DE2820634A1 - Signalwahl- und -konsolidierungsanordnung mit gewichtung - Google Patents

Signalwahl- und -konsolidierungsanordnung mit gewichtung

Info

Publication number
DE2820634A1
DE2820634A1 DE19782820634 DE2820634A DE2820634A1 DE 2820634 A1 DE2820634 A1 DE 2820634A1 DE 19782820634 DE19782820634 DE 19782820634 DE 2820634 A DE2820634 A DE 2820634A DE 2820634 A1 DE2820634 A1 DE 2820634A1
Authority
DE
Germany
Prior art keywords
signal
redundant
signals
selection
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19782820634
Other languages
English (en)
Inventor
Donald Lionel Martin
David Bennett Yanke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Priority to DE19782820634 priority Critical patent/DE2820634A1/de
Publication of DE2820634A1 publication Critical patent/DE2820634A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Signalwahl- und -konsolidierungsanordnung mit Gewichtung
  • Die vorliegende erfindung betrifft das Gebiet der Steuersysteme. Insbesondere betrifft die Erfindung eine Signalwahl-und -konsolidierungsanordnung, die auf eine Vielzahl redundanter Eingangssignale ansprechend ein einziges zuverlässiges Signal liefert, das dann in einer Anordnung wie einem Steuer-oder Rechensystem ausgewertet werden kann.
  • In bestimmten Situationen muß ein Steuer- oder Rechensystem einen Systemzuverlässigkeitsfaktor haben, der sich mit der Verwendung von nur einem Systemteil zur Ausübung jeder Bunktion nicht mehr erreichen läßt. Oblicherweise wird man dann einen oder mehrere der Systemteile durch eine Gruppe von Systemteilen ersetzen, die jeweils einzeln die gleiche Funktion ausüben können wie der ersetzte Systemteil. Zusätzlich weist die Anordnung eine Logiksteuerung auf, die einen zu beliebiger Zeit auftretenden Teil ausfall ermittelt und ein einwandfrei arbeitendes Systemteil innerhalb des Systems auswählt. In einem solchen System bezeichnet man diejenigen Teile, die im wesentlichen identische Funktionen ausüben, sowie deren Signale als redundant, da zunächst weniger als die gesamte Anzahl der redundanten Teile oder Signale für eine einwandfreie Systemoperation erforderlich sind.
  • Abhängig von der Systemkonfiguration und dem erforderlichen Zuverlässigkeitsfaktor läßt sich Redundanz auf unterschiedliche Weise implementieren. Bspw. weist eine typische Flugsteuerung für ein Luftfahrzeug eine oder mehrere Arten von Sensoren bzw.
  • Wandlern, die Daten wie bspw. die Flughöhe liefern, sowie eine Recheneinheit auf, die auf die Sensorsignale ansprechend Steuersignale erzeugt, mit denen die Steuerflächen des Luftfahrzeugs angesteuert werden. In einem solchen System kann man Redundanz vorsehen, indem man Gruppen unabhängiger Sensoren einen oder mehrere der verschiedenen Systemsensoren ersetzen läßt; desgl.
  • kann das System vollredundant ausgeführt werden, wobei eine Gruppe unabhängiger Sensoren, die jeweils jede Art eines Sensor ersetzen, und eine gleiche Anzahl von Recheneinheiten vorgesehen werden.
  • Was die redundanten Steuerungen nach dem Stand der Technik anbetrifft, wird eine Vollredundanz oft implementiert, indem man das System als eine Anzahl von separaten tl Kanälen" aufbaut. Bspw. baut man ein dreifach redundantes System oft in Form von drei separaten Kanälen auf, die jeweils eine vollständige Steuerung darstellen, wobei das System weiterhin Mittel aufweist, um die Funktion jedes der redundanten Systemteile zu überwachen und einen Ausfall oder Fehlfunktionen zu erfassen. Indem man das System auf diese Weise organisiert, kann man erreichen, daß, wenn ein bestimmter redundanter Teil ausfällt, die Systemlogik den fehlerhaften Teil ermittelt und ihn vom System abtrennt, so daß das System dann mit einwandfreien Teilen weiter arbeitet ("Gail/operational operation"; unbedingte Betriebssicherheit). Weiterhin läßt sich erreichen, daß das System beim Ausfall eines ersten redundanten Teils voll betriebsfähig bleibt und in einen passiven Betriebssustand übergeht, wenn ein zweiter redundanter Teil ausfällt ("Gail / operational - Gail / passive operation"; bedingte Betriebssicherheit). Bewirkt ein zweiter Ausfall den Ubergang des Systems in den passiven Zustand, werden im allgemeinen die Steuersignale nicht mehr ausgewertet, d.h. auf die Steuerflächen des Luftfahrzeugs gegeben; das Luftfahrzeug muß dann von Hand gesteuert werden.
  • In vielen Situationen handelt es sich bei einem oder mehreren der redundanten Signale um zeitveränderliche oder Analogsignale. Es ist einzusehen, daß in einer solchen Situation, obgleich die die redundanten Signale liefernden Sensoren oder anderen Vorrichtungsteile untereinander identisch sein können, die redundanten Signale selbst nicht untereinander identisch ind. Um dem System ein "bestes" oder richtiges" Signal zu liefern, weist die Signalwahllogik der redundanten Steuerungen nach dem Stand der Technik im allgemeinen Einrichtungen, um entweder ein bestimmtes der redundanten Signale für die Auswertung in jedem der Systemkanäle zu wahlen, oder Mittel auf, um ein Signal auf der Grundlage der von den betriebsfähigen redundanten Teilen gelieferten Signalen zu bilden oder e Xus diesen abzuleiten. Man spricht, wenn die redundanten Signale zu einem abgeleiteten Signal verknüpft werden, von einer Signalkonsolidierung, und dieser Ausdruck soll auch im folgenden verwendet werden. Ein Beispiel für diese Signalkonsolidierung ist, ein abgeleitetes Signal zu erzeugen, dessen Größe gleich dem mathematischen Durchschnitt der redundanten Signale (d.h.
  • Summe der redundanten Signale, geteilt durch die Anzahl der redundanten Signale) ist. Bei Signalwahleinrichtungen, in denen ein gewähltes redundantes Signal auf jeden Systemkanal gegeben wird, findet oft eine "Abstimmung" ("voting") statt, wobei eines der redundanten Signale nach einem vorbestimmten Kriterium ausgewählt wird (bspw. das dem Mittelwert entsprechende Signal).
  • Obgleich die Signalwahlsysteme des Standes der Technik oft zufriedenstellend arbeiten in Anwendungen, in denen die redundanten Teile identisch untereinander sind und daher redundante Signale im wesentlichen der gleichen Genauigkeit liefern, kann es vorteilhaft oder erforderlich sein, eine Gruppe redundanter Teile zu benutzen, in der ein Teil oder mehrere Teile genauere oder zuverlässigere Informationen liefert bzw.
  • liefern als der Rest der redundanten Teile. Bspw. kann in Luftfahrzeugsteuerungen die Steigwinkelinformation aus einer Vielzahl von Quellen - einschließlich eines rägheitsnavigatiorssystems und herkömmlichen Vertikalkreiseln - stammen. Obgleich die Lage information, die ein Trägheitsnavigationssystem liefert, genauer ist als die von Vertikalkreiseln gelieferte (und diese Genauigkeit auch über längere Zeiträume beibehält), lassen die Kosten einer redundanten Ausführung von Drägheitsnavigationssystemen im allgemeinen eine solche Ausführung nicht zu. In diesen und ähnlichen Umständen wäre es erwünscht, ein einziges Präzisionsinstrument wie ein Trägheitsnavigationssystem sowie weniger präzise Instrumente wie Vertikalkreisel einzusetzen, die gemeinsam einen redundanten Sensorensatz bilden. Genauer gesagt: Es wäre erwünscht, eine Signalwahl- und -konsolidierungsanordnung zu schaffen, die an die Steuerung genau das vom Trägheitsnavigationssystem erzeugte Signal liefert, wenn dieses System betriebsfähig ist, und an das Steuersystem ein Signal liefert, das der von den Vertikalkreiseln abgegebenen Information entspricht, wenn das Trägheitssystem betriebsunfähig ist.
  • Die Signalwahlsysteme nach dem Stand der Technik sind für diese Situation nicht geeignet, daß sie alle redundanten Signale gleichgewichtig auswerten. Liegt bspw. ein Signalwahlsystem nach dem Stand der Technik vor, indem die Signalkonsolidierung durch Ableiten eines Signals erfolgt, das gleich dem Mittelwert der anliegenden redundanten Signale ist, läßt sich der volle Vorteil der vom Sräzisionsteil gelieferten Informationen nicht erreichen. Verwendet die Signalwahlsysteme nach dem Stand der Technik jedoch das Abstiminverfahren, wird oft ein von einem der weniger präzisen redundanten Sensoren geliefertes Signal gewählt, nicht das von dem präziseren Sensor abgegebene.
  • Wesentliche Schwierigkeiten bei den Signalwahl- und -konsolidierungssystemen nach dem Stand der Technik sind auch in anderer Hinsicht aufgetreten. Im allgemeinen ist es sowohl erforderlich als auch erwünscht, abrupte Änderungen des an eine Steuerung gelieferten Signalpegels zu vermeiden, wenn einer der redundanten Systemteile ausfällt. In vielen Fällen hat bzpw. das Signal, das im Zeitpunkt des Ausfalls eines redundanten Sensors am System liegt, eine völlig andere Amplitude als das Signal, das unmittelbar nach dem Ausfall an das System gelegt werden müßte. Bei Systemen wie Luftfahrzeugsteuerungen kann ein abrupter bbergang zwischen dem Signal vor dem Teile ausfall und dem nach dem Ausfall gelieferten Signal nicht geduldet werden, da dieser plötzliche Übergang katastrophale Folgen haben kann. Obgleich die Signalwahl- und Konsolidierungssysteme nach dem Stand der Technik oft Mittel enthalten, um das unmittelbar nach einem Teile ausfall vorliegende Signal dem beim Teileausfall vorhandenen anzugleichen, haben diese sich oft nicht als zufriedenstellend erwiesen und die Systemfunktion insgesamt nur beeinträchtigt.
  • Ein anderes, mit dem obigen im Zusammenhang stehendes Problem ist die Überwachung redundanter Signale zur Erfassung des Ausfalls eines der redundanten Teile. Insbesondere betrifft dieses Problem die Festlegung von Kriterien, nach denen die Anordnung einen bestimmten Teil als betriebsunfähig bewertet.
  • Bspw. werden die von einem redundanten Satz Sensoren gelieferten Signale oft miteinander verglichen. Das System erkennt als Ausfall, wenn der Unterschied zwischen dem von diesem Teil gelieferten Signal und dem von einem weiteren Teil aus dem redundanten Satz gelieferten Signal einen vorbestimmten Schwellwert übersteigt. In einem solchen System kann es zu Fehlabschaltungen und beständigen Betriebsartenwechseln kommen, wenn die Schwellwerte zu eng toleriert sind. Tolerantere Vergleichskriterien erlauben jedoch, daß unerwünscht große Signaleübergänge am System auftreten, wenn ein Sensor plötzlich ausfällt und einen solchen Signalübergang bzw. ein "Sprungeingangssignal" erzeugt. Diese Signalsprünge erscheinen zusätzlich zu den oben beschriebenen abrupten Signalübergängen und können auf ein Steuersystem die gleiche Wirkung haben.
  • Dieses Problem ist besonders gewichtig in Situationen, in denen einer der redundanten Teile genauere Informationen liefert als die verbleibenden redundanten Teile. Insbesondere ist einzusehen, daß in einer solchen Situation es von Vorteil ist, einen verhältnismäßig toleranten Vergleichsschwellwert zu verwenden ul zu bestinen, ob der Präzisionsteil auqefailen ist, den in aller Wahrscheinlichkeit ist tas von einen solchen Präzisionsteil gelieferte Signal genauso präzise wie die von den weniger genauen zellen gelief.rten Signale. selbst wenn eine erhebliche Abweichung zwischen des von Präzisionsteil und den weniger präzisen Systemteilen gelieferten Signalen vorliegt. Andererseits kann bei solchen Präzisionsteilen auch ein Ausfallzustand mit einem abrupten Signalübergang erheblicher Größe auftreten. In dieser Hinsicht sind die Signalwahl- und Konsolidierungssysteme des Standes der Technik, die mit Sitzen im wesentlichen identischer redundanter Teile arbeiten sollen, nicht so strukturiert, daß sie das präzise Signal über einen Bereich benutzen, indem das Signal wahrscheinlich ebenso genau ist wie die von den weniger präzisen Teile gelieferten, während sie gleichzeitig ein Sprungeingangssignal, das vom Sensor in bestimmten Ausfallzuständen erzeugt werden kann, am Erreichen des Systems hindern.
  • Die Schwierigkeiten der Anordnungen des Standes der Technik lassen sich umgehen mit einer Anordnung nach der vorliegenden Erfindung. Diese sieht eine Signalwahllogik vor, die LogSksignale nicht nur des Ausfallzustands jedes der redundanten Sensoren, sondern auch eines "Vermutungs"-Zustands liefert, in dem der Präzisionssensor zwar nicht ausgefallen ist, in des aber die Abweichung zwischen den vom Präzisionssensor gelieferten Signalen und denen aus den weniger präzisen Sensoren denjenigen Wert übersteigt, der aufgrund der Genauigkeitzunterschiede zwischen den Sensoren zu erwarten war. Diese Logiksignale werden auf einen Konzolidierer gegeben, der ein abgeleitetes stetiges Ausgangssignal liefert, das mit dem von Präzisionssensor gelieferten identisch ist, wenn der Präzisionssensor voll betriebsfähig ist, d.h. sich nicht im Ausfall-oder Vermutungszustand befindet, und weiterhin ein abgeleitetes Signal liefert, das einen mathematisch geiwchteten Durchschnittsturt der von den weniger präzisen sensoren gelieferten Signale darstellt, wenn der Präzisionssensor ausgefallen ist. Abhängig von dem redundanten System, in dem die Erfindung eingesetzt wird, kann das bei im Vermutungszustand befindlichen Präzisionssensor gelieferte Signal entweder ein mathematisch gewichteter Durchschnittswert der von den weniger präzisen Sensoren gelieferten Signale oder ein mathematisch gewichteter Mittelwert der von allen betriebsfähigen Sensoren - einschließlich des von Präzisionssensor gelieferten Signals - sein.
  • Zusätzlich dazu, daß e.r die oben erläuterten stetigen Ausgangssignale liefert, verhindert der Signalkonsolidierer abrupte Übergänge oder Sprünge im Ausgangssignal, wenn bei einem Sensorausf all (oder dem Eintritt des Präzisionssensors in den Vermutungszustand) der Konsolidierer von einem abgeleiteten Ausgangssignal zum anderen umschalten muß. Genauer: Wenn die Signalwahllogik ein Logiksignal liefert, das bewirkt, daß der Konsolidierer ein anders abgeleitetes stetiges Signal abgibt, sorgt der Konsolidierer dafür, daß das abgeleitete Ausgangssignal von dem vor dem Sensorausfall gelieferten abgeleiteten Signal glatt auf das dasjenige abgeleitete Signal iibergeht, das geliefert worden muß, wenn der Ausfallzustand anhält.
  • Insbesondere schafft die vorliegende erfindung eine Signalwahl-und -konsolidierungsanordnung, die ein von einer Vielzahl redundanter Signal aus einer Vielzahl von Signalquellen abgeleitete Ausgangssignal liefert, wobei die redundanten Signale jeweils gleiohartige Informationen enthalten und eine der Signalquellen ein Präzisionssignalquelle ist, die präzisere Signalinformationen liefert als die verbleibenden Sisnalquellein. Diese Anordnung weist eine Signalwahleinrichtung auf, die auf ein Signalquellen-Ausfallsignal anspricht, das jeder der Signalquellen zugeordnet ist und jeweils anzeigt, wenn die ihm zugeordnete Signalquelle betriebsfähig ist, sowie anzeigt, wenn die zugeordnete Signal quelle sich ii jusfallzustand befindet, wobei die Signalquellenwahleinrichtung weiterhin auf die Vielzahl redundanter Signale anspricht und Logikmittel aufweist, um das von der Präzisionssignalquelle gelieferte präzisere Signal mit den von den verbleibenden Signalquellen gelieferten Signalen zu vergleichen, wobei die Iogiksittel Einrichtungen, um ein erstes Wahlsignal auf einem ersten vorbestimmten Wert, wenn die Größe des präziseren Signals die Größe aller von den verbleibenden Signalquellen gelieferten Signale um einen ersten Betrag übersteigt, und einen zweiten vorbestimmten Wert hat, wenn die Größe des präziseren Signals die Größe aller von den verbleibenden Signalquellen gelieferten Signale nicht um den ersten vorbestimmten Betrag übersteigt, sowie Mittel enthalten, um ein zweites Wahlsignal zu liefern, wenn das erste Wahisignal den zweiten vorbestimmten Wert hat un das der Präzisionssignalquelle zugeordnete Ausfallaignal anzeigt, daß die Präzisionssignalquelle betriebsbereit ist. Weiterhin weist die Anordnung nach der vorliegenden Erfindung eine Signalkonsolidierungseinrichtung auf, die auf die redundanten und das erste sowie das zweite Wahlsignal ansprechend das Ausgangssignal liefert und Mittel, um das präzisere Signal als Ausgangssignal abzugeben, wenn die Signalwahleinriohtung das zweite Wahl signal abgibt, sowie Mittel aufweist, die auf das der Präzisionssignalquelle zugeordnete Ausfallsignal ansprechen, um das Ausgangs signal in Form des mathematisch gewichteten Durchschnittswerts des von den verbleibenden Signalquellen erzeugten Signale abzugeben, wenn das dem Präzisionssignalquelle zugeordnete Ausfallsignal anzeigt, daß die Präzisionssignalquelle sich im Ausfallzustand befindet.
  • Schließlich weist die Signalkonsolidierungseinrichtung Mittel auf, die auf das erste Wahlsignal ansprechend das Ausgangssignal als mathematisch gewichteten Durchschnittswert mindestens der von den übrigen Signalquellen gelieferten Signale abgibt, wenn das erste Wahlsignal den ersten vorbestimaten Wert hat.
  • Die Ziele und Vorteile der vorliegenden Erfindung sollen nun anhand der beigefügten Zeichnungen ausführlich beschrieben werden.
  • Fig. 1 ist ein Blockdiagramm eines Systems mit drei redundanten Sensoren, das die Signalwahl- und -konsolidierungsanordnung nach der vorliegenden Erfindung darstellt; Fig. 2 zeigt graphisch bei Zustandsänderungen auftretende Signalwellenformen zum besseren Verständnis des in Fig.
  • 1 dargestellten Ausführungsform der Erfindung; Fig. 3 ist ein Blockdiagramm einer vollredundanten 3-Kanal--Steuerung nach der vorliegenden Erfindung; Fig. 4 ist ein Schaltbild eines Ausfalldetektors zum Einsatz mit der Erfindung in einem vollredundanten System, wie es die Fig. 3 zeigt; Fig. 5A und 5B sind ein Blockschaltbild bzw. ein Logikschaltbild, die die betriebliche Anordnung zeigen, die zur Identifizierung der redundanten Sensorsignale verwendet wird, wenn die Erfindung in einem 3-fach redundanten System entsprechend der Fig. 3 vorhanden ist und jeder Systemkanal einen programmierbaren Digitalrechner enthält; und Fig. 6 zeigt ein Logikschaltbild der betrieblichen Anordnung jedes Kanals in einer Art eines vollredundanten Systems, in dem jeder Kanal einen programmierbaren Digitalrechner enthält, der die Signalwahl- und -konsolidierung nach der vorliegenden Srfixlflmlg aiisftilirt.
  • Wie im folgenden ausführlich beschrieben, läßt die Signalwahl-und -konsolidierungsanordnung nach der vorliegenden Erfindung sich auf das Zusammenwirken mit dem meisten vorhandenen Systemen sowie auch einer Vielfalt von Systemen einrichten, die in der Zukunft benutzt werden können. In dieser Hinsicht zeigt die Fig. 1 die Erfindung in einem Steuer- oder Rechensystem mit einer Gruppe redundanter Sensoren, die ein Signal an eine einzige Recheneinheit liefern. Die Fig. 3 und 4 zeigen eine Ausführungsform der Erfindung in einem vollredundanten System, in dem die redundanten Sensoren und redundante Recheneinheiten getrennte Kanäle bilden. Schließlich zeigen die Fig. 5 und 6 die Verwendung der vorliegenden Erfindung in einem System der in Fig. 3 dargestellten Art, in dem die Recheneinheit jedes Kanals ein programmierbarer Digitalrechner ist.
  • In dem in Fig. 1 gezeigten 3-fach redundanten Steuerung stellen ein Präzisionssensor 10 sowie zwei weniger genaue Sensoren 12, 14 einen Satz von drel redundanten Signalquellen dar, die einen redundanten Satz Signale an einen Sensorausfalldetektor 16, eine Signalwahllogik 18 und einen Signalkonsolidierer 20 geben.
  • Im Betrieb überwacht der Ausfalldetektor 16 die Funktion der Sensoren 10, 12 und 14 und liefert ein Logiksignal, das dem Betriebszustand jedes Sensors entspricht. Diese Logiksignale werden innerhalb eines Systemausfalldetektors 22, der ein Signal abgibt, wenn ein Ausfall der Recheneinheit oder verschiedener Sensoren das System betriebsunfähig macht, mit einem Logiksignal verknüpft, das den Betriebszustand der Recheneinheit des Systems darstellt, in dem die Erfindung eingesetzt ist (in Fig. 1 nicht gezeigt). Die von dem Ausfalldetektor 22 gelieferten Logiksignale werden in der Signalwahllogik 18 zu digitalen Steuersignalen zur Aktivierung des Signalkonsolidierers 20 verknüpft.
  • Wie im folgenden ausführlich beschrieben wird, liefert der Signalkonsolidator 20 an die Systemrecheneinheit ein stetiges Signal am Ausgangsanschluß 24, das identisch ist mit dem Signal, das der Präzisionssensor 10 liefert, wenn dieser einwandfrei arbeitet, und liefert ein Signal entsprechend dem mathematischen Durchschnitt der von den beiden weniger präzisen Sensoren 12, 14 abgegebenen Signale entspricht, wenn der Präzisionssensor 10 ausgefallen ist. Wenn weiterhin das vom Präzisionssensor 11 gelieferte Signal nicht ausgefallen ist, aber von dem von den Sensoren 12, 14 gelieferten Signal um einen vorbestimmten Betrag abweicht, liefert der Eonsolidierer 20 ein Ausgangssignal, das dem matheiatischen Mittelwert des von den beiden weniger präzisen Sensoren 12, 14 gelieferten Signals entspricht, d. h. 1/2S10 + 1/4(512 + 14) wobei S10 , S12 und S14 die von den redundanten Sensoren 10, 12, 14 gelieferten Signale sind.
  • Der Sensorausfalldetektor 16 weist drei herkömmliche Eoeparatoren 26, 28, 30 derjenigen Art auf, die ein Ausgangssignal liefert, wenn die Größe der Differenz zwischen zwei anliegenden Signalen einen vorbestimmten Schwellwert übersteigt. In der Anordnung der Fig. 1 sind die Komparatoren 26, 28, 30 so angeschlossen, daß sie das von jeweils einem Sensor 10, 12 und 14 gelieferte Signajmit dem von den anderen beiden redundanten Signalen gelieferten Signalen vergleichen, um so einen Ausfall des Sensors 10, des Sensors 12 oder des Sensors 14 zu erfassen. Insbesondere sind an die Etngangsanschlüsse des Komparators 26 die von den Sensoren 10, und 12 gelegten redundanten Signale gelegt, wobei der Komparator 26 ein Ausgangssignal einer ersten Größe (bspw. log.O) liefert, wenn die Differenz zwischen den von den Sensoren 10, 12 gelieferten Signalen geringer als ein vorbestimmter Schwellwert ist, und ein Ausgangssignal einer zweiten Größe (bspw. log. 1) liefert, wenn die Differenz zwischen den von den Sensoren 10, 12 gelieferten redundanten Signalen den vorbestimmten Schwellwert übersteigt. Auf ähnliche Weise nehmen die Eingangsanschlüsse der Komparatoren 28, 30 jeweils ein Paar redundanter Signale von den Sensoren 12, 14 bzw. ein Paar redundanter Signale von den Sensoren 10,14 auf. In der dargestellten Ausführungsform, liefert der Komparator 28 ein Ausgangssignal log.O, wenn der Unterschied zwischen den redundanten Signalen aus den Sensoren 12, 14 geringer als der vorbestimmte Schwellwert des Komparators 28 ist, und liefert ein Ausgangssignal log.l, wenn das Differenzsignal den vorbestimmten Schwellwert übersteigt. Entsprechend liefert der Komparator 30 ein Ausgangssignal log.0, wenn die Differenz zwischen den redundanten Signalen der Sensoren 10, 14 geringer als der vorbestimmte Schwellwert des Komparators ist, und liefert ein Ausgangssignal log.l, wenn das Differenzsignal den vorbestimmten Schwellwert übersteigt.
  • Um zu bestimmen, welcher der Sensoren 10, 12, 14 - wenn überhaupt - betriebsunfähig ist, werden die Ausgangssignale der Komparatoren 26, 28, 30 durch die UND-Glieder 32, 34, 36 logisch verknüpft. Insbesondere geht das Ausgangssignal des Komparators 26 auf einen Eingang eines UND-Glieds 32 und einen Eingang des UND-Glieds 34, die jeweils zwei Eingänge haben; das Ausgangs signal des Komparators 28 geht auf den zweiten Eingang des UND-Glieds 34 und einen Eingang eines UND-Glieds 36, das ebenfalls zwei Eingänge hat, und das Ausgangssignal des Komparators 30 geht auf den zweiten Eingang des UND-Glieds 32 sowie den zweiten Eingang des UND-Glieds 36. Fällt bei dieser Anordnung einer der Sensoren 10, 12 oder 14 aus, liefert ein entsprechendes der UND-Glieder 32, 34 oder 36 ein Ausgangssignal log.l. Fällt bspw. der Präzisionssensor 10 aus, bewirkt die Differenz zwischen den Ausgangssignalen der Sensoren 10, 12, daß der Komparator 26 ein Signal log.l an einen Eingang des UND-Glieds 32 gibt, während die Differenz zwischen den Ausgangssignalen der Sensoren 10, 14 bewirkt, daß der Kowparator 30 ein Signal log.l an den zweiten Eingang des UND-Glieds 32 legt, so daß das UND-Glied 32 ein Signal log.l am Ausgang erzeugt. Fällt entsprechend der Sensor 12 aus, liefern die Komparatoren 26;28 infolge der Differenz zwischen den Ausgangssignalen der Sensoren 12, 10 und der Differenz zwischen den Ausgangssignalen der Sensoren 12, 14 die Signale log.l an die Eingänge des UND-Glieds 34, an dessen Ausgang dann ein Signal lo.l erscheint. Fällt der Sensor 15 aus, bewirkt die Differenz der Ausgangssignale der Sensoren 14, 10, daß der Komparator 30 ein Signal log.l an den ersten Eingang des UND-Glieds 36 gibt, während infolge der Differenz zwischen den Ausgangssignalen der Sensoren 14, 12 der Komparator 28 ein Signal log.l an den zweiten Eingang des UND-Glieds 36 gibt, so daß dessen Ausgang den Zustand log.l annimmt.
  • Um zu verhindern, daß Störsignale einen Sensorausfall vortäuschen, sind die Ausgänge der UND-Glieder 32, 34, 36 andie Eingänge der Zählerschaltungen 38, 40, 42 gelegt. Jeder Zähler 38, 40, 42 ist eine herkömmliche digitale Schaltung, die ein Ausgangssignal liefert, wenn eine vorbestimmte Anzahl von Eingangsimpulsen (bspw. log.l) am Zählereingang eingetroffen ist. Insbesondere bewirkt jeder Impuls eines periodischen Taktsignals, das an den Taktanschluß 44 der Zähler 38, 40, 42 angelegt wird, daß der jeweilige Zähler einen Zählschritt vollzieht, wenn das entsprechende UND-Glied 32, 34, 36 gleichzeitig ein Signal log.l liefert. In dieser Anordnung stellt jeder Zähler eine Verzögerungsschaltung dar, die eine Ausfall meldung verhindert, bis das von diesem Sensor gelieferte Signal über eine vorbestimmte Zeitlänge hinaus von den beiden übrigen redundanten Signalen abweicht. Fällt bspw. der Präzisionssensor lo aus, wird das vom Zähler 38 gelieferte Signal erst nach einer Zeitdauer (np) zu log.l, wobei n die durch die Verschaltung des Zählers 38 vorbestimmte Anzahl der erf orderlichen Zählschritte und p die Impulsperiode des angelegten Taktsignals sind.
  • Um weiterhin zu verhindern, daß Ubergangs- bzw. Ausgleichsvorgänge Ausfallsfehlanzeigen der Sensoren 10,12, 14 liefern, lassen die Zähler 38, 40, 42 sich so anordnen, daß der ZBhlwert herabgesetzt wird, wenn das von den UND-Gliedern 32, 34 36 gelieferte Signal die Betriebsbereitschaft eines Sensors anzeigt, nachdem zunächst ein Sensor ausgefallen ist. Bspw.
  • sind in einer Ausführungsform der in Fig. 1 gezeigten Anordnung die Zähler 38, 40, 42 herkömmliche Auf/Abwärts-Zähler, die jeweils so verschaltet sind, daß der in ihnen gespeicherte Zählwert heraufgesetzt wird, wenn das entsprechende der UND--Glieder 32, 34, 36 ein Signal log.l zeitlich koinzident mit einem Taktimpals liefert, und mit der halben Taktfrequenz herabgesetzt wird, wenn das entsprechende der UND-Glieder 32, 34, 36 das Signal log.0 liefert. Eine solche Anordnung läßt sich realisieren, indem man den Ausgang der UND-Glieder 32, 34, 36 unmittelbar an die Aufwärtszähleingänge der entsprechenden Zähler 38, 40, 42 legt und die Ausgänge der UND-Glieder 32,34, 36 an die Abwärtszähleingänge der Zähler 38, 40, 42 über eine Schaltung wie bspw. ein getaktetes BS-Flipflop legt, so daß jeder Zahler immer dann einen Schritt abwärts zahlt, wenn das von dem entsprechenden UND-Glied gelieferte Signal für die Dauer von zwei aufeinanderfolgenden Taktimpulsen log.0 bleibt.
  • Um die Ausfallanzeige aufrechtzuerhalten, nachdem die Zahlerschaltungen 38, 40, 42 den Ausfall eines Sensors 10, 12, 14 angezeigt haben, gehen die Ausgangssignale der Zähler 38, 40, 42 auf die Eingänge herkömmlicher digitaler Zwischenspeicher 46, 48, 50. Die Speicher 46, 48, 50 speichern eine log.l, wenn der entsprechende der Sensoren 10, 12, 14 ausgefallen ist, so daß der Sensorausfalldetektor 16 einen Sensorausfall weiter anzeigt, auch wenn der ausgefallene Sensor wieder ein einwandfreies Signal liefert, nachdem der entsprechende der Zähler 38, 40, 42 den vorbestimmten Zählwert erreicht hat. Damit der Sensorausfalldetektor 16 nach einer ersten Ausfallanzeige für die Sensoren 10, 12, 14 rückgesetzt werden kann, werden die Speicher 46, 48, 50 mit einem geeigneten elektrischen Signal am Rücksetzanschluß 52 rückgesetzt. Enthalten die Zähler 38, 40, 42 den vorbestimmten Zählwert, wenn der Ausfalldetektor 16 rückgesetzt wird, wird in den entsprechenden Speicher 46, 48, 50 eine log. 1 sofort eingeladen, um weiterhin den Sensorausfall anzuzeigen. Ist jedoch der zuvor ausgefallene Sensor 10, 12, 14 wieder betriebsfähig, ist der entsprechende Zähler 38, 40 oder 42 auf die oben beschriebene Weise abwärts gezählt worden; dann erfolgt keine Ausfallanzeige mehr.
  • Der Systemausfalldetektor 22 der in der Fig. 1 gezeigten Anordnung verknüpft logisch die Sensorausfallsignale aus den Speichern 46, 48, 50 des Sensorausfalldetektors 17 mit einem Logiksignal, das an den Anschluß 60 der Systemrecheneinheit (in Fig. 1 nicht gezeigt) geliefert wird, um ein den Systemausfall anzeigendes digitales Signal zu liefern, wenn entweder die Recheneinheit oder zwei der Sensoren 10, 12 und 14 ausgefallen sind. Um dieses Logiksignal zu erzeugen, weist der Systemausfalldetektor 22 ein UND-Glied 54, das die Signale der Speicher 46, 48 aufnimmt, und das UND-Glied 56 auf, das die Signale aus den Speichern 48, 50 aufnimmt. Schließlich erhält das UND-Glied 58 die Ausgangssignale der Speicher 46, 50. Die Ausgänge der UND-Glieder 54, 56, 58 gehen an drei der vier Eingänge eines ODER-Glieds 64, dessen vierter Eingang zum Anschluß 60 führt, wo ein ggff. Signal log.l ansteht, das den Ausfall der Systemrecheneinheit anzeigt. Es ist also einzusehen, daß das ODER-Glied 58 an den Systemausfallanschluß 62 das Signal log.l legt, wenn entweder die Systemrecheneinheit oder jeweils zwei der drei Sensoren 10, 12 oder 14 ausgefallen sind.
  • Es ist zu erkennen, daß der Systemausfalldetektor 22 der Fig. 1 einen unbedingt sicheren Systembetrieb hinsichtlich der redundanten Sensoren 10, 12, 14 und einen bedingt sicheren Betrieb hinsichtlich der Recheneinheit erleichtert. Insbesondere bleibt, solange die Recheneinheit betriebsfähig ist, das an den Systemausfallanschluß 62 gelegte Signal log.O, erhalten, auch wenn einer der Sensoren 10, 12 oder 14 ausgefallen ist.
  • Tritt jedoch ein zweiter Sensorausfall auf, liefert der Systemausfalldetektor 22 ein Signal log. 1 an den Anschluß 62.
  • Da der Systemausfalldetektor 22 ein Signal log.l iuer dann an den Anschluß 62 legt, wenn die Systemrecheneinheit nicht arbeitet, ergibt sich hinsichtlich der Recheneinheit ein bedingt sicherer Systembetrieb.
  • Die von den Speichern 46, 48, 50 zur Ausfallanzeige der Sensoren 10, 12, 14 gelieferten Signale gehen an die Eingänge 76, 78, 80 der Signalwahllogik 18, die diese Signale zu den mit G1, G2, G3 bezeichneten Signalen an den Ausgängen 82, 84, 86 der Signalwahllogik 18 verknüpft, die die Funktion des Signalkonsolidierers 20 steuern. Wie im folgenden ausführlicher beschrieben, handelt es sich bei den Logiksignalen G1, G2 und Gg; und sich gegenseitig ausschließende Logikvariable, indem zu jedem gegebenen Zeitpunkt nur eine von ihnen log.l sein kann. Wie unter Bezug auf den Signalkonsolidierer 20 beschrieben werden wird, öffnen und schließen die Logiksignale Gl, G2, G3 gewählte Signalflußwege innerhalb des Signalkonso-7idierers 20, um das vom Präzisionssensor lo gelieferte Signal an den Ausgang 24 zu legen, wenn der Sensor lo arbeitet, ein dem mathematischen Durchschnitt der Ausgangssignale der Sensoren 12, 14 zu liefern, wenn der Sensor lo nicht arbeitet, und einen gewichteten Durchschnittswert der von allen drei Sensoren 10, 12, 14 abgegebenen Signale immer dann zu liefern, wenn der Präzisionssensor 10 zwar arbeitet, aber das von diesem gelieferte Ausgangssignal wesentlich von den redundanten Ausgangssignalen der Sensoren 12, 14 abweicht. Ein solcher Betriebszustand, in dem der Sensor 10 durch ansprechend des Sensorausfalldetektors 16 zwar nicht als betriebsunfähig ermittelt wurde, aber sein Ausgangssignal erheblich von denen der weniger präzisen Sensoren 12, 14 abweicht, ist hier als "Vermutungszustand" bezeichnet.
  • Entsprechend der vorliegenden Erfindung wird der Vermutungszustand im allgemeinen so festgelegt, daß die vom Sensor 10 während dieses Zustands gelieferte Information allgemein ebenso zuverlässig ist wie die der weniger präzisen Sensoren 12, 14.
  • Da der Präzisionssensor 10 im allgemeinen genauere Informationen als die weniger präzisen Sensoren 12, 14 liefert, geben Unterschiede zwischen dem von Sensor 10 gelieferten Signal einerseits und den von weniger präzisen Sensoren 12, 14 gelieferten Signalen andererseits nicht unbedingt einen Funktion fehler des Sensors 10 wieder, sondern unter Umständen nur den Genauigkeitsunterschied zwischen den Sensoren. Indem man also die Genauigkeit des betriebsfähigen Präzisionssensors 10 im Verhältnis zur Genauigkeit der betriebsfahigen Sensoren 12, 14 berücksichtigt, lassen sich nach der vorliegenden Erfindung drei Betriebszustände eines Präzisionssensors 10 definieren.
  • Wenn zunächst das vom Präzisionssensor 10 gelieferte redundante Signal von den redundanten Signalen aus den weniger präzisen Sensoren 12, 14 um mehr als einen ersten vorbestimmten Betrag entsprechend den Komparatorschwellwerten des Sensorausfalldetektors 16 abweicht, kann das vom Sensor 10 gelieferte Signal nicht als zuverlässig betrachtet werden; demzufolge wird der Sensor 10 als ausgefallen erklärt. Ist zweitens die Abweichung zwischen dem von Präzisionssensor 10 gelieferten und den von den weniger präzisen Sensoren 12, 14 gelieferten redundanten Signalen geringer als ein zweiter vorbestimmter Betrag, lassen solche Abweichungen sich ausschließlich den Genauigkeitsunterschieden zwischen dem Präzisionssensor 10 und den weniger präzisen Sensoren 12, 14 zuschreiben. In diesem Fall wird der Sensor 10 als voll betriebsfähig erachtet und in aller Wahrscheinlichkeit ist das vom Sensor 10 gelieferte Signal wesentlich genauer als die von den Sensoren 12, 14 gelieferten Signale. Wenn drittens die Unterschiede zwischen den von den Sensoren 12, 14 gelieferten Signale diese zweite vorbestimmte Schwelle überschreiten, nicht jedoch die erste vorbestimmte Schwelle, kann dieser Unterschied sich nicht ausschließlich den Genauigkeitsunterschieden zwischen den Sensoren zugeschrieben werden. Dennoch ist in aller Wahrscheinlichkeit das vom Sensor 10 gelieferte Signal ebenso genau oder gar genauer als die von den redundanten Sensoren 12, 14 gelieferten Signale. Wie oben erläutert, wird dieser Zustand hier als "Vermutungszustand" bezeichnet; die von den drei Sensoren 10, 12, 14 in diesem Zustand gelieferten Signale werden ii gonsolidierer 20 zu einem auf geeignete Weise gewichteten Signal verknüpft, das die Steuerung dann auswertet.
  • Um zu bestimmen, ob der Sensor 10 sich im Vermutungszustand befindet, weist die Signalwahllogik 18 ein UND-Glied 88 mit zwei Eingängen sowie die Komparatoren 90, 92 auf. Die von den Sensoren 10, 12, 14 gelieferten redundanten Signale gehen auf die Eingänge der Komparatoren 90, 92 derart, daß der Eomparator 90 ein Ausgangssignal log.l liefert, wenn die Differenz zwischen dem Ausgangs signal des Sensors 10 und dem des Sensors 12 den Schwellwert des Komparators 90 überschreitet. Weiterhin liefert der Komparator 92 eine log.l, wenn die Differenz zwischen dem vom Sensor 10 und dem vom Sensor 14 gelieferten Signal die Schwelle des Komparators 92 überschreitet. Da die von den Komparatoren 90, 92 gelieferten Signale an die Eingänge des UND-Glieds 88 gelegt sind, liefert dieses eine log.l, wenn das vom Sensor 10 gelieferte Signal von denen der Sensoren 12, 14 um einen Betrag gleich den Schwellwerten der EEomparatoren 90, 92 abweicht. Mit geeigneten gleichen Schwellwerten für die Komparatoren 90, 92 läßt sich also erreichen, daß das UND-Glied 88 ein Ausgangssignal log.l liefert, wenn der Sensor 10 sich in dem dem oben definierten Vermutungszustand befindet.
  • Um die logische Variable G1 zu log.l zu machen, wenn der Sensor 10 voll betriebsfähig ist, geht der Ausgang des UND-Glieds 88 auf den invertierenden Eingang eines ODER-Glieds 94 mit drei Eingängen.
  • Der Ausdruck invertierender Eingang" weist auf die logische Negation hin, die entweder innerhalb der Gatterschaltung selbst oder in einer zur eigentlichen Gatterschaltung externen Inverterschaltung erfolgt. Bspw. liefert das ODER-Glied 94, das einen invertierenden und zwei nichtinvertierende Eingänge aufweist, ein Ausgangssignal log.l, wenn das am invertierenden Eingang liegende Signal log.O oder das an einem der anderen, nichtinvertierenden Eingänge liegende Signal log. 1 ist. Wie nach dem Stand der Technik üblich, werden derartige invertierende Eingangsanschlüsse in Fig. 1 mit einem kleinen Kreis am jeweiligen Eingang des Gattersymbols gekennzeichnet. Die beiden übrigen Eingänge des ODER-Glieds 94 sind an die Anschlüsse 78, 80 der Signalwahllogik 18 geführt; sie nehmen Eingangssignale von den Speicherschaltungen 48, 50 des Sensorausfalldetektors 16 auf. Das Ausgangssignal des ODER-Glieds 94 ist an einen Eingang des UND-Glieds 96 gelegt, dessen invertierender zweiter Eingang zum Anschluß 76 der Signalwahllogik 18 führt.
  • Aus dieser Anordnung ergibt sich, daß die logische Variable G1, die das UND-Glied 96 an den Anschluß 82 liegt, sich mit folgender Gleichung ausdrücken läßt: In dieser Beziehung bezeichnet das Symbol (.) die logische UND-Verknüpfung, das Symbol (+) die logische ODER-Verknüpfung, der Überstrich die Negation, "Slo SUS" den Vermutungszustand des Sensors lo und Slo FAIL, Sl2 FAlL und Sl4 FAlL jeweils die beim Ausfall der Sensoren 10, 12 bzw. 14 an die Anschlüsse 76, 78 und 80 gelegten Logiksignale. In der in Fig. 1 gezeigten Ausführungsform der Erfindung ist also die logische Variable G1 gleich log. 1, solange der Sensor nicht betriebsunfähig erklärt wurde und zusätzlich einer der Sensoren 12 und 14 betriebsunfähig ist oder der Sensor 10 nicht im Vermutungszustand sich befindet.
  • Die logische Variable G2 wird vom UND-Glied 98 (4 Eingänge) auf log.l gesetzt, wenn sämtliche drei Sensoren 10, 12 und 14 arbeiten und der Sensor 10 sich im Vermutungszustand befindet. Insbesondere führen die drei invertierenden Eingänge des UND-Glieds 98 zu den Anschlüssen 87, 78 bzw. 80, an denen die Sensorausfallsignale aus dem Systemausfalldetektor 22 auftreten; der nichtinvertierende vierte Eingang des UND-Glieds 98 ist mit dem Ausgang des UND-Glieds 88 verbunden, das ein Signal log.l liefert, wenn der Sensor 10 sich im Vermutungszustand befindet. Die logische Variable G2, die infolge der Funktion des UND-Glieds 98 am Anschluß 84 erscheint, läßt sich also mit folgender Beziehung darstellen: G2 = 510 FAlL . S12 FAL . 514 FAlL . S10 SUS (2) Die logische Variable G3 am Anschluß 86 der Signalwahllogik 18 ist identisch gleich dem Logiksignal an Eingang 76 der Signalwahllogik 18, das der Systemausfalldetektor 18 liefert.
  • Aufgrund der oben erläuterten Funktion des Systemausfalldetektors 22 und des Sensorausfalldetektors 16 ist also die logische Variable G3 ersichtlich gleich log.l, wenn der Präzisionssensor 10 ausgefallen ist.
  • Die Struktur und Funktion des Signalkonsolidierers 20 der in Fig. 1 dargestellten Ausgiihrungsform lassen sich am leichtesten verstehen, wenn man zunächst den stetigen Zustand für jeden der oben definierten drei Systemsustände (d.h. G1 = 1; G2 = 1; oder G3 = 1) und dann den Ubergangszustand betrachtet, der auftritt, wenn bei einem Systemausfall der Konsolidierer 20 zwischen den Signalflußwegen hin- und herschaltet, um unterschiedlich abgeleitete Sensorsignale an den Ausgangsanschluß 24 zu legen. Im Prinzip kann man sagen, daß der Konsolidierer 20 aus drei Signalflußwegen besteht, die in Fig. 1 mit 100, 102 undl04 bezeichnet sind und jeweils auf den Ausgangsanschluß 24 geschaltet werden, wenn eine zugehörige logische Variable G1, G2 oder G3 gleichlog.l ist. Die Schaltung der Signalflußwege 11, 102, 104 zur Auf schaltung eines geeignet abgeleiteten Signals auf den Ausgangsanschluß 24 erfolgt durch die Steuerschaltungen innerhalb der gestrichelten Umrisse 106, 108, 110 in Fig. 1. Insbesondere wird die Steuerschaltung 106 aktiviert, wenn der Sensor 10 voll betriebsfähig ist (G1 = 1), und gibt dann das Signal des Sensors 10 auf den Ausgang 24 weiter. Die Steuerschaltung 108 wird aktiviert, wenn keiner der Sensoren 10, 12, 14 ausgefallen ist und der Sensor 10 sich im Vermutungszustand befindet (G2 = 1); dann wird ein Signal auf den Anschluß 24 geschaltet, das mathematisch gleich (1/2)S10 + (l/4)(512 + S14) ist Schließlich wird die Steuerschaltung 110 aktiviert, wenn die Sensoren 12, 14 arbeiten und der Sensor 10 ausgefallen ist (G3 = 1); dann wird ein Signal auf den Ausgang 24 geschaltet, das mathematisch gleich 1/2 (512 + 514) ist. Wie oben beschrieben, schließen die logischen Variablen G1, G2, G3 einander aus; es liefert also nur jeweils einer der Signalflußwege 100, 102, 104 ein Signal auf den Ausgang 24.
  • Um das vom Präzisionssensor 10 gelieferte redundante Signal an den Ausgang 24 durchzugeben, wenn die logische Variable G1 log.l ist, weist die Steuerschaltung 106 eine Sumxierschaltung 114 auf, deren erster additiver Eingang das Ausgangssignal des Sensors 10 enthält, sowie eine im Verstärkungsgrad gesteuerte Einheit 116, die zwischen den Ausgang des Summierers 114 und den Ausgang 24 des Konsolidierers 20 über einen Summierer 112 geschaltet ist. Diese Einrichtung 116 mit steuerbarem Verstärkungsgrad ist eine herkömmliche Schaltung - bspw.
  • ein Verstärker mit umschaltbarem Verstärkungsgrad oder einem elektronischen Schaltelement wie ein Feldeffekttransistor, der unter Steuerung durch die logische Variable G1 zwischen einem Übertragungsfaktor von im wesentlichen eins und einem solchen von im wesentlichen null hin- und herschalten kann.
  • In der Anordnung der Fig. 1 stellen also diese Einheit 116 und die im folgenden zu beschreibenden Einrichtungen mit steuerbarem Verstärkungsgrad Schalter dar, die ein anliegendes Signal ohne wesentliche Dämpfung durchschalten, wenn die entsprechende logische Variable ( G1, G2 oder G3 ) gleich log.l ist, und anderenfalls das anliegende Signal im wesentlichen vollständig sperren.
  • Die Steurschaltung 106 weist weiterhin einen zweiten Summierer 118 auf, dessen additiver Eingang an den Eingang der Einheit 116 und dessen subtraktiver Eingang an den Ausgang 24 des Signalkonsolidierers gelegt sind. Eine herkömmliche Integratorschaltung 120 mit der Integrationskonstante EI ist zwischen den Ausgang der Summierschaltung 118 und einen subtraktiven Eingang des Summierers 114 gelegt. Wie im folgenden zu beschreiben sein wird, bewirkt ein Integrator 120, das das Signal am Eingang der Einheit 116 (in Fig. 1 mit Eal bezeichnet) gleich dem Signal am Ausgang 24 des Signalkonsolidierers gehalten wird, solange G1 = log.l ist (d.h. das Ausgangssignal des Signalkonsolidierers 20 auf dem Signalflußweg 102 oder 104 geliefert wird). Diese Egalisierung des an die Einheit 116 gelegten Eingangssignals verhindert, daß Störspitzen in dem an den Ausgang 24 gelieferten Ausgangssignal auftreten, wenn der Signalflußweg 102 (G2= 1) aufgeschaltet ist und ein nachfolgender Ausfall des Sensors 12 oder 14 die Signalwahllogik 18 veranlaßt, den Signalflußweg 100 aufzuschalten, indem sie die logische Variable G1 = 1 setzt. Zusätzlich dazu weist die Steuerschaltung 106 eine Einheit 122 mit festem Verstärkungsgrad sowie eine zweite Einheit 124 mit steuerbarem Verstärkungsgrad auf, die in Reihe zwischen den Ausgang des Integrators 120 und einen zweiten subtraktiven Eingang des Summierers 118 gelegt sind. Wie im folgenden beschrieben wird, arbeiten die Einheiten 122, 124 mit dem Integrator 120 so zusammen, daß das oben beschriebene Ausgleichs signal bei einer Auf schaltung des Signalflußwegs 100 exponentiell eliminiert bzw. "ausgewaschen" ('wash out') wird, d.h. wenn die Signalwahllogik 118 die logische Variable G1 = log.l setzt nach einer Zeitspanne, in der entweder die logische Variable G2 oder die logische Variable Gg; gleich log. 1 waren.
  • Beim Betrachten der Fig. 1 fällt auf, daß die Topologie der Schaltungen 108 und 110 gleich der der Logikschaltung 106 ist, wobei die Einheiten mit steuerbarem Verstärkungsgrad in den Schaltungen 108, 110 jeweils auf die logischen Variablen G2 bzw. G3 ansprechen. Insbesondere weisen die Logikschaltung 108 und die Logikschaltung 110 die Summierer 126 bzw. 138 und die Einheiten 128 bzw. 140 mit steuerbarem Verstärkungsgrad auf, die dem Summierer 114 und der Einheit 116 der Steuerschaltung 106 entsprechen. Die Einheit 128 und der Summierer 126 sowie die Einheit 140 und der Summierer 138 führen die Signalflußwege 102 bzw. 104 über den Summierer 112 auf den Ausgang 24 des Konsolidierers. Zusätzlich enthalten die Schaltungen 108, 110 die Summierer 130, 142 und die Integratoren 132, 144, die auf die gleiche Weise geschaltet sind wie der Summierer 118 und der Integrator 120 der Schaltung 106, um die Eingänge der Einheiten 128 und 140 vorzuspannen, wenn der zugehörige Signalflußweg 102, 104 nicht aktiviert ist. Die Einheiten 134, 146 mit jeweils festem Verstärkungsgrad und die Einheiten 136, 148 mit steuerbarem Verstärkungsgrad sind in der Logikschaltung 108 bzw. 110 enthalten, wobei die Einheiten 134, 136, 146 und 148 in die jeweilige Steuerschaltung auf die gleiche Weise eingeschaltet sind wie die Einheiten 122, 124 in die Schaltung 106.
  • Um ein Signal, das mathematisch gleich (1/2) (512 + S14) ist, auf den Signalflußweg 104 zu geben, weist der Konsolidierer 20 einen Summierer 150 mit zwei additiven Eingängen auf, die die von den Sensoren 12, 14 abgegebenen Ausgangssignale aufnehmen.
  • Der Ausgang des Summierers 150, der ein Signal gleich der Summe der Ausgangssignale der Sensoren 12, 14 liefert, geht auf den Signalflußweg 104 über einen Teiler 152, der ein Signal liefert, das mathematisch gleich 1/2 des vom Summierer 150 gelieferten Signals ist. Aus dem Stand der Technik ist eine Vielzahl herkömmlicher Teilernetzwerke bekannt, die für die vorliegende Erfindung geeignet sind - einschließlich Widerstandsnetzwerken und aktiven Netzwerken wie Verstärkern mit einem Verstärkungsgrad 1/2.
  • Um ein Signal, das mathematisch gleich (1/2)S10 + (1/4) (S12 + S14) ist, auf dem Signalweg 102 zu geben, ist der Teiler 152 mit dem Ausgang an einen additiven Eingang eines Summierers 154 gegeben, dessen zweiter additiver Eingang das Ausgangssignal des Sensors 10 aufnimmt. Der Ausgang des Summierers 154 führt an ein zweites Teilernetzwerk 156 mit einem Verstärkungsgrad 1/2, dessen Ausgang unmittelbar an den Signalflußweg 102 führt.
  • Aus einer Betrachtung der Fig. 1 im Zusammenhang mit der Fig. 2 ergibt sich die Funktionsweise der Steuerschaltung 106, 108, 110, wenn verhindert werden soll, daß abrupte Signalsprünge oder Störspitzen auf den Ausgang 24 des Konsolidierers durchgeschaltet werden, wenn ein Sensor- oder Systemausfall den Konsolidierer 20 von einem Signalflußweg zum anderen übergeht und damit auf die Kanäle des redundanten Systems ein unterschiedlich abgeleitetes Signal gegeben wird.
  • Wie in den folgenden Absätzen beschrieben, wird zur Beseitigung solcher abrupten Signalsprünge u. a. das stetige Signal an den Eingängen der nicht aktivierten Einheiten 116, 128, 140 mit einem Signal überlagert bzw. beaufschlagt, das im wesentlichen dem Signal an Ausgang 24 des Konsolidierers entspricht. Wird dann eine bestimmte der Einheit 116, 128 oder 140 beim Ausfall eines der Sensoren 10, 12, 14 aktiviert, verschwindet dieses Vorspannsignal allmählich. Zum Zweck der Erläuterung ist die Fig. 2 eine vereinfachte graphische Darstellung einer Situation, in der der Präzisionssensor 10 zur Zeit t2 plötzlich ausfällt, so daß die Signalwahilogik 18 die logische Variable G1 = 0 und die logische Variable G3= 1 setzt. In Fig. 2 ist also das vom Präzisionssensor 10 gelieferte redundante Signal S?O vor dem Zeitpunkt t2 das gewählte Sensorssignal; ein Signal gleich dem mathematischen Durchschnitt der von den Sensoren 12, 14 gelieferten Signale wird nach dem Ausfall des Sensors 10 zur Zeit t2 durchgeschaltet.
  • Wie in Fig. 2 dargestellt, hat das Signal 10 während der Zeitspanne (to ~ tal) eine geringfügig höhere Amplitude als der mathematische Mittelwert der von den Sensoren 12, 14 gelieferten Signale, wie er mit (1/2)(S12 + S14) bezeichnet ist.
  • Da während der Zeitspanne (to - t2) der Unterschied zwischen dem Signal S10 und den Signalen 512, S14 geringer als der Schwellwert Ethl ist (wobei der Abstand zwischen Ethyl und Eth2 den oben beschriebenen Vermutungszustand für den Sensor 10 umfaßt), ist die logische Variable G1 = 1 und entspricht das an den Ausgang 24 des Konsolidierers durchgeschaltete Signal dem Signal S10 vor dem Zeitpunkt t2 (sofern die Einheit 116 einen idealen Frequenzgang hat). Da die logische Variable G3 während (to - t2) auf log. 0 gesetzt ist, haben die beiden Einheiten 140, 148 der Steuerschaltung 110 in Fig. 1 Übertragungsfaktoren von (im wesentlichen) null, so daß kein Signal zum Summierer 112 und auch kein Rückkopplungssignal über die Integratorschaltung 114 fließen kann. Da weiterhin die logische Variable während (t0 - t2) G2 = O ist; geht über den Signalflußweg 102 kein Signal auf den Ausgangsanschluß 24 der Konsolidierungsschaltung.
  • Unter diesen Umständen bestehen - vergl. Fig. 1 - zwei Signalflußwege, die die Spannung Ea3 am Eingang der Einheit 140 beeinflussen können. Zunächst wird das Signal (1/2)(S12 + S14) auf den Eingang der Einheit 140 über den Summierer 138 gegeben, wobei der Integrator 144 eine Gegenkopplung von Eingang der Einheit 140 zum Summierer 138 bewirkt. Da dieser Signalflußweg im wesentlichen ein Kreis mit dem Verstärkungsfaktor eins und einem Integrator im Rückkopplungszweig ist, ist die Übertragungsfunktion für den Signalflußweg zwischen dem Ausgang der Einheit 152 und dem Eingang der Einheit 140 gleich s/(s + K1), wobei [S] der Laplace-Operator und gE1~;7 die Integrationskonstante des Integrators 144 sind. Wie aus dem Stand der i!echnik bekannt, wird ein Netzwerk mit einer solchen Ubertragungsfunktion gemeinhin als "Voreil-Netzwerk" bezeichnet und zeigt im Zeitbereich eine Sprungantwort Eout = Eie-@1t, wobei Eout das vom Netzwerk zu beliebiger Leit gelieferte Ausgangssignal, E. die Amplitude eines an den Netzwerkeingang gelegten Spannungssprungs und [e] die Basis des natürlichen Logarithmen sind. Da die Sprungantwort im Zeitbereich ein exponentiell abklingender Ausgleichsterm ist, ist einzusehen, daß ziemlich plötzliche Änderungen des von der Einheit 152 gelieferten Signalpegels auf den Eingang der Einheit 140 gegeben werden.
  • Ist das Signal (1/2)(S12 + S14) jedoch konstant, wie in Fig. 2 gezeigt, trägt dieser Signalflußweg zum stetigen Signal Ea3 nicht bei.
  • Der zweite Signalflußweg, der bei G3 6 1 zur Spannung Ea3 beiträgt (d.h. in (to - t2)), führt das Ausgangssignal E0 des Konsolidierers auf den Eingang der Einheit 140 über den Summierer 142, den Integrator 144 und den Summierer 138, wobei der Eingang der Einheit 140 an den Eingang des Integrators 144 über den Summierer 142 geführt ist, um ein Rückkoppelsignal darzustellen. Eine solche Anordnung wird oft als Rückkoppelnetzwerk mit dem Verstärkungsfaktor eins bezeichnet; handelt es sich bei der verstärkungsbehafteten Schaltung um einen Integrator wie den Integrator 144, läßt sich zeigen, daß dieses Netzwerk sich als einfaches Nachteil-Netzwerk verhält. Wie aus dem Stand der Technik bekannt, hat ein einfaches Nachteil--Netzwerk eine Übertragungsfunktion K1/(s + K1). Ein Eingangssprung; der Amplitude Ei am Netzwerk bewirkt im Zeitbereich eine Sprungantwort Eout = Ei(1 - e Klt)- Zur Zeit tl in Fig. 2, wenn das Ausgangssignal S10 des Präzisionssensors 10 sich plötzlich ändert, steigt also das Signal Ea3 exponentiell auf den neuen Wert E2 des Sensorsignals S10 mit der Zeitkonstante l/El an. Da in O (to - t2) die Steuervariable G1 = 1 ist, ist zu jedem Zeitpunkt zwischen to und t2 das Signal am Ausgang 24 der Konsolidierungsschaltung 20 im wesentlichen identisch dem Signal S10. Es läßt sich also erkennen, daß das stetige Signal Ea3 am Eingang der Einheit 140 auf einen Wert vorgespannt wird, der im wesentlichen gleich dem vom Konsolidierer 20 erzeugten Ausgangssignal entspricht. Infolge der bereits erwähnten im wesentlichen identischen Topologie der Steuerschaltungen 106, 108, 110 wird also der Eingang jeder der Einheiten 116, 128, 140 steuerbaren Übertragungsfaktor in gleicher Weise auf einen Wert vorgespannt, der der Amplitude des Signals entspricht, das der Konsolidierer 20 liefert, wenn die jeweilige der Einheiten 116, 128, 140 nicht aktiviert ist, d.h. wenn die zugehörige logische Variable G1, G2 und G3 gleich log. O ist.
  • Mit wie oben beschrieben vorgespannten Einheiten steuerbaren Verstärkungsgrads findet im wesentlichen keine Signaländerung statt, wenn bei einem Ausfall des Sensors 10, 12, 14 der Signalkonsolidierer 20 zwischen den Signalflußwegen.100, 102, 104 umschaltet. In der in Fig. 2 gezeigten Situation ist bspw.
  • ein Ausfall des Sensors 10 durch den plötzlichen Sprung des Signals 310 zwischen den Amplituden E2 und E3 im Zeitpunkt t2 dargestellt. Da die Differenz zwischen der Amplitude E3 und den Signalen S12, 314 den Ausfallschwellwert Eth2 des Sensors 10 übersteigt, bewirkt dieser Sprung, daß die Signalwahllogik 18 der Fig 1 die logische Variable G1 = 0 und die logische Variable G3 = 1 setzt.
  • Wird wie oben beschrieben, die logische Variable G3 = 1 gesetzt, wird der Signalflußweg 104 über den Summierer 112 auf den Ausgang 24 des Konsolidierers geschaltet. Da zur Zeit t2 der Eingang der Einheit 140 auf die Amplitude E2 vorgespannt ist, ändert das an den Ausgang 34 geschaltete Signal nicht abrupt seine Amplitude auf den aktuellen Wert (1/2)(S12 + S14), sondern bleibt gleich E2, während der Signalflußweg 104 auf den Ausgang 24 geschaltet wird.
  • Wie in Fig. 1 ersichtlich ist, entsteht, wenn die logische Variable G3= 1 zur Zeit t2 gesetzt wird, ein Rückkopplungsweg zwischen dem Ein- und em Ausgang des Integrators 144 über die Einheit 146 und die Einheit 148. Untersucht man diese Rüclrkoppelschleife und stellt in Rechnung, daß das Signal am Ausgang des Integrators 144 zur Zeit t2 (Efb3 in Fig. 1) identisch gleich E2 ist, läßt sich zeigen, daß die Anderung des Signals Efb3 gleich -E2(l e B1K2t) ist, wobei Kl die Integrationskonstante des Integrators 144 und K2 der ttbertragungsfaktor der Einheit 146~sind. Da bei Vernachlässigung von Schwankungen im Signal (1/2)(512 + S14) das Signal Ea3 und damit das Signal am Ausgang 24 gleich dem Unterschied zwischen Ea3 zur Zeit t2 (E2) und der Signaländerung im Signal E3 ist, nähert sich die Spannung Efb3 exponentiell mit der Zeitkonstante l/K1K2 dem Wert Null. Wie also in Fig. 2 gezeigt, geht das Signal E&3 und somit das Ausgangssignal am Ausgang 24 der Konsolidierungsschaltung 20 glatt vom Vorspannwert E2 auf den gewünschten Signalamplitudenwert (1/2)(S12 + S14) über.
  • Es ist für den Fachmann einzusehen, daß die Parameter K1 und K2 jeweils im Hinblick auf das System angesetzt werden, an das die Erfindung Signale liefert. Verwendet man die Erfindung bspw. in einer Flugsteuerung für ein Luftfanrzeug, wird die Konstante K2 so festgelegt, daß die Zeitkonstante l/K1K2 für einen Wegfall des Vorspannsignals sorgt, bei dem das gewünschte Eingangssignal an der Steuerung so schnell wie möglich anliegt, ohne daß die Flugsteuerung Befehlssignale abgibt, die die Fähigkeiten der Flugsteuerung übersteigen oder zu abrupten Flugmanövern des Luftfahrzeugs führen. Die Integrationskonstante wird im allgemeinen im Hinblick auf die normalen zeitlichen Schwankungen der Sensorsignale festgelegt.
  • Das heißt, dass man die Integrationskonstante K1 so wählt, daß normale Änderungen der Wandlerausgangsspannung ohne wesentliche Dämpfung oder Verzerrung auf die Einheiten 116, 128, 140 gegeben werden.
  • Die Fig. 3 zeigt die Anordnung einer vollredundanten Steuerung mit drei im wesentlichen identischen Kanälen, die jeweils direkt mit einem redundanten Sensorsignal sowie über aber tragungswege zwischen den Kanälen mit den beiden übrigen Sensorsignalen gespeist werden. Bei der Anwendung der vorliegenden Erfindung in einer solchen Anordnung weist jeder der Kanäle einen Sensorausfalldetektor, einen Systemausfalldetektor, die Signalwahllogik sowie einen Signalkonsolidierer entsprechend den in Fig. 1 gezeigten Schaltungen auf.
  • Insbesondere ist in der dreifach redundanten Steuerung der Fig. 3 ein Präzisionssensor 10 an eine Signalwahl- und Überwachungseinheit 160 und einen Sender 162 im Kanal 1 des redundanten Systems angeschlossen. Desgl. ist ein Paar weniger präziser Sensoren 12, 14 an die Signalwahl- und Uberwachungseinheiten 164, 168 und die Sender 166, 170 angeschlossen, die den Systemkanälen 2, 3 zugeordnet sind. Jeder Sender 162, 166, 170 gibt das zugehörige Sensorsignal auf die beiden verbleibenden Systemkanäle. In dieser Hinsicht ist der Ausgang des Senders 162 an einen Empfänger 172 des Systemkanals 2 und einen Empfänger 176 des Systemkanals 3 gelegt, während das Ausgangssignal, das der Sender 166 im Systeinkanal 2 liefert, an einen Empfänger 174 im Systemkanal 3 und einen Empfänger 178 im Systemkanal 1 geht. Schließlich ist das vom Sender 170 des Systemkanals 3 glieferte Ausgangssignal an einen Empfänger 180 des Systemkanals 1 und einen Empfänger 182 des Systemkanals 2 gelegt. Da das von jedem der Empfänger 172, 174, 176, 178, 180 und 182 gelieferte Ausgangssignal an die Signalwahl-und Uberwachungseinheit 160, 174, 168 desjenigen Systemkanals geht, in dem sich der jeweilige Empfänger befindet, erhält jede Signalwahl- und Überwachungseinheit 160, 164, 168 die dreifach redundanten Sensorsignale der Sensoren 10, 12, 14.
  • Es ist einzusehen, daß sich verschiedene herkömmliche Einrichtungen als Sender und Empfänger in der in Fig. 3 gezeigten redundanten Steuerung einsetzen lassen. Es ist weiterhin einzusehen, daß diese Sender und Empfänger oft so angeordnet sind, daß verschiedene andere Systemdaten zwischen den drei Systemkanälen kreuzgekoppelt werden.
  • Jede Signalwahl- und Überwachungseinheit 160, 164, 168 enthält Schaltungen entsprechend dem Sensorausfalldetektor 16, dem Systemausfalldetektor 22, der Signalwahllogik 18 und dem Signalkonsolidierer 20 der Ausfiihrungsform der Fig. 1. In der Anordnung der Fig. 3 enthält also jeder Kanal Mittel, um unabhängig ein bestes oder am besten geeignetes Sensorsignal aus den von den Sensoren 10, 12, 14 gelieferten redundanten Signalen abzuleiten. Wie zuvor zur Ausführungsform der Fig. 1 erläutert, liefern nach der vorliegenden Erfindung die Signalwahl- und Uberwachungseinheiten 160, 164, 168 ein dem vom Sensor 10 gelieferten identisches Ausgangssignal, wenn der Präzisionssensor voll betriebsfähig ist, und liefern ein dem gewichteten Mittelwert der von den Sensoren 12, 14 gelieferten Signale entsprechendes Ausgangssignal, wenn der Sensor 10 ausgefallen ist. Wie in Fig. 3 gezeigt, sind die von den Signalwahl- und Überwachungseinheiten 160, 164, 168 abgegebenen Signale an die Recheneinheiten 184, 186, 188 der Systemkanäle 1, 2 und 3 gelegt. Jede der Recheneinheiten 184, 186, 188 weist Mittel auf, mit denen die von den Signalwahl- und Überwachungseinheiten und zuweilen auch von anderen Quellen angelieferten Signale zu den gewünschten Systemausgangssignalen verarbeitet werden - bspw. zu Signalen zur Betätigung der Steuerflächen eines Luftfahrzeugs. In dem vereinfachten Systeidiagran der Fig. 3 gelangen diese Steuersignale aus den Recheneinheiten 184, 186, 188 an die Ausgänge 190, 192, 194.
  • Ist die Erfindung in einem vollredundanten System verwirklicht, wie es Fig. 3 zeigt, ist es oft vorteilhaft oder erforderlich, den Systemausfall und die Signalwahlkriterien etwas anders zu definieren als oben bezüglich der Fig. 1 beschrieben wurde.
  • In einer Ausführungsform des dreifach redundanten Systems der Fig. 3 sind die Uberwachungsschaltungen der Signalwahl- und Überwachungseinheiten 160, 164, 168 so angeordnet, daß sie einen Ausfall der Systemkanäle 1, 2 bzw. 3 anzeigende digitale Signale liefern, wenn der unmittelbar an einen bestiaten ganal angeschlossene Sensor oder die diesem Kanal zugeordnete Recheneinheit ausgefallen ist. In dieser Anordnung wird ein digitales, einen Gesamtsysteiausfall anzeigendes Signal erzeugt, wenn zwei Systemkanäle ausgefallen sind. Eine solche Anordnung bewirkt einen unbedingt/bedingt sicheren Betrieb bezüglich sowohl der Gruppe redundanter Sensoren 10-, 12, 14 als auch der gruppe redundanter Recheneinheiten 164, 186, 188 und läßt sich realisieren, indem man den Systemausfalldetetor 22 der Fig. 1 durch den Systemausfalldetektor 22' der Fig. 4 ersetzt, so daß jede Signalwahl- und Uberwachungseinheit 160, 174, 168 einen Sensorausfalldetektor 16, einen Systemaufalldetektor 22', eine Signalwahllogik 18 sowie einen Signalkonsolidierer 20 enthält.
  • Um eine Ausfallanzeige jedes Kanals des dreifach redundanten Systems der Fig. 3 zu erzeugen, weist der Systemausfalldetektor 22' der Fig. 2 die ODER-Glieder 196, 198, 200 mit jeweils zwei Eingängen auf, wobei die ersten Eingänge 202, 204, 206 der ODER-Glieder 196, 198, 200 an die Ausgänge der Speicher 46, 48, 50 des Sensorausfalldetektors 16 (Fig. 1) führen. Die zweiten Eingänge 208, 210, 212 der ODER-Glieder 196, 198, 200 nehmen jeweils ein Logiksignal auf, das den Betriebszustand der Recheneinheiten 184, 186, 188 beschreibt, die, wie oben beschrieben, den Systemkanälen 1, 2 bzw. 3 zugeordnet sind.
  • Insbesondere enthält die Recheneinheit jedes Kanals eine herkömmliche Überwachungsschaltung, die den Ausfall der Recheneinheit erfaßt, wobei ein den Ausfallzustand der jeweiligen Recheneinheit anliegendes Signal unmittelbar auf den dem gleichen Systemkanal zugeordneten Systemausfalldetektor 22' sowie zusätzlich über Signalflußwege zwischen den Kanälen an die Systemausfalldetektoren 22' der anderen Systemkanäle geleitet wird - bspw. die Sender-Empfänger-Anordnung, die die Fig. 3 zeigt.
  • Die Ausgänge der ODER-Glieder 196, 198, 200, führen zu den Ausgangsanschlüssen 214,216, 218 des Systemausfalldetektors 22', diese ihrerseits zu den Eingängen 76, 78, 80 der Signalwahllogik 18 der Fig. 1.
  • Die ODER-Glieder 196, 198, 200 liefern also logische Signale CH1FAIL = Slo FAIL + COMP 184 FAIL; CH2FAIL = S12 FAIL + COMP 186 FAIL; und CH3FAIL = S14 FAIL + COMP 188 FAIL, wobei COMP 184 FAIL, CO 186 FAlL und COMP 188 FAIL die logischen Signale sind, die einen Ausfall der Recheneinheit 184, 186 bzw. 188 anzeigen. Aus diesen Kanalausfallsignalen und der oben beschriebenen Funktion der Signalwahllogik 18 ergibt sich für diese Ausführungsform der Erfindung, daß die Signalwahllogik 18 logische Steuervariable G1, G2 und G3 an die zugehörigen Signalkonsolidierer entsprechend den folgenden logischen Beziehungen liefert: G1 = (CH2FAII + CH3FAIL + SloSU) . wIFXz (3) G2 = CH1FAIL . CH2FAIL . CH3FAIL . SloSUS (4) G = CHlFAII Es läßt sich also erkennen, daß in dieser Ausführungsform der Erfindung die Signalwahllogik 18 nicht ein Umschalten der Signalkonsolidierer 20 zwischen den Signalflußwegen 100, 102 und 104 als Funktion des Ausfallzustands der Sensoren 10, 12, 14 bewirkt, sondern auch ein Umschalten zwischen den Signalflußwegen 100, 102, 104 als Funktion des Ausfallzustands der Recheneinheiten 184, 186, 188. Insbesondere ist in dieser Ausführungsform der Erfindung die logische Variable G1 = 1, so daß der Signalkonsolidierer 20 ein stetiges, mit dem vom Sensor 10 gelieferten identisches Signal abgibt, wenn weder der Sensor 10 noch die Recheneinheit ausgefallen ist und der Sensor 10 sich nicht im Vermutungszustand befindet oder entweder der Sensor 12, der Sensor 14, die Recheneinheit 184 oder die Recheneinheit 188 ausgefallen ist. Wenn entweder der Sensor 10 oder die Recheneinheit 184 ausfällt, setzt die Signalwahllogik 18 die logische Variable G3 = 1, so daß der zugeordnete Signalkonsolidierer 20 ein Signal liefert, das mathematisch gleich der halben Suume der redundanten Signale aus den Sensoren 12, 14 ist. Befindet der Sensor 10 sich im Vermutungszustand und ist keine der drei Recheneinheiten 184, 186, 188 und keine der drei Sensoren 10, 12s und 14 ausgefallen, setzt die Signalwahllogik 18 die logische Variable G2 = 1, so daß der zugeordnete Signalkonsolidierer 20 ein Ausgangssignal liefert, das mathematisch gleich S10/2 + (S12 + 514)/4 ist.
  • Um eine Systemausfallanzeige zu erzeugen, wenn zwei der Systemkanäle betriebsunfähig sind, sind die von den ODER-Gliedern 196, 198, 200 des Systemausfalldetektors 22" der Fig. 4 gelieferten Signale an die Eingänge der UND-Glieder 220, 222, 224 tmit je zwei Ein6angenJ gelegt. Insbesondere ist der Ausgang des ODER-Glieds 196 än einen Eingang des UND-Glieds 220, und einen Eingang des UND-Glieds 22, der Ausgang des ODE--Glieds 198 an den weiten Eingang des UND-Glieds 222 und einen Eingang des UND-Glieds 224 und der Ausgang des ODER-Glieds 200 an den zweiten Eingang des UND-Glieds 220 und den zweiten Eingang des UND-Glieds 224 gelegt; die Ausgänge der UND-Glieder 220, 222, 224 sind an die Eingänge des ODER-Glieds 226 mit drei Eingängen angeschlossen. In dieser Anordnung gibt das UND--Glied 220 ein Signal log.l an das ODER-Glied 226 ab, wenn das ODER-Glied 196 und das ODER-Glied 200 Signale log.l liefern (d.h. die Systemkanäle 1 und 3 ausgefallen sind), während das UND-Glied 222 ein Signal log.l an das ODER-Glied 226 liefert, wenn sowohl das ODER-Glied 198 und das ODER-Glied 200 Signale log.l erzeugen (d.h. die Kanäle 2 und 3 ausgefallen sind). Es ist also einzusehen, daß das ODER-Glied 226 ein Signal log.l an den Systemausfallanschluß 228 gibt, wenn zwei Systeikanäle gleichzeitig ausgefallen sind. Da der Systemausfalldetektor 22' jedes der drei Kanäle der dreifach redundanten Steuerung der Fig. 3 ein Systemausfallsignal liefert, ergibt sich eine dreifach redundante Systemausfallerfassung. Um sicherzustellen, daß ein Systemausfall nicht bei einer Fehlfunktion eines der Systemausfalldetektoren 22' erklärt wird, lassen diese Systemausfallsignale sich zwischen den Kanälen des Systems kreuzkoppeln und miteinander so vergleichen, daß zwei oder mehr Systemausfalldetektoren 22' einen Systemausfall anzeigen müssen, bevor insgesamt ein Systemausfall deklariert wird.
  • Muß ein redundantes System in Echtzeit eine erhebliche unzahl von Ausgangs- bzw. Steuersignalen liefern, die von einer großen Anzahl von Eingangssignalen abgeleitet werden, lassen sich Systeme der in Fig. 3 gezeigten Art mit prograuierbaren Digitalrechnern in jedem der Systeikanäle ausführen. Vorteilhafterweise kann man in ein solches System auch die Signalwahl- und konsolidierung aufnehmen. Bspw. ist'die Signalwahl und -konsolidierung nach der vorliegenden Erfindung in einer digitalen Flugsteuerung für ein modernes STOL-Flugzeug enthalten, das derzeit entwickelt wird.
  • In der speziellen digitalen Flugsteuerung, in der die vorliegende Erfindung angewandt ist, weist jeder Systemkanal, d.h.
  • die Kanäle 1, 2, 3 der Fig. 3, eine Schnittstelle und eine Recheneinheit auf. Jede Schnittstelle nimmt Signalinformationen aus redundanten Sensoren auf, die Informationen zur Fluglage und -konfiguration, Bewegung und den Pilotbefehlen liefern, wobei jede einzelne Schnittstelle Signale von einem bestimmten Sensor innerhalb einer dreifach redundanten Gruppe solcher Sensoren aufnimmt. Die von den Schnittstellen empfangenen Signale, bei denen sich um 2-Draht- oder 3-Draht-Analogsignale unterschiedlicher fester oder unbestimmter Frequenzeigenschaften, diskrete oder zweiwertige Signale einheitlich kurzer oder unterschiedlicher Dauer und serielle oder parallele Digitaldaten handeln kann, werden in den Schnittstellen umgewandelt und in geeigneter digitaler Form auf die zugehörige Recheneinheit gegeben.
  • Jede Recheneinheit dieses Systems ist ein herkömmlicher programmierbarer Digitalrechner mit einer Ein/Ausgabeschaltung, Speichereinheiten und einer Recheneinheit, die die erforderlichen Rechen- und Logikoperationen durchführt. Die Ein/Ausgabeeinheit übergibt unter Steuerung durch ein Programm die von den Sensoren erhaltenen Daten an geeignete Speicherplätze innerhalb der Speichereinheit, überweist Informationen an die Recheneinheit, wo die erforderlichen Rechenschritte ausgeführt werden, und gibt die Steuersignale, die in der Recheneinheit berechnet werden, entweder unmittelbar an die Betätigungseinrichtung für die Steuerflächen des Luftfahrzeugs weiter oder legt sie im Speicher ab, von wo sie später an die Steuerflächen gegeben werden.
  • Um eine Kanalverkopplung der redundanten Sensorsignale zu erreichen, weist diese Flugsteuerung eine optische Verkopplung der Recheneinheiten der Kanäle 1, 2, 3 auf. In dieser optischen Koppelanordnung wird jedes redundante Sensorsignal, das von einer Schnittstelle an eine zugehörige Recheneinheit geleitet wird, mittels Leuchtdioden zu einem optischen Signal umgewandelt und die resultierende optische Energie an die Recheneinheiten der beiden anderen Kanäle über Glasfaserleitungen übertragen. Jede Recheneinheit erhält also die auch an die beiden anderen Kanäle gegebenen redundanten Sensorsignale. Die die redundanten Sensorsignale für die anderen beiden Kanäle darstellenden optischen Signale werden dann in der Recheneinheit wieder zu elektrischen Signalen umgewandelt und während der zugehörigen Rechenzeiten an die Recheneinheit geleitet. Hinsichtlich der apparativen Ausführung der Signalwahl und -konsolidierung nach der vorliegenden Erfindung in einem solchen digitalen Flug steuerung läßt sich also eine Gruppe dreifach redundanter Sensorsignale, bei denen einer der Sensoren der Gruppe präzisere Informationen liefert als die beiden anderen, innerhalb jeder Recheneinheit des oben beschriebenen Digitalsystems darstellen und, wie im folgenden beschrieben, während eines vorbestimmten Zeitraums zur Signalwahl und -konsolidierung verwenden.
  • Um die Vielseitigkeit, Zuverlässigkeit und Wartungsfähigkeit der oben erläuterten dreifach redundanten digitalen Flugsteuerung zu erhöhen, sind die Recheneinheiten aller Kanäle identisch ausgeführt. Die identische Programmierung aller Recheneinheiten bedeutet, daß die Recheneinheiten nicht jeweils eine Gruppe von drei redundanten Signalen als spezifisch geordnete Gruppe von drei Informationselementen aufnehmen.
  • Genauer: Die oben beschriebene digitale Flugsteuerung (vergl.
  • Fig. 3) ist so angeordnet, daß jeder Systemkanal 1, 2, 3 eine ankommende Gruppe redundanter Signale als Signalsatz (SIGA, SIG B, SIG C) speichert bzw. organisiert, in dem SIG A das von dem diesem Kanal unmittelbar zugeordneten redundanten Sensor gelieferte Signal, SIG B das mit einem Empfänger 1 dieses Kanals aufgenommene redundante Sensorsignal (d.h. Eapfänger 176, 178, 182) und SIG C das vom Empfänger 2 dieses Kanals (d.g. Empfänger 172, 174, 180) empfangene redundante Sensorsignal ist. Bezüglich des Kanals 1 entspricht also der redundante Signalsatz (SIG A, SIG B, SIG C) dem Signalsatz S10, S12, 514; bezuglich des Kanals entspricht der redundante Signalsatz-(SIG A, SIG B, SIG C) dem Signalsatz S12, 514, S10 und bezuglich des Kanals 3 entspricht der redundante Signalsatz (SIG A, SIG B, SIG 0) dem Signalsatz 514, S10, 512.
  • Um die oben beschriebene Signalkonsolidierung in einer solchen digitalen Flug steuerung zu erleichtern, werden die Sensorsignale während eines Teils der Funktionsfolge, die jede Recheneinheit 184, 186, 188 ausführt, verglichen (collated") oder identifiziert. Das Blockdiagramm der Fig. 5A zeigt die Funktion jeder Recheneinheit 184, 186, 188 zur einwandfreien Identifizierung der Sensorsignale. Wie in Fig. 5A gezeigt, werden die Signale SIGA, SIG B, SIG C auf drei Summierer 230, 232, 234 über die Stufen 236, 238, 240 gegeben, deren Verstärkungsgrad steuerbar ist. Insbesondere wird das Signal SIG A auf einen Eingang der drei Summierer 230, 232, 234 über eine Stufe 236, eine Stufe 240 und eine Stufe 238, das Signal SIG B auf einen Eingang der drei Summierer 230, 232, 234 über die Einheit 240 und das Signal SIG C auf einen Eingang der drei Summierer 230, 232 und 234 über eine Einheit 240, eine Einheit 238 bzw. eine Einheit 236 gegeben. Wie in Fig. 5A gezeigt, sprechen die Stufen 236, 238, 240 auf Kanalkennungs signale an, die in Fig. 3 als CHAN 1, OH AN2, CHAN 3 bezeichnet sind. Wenn insbesondere das den Einheiten 236, 238, 240 zugeordnete Kanalkennungssignal ein erstes vorbestixetes Signal (bspw. log.l) ist, hat die zugehörige Einheit im wesentlichen den Verstärkungsgrad eins; wenn ein Sanalkennungssignal einen zweiten vorbestinten Pegel (bspw. log.0), ist der Verstärkungsgrad der zugeordneten Einheiten im wesentlichen null. Wie im Fall der Einheiten mit steuerbarem Verstärkungs grad, die bezüglich der Ausführungsform der Fig. 1 beschrieben wurden, stellt jede dieser Einheiten 236, 238, 240 in ihrer Wirkung einen Schalter dar, der von einem elektrischen Signal gesteuert ein anliegendes Signal entweder ohne wesentliche Dämpfung durchläßt oder es sperrt. Im Hinblick auf diese Anordnung ist einzusehen, daß ein diskretes Signal in jedem der Systemkanäle 1, 2, 3 diesen Kanal eindeutig identifizieren und dafür sorgen kann, daß die Schaltung der Fig. 5A die Sensorsignale S10, S12, S14 einwandfrei dem redundanten Signalsatz SIG A, SIG B, SIG C zugeordnet, der in diesem jeweiligen Kanal vorliegt.
  • ;Die Fig. 5B zeigt ein Flußdiagramm zur Folgeschaltung der Recheneinheiten 184, 186, 188 der Systemkanäle, 1, 2, 3 der oben beschriebenen digitalen Flugsteuerung, um die redundanten Sensorsignale S10, S12, S14 einwandfrei zu identifizieren, wie in Fig. 5A gezeigt. In der Anordnung der Fig. 5B wird das Kanalkennungssignal CHANl zunächst daraufhin geprüft, ob es log.l ist oder nicht. Ist CHANl = log.l, speichert die Recheneinheit das Signal SIG A als Signal S10 des Sensors 10, das Signal SIG B als Signal S12 des Sensors 12 und das Signal SIG C als Signal S14 des Sensors 14. Ist das Kanalkennungssignal CYAN1 6 1, stellt die Recheneinheit weiterhin fest, ob das Kanalkennungssignal CHAN2 = 1 ist. Ist das Kanalkennungssignal CHAN2 = 1, ordet die Recheneinheit das Signal SIG C dem Sensor 10,das Signal SIG A dem Sensor 12 und das Signal SIG B dem Sensor 14 zu. Ist das Kanalkennungssignal CHAN2 6 1, ordnet die Recheneinheit das Signal SIG B dem Sensor 10, das Signal SIG C dem Sensor 12 und das Signal SIG A dem Sensor 14 zu. Mit derart identifizierten Sensorsignalen S10, S12, S14 läßt sich die Signalwahl und -verknüpfung dann in den Recheneinheiten 184, 186, 188 der Fig. 3 durchführen.
  • Das Flußdiagramm der Fig. 6 zeigt die Signalwahl und -verknüpfung zur Verwendung in der beschriebenen digitalen Flugsteuerung. Wie im folgenden beschrieben, unterscheidet sich die Signalverknüpfung, die sich in der Fig. 6 ergibt, geringfügig von der der Ausführungsform der Erfindung in Fig. 1.
  • Insbesondere ist das abgeleitete Signal nicht nur dann gleich (512 + S14)/2, wenn der Sensor 10 ausgefallen ist, sondern auch, wenn der Sensor 10 sich im Vermutungszustand befindet.
  • Wie bezüglich der Ausführungsform der Erfindung in Fig. 1 beschrieben, ist das dort abgeleitete Signal bei im Vermutungszustand befindlichem Sensor 10 gleich S10/2 + (S12 + S14)/4.
  • Im allgemeinen ist eine Signalverknüpfung, bei der das abgeleitete Signal mathematisch gleich dem Mittelwert der von den Sensoren 12, 14 gelieferten Ausgangssignale bei im Vermutungszustand befindlichem Sensor 10 ist, vorteilhaft in Ausführungsformen der Erfindung, die in einer Steuerung arbeiten, die besonders anfällig ist für harte Ausfälle ("hard-over failures"), wie sie auftreten, wenn ein Sensor ausfällt und die Amplitude des Ausgangssignals einen starken Sprung erfährt.
  • Wie in Fig. 6 dargestellt, erfolgt die Signalwahl in der digitalen Flugsteuerung, indem zunächst eine geordnete Menge von Sensorsignalen (510, S12, S14) aus den Signalen (SIG A, SIG B, SIG C) entsprechend der Signalidentifizierungsfolge der Fig.
  • 5B gebildet wird. Jede Recheneinheit 184, 186, 188 ermittelt dann, ob der Sensor in Vermutungszustand sich befindet, indem sie die logische Operation (/S10-S12/>TH1) . (/S10-S14/> UHl) durchführt, wobei die Klammern die Bestimmung des Absolutwerts der Differenz zwischen dem jeweiligen Signalen S10, S12, 514 während desjenigen Iterationsintervalls bezeichnen, in dem die Folge der Fig. 6 abläuft (.) bezeichnet die logische UND--Operation und Thl ist der Schwellwert, über dem der Sensor 10 für im Vermutungszustand befindlich angenommen wird; THl entspricht also dem Amplitudenwert stuhl der Fig. 2. Die logische Variable G1 wird danach aus der oben definierten logischen Beziehung (3) bestimnt und dann geprüft, ob sie gleich log.l ist. Ist dies der Fall, wird eine Variable GEMP auf den Wert der Signalamplitude gesetzt, die der Sensor 10 während dieses Iterationsintervalls der Recheneinheit liefert.
  • Dann wird bestinst, ob der Sensor 10 während des unmittelbar vorgehenden Iterationsintervalls der Recheneinheit betriebsfähig war. Diese Bestimmung erfolgt durch Prüfen einer logischen Variablen tp, zu die gleich dem Wert der logischen Variablen G1 während des unmittelbar vorhergehenden Iterationsintervalls ist, um zu bestimmten, ob die logische Variable Glp gleich log.l ist. War der Sensor 10 während des vorgehenden Iterationsintervalls voll betriebsfähig, ist Glp = 1 und wird eine Variable TFS auf einen Wert TFS(l-K1) gesetzt, wobei Kl eine Konstante ist, die angibt, wie schnell das von der Signalverknüpfungsanordnung im Zeitpunkt eines Sensorausfalls gelieferte Signal sich dem Signal nähert, das nach diesem Ausfall zu liefern ist. Wie im folgenden beschrieben, bewirkt die Variable TFS einen von Unstetigkeiten freien Schaltvorgang bei änderungen in den Funktionszuständen der Systemteile, wobei TFS anfänglich auf einen Wert gesetzt wird, der im wesentlichen gleich der Differenz zwischen dem während des dem Ausfall eines redundanten Sensors unmittelbar vorangehenden Iterationsintervalls gelieferten Signal und demjenigen Signal ist, das bei einem augenblicklichen Umschalten erzeugt werden würde.
  • Nachdem der Wert von TFS festgelegt ist, wird Gp1 auf den Wert der logischen Variablen G1 gesetzt, so daß 1p im nächsten Iterationsintervall zur Vertügung steht. Das in diesem Iterationsintervall zu liefernde Ausgangssignal wird dann festgelegt, indem die Variable OUT auf (TEMP +TFS) gesetzt wird.
  • Dieses Ausgangs signal benutzt die Recheneinheit dann, um die Steuersignale für die Betätigungseinrichtung für die Flugzeugsteuerung zu bestimmen, oder gibt sie an andere Anlagenteile zur Verwendung durch diese weiter.
  • Wenn nach dem Setzen der Variablen TEMP auf das Signal aus dem Sensor 10, das während des jeweiligen Iterationsintervalls vorliegt, ermittelt wird, daß Glp nicht log.l ist, wird die Variable TFS gleich (OUT -TEMP) gesetzt, wobei OtIT das während der vorgehenden Iteration vorliegenden Ausgangssignal ist. Da diese Bedingungen der Situation entsprechen, in der das gewahlte Signal (512 + S14)/2 in dem unmittelbar vorgehenden Iterationsintervall war, d.h. daß der Sensor 10 während des letzten Iterationsintervalls entweder ausgefallen war oder sich im Vermutungszustand befand, wird der Wert von TSF auf (S12 +S14)/2 - SjO) gesetzt, wobei angenommen ist, daß das gewählte Signal lange genug der Mittelwert der von den Sensoren 12, 14 gelieferten Signale war, daß die Variable TSF im wesentlichen gleich null wurde. Wenn andererseits der Wert von OUT während des unmittelbar vorhergehenden Iterationsintervalls einen Wert von TFS enthielt, wird dieser Wert in den neuen Wert von TFS aufgenommen, wenn die logische Variable G1 = 1 wird, nachdem sie während des vorhergehenden Iterationsintervalls log.0 war.
  • Auf jeden Fall ermittelt die Recheneinheit dann einen neuen Wert für TFS, d.h. TFS(l-K1), setzt G1p = G1 und setzt einen neuen Wert von OUT, d.h. OUT = TEMP + TFS fest. Es läßt sich erkennen, daß das abgeleitete Signal OUT für das erste Iterationsintervall, nach dem G1 von log.O auf log.l übergeht, gleich (S12 + S14)/2 - K1(512 + S14)/2 + K1S10 ist mit S12 und S14 als den von den Sensoren 12, 14 während der vorgehenden Iterationsintervalls gelieferten Signalwerten und S10 als dem Wert des Signals, das der Sensor 10 während des aktuellen Iterationsintervalls liefert. Wenn also G1 log.l wird, nachdem es log.O gewesen ist, d.h. der Sensor 10 betriebsfähig wird, nachdem er sich im Vermutungszustand befunden hat, wird das von der Signalverknüpfungslogik erzeugte Signal nicht sofort gleich dem vom Sensor 10 gelieferten Signal. Vielmehr wird es mit jeder sukzessiven Iteration diesem Wert um jeweils einen Teilbetrag angenähert, der gleich K1, multipliziert mit der Differenz zwischen dem vom Sensor 10 erzeugten aktuellen Signals und dem Mittelwert des von den Sensoren 12, 14 erzeugten Signals ist, als die Variable G1 zu log.l wurde.
  • Aus dieser Beschreibung der Anordnung der Fig. 6 ist einzusehen, daß, wenn die logische Variable G1 während aufeinanderfolgender Iterationen log.l bleibt, das abgeleitete Ausgangssignal OUT gleich S10 + (l-Kl)n2FS wird, wobei die Variable (n) das n-te Iterationsintervall, S10 der vom Sensor 10 im n-ten Iterationsintervall gelieferte Signalwert und TFS die oben beschriebene, von Unstetigkeiten freie Funktion ist. Da K1 größer als null und kleiner als eins ist, geht der Wert von (l-K1) n mit zunehmendem (n) nach null. Es ist also einzusehen, daß das abgeleitete Signal OUT sich dem vom Sensor 1 gelieferten Signalwert mit einer von der Konstanten K1 bestimmten Geschwindigkeit nähert.
  • Die Funktion der in Fig. 6 gezeigten Anordnung bei G1 6 1, d.h. bei ausgefallenem oder im Vermutungszustand befindlichem Sensor 10, entspricht der oben beschriebenen Arbeitsweise, wenn das abgeleitete Signal OUT auf den Mittelwert der von den Sensoren 12, 14 in einem bestimmten Iterationsintervall gelieferten Signale und em aktuellen Wert der von Unstetigkeiten freien Schaltfunktion GSF gesetzt wird. Wenn insbesondere die logische Variable G1 nicht log.l ist, wird die Variable TEMP = (512 + 514)/2 gesetzt. War G1 während des unmittelbar vorhergehenden Iterationsintervalls nicht log.l, d.h. war die logische Variable Glp 6 1, wird das abgeleitete Signal OUT auf TEMP plus den aktuellen Wert des von Unstetigkeiten freien Schaltfunktion TFS gesetzt. Ist Glp = l, d.h. war der Sensor 10 während des unmittelbar vorhergehenden Iterationsintervalls betriebsfähig, wird der Wert der Variablen TFS anfänglich auf S10-(S12 + S14)/2) gesetzt, wobei S10 der Wert des vom Sensor 10 während des vorhergehenden Iterationsintervalls gelieferten Signals und S12, S14 die Werte der im aktuellen Iterationsintervall von den Sensoren 12, 14 gelieferten Signale sind.
  • Es ist für den Bachmann ersichtlich, daß die hier beschriebenen Ausführungsformen der Erfindung beispielhaft sind und sich im Rahmen der vorliegenden Erfindung an den Einzelheiten derselben zahlreiche änderungen vornehmen lassen. Bspw. können in den Ausführungsformen, in denen das abgeleitete Signal bei im Vermutungszustand befindlichen Präzisionssensor ein mathematisch gewichtetes Signal mit einem Beitrag von jedem der redundanten Signale ist, auch andere Gewichtungsfaktoren verwendet werden als die hier angegebenen. Insbesondere ist zu erkennen, daß das in den offenbarten Ausführungsformen verwendete Signal S10/2 + (S12 + S14)/4 nur ein Beispiel eine Signalgewichtung mit der allgemeinen Form (l/a)S10 + (a - l)/2a ist, in der a eine beliebige ganze Zahl ist, die den Beitrag des Sensors 10 bestimmt. Es ist für den Fachmann weiterhin einzusehen, daß sich die Erfindung auch in Systemen mit höherer Redundanz als der Redundanz 3 einsetzen läßt, indem man die offenbarten Schaltungseinzelheiten entsprechend anpaßt.
  • L e e r s e i t e

Claims (12)

  1. Patentansprüche ( 1.)Signalwahl- und -konsolidierungsanordnung, die ein von einer Vielzahl von redundanten Signalen aus einer Vielzahl von Signalquellen abgeleitetes Ausgangssignal liefert, wobei jedes der redunaanten Signale gleiche Information beinhaltet und eine eine Signalquellen eine Präzisionssignalquelle ist, die genauere Informationen als die übrigen Signalquellen liefert, gekennzeichnet durch eine Signalwahleinrichtung, die auf ein jeder Signalquelle zugeordnetes Ausfallsignal anspricht, das jeweils anzeigt, wenn die zugeordnete Signal quelle betriebsfähig ist und wenn die zugehörige Signalquelle ausgefallen ist, wobei die Signalquellenwähleinrichtung weiterhin auf die Vielzahl redundanter Signale anspricht und Logikmittel enthält, die das von der Präzisions signal quelle gelieferte präzisere Signal mit den von den übrigen Signal quellen gelieferten Signalen zu vergleichen, wobei die Logikmittel Mit tel aufweisen, um ein erstes Wahlsignal mit einem ersten vorbestimmten Wert, wenn die Größe des präziseren Signal die Größe jedes der von den übrigen Signalquellen gelieferten Signale um eins ersten vorbestimmten Betrag übersteigt, und einem zweiten vorbestimmten Wert abzugeben, wenn die Größe des präziseren Signals die Größe aller anderen redundanten von den übrigen Signal quellen gelieferten Signale um den vorbestimmten Betrag nicht übersteigt, wobei die Logik weiterhin Mittel aufweist, um ein zweites Wahisignal zu liefern, wenn das erste Wahlsignal den zweiten vorbestimmten Wert hat und das der Präzisions signal quelle zugeordnete Ausfallsignal angibt, daß die Präzisionssignalquelle betriebsfähig ist, und durch eine Signalkonsolidierungseinrichtung, die auf die redundanten Signale sowie das erste und das zweite Wahlsignal ansprechend das Ausgangssignal liefert und Mittel aufweist, um das präzisere Signal als Ausgangssignal abzugeben, wenn die Signalwahllogtk das zweite Wahlsignal abgibt, wobei die Konsolierungseinrichtung weiterhin Mittel aufweist, die auf das der Präzisionssignalquelle zugeordnete Ausfall signal ansprechend das Ausgangssignal als mathematisch gewichteten Mittelwert der von den übrigen Signalquellen gelieferten Signale abgibt, wenn das der Präzisionssignalquelle zugeordnete Ausfallsignal anzeigt, daß diese ausgefallen ist, und wobei die Konsolidierungseinrichtung weiterhin Mittel aufweist, die auf das erste Wahl signal ansprechend das Ausgangssignal als mathematisch gewichteten Mittelwert mindestens der von übrigen Signalquellen gelieferten Signale abgibt, wenn das erste Wahlsignal den ersten vorbestimmten Wert hat.
  2. 2. Signalwahl und -konsolidierungsanordnung zum Liefern eines von einer Vielzahl von redundanten Eingangs signalen abgeleiteten Ausgangssignals, wobei alle redundanten Eingang signale von Signalquellen geliefert werden, von denen eine ein genaueres Signal als die übrigen Signalquellen abgibt, gekennzeichnet durch eine Erfassungseinrichtung, die auf die redundanten Signale ansprechend Ausfall signale für jede der redundanten Signalquellen abgibt, die den Betriebszustand jeder der Signalquellen darstellen, um anzuzeigen, wenn die jeweilige Signalwelle kein zuverlässiges Signal mehr liefert bzw. ein zuverlässiges Signal liefert, durch eine Signalwahllogik, die auf die Ausfall signale für die Signal quellen und auf die redundanten Signale ansprechend mindestens ein erstes und ein zweites Signalwahlsignal liefert und eine Komparatoranordnung aufweist, die das präzisere Signal mit jedem der redundanten Signale aus den übrigen Signalquellen vergleicht und Mittel enthält, um das erste Wahl signal abzugeben, wenn die Größe des präziseren Signals die aller anderen redundanten Signale um mindestens einen vorbestimmten Schwellwert übersteigt, und weiterhin Mittel aufweist, um das zweite Wahlsignal abzugeben, wenn das der das präzisere Signal abgebenden Signalquelle zugeordnete Ausfallsignal anzeigt, daß diese ein zuverlässiges Signal liefert, und die Komparatoranordnung das erste Wahlsignal nicht abgibt, und durch eine auf die von den Signalquellen gelieferten redundanten Signale und auf das erste und das zweite Signalwahlsignal ansprechende Signalkonsolidierungseinrichtung, die aus den redundanten Eingangssignalen ein Ausgangssignal ableitet, wobei die Signalkonsolidierungseinrichtung eine erste Signaleinrichtung, die das präzisere Signal als Ausgangssignal liefert, wenn die Signalwahllogik das zweite Signalwahlsignal liefert, eine zweite Signaleinrichtung, die das Ausgangssignal als mathematisch gewichtetes Mittelwert der redundanten Signale abgibt, die die neben der Präzisionssignalquelle verbleibenden Signalquellen liefern, wenn das der präziseren Signalquelle zugeordnete Ausfallsignal anzeigt, daß die präzise Signalquelle nicht zuverlässig ist, sowie schließlich eine dritte Signaleinrichtung aufweist, die das Ausgangssignal als mathematisch gewichteten Mittelwert mindestens der übrigen redundanten Signale liefert, wenn die Signalwahleinrichtung das erste Wahlsignal abgibt, um anzuzeigen, daß das präzisere Signal jedes der übrigen Signale um mindestens den ersten vorbestimmten Schwellwert übersteigt.
  3. 3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet daß die auf das der Präzisionssignalquelle zugeordnete Ausfall signal und auf das erste Wahlsignal ansprechende Konsolidierungsanordnung Mittel aufweist, die das Ausgangssignal als mathematisch gewichteten Mittelwert der von den übrigen Signalquellen gelieferten Signale erzeugen, wobei der mathematisch gewichtete Mittelwert gleich der Summe der von jeder der übrigen Signal quellen gelieferten augenblicklichen Signalwerte, geteilt durch die Anzahl der übrigen Signalquellen ist.
  4. 4. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die auf das erste Wahl signal ansprechende Signalkonsolidierungsanordnung Mittel aufweist, die das Ausgangssignal als mathematisch gewichteten Mittelwert aller redundanten Signale erzeugen, wobei der mathematisch gewichtete Mittelwert gleich der Summe der von der übrigen Signalquelle abgegebenen augenblicklichen Signalwerte, geteilt durch eine erste rationale Zahl D(a - 1)/an~7, und einer Größe ist, die gleich dem Augenblickswert des von der Präzisionssignalquelle gelieferten Signals, multipliziert mit einer zweiten rationalen Zahl gl/ag ist, wobei a eine gewählte ganze Zahl und n die Anzahl der übrigen Signalquellen ist.
  5. 5. Signalwahl und -konsolidierungsanordnung zur Erzeugung eines Ausgangssignals aus mindestens einem ersten, zweiten und dritten redundanten Eingangssignal, die von einer ersten, zweiten bzw. dritten Signalquelle geliefert werden, wobei das erste redundante Eingangs signal präziser als das zweite und das dritte redundante Eingangssignal ist dahingehend, daß die von den redundanten Signalen vermittelte Information von dem präziseren Signal genauer wiedergegeben wird als von dem weniger präzisen zweiten und dritten redundanten Eingangssignal, gekennzeichnet durch eine Brfassungseinrichtung, die auf das erste, zweite und dritte Signal ansprechend ein erstes, zweites und drittes Ausfallsignal liefert, das anzeigt, ob oder nicht die jeweilige Quelle ein zuverlässiges Signal liefert, durch eine Signalwahllogik, die auf das erste, zweite und dritte Ausfallsignal ansprechend ein erstes, zweites und drittes Signalwahlsignal liefert, wobei das erste, zweite und dritte Ausfall signal einen ersten vorbestimmten Wert haben,wenn das zugehörige redundante Signal von einer voll betriebsfähigen Signalquelle geliefert wird, und das erste, zweite und dritte Ausfall signal jeweils einen zweiten vorbestimmten Wert haben, wenn das zugehörige redundante Signal von einer betriebsunfähigen Signalquelle abgegeben wird, wobei weiterhin die Signalwahllogik Mittel, um ein Logiksignal abzugeben, wenn die Größe des ersten redundanten Signals von der Größe der zweiten und dritten redundanten Signale um einen ersten vorbestimmten Betrag abweicht, und das Logiksignal einen ersten vorbestimmten Wert hat, wenn die Abweichung zwischen der Größe des ersten redundanten Signals und der Größen des zweiten und des dritten redundanten Signals den ersten vorbestimmten Betrag übersteigt, und einen zweiten vorbestimmten Wert hat, wenn die Abweichung zwischen der Größe des ersten redundanten Signals und den Größen des zweiten und des dritten redundanten Signals geringer als der erste vorbestimmte Betrag ist, weiterhin Mittel, um das erste Wahlsignal abzugeben, wenn das erste Ausfallsignal den ersten vorbestimmten Wert und das zweite oder dritte Ausfall signal den zweiten vorbestimmten Wert haben oder das Logiksignal den zweiten vorbestimmten Wert hat, weiterhin Mittel, um das zweite Wahlsignal zu liefern, wenn das erste, zweite und dritte Ausfallsignal jeweils den ersten vorbestimmten Wert und das Logiksignal den ersten vorbestimmten Wert haben, und schließlich Mittel aufweist, um das dritte Wahl signal abzugeben, wenn das erste Ausfall signal den zweiten vorbestimmten Wert hat, und durch eine Signalkonsolidierungsanordnung, die auf das erste, zweite und dritte redundante Signal und das erste, zweite und dritte Signalwahlsignal ansprechend das Ausgangs signal liefert, wobei die Signalkonsolidierungsanordnung eine erste Signalverknüpfungseinrichtung, die das zweite und das dritte redundante Signal zu einem ersten gewichteten Signal verknüpft, das mathematisch gleich der Summe des halben Augenblickswerts des zweiten redundanten Signals und des halben Augenblickswerts des dritten redundanten Signals ist, weiterhin eine zweite Signalverknüpfungseinrichtung, die das erste redundante Signal und das erste gewichtete Signal zu einem zweiten gewichteten Signal verknüpft, das mathematisch gleich der Summe des halben Augenblickswerts des ersten redundanten Signals und des halben Augenblickswerts des ersten gewichteten Signals ist, und schließlich einen ersten, einen zweiten und einen dritten Signalflußweg aufweist, die jeweils dem ersten, zweiten bzw. dritten Wahlsignal zugeordnet sind, wobei der erste Signalflußweg Mittel aufweist, um das erste redundante Signal als Ausgangssignal zu liefern, wenn die Signalwahllogik das zugehörige erste Wahlsignal abgibt, der zweite Signalflußweg Mittel enthält, um das zweite gewichtete Signal als Ausgangssignal zu liefern, wenn die Signalwahllogik das zugehörige zweite Wahl signal geliefert wird, und der dritte Signalflußweg Mittel aufweist, um das erste gewichtete Signal als Ausgangssignal zu liefern, wenn die Signalwahllogik das zugehörige dritte Wahlsignal abgibt.
  6. 6. Anordnung nach Anspruch 5, dadurch gekennzeichnet, daß der erste zweite ant dritte Signalflußweg der Signalkonsolirseinrichtung eine erste, eine zweite bzw. dritte Einheit mit steuerbarem Verstärkungsgrad enthalten, die jeweils einen Eingangs- und einen Ausgangsanschluß aufweisen, wobei die Eingangsanschlüsse der ersten der zweiten und der dritten Einheit mit steuerbarem Verstärkungsgrad das erste redundante, das zweite gewichtete bzw. das erste gewichtete Signal aufnehmen und der Ausgang der ersten, der zweite und der dritten Einrichtung mit steuerbarem Verstärkungsgrad so miteinander verschaltet sind, daß ste das Ausgangs signal der Signalwahlanordnung liefern, wobei weiterhin der ersten, zweiten und dritten Einrichtung mit steuerbarem Verstärkungsgrad das erste, zweite bzw. dritte Wahlsignal zugeordnet sind, um diesensim wesentlichen den Jeweils Verstärkungsgrad eins zu erteilen, wenn das erste, zweite oder dritte ;fcshlsignal von der Signalwahllogik anliegt, und der ersten, zweiten 1md dritten Einrichtung mit steuerbarem Verstärkungsgrad im wesentlichen den Verstärkungsgrad von Null zu erteilen, wenn die Signalwahllogik ein anderes als das zugehörige Signalwahlsignal liefert.
  7. 7. Anordnung nach Anspruch 6, dadurch gekennzeichnet, daß der erste, der zweite und der dritte Signalflußweg weiterhin einen ersten Summierer mit einem additiven Eingang, einem substraktiven Eingang und einem Ausgang enthalten, wobei die Ausgänge der ersten Summierer des ersten, zweiten und dritten Signalfl-Swegs an die Eingänge der ersten, zweiten bzw. dritten Einrichtung steuerbarem Verstärkungsfaktors gelegt sind und die additiven Eingänge der ersten Summierer des ersten, zweiten und dritten Signalflußwegs jeweils das erste redundante, das zweite gewichtete bzw. das erste gewichtete Signal aufnehmen, daß der erste, der zweite und der dritte Signalflußwegweiterhin einen zweiten Summierer mit einem additiven ,einem ersten substraktiven und einem Ausgangsanschluß enthalten, wobei der erste substraktive Eingang jedes der zweiten Summierer des ersten, zweiten und dritten Signalflußwegs das Ausgangs signal der Signalwahleinrichtung aufnimmt, der additive Eingang des zweiten Summierers des ersten, zweiten und dritten Signalflußwegs an den Ausgang desjenigen der ersten Summierer gelegt ist, der sich im gleichen Signalflußweg befindet, daß der erste, der zweite und der dritte Signalflußweg weiterhin jeweils einen Integrator mit einem Eingang und einem Ausgang enthalten, wobei der Eingang des Integrators im ersten, zweiten und dritten Signalflußweg an den Ausgang desjenigen zweiten Summierer gelegt ist, der sich im jeweils gleichen Signalflußweg befindet, und der Ausgang jedes Integrators im ersten, zweiten und dritten Signalflußweg an den subtraktiven Eingang desjenigen ersten Summierers gelegt ist, der sich im gleichen Signalflußweg befindet.
  8. 8. Anordnung nach Anspruch 7, dadurch gekennzeichnet, daß die zweiten Summierer des ersten, zweiten und dritten Signalflußwegs jeweils weiterhin einen zweiten subtraktiven Eingang und der erste Signalflußweg eine erste Rückkoppeleinrichtung zwischen dem Ausgang des Integrators im ersten Signalflußweg und dem zweiten subtraktiven Eingang des im ersten Signalflußweg befindlichen zweiten Summierer aufweist, der zweite Signalflußweg weiterhin eine zweite Rückkoppel einrichtung zwischen dem Ausgang des Integrators im zweiten Signalflußweg und dem zweiten subtraktiven Eingang des im zweiten Signalflußweg befindlichen zweiten Summe rers aufweist, und der dritte Signalflußweg eine dritte Rückkoppeleinrichtung zwischen dem Ausgang des Integrators im dritten Signalflußweg und dem zweiten subtraktiven Eingang des zweiten Summierers im dritten Signalflußweg aufweist, wobei die erste, zweite und dritte Rtickkoppeleinrichtung jeweils auf das erste, zweite bzw. dritte Signalwahl signal ansprechend einen vorbestimmten Verstärkungsgrad zeigen, wenn die Signalwahllogik das jeweilige Wahlsignal, das dem Signalflußweg mit der ersten, zweiten bzw.
    dritten Rückkoppeleinrichtung zugeordnet ist, liefert, und die erste, zweite und dritte Ruckkoppeleinrichtung jeweils einen Verstärkungsgrad von im wesentlichen Null zeigt, wenn die Signalwahllogik ein erstes, zweites und drittes, dem einen die erste, zweite bzw. dritte Rückkoppeleinrichtung enthaltenden Signalflußweg nicht zugeordnetes Wahlsignal liefert.
  9. 9. Anordnung nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, daß die Signalkonsolidierungsanordnung eine Signalübergabeeinrichtung enthält, die das Ausgangssignal während eines vorbestimmten Zeitintervalls nach demjenigen Zeitpunkt, in dem die Logik anfänglich das erste und das zweite Wahlsignal abgibt, und das Ausgangssignal während eines vorbestimmten Zeitintervalls nach demjenigen Zeitpunkt liefert, in dem das der Präzisionssignalquelle zugeordnete Ausfallsignal anzeigt, daß die Präzisionssignalquelle ausgefallen ist, wobei die Signalübergabeeinrichtung Mittel aufweist, um das Ausgangssignal während des nachfolgenden Zeitintervalls als ein Signal zu liefern, das gleichmäßig von dem von der Signalkonsolidierungsanordnung unmittelbar vor dem Einleiten des ersten und zweiten Signalwahlsignals durch die Signalwahllogik und unmittelbar vor dem Ausfallsignal, das die Betriebsunfähigkeit der Präzisionssignalquelle anzeigt, abgegebenen auf das Ausgangssignal übergeht, das die Signalkonsolidierungsanordnung am Ende des vorbestimmten Zeitintervalls liefert.
  10. 10. dreifach redundante Signalwahl- und -konsolidierungsanordnung, gekennzeichnet durch eine erste, zweite und dritte redundante Signalquelle, die ein erstes, ein zweites und ein drittes redundantes Signal liefern, wobei die erste redundante Signalquelle eine räzisionsquelle ist, die ein präziseres Signal als die von der zweiten und der dritten Signalquelle gelieferten Signale liefert, durch eine Ausfallerfassungseinrichtung, die einen Betriebs- und einen Ausfallzustand für die ersten, zweite und dritte Signalquelle definiert und eine erste Komparatoranordnung, die auf das erste, zweite und dritte Signal ansprechend das erste, zweite und dritte redundante Signal miteinander vergleicht und ein erstes Ausfallsignal mit einem ersten vorbestimmten Wert, wenn das erste redundante Signal um einen vorbestimmten Betrag größer als das zweite oder dritte redundante Signal ist, tideinen zweiten vorbestimmten Wert abgibt, wenn das erste redundante Signal das zweite und dritte redundante Signal nicht um den vorbestimmten Betrag übersteigt, wobei die erste Komparatoranordnung weiterhin Mittel aufweist, um ein zweites Ausfallsignal mit einem ersten vorbestimmten Wert, wenn das zweite redundante Signal um einen vorbestimmten Betrag größer als das erste und das dritte signal ist, und einem zweiten vorbestimmten Wert abzugeben, wenn das zweite redundante Signal das erste und das dritte redundante Signal nicht um den vorbestimmten Betrag übersteigt, w1e dritte Komparatoranordnung weiterhin Mittel aufweist, um ein drittes Ausfallsignal mit einem ersten vorbestimmten Wert, wenn das dritte redundante Signal um einen vorbestimmten Betrag größer als das erste und das zweite redundante Signal ist, und einem zweiten vorbestinme Wert abzugeben, wenn das dritte redundante Signal das erste und das zweite redundante Signal nicht um den vorbestimmten Wert übersteigt, weiterhin durch eine Signalwahllogik, die auf das erste, zweite und dritte redundante Signal sowie das erste, zweite und dritte Ausfallsignal ansprechend Signalwahlsignale liefert und einen zweiter Komparator, der auf das erste, zweite und dritte redundante Signal ansp.rechend ermittelt, wenn das erste redundante Signal von dem zweiten und dem dritten redundanten Signal um mindestens einen vorbestimmten Betrag abweicht, sowie Mittel aufweist, um ein Vermutungssignal mit einem ersten vorbestimmten Wert, wenn die Abweichung des ersten redundanten Signals von dem zweiten und dem dritten redundanten Signal den vorbestimmten Betrag übersteigt, und einem zweiten vorbestimmten Wert abzugeben, wenn die Abweichung des ersten redundanten Signals von dem zweiten und dem dritten redundanten Signal den vorbestimmten Betrag nicht übersteigt, wobei die Signalwahllogik weiterhin Mittel aufweist, um ein erstes Wahlsignal abzugeben, wenn das erste Ausfall signal gleichzeitig mit dem den ersten vorbestimmten Wert aufweisendem zweiten und drittem Ausfall signal den zweiten vorbestimmten Wert annimmt, und ein erstes Wahlsignal abzugeben, wenn das erste Ausfall signal gleichzeitig mit dem den zweiten vorbestimmten Wert aufweisendem Vermutungssignal den zweiten vorbestimmten Wert annimmt, und durch eine Signalkonsolidierungsanordnung, die auf das erste, zweite und dritte redundante Signal und die von der Signalwahllogik abgegebenen Wahlsignale ansprechend ein Ausgangssignal liefert, das von dem ersten, zweiten und dritten redundanten Signal abgeleitet ist, welche Signalkonsolidierungsanordnung eine erste Signalsteuereinrichtung, die auf das erste Wahlsignal ansprechend das erste redundante Signal als Ausgangssignal durchschaltet, wenn die Signalwahllogik das erste Wahlsignal abgibt, und eine zweite Signalsteuereinrichtung aufweist, die auf das erste Wahlsignal ansprechend ein erstes mathematisch gewichtetes Signal mit gleichen Signalbeiträgen mindestens des zweiten und des dritten redundanten Signals abgibt, wenn das erste Wahlsignal nicht anliegt.
  11. 11. Anordnung nach Anspruch 10, dadurch gekennzeichnet, daß die Signalwahllogik weiterhin Mittel zum Erzeugen eines zweiten Wahlsignals aufweist, wenn das Vermutungssignal den ersten vorbestimmten Wert und gleichzeitig das erste, das zweite und das dritte Ausfall signal den zweiten vorbestimmten Wert haben, wobei die Signalwahllogik weiterhin Mittel aufweist, die ein drittes Signalwahlsignal erzeugen, wenn das erste Ausfall signal den ersten vorbestimmten Wert hat, und daß die zweite Signalsteuereinrichtung der Signalkonsolidierungsanordnung auf das dritte Signalwahlsignal ansprechend das erste mathematisch gewichtete Signal gleich der Summe der Hälfte jeweils des ersten und des dritten redundanten Signals erzeugt, wenn die Signalwahllogik das dritte Wahlsignal liefert, und die Signalkonsolidierungsanordnung weiterhin eine dritte Signalsteuereinrichtung aufweist, die als Ausgangssignal ein zweites mathematisch gewichtetes Signal erzeugt, wenn die Signalwahllogik das zweite Wahl signal abgibt, wobei das zweite mathematisch gewichtete Signal gleich der Summe des halben ersten mathematisch gewichteten Signals und des halben ersten redundanten Signals ist.
  12. 12. Anordnung nach Anspruch 11, dadurch gekennzeichnet, daß die Signalkonsolidierungsanordnung weiterhin eine Ubergangssteuerung aufweist, die auf das erste, zweite und dritte Wahl signal ansprechend das Ausgangs signal während eines vorbestimmten Zeitintervalls unmittelbar nach der Abgabe des ersten, zweiten und dritten Wahlsignals durch die Signalwahllogik steuert, wobei die Übergangssteuerung Mittel aufweist, die den Wert das Ausgangssignal in einem Zeitpunkt, in dem das erste, zweite und dritte Wahlsignal abgegeben werden, auf einen ersten Wert setzt, der im wewesentlichen gleich dem Wert des Ausgangssignals unmittelbar vor der Abgabe des ersten, zweiten und dritten Wahlsignals durch die Signalwahllogik ist, und die Übergangssteuerung weiterhin Mittel aufweist, die das Ausgangssignal in vorbestimmten Werten Werten liefern, die zwischen dem ersten Ausgangswert und dem Wert des von der ersten, zweiten und dritten Signalsteuereinrichtung der Signalkonsolidierungsanordnung gelieferten Ausgangssignals liegen und mathematisch mit diesen in Beziehung stehen, wobei die Übergangs steuerung so gestaltet und angeoranet ist, daß sie während des vorbestimmten Zeitintervalls ein Ausgangssignal liefert, das vom ersten Ausgangssignal gleichmäig auf denjenigen Wert des Ausgangssignals übergeht, den die erste, zweite und dritte Steuereinrichtung am Ende des ersten Zeitintervalls bestimmen.
DE19782820634 1978-05-09 1978-05-09 Signalwahl- und -konsolidierungsanordnung mit gewichtung Withdrawn DE2820634A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19782820634 DE2820634A1 (de) 1978-05-09 1978-05-09 Signalwahl- und -konsolidierungsanordnung mit gewichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19782820634 DE2820634A1 (de) 1978-05-09 1978-05-09 Signalwahl- und -konsolidierungsanordnung mit gewichtung

Publications (1)

Publication Number Publication Date
DE2820634A1 true DE2820634A1 (de) 1979-11-22

Family

ID=6039149

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19782820634 Withdrawn DE2820634A1 (de) 1978-05-09 1978-05-09 Signalwahl- und -konsolidierungsanordnung mit gewichtung

Country Status (1)

Country Link
DE (1) DE2820634A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0032692B1 (de) * 1980-01-21 1983-09-07 Siemens Aktiengesellschaft Verfahren und Einrichtung zur digitalen Frequenzselektion
DE3407263A1 (de) * 1983-02-28 1984-08-30 United Technologies Corp., Hartford, Conn. Schwingausfallueberwachungsanordnung
DE4407396A1 (de) * 1994-03-05 1995-09-14 Abb Patent Gmbh Verfahren zur Durchführung einer redundanten Signalverarbeitung in einer 2-von-3-Technik
DE19515842A1 (de) * 1995-04-29 1996-10-31 Teves Gmbh Alfred Sollwertgeber

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0032692B1 (de) * 1980-01-21 1983-09-07 Siemens Aktiengesellschaft Verfahren und Einrichtung zur digitalen Frequenzselektion
DE3407263A1 (de) * 1983-02-28 1984-08-30 United Technologies Corp., Hartford, Conn. Schwingausfallueberwachungsanordnung
DE4407396A1 (de) * 1994-03-05 1995-09-14 Abb Patent Gmbh Verfahren zur Durchführung einer redundanten Signalverarbeitung in einer 2-von-3-Technik
DE4407396C2 (de) * 1994-03-05 1999-12-02 Abb Patent Gmbh Verfahren zur Durchführung einer redundanten Signalverarbeitung in 2-von-3 Technik
DE19515842A1 (de) * 1995-04-29 1996-10-31 Teves Gmbh Alfred Sollwertgeber

Similar Documents

Publication Publication Date Title
DE2750818C3 (de) Anordnung zur zeitmultiplexen Datenübertragung
DE2735397C2 (de) Überwachungseinrichtung für eine programmgesteuerte Maschine
DE2710517A1 (de) Steuersystem mit zwei oder mehr kanaelen
DE3012202A1 (de) Anordnung und verfahren zur automatischen umschaltung bzw. uebertragung der regelungs/-steuerungskompetenz von einer ausgewaehlten regel/steuereinheit auf eine nicht ausgewaehlte regel/steuereinheit in einem mehrere regel/steuereinheiten enthaltenden system
DE10312699B4 (de) Nichtinvasives Testen von Netzwerkschnittstellen-Fehlercodes für ein Sicherheitsnetzwerk
DE1949371A1 (de) Redundantes Regelsystem
DE2250390A1 (de) Verfahren zur erzielung einer konstanten fehlalarmrate und detektoreinrichtung zur durchfuehrung des verfahrens
DE1952349A1 (de) Anordnung zur Pruefung eines redundanten Regelsystems
DE3427669C2 (de) Signalverarbeitungsschaltung
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE2059797B1 (de) Taktversorgungsanlage
DE1226635B (de) Verfahren und Schaltungsanordnung zur Fest-stellung fehlerhafter Impulsregenerierverstaerker
DE1283002B (de) Steuereinrichtung fuer die Selektion des mittleren Signals aus einer Anzahl von redundanten, unabgeglichenen analogen Eingangssignalen
DE2820634A1 (de) Signalwahl- und -konsolidierungsanordnung mit gewichtung
EP0012185B1 (de) Prüfschaltung für synchron arbeitende Taktgeber
DE2433885B2 (de) Verfahren und vorrichtung zum synchronisieren der eingangsschaltung eines elektronischen testinstruments auf zu pruefende signalfolgen
CH417979A (de) Messvorrichtung zum Bestimmen der Grösse und Richtung der Bewegung eines eine periodische, annähernd sinusförmig verlaufende Aufzeichnung aufweisenden Trägers
DE1449334B2 (de) Decodierer für einen rekurrenten Code
DE1623557C3 (de) Redundantes Kreiselsystem mit drei Kreiselgeräten für Luftfahrzeuge
EP0248269B1 (de) Verfahren zur Simulation eines Unterbrechungsfehlers in einer Logikschaltung mit Feldeffekttransistoren und Anordnungen zur Durchführung des Verfahrens
EP0149152B1 (de) Schaltungsanordnung für eine digitale Pegelregelung
DE3715163A1 (de) Elektrische pruefschaltung
DE2926857A1 (de) Schaltungsanordnung zur ermittlung eines fehlerhaften oszillators in einer schleifenschaltung
DE2125940C3 (de) Schaltungsanordnung zur betriebssicheren Verstärkung einer regelmäßigen Impulsfolge
DE2327352C3 (de) Selbsttestende Prüfschaltung

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee