DE3432165C2 - - Google Patents

Info

Publication number
DE3432165C2
DE3432165C2 DE3432165A DE3432165A DE3432165C2 DE 3432165 C2 DE3432165 C2 DE 3432165C2 DE 3432165 A DE3432165 A DE 3432165A DE 3432165 A DE3432165 A DE 3432165A DE 3432165 C2 DE3432165 C2 DE 3432165C2
Authority
DE
Germany
Prior art keywords
memory
memory circuit
memories
devices
assigned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE3432165A
Other languages
English (en)
Other versions
DE3432165A1 (de
Inventor
Edelbert Dipl.-Ing. 8024 Deisenhofen De Eichhorn
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus Defence and Space GmbH
Original Assignee
Messerschmitt Bolkow Blohm AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Messerschmitt Bolkow Blohm AG filed Critical Messerschmitt Bolkow Blohm AG
Priority to DE19843432165 priority Critical patent/DE3432165A1/de
Priority to FR858511101A priority patent/FR2569882B1/fr
Priority to JP60187541A priority patent/JPH0695315B2/ja
Priority to US06/770,687 priority patent/US4739498A/en
Publication of DE3432165A1 publication Critical patent/DE3432165A1/de
Application granted granted Critical
Publication of DE3432165C2 publication Critical patent/DE3432165C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radio Relay Systems (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung betrifft eine Einrichtung zur automati­ schen, im Falle eines Defektes in einem Gerät erforderlichen Rekonfi­ guration einer intakten Gerätekombination aus den Geräten zweier Gerätegruppen, gemäß dem Oberbegriff des Patentanspruchs 1.
Redundant ausgelegte Systeme von Gerätegruppen werden beispielsweise in der Raumfahrt verwendet, wo es darauf ankommt, die Systeme möglichst ausfallsicher zu gestalten. Bei einfacher Redundanz ist somit jedes Gerät zweifach vorhanden. Bei diesen Geräten kann es sich beispielsweise um Meßgeräte für die Drehzahl von Drall­ rädern, Erdsensoren bzw. deren Auswerteschaltungen oder auch Kontrollgeräte für den Einsatz von Lageregelungs­ düsen handeln. Fällt eines der Geräte aus, so muß dafür gesorgt werden, daß so schnell wie möglich das redun­ dante Gerät in Betrieb genommen wird. Problematisch ist dies, sobald etwa ein Satellit auf seiner Umlaufbahn nur während gewisser begrenzter Zeitabschnitte mit einer Bodenstation in Funkkontakt treten kann. Dann soll auf jeden Fall sichergestellt sein, daß der Satellit in den dazwischen liegenden Zeitabschnitten, wo ein Funkkontakt unmöglich ist, in seiner Funktion wenigstens so weit stabilisiert wird, daß die Mission nicht gefährdet wird. In diesem Zusammenhang ist insbesondere eine ausreichende Lageregelung von Bedeutung. Der Satellit soll nach Möglichkeit die gewünschte Lage nicht vollständig ver­ lieren. Er soll nicht in unkontrollierbare Torkel­ bewegungen geraten, und es darf auch nicht vorkommen, daß er selbst aufgrund von Störmomenten in zu schnelle Drehung versetzt wird, verbunden mit einer Gefährdung der ausgefahrenen Solarpanels aufgrund zu hoher Flieh­ kräfte, oder daß die Drehzahlen von Schwungrädern die Grenze des zulässigen Bereichs zu weit nach oben hin überschreiten. Derartige Folgeerscheinungen auftreten­ der Defekte könnten die gesamte Mission eines Satelliten gefährden.
Es muß daher dafür Sorge getragen werden, daß bei Ausfall eines Gerätes einer gerade aktiven Gerätekombination sofort auf eine andere, noch intakte Gerätekombination umge­ schaltet werden kann. Normalerweise werden zumindest die jeweils eingeschalteten Geräte laufend auf ihre Funktions­ tüchtigkeit überprüft, und zwar durch Überwachung charakteristischer Funktionsparameter. Diese Überprüfung braucht sich jedoch aus Gründen eines zu hohen Aufwan­ des nicht auf sämtliche Geräte zu erstrecken, sondern es reicht aus, gewisse besonders kritische Funktions­ parameter zu überwachen. Hieraus ergibt sich allerdings die Schwierigkeit, daß das Auswandern eines Funktions­ parameters aus einem vorgegebenen zulässigen Bereich nicht immer bedeuten muß, daß das diesen Funktions­ parameter liefernde Gerät selbst defekt ist. Vielmehr kann der Defekt in einem anderen, nicht überwachten Gerät liegen, was erst durch eine gründlichere und zeit­ aufwendige Fehlersuche festgestellt werden kann, die nur unter Einschaltung der Bodenstation möglich ist. Es genügt also nicht, daß einfach das den Fehler meldende Gerät abge­ schaltet und durch seinen redundanten Partner ersetzt wird, da ja dieses Gerät selbst gar nicht defekt zu sein braucht. Gewünscht ist, daß bei Meldung eines Defektes eine auf jeden Fall intakte Gerätekombination eingeschaltet wird, so daß bis zum nächsten Funkkontakt mit der Bodenstation der Satellit eine stabilisierte Lage beibehält, so daß dann die eigentliche Fehlerquelle gesucht und das fehlerhafte Gerät markiert werden kann.
Aus der DE-OS 23 21 260 ist eine Mehrprogramm-Daten­ verarbeitungsanlage mit dynamischer Neuzuweisung von Einheiten-Funktionen bekannt. Hierbei handelt es sich um eine komplexe Datenverarbeitungsanlage, welche mehrere gleichartige sog. Verarbeitungsgruppen enthält, die wiederum jeweils gleichartige Geräte, beispiels­ weise Prozessoren, Eingabe-Ausgabe-Einheiten, Speicher­ module usw. aufweisen können. Jeder Verarbeitungsgruppe ist eine Neuzuweisungseinheit zugeordnet, welche je­ weils einen Notstandsdetektor enthält. Dieser tastet Störungen oder Notstandsbedingungen in einer der Ein­ heiten der jeweiligen Verarbeitungsgruppe ab. Weiterhin ist jeder Verarbeitungsgruppe ein Neuzuweisungsspeicher zugeordnet, welcher beispielsweise 15 Umorganisations- Steuerwörter enthält. Diese geben in unterschiedlicher Weise an, wie die Einheiten einer Verarbeitungsgruppe umzuorganisieren sind. Jeder Neuzuweisungsspeicher ist pauschal mit der Neuzuweisungseinheit der ent­ sprechenden Verarbeitungsgruppe verbunden. Die Neuzu­ weisungsspeicher dienen dazu, den Einheiten einer Ver­ arbeitungsgruppe neue Funktionen zuzuweisen, falls die als Fehlerdetektor fungierende Neuzuweisungseinheit der­ selben Verarbeitungsgruppe Störungen in einer Einheit detektiert. Die Neuzuweisung von Funktionen spielt sich dabei innerhalb der Einheiten ein und derselben Ver­ arbeitungsgruppe ab.
Diese bekannte Einrichtung ist aufgrund ihrer kompli­ zierten Struktur sowie der erforderlichen Verwendung komplexer Bauelemente zur Lösung der obenerwähnten Problematik nicht geeignet.
Der Erfindung liegt demnach die Aufgabe zugrunde, eine Einrichtung der eingangs genannten Art bereitzustellen, die möglichst einfach strukturiert ist und mit mög­ lichst einfachen Bauelementen auskommt, mit der jedoch gleichwohl sichergestellt ist, daß bei Ausfall eines Gerätes einer gerade aktiven Gerätekombination sofort auf eine andere, noch intakte Gerätekombination umge­ schaltet wird.
Diese Aufgabe wird gemäß der Erfindung durch die im kennzeichnenden Teil des Patentanspruchs 1 genannten Merkmale gelöst.
Gemäß der Erfindung soll demnach jede der beiden Speicherschaltungen eine der Anzahl der Gerätepaare entsprechende Anzahl nicht flüchtiger Speicher enthalten, welche jeweils lediglich zwei Speicherzustände einnehmen können. Den Speichern nachgeordnete Logikschaltungen sorgen dafür, daß bei Aktivierung der zugehörigen Speicherschaltung je nach dem Speicherzustand des der einzelnen Logikschaltung vorgeschalteten Speichers das eine oder das andere Gerät des zugeordneten Gerätepaares eingeschaltet wird. Die Speicher sind zuvor so gesetzt worden, daß auf jeden Fall ein intaktes Gerät zugeschaltet wird. Meldet der Fehlerdetektor einen Defekt in der von der jeweils gerade aktiven Speicherschaltung eingeschalteten Geräte­ kombination, so wird diese Speicherschaltung desakti­ viert und die bisher inaktive andere Speicherschaltung aktiviert, welche nun je nach deren Speicherzuständen eine andere, intakte Gerätekombination einschaltet.
Der Wert der Erfindung liegt vor allem darin, daß mit außerordentlich einfachen Mitteln, insbesondere ohne großen Rechneraufwand, eine enorme Zuverlässigkeits­ steigerung bei Satellitenmissionen erzielt wird, die den Einsatz von weniger Bodenstationen ermöglicht und die Ausfallzeiten verringert. Die Erfindung ist jedoch nicht nur in der Raumfahrt anwendbar, sondern vielmehr überall dort, wo einfach redundante Gerätesysteme vor­ liegen, die zwar hinsichtlich besonders kritischer Funktionsparameter dauernd überwacht werden, jedoch nur in gewissen Zeitabständen einer gründlichen Fehlersuche unterzogen werden können.
Weitere Ausbildungen der Erfindung sind den Unteran­ sprüchen zu entnehmen.
Im folgenden wird ein Ausführungsbeispiel der Erfindung anhand der Abbildungen näher erläutert. Es zeigt in schematischer Weise
Fig. 1 ein Blockschaltbild einer Einrichtung gemäß der Erfindung mit drei Gerätepaaren,
Fig. 2 die beiden Speicherschaltungen der Ein­ richtung gemäß der Fig. 1,
Fig. 3 die den Leseleitungen zugeordneten Ausgangs­ teile der Speicherschaltungen,
Fig. 4 ein einem Gerätepaar zugeordnetes Paar von Logikschaltungen.
In Fig. 1 sind zwei Gerätegruppen 1, 2 dargestellt, die jeweils aus drei Geräten G 11, G 12, G 13 bzw. G 21, G 22, G 23 bestehen, wobei jeweils Gerätepaare G 11, G 21 gleichartiger Geräte vorhanden sind. Den beiden Geräte­ gruppen 1 und 2 sind zwei Speicherschaltungen 10 bzw. 20 zugeordnet. Diese bestehen im wesentlichen aus jeweils drei nicht flüchtigen, binären Speichern S 11, S 12, S 13 bzw. S 21, S 22, S 23. Den einzelnen Speichern nachge­ schaltet sind über Leseleitungen 3, 4, 5 bzw. 6, 7, 8 Logikschaltungen 14, 15, 16 bzw. 17, 18, 19. Sowohl die Speicherschaltungen 10, 20 als auch die diesen zugeord­ neten Logikschaltungen werden von einem Fehlerdetektor 9 her aktiviert, der über sechs, jeweils den einzelnen Geräten G 11, G 23 zugeordnete Ausgänge 51 bis 56 verfügt. Der Fehlerdetektor überwacht kritische Para­ meter der jeweils eingeschalteten Geräte und gibt bei Auftreten eines Defektes ein Signal an den jeweils zuge­ ordneten Ausgang. Dieses Signal gelangt zu einem ODER- Glied 49, worauf das an dessen Ausgang erscheinende Ausgangssignal bewirkt, daß von der gerade aktiven Speicherschaltung auf die gerade inaktive umgeschaltet wird. Dies ist durch einen Schalter 50 symbolisiert. Zusammen mit der neu aktivierten Speicherschaltung werden auch die dieser zugeordneten Logikschaltungen aktiviert.
Den einzelnen Speichern S 11 bis S 23 sind jeweils Setz­ leitungen 24 bis 34 zugeordnet, die jeweils nur zu diesen Speichern führen. Weiterhin sind Setzleitungen 25 bis 35 vorhanden, die zu den beiden einem Gerätepaar zugeordneten, aber unterschiedlichen Speicherschaltun­ gen angehörigen Speichern, beispielsweise S 11 und S 21, führen. Die zuerst genannten Setzleitungen 24 bis 34 sind noch mit den Ausgängen 51 bis 56 des Fehlerdetek­ tors 9 verbunden. Weiterhin sind Rücksetzleitungen 36 und 37 vorgesehen, die jeweils den Speichern S 11 bis S 13 bzw. S 21 bis S 23 einer Speicherschaltung gemeinsam zugeordnet sind, aber nur die Speicher dieser jeweils einen zugeordneten Speicherschaltung zurücksetzen können. Über zusätzliche Rücksetzleitungen 38, 39 wird der gemeinsame Zugriff zu sämtlichen Speichern beider Speicherschaltungen 10 und 20 möglich.
Im Falle eines Satellitten sind sämtliche Setz- und Rücksetzleitungen mit den vorhandenen Telekommandoein­ richtungen verbunden, so daß die Speicher durch Kommando von der Bodenstation aus sowohl gesetzt als auch zurück­ gesetzt werden können. Wie später noch deutlich wird, und zwar anhand von Fig. 3, ist es auch möglich, den Speicherzustand von der Bodenstation aus zu lesen.
In Fig. 2 sind die Eingangsseiten der beiden Speicher­ schaltungen 10 und 20 dargestellt. Die Setzleitungen 24 bis 34 sowie 25 bis 35 entsprechen ebenso wie die Rück­ setzleitungen 36, 37 bzw. 38, 39 den in Fig. 1 bereits dargestellten und erläuterten. Die Setz- bzw. Rücksetz­ kommandos werden durch Treiber bzw. Verstärker, von denen einer in Fig. 2 mit 57 bezeichnet ist, in Stromimpulse ausreichender Höhe umgesetzt, um die als Relais ausgebildeten Speicher S 11 bis S 13 bzw. S 21 bis S 23 umschalten zu können. Diese Relais verfügen je über zwei Spulen, und je nachdem welche von diesen einen Stromimpuls erhält, wird ausgangsseitig ein Schalt­ kontakt geöffnet oder geschlossen (siehe auch Fig. 3). Diese beiden Schaltstellungen entsprechen den beiden möglichen Speicherzuständen. Die beiden Spulen eines jeden Relais empfangen von den Treiben her positive Stromimpulse und sind an ihren anderen Enden mit Null- Potential verbunden. Dioden, beispielsweise 58, 59, 60, sorgen dafür, daß die ankommenden Setz- bzw. Rücksetz­ kommandos über die richtigen Leitungen weitergeführt werden. So kann ein über die Rücksetzleitung 36 an­ kommendes Rücksetzkommando zwar die Diode 60 passieren und somit an alle drei Speicher S 11 bis S 13 gelangen und diese zurücksetzen, er wird jedoch durch die Diode 59 daran gehindert, in die Speicherschaltung 20 über­ zugreifen. Ebenso kann ein über die Setzleitung 24 ankommendes Setzkommando wegen der Dioden 62 und 63 lediglich die Diode 61 passieren und den Speicher S 11 setzen. Ein über die Setzleitung 25 eintreffendes Setzkommando hingegen ist wegen der Polung der Dioden 64, 62 sowie 65 in der Lage, nicht nur den Speicher S 11 der Speicherschaltung 10, sondern auch den Speicher S 21 der anderen Speicherschaltung 20 zu setzen.
In Fig. 3 sind die Ausgangsteile der Speicherschaltungen 10 und 20 dargestellt. Ausgangsseitig verfügen die die entsprechenden Speicher S 11 bis S 32 bildenden Relais jeweils über zwei Schaltkontakte, die jedoch gemeinsam in der gleichen Weise umgeschaltet werden und jeweils denselben Schaltzustand einnehmen. Prinzipiell ist es jedoch auch möglich, mit jeweils nur einem ausgangs­ seitigen Schaltkontakt auszukommen. Bei aktivierter Speicherschaltung ist auch die jeweilige Spannungs­ versorgung aktiviert, so daß beispielsweise im Falle der Speicherschaltung 10 die Leseleitung 3 bei geöff­ netem Schaltkontakt an positivem und bei geschlossenem Schaltkontakt an Nullpotential liegt. Diese beiden Potentialwerte entsprechen der logischen 1 und 0, die von der mit der Leseleitung 3 verbundenen Logik­ schaltung 14 verarbeitet werden (siehe auch Fig. 4). Entsprechendes gilt für die übrigen in Fig. 3 darge­ stellten Speicher bzw. Relais und deren ausgangsseitige Schaltkontakte sowie Leseleitungen. Von diesen Lese­ leitungen 3 bis 8 zweigen noch weitere Leitungen ab, beispielsweise die mit 66 bezeichnete, und führen zu der Telemetrie-Sendeeinrichtung, mit deren Hilfe die Speicherzustände von der Bodenstation aus gelesen werden können. Es kann erforderlich sein, die Speicherzustände der einen Speicherschaltung 10 auch von der anderen Speicherschaltung 20 her lesbar zu machen. Dafür sind die mit weiteren Leseleitungen 43, 44, 45 verbundenen Schaltkontakte der Speicher S 11 bis S 13 vorgesehen - so wie im umgekehrten Falle die weiteren Leseleitungen 40, 41, 42 - wobei diese Leseleitungen ebenfalls mit der Telemetrie-Sendeeinrichtung verbunden sind. Ist die Spannungsversorgung beispielsweise der Speicherschaltung 10 aktiviert, so ist es demnach möglich, von der Boden­ station aus nicht nur deren Speicherzustände, sondern auch die Speicherzustände der anderen Speicherschaltung 20 zu lesen, obwohl deren Spannungsversorgung nicht aktiviert ist. Dies ist dadurch möglich, daß auch die den Leseleitungen 40 bis 42 zugeordneten Schaltkontakte der Speicher S 21 bis S 35 an die Spannungsversorgung der Speicherschaltung 10 angeschlossen sind, und zwar durch Leitungen 67, 68 und 69. So liegt am Verbindungspunkt 70 der Leseleitung 40 mit der Leitung 67 ein der Spannungs­ versorgung entsprechendes positives Potential, wenn der zugeordnete Schaltkontakt geöffnet ist, und ein wesent­ lich niedrigeres positives Potential, sobald der Schalt­ kontakt geschlossen ist.
Die Aktivierung einer der Speicherschaltungen 10 oder 20 bedeutet, daß dieses sowohl eingangsseitig, siehe die Treiber, beispielsweise 57, in Fig. 2, als auch ausgangs­ seitig, siehe Fig. 3, an die Spannungsversorgung ange­ schlossen wird, wobei die jeweils andere Speicher­ schaltung von dieser Spannungsversorgung getrennt wird. Diese Spannungsversorgung ist in Fig. 1 mit 80 gekenn­ zeichnet.
In Fig. 4 ist dargestellt, wie die als repräsentativ herausgegriffenen Logikschaltungen 14 und 17, die zum Gerätepaar G 11 und G 21 gehören, schaltungstechnisch realisiert werden können. Die Logikschaltungen sind wie dargestellt aus UND-Gliedern 71 bis 74 sowie NICHT- Gliedern 75, 76 aufgebaut. Über Spannungsversorgungs­ leitungen 77, 78 kann wahlweise entweder die Logik­ schaltung 14 oder die Logikschaltung 17 aktiviert werden. Dann liegt an den entsprechenden Eingängen der UND-Glieder die logische 1 an. Ist nun beispielsweise die Logikschaltung 14 in dieser Weise aktiviert und ist der mit der Leseleitung 3 verbundene ausgangsseitige Schaltkontakt des Speichers S 11 geöffnet, so liegt am anderen Eingang des UND-Gliedes 73 ebenfalls die logi­ sche 1 an, so daß das Gerät G 11 eingeschaltet wird. Am anderen Eingang des UND-Gliedes 74 liegt dann wegen des vorgeschalteten NICHT-Gliedes die logische 0, so daß am Ausgang dieses UND-Gliedes kein Ausgangssignal ent­ steht und das zugehörige Gerät G 21 ausgeschaltet bleibt. Dem durch den geöffneten Schaltkontakt repräsentierten Speicherzustand des Speichers S 11 entspricht somit die Forderung, daß das Gerät G 11 eingeschaltet werden soll.
Umgekehrt bedeutet der durch den geschlossenen Schalt­ kontakt gegebene Speicherzustand des Speichers S 11, daß das Gerät G 21 eingeschaltet werden soll, wie leicht aus Fig. 4 folgt. Ist nun anstelle der Logikschaltung 14 die Logikschaltung 17 aktiviert, so daß über deren Spannungs­ versorgungsleitung 78 an den einen Eingängen der UND- Glieder 71 und 72 die logische 1 ansteht, so ergibt sich analog bei geöffnetem ausgangsseitigen Schaltkontakt des Speichers S 21, daß über die Leseleitung 6 eine logische 1 an den anderen Eingang des UND-Gliedes 71 und eine logische 0 an den anderen Eingang des UND- Gliedes 72 gelangt. Damit wird auch hier im Falle des geöffneten Schaltkontaktes das Gerät G 11 eingeschaltet und im Falle des geschlossenen Schaltkontaktes, wie eine analoge Betrachtung ergibt, das Gerät G 21. Die Zuordnung von Schaltkontaktstellung bzw. Speicherzustand und ein­ zuschaltendem Gerät des jeweiligen Gerätepaares ist also in beiden Fällen dieselbe.
Mit der oben geschilderten Einrichtung sind nun folgende Funktionsmöglichkeiten realisierbar:
Zunächst kann von der Bodenstation aus eine automatische Einschaltsequenz für eine gewünschte Gerätekombination vorgegeben werden. Wird z. B. gewünscht, daß zu Beginn die Geräte G 11, G 12 und G 13 einzuschalten sind, so müssen die Speicher S 11 bis S 13 in einen entsprechenden Speicherzustand gebracht werden, d. h. in diesem Falle (siehe Fig. 4) müsen die ausgangsseitigen Schaltkontakte der entsprechenden Relais geöffnet sein. Diese geöffnete Schaltkontaktstellung kann mit einem Rücksetzkommando über die Rücksetzleitung 36 erzielt werden. Vorher werden jedoch auf die Setzleitungen 25, 27 sowie 29 Setz­ kommandos gegeben, durch welche sowohl die Speicher S 11 bis S 13 der Speicherschaltung 10 als auch die Speicher S 21 bis S 23 der Speicherschaltung 20 bzw. die entsprechenden Relais ausgangsseitig in den geschlosse­ nen Zustand gebracht werden. Der Grund hierfür wird später deutlich. Nach dem anschließenden Rücksetz­ kommando über Rücksetzleitung 36 werden die den Speichern S 11 bis S 13 zugeordneten Relais ausgangs­ seitig wieder geöffnet, so daß durch die Speicher­ schaltung 10 die Geräte G 11 bis G 13 eingeschaltet werden. Tritt nun in dieser Gerätekombination ein Defekt auf, so wird der Fehlerdetektor 9 über das ODER-Glied 49 die Speicherschaltung 20 aktivieren. In dieser sind die den Speichern S 21 bis S 23 zugeordneten Relais ausgangs­ seitig aufgrund der obenerwähnten Setzkommandos im geschlossenen Zustand. Dies entspricht - siehe Fig. 4 - der Forderung, daß nunmehr die Geräte G 21, G 22 sowie G 23 einzuschalten sind.
Gleichzeitig mit dem Umschaltkommando, das durch ein Ausgangssignal an einem der drei Ausgänge 51 bis 53 des Fehlerdetektors 9 abgegeben wird, gelangt vom selben Ausgang her ein Setzkommando an die entsprechende der drei Setzleitungen 24, 26 bzw. 28. Hierdurch wird nun­ mehr der zugeordnete Speicher bzw. das diesen bildende Relais ausgangsseitig in den anderen, d. h. geschlosse­ nen Zustand gebracht. Hiermit ist markiert, daß der Fehlerdetektor 9, die Fehlermeldung von dem diesem Speicher zugeordneten Gerät bekommen hat. Bei dem nächsten Kontakt mit der Bodenstation kann die ent­ sprechende Information gelesen werden. Dies kann hilf­ reich bei der anschließenden Fehlersuche sein.
Hat die Bodenstation das fehlerhafte Gerät ermittelt, und zwar mit Methoden üblicher Art, auf die hier nicht näher eingegangen werden soll, so muß die entsprechende Information in den Speicherschaltungen niedergelegt werden. Ist beispielsweise das Gerät G 12 als fehlerhaft erkannt, so darf dieses in keinem Falle wieder einge­ schaltet werden, sondern von diesem Gerätepaar darf le­ diglich noch das Gerät G 22 zum Einschalten freigegeben werden. Die Speicher S 12 und S 22 müssen also gesetzt, d. h. die ausgangsseitigen Schaltkontakte geschlossen werden.
Da nunmehr die Speicherschaltung 20 aktiviert ist, kön­ nen die entsprechenden Telekommandosignale nur von dieser empfangen werden. Der Zustand der eingeschalteten Gerä­ tekombination wird davon nicht berührt. Zunächst wird über Rücksetzleitung 39 ein Rücksetzkommando zugeführt, welches sämtliche Speicher S 11 bis S 23 zurücksetzt, d. h. die Relais ausgangsseitig öffnet. Anschließend wird ein Setzkommando auf Setzleitung 33 gegeben, so daß die Speicher S 12 und S 22 gesetzt, d. h. die Relais ausgangsseitig geschlossen werden. Danach wird durch ein Rücksetzkommando auf Rücksetzleitung 37 der Spei­ cher S 22 wieder zurückgesetzt, während der Speicher S 12 als einziger gesetzt bleibt. Die Speicherschaltung 20 ist nunmehr für eine Fehlermeldung vorbereitet, welche vom Fehlerdetektor 9 her über eine der drei Setzlei­ tungen 30, 32 oder 34 erfolgt. Dann wird erneut die Speicherschaltung 10 aktiviert, durch welche nun auf­ grund des zuvor gesetzten Speichers S 12 sowie der noch zurückgesetzten Speicher S 11 und S 13 die intakten Ge­ räte G 11, G 22 und G 13 eingeschaltet werden.
Ist der Fehler in der zuvor eingeschalteten Gerätekom­ bination G 21, G 22 und G 32 gefunden, so muß dieser ein­ gespeichert werden. Im Falle eines fehlerhaften Gerätes G 21 müssen die Speicher S 11 und S 21 zurückgesetzt wer­ den, damit nur Gerät G 11 eingeschaltet werden kann. Da­ zu erfolgt ein Rücksetzkommando über Rücksetzleitung 38, welches alle Speicher S 11 bis S 23 zurücksetzt, ge­ folgt von Setzkommandos auf den Setzleitungen 27 und 29 sowie einem Rücksetzkommando auf der Rücksetzleitung 36. Damit sind alle Speicher der Speicherschaltung 10 zurückgesetzt und diese ist für eine neue Fehlermeldung vorbereitet. Andererseits werden bei Aktivierung der Speicherschaltung 20 von dieser die intakten Geräte G 22 und G 23 sowie G 11 in Betrieb genommen. Nunmehr ist le­ diglich noch ein Gerätepaar intakt, nämlich G 13 und G 23.
Der Fehlerdetektor kann ebenfalls redundant ausgelegt sein. Wird von ihm ein Fehler gemeldet, so wird auch hier der jeweils inaktive redundante aktiviert.
Unter dem Begriff Redundanz wird oben immer Kaltredun­ danz verstanden. In der nach Auftreten eines Defektes anzustrebenden stabilisierten Lage ist bei einem Satel­ liten auch erforderlich, daß die Solarpanels weiterhin auf die Sonne und Richtantennen weiterhin auf die Erde ausgerichtet bleiben.

Claims (4)

1. Einrichtung zur automatischen, im Falle eines Defektes in einem Gerät erforderlichen Rekonfiguration einer intakten Gerätekombination aus den Geräten zweier Gerätegruppen, wobei jedem Gerät einer Gerätegruppe ein gleiches Gerät der anderen Gerätegruppe zugeordnet ist und diese einander zugeordneten Geräte jeweils ein Gerätepaar bilden, und wobei jeder der beiden Geräte­ gruppen eine Speicherschaltung für die Rekonfiguration betreffende Informationen zugeordnet sowie mindestens ein die jeweils eingeschaltete Gerätekombination über­ wachenden Fehlerdetektor vorhanden ist, dadurch gekennzeichnet,
daß jede der beiden Speicherschaltungen (10, 20) für jedes der Gerätepaare (G 11, G 21) einen nicht flüchti­ gen Speicher (S 11, S 21) enthält, der zwei unter­ schiedliche Speicherzustände einnehmen kann,
daß jedem der Speicher (S 11, S 21) eine Leseleitung (3, 6) sowie ein Paar von Setzleitungen 24, 25; 30, 31) zugeordnet sind, wobei eine der Setzleitungen (24, 30) jeweils nur mit einem der Speicher (S 11, S 21) und die andere der Setzleitungen (25, 31) zusätzlich mit dem demselben Gerätepaar (G 11, G 21) zugeordneten der Speicher (S 21, S 11) der anderen Speicherschaltung (20, 10) verbunden ist,
daß jede Leseleitung (3, 6) mit einer eigenen Logik­ schaltung (14, 17) verbunden ist, welche je nach Speicherzustand Einschaltkommandos für das eine oder das andere Gerät (G 11, G 21) des dem jeweiligen Speicher zugeordneten Gerätepaares liefert,
daß jeder Speicherschaltung (10, 20) mindestens eine Rücksetzleitung (36, 37) nur für die eigenen Speicher und mindestens eine weitere Rücksetzleitung (38, 39) für die eigenen Speicher und die der anderen Speicher­ schaltung zugeordnet sind,
und daß durch den Fehlerdetektor (9) bei Auftreten eines Defektes in einem Gerät die jeweils inaktive Speicherschaltung sowie die dieser zugeordneten Logik­ schaltungen durch Anlegen einer Spannungsversorgung (80) aktivierbar sind.
2. Einrichtung nach Anspruch 1, dadurch ge­ kennzeichnet, daß die Speicher Relais sind.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß jedem Speicher einer Speicherschaltung (10, 20) eine weitere, mit der anderen Speicherschaltung verbundene Leseleitung (40, 43, . . .) zugeordnet ist.
4. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Fehlerdetektor (9) zu den Setzleitungen (24, 30) der Speicher (S 11, S 21) führende Ausgangs­ leitungen aufweist.
DE19843432165 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination Granted DE3432165A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19843432165 DE3432165A1 (de) 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination
FR858511101A FR2569882B1 (fr) 1984-08-31 1985-07-19 Dispositif pour la reconfiguration automatique d'une combinaison intacte d'appareils
JP60187541A JPH0695315B2 (ja) 1984-08-31 1985-08-28 正常な機器の組を自動的に再構成する装置
US06/770,687 US4739498A (en) 1984-08-31 1985-08-29 Arrangement for the automatic reconfiguration of an intact equipment combination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19843432165 DE3432165A1 (de) 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination

Publications (2)

Publication Number Publication Date
DE3432165A1 DE3432165A1 (de) 1986-03-06
DE3432165C2 true DE3432165C2 (de) 1987-07-16

Family

ID=6244427

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19843432165 Granted DE3432165A1 (de) 1984-08-31 1984-08-31 Einrichtung zur automatischen rekonfiguration einer intakten geraetekombination

Country Status (4)

Country Link
US (1) US4739498A (de)
JP (1) JPH0695315B2 (de)
DE (1) DE3432165A1 (de)
FR (1) FR2569882B1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3921281C1 (de) * 1989-06-29 1990-12-13 Erno Raumfahrttechnik Gmbh, 2800 Bremen, De

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204836A (en) * 1990-10-30 1993-04-20 Sun Microsystems, Inc. Method and apparatus for implementing redundancy in parallel memory structures
US5260952A (en) * 1991-04-30 1993-11-09 Ibm Corporation Fault tolerant logic system
CA2068048A1 (en) * 1991-05-06 1992-11-07 Douglas D. Cheung Fault tolerant processing section with dynamically reconfigurable voting
KR100296850B1 (ko) * 1992-05-28 2001-10-24 썬 마이크로시스템즈, 인코포레이티드 캐시램용다수의뱅크열용장성초기화제어기
US5951609A (en) * 1997-05-29 1999-09-14 Trw Inc. Method and system for autonomous spacecraft control
US6128555A (en) * 1997-05-29 2000-10-03 Trw Inc. In situ method and system for autonomous fault detection, isolation and recovery
US5970013A (en) * 1998-02-26 1999-10-19 Lucent Technologies Inc. Adaptive addressable circuit redundancy method and apparatus with broadcast write
US6011733A (en) * 1998-02-26 2000-01-04 Lucent Technologies Inc. Adaptive addressable circuit redundancy method and apparatus
DE19857894A1 (de) * 1998-12-15 2000-06-21 Bodenseewerk Geraetetech Flugkörper
US6438672B1 (en) 1999-06-03 2002-08-20 Agere Systems Guardian Corp. Memory aliasing method and apparatus
US6687851B1 (en) 2000-04-13 2004-02-03 Stratus Technologies Bermuda Ltd. Method and system for upgrading fault-tolerant systems
US6820213B1 (en) 2000-04-13 2004-11-16 Stratus Technologies Bermuda, Ltd. Fault-tolerant computer system with voter delay buffer
US6691225B1 (en) 2000-04-14 2004-02-10 Stratus Technologies Bermuda Ltd. Method and apparatus for deterministically booting a computer system having redundant components
US7065672B2 (en) * 2001-03-28 2006-06-20 Stratus Technologies Bermuda Ltd. Apparatus and methods for fault-tolerant computing using a switching fabric
US6928583B2 (en) * 2001-04-11 2005-08-09 Stratus Technologies Bermuda Ltd. Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US7856294B2 (en) * 2007-12-14 2010-12-21 Sra International, Inc. Intelligent system and method for spacecraft autonomous operations
CN117784616B (zh) * 2024-02-23 2024-05-24 西北工业大学 一种基于智能观测器组的高速飞行器故障重构方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3787816A (en) * 1972-05-12 1974-01-22 Burroughs Corp Multiprocessing system having means for automatic resource management
JPS4925809U (de) * 1972-06-08 1974-03-05
US3805039A (en) * 1972-11-30 1974-04-16 Raytheon Co High reliability system employing subelement redundancy
JPS543390A (en) * 1977-06-08 1979-01-11 Hitachi Ltd Information processing system diagnosis system
IT1109655B (it) * 1978-06-28 1985-12-23 Cselt Centro Studi Lab Telecom Memoria di massa allo stato solido organizzata a bit autocorrettiva e riconfigurabile per un sistema di controllo a programma registrato
JPS5720848A (en) * 1980-07-14 1982-02-03 Nissin Electric Co Ltd Automatic switching device for double system device
JPS5911454A (ja) * 1982-07-13 1984-01-21 Mitsubishi Electric Corp 冗長化システム
US4506364A (en) * 1982-09-30 1985-03-19 International Business Machines Corporation Memory address permutation apparatus

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3921281C1 (de) * 1989-06-29 1990-12-13 Erno Raumfahrttechnik Gmbh, 2800 Bremen, De

Also Published As

Publication number Publication date
FR2569882A1 (fr) 1986-03-07
JPS6165339A (ja) 1986-04-03
FR2569882B1 (fr) 1991-07-19
JPH0695315B2 (ja) 1994-11-24
US4739498A (en) 1988-04-19
DE3432165A1 (de) 1986-03-06

Similar Documents

Publication Publication Date Title
DE3432165C2 (de)
EP0038947B1 (de) Programmierbare logische Anordnung
DE3614979A1 (de) Sicherheitssystem fuer eine druckmaschine
DE10257690A1 (de) Überwachungs- und Steuerungssystem
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE19520596A1 (de) Anordnung zum Übertragen von Daten und Energie über eine Busleitung
DE3109638A1 (de) Schutz- und ueberwachungseinrichtung fuer steuerschaltungsanordnungn in kraftfahrzeugen
DE3522220A1 (de) Anordnung zur ausgabe von steuersignalen an stellelemente eines prozesses
DE2647367A1 (de) Redundante prozessteueranordnung
EP0266567A1 (de) Verfahren zur Ueberwachung und Steuerung eines Antennenwählers sowie Antennenwähler zur Durchführung des Verfahrens
EP0551114A1 (de) Anordnung zur Informationsübermittlung
DE1931296A1 (de) Redundantes Steuer- oder Regelsystem
EP0113379A1 (de) Rechnerkopplung
DE3007960C2 (de) Elektronisches Stellwerk
EP1016238A1 (de) Redundanzsystem mit "1:n" und "1:1" redundanz für ein asn-system
EP0473834B1 (de) Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE4137489C2 (de) Verfahren und Einrichtung zum zuverlässigen Steuern von Schaltgeräten einer Schaltanlage
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE3012159C2 (de) Anordnung zur gesicherten Datenausgabe
DE19531923B4 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE19934513B4 (de) Steuerungsverfahren für eine technische Anlage
DE3013061C2 (de) Verfahren und Vorrichtung zum Betrieb redundanter Steuerungseinrichtungen
DE3638680C2 (de)

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DEUTSCHE AEROSPACE AG, 8000 MUENCHEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER-BENZ AEROSPACE AKTIENGESELLSCHAFT, 80804 M

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AEROSPACE AKTIENGESELLSCHAFT, 8099

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AEROSPACE AG, 85521 OTTOBRUNN, DE