JPS5917658A - デジタルコンピユ−タの信号に応答する制御システム - Google Patents
デジタルコンピユ−タの信号に応答する制御システムInfo
- Publication number
- JPS5917658A JPS5917658A JP58095905A JP9590583A JPS5917658A JP S5917658 A JPS5917658 A JP S5917658A JP 58095905 A JP58095905 A JP 58095905A JP 9590583 A JP9590583 A JP 9590583A JP S5917658 A JPS5917658 A JP S5917658A
- Authority
- JP
- Japan
- Prior art keywords
- signal
- computer
- control
- program
- computers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/187—Voting techniques
- G06F11/188—Voting techniques where exact match is not required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2025—Failover techniques using centralised failover control functionality
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔技術分野〕
この発明はデジタルコンピュータからの信号により主要
部又は全体の制御が成される制御システムに関する。こ
のようなシステムは一般に1全権1制御システムと呼ば
れる。
部又は全体の制御が成される制御システムに関する。こ
のようなシステムは一般に1全権1制御システムと呼ば
れる。
全権デジタル制御システムにおいては、その制御作用は
検出されたおよび/又は所望の動作条件に応答するデジ
タルデータプロセッサによって通常調節される。これら
の動作条件はたくさんあり1個々の条件は実質的な範囲
の値内にある。従ってこれらの動作値の組合せや順番は
非常にぼう大であり、実際使用時に起こり得るこれらの
動作条件の組合せをすべてテストすることは不可能であ
ろう。この問題はデジタル制御システムが再プログラム
可能となり、比較的容易にプログラムを変更できるよう
になってさらに増大し、取ってかわったプログラムの制
御のもとに、このシステムで実行される広範囲なテスト
はもはや有効ではない。
検出されたおよび/又は所望の動作条件に応答するデジ
タルデータプロセッサによって通常調節される。これら
の動作条件はたくさんあり1個々の条件は実質的な範囲
の値内にある。従ってこれらの動作値の組合せや順番は
非常にぼう大であり、実際使用時に起こり得るこれらの
動作条件の組合せをすべてテストすることは不可能であ
ろう。この問題はデジタル制御システムが再プログラム
可能となり、比較的容易にプログラムを変更できるよう
になってさらに増大し、取ってかわったプログラムの制
御のもとに、このシステムで実行される広範囲なテスト
はもはや有効ではない。
英国特許第2105492人号は全権デジタル制御シス
テムを開示している。このシステムでは第1のデジタル
コンピュータからの制御信号は第2のコンピュータによ
って発生される制御信号と比較される。この第2のコン
ピュータは第1のデジタルコンピュータに供給された入
力信号の少くともいくつかの信号に応答する。
テムを開示している。このシステムでは第1のデジタル
コンピュータからの制御信号は第2のコンピュータによ
って発生される制御信号と比較される。この第2のコン
ピュータは第1のデジタルコンピュータに供給された入
力信号の少くともいくつかの信号に応答する。
前記第1のコンピュータからの制御信号が第2コンピユ
ータにより設定された制限値を超えた場合、このシステ
ムの制御は第1コンピユータとは異る第3コンピユータ
に切換えられる。第2および第3コンピユータの信頼性
を強化するために、第2コンピユータはアナログコンピ
ュータとし、第3コンピユータは第1コンピユータの入
力パラメータ制限値にのみ応答し、システムの未完成の
緊急制御のみを行うことが提案されてきた。
ータにより設定された制限値を超えた場合、このシステ
ムの制御は第1コンピユータとは異る第3コンピユータ
に切換えられる。第2および第3コンピユータの信頼性
を強化するために、第2コンピユータはアナログコンピ
ュータとし、第3コンピユータは第1コンピユータの入
力パラメータ制限値にのみ応答し、システムの未完成の
緊急制御のみを行うことが提案されてきた。
すべての動作条件下で全権システムの応答を予測するこ
とが不可能なために、このようなシステムを航空機に使
用することを推賞することは、航空の安全性に関する機
能の一部については消極的lどならざるを得ない。特に
、組合せ条件に対するシステムの不適切な応答によりデ
ータプロセッサーこよって制御される全装置の機能不全
を生じる。さらに同一にプログラムされたコンピュータ
を2台使用してもこの問題を解決することはできないこ
と明らかである。何故なら各コンピュータが同時かつ同
様に機能不全となる可能性が高いからである。
とが不可能なために、このようなシステムを航空機に使
用することを推賞することは、航空の安全性に関する機
能の一部については消極的lどならざるを得ない。特に
、組合せ条件に対するシステムの不適切な応答によりデ
ータプロセッサーこよって制御される全装置の機能不全
を生じる。さらに同一にプログラムされたコンピュータ
を2台使用してもこの問題を解決することはできないこ
と明らかである。何故なら各コンピュータが同時かつ同
様に機能不全となる可能性が高いからである。
この発明は2つのデジタルコンピュータを有シ、各コン
ピュータはフルレンジの入力パラメータにわたり出力制
御信号を供給することができ、各コンピュータからの制
御信号(リミット信号)は厳重なチェックを受けること
のできる制御システムを提供することである。特にこの
発明は各デジタルコンピュータからの制#J信号が別途
にプログラムされた非類似のコンピュータから供給され
る対応制御信号によりチェックされ、別途番こプログラ
ムされた非類似のコンピュータにより供給された制限信
号によりチェックされる。さらに各制限信号は第1の制
限信号を供給するコンピュータとは別途にプログラムさ
れた非類似のコンピュータによって供給された対応制限
信号に対してチェックされることを特徴とする。
ピュータはフルレンジの入力パラメータにわたり出力制
御信号を供給することができ、各コンピュータからの制
御信号(リミット信号)は厳重なチェックを受けること
のできる制御システムを提供することである。特にこの
発明は各デジタルコンピュータからの制#J信号が別途
にプログラムされた非類似のコンピュータから供給され
る対応制御信号によりチェックされ、別途番こプログラ
ムされた非類似のコンピュータにより供給された制限信
号によりチェックされる。さらに各制限信号は第1の制
限信号を供給するコンピュータとは別途にプログラムさ
れた非類似のコンピュータによって供給された対応制限
信号に対してチェックされることを特徴とする。
この発明によれば、主要部をデジタルコンピュータによ
って制御されるシステムを備えている。このシステムは
入力制御信号に応答する装置と、第1および第2の名目
上同一の出力信号を供給する装置の動作条件に応答する
異る第1および第2の制御プログラムによりそれぞれプ
ログラムされた第1および第2の非類似のデジタルコン
ピュータから成り、前記人力制御信号が通常前記第1お
よび第2の出力信号から派生し、前記第1および第2の
コンピュータが更にそれぞれ前記第1および第2の出力
信号に対して制限値を発生し、前記第1および第2の出
力信号が所定量だけ各制限値を超えた場合第1および第
2の表示信号を供給する第1および第2の異る制限プロ
グラムでプログラムされたコンピュータ構成と、前記動
作条件のうち選択された条件に応答して第3の出力信号
を供給する第3のコンピュータと、および前記第1又は
第2の表示信号に応答し前記第3の出力信号から前記人
力制御信号を派生するスイッチ手段とて構成される。
って制御されるシステムを備えている。このシステムは
入力制御信号に応答する装置と、第1および第2の名目
上同一の出力信号を供給する装置の動作条件に応答する
異る第1および第2の制御プログラムによりそれぞれプ
ログラムされた第1および第2の非類似のデジタルコン
ピュータから成り、前記人力制御信号が通常前記第1お
よび第2の出力信号から派生し、前記第1および第2の
コンピュータが更にそれぞれ前記第1および第2の出力
信号に対して制限値を発生し、前記第1および第2の出
力信号が所定量だけ各制限値を超えた場合第1および第
2の表示信号を供給する第1および第2の異る制限プロ
グラムでプログラムされたコンピュータ構成と、前記動
作条件のうち選択された条件に応答して第3の出力信号
を供給する第3のコンピュータと、および前記第1又は
第2の表示信号に応答し前記第3の出力信号から前記人
力制御信号を派生するスイッチ手段とて構成される。
好ましい実施例では、前記第1および第2のコンピュー
タの動作を制御する手段を備えているので、前記第1の
制御プログラムと前記第1の1)ミッタプログラム(制
限プログラム)は協動し、前記第2制御プログラムと前
記第2リミツタプログラムが協動し、その結果前記第1
および第2プログラムが交替的に走る。
タの動作を制御する手段を備えているので、前記第1の
制御プログラムと前記第1の1)ミッタプログラム(制
限プログラム)は協動し、前記第2制御プログラムと前
記第2リミツタプログラムが協動し、その結果前記第1
および第2プログラムが交替的に走る。
特別の実施例では、前記コンピュータ構成を2つ有して
いる。前記第1のコンピュータ構成の第1および第2の
コンピュータが制御およびリミッタプログラムを有し、
これらのプログラムハ前記第2のコンピュータ構成の対
応するコンピュータのプログラムと異っている。
いる。前記第1のコンピュータ構成の第1および第2の
コンピュータが制御およびリミッタプログラムを有し、
これらのプログラムハ前記第2のコンピュータ構成の対
応するコンピュータのプログラムと異っている。
以下この発明の一実施例について説明する。
各図面において同一部には同符号を付す。この実施例は
ガスタービンエンジンの制御システムに関する。第1図
に示すようにガスタービンエンジンIOは複数のライン
12上のアナログ制御信号に応答し、例えばコンプレッ
サ圧力、エンジン速度および温度およびコンプレッサ湿
度のような動作状態がエンジン10から複数のライン1
2に出力される。ライン12上の信号はエンジン速度選
択装置I3からの信号と結合されライン14を介して2
つのデジタルコンピュータ構成IB、16に供給される
。一方のコンピュータ構成は第2図に詳細に示される。
ガスタービンエンジンの制御システムに関する。第1図
に示すようにガスタービンエンジンIOは複数のライン
12上のアナログ制御信号に応答し、例えばコンプレッ
サ圧力、エンジン速度および温度およびコンプレッサ湿
度のような動作状態がエンジン10から複数のライン1
2に出力される。ライン12上の信号はエンジン速度選
択装置I3からの信号と結合されライン14を介して2
つのデジタルコンピュータ構成IB、16に供給される
。一方のコンピュータ構成は第2図に詳細に示される。
コンピュータ構ill、16からのアナログ出力信号は
各ライン群1’l、1Bを介して公知のスイッチ装置Z
9に供給される。この装置Z9は各コンピュータ構成1
5.16からラインzo、zxに出力された切換信号に
応答する。
各ライン群1’l、1Bを介して公知のスイッチ装置Z
9に供給される。この装置Z9は各コンピュータ構成1
5.16からラインzo、zxに出力された切換信号に
応答する。
これらの信号は後述する方法で発生される。
このコンピュータ構成のブロック図は第2図に示され2
つのコンピュータ30.31で構成される。各コンピュ
ータ30.31はライン14上の信号に応答する。これ
らのコンピュータ30.31は異るハードウェア設計を
有し、それぞれ別個のプログラムによりプログラムされ
これらのプログラムはそれぞれライン32゜33にぶ目
上同一出力制御信号CZ、C2を供給する。
つのコンピュータ30.31で構成される。各コンピュ
ータ30.31はライン14上の信号に応答する。これ
らのコンピュータ30.31は異るハードウェア設計を
有し、それぞれ別個のプログラムによりプログラムされ
これらのプログラムはそれぞれライン32゜33にぶ目
上同一出力制御信号CZ、C2を供給する。
これらのコンピュータ30.31は又ライン14の信号
にも応答する別個のリミッタプログラムでそれぞれプロ
グラムされている。コンピュータ31はリミット信号L
1を発生する。この信号L7はラインI4上の対応する
信号に対応してライン32上の信号の受入れ可能な値を
定べする。同様にコンピュータ3oはリミット信号L2
を発生する。この信号L2はライン33上の信号に対し
て受入可能な値を定義する。
にも応答する別個のリミッタプログラムでそれぞれプロ
グラムされている。コンピュータ31はリミット信号L
1を発生する。この信号L7はラインI4上の対応する
信号に対応してライン32上の信号の受入れ可能な値を
定べする。同様にコンピュータ3oはリミット信号L2
を発生する。この信号L2はライン33上の信号に対し
て受入可能な値を定義する。
前記コンピュータ30および3Zはブロック装置34か
らのパルス35の制御を受け、これらのコンピュータの
構成は、制御信号CIに対するプログラムと1ミツト信
号LIに対するプログラムが協動し、協動する信号C2
のプログラムとLlのプログラムと交替される。各プロ
グラムは各場合に10ミリ秒走る。この例では信号CI
およびLlの両プログラムを装置34からの論理111
信号に応答ごl!−2信号C2およびLlの両プログラ
ムを装置34からの論理101信号に応答させることに
より行われる。信号CI又はLlの瞬時値はライン36
を介してコンピュータ31に供給され、信号C2又はL
lの瞬時値はライン37を介してコンピュータ30に供
給される。
らのパルス35の制御を受け、これらのコンピュータの
構成は、制御信号CIに対するプログラムと1ミツト信
号LIに対するプログラムが協動し、協動する信号C2
のプログラムとLlのプログラムと交替される。各プロ
グラムは各場合に10ミリ秒走る。この例では信号CI
およびLlの両プログラムを装置34からの論理111
信号に応答ごl!−2信号C2およびLlの両プログラ
ムを装置34からの論理101信号に応答させることに
より行われる。信号CI又はLlの瞬時値はライン36
を介してコンピュータ31に供給され、信号C2又はL
lの瞬時値はライン37を介してコンピュータ30に供
給される。
最初の期間TIでは、装置34からの信号が論理111
のとき、値CIおよびLlが発生される。信号CIはラ
イン36を介してコンピュータ31に送られLlと比較
される。CIがLlより大きいか、等しい場合、これは
主システムの矢筒症状、例えばシステム分析のエラーで
あり、フラッグ信号FsIがライン4oに出力される。
のとき、値CIおよびLlが発生される。信号CIはラ
イン36を介してコンピュータ31に送られLlと比較
される。CIがLlより大きいか、等しい場合、これは
主システムの矢筒症状、例えばシステム分析のエラーで
あり、フラッグ信号FsIがライン4oに出力される。
時間TIの値、従前に格納された信号L2の値は又ライ
ン36を介してコンピュータ31に送られLlの値と比
較される。これらの信号間の差が相対的に小さな値dよ
り大きいか又は等しい場合、小さなハードウェア上の故
障又はプログラムのエラーが考えられ、信号「凪1が発
生される。又時間T7の間、値コンピュータ31に従前
に格納された値C2がライン37を介してコンピュータ
30に供給され信号CIと比較される。これらの信号C
rとC2の値の差が相対的に小さな値d!より大きいか
、等しい場合、小さなハードウェアとの故障又はプログ
ラムエラーであることが考えられ、信号Fmzが発生さ
れる。
ン36を介してコンピュータ31に送られLlの値と比
較される。これらの信号間の差が相対的に小さな値dよ
り大きいか又は等しい場合、小さなハードウェア上の故
障又はプログラムのエラーが考えられ、信号「凪1が発
生される。又時間T7の間、値コンピュータ31に従前
に格納された値C2がライン37を介してコンピュータ
30に供給され信号CIと比較される。これらの信号C
rとC2の値の差が相対的に小さな値d!より大きいか
、等しい場合、小さなハードウェアとの故障又はプログ
ラムエラーであることが考えられ、信号Fmzが発生さ
れる。
I2の期間、裟@、34からの1ざ号が論理101のと
きL2君よびC2の値とL z itよびLlの値はコ
ンピュータ30において比較され、C2とCIの値はコ
ンピュータ31で上述した方法で比較される。
きL2君よびC2の値とL z itよびLlの値はコ
ンピュータ30において比較され、C2とCIの値はコ
ンピュータ31で上述した方法で比較される。
信号Fs2.Fm3およびFm4はI2の期間各比較に
より明らかにされたエラー状態に応答して発生される。
より明らかにされたエラー状態に応答して発生される。
と述した比較は表1に、これらの比較を行うコンピュー
タの表示と共に示される。
タの表示と共に示される。
表 1
前記比較は又1つの可能なシーケンスの事象として第6
図に示される。ここで強’1111..なければならな
いのは制御信号およびIJ ミツト信号の発生後、制御
信号C1又はC2がエンジン10に送られる前に必要な
比較が実行されることを条件として、図示したシーケン
スは重要ではないということである。
図に示される。ここで強’1111..なければならな
いのは制御信号およびIJ ミツト信号の発生後、制御
信号C1又はC2がエンジン10に送られる前に必要な
比較が実行されることを条件として、図示したシーケン
スは重要ではないということである。
第3図はコンピュータ30のレイアウトを示す。コンピ
ュータ31は一般には、類似しているが、上述したよう
に異るハードウェア構成を取っており、独立にプログラ
ムされている。コンピュータ30はマイクロプロセッサ
(MPU)50.2つのRkMsr、sz、2つのI’
LOM s s 。
ュータ31は一般には、類似しているが、上述したよう
に異るハードウェア構成を取っており、独立にプログラ
ムされている。コンピュータ30はマイクロプロセッサ
(MPU)50.2つのRkMsr、sz、2つのI’
LOM s s 。
54および入出力装置55から成り、これらの各素子は
アドレス・データバス56および制御バス57により相
互接続される。このRAM5IとROM53は制御信号
CIのプログラムが走っているときのみアドレスされ、
RAM52とR10M54はリミット信号L2が走って
いるときのみアドレスされる。RIV5ZおよびROM
5Jのアドレスデータの最上位ビットは常に論理111
であり、RAM5!およびROM54のアドレスデータ
の対応ビットは常に論理101である。それゆえ、これ
らのアドレスビットはプログラムが正しく走っていれば
、クロック装置34からライン35に出力された信号に
相当す5 る。アドレスバス上の現在の最上位ビットはライン58
を介してアドレスモニタ回路59へ送られ、ここでライ
ン35の信号と比較される。
アドレス・データバス56および制御バス57により相
互接続される。このRAM5IとROM53は制御信号
CIのプログラムが走っているときのみアドレスされ、
RAM52とR10M54はリミット信号L2が走って
いるときのみアドレスされる。RIV5ZおよびROM
5Jのアドレスデータの最上位ビットは常に論理111
であり、RAM5!およびROM54のアドレスデータ
の対応ビットは常に論理101である。それゆえ、これ
らのアドレスビットはプログラムが正しく走っていれば
、クロック装置34からライン35に出力された信号に
相当す5 る。アドレスバス上の現在の最上位ビットはライン58
を介してアドレスモニタ回路59へ送られ、ここでライ
ン35の信号と比較される。
モニタ回路5Bは第4図に詳細に示され、NORゲート
60とANDゲート61で構成され、共にライン35.
58上の信号に応答する。
60とANDゲート61で構成され、共にライン35.
58上の信号に応答する。
NOR,ゲート62はゲート60.61の出力状態に応
答する。この構成はライン35.511上の信号の論理
状態が同じときにのみゲート62から出力ライン63上
に論理1o1の信号が出力されるよう番こなっている。
答する。この構成はライン35.511上の信号の論理
状態が同じときにのみゲート62から出力ライン63上
に論理1o1の信号が出力されるよう番こなっている。
第3図に示すように、入出力装置55にはライン14上
の入力データと、コンピュータ31からのライン37に
出力されたC2とLlの値が供給される。バス56から
のデータラインも又ラッチ回路と接続され、フラッグ信
号Fs2゜p m l が存在するときは、これらの
信号が保持される。
の入力データと、コンピュータ31からのライン37に
出力されたC2とLlの値が供給される。バス56から
のデータラインも又ラッチ回路と接続され、フラッグ信
号Fs2゜p m l が存在するときは、これらの
信号が保持される。
上記データラインは又ラッチ回路65と接続されこのラ
ッチ回路65に制御信号CIが保持6 され、上述した比較の結果としての有効性を待つ。ラッ
チ回路は又信号L1を保持し、ライン36を介してコン
ピュータ31に送り、TZの期間値C2と比較する。
ッチ回路65に制御信号CIが保持6 され、上述した比較の結果としての有効性を待つ。ラッ
チ回路は又信号L1を保持し、ライン36を介してコン
ピュータ31に送り、TZの期間値C2と比較する。
主要なシステムの欠陥を示すフラッグ信号F82 が発
生すると、この信号はラッチ回路64からライン48を
介して切換ロジック回路70(第2図)に供給する。こ
れは第5図に詳細に示され後述される。フラッグ信号F
mz又はVms のいずれかの信号がある場合、これ
らの信号は多少のプログラムエラー又はハードウェア上
の欠陥を示す。これらの信号はそれぞれライン71.7
2を介してORゲート73(第3図)忙送られる。モニ
タ回路58からライン63に出力された信号は又ORゲ
ート13に供給される。この構成は、信号F m 2又
はFmsのいずれかの信号がある場合、又はバス56上
のアドレスがクロック装置34によって示された時間T
I又はTZに対して適切でない場合、エラーの信号がラ
イン42を介して論理回路7017
つり1に供給される。ラ
イン42上の信号に相当する1小さなエラ−1信号は論
理回路7oに、コンピュータ31からライン74(第2
図)を介して、Fm1又はFm4のフラッグ信号の存在
に応答して又はコンピュータ3ノ内のアドレスが時間T
I又はTZに対して適切でない旨の表示に応答して、送
られる。
生すると、この信号はラッチ回路64からライン48を
介して切換ロジック回路70(第2図)に供給する。こ
れは第5図に詳細に示され後述される。フラッグ信号F
mz又はVms のいずれかの信号がある場合、これ
らの信号は多少のプログラムエラー又はハードウェア上
の欠陥を示す。これらの信号はそれぞれライン71.7
2を介してORゲート73(第3図)忙送られる。モニ
タ回路58からライン63に出力された信号は又ORゲ
ート13に供給される。この構成は、信号F m 2又
はFmsのいずれかの信号がある場合、又はバス56上
のアドレスがクロック装置34によって示された時間T
I又はTZに対して適切でない場合、エラーの信号がラ
イン42を介して論理回路7017
つり1に供給される。ラ
イン42上の信号に相当する1小さなエラ−1信号は論
理回路7oに、コンピュータ31からライン74(第2
図)を介して、Fm1又はFm4のフラッグ信号の存在
に応答して又はコンピュータ3ノ内のアドレスが時間T
I又はTZに対して適切でない旨の表示に応答して、送
られる。
第5図に示すように論理回路7oはORゲート80を有
している。このORゲート8oにはライン40.43上
のにせ信号が印加される。
している。このORゲート8oにはライン40.43上
のにせ信号が印加される。
従ってゲート80はエラー信号を、ライン(0゜又は4
3のいずれかのラインにエラー信号がある場合に、ライ
ン81にエラー信号を供給する。
3のいずれかのラインにエラー信号がある場合に、ライ
ン81にエラー信号を供給する。
公知の集積回路82はライン81上の信号に応答しライ
ン81上の信号が所定時間以上存続する場合にのみ出力
信号をライン83に供給する。
ン81上の信号が所定時間以上存続する場合にのみ出力
信号をライン83に供給する。
前記回路70は又ORゲート84を有している。このゲ
ートはライン42.14上の信号に応答する。集積回路
85はゲート84からの出力信号に応答して、ゲート8
4からエラー表示8 信号が所定時間以上存続する場合にのみ、ライン20(
第1,2図も参照)に信号を供給する。
ートはライン42.14上の信号に応答する。集積回路
85はゲート84からの出力信号に応答して、ゲート8
4からエラー表示8 信号が所定時間以上存続する場合にのみ、ライン20(
第1,2図も参照)に信号を供給する。
NOR,ゲート86はライン20,83上の信号に応答
し、ライン20、又は83にエラー表示信号がある場合
にのみライン87に信号を供給する。ライン87上の信
号はラッチ回路65(第3図)に印加され、保持されて
いた値CIがライン32に供給される。但しこの場合ラ
イン35上のクロック信号が時間TIを表示している場
合である。ライン87上の信号は又コンピュータ3I内
の対応するラッチ回路に印加され時間T2の間にライン
33に02が供給されることを可能にする。
し、ライン20、又は83にエラー表示信号がある場合
にのみライン87に信号を供給する。ライン87上の信
号はラッチ回路65(第3図)に印加され、保持されて
いた値CIがライン32に供給される。但しこの場合ラ
イン35上のクロック信号が時間TIを表示している場
合である。ライン87上の信号は又コンピュータ3I内
の対応するラッチ回路に印加され時間T2の間にライン
33に02が供給されることを可能にする。
第2図に示すように、ライン32とライン33は共にデ
ジタル/アナログ変換器90に送られ、そこからアナロ
グ信号がライン17にセレクタスイッチ回路91により
送られる。さらにコンピュータ92で示されるアナログ
コンピュータがラインI4上の入力信号のうち選択され
た信号に応答して、制御信号をスイッチ回路91に供給
する。これらの信号はこの制御が最適動作条件を提供し
なかった場合でもエンジンIOの安全制御を行うのには
十分である。ライン83上のエラー表示に応答してスイ
ッチ回路91の動作によりライン170制御信号がコン
ピュータ92から出力される。
ジタル/アナログ変換器90に送られ、そこからアナロ
グ信号がライン17にセレクタスイッチ回路91により
送られる。さらにコンピュータ92で示されるアナログ
コンピュータがラインI4上の入力信号のうち選択され
た信号に応答して、制御信号をスイッチ回路91に供給
する。これらの信号はこの制御が最適動作条件を提供し
なかった場合でもエンジンIOの安全制御を行うのには
十分である。ライン83上のエラー表示に応答してスイ
ッチ回路91の動作によりライン170制御信号がコン
ピュータ92から出力される。
前記コンピュータ構成16は全ての点でコンピュータ構
成15と同じであることが望ましい。
成15と同じであることが望ましい。
その結果、システム分析エラーのような主要な設計エラ
ーは両コンピュータ構成15.16で共通になる。
ーは両コンピュータ構成15.16で共通になる。
このため、そのような主要なエラーを示すライン83上
のエラー表示により、エンジンlOの制御をコンピュー
タ92に戻す。多くの多少のハードウェア又はソフトウ
ェアエラーの一つを示すライン20上のエラー表示によ
り切換装置19(第1図)がエンジン10をコンピュー
タ構成16の制御下に置く。
のエラー表示により、エンジンlOの制御をコンピュー
タ92に戻す。多くの多少のハードウェア又はソフトウ
ェアエラーの一つを示すライン20上のエラー表示によ
り切換装置19(第1図)がエンジン10をコンピュー
タ構成16の制御下に置く。
このシステムは初めにコンピュータ構成16の制御下に
おかれたエンジンIOにより同様に動作でき、このコン
ピュータ構成中において生じた多少のエラーがあるとコ
ンピュータ構成151こシフトされる。
おかれたエンジンIOにより同様に動作でき、このコン
ピュータ構成中において生じた多少のエラーがあるとコ
ンピュータ構成151こシフトされる。
逆に簡単な構成システムではコンピュータ構成I5のみ
が備えられている。このようなシステムでは切換装置1
9は省略され、主要なエラーおよび多少のエラーも共に
制御がコンピュータ92(第2図)に戻されるように構
成されている。
が備えられている。このようなシステムでは切換装置1
9は省略され、主要なエラーおよび多少のエラーも共に
制御がコンピュータ92(第2図)に戻されるように構
成されている。
第1図はこの発明による制御システムのブロック図;
第2図は第1図の一部を形成するコンピュータ構成のブ
ロック図: 第3図は第2図の構成の一部を形成するコンピュータの
構成図: 第4図は第3図の部分ロジック回路; 第5図は第2図のロジック回路図;および第6図は各コ
ンピュータ構成で実行されるチェック事項を表示するチ
ャートである。 91 M
^八へ0・・・ガスタービンエンジン、13・・・エン
ジン速度選択装置、rs、x6−・・デジタルコンピュ
ータ構成、19・・・スイッチ装置、30.31・・・
コンピュータ、CI、C2・・・出力制御信号、Ll、
Ll・・・リミット信号、34・・・クロック装置、5
0・・・マイクロプロセッサ、51.52・・・R,A
M、53.54・・・ROM、55・・・入出力装置、
57・・・制御バス、58・・・モニタ回路、60、、
、N OR,ゲート、 61 ・・・ANDゲートs7
o、、。 論理回路、90・・・デジタル/アナログ変換器、91
・・・スイッチ回路、92・・・コンピュータ。 出願人代理人 弁理士 鈴 江 武彦 2 ゼ イギリス国ウェスト・ミツドラ ンズ・ディーワイ69ピービ ー・キンゲスウィンフォード・ ストリーム・ロード・バリーバ ンク(無番地) ・;9発 明 者 ジェームス・ティップトンイギリス
国ウェスト・ミツドラ ンズ・ビー929エルジエイ・ ソリハル・ローウッド・ドライ ブ176
ロック図: 第3図は第2図の構成の一部を形成するコンピュータの
構成図: 第4図は第3図の部分ロジック回路; 第5図は第2図のロジック回路図;および第6図は各コ
ンピュータ構成で実行されるチェック事項を表示するチ
ャートである。 91 M
^八へ0・・・ガスタービンエンジン、13・・・エン
ジン速度選択装置、rs、x6−・・デジタルコンピュ
ータ構成、19・・・スイッチ装置、30.31・・・
コンピュータ、CI、C2・・・出力制御信号、Ll、
Ll・・・リミット信号、34・・・クロック装置、5
0・・・マイクロプロセッサ、51.52・・・R,A
M、53.54・・・ROM、55・・・入出力装置、
57・・・制御バス、58・・・モニタ回路、60、、
、N OR,ゲート、 61 ・・・ANDゲートs7
o、、。 論理回路、90・・・デジタル/アナログ変換器、91
・・・スイッチ回路、92・・・コンピュータ。 出願人代理人 弁理士 鈴 江 武彦 2 ゼ イギリス国ウェスト・ミツドラ ンズ・ディーワイ69ピービ ー・キンゲスウィンフォード・ ストリーム・ロード・バリーバ ンク(無番地) ・;9発 明 者 ジェームス・ティップトンイギリス
国ウェスト・ミツドラ ンズ・ビー929エルジエイ・ ソリハル・ローウッド・ドライ ブ176
Claims (8)
- (1) 主要部がデジタルコンピュータによって制御
され、入力制御信号に応答する装置と、第1および第2
の名目上同一の出た信号を供給する装置の動作条件に応
答する異る第1および第2の制御プログラムによりそれ
ぞれプログラムされた第1および第2の非類似のデジタ
ルコンピュータから成り、前記入力制御信号が通常前記
第1および第2の出力信号から派生し、前記第1および
第2のコンピュータが更にそれぞれ前記第1および第2
の出力信号に対して制限値を発生し、前記第1および第
2の出力信号が所定量だけ各制限値を超えた場合第1お
よび第2の表示信号を供給する第1および第2の異る制
限プログラムでプログラムされたコンピュータ構成と、
前記動作条件のうち選択された条件に応答して第3の出
力信号を供給する第3のコンピュータと、および前記第
1又は第2の表示信号に応答し前記第3の出力信号から
前記入力制御信号を派生するスイッチ手段とで構成され
ることを特徴とする制御システム。 - (2) 前記第1および第2のコンピュータは又前記
制限値を比較し、前記制限値間の差が所定量に達すると
第3の表示信号を発生するようにプログラムされたこと
を特徴とする特許請求の範囲第1項記載の制御システム
。 - (3) 前記第1および第2のコンピュータは又前記
第1および第2の出力信号を比較し、両市力信号間の差
が所定量に達すると、第4の表示信号を発生するように
プログラムされたことを特徴とする特許請求の範囲第2
項記載の制御システム。 - (4)前記スイッチ手段は前記第3および第4の表示信
号に応答し、前記第3のコンピュータから前記入力制御
信号を派生させることを特徴とする特許請求の範囲第3
項記載の制御システム。 - (5) 前記コンピュータ構成を2つ有し、前記一方
のコンピュータ構成からの前記第3および第4の表示信
号のいずれかの信号に応答し、前記他方のコンピュータ
構成から前記人力制御信号を派生させるスイッチ手段を
備えたことを特徴とする特許請求の範囲第3項記載の制
御システム。 - (6)前記コンピュータ構成はタイマ装置を有し、前記
タイマ装置は前記第1および第2コンピユータの動作を
制御するタイム信号を発生し、それにより前記第1制御
プログラムおよび前記第1制限プログラムが協動し、前
記第1プログラムは前記第2プログラムに変更されるこ
とを特徴とする特許請求の範囲第1項記載の制御システ
ム。 - (7)前記第1および第2コンピユータはデータと、前
記制御プログラムおよび前記制限プログラムのための第
1および第2の独立した記憶装置を有し前記記憶装置に
対するアドレスデータの1ビツトが、前記アドレスデー
タが制御プログラムに関するものか又は制限プログラム
に関するものかを示すように前記第1および第2コンピ
ユータがプログラムされ、前記1ビツトを前記タイミン
グ信号と比較し前記1ビツトと前記タイミング信号が一
致しないことを示す第5の表示信号を供給するモニタ回
路を備えたことを特徴とする特許請求の範囲第5項記載
の制御システム。 - (8)前記スイッチ装置は前記第5の表示信号にも応答
することを特徴とする特許請求の範囲第7項記載の制(
i11装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB8216234 | 1982-06-03 | ||
| GB8216234 | 1982-06-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS5917658A true JPS5917658A (ja) | 1984-01-28 |
Family
ID=10530829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP58095905A Pending JPS5917658A (ja) | 1982-06-03 | 1983-06-01 | デジタルコンピユ−タの信号に応答する制御システム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US4590549A (ja) |
| EP (1) | EP0096510B1 (ja) |
| JP (1) | JPS5917658A (ja) |
| DE (1) | DE3377541D1 (ja) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4622667A (en) * | 1984-11-27 | 1986-11-11 | Sperry Corporation | Digital fail operational automatic flight control system utilizing redundant dissimilar data processing |
| GB2172722B (en) * | 1985-03-22 | 1989-06-28 | United Technologies Corp | Backup control system (bucs) |
| AU568977B2 (en) * | 1985-05-10 | 1988-01-14 | Tandem Computers Inc. | Dual processor error detection system |
| US4799159A (en) * | 1985-05-30 | 1989-01-17 | Honeywell Inc. | Digital automatic flight control system with disparate function monitoring |
| DE3522418A1 (de) * | 1985-06-22 | 1987-01-02 | Standard Elektrik Lorenz Ag | Einrichtung zur meldung des belegungszustandes von gleisabschnitten im bereich eines stellwerks |
| GB2185951B (en) * | 1986-02-04 | 1989-07-05 | Rolls Royce | Helicopter rotor and engine control |
| US5701512A (en) * | 1986-03-11 | 1997-12-23 | Canon Kabushiki Kaisha | Data transmission control apparatus for system with input/output units used in common by several CPU's |
| US5297260A (en) * | 1986-03-12 | 1994-03-22 | Hitachi, Ltd. | Processor having a plurality of CPUS with one CPU being normally connected to common bus |
| US6379998B1 (en) * | 1986-03-12 | 2002-04-30 | Hitachi, Ltd. | Semiconductor device and method for fabricating the same |
| JPS62299435A (ja) * | 1986-06-19 | 1987-12-26 | Isuzu Motors Ltd | 異常検出装置付き車両の制御装置 |
| JPS6334298A (ja) * | 1986-07-28 | 1988-02-13 | Tokyo Keiki Co Ltd | 船舶用自動操舵装置 |
| US5128943A (en) * | 1986-10-24 | 1992-07-07 | United Technologies Corporation | Independent backup mode transfer and mechanism for digital control computers |
| DE3639065C2 (de) * | 1986-11-14 | 1997-01-09 | Bosch Gmbh Robert | Verfahren zur Überwachung eines rechnergesteuerte Stellglieder ansteuernden Prozeßrechners |
| JPH0616617B2 (ja) * | 1987-12-07 | 1994-03-02 | 富士通株式会社 | 初期条件設定方法 |
| GB8729901D0 (en) * | 1987-12-22 | 1988-02-03 | Lucas Ind Plc | Dual computer cross-checking system |
| US4890284A (en) * | 1988-02-22 | 1989-12-26 | United Technologies Corporation | Backup control system (BUCS) |
| JPH0721769B2 (ja) * | 1988-08-12 | 1995-03-08 | 日本電気株式会社 | マイクロプロセッサの冗長構成による機能監視方式 |
| GB2228114B (en) * | 1989-02-13 | 1993-02-10 | Westinghouse Brake & Signal | A system comprising a processor |
| DE3923432C2 (de) * | 1989-07-15 | 1997-07-17 | Bodenseewerk Geraetetech | Einrichtung zur Erzeugung von Meßsignalen mit einer Mehrzahl von Sensoren |
| JPH0747460B2 (ja) * | 1990-03-02 | 1995-05-24 | 株式会社日立製作所 | 乗客コンペアの制御装置 |
| US6247144B1 (en) * | 1991-01-31 | 2001-06-12 | Compaq Computer Corporation | Method and apparatus for comparing real time operation of object code compatible processors |
| DE4113959A1 (de) * | 1991-04-29 | 1992-11-05 | Kloeckner Humboldt Deutz Ag | Ueberwachungseinrichtung |
| US5434997A (en) * | 1992-10-02 | 1995-07-18 | Compaq Computer Corp. | Method and apparatus for testing and debugging a tightly coupled mirrored processing system |
| FR2704329B1 (fr) * | 1993-04-21 | 1995-07-13 | Csee Transport | Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires. |
| EP0668552A1 (en) * | 1994-02-18 | 1995-08-23 | Lucas Industries Public Limited Company | Control apparatus |
| JP3210833B2 (ja) * | 1995-05-09 | 2001-09-25 | 株式会社日立製作所 | エラーチェック方法および装置 |
| US5790791A (en) * | 1995-05-12 | 1998-08-04 | The Boeing Company | Apparatus for synchronizing flight management computers where only the computer chosen to be the master received pilot inputs and transfers the inputs to the spare |
| WO1997018502A1 (en) * | 1995-11-14 | 1997-05-22 | Westinghouse Electric Corporation | Apparatus and method for prioritization of multiple commands in an instrumentation and control system |
| US5745539A (en) * | 1995-11-14 | 1998-04-28 | Westinghouse Electric Corporation | Apparatus and method for prioritization of multiple commands in an instrumentation and control system |
| US6199152B1 (en) | 1996-08-22 | 2001-03-06 | Transmeta Corporation | Translated memory protection apparatus for an advanced microprocessor |
| US5905855A (en) * | 1997-02-28 | 1999-05-18 | Transmeta Corporation | Method and apparatus for correcting errors in computer systems |
| DE19743463A1 (de) | 1997-10-01 | 1999-04-08 | Itt Mfg Enterprises Inc | Verfahren zur Fehlerkennung von Mikroprozessoren in Steuergeräten eines Kfz. |
| JP2001107751A (ja) * | 1999-10-05 | 2001-04-17 | Honda Motor Co Ltd | 航空機用ガスタービン・エンジンの制御装置 |
| US6968469B1 (en) | 2000-06-16 | 2005-11-22 | Transmeta Corporation | System and method for preserving internal processor context when the processor is powered down and restoring the internal processor context when processor is restored |
| DE10125650B4 (de) * | 2001-05-25 | 2007-10-04 | Siemens Ag | Steuer-oder Regelverfahren |
| EP1296045A3 (en) * | 2001-09-24 | 2004-07-14 | Goodrich Control Systems Limited | Electronic engine controller |
| DE60223827T2 (de) * | 2001-09-24 | 2009-07-09 | Westinghouse Electric Co. Llc | Schnittstellenmodul für eine gesteuerte komponente |
| EP1296046A3 (en) * | 2001-09-24 | 2004-07-14 | Goodrich Control Systems Limited | Electronic engine controller |
| GB0225649D0 (en) * | 2002-11-04 | 2002-12-11 | Transitive Technologies Ltd | Incremental validation |
| CN100486881C (zh) * | 2003-11-19 | 2009-05-13 | 三菱电机株式会社 | 电梯控制装置 |
| DE102005037242A1 (de) * | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Umschaltung und zum Signalvergleich bei einem Rechnersystem mit wenigstens zwei Verarbeitungseinheiten |
| DE602006007825D1 (de) * | 2006-05-16 | 2009-08-27 | Saab Ab | Fehlertolerantes Steuersystem |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2162093B1 (ja) * | 1971-12-02 | 1977-04-08 | Hitachi Ltd | |
| JPS5831602B2 (ja) * | 1976-02-04 | 1983-07-07 | 株式会社日立製作所 | 二重系制御装置 |
| FR2344063A1 (fr) * | 1976-03-10 | 1977-10-07 | Smiths Industries Ltd | Circuit numerique de commande a deux voies au moins |
| DE2612100A1 (de) * | 1976-03-22 | 1977-10-06 | Siemens Ag | Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik |
| US4358823A (en) * | 1977-03-25 | 1982-11-09 | Trw, Inc. | Double redundant processor |
| US4151590A (en) * | 1977-11-15 | 1979-04-24 | Hokushin Electric Works, Ltd. | Process control system |
| DE2824168C3 (de) * | 1978-06-02 | 1985-11-14 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Einrichtung zur Steuerung von spurgebundenen Fahrzeugen im Zugverband |
| US4200226A (en) * | 1978-07-12 | 1980-04-29 | Euteco S.P.A. | Parallel multiprocessing system for an industrial plant |
| US4344128A (en) * | 1980-05-19 | 1982-08-10 | Frye Robert C | Automatic process control device |
| US4370706A (en) * | 1980-09-26 | 1983-01-25 | The Bendix Corporation | Controller for a dual servo system |
| US4504905A (en) * | 1981-09-05 | 1985-03-12 | Lucas Industries Plc | Digital control system including means for maintaining signals supplied thereby within limiting values |
| GB2105492B (en) * | 1981-09-05 | 1985-03-06 | Lucas Ind Plc | A duplicated computer control system |
-
1983
- 1983-05-25 DE DE8383303003T patent/DE3377541D1/de not_active Expired
- 1983-05-25 EP EP83303003A patent/EP0096510B1/en not_active Expired
- 1983-05-27 US US06/498,860 patent/US4590549A/en not_active Expired - Fee Related
- 1983-06-01 JP JP58095905A patent/JPS5917658A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP0096510B1 (en) | 1988-07-27 |
| EP0096510A3 (en) | 1984-12-27 |
| US4590549A (en) | 1986-05-20 |
| EP0096510A2 (en) | 1983-12-21 |
| DE3377541D1 (en) | 1988-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPS5917658A (ja) | デジタルコンピユ−タの信号に応答する制御システム | |
| US4583224A (en) | Fault tolerable redundancy control | |
| US4276593A (en) | Transfer system for multi-variable control units | |
| US5794167A (en) | Microprocessor based reliability system applicable, in particular, to the field of rail transport | |
| CA1130425A (en) | Digital remote control system | |
| US5067080A (en) | Digital control system | |
| EP0164421B1 (en) | Programmable controller | |
| US4965714A (en) | Apparatus for providing configurable safe-state outputs in a failure mode | |
| US5033050A (en) | Operation control system | |
| EP0403168B1 (en) | System for checking comparison check function of information processing apparatus | |
| JPS6321929B2 (ja) | ||
| EP0184639A2 (en) | Test system for keyboard interface circuit | |
| US4066883A (en) | Test vehicle for selectively inserting diagnostic signals into a bus-connected data-processing system | |
| US5230046A (en) | System for independently controlling supply of a clock signal to a selected group of the arithmetic processors connected in series | |
| JP2885800B2 (ja) | 二重系処理装置 | |
| KR20020064041A (ko) | 삼중화 제어장치의 직렬통신을 이용한 출력장치와 그제어방법 | |
| JPH11143790A (ja) | 制御信号入出力装置 | |
| JPS60167547A (ja) | 信号伝送装置 | |
| JP2710777B2 (ja) | 中間制御装置のテスト回路 | |
| JPS5890201A (ja) | 三重系プロセス入出力装置 | |
| JPH08292894A (ja) | ディジタル制御装置 | |
| JPS62229302A (ja) | デジタル制御装置 | |
| JPS63177202A (ja) | 多重化制御装置のデ−タ転送装置 | |
| JPH02173852A (ja) | バス診断装置 | |
| JPH04257931A (ja) | 計算機システム |