektor (132/1, 232/1) enthält, daß der Prozeßrechner jedes Steuerkanals über eine Schalteinrichtung (104, 204) außerdem auf mindestens einen, einem anderen Prozeßrechner zugeordneten Steuerkanal zuschaltbar ist und über eine Überwachungsleitung (C3) mit dem Zustandsdetektor dieses anderen Prozeßrechners verbunden ist und daß der Prozeßrechner jedes Steuerkanals, falls der mit ihm verbundene Zustandsdetektor eines anderen Prozeßrechners den Ausschaltzustand dieses anderen Prozeßrechners signalisiert, sich auf den Steuerkanal dieses anderen Prozeßrechners zuschaltet und dessen Steuerung mitübernimmt.
2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, daß jeder Prozeßrechner (100, 200) zur Prüfung der eigenen Funktionsfähigkeit aufgrund des vom Zustandsdetektor (232/1, 132/1) des ihm zugeordneten anderen Prozeßrechners gelieferten Zustandssignals ein entsprechendes Prüfsignal erzeugt und daß die Fehlerprüfeinheit (126/4,226/1) das Prüfsignal und das Zustandssignal miteinander vergleicht und, falls keine Koinzidenz vorliegt, den betreffenden Prozeßrechner abschaltet.
3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß jeder zu steuernden Einrichtung (114, 214) zwei identische Gruppen von Meßwandlern (112, 118, 212, 218) zugeordnet sind, daß jeder Steuerkanal eine Eingabe/Ausgabe-Einheit (107, 207) enthält und daß die eine Meßwandlergruppe (112, 212) mit der Eingabe/ Ausgabe-Einheit (107,207) des jeweils zugehörigen Steuerkanals und die andere Meßwandlergruppe (118,218) mit der Eingabe/Ausgabe-Einheit (207, 107) des anderen Steuerkanals verbunden ist.
4. Anordnung nach Anspruch 3, dadurch gekennzeichnet, daß jeder Prozeßrechner (ζ. Β. 100) im Falle von Fehlern in der Kommunikation mit der einen Meßwandlergruppe (112) der zugeordneten Einrichtung (114) oder beim Versagen einzelner Meßwandler dieser Gruppe über die Schalteinrichtung (204) und die Eingabe/Ausgabe-Einheit (207) des anderen Steuerkanals zur anderen Meßwandlergruppe (118) der betreffenden Einrichtung (114) Zugriff erlangen kann.
κ»
DE19712134079 1970-07-09 1971-07-08 Anordnung zur redundanten Prozeßrechnersteuerung Withdrawn DE2134079B2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB3332670A GB1364625A (en) 1970-07-09 1970-07-09 Digital data processing system

Publications (2)

Publication Number Publication Date
DE2134079A1 DE2134079A1 (de) 1972-01-20
DE2134079B2 true DE2134079B2 (de) 1980-02-28

Family

ID=10351496

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19712134079 Withdrawn DE2134079B2 (de) 1970-07-09 1971-07-08 Anordnung zur redundanten Prozeßrechnersteuerung

Country Status (3)

Country Link
DE (1) DE2134079B2 (de)
FR (1) FR2104778B1 (de)
GB (1) GB1364625A (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3007960A1 (de) * 1980-03-01 1981-09-10 Standard Elektrik Lorenz Ag, 7000 Stuttgart Elektronisches stellwerk

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2344063A1 (fr) * 1976-03-10 1977-10-07 Smiths Industries Ltd Circuit numerique de commande a deux voies au moins
GB1587792A (en) * 1977-06-02 1981-04-08 Bendix Corp Digital flight guidance system
JPS548350A (en) * 1977-06-20 1979-01-22 Mitsubishi Electric Corp Elevator controller
US4387426A (en) * 1979-09-06 1983-06-07 Rolls-Royce Limited Digital data processing system
GB2132796A (en) * 1982-11-25 1984-07-11 Decca Ltd Data logging system
GB2237904B (en) * 1984-02-28 1991-10-02 Lucas Ind Plc Digital control system
US5067080A (en) * 1985-04-11 1991-11-19 Lucas Industries Public Limited Company Digital control system
GB2328352A (en) * 1997-08-12 1999-02-17 Lucent Technologies Uk Limited Redundant communication network
US8140242B2 (en) 2008-05-22 2012-03-20 United Technologies Corp. Systems and methods involving multiplexed engine control signals
CN112377312B (zh) * 2020-07-31 2021-12-24 西北工业大学 自修复并行燃料控制系统及故障判断修复方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3007960A1 (de) * 1980-03-01 1981-09-10 Standard Elektrik Lorenz Ag, 7000 Stuttgart Elektronisches stellwerk

Also Published As

Publication number Publication date
DE2134079A1 (de) 1972-01-20
GB1364625A (en) 1974-08-21
FR2104778A1 (de) 1972-04-21
FR2104778B1 (de) 1977-01-28

Similar Documents

Publication Publication Date Title
DE1538493B2 (de) Verfahren und Schaltungsanordnunge zur direkten digitalen Regelung
DE19707241C2 (de) Modulares Sicherheitsschaltgerät
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE3614979A1 (de) Sicherheitssystem fuer eine druckmaschine
EP2017869A2 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE4032033C2 (de)
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
EP2202592A2 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE2134079B2 (de) Anordnung zur redundanten Prozeßrechnersteuerung
DE3106848C2 (de)
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
EP2856649B1 (de) Analogsignal-eingangsschaltung mit einer anzahl von analogsignal-erfassungskanälen
DE2827443C2 (de) Gesicherte Stromrichteranordnung
EP0996060A2 (de) Einzelprozessorsystem
DE2647367B2 (de) Redundante Prozeßsteueranordnung
DE1931296A1 (de) Redundantes Steuer- oder Regelsystem
DE2711519C3 (de) Datenübertragungs-Anlage
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
DE3206849A1 (de) Redundante stelleranordnung
DE102021102206A1 (de) Autonomer mobiler Roboter mit Fehlererkennung und Verfahren zum Betrieb eines autonomen mobilen Roboters mit Fehlererkennung
DE2315906A1 (de) Anordnung zur ueberwachung und steuerung eines redundanten elektrohydraulischen stellantriebs
DE3209718A1 (de) Funktionssichere steuereinrichtung
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
EP1692578A1 (de) Peripherieeinheit für ein redundantes steuersystem
WO2011113405A1 (de) Steuergeräteanordnung

Legal Events

Date Code Title Description
OGA New person/name/address of the applicant
8230 Patent withdrawn