DE3751230T2 - Selbstgleichsetzung in redundanten Kanälen. - Google Patents

Selbstgleichsetzung in redundanten Kanälen.

Info

Publication number
DE3751230T2
DE3751230T2 DE3751230T DE3751230T DE3751230T2 DE 3751230 T2 DE3751230 T2 DE 3751230T2 DE 3751230 T DE3751230 T DE 3751230T DE 3751230 T DE3751230 T DE 3751230T DE 3751230 T2 DE3751230 T2 DE 3751230T2
Authority
DE
Germany
Prior art keywords
channel
signal data
suspect
signal
equalization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE3751230T
Other languages
English (en)
Other versions
DE3751230D1 (de
Inventor
Robert E Collins
Donald F Cominelli
Richard Douglas O'neil
Bhalchandra Ramchandra Tulpule
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
RTX Corp
Original Assignee
United Technologies Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by United Technologies Corp filed Critical United Technologies Corp
Publication of DE3751230D1 publication Critical patent/DE3751230D1/de
Application granted granted Critical
Publication of DE3751230T2 publication Critical patent/DE3751230T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

    Querbezug auf verwandte Anmeldung
  • Bei der hier beschriebenen Erfindung können einige der Lehren benutzt werden, die in der der gleichen Inhaberin gehörenden, gleichzeitig anhängigen EP-Anmeldung offenbart und beansprucht sind, welche am gleichen Tag hiermit unter Nr. 87 630 199.5, Veröffentlichungsnummer 0 263 773, unter dem Titel SYMMETRIZATION FOR REDUNDANT CHANNELS, eingereicht worden ist.
    • Technisches Gebiet
  • Die Erfindung bezieht sich auf redundante Kanäle, die in einem Steuersystem zum Verbessern der Systemverfügbarkeit benutzt werden, und, mehr insbesondere, auf ein Verfahren und eine Einrichtung zum automatischen Wiederherstellen eines unkorrekt arbeitenden fehlerfreien Kanals als einen identisch wie die anderen redundanten Kanäle arbeitenden Kanal.
    • Stand der Technik
  • Die US-A 3 805 235 beschreibt eine Egalisiereinrichtung für ein redundantes Mehrkanalsignalsteuersystem und schlägt vor, zu versuchen, einen kranken Kanal aufgrund eines Rückführungssignals 40 aus einem Vierfachvotierer 32 zu heilen, der benutzt wird, um eine Version des Kanals dieses Signals zu beeinflussen, wenn es abweicht. Die Egalisierungstechnik zwingt jede von mehreren redundanten Befehlssignalberechnungen, einem als besten der Signale votierten "zu folgen", indem jede Berechnung auf der Basis der Diskrepanz zwischen dieser Berechnung und der ausgewählten einen der mehreren Berechnungen egalisiert wird (vgl. Spalte 1, Zeilen 61-68). Durch diese Egalisierung werden Installationsfehler usw. "herausgewaschen".
  • In kritischen Steuerungsfällen ist die Anwendung von Redundanz üblich, um die Zuverlässigkeit des Systems zu verbessern. Verschiedene Techniken sind bereits für den zuverlässigen Betrieb von redundanten Kanälen vorgeschlagen worden, die Interkanalblocksynchronisierung, Votierebenen usw. umfassen. Diese Techniken sind dafür ausgelegt, die Fehlererkennung und -isolation (FDI) und die Fehlertoleranzfähigkeiten des Systems zu verbessern und identische Operationen sowie eine mäßige Verschlechterung in Gegenwart von asymmetrischen Ereignissen und transienten Fehlern zu garantieren, so lange sie ihrer Art nach simplex sind.
  • Trotz der Fähigkeiten dieser FDI- und Fehlertoleranztechniken kann die Möglichkeit eines verschlechterten oder nichtidentischen Systembetriebes nicht immer verhindert werden. Als Gründe für Verschlechterungen kommen viele in Frage, und zu ihnen gehören so normale Ereignisse wie vorübergehender Stromausfall oder abnormale Ereignisse und Fehlalarme wie asyminetrische transiente Vorgänge, mehrfache gleichzeitige Ausfälle und unähnliche Informationsfehler. Das letzte dieser Ereignisse wird als Problem des "byzantinischen Generals" bezeichnet, bei dem ein (Unter-)System unterschiedliche Information zu unterschiedlichen anderen Untersystemen sendet, die Divergenz verursacht und schließlich zu einem katastrophalen Verlust eines ansonsten richtig funktionierenden, fehlerfreien Systems führen kann. (Es ist offensichtlich, daß, wenn ein "byzantinischer General" widerstreitende Schlachtpläne seinen Feldkommandeuren gibt, diese die Schlacht verlieren werden. Das gilt insbesondere apropos im Zusammenhang mit redundanten Kanälen eines Avioniksteuersystems, wie es in militärischen Kampfflugzeugen benutzt wird.)
  • Der Fehlertoleranzcharakter des Systems verlangt, daß es in der Lage ist, ein Upgrading oder eine "Heilung" eines Kanals zu bewirken, der einen fehlerhaften Betrieb anzeigt, bei welchem es sich tatsächlich nicht um einen wahrhaft fehlerhaften Betrieb handelt, sondern in dem sich lediglich ein transienter Vorgang abspielt. Es ist wichtig, dieses Upgrading gleichmäßig vorzunehmen, das heißt ohne Störung des unbeeinflußten, arbeitenden Teils des Systems. Gegenwärtige Prxis ist es, einen Kanal zu reinitialisieren, der einen fehlerhaften Betrieb anzeigt. Dahinter steckt der Gedanke, daß diese Reinitialisierung schließlich zur Konvergenz des reinitialisierten Kanals mit den anderen Kanälen unter dem Einfluß von geeigneten Funktionssignalstimuli führen wird. Gemäß den Lehren der vorliegenden Erfindung, die weiter unten vollständig offenbart wird, kann jedoch gezeigt werden, daß die Informationsdatenbasis des reinitialisierten Kanals nicht garantiert identisch mit der Systemdatenbasis in den unbeeinflußten Kanälen, bei denen diese Lösung benutzt wird, gemacht werden kann. Tatsächlich kann sie unter geeigneten Bedingungen ausreichend divergieren, um das Aussehen eines Kanalausfalls zu erzeugen, wie er durch eine Ausgangsvotierebene erkannt wird.
  • Es ist daher im Stand der Technik daran gedacht worden, daß, wenn die ausgewählten Initialisierungswerte unter Verwendung der aufkommenden eigenen Datenbasis des Kanals gewonnen werden und wenn das Ausgangssignal von dynamischen Funktionen in einem Zyklus wie Filtern usw. wiederholt als Gegenwerte für den nächsten Zyklus benutzt werden, damit die "Transienten" schließlich abklingen. Diese Technik kann jedoch, wie oben dargelegt, keine Identität garantieren. Ähnlich ist auch die Technik zum Erzwingen von Konvergenz von dynamischen Elementen zwischen den beeinflußten und unbeeinflußten Kanälen ebenfalls nicht in der Lage, Identität zu garantieren. Darüber hinaus produziert eine solche Lösung begrenzte Transienten in den unbeeinflußten Kanälen und ist deshalb unakzeptabel.
  • Eine weitere Technik, das heißt eine Technik, um die Information in allen Kanälen auf einen bekannten Zustand zu initialisieren, kann extrem große Transienten in den Systemausgangskanälen erzeugen und muß deshalb ebenfalls als unakzeptabel betrachtet werden.
    • Darstellung der Erfindung
  • Die Ausfälle von diesen und anderen "Konvergenz"-Techniken können auf die Natur der digitalen arithmetischen Berechnung zurückgeführt werden. Eine arithmetische Berechunung in einem Digitalcomputer verlangt, anders als in einem Analogcomputer, eine Darstellung von Zahlen mit einer endlichen Präzision oder Wortlänge ungeachtet dessen, ob es sich um Fest- oder Gleitpunktformat handelt. In einer Gruppe von identisch arbeitenden Kanälen sind die Signal- und Konfigurationsdatenbasen Bit für Bit identisch und enthalten historische Information in Form von Gegenwerten von Filtern, Befehlsverstärkungen, Schalterpositionen usw. Es ist wichtig anzumerken, daß diese identische historische Datenbasis durch das System kontinuierlich, hierarchisch und chronologisch aktualisiert wird. Mit hierarchisch ist gemeint, daß die Steuerungsgesetze in einer Serie von geordneten Schritten ausgeführt werden. Mit chronologisch ist gemeint, daß die Schritte gemäß der Zeit des Auftretens geordnet sind. Wenn sich ein Kanal verschlechtert, geht die Symmetrie seiner historischen Datenbasis für immer verloren und kann nicht einfach wiedergewonnen werden, indem der Kanal reinitialisiert und zu dem normalen On-line-Betrieb zurückgebracht wird.
  • Es ist demgemäß ein Ziel der vorliegenden Erfindung, eine systematische Prozedur zu schaffen, um eine historische Signaldatenbasis eines suspekten Kanals, einschließlich der gesamten Darstellung der gesamten historischen Datenbasis im Speicher, gleich der eines richtig funktionierenden Kanals in einem identisch arbeitenden Mehrkanalsystem zu machen. Dieses Egalisieren kann aufgrund einer externen Anforderung oder automatisch erfolgen.
  • Dieses Ziel wird gemäß der Erfindung durch das Verfahren nach Anspruch 1 und durch die Anordnung nach Anspruch 5 erreicht. Vorteilhafte Ausgestaltungen sind in den abhängigen Ansprüchen beschrieben.
  • Gemäß der vorliegenden Erfindung wird eine hierarchische, chronologische Aktualisierung der historischen Datenbasis eines suspekten Kanals auf Verlangen bewirkt, wobei die entsprechenden Datenbasen der unbeeinflußten Kanäle benutzt werden. Die Realisierung der Prozedur basiert auf Kommunikationswegen, die üblicherweise in einem redundanten System für den Zweck vorhanden sind, funktionale Signale und andere Information auszutauschen. Es sei angemerkt, daß diese Kommunikationswege oder Querkanaldatenverbindungen (cross-channel data links oder CCDLs) genau in die Architektur des redundaten Systems eingebettet sind und daß nicht verlangt wird, daß sie für den speziellen Zweck der Egalisierung eingesetzt werden. Die hier offenbarte Erfindung verläßt sich lediglich auf diese Kommunikationswege (beschränkt sich aber nicht auf dieselben) für den Zweck, historische Information zwischen den Kanälen zu übertragen. Die Egalisierungsprozedur, die im folgenden im einzelnen beschrieben ist, besteht im wesentlichen darin, über die CCDL die historischen Datenbasen des Kanals, der wiederhergestellt wird, in der hierarchischen, chronologischen Aktualisiersequenz zu aktualisieren, die sich mit der normalen Berechnungssequenz der betreffenden Parameter verträgt. Die Prozedur kann auch bei Anwesenheit des Zeitelements als ein hierarchisches Aktualisieren in dem Sinne aufgefaßt werden, daß die Berechnungsschritte gemäß einer bekannten Sequenz ausgeführt werden müssen, in welcher jede Funktion oder jeder Schritt vor einer weiteren bzw. vor einem weiteren in dem gesamten Berechnungsblock ausgeführt werden muß. Selbstverständlich wird das Zeitelement aufgrund des synchronen Betriebens der redundaten Kanäle eingeführt.
  • Mit anderen Worten, wenn zum Beispiel eine normale Berechnungssequenz in einem typischen Steuerungsgesetz (das normalerweise in Software realisiert ist) das Filtern eines Eingangssignals und dann dessen Verstärkung mit einer ausgewählten Verstärkung beinhaltet, werden die exakten historischen Daten in dem Filter des guten Kanals über die CCDL übertragen und dazu benutzt, die historischen Daten zu aktualisieren, die durch das entsprechende Filter in dem (suspekten) Kanal benutzt werden, der "geheilt" wird, bevor das Eingangssignal gefiltert wird und bevor es in dem verdächtigen Kanal verstärkt wird. Ebenso, die exakte ausgewählte Verstärkung aus dem "guten" Kanal wird gesendet, um den entsprechenden Verstärker in dem suspekten Kanal zu aktualisieren, bevor das gefilterte Signal verstärkt wird.
  • Die Egalisierungsprozedur, die hier offenbart ist, überspannt üblicherweise viele Berechnungsblöcke aufgrund der inhärenten begrenzten Kapazität der CCDLs im Vergleich zu der großen Zahl von Parametern, die zu egalisieren sind. Die Prozedur garantiert jedoch Identität von Filtergegenwerten usw., weil sie sich auf die wiederholbare Natur von digitalen Berechnungen verläßt. Wenn für alle Eingangssignale und Gegenwerte oder historischen Daten in einer Funktion garantiert wird, daß sie Bit für Bit egalisiert sind, und wenn für alle zukünftigen Eingangssignale garantiert wird, daß sie aufgrund von Votierebenen gleich sind, wird auch dafür garantiert, daß die Ausgangssignale der Funktion sowie die zukünftigen Gegenwerte in verschiedenen Kanälen bei Abwesenheit von Ausfällen identisch sind. Wenn somit ein Versuch zum Egalisieren eines Kanals fehlschlägt, kann dieser als ein fehlerhafter Kanal eindeutig isoliert werden.
  • Wenn die Egalisierung eines Kanals verlangt wird, beginnen die unbeeinflußten Kanäle, die historischen Parameter, die nach der Vollendung der Berechnungen aus einem bestimmten Block über die CCDLs zu dem aufkommenden Kanal erzeugt werden, zu senden, welche ihrerseits ihre entsprechenden Parameterwerte in der korrekten Chronologie aktualisieren, bevor sie mit der nächsten Gruppe von Berechnungen beginnen. Diese hierarchische, chronologische Aktualisiertechnik ist das Schlüsselelement für den Erfolg der Egalisierungsprozedur, die hier offenbart ist.
  • Es gibt einen weiteren Typ von Informationsdatenbasis, die eine Schlüsselrolle bei der Autoegalisierung spielt und die außerdem als eine Konsequenz der Verwendung der Techniken "egalisiert" wird, welche hier in Verbindung mit der Symmetrierung, die nach der Egalisierung ausgeführt wird, beschrieben sind. Mit Autoegalisierung ist eine Egalisierung eines Kanals gemeint, die bei dem Erkennen eines Problems in einer lokalen Konfigurationsdatenbasis eines Kanals automatisch erfolgt. Die Autoegalisierung unterscheidet sich von der einfachen Egalisierung durch die Art des Einleit- oder Anforderungssignals. Bei der Egalisierung wird die Anforderung extern erzeugt, zum Beispiel durch einen Piloten, dar heißt auf nichtautomatische Art und Weise.
  • In jedem Kanal eines identisch arbeitenden redundanten Kanalsystems gibt es eine Kanalkonfigurationsdatenbasis (Channel Configuration Data Base oder CCDB) und eine Systemkonfigurationsdatenbasis (System Configuration Data Base oder SCDB), wie sie zum Beispiel ausführlicher in der gleichzeitg anhängigen EP-Anmeldung, Serial No. 87 630 199.5, Veröffentlichungsnr. 0 263 773, mit dem Titel "Symmetrization for Redundant Channels" beschrieben sind. Eine Symmetrierungsroutine prüft in jedem Kanal alle redundanten CCDBs, die über die Querkanaldatenverbindungen (Cross-Channel Data Links oder CCDLs) verfügbar sind, und verknüpft sie mit einer SCDB, die dann die logische Steuerung von sämtlichen auf dem Zustand basierenden Entscheidungen einschließlich Votierebenenkonfigurationen regelt. Da alle Kanäle diese Symmetrierungsoperation gleichzeitig aus identischer Information (CCDBs unter Verwendung einer symmetrischen Systemarchitektur) ausführen, sind die Kanaloperationen symmetrisch und führen zu Berechnungen von Identischen Ausgangssignalen unter Verwendung von Identischen (votierten) Eingangssignalen und von Bit für Bit Identischen Gegenwerten.
  • Die systematische Egalisierungsprozedur, wie sie oben beschrieben ist, hat die Wirkung, dar sie in Verbindung mit der Symmetrierung eine verdächtige Konfigurationsdatenbasis eines Kanals (CCDB) der eines richtig funktionierenden Kanals äquivalent macht.
  • In der Vergangenheit wurde, wenn ein asymmetrischer oder transienter Ausfall wie zum Beispiel eine Störung hervorgerufen durch das Problem des "byzantinischen Generals" in der CCDL oder in irgendeinem anderen Eingangselement des Systems derart auftrat, daß sie die Konfiguration oder die Datenbasis von nur einer Untergruppe der Kanäle beeinflußt, der Ausfall erkannt und in den Votierebenen isoliert, und die Votierebene wurde rekonfiguriert. Das System fuhr dann fort, ohne eine Kanalverschlechterung oder -abschaltung zu arbeiten, aber mit einem reduzierten Niveau der Redundanz auf der beeinflußten Votierebene oder den beeinflußten Votierebenen. Das System war dann für jegliche anschließenden Ausfälle, echte oder transiente, empfindlich, die zur Kanalabschaltung führen konnten. Es gab keinen eingebauten Mechanismus, um die Verschlechterung in der Konfiguration, die durch einen transienten oder asymmetrischen Ausfall verursacht wurde, automatisch "zu heilen". Es kann nicht einfach ein apruptes Upgrading der beeinflußten Votierebene erfolgen, und zwar wegen des Vorhandenseins von historischen Datenbasen, die mit der verschlechterten Konfiguration verknüpft sind.
  • Weiter hat jedoch gemäß der vorliegenden Erfindung die Egalisierungstechnik, die zum Wiederherstellen eines abgeschalteten Kanals durch Aktualisieren der historischen Signaldatenbasis in dem beeinflußten Kanal benutzt wird, die Auswirkung, daß durch Symmetrierung ein Upgrading der Konfigurationsdatenbasis erfolgt, die in dem lokalen verdächtigen Kanal vorhanden ist. Die Votierebene(n) kann (können) dann "rekonfiguriert" werden, und das System kann gleichmäßig auf sein volles Redundanzniveau in Gegenwart von transienten und asymmetrischen Fehlern wiederhergestellt werden.
  • Die Autoegalisierungsprozedur, die hier offenbart wird, wird durch eine Diskrepanz zwischen den oben beschriebenen Kanalkonfigurationsdatenbasen (CCDBs) getriggert, die durch jeden der redundanten Kanäle erzeugt werden. Die CCDBs werden votiert, um die Systemkonfigurationsdatenbasis (SCDB) zu erzeugen, welche ihrerseits in jedem Kanal benutzt wird, um alle Berechnungsaufgaben anzusteuern. Die SCDB wird außerdem in jedem Kanal mit der individuellen CCDB verglichen. Jeder Kanal, in welchem sich die CCDB von der SCDB unterscheidet, wird als ein Kandidat für die Autoegalisierung betrachtet. Die unbeeinflußten Kanäle übertragen ihre historische Information, die mit der verschlechteren Votierebene verknüpft ist, über die CCDLs. Der beeinflußte Kanal autoegalisiert sich dann selbst auf eine hierarchische, chronologische Art und leise gemäß einem Egalisierungsprozeß, wie er oben beschrieben worden ist. Die beeinflußte Votierebene oder die beeinflußten Votierebenen erfahren dann ein gleichmäßiges Upgrading durch alle Kanäle mittels der Symmetrierung.
  • Die Techniken der Egalisierung und der Autoegalisierung, die hier angegeben sind, repräsentieren eine sehr bedeutsame Verbesserung gegenüber dem Stand der Technik. Sie sind dafür ausgelegt, für eine garantierte, fehlertolerante Wiederherstellung und eine Selbstheilung in identisch arbeitenden Kanälen in einem redundaten Kanalsystem zu sorgen und identische Ausgangssignale in Gegenwart von asymmetrischen und transienten Fehlern zu erzeugen und so einen überwiegenden Vorteil in der Technik zu repräsentieren.
  • Diese und andere Ziele, Merkmale und Vorteile der vorliegenden Erfindung werden im Lichte der ausführlichen Beschreibung einer besten Ausführungsform derselben, wie sie in der beigefügten Zeichnung veranschaulicht ist, deutlicher werden.
    • Kurze Beschreibung der Zeichnung
  • Fig. 1 ist eine vereinfachte Blockschaltbilddarstellung eines redundaten Kanalsystems, welche Teile der Kanäle zeigt, die für die vorliegende Erfindung relevant sind;
  • Fig. 2 veranschaulicht ein typisches Steuerungsgesetz;
  • Fig. 3 veranschaulicht eine Berechnungs- und Aktualisiersequenz für das Steuerungsgesetz nach Fig. 2;
  • Fig. 4 ist eine Flußdiagrammdarstellung einer Autoegalisierungsanforderungsunterroutine;
  • Fig. 5 ist eine Flußdiagrammdarstellung einer Autoegalisierungsantwortunterroutine; und
  • Fig. 6 ist eine Flußdiagrammdarstellung der Erzeugung des Autoegalisierungsanforderungs (autoequalization request oder AER) - Flag.
    • Bester Weg zur Ausführung der Erfindung
  • Fig. 1 ist eine Darstellung eines Signalflusses in einer redundanten Kanalsteuersystemarchitektur. Redundanzmanagementtechniken werden auf drei Votierebenen benutzt, das heißt einer Eingangssignalvotierebene 12 (VP1), einer Zwischensignalvotierebene 14 (VP2) und einer Ausgangssignalvotierebene 16 (VP3). Die Redundanzmanagementtechniken, die den Votierebenen zugeordnet sind, sind in Software eingebettet. Die Anzahl und die Typen der dargestellten Votierebenen dienen lediglich zu Veranschaulichungszwecken und sollen die Anwendbarkeit der Erfindung in keiner Weise beschränken.
  • Die Eingangssignalredundanzmanagementprozeduren in der Eingangsvotierebene 12 bestehen aus zwei grundlegenden Schritten: (i) Signalauswahl und -rekonfiguration; und (ii) Ausfallerkennung und -Isolation.
  • Verschiede Gruppen von redundanten Sensorsätzen werden in dem System vorhanden sein, wie zum Beispiel der Satz 18, der in Fig. 1 veranschaulicht ist. Zum Beispiel, der Satz 18 der Sensoren S1, S2,...SN, das heißt 20, 22,...24 könnte redundante analoge oder digitale Sensoren für einen der drei verschiedenen Typen von Meßkreiseln (Nick-, Gier- und Rollmeßkreisel) in einem typischen Flugzeug darstellen. Es ist somit klar, daß der Sensorsatz 18, der in Fig. 1 dargestellt ist, lediglich ein Satz unter vielen derartigen Sätzen ist, die irgendeinen Typ von Eingangsinformation beinhalten könnten, wie zum Beispiel, Beschleunigungsmesser, Pilotsensoren, Anstellwinkelsensoren, Positionssensoren, Luftdatensensoren usw. Ebenso dürfte klar sein, daß das redundate Kanalasystem 10, das in Fig. 1 dargestellt ist, mehrere Kanäle 26, 28, 30 umfaßt, die lediglich sehr allgemeine Darstellungen von Kanälen sind, welche in Wirklichkeit beträchtlich komplexer sind. Nur die allgemeinen Umrisse von jedem der Kanäle in bezug auf einen Sensorsatz 18 und einen zugeordneten Effektor oder Stellantrieb 32 sind in Fig. 1 veranschaulicht. Es dürfte klar sein, daß in Wirklichkeit viele derartige Sensorsätze und Effektoren innerhalb eines solchen Systems vorhanden sind. Jeder derartige Effektor wird im allgemeinen durch ein eindeutiges Steuerungsgesetz aufgrund von verschiedenen Sensoren innerhalb des Systems gesteuert. Die allgemeinen Prinzipien, die in Verbindung mit Fig. 1 und den übrigen Figuren sowie der folgenden Beschreibung angegeben sind, sind jedoch allgemein auf alle derartigen Sensor- oder Eingangsinformationssätze und Effektoren anwendbar, die durch die verschiedenen Kanäle gesteuert werden.
  • Die Signalauswählblöcke 34, 36, 38 der ersten Votierebene (VP1) werden einen Algorithmus benutzen, um einen geeigneten Signalwert auf Leitungen 40, 42, 44 auszuwählen. Der Algorithmus, der benutzt wird, kann beinhalten, einen Mittelwert von Signalen innerhalb eines akzeptablen Bandes von Werten zu bilden, oder eine ähnliche derartige Auswahlmethode.
  • Zum Beispiel, drei Sensoren werden benutzt, um einen Mittelwert für anschließende Steuerungsberechnungen auszuwählen. Wenn einer dieser drei Sensoren ausfällt, wird er erkannt, isoliert und durch den vierten Sensor in einem Mittelwertauswählprozeß 46, 48, 50 ersetzt. Bei der Erkennung und Isolierung eines zweiten ausgefallenen Sensors erfolgt eine Umschaltung auf den Mittelwert der übrigen beiden Sensoren zur Steuerung oder für Berechnungen. Sollte ein dritter Ausfall erkannt werden, wird der rekonfigurierte Duplexsatz als fehlerhaft betrachtet und kann aus dem Berechnungsprozeß entfernt werden.
  • Die zweite Votierebene 14, die in Fig. 1 veranschaulicht ist, ist nur anwendbar zum Wiederauswählen unter den Eingangssignalen, die in der ersten Votierebene 12 ausgewählt worden sind. Die Redundanzmanagementprozedur, die bei diesen und anderen Votierebenen angewandt wird, kann mit dem Redundanzmanagementalgorithmus oder mit einer Untergruppe des Redundanzmanagementalgorithmus identisch sein, der in der Votierebene 1 benutzt wird, je nach dem Verwendungszweck.
  • Diese Votierebene kann die Mittelwertvotierung unter denjenigen ausgewählten Signalen bewirken, die digital querrangiert und symmetrisch in den Speicherblöcken in jedem Kanal plaziert werden. Unter der Bedingung, daß kein Ausfall vorhanden ist, würden die ausgewählten Signale aus VP1, die in die zweite Votierebene eingegeben werden, in allen Kanälen in Abwesenheit von asymmetrischen Ereignissen oder Störungen einschließlich byzantinischen Störungen, die zu unähnlichen Signalen und/oder Konfigurationsdatenbasen führen, identisch sein. Da alle Kanäle den identischen Mittelwert in Abwesenheit von Fehlern auswählen, ist die Eingangsdatenbasis in allen Kanälen vollkommen symmetrisch. Infolgedessen wird garantiert, daß die Ausgangssignale von jedem Kanal Bit für Bit identisch sind, wenn die historischen Informationsdatenbasen identisch gehalten werden.
  • Die ausgewählten Signale 54, 56, 58 aus der zweiten Votierebene werden den Steuerungsgesetzblöcken 60, 62, 64 zugeführt, welche alle die Steuerungsgesetze enthalten, die an den Eingangssignalen 54, 56, 58 ausgeführt werden müssen. Diese können typische Steuerungsgesetze umfassen einschließlich einfachen Voreil-Nacheilfiltern, Verzögerungsfiltern erster Ordnung, quadratischen Filtern, quadratischen Verhältnisfiltern, Integratoren, Differentiatoren, Schaltern usw.
  • Jedes dieser Steuerungsgesetzelemente, zum Beispiel ein Filter zweiter Ordnung, kann als eine Übertragungsfunktion aufgrund eines Eingangsstimulus x(n) dagestellt werden, um ein Ausgangssignal y(n) zu liefern, und zwar wie folgt:
  • y(n) = x(n) + [a&sub1;[x(n-1)] + a&sub2;[y(n-1)]]
  • Es ist zu erkennen, daß nach dem Ausdruck x(n) in der obigen Differenzgleichung ein Ausdruck in Klammern steht, der die historischen Werte beschreibt, welche diesem Filter in jedem bestimmten Zeitpunkt zugeordnet sind. Es sind diese Gegenwerte, die gemäß einer zentralen Lehre der vorliegenden Erfindung bei dem Heilen eines suspekten Kanals egalisiert werden müssen.
  • Die Steuerungsgesetze und die Votierebenenelemente in einem suspekten Kanal werden über Querkanaldatenverbindungen 52a durch Senden von historischen Werten aus entsprechenden Steuerungsgesetzen und Votierebenenelementen in einen der "guten" Kanäle egalisiert. Wenn die Steuerungsgesetze in dem Block 60 einer Egalisierungsprozedur unterzogen werden, wird somit eine Übertragung von historischen Daten aus den Steuerungsgesetzen 62 und 64 zu den Steuerungsgesetzen 60 erfolgen. Selbstverständlich arbeiten die Steuerungsgesetze 62 und 64 identisch, und deshalb ist die Wahl, welches ausgewählt wird, unwesentlich. Um jedoch das System daran zu hindern, einen Fehler zu wiederholen, der zum Beispiel durch das Byzantinische Generalsproblem verursacht wird, können die Parameter aus den Blöcken 62 und 64 verglichen und allein in dem Block 60 benutzt werden, wenn sie identisch sind, wodurch dem System ein weiterer Grad an Fehlertoleranz hinzugefügt wird.
  • In Fig. 2, auf die nun Bezug genommen wird, ist ein typisches "Steuerungsgesetz" für den Fall eines Flugzeuges dargestellt. Ein normales oder vertikales Flugzeugbeschleunigungssignal auf einer Leitung 100 wird an einen Funktionsblock 102 angelegt, der einen Korrekturfaktor oder irgend eine andere Funktion enthalten kann. Ein korrigierter Signalwert auf einer Leitung 104 wird einem FILTER-1-Block 106 zugeführt, der ein Verzögerungsfilter erster Ordnung enthalten kann, welches historische Gegenwerte haben kann. Es sind die Filter wie diejenigen, die historische Informationsdaten enthalten, welche über eine oder mehrere der CCDLs 52, 52a, 52b in Fig. 1 chronologisch akualisiert werden müssen. Ein gefilterter Signalwert auf einer Leitung 108 wird einer VERSTARKUNG-1-Einheit 110 zugeführt, die auf ein LUFTDATEN-1-Signal auf einer Leitung 112 aus einer Luftdatensignalquelle 114 anspricht. Anstelle von Luftdaten kann ein alternativer Wert aus einer anderen Quelle auf einer Signalleitung 116 geliefert werden, je nach der Position eines Schalters 118. Die Luftdaten oder alternativen Werte werden die Verstärkung in der Verstärkungseinheit 110 bestimmen. Das Ausgangssignal der Verstärkungseinheit 110 wird über eine Leitung 120 an eine Schaltereinheit 122 angelegt, welche es als ein Ausgangssignal auf einer Leitung 124 zum Beispiel an andere Steuerungsgesetze anlegen kann.
  • Der Schalter 122 kann statt dessen sein Ausgangssignal aus einem Signal auf einer Leitung 126 aus einer Verstärkungseinheit 128 gewinnen, die ihrerseits auf ein Eingangssignal auf einer Leitung 130 aus einem FILTER-2 132 anspricht, welches auf das Signal auf der Leitung 108 aus dem Filter 106 anspricht.
  • Das Steuerungsgesetz, das in Fig. 2 dargestellt ist, hat für die Offenbarung der hier beanspruchten Erfindung an und für sich keine besondere Bedeutung. Es veranschaulicht jedoch ein typisches Steuerungsgesetz, das in jedem der Steuerungsgesetze 60, 62, 64 nach Fig. 1 redundant enthalten sein kann. Gemäß der Erfindung wird es deshalb, wenn ein Kanal an einer Egalisierungsprozedur beteiligt ist, entweder historische Werte liefern, oder der Empfänger von historischen Werten sein, je nachdem, ob das Steuerungsgesetz in einem Kanal resident ist, der Egalisierung verlangt oder von dem verlangt wird, daß er historische Daten an einen solchen Kanal liefert.
  • Gemäß Fig. 3, auf die nun in Verbindung mit Fig. 2 Bezug genommen wird, ist zu beobachten, daß die normale Berechnungssequenz für das Steuerungsgesetz, daß in Fig. 2 dargestellt ist, dort in einem Vertikalformat angegeben ist, welches von oben nach unten die normale Berechnungssequenz angibt, die durch das Steuerungsgesetz nach Fig. 2 ausgeführt wird. Es ist eine zentrale Lehre der vorliegenden Erfindung, daß die historische Aktualisiersequenz, die für ein System verlangt wird, welches Gegenstand einer Egalisierungsprozedur ist, darin besteht, den historischen Signalwert für ein besonderes Filter, einen Schalter usw. zu übertragen, nachdem diese besondere Einheit des Steuerungsgesetzes in dem liefernden Kanal (der korrekt arbeitet) ausgeführt worden ist und bevor diese Steuerungsgesetzeinheit in dem nächsten Zyklus in dem empfangenden Kanal (der unkorrekt arbeitet) ausgeführt wird. Zum Beispiel, wenn der Kanal Nr. 1 nach Fig. 1 zu egalisieren ist und der Kanal Nr. 2 als der Kanal ausgewählt wird, der die historischen Daten liefert, dann muß, wenn das Filter 106 in dem Kanal 1 dabei ist, ein identisches (korrigiertes) Signal auf der Leitung 104 zu verarbeiten, das Filter 106 zuerst aktualisiert werden, wobei die letzten historischen Daten des Blockes benutzt werden, die in dem entsprechenden Filter 106 in dem Kanal 2 resident sind, über die CCDL 52a, nachdem sie in dem vorherigen Block berechnet worden sind.
  • Weiter, nachdem diese historischen Filterdaten übertragen und benutzt worden sind, wird das gefilterte Ausgangssignal auf der Leitung 108 in dem Kanal 1 mit dem Signal des entsprechenden Kanals 2 auf der Leitung 108 identisch sein, und solange die Eingangssignale auf der Leitung 104 identisch sind, wird es identisch bleiben. Nachdem das getan worden ist, können die historischen Daten in der Verstärkung 110 in dem Kanal 1 aktualisiert werden, indem die entsprechende Datenbasis des Kanals 2 benutzt wird, um den Ausgang 120 zu egalisieren. Die anderen Berechnungen in der Sequenz sind ähnlich hierarchisch und chronologisch durch die eingeprägten Ausführungs-/Egalisierungssequenzen vorgeschrieben, die in Fig. 3 gezeigt sind. Das ist ein gutes Beispiel dafür, was mit einem hierarchischen, chronologischen Aktualisieren gemeint ist.
  • Gemäß Fig. 1, auf die nun wieder Bezug genommen wird, werden die Steuerungsgesetze in jedem Kanal Ausgangssignale auf den Leitungen 66, 68, 70 an Ausgangswertbefehlsblöcke 72, 74, 76 abgeben, welche ihrerseits Ausgangssignale auf den Leitungen 78, 80, 82 an den Effektor 32 abgeben. Jedes Steuersignal kann einen Teil des Befehlssignals oder das gesamte Befehlssignal beitragen, das zum Ansteuern des Effektors notwendig ist.
  • Von einer Votierebene 16, die den Ausgangssignalauswählblöcken 72, 74, 76 zugeordnet ist, wird verlangt, daß sie die querrangierten Signale miteinander vergleicht, um einen fehlerhaften Befehl zu erkennen und zu isolieren. Die Befehle sollten Bit für Bit in einem nichtgestörten Zustand identisch sein und sollten zu einer schnellen Störungserkennung und zu einer korrekten Isolierung des fehlerhaften Kanals führen. Alternativ, die Signalvergleichstechnik kann gewählt werden, um einen zusätzlichen Grad an Fehlertoleranz zu schaffen und wiederholte Egalisierungsanforderungen zu vermeiden.
  • Fig. 6 ist eine Teildarstellung der Mechanisierung eines speziellen Falles der Verwendung der Symmetrierung, zum Beispiel zum Erkennen einer Notwendigkeit zur Egalisierung, das heißt Autoegalisierung. Es wird auf die gleichzeitig anhängige EP-Anmeldung, Serial No. 87 630 199.5, Veröffentlichungsnr. 0 263 773, für eine vollständigere Offenbarung des Symmetrierungsprozesses selbst Bezug genommen. Das Signal auf der Leitung 139 in Fig. 6 dieser Patentbeschreibung entspricht dem Signal auf der Leitung 70 in Fig. 2 dieser Beschreibung. Die Darstellung in Fig. 6 hier gilt für einen einzelnen Kanal, zum Beispiel den Kanal Nr. 1 in einem Vierkanalsystem. Mehrere Kanalkonfigurationsdatenbasis(CCDB)-Signale auf Leitungen 134, 135, 136, 137 aus den Kanälen 1, 2, 3 bzw. 4 werden über Querkanaldatenverbindungen ähnlich denjenigen empfangen, die in Fig. 1 dargestellt sind, und werden einem Kanal-1-Symmetrierungsvotum präsentiert, wie es durch einen Votierprozeß 138 gezeigt ist. Jede der empfangenen CCDBs stammt aus dem soeben vervollständigten (n-1) Berechnungsblock. Der Votierprozeß erzeugt ein votiertes Systemkonfigurationsdatenbasis[SCDB(n-1)]-Signal auf einer Leitung 139, welches einem Komparator 140 dargeboten wird, in welchem ein Vergleich zwischen der votierten SCDB (n-1) und der lokalen Version derselben, wie sie durch ein Signal auf einer Leitung 141 gezeigt ist, angestellt wird. Selbstverständlich sind die CCDB-Signalleitungen und SCDB-Signalleitungen, die in Fig. 6 dargestellt sind, in Wirklichkeit jeweils viele Signale, die eine vollständige Konfigurationsdatenbasis bilden. Wenn bei dem Vergleich festgestellt wird, daß die beiden verglichenen Konfigurationsdatenbasen auf gewisse Weise unterschiedlich sind, dann wird ein UNGLEICH-Signal auf einer Leitung 142 an einen Block 143 angelegt, in welchem Schritte unternommen werden, um ein Autoegalisierungsanforderungs(AER)-Flag für den lokalen Kanal zu setzen. Nachdem der Egalisierungsprozeß abgeschlossen ist, wird ein neues Symmetrierungsvotum in dem lokalen Kanal stattfinden, und es kann nun ein Upgrading der zuvor verschlechterten Teile des lokalen Kanals erfolgen.
  • Fig. 4, auf die nun Bezug genommen wird, ist eine Darstellung einer Unterroutine oder von logischen Schritten, die in einem Kanal eines typischen Quadraplexsystems ausgeführt werden können, um eine Autoegalisierung in der Votierebene 2 (VP2) zu bewirken, wenn sie verlangt wird. Es ist klar, daß eine ähnliche Prozedur benutzt werden kann, um eine Autoegalisierung in irgendeiner anderen Votierebene oder in anderen Votierebenen auszuführen. Die folgende Erläuterung basiert auf dem Fall der VP2- Egalisierung. Das Flußdiagramm in Fig. 4 kann als eines charakterisiert werden, das die "Autoegalisierung empfangen"-Verarbeitung beschreibt, um festzustellen, ob die Votierebene 2 der Empfänger der Autoegalisierung sein sollte, und, wenn dem so ist, die notwendigen Schritte zu unternehmen. Beginnend mit einem Schritt 150, in welchem zuerst der Eintritt in die Unterroutine erfolgt, wird danach ein Schritt 158 ausgeführt, in welchem festgestellt wird, ob die Konfiguration in der Votierebene 14 nach Fig. 1 für ein Quadraplexsystem gilt, das noch vierfach oder wenigstens triplex ist. Mit anderen Worten, hat sich das Vierfachsystem unter triplex auf duplex verschlechtert? Wenn dem so ist, hat sich das System bis zu einem Punkt verschlechtert, wo die Mehrheitsvoten nicht länger bedeutsam sind und daher keine Autoegalisierung ausgeführt wird. Deshalb werden alle AER- Flags in der CCDB gelöscht, wie durch den Schritt 154 ausgeführt, und es erfolgt dann ein Austritt über den Schritt 156 aus der Unterroutine. Wenn die Konfiguration in der Votierebene 2 noch vierfach oder triplex ist, wird danach ein Schritt 160 ausgeführt, in welchem die Systemkonfigurationsdatenbasis (SCDB) des Kanals gelesen wird, um den Systemstatus zu ermitteln, wie er durch den Kanal verstanden wird, einschließlich jeglicher Autoegalisierungsanforderungen innerhalb der verschiedenen Kanäle in dem System.
  • Danach wird ein Schritt 162 ausgeführt, in welchem die Daten in dem betreffenden Kanal in der Votierebene 2 mit den Dateninhalten der anderen Kanäle in dem System, wie sie über die CCDLs übertragen werden, verglichen werden. Dieser Schritt entspricht dem Vergleich 140 nach Fig. 6. Wenn in dem Schritt 162 festgestellt wird, daß die Votierebene 2 des Kanals fehlerhaft ist, dann erfolgt ein Austritt über einen Schritt 156 aus der Unterroutine, und andere Schritte werden unternommen, einschließlich dem Setzen des AER-Flags des Kanals wie in dem Schritt 143 nach Fig. 6. (Ein solcher Schritt könnte leicht zwischen den Schritten 162 und 164 ausgeführt werden, um einen Austritt zu sparen und später zurückzukehren, wenn keine anderen Aufgaben außerhalb der Unterroutine vor dem Ausführen des Schrittes 166 abgeschlossen zu werden brauchen.)
  • Wenn in dem Schritt 162 festgestellt wird, daß die Votierebene 14 des Kanals nicht fehlerhaft ist, wird danach in einem Schritt 164 festgestellt, ob das AER-Flag des Kanals gesetzt ist oder nicht. Wenn dem nicht so ist, erfolgt ein Austritt in dem Schritt 156. Wenn dem so ist, wird danach der Schritt 166 ausgeführt, in welchem ein Vergleich der Sensorsatzdaten aus irgendwelchen zwei "guten" Kanälen (denjenigen, die kein AER verlangen) angestellt wird. Wenn die Daten identisch sind, was in einem Schritt 168 festgestellt wird, werden die Filter des Kanals, die Schalter usw. auf eine hierarchische, chronologische Art und Weise mit historischen Daten aus vergleichbaren Filtern, Schaltern usw. in einem der "guten" Kanäle aktualisiert, wie es in einem Schritt 170 angegeben ist. Wenn in dem Schritt 168 festgestellt worden ist, daß die Daten nicht identisch sind, wird der Schritt 170 umgangen, und es wird direkt ein Schritt 172 ausgeführt, in welchem festgestellt wird, ob die Aktualisierung abgeschlossen worden ist oder nicht. Wenn nicht, erfolgt ein Austritt in einem Schritt 156, und ein weiterer Durchlauf durch die Unterroutine kann später erfolgen. Wenn dem so ist, werden alle AER-Flags in der CCDB des Kanals in einem Schritt 174 gelöscht, und es erfolgt ein Austritt in dem Schritt 156.
  • In Fig. 5, auf die nun Bezug genommen wird, ist eine Flußdiagrammdarstellung der logischen Schritte gezeigt, die durch jeden Kanal in dem Quadraplexsystem ausgeführt werden müssen, um festzustellen, ob er aufgerufen ist oder nicht, historische Daten zu einem Kanal zu übertragen, welcher Selbstegalisierung verlangt, und, wenn dem so ist, eine solche Übertragung von Daten zu bewirken. Das Flußdiagramm nach Fig. 5 repräsentiert ebenso wie das nach Fig. 4 nur einen kleinen Teil des gesamten Umfangs des Selbstegalisierungsprozesses, typisiert aber die Prozedur, wie sie für den speziellen Fall der Votierebene 2 dargestellt ist, und kann als "Autoegalisierungsübertragung"-Verarbeitung für VP2 beschreibend charakterisiert werden.
  • Nach dem Eintritt in die Unterroutine, was in Fig. 5 in einem Schritt 200 dargestellt ist, wird anschließend ein Schritt 208 ausgeführt, in welchem festgestellt wird, ob die Konfiguration der Votierebene 2 des Systems noch quadraplex oder triplex ist oder nicht. Wenn dem nicht so ist, dann wird ein Schritt 204 ausgeführt, und es erfolgt ein Austritt in einem Schritt 206. Unter solchen Umständen wird keine Autoegalisierung zugelassen.
  • Wenn in dem Schritt 208 festgestellt wird, daß die Konfiguration der Votierebene 2 des Systems noch quadraplex oder triplex ist, wird die SCDB in diesem Kanal konsultiert, um den gegenwärtigen Wart der AER zu lesen, wie es in einem Schritt 210 angegeben ist. Wenn die AER gleich null ist, das heißt, wenn das AER-Flag nicht gesetzt ist, wie es durch einen Entscheidungsschritt 211 gezeigt ist, dann werden die Schritte 204 und 206 ausgeführt, und die Unterroutine wird verlassen.
  • Wenn nicht, wird anschließend ein Schritt 222 ausgeführt, in welchem festgestellt wird, ob alle historischen Daten in Verbindung mit einer Autoegalisierungsanforderung gesendet worden sind oder nicht. Wenn dem so ist, werden dann die Schritte 204 und 206 ausgeführt, in welchen alle AER-Flags in der CCDB gelöscht werden, und es erfolgt ein Austritt aus der Unterroutine. Wenn alle historischen Daten nicht übertragen worden sind, dann wird anschließend ein Schritt 224 ausgeführt, in welchem zusätzliche historische Daten aus den Filtern, Schaltern usw. des betreffenden Kanals auf eine hierarchische, chronologische Art und Weise zu dem Kanal übertragen werden, der Autoegalisierung verlangt.
  • Danach wird der Schritt 206 ausgeführt, und es erfolgt ein Austritt aus der Unterroutine.
  • Die Routinen, die notwendig sind, um die Egalisierungs- und Autoegalisierungsprozeduren auszuführen, die in den verschiedenen Kanälen des redundanten Systems offenbart sind, können in irgendeinen oder in mehrere Signalprozessoren in dem System einprogrammiert sein. Jeder Kanal kann seinen eigenen Signalprozessor haben, der für diese Funktion bestimmt oder teilweise bestimmt ist, wie es durch einen Signalprozessor 250 in Fig. 6 gezeigt ist. Ein AER-Flag-Signal auf einer Leitung 252 wird an den Signalprozessor auf das Ungleich-Signal auf der Leitung 142 hin angelegt. Der Signalprozessor wird selbstverständlich alle grundlegenden Baublöcke eines modernen Signalprozessors enthalten einschließlich Eingangs-/Ausgangsports, Speichern mit wahlfreiem Zugriff, Festwertspeichern, einer Zentralverarbeitungseinheit, einem Adreßbus, einem Datenbus usw. Der Signalprozessor würde in jedem Kanal repliziert werden und würde alle Egalisierungsroutinen haben, die in seinem Festwertspeicher gespeichert sind, und würde historische Werte speichern, die er aus anderen Kanälen in seinem Direktzugriffsspeicher empfängt, um seine eigenen Werte in Gegenwart eines Ungleichsignals zu egalisieren. Es gäbe verschiedene Steuer-, Daten- und Adreßsignalleitungen, die von dem Signalprozessorkanal des redundaten Systems nach Fig. 1 ausgehen würden, um die richtige sequentielle Verteilung der historischen Signalwerte auf die verschiedenen Komponenten innerhalb des Kanals zu steuern. Selbstverständlich werden verschiedene Signalprozessoren bereits in die verschiedenen Kanäle eingebettet sein und können für diesen Zweck benutzt werden.

Claims (7)

1. Verfahren zur Verwendung in einem redundanten Kanalsystem, das identisch arbeitende, synchrone Kanäle hat, wobei das Verfahren, um zu versuchen, einen Identischen Betrieb eines suspekten Kanals wiederherzustellen, der gegenwärtig nichtidentische Ausgangssignaldaten liefert, die folgenden Schritte umfaßt:
Vergleichen von Konfigurationssignaldatenbasen, die historische Signaldaten enthalten, in jedem Kanal, um eine votierte Konfigurationsdatenbasis zu erzeugen, die in jedem Kanal benutzt wird, um Berechnungsaufgaben zu leiten, wobei der Vergleichsschritt einen Kanal, in welchem eine Ungleicheit existiert, als suspekt identifiziert, indem er ein Ungleichsignal für diesen Kanal liefert; und
Egalisieren der historischen Signaldaten des suspekten Kanals mit denjenigen eines korrekt arbeitenden Kanals über Querkanaldatenverbindungseinrichtungen auf das Ungleichsignal hin durch Übertragen von historischen Signaldaten aus einem korrekt funktionierenden Kanal zu dem suspekten Kanal, wobei der Schritt des Egalisierens bewirkt wird durch Ausführen einer Serie von Egalisierunterschritten auf hierarchische, chronologische Art und Weise, so daß der Egalisierschritt von irgendwelchen besonderen Signaldaten in dem suspekten Kanal für einen gegenwärtigen Vergleichs- oder Berechnungsschritt bei oder nach der Erzeugnung der Signaldaten in einem korrekt arbeitenden Kanal erfolgt und vor dem gegenwärtigen Vergleichs- oder Berechnungsschritt in dem suspekten Kanal erfolgt.
2. Verfahren nach Anspruch 1, wobei die Serie von Egalisierschritten innerhalb einer entsprechenden Serie von Blöcken ausgeführt wird, wobei jeder Egalisierschritt für einen entsprechenden Block aus einer Serie von Egalisierunterschritten aufgebaut ist, die einer Serie von normalen Berechnungsunterschritten in diesem Block entsprechen, wobei die Egalisierunterschritte auf eine hierarchische, chronologische Art und Weise ausgeführt werden, die der Ausführung der normalen Berechnungsunterschritte in dem Block entspricht, so daß das Egalisieren von irgendwelchen besonderen Signaldaten in dem suspekten Kanal für einen gegenwärtigen Blockvergleichs- oder -berechnungsschritt bei oder nach seiner Erzeugung in einem vorherigen Block in einem korrekt arbeitenden Kanal erfolgt und bevor der Vergleichs- oder Berechnungsschritt in dem suspekten Kanal in dem gegenwärtigen Block erfolgt.
3. Verfahren nach Anspruch 1 oder 2, weiter beinhaltend den Schritt, die Konfigurationssignaldatenbasis des suspekten Kanals nach dem Egalisieren seiner historischen Signaldaten zu symmetrieren.
4. Verfahren nach Anspruch 1 oder 2, weiter beinhaltend die Schritte:
Liefern eines extern erzeugten Egalisierbefehlssignals; und Egalisieren der historischen Signaldaten des suspekten Kanals mit denjenigen eines korrekt arbeitenden Kanals auf das Befehlssignal hin.
5. Anordnung zur Verwendung in einem redundanten Kanalsystem, das identisch arbeitende, synchrone Kanäle (26, 28, 30) hat, wobei jeder Kanal Berechnungsaufgaben leitet, wobei das System Querkanaldatenverbindungseinrichtungen (52, 52a, 52b) hat, die auf die Konfigurationssignaldatenbasen hin, welche in jedem Kanal resident sind und historische Signaldaten enthalten, auf die Eingangssignaldaten hin, die allen Kanälen in dem System geliefert werden, und auf die Ausgangssignaldaten hin, die allen Kanälen in dem System zur Übertragung von sämtlichen Signaldaten zwischen den Kanälen erzeugt werden, die Anordnung zur Verwendung bei einem Verfahren zum Versuchen, einen identischen Betrieb eines suspekten Kanals wiederherzustellen, der gegenwärtig nichtidentische Ausgangssignaldaten liefert, beinhaltet:
eine Vergleichseinrichtung (138, 140) zum Vergleichen der Konfigurationssignaldatenbasen in jedem Kanal, um eine votierte Konfigurationsdatenbasis (139) zu erzeugen, die in jedem Kanal benutzt wird, um Berechnungsaufgaben zu leiten, wobei die Vergleichseinrichtung einen Kanal, in welchem eine Ungleichheit (142) existiert, als suspekt identifiziert, indem sie ein Ungleichsignal für diesen Kanal liefert; und
eine Egalisiereinrichtung (143, 250), die auf das Ungleichsignal und auf die historischen Signaldaten eines korrekt funktionierenden Kanals hin, die über die Querkanaldatenverbindungseinrichtung (54) übertragen werden, die historischen Signaldaten des suspekten Kanals mit denen eines korrekt arbeitenden Kanals egalisiert, wobei die Egalisiereinrichtung die Egalisierung bewirkt durch Ausführen einer Serie von Egalisierunterschritten auf eine hierarchische, chronologische Art und Weise, so daß die Egalisierung von irgendwelchen besonderen Signaldaten in dem suspekten Kanal für einen gegenwärtigen Vergleichs- oder Berechnungsschritt bei oder nach der Erzeugung der Signaldaten in einem korrekt arbeitenden Kanal erfolgt und bevor der Vergleichsoder Berechnungsschritt in dem suspekten Kanal erfolgt.
6. Anordnung nach Anspruch 5, weiter mit einer Einrichtung zum Symmetrieren der Konfigurationssignaldatenbasis des suspekten Kanals nach dem Egalisieren seiner historischen Signaldaten.
7. Anordnung nach Anspruch 5, wobei die Einrichtung, die auf die Signaldaten anspricht, die zwischen den Kanälen übertragen werden, außerdem auf ein extern erzeugtes Egalisierbefehlssignal hin die Signaldaten des suspekten Kanals mit denen eines richtig funktionierenden Kanals egalisiert.
DE3751230T 1986-10-02 1987-10-01 Selbstgleichsetzung in redundanten Kanälen. Expired - Fee Related DE3751230T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US06/914,698 US4771427A (en) 1986-10-02 1986-10-02 Equalization in redundant channels

Publications (2)

Publication Number Publication Date
DE3751230D1 DE3751230D1 (de) 1995-05-18
DE3751230T2 true DE3751230T2 (de) 1995-08-24

Family

ID=25434679

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3751230T Expired - Fee Related DE3751230T2 (de) 1986-10-02 1987-10-01 Selbstgleichsetzung in redundanten Kanälen.

Country Status (4)

Country Link
US (1) US4771427A (de)
EP (1) EP0263055B1 (de)
JP (1) JPS6398002A (de)
DE (1) DE3751230T2 (de)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01166632A (ja) * 1987-12-22 1989-06-30 Mitsubishi Electric Corp ディジタル信号の復号方法及びその回路
US5132920A (en) * 1988-02-16 1992-07-21 Westinghouse Electric Corp. Automated system to prioritize repair of plant equipment
US4965879A (en) * 1988-10-13 1990-10-23 United Technologies Corporation X-wing fly-by-wire vehicle management system
US4995040A (en) * 1989-02-03 1991-02-19 Rockwell International Corporation Apparatus for management, comparison, and correction of redundant digital data
DE3928456A1 (de) * 1989-08-29 1991-03-07 Nord Micro Elektronik Feinmech Verfahren und schaltungsanordnung zum bilden eines auswertungssignals aus einer mehrzahl redundanter messsignale
US5297052A (en) * 1989-10-16 1994-03-22 The Boeing Company Integrated fault-tolerant air data inertial reference system
US5202679A (en) * 1991-04-01 1993-04-13 United Technologies Corporation Mid-value signal selection system
US5165240A (en) * 1991-09-18 1992-11-24 Allied-Signal Inc. Method for matching engine torques for multiple engine aircraft
US5349654A (en) * 1992-02-20 1994-09-20 The Boeing Company Fault tolerant data exchange unit
JP2534430B2 (ja) * 1992-04-15 1996-09-18 インターナショナル・ビジネス・マシーンズ・コーポレイション フォ―ルト・トレランスのあるコンピュ―タ・システム出力の合致を達成するための方法
JP3201945B2 (ja) * 1995-01-10 2001-08-27 インターナショナル・ビジネス・マシーンズ・コーポレーション データベースのテーブルを比較する方法
EP0913746A3 (de) * 1997-10-31 2000-04-12 Honeywell Inc. Einrichtung zur Fühler-Invalidierung
US7181644B2 (en) * 2002-01-11 2007-02-20 Delphi Technologies, Inc. Method for synchronizing data utilized in redundant, closed loop control systems
US8534599B2 (en) 2011-03-31 2013-09-17 Hamilton Sundstrand Corporation Redundant two stage electro-hydraulic servo actuator control
US9600513B2 (en) 2011-06-09 2017-03-21 International Business Machines Corporation Database table comparison
US9092313B2 (en) 2013-01-25 2015-07-28 Honeywell International Inc. System and method for three input voting
US20140257729A1 (en) * 2013-03-07 2014-09-11 Eric A. Wolf Time synchronized redundant sensors
CN107290099B (zh) 2016-04-11 2021-06-08 森萨塔科技公司 压力传感器、用于压力传感器的插塞件和制造插塞件的方法
EP3236226B1 (de) 2016-04-20 2019-07-24 Sensata Technologies, Inc. Verfahren zur herstellung eines drucksensors
US10545064B2 (en) 2017-05-04 2020-01-28 Sensata Technologies, Inc. Integrated pressure and temperature sensor
US10323998B2 (en) 2017-06-30 2019-06-18 Sensata Technologies, Inc. Fluid pressure sensor
US10724907B2 (en) 2017-07-12 2020-07-28 Sensata Technologies, Inc. Pressure sensor element with glass barrier material configured for increased capacitive response
US10557770B2 (en) 2017-09-14 2020-02-11 Sensata Technologies, Inc. Pressure sensor with improved strain gauge
JP6877473B2 (ja) * 2019-01-25 2021-05-26 キヤノン株式会社 表示装置およびその制御方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3783250A (en) * 1972-02-25 1974-01-01 Nasa Adaptive voting computer system
US3805235A (en) * 1972-12-26 1974-04-16 Collins Radio Co Equalization means for multi-channel redundant control system
US4477895A (en) * 1980-05-02 1984-10-16 Harris Corporation Synchronized protection switching arrangement
US4532630A (en) * 1981-05-28 1985-07-30 Marconi Avionics Limited Similar-redundant signal systems
US4497059A (en) * 1982-04-28 1985-01-29 The Charles Stark Draper Laboratory, Inc. Multi-channel redundant processing systems

Also Published As

Publication number Publication date
EP0263055A2 (de) 1988-04-06
JPS6398002A (ja) 1988-04-28
DE3751230D1 (de) 1995-05-18
EP0263055B1 (de) 1995-04-12
EP0263055A3 (en) 1990-03-28
US4771427A (en) 1988-09-13

Similar Documents

Publication Publication Date Title
DE3751230T2 (de) Selbstgleichsetzung in redundanten Kanälen.
DE3751231T2 (de) Symmetriebildung für redundante Kanäle.
DE69427875T2 (de) Verfahren und vorrichtung zur inbetriebnahme eines datenbuswählers zur auswahl der steuersignale einer redundanten asynchronen digitalen prozessoreinheit aus einer vielzahl davon
EP3246771B1 (de) Verfahren zum betreiben eines redundanten automatisierungssystems
DE2908316C2 (de) Modular aufgebaute Multiprozessor-Datenverarbeitungsanlage
EP1374052B1 (de) Verfahren zum betrieb eines verteilten computersystems
DE2321260C2 (de) Multiprozessor-Datenverarbeitungsanlage mit mehreren rekonfigurierbaren Datenverarbeitungsgruppen
DE3781873T2 (de) Rekonfigurierbare rechenanordnung.
DE69811148T2 (de) Mitgliedschaft in einem unzuverlässigen verteilten Rechnersystem
DE69120168T2 (de) System für das Überwachen und Steuern einer Anlage
EP2478685B1 (de) Steuervorrichtung, ein-/ausgabevorrichtung, verbindungsschaltevorrichtung und verfahren für ein flugzeug-steuersystem
EP0415281A2 (de) Verfahren und Schaltungsanordnung zum Bilden eines Auswertungssignals aus einer Mehrzahl redundanter Messsignale
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
EP2021924A1 (de) Verfahren und vorrichtung zum austausch von daten auf basis des opc-kommunikationsprotokolls zwischen redundanten prozessautomatisierungskomponenten
DE102008049126B3 (de) Schiffsruder-Steuerung/Autopilot mit einem CAN-Bus
DE102017109886A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
EP0109981B1 (de) Ausfallgesicherte Datenverarbeitungsanlage
EP1358554A1 (de) Automatische inbetriebnahme eines clustersystems nach einem heilbaren fehler
EP2122382A1 (de) Verfahren zum erhöhen der verfügbarkeit eines globalen navigationssystems
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
EP1050814B1 (de) Fehlertolerantes System nach einem byzantinen Algorithmus
EP3800517B1 (de) Verfahren zur erstellung eines redundanten automatisierungssystems, computerprogramm und computerlesbares medium
DE102011115318B4 (de) Flugsteuerungssystem
EP4091054A1 (de) Verfahren und vorrichtung zum rekonfigurieren eines automatisiert fahrenden fahrzeugs in einem fehlerfall
CH715961B1 (de) Datenintegritätsprüfverfahren.

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee