DE60316016T2 - Hochintegre systemarchitektur mit einer schnellen wiederherstellung der digitale computerplatform - Google Patents

Hochintegre systemarchitektur mit einer schnellen wiederherstellung der digitale computerplatform Download PDF

Info

Publication number
DE60316016T2
DE60316016T2 DE60316016T DE60316016T DE60316016T2 DE 60316016 T2 DE60316016 T2 DE 60316016T2 DE 60316016 T DE60316016 T DE 60316016T DE 60316016 T DE60316016 T DE 60316016T DE 60316016 T2 DE60316016 T2 DE 60316016T2
Authority
DE
Germany
Prior art keywords
redundant
units
process units
control
system architecture
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60316016T
Other languages
English (en)
Other versions
DE60316016D1 (de
Inventor
Richard Glendale HESS
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell International Inc
Original Assignee
Honeywell International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell International Inc filed Critical Honeywell International Inc
Publication of DE60316016D1 publication Critical patent/DE60316016D1/de
Application granted granted Critical
Publication of DE60316016T2 publication Critical patent/DE60316016T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0055Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements
    • G05D1/0077Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements using redundant signals or controls

Description

  • Erfindungsgebiet
  • Diese Anmeldung betrifft im Allgemeinen Steuerungssysteme und insbesondere eine Steuerungssystemarchitektur, die redundante Prozesseinheiten verwendet, welche mit schnellen Wiederherstellungseinheiten konfiguriert sind.
  • Allgemeiner Stand der Technik
  • Steuerungssysteme, die Digitalrechner enthalten, werden seit einigen Jahren eingesetzt. In verschiedenen Anwendungen dieser rechnergestützten Steuerungssysteme ist es sehr wichtig, die Integrität der durch die Digitalrechner erzeugten Daten zu bewahren, weil der Verlust von Daten einen Verlust eines großen Geldbetrages oder sogar einen Verlust an Leben nach sich ziehen könnte. Beispiele kritischer Anwendungen können in der Industrie, Raumfahrt, Medizin, wissenschaftlichen Forschung und in anderen Bereichen gefunden werden.
  • In 1 ist ein herkömmliches Steuerungssystem dargestellt, das für den Einsatz in hochintegren Anwendungen geeignet ist. Wie aus der herkömmlichen Steuerungstheorie bekannt ist, ist ein System von Rechnereinheiten für eine Anlage üblicherweise derart ausgestaltet, dass das entstehende System mit einem geschlossenen Regelkreis eine Stabilität, Niederfrequenz-Befehlsbefolgung, Niederfrequenz-Störungsunterdrückung und Hochfrequenz-Rauschdämpfung aufweist. Die Anlage ist irgendein Objekt, Prozess oder ein anderer Parameter, der zum Steuern geeignet ist, wie z.B. ein Flugzeug, Raumfahrzeug, eine medizinische Ausrüstung, elektrische Leistungserzeugung, industrielle Automatisierung, ein Ventil, Erhitzer, Bedienglied oder ein anderes Gerät.
  • Das System von Rechnereinheiten kann irgendein analoges oder digitales Gerät sein, das eine Steuerung für das Verhalten der Anlage bereitstellt, innerhalb festgelegter Kriterien zu liegen. Die Ausgabe des Systems von Rechnereinheiten (die durch den Vektor Oc(k) dargestellt wird) wird der Anlage in Verbindung mit irgendwelchen externen Befehlen (die durch den Vektor C(k) dargestellt werden) zweckentsprechend bereitgestellt, und ein Ausgabevektor (Op(k)), welcher dem Leistungsverhalten der Anlage entspricht, wird dem System von Rechnereinheiten als ein Regelkreis-Rückkopplungssignal bereitgestellt. 1 zeigt auch einen Vektor von Fehlereingaben (E(k)), die in einem Summationsprozess des Ausgabevektors Oc(k) des Systems von Rechnereinheiten und des externen Befehlsvektors abgeleitet werden, welcher üblicherweise Anlagenanpassungen zur Folge hat.
  • Zum Beispiel sind im Bereich der Luft- und Raumfahrt die digitalen Steuerungssysteme häufig zwischen den Piloten und die Flugsteuerungsflächen eines Flugzeugs geschaltet. Derartige Einheiten können zum Beispiel Fly-by-wire-, Autopilot- und Autoland-Systeme einschließen. In einem Fly-by-wire-System werden die Position und die Bewegungen der Steuerungen eines Piloten elektronisch durch Sensoren gemessen und einem Rechnersystem übermittelt, statt dass die Steuerungen eines Piloten mechanisch (z.B. über Seile oder hydraulische Anlagen) an die verschiedenen primären Flugsteuerungsflächen des Flugzeugs (wie z.B. die Querruder, Höhenleitwerke und das Steuerruder) gekoppelt werden. Das Rechnersystem sendet normalerweise elektronische Steuersignale an die Bedienglieder der verschiedenen Typen, die an die primären Flugsteuerungsflächen des Flugzeugs gekoppelt sind. Die Bedienglieder sind üblicherweise konfiguriert, eine oder mehrere Steuerungsflächen nach den Eingaben, die durch einen Piloten bereitgestellt werden, oder in Reaktion auf eine Rückkopplung, die durch einen Sensor am Flugzeug gemessen wird, zu bewegen. Ein Ausfall des Steuerungssystems könnte dann katastrophale Auswirkungen auf das gesteuerte Flugzeug haben. Auf die gleiche Weise können industrielle, medizinische und andere Systeme durch bestimmte Steuerungssystemausfälle ernsthaft beeinträchtigt werden.
  • Herkömmliche Rechnereinheiten, die in Steuerungssystemen anzutreffen sind, können mit verschiedenen Typen von Ausfällen oder Störungen konfrontiert werden. Eine „harte Störung" ist ein Störungszustand, der üblicherweise durch einen bleibenden Ausfall der analogen oder digitalen Schaltung erzeugt wird. Im Gegensatz dazu wird eine „weiche Störung" für eine digitale Schaltung gewöhnlich durch eine vorübergehende Erscheinung hervorgerufen, die einige Digitalschaltungs-Rechnerelemente beeinflussen kann, was eine Unterbrechung der Berechnung zur Folge hat, aber den nachfolgenden Betriebsablauf der Schaltung nicht dauerhaft schädigt oder verändert. Weiche Störungen können durch elektromagnetische Felder verursacht werden, die durch Hochfrequenzsignale erzeugt werden, welche sich durch das Rechnersystem hindurch ausbreiten. Zum Beispiel können weiche Störungen auch das Ergebnis störender intensiver elektromagnetischer Signale sein, wie sie z.B. von einem Blitz verursacht werden, der elektrische Ausgleichsvorgänge an den Systemleitungen und Datenbussen induziert, welche sich zu den inneren digitalen Schaltungen hin ausbreiten, wobei sie Signalspeicher in fehlerhafte Zustände versetzen. Außerdem können auch Radarimpulse und die mit elektromagnetischen Impulsen ("EMP") verknüpften intensiven Felder weiche Störungen verursachen. Ferner können hochenergetische atomare Teilchen (aus einer Anzahl von Quellen, z.B. atmosphärische Neutronen, kosmische Strahlung, Waffendetonationen usw.) ausreichend Energie in das Volumenhalbleitermaterial eines digitalen Geräts einbringen, um die elektronischen Schaltkreise in fehlerhafte Zustände zu versetzen. Mit dem Aufkommen der kleinerem integrierten Schaltkreise, die bei höheren Geschwindigkeiten betrieben werden, werden weiche Störungen üblicher, so zum Beispiel in der Strahlungsumgebung, die von einem Flugzeug angetroffen wird, das sich in großen Höhen bewegt. In einer derartigen Umgebung können die Rechnereinheiten, die digitale Geräte vom Stand der Technik enthalten, empfindlicher gegenüber einem Ausfall sein.
  • Ein durch weiche Störungen erzeugtes fehlerhaftes Ergebnis kann oft durch Neustart des Rechners (d.h. durch Abschalten und erneutes Einschalten, um eine Einschalt-Selbstüberprüfung zu veranlassen) entschärft werden. Ein derartiges Verfahren sollte dazu führen, dass der Rechner seine Arbeit richtig wieder aufnimmt. In digitalen Rechnersystemen, die zum Steuern kritischer Funktionen verwendet werden, wie z.B. in Rechnersystemen, die in Flugzeugen und anderen Luft- und Raumfahrzeugen verwendet werden, in denen die Zustandsvariablen (z.B. Steuerungs- und logische Variable) und andere Parameter durch ein herkömmliches Neustartverfahren nicht einfach wiederherstellbar sein müssen, braucht ein Neustart jedoch nicht immer zur Verfügung zu stehen. Eine Steuerungszustandsvariable in einer Bordelektronikeinstellung ist gewöhnlich ein berechneter Parameter, der über einen Zeitabschnitt ausgebildet worden ist und der deshalb eine zugehörige Geschichte aufweist, die auf Sensor- oder anderen Daten beruht. Derartige Variablen werden üblicherweise über ein langfristiges Manövrieren oder Steuern der Anlage entwickelt. Der Verlust der Steuerungszustandsvariablen, der mit dem Ausführen flugkritischer Funktionen verbunden ist, kann gefährlich sein. Zum Beispiel kann der Verlust von Steuerungszustandsvariablen während des Ablaufs einer Landung eine unvorhersehbare Systemreaktion erzeugen, die ein ernsthaftes Fehlverhalten des Flugzeugs ergeben könnte. Außerdem kann ein Neustartverfahren zum Ausführen eine unerwünscht große Zeitspanne benötigen, was somit zu einem Verlust oder einer Verminderung der Anlagensteuerung führt, wenn das System neu startet.
  • In der Vergangenheit wurden bei einem Versuch zur Verringerung der Einflüsse von Störungen in kritischen Systemen verschiedene Formen der Redundanz verwendet. Zum Beispiel können innerhalb eines Rechnersystems mehrere Prozesseinheiten verwendet werden. Wenn zum Beispiel in einem System mit drei Prozesseinheiten von einem Prozessor festgestellt wird, dass er eine Störung erfährt, dann kann dieser Prozessor isoliert und/oder abgeschaltet werden. Die Störung kann durch richtige Daten (wie z.B. die aktuellen Werte von verschiedenen Steuerungszustandsvariablen) behoben werden, die von den verbleibenden Prozessoren in die isolierte Einheit übertragen (oder "übergeben") werden. Wenn die Störungen in der isolierten Einheit behoben sind, dann kann die Prozesseinheit zusammen mit den anderen beiden Prozesseinheiten in das Rechnersystem wieder eingegliedert werden. Dieser Prozess kann als ein "Wiederherstellungs"-Prozess bezeichnet werden. Andere Verfahren, die verwendet werden, den kontinuierlichen Betrieb von Steuerungssystemen sicherzustellen, schließen die Verwendung der nicht ähnlichen Technologie, der nicht ähnlichen Berechnungsredundanz, der dezentralen Berechnungsredundanz, des Ausgleichens und der Mittelwertabstimmung ein. Jedes dieser Verfahren erfordert jedoch im Allgemeinen, dass mindestens eine Prozesseinheit zu allen Zeiten funktionsfähig bleibt, um die Zustandsvariablen zu bewahren. Das oben beschriebene System kann zwar funktionsfähig bleiben, wenn alle außer einer Prozesseinheit einer weichen Störung ausgesetzt sind und die richtig arbeitende Einheit identifiziert werden kann, wenn aber alle Prozessoren gleichzeitig weichen Störungen ausgesetzt sind, wird das System nicht richtig arbeiten. Ebenso wird sich das System nicht wiederherstellen, wenn eine einzelne richtig arbeitende Einheit innerhalb des System nicht identifiziert werden kann, da es keine identifizierbare Betriebseinheit mit richtigen Werten für alle Zustandsvariablen geben würde, die auf die übrigen Einheiten zu übertragen sind. Außerdem kann die Systemwiederherstellung wegen der Übertragung von Zustandsvariablen von anderen Prozesseinheiten relativ langsam vonstatten gehen. Es kann deshalb mehrere Berechnungsrahmen (welche die Größenordnung von einer halben Sekunde oder länger in Anspruch nehmen) für alle Prozesseinheiten innerhalb des Systems beanspruchen, um den normalen Betrieb wiederzuerlangen. In der Zwischenzeit ist die redundante Steuerung unerwünscht verlorengegangen oder herabgemindert worden.
  • Deshalb gibt es einen Bedarf an einem effizienteren System und Verfahren für den Wiederausgleich von Prozessorstörungen (wie z.B. weichen Störungen) innerhalb eines Steuerungssystems. Insbesondere wäre es erwünscht, über ein effizienteres System und Verfahren zu verfügen, das in einer Kopplung (durch den Einsatz der Mittelwertabstimmung und des Ausgleichens) von mehreren Prozesseinheiten mit der Fähigkeit zur schnellen Wiederherstellung derart besteht, dass die effektive Redundanz selbst dann bewahrt werden kann, wenn weiche Störungen auftreten.
  • EP000291863 offenbart ein System und Verfahren zum Wiederherstellen eines Steuerungssystems, welches ein System von Rechnereinheiten mit einer Vielzahl von redundanten Prozesseinheiten umfasst.
  • Li Zhaohui u.a. offenbaren in "Fault tolerance aspects of highly reliable microprocessor-based water turbine governor", IEE Transactions of Energy Conversion, Bd. 7, Nr. 1 (1992-03-01) die Entwicklung eines in hohem Maße zuverlässigen störungstoleranten Reglers auf Mikroprozessorbasis.
  • Gemäß der vorliegenden Erfindung wird eine Steuerungssystemarchitektur für das Steuern einer Anlage bereitgestellt, wobei die Steuerungssystemarchitektur umfasst:
    ein System von Rechnereinheiten, das eine Vielzahl von redundanten Prozesseinheiten aufweist, wobei jede aus der Vielzahl der redundanten Prozesseinheiten konfiguriert ist, mindestens eines aus einer Vielzahl von redundanten Positionssignalen für die Anlage zu erzeugen, und dadurch gekennzeichnet ist, dass:
    jede aus der Vielzahl der redundanten Prozesseinheiten konfiguriert ist, eine schnelle Wiederherstellung selbst einzuleiten; und
    ein Bedienglied-Adapter an das System von Rechnereinheiten angekoppelt und konfiguriert ist, jedes aus der Vielzahl der redundanten Positionssignale zu empfangen, um einen Mittelwert für die Vielzahl von redundanten Positionssignalen zu berechnen und die schnelle Wiederherstellung in einer aus der Vielzahl der redundanten Prozesseinheiten abzufordern, wenn die Differenz zwischen dem Positionssignal, das durch eine aus der Vielzahl der redundanten Prozesseinheiten erzeugt wurde, und dem berechneten Mittelwert einen Schwellwert überschreitet.
  • Durch das Einbeziehen von Rechnereinheiten-Prozesseinheiten mit der Fähigkeit zur schnellen Wiederherstellung verwenden die verschiedenen Ausführungsformen der Erfindung Verfahren, wie z.B. Mittelwertabstimmung, Ausgleichen und ähnliches, um den Nutzen aus der für das Steuerungssystem verfügbaren Redundanz zu maximalisieren, so dass sich ein stabileres und zuverlässigeres System ergibt. Das Steuerungssystem kann auch einen Adapter enthalten, der die Stellglied-Steuerungssignale, welche durch die Prozesseinheiten innerhalb des Systems der Rechnereinheiten erzeugt werden, an ein Bedienglied oder ein anderes Gerät ankoppelt. Der Adapter kann konfiguriert sein zu erkennen, wenn die Leistungsfähigkeit (z.B. die Leistungsfähigkeit der Operatorbefehlseinheit) der Prozesseinheiten, z.B. entweder in den ersten oder zweiten Rechnereinheiten, eine Störung anzeigt, und eine schnelle Wiederherstellung der Prozesseinheit (innerhalb der Rechnereinheit) und gegebenenfalls anderer Einheiten, die von der Störung betroffen sind (so z.B. Sensoreinheiten und/oder Operatorbefehlseinheiten), einzuleiten. Außerdem können die Prozesseinheiten in den ersten oder zweiten Rechnereinheiten konfiguriert sein, weiche Störungen nachzuweisen und eine schnelle Wiederherstellung ohne eine Eingabe vom Adapter einzuleiten. Ein "schneller Wiederherstellungs-" oder "kurzfristiger Wiederherstellungs-" Prozess ist ein Prozess, der eine Rückkehr einer Prozesseinheit zur Funktionsfähigkeit in einem relativ kurzen Zeitabschnitt, wie z.B. innerhalb eines Berechnungsrahmens, ermöglicht. Darüber hinaus kann eine derartige Wiederherstellung unabhängig sein von übertragenen Daten, die von anderen redundanten Rechnern zur Verfügung gestellt werden. Zusätzlich zur schnellen Wiederherstellung von Prozesseinheiten gegenüber weichen Störungen erreicht eine beispielhafte Systemarchitektur eine "transparente" Wiederherstellung von Prozesseinheiten gegenüber weichen Störungen derart, dass die volle Systemredundanz wieder aufgebaut werden kann. Mit anderen Worten hat die Wiederherstellung einer einzelnen Prozesseinheit oder gegebenenfalls Sensor- oder Befehlseinheit keinen nachteiligen Einfluss auf den Betrieb des Steuerungssystems und somit auf die Steuerungsfunktion. Die verschiedenen mit dieser Erfindung verbundenen Rechnersysteme können auch zusätzliche Vorteile bereitstellen, wie z.B.: ein hochintegrer Störungsnachweis; eine Überwachung der Position des Bedienglieds und der Position des Steuerungs-Stellglieds, wobei die Überwachungsschwellwerte in der Zeit/Größe angepasst werden können; einen Stellglied-Positionsabgleich und/oder eine schnelle Redundanzwiederherstellung (einschließlich der nicht ähnlichen Hardware oder Software) gegenüber weichen Störungen. Darüber hinaus kann ein zugehöriges Steuerungssystem Prozesseinheiten mit einer analytischen Redundanz als ein zusätzliches Störungstoleranzelement enthalten.
  • Kurzbeschreibung der Zeichnungen
  • Ein umfassenderes Verständnis der vorliegenden Erfindung kann durch Bezugnahme auf die ausführliche Beschreibung und die Ansprüche erhalten werden, wenn sie in Verbindung mit den Figuren betrachtet werden, wobei gleiche Bezugsziffern überall in den Figuren auf ähnliche Elemente verweisen und:
  • 1 ein konzeptionelles Überblicks-Blockdiagramm einer Steuerungsfunktion ist und
  • 2 ein Blockdiagramm eines Beispiels für eine Steuerungssystemarchitektur ist, die eine Steuerungsfunktionsimplementierung bereitstellt.
  • Ausführliche Beschreibung von Ausführungsbeispielen
  • Entsprechend den verschiedenen Ausführungsbeispielen der Erfindung enthält eine Steuerungssystemarchitektur geeignet die ausreichende Berechnungsredundanz und das Steuerungsbefehlsmanagement, um einen gestörten Prozessor entweder zu isolieren und wiederherzustellen oder alle Prozesseinheiten des redundanten Systems ohne nachteilige Effekte wiederherzustellen. Die Berechnungsredundanz kann mit mehreren Prozessoren oder Prozesseinheiten innerhalb eines Rechners oder einer Rechnerplattform bereitgestellt werden. Zusätzlich zum Isolieren und Wiederherstellen gegenüber inneren Störungen ermöglichen es verschiedene Ausführungsformen, dass die Prozesseinheiten Störungen in anderen Systemelementen, wie z.B. Sensoren, Adaptern, Bediengliedern und/oder Stellgliedern nachweisen. Weitere Ausführungsformen können auch eine oder mehrere Bedienglied-Adaptereinheiten enthalten, welche durch den Nachweis von nachteiligen Fehlern die Störungen in anderen Systemkomponenten (welche zusätzlich zu den Prozesseinheiten vorhanden sind) nachweisen und getrennte Anweisungen ausgeben, um eine Wiederherstellung auszulösen. In einigen Ausführungsformen wird die Prozessorwiederherstellung innerhalb eines Berechnungsrahmens ausgeführt, und die Redundanzwiederherstellung wird innerhalb eines oder zweier Berechnungsrahmen oder anderweitig in einem Zeitabschnitt ausgeführt, der kurz genug ist, so dass, wenn überhaupt, nur minimale Auswirkungen auf das Leistungsverhalten des Systems auftreten.
  • Verschiedene Ausführungsformen der vorliegenden Erfindung können hier in der Form verschiedener Architekturelemente und verschiedener Prozessschritte beschrieben werden. Es sollte anerkannt werden, dass derartige Elemente durch eine beliebige Zahl von Hardware- oder Strukturkomponenten realisiert werden können, die konfiguriert sind, spezielle Betriebsschritte auszuführen. Derartige allgemeine Anwendungen, welche durch Fachleute angesichts der vorliegenden Offenlegung eingeschätzt werden können, werden hier nicht ausführlich beschrieben. Ausführungsbeispiele der vorliegenden Erfindung werden hier nur zum Zwecke der Veranschaulichung häufig in Verbindung mit der Flugzeug-Bordelektronik dargestellt. Die Erfindung ist jedoch nicht so eingeschränkt, und die hier offenbarten Konzepte und Vorrichtungen können in einer beliebigen Steuerungsumgebung verwendet werden. Obwohl verschiedene Komponenten an andere Komponenten innerhalb der beispielhaften Systemarchitekturen angekoppelt oder angeschlossen sein können, sollte ferner angemerkt werden, dass derartige Anschlüsse und Kopplungen durch direkte Verbindung zwischen den Komponenten oder durch eine Verbindung über andere Komponenten oder Vorrichtungen, die dazwischen angeordnet sind, realisiert werden können. Eine beispielhafte Steuerungssystemarchitektur enthält geeignet mehrere Prozessoren, von denen jeder konfiguriert ist, sich bei verschiedenen Störungen schnell wiederherzustellen. Der Begriff "schnelle Wiederherstellung" zeigt an, dass die Wiederherstellung in einem sehr kurzen Zeitabschnitt geschehen kann. Wie er hier verwendet wird, ist ein "Berechnungsrahmen" die Zeit, die eine spezielle Prozesseinheit benötigt, um eine sich wiederholende Aufgabe einer Berechnung auszuführen, z.B. die Aufgaben, die kontinuierlich berechnet werden müssen, um den Betrieb der gesteuerten Anlage aufrechtzuerhalten. Die Länge eines Berechnungsrahmens hängt von der Stabilität der Anlage, die gesteuert wird, ab. In der Luftfahrtindustrie sind zum Beispiel Düsenjäger weniger stabil als größere Passagierdüsenflugzeuge. Um das Beispiel fortzusetzen, kann ein Düsenjäger alle zwei Millisekunden rechnerische Aktualisierungen benötigen, um die Stabilität aufrechtzuerhalten, während ein stabileres Flugzeug eine rechnerische Aktualisierung nur etwa alle zweihundert Millisekunden benötigen kann, um den gleiche Stabilitätsgrad aufrechtzuerhalten. Somit kann ein Berechnungsrahmen in einem Düsenjäger zwei Millisekunden lang sein, während ein Berechnungsrahmen für ein Passagierdüsenflugzeug zweihundert Millisekunden lang sein kann. Um den Betrieb eines Steuerungssystems aufrechtzuerhalten, ist es im Allgemeinen erwünscht, dass eine Wiederherstellung gegenüber einer weichen Störung etwa in einem oder zwei Berechnungsrahmen stattfindet. Eine Wiederherstellung in einem Zeitabschnitt, welcher die Steuerungsfunktionsleistung nicht nachteilig beeinflusst, wird hier als "im Wesentlichen momentan" bezeichnet, selbst wenn eine solche Wiederherstellung nicht in einem einzigen oder doppelten Zeitrahmen stattfindet.
  • Die Fähigkeit eines Prozessors, eine Wiederherstellung gegenüber einer weichen Störung zu veranlassen, ermöglicht es verschiedenen Ausführungsformen der vorliegenden Erfindung, zur Wiederherstellung des Systems als ganzes beizutragen. Außerdem können weiche Störungen in demselben Berechnungsrahmen (oder innerhalb mehrerer Rahmen) nachgewiesen werden, in welchem die Störungen auftreten. In den Ausführungsformen, in denen die Störungen innerhalb eines einzelnen Berechnungsrahmens nachgewiesen werden, braucht jeder Prozessor für den Einsatz zum Zwecke der Wiederherstellung nur die Daten der Steuerungs- und Logikzustandsvariablen für den unmittelbar vorhergehenden Rahmen zu speichern, was im Wesentlichen momentan erfolgen kann. Dementsprechend wird die Abhängigkeit einer jeden Komponente von anderen redundanten Komponenten geeignet reduziert. Verschiedene Ausführungsformen können auch einen oder mehrere Adapter enthalten, welche das System der Rechnereinheiten an die Steuerungsstellglieder ankoppeln. Die Adapter können konfiguriert sein zu erkennen, ob verschiedene Rechnerelemente richtig arbeiten, indem sie zum Beispiel bestimmen, ob die Ausgabe einer Rechnerstufe innerhalb vorgegebener Toleranzen liegt. In einer Ausführungsform, die zum Beispiel in Flugzeugsystemen verwendet wird, können die Prozesseinheiten verwendet werden, den Steuerungsstellgliedern auf Basis der Eingabedaten von einem Operator (Mensch) und der Daten von Sensoren Positionsbefehle zu erteilen. Da die Positionsbefehle in den Adaptern kombiniert und überwacht werden, die mit den verschiedenen Bediengliedern verbunden sind, welche ihrerseits an die Steuerungsstellglieder (z.B. die Flugsteuerungsflächen) gekoppelt sind, kann die Bewegung des Steuerungsstellglieds oder (für eine bessere Störungsisolation in der Bedienungsstufe) des Bedienglieds und des Stellglieds in einer Prozesseinheit überwacht werden (unter Verwendung der Bedienglied- und/oder Stellglied-Positionsdaten, um zu bestimmen, ob die Bedienungseinheiten die Steuerungsstellglieder in die richtigen Positionen bewegt haben).
  • Mit Bezugnahme auf 2 enthält eine beispielhafte Steuerungssystemarchitektur 200 geeignet ein System von Rechnereinheiten 108, die über einen Bedienglied-Adapter 110 mit einer Anlage 240 kommunizieren und Eingaben von einer Sensorgruppe 102 und/oder Anlagenanpassungsbefehle über den Sensor-Adapter 106 von einem Operator (Pilot usw.) 104 empfangen. Das System von Rechnereinheiten enthält zwei oder mehr Rechnereinheiten, welche Prozesseinheiten aufweisen. Das System von Rechnereinheiten 108 entspricht allgemein der Steuereinheit und dem Summierer, die in 1 dargestellt sind.
  • In einem Ausführungsbeispiel der vorliegenden Erfindung umfasst das System 201 im Wesentlichen alle Komponenten von 2 außer der Anlage 240. Die Anlage 240 ist ein Gerät, das fähig ist, durch die Steuereinheit und Fehlerableitungsprozesse (System von Rechnereinheiten) von 108 gesteuert zu werden, wie z.B. ein Flugzeug, ein Raumschiff, eine industrielle Ausrüstung oder ein Prozess, eine Ausrüstung zur Elektroenergieerzeugung, eine medizinische Ausrüstung oder Vorrichtung, ein Ventil oder dergleichen. Die Schnittstelle zwischen dem Ausgang des Systems von Rechnereinheiten 108 und der Anlage 240 enthält geeignet einen Bedienglied-Adapter 110 und Bedienglieder 112, 114 und anderes Gerät, das zum Betätigen eines oder mehrerer Steuerungsstellglieder 116, 118 in der Lage ist, um eine Reaktion durch die Anlage 240 herbeizuführen. Der Bedienglied-Adapter 110 ist ein beliebiges digitales oder analoges Prozessgerät, das in der Lage ist, eine Schnittstelle zwischen dem System der Rechnereinheiten 108 und den Bediengliedern 112, 114 herzustellen. In verschiedenen Ausführungsformen stellt der Bedienglied-Adapter 110 geeignet die Abstimmung und Auswahl eines Mittelwertes, die Datenverdichtung und/oder Wiederherstellungstrigger – wie es zweckmäßig ist – bereit, wie ausführlicher nachfolgend erläutert wird. Das System von Rechnereinheiten 108 ist ein beliebiges digitales Steuerungsgerät, wie z.B. ein digitaler Rechner oder eine Rechnereinheit, die einen oder mehrere Prozessoren 202, 204 aufweist. In einem Ausführungsbeispiel ist das System von Rechnereinheiten 108 eine digitale Rechnerumgebung, welche mehrere Rechnereinheiten 202, 204 einschließt, um eine Redundanz bei der Abarbeitung bereitzustellen. Jede Rechnereinheit, z.B. die Einheit 202 oder die Einheit 204, enthält geeignet eine oder mehrere Prozesseinheiten 243, die zum Ausführen verschiedener Softwareprozesse in der Lage sind. In dem dargestellten Ausführungsbeispiel ist jede Rechnereinheit (202 oder 204) derart in mehrere Prozesseinheiten 243 unterteilt, dass jede Rechnereinheit (202 oder 204) zum Ausführen von mehreren, jedoch gleichzeitigen Prozessen in der Lage ist. Jede Prozesseinheit 243 enthält ihren eigenen Betriebssystemkern und/oder einen zugeordneten Anteil der Systemressourcen (z.B. Plattenbereich, Speicher, Prozessorzeit usw.) In verschiedenen Ausführungsformen geht das System von Rechnereinheiten 108 geeignet mit den Bedieneinheit- und den Flächenpositionsmonitoren, dem Flächenpositionsausgleich, der Schnellwiederherstellung, dem Redundanzmanagement sowie beliebigen geeigneten Wiederherstellungstriggern um. Obwohl in der Figur dargestellt ist, dass das System von Rechnereinheiten 108 zwei Rechnereinheiten aufweist, von denen jede drei Prozesseinheiten 243 aufweist, könnte in alternativen Ausführungsformen eine beliebige Anzahl von Prozesseinheiten 243 vorgesehen sein, wobei jede Prozesseinheit 243 eine beliebige Anzahl von Prozessen unterstützt. Im Betrieb nimmt das System von Rechnereinheiten 108 geeignet eine Rückkopplung von den Sensoren 102 und/oder den Anlagenanpassungsbefehlsanweisungen 104 von einem menschlichen Operator über den Sensoradapter 106 entgegen. Die Sensoren 102 enthalten geeignet eine beliebige Anzahl von Gyroskopen, Fahrzeugpositionssensoren, Luftstromsensoren, Temperatursensoren und/oder anderen Messgeräten, wie es für die jeweilige Ausführung zweckmäßig sein kann. Ebenso können die Anlagenanpassungsbefehle 104 beliebige Anweisungen von Piloten, Operatoren, der Fernsteuerung oder anderen Quellen von Anweisungen enthalten. Der Sensoradapter 106 empfängt und verdichtet geeignet die Daten aus den Sensoren 102 und die Befehle 104, um eine Schnittstelle zu dem System von Rechnereinheiten 108 herzustellen, wie es zweckmäßig ist. Der Sensoradapter 106 kann auch eine Sensorbrauchbarkeitsüberwachung bereitstellen, um sicherzustellen, dass der Sensor aktiv bleibt, und er kann einen anderen Funktionsumfang bereitstellen, wie es zweckmäßig ist. Jeder der Sensoren 102 kann wahlweise Schnellwiederherstellungselemente enthalten, wenn sie verfügbar und für die jeweilige Ausführung erwünscht sind.
  • Dem System von Rechnereinheiten 108 werden Rückkopplungsregelungseingaben von den Sensoren 102 (welche dem Anlagenausgabevektor Op(k) in 1 entsprechen) und Befehle 104 (welche dem Befehlsvektor C(k) in 1 entsprechen) zweckdienlich bereitgestellt. Die Daten können über einen Bus, ein Netzwerk oder ein anderes Kommunikationsmedium jeder Rechnereinheit 202, 204 bereitgestellt werden. Jede Rechnereinheit 202, 204 stellt ihrerseits die entsprechenden Daten jeder Prozesseinheit 243 zur Verfügung, von denen jede als eine separate abgeteilte Prozesseinheit arbeitet, wie es zweckmäßig ist. In einer IMA-Plattform würden zum Beispiel verschiedene Softwareabteilungen, von denen jede eine anders geartete Funktion für das Flugzeug bereitstellt, auf einem einzigen Abschnitt der digitalen Hardware ausgeführt werden. Dementsprechend kann jeder Datensatz von den redundanten Sensor- und Befehlsdatensätzen gleichzeitig in mehreren isolierten Prozesseinheiten 243 bearbeitet werden, um ein System von Rechnereinheiten 108 für die Anlage 240 bereitzustellen. Jede Prozesseinheit 243 stellt geeignet ein oder mehrere Elemente eines Fehlervektors E(k) (1) für ein Bedienglied-Adapter 110 bereit, der ein Stellglied 116, 118 steuert, welches seinerseits die Ausgaben der Anlage 240 für die Anlagensteuerung veranlasst. In dem System von Rechnereinheiten 108 wird der Fehlervektor E(k) aus dem Befehlsvektor 104 und dem Steuerungsvektor Oc(k) abgeleitet (1). In einer alternativen Ausführungsform können der Bedienglied-Adapter 110 und/oder der Sensor-Adapter 106 zweckmäßigerweise physisch oder logisch in das System von Rechnereinheiten 108 und/oder das Bedienglied 112, 114 integriert sein, oder die Architektur kann auf andere Weise in Abhängigkeit von der gewünschten speziellen Ausführungsform verändert sein.
  • Der Bedienglied-Adapter 110 empfängt geeignet die mehrfachen parallelen Steuerungssignale von den Prozesseinheiten 243 und erzeugt eine entsprechende Steuerungsausgabe an das Bedienglied 112 als eine Funktion der parallelen Signale. Mit anderen Worten kann ein Bedienglied-Adapter 110 konfiguriert sein, ein einziges Ausgangssignal auf der Basis von mehreren ähnlichen Eingaben zu erzeugen, um eine geeignete Positionsbefehlsausgabe an ein Bedienglied zu senden. Wenn der Bedienglied-Adapter 110 nachweist, dass eine der Prozesseinheiten 243 keine Signale, die innerhalb bestimmter Toleranzen liegen, liefert, dann kann der Bedienglied-Adapter 110 konfiguriert werden, ein Signal an die in Frage kommende Rechnereinheit zu übermitteln, um den Start eines Schnellwiederherstellungszyklus für diese Prozesseinheit und auch, wenn es zweckmäßig ist, für eine Sensoreinheit usw. abzufordern. Ein Verfahren zur Berechnung der Steuerungsausgabe schließt das Berechnen eines "Mittelwertes" ein, wobei die Signale von den Prozessen 243 verwendet werden, um einen Durchschnitt und/oder Median aller erzeugten Werte zu berechnen. Dieser Mittelwert wird dann mit jedem Signal aus jedem Prozess 243 verglichen. Liegt eine Unstimmigkeit zwischen irgendeinem speziellen Wert, der auf irgendeinem Wege 243 erzeugt wurde, und dem Durchschnitt und/oder Median aller Werte (d.h. den "Mittelwerten") vor, dann weist der Bedienglied-Adapter 110 geeignet nach, dass ein Fehlerzustand vorliegt, und signalisiert den entsprechenden Prozesseinheiten 243, Messeinheiten usw., dass sie einen Schnellwiederherstellungszyklus einleiten. Die Unstimmigkeit gegenüber den Mittelwerten kann auf irgendeinem Toleranzwert beruhen, der seinerseits auf der Basis gewünschter Bedingungen angepasst sein kann, wie nachfolgend ausführlicher erläutert wird. Der Nachweis der Abweichung von einem Durchschnitts- oder Medianwert kann sehr schnell erfolgen, was somit möglicherweise eine Identifizierung eines Fehlers innerhalb von ein oder zwei Rahmen des gerade erzeugten Wertes zur Folge hat, obwohl sich die Identifizierungszeiten von Ausführungsform zu Ausführungsform unterscheiden. Dementsprechend können Abweichungen von Mittelwerten auf der Basis vorheriger Mittelwerte (d.h. Werte, die von einem vorherigen Rahmen beibehalten wurden) berechnet werden, oder sie können in Echtzeit berechnet werden, wenn es zweckmäßig ist. Darüber hinaus könnte der Bedienglied-Adapter ferner eine Logik enthalten, um beliebige unangemessene Werte für die Datenergebnisse nachzuweisen, welche durch die Prozesseinheit 243 erzeugt wurden. Zum Beispiel können beliebige unvernünftige Werte auf der Basis von Datenraten, Absolutwerten usw. leicht als fehlerhaft identifiziert und/oder aus den Daten ausgeschlossen werden, die bei dem Adapter 110 bearbeitet wurden.
  • In einer weiteren Ausführungsform kann die Prozesseinheit 243 konfiguriert sein, dass sie einen Ausgleich zwischen den Stellgliedern bereitstellt. In derartigen Ausführungsformen kann jedes Stellglied langsam angepasst werden, um das Steuerungssignal, das durch jede Prozesseinheit 243 erzeugt wird, zu Feinanpassungen mit dem im Bedienglied-Adapter 110 berechneten Mittelwert hin zu führen, so dass die durch jede Prozesseinheit 243 erzeugten Signale einen ausgeglichenen Befehl für die Steuerung der Stellgliedposition ergeben. Derartige Ausführungen erfordern gewöhnlich keine strenge Synchronisierung zwischen den verschiedenen Prozesseinheiten, um "ausgeglichene" Befehlswerte zu erreichen, weil jedes Stellgliedpositionsbefehlssignal zu den anderen Signalen hin (d.h. zu einem Mittelwert hin) geführt wird.
  • Durch Ausführen der Mittelwert-Signalauswahl und des Ausgleichens wird es dem Bedienglied-Adapter 110 ermöglicht, eine schnelle Systemwiederherstellung auf einem nahtlosen Wege auszunutzen. Das heißt, beliebige Fehler in einer beliebigen Prozesseinheit 243 breiten sich nicht über den Adapter 110 hinaus aus, um die Leistungsfähigkeit des Systems 200 derart zu beeinträchtigen, dass sie die Steuerungsfunktion nachteilig beeinflussen. Da der Fehler sehr schnell eingegrenzt wird, kann die Wiederherstellung der redundanten Stellgliedpositionssteuerungsbefehle sehr schnell ausgeführt werden. Dementsprechend veranlasst der Bedienglied-Adapter 110 durch die Rechnereinheit 202, 204 geeignet eine zweckmäßige Wiederherstellung, indem er schnell beliebige Prozesseinheiten 243 und/oder die entsprechenden Sensoreinheiten usw. wiederherstellt, wenn er einen Wert entdeckt, der außerhalb des Toleranzbereiches liegt oder bei dem auf eine andere Weise ein Fehler festgestellt wurde. Ein derartiges System kann sich schnell selbst in den entsprechenden Zustand zurücksetzen, um die Softwareausführung fortzusetzen, die aus dem vorherigen Rahmen geretteten Zustandsvariablen wiederherzustellen, die Abarbeitung wieder aufzunehmen und das Wiederherstellungsmanagement, das die volle Redundanzstufe innerhalb der Systems 200 wieder einrichtet, in Gang zu setzen. Da jede Prozesseinheit innerhalb des Systems von Rechnereinheiten 108 einen Mittelwert für die Stellgliedposition berechnet, kann jede Prozesseinheit 243 alternativ für das Ausgleichen ihren eigenen Vergleich zwischen den Werten für die Stellgliedposition und dem Mittelwert der Stellgliedposition ausführen. Wenn die Differenz einen Schwellwert überschreitet, dann kann die Prozesseinheit einen gestörten Pfad von dem System von Rechnereinheiten 108 zum Stellglied 116, 118 nachweisen und ein entsprechendes Signal zur Störungsbehandlung des gestörten Pfades veranlassen, wie es zweckmäßig ist.
  • Der Bedienglied-Adapter 110 kann ferner konfiguriert sein, eine Positionsrückkopplung vom Bedienglied 112/114 und/oder den Stellgliedern, 116/118 zum System von Rechnereinheiten 108 bereitzustellen. In derartigen Ausführungsformen stellt das Bedienglied 112/114 dem Bedienglied-Adapter 110 geeignet Regelschleifen-Einschaltsignale bereit, wie es in einer "klassischen" Bediengliedarchitektur der Fall sein würde, wo die Regelschleife im Bedienglied-Adapter 110 geschlossen sein würde, und der Bedienglied-Adapter 110 leitet die Bedienglied-Positionssignale auch an das System von Rechnereinheiten 108 weiter. Wenn die Steuerungssystemarchitektur "intelligente" Bedienglieder 112 aufweist, dann wird die Regelschleife am Bedienglied geschlossen, und der Bedienglied-Adapter 110 würde dem System von Rechnereinheiten 108 nur Bedienglied-Positionssignale bereitstellen. Ferner können die Positionsinformationen des Stellglieds 116/118 dem System von Rechnereinheiten 108 über einen Bedienglied-Adapter 110 bereitgestellt werden. Auf diese Weise wirkt der Bedienglied-Adapter 110 geeignet als eine Schnittstelle oder ein Portal, um zwischen den Busprotokollen des Systems von Rechnereinheiten 108 und dem Bedienglied 112/114 sowie dem Stellglied 116/118 zu vermitteln. Wenn der Bedienglied-Adapter 110 eine harte Störung (d.h. eine nicht behebbare Störung) nachweist, dann kann diese entsprechende Prozesseinheit 243 durch den Bedienglied-Adapter 110 abgeschaltet oder isoliert werden, wie es zweckdienlich ist.
  • Wie oben beschrieben wurde, laufen die Positionsbefehle von jeder Prozesseinheit 243 des Systems von Rechnereinheiten 108 zum Bedienglied-Adapter 110. Der Bedienglied-Adapter 110 übermittelt die Positionsbefehlssignale an das Bedienglied 112, welches dann die geforderten Befehle ausführt, wie es zweckdienlich ist. In verschiedenen Ausführungsformen kann das System von Rechnereinheiten 108 konfiguriert sein, die Sensorsignale zu überwachen, was den Sensor-Adapter 106, den Bedienglied-Adapter 110, die Bedienglieder 112 und 114 und/oder die Steuerungsstellglieder 116 und 118 einschließen würde.
  • In dem Fall, dass das Bedienglied 112 zum Beispiel nicht innerhalb der vorgegebenen Toleranzen arbeitet, kann der Stellglied-Adapter 110 konfiguriert sein, dass er diesen Zustand wahrnimmt und sich mit der Situation befasst, wie nachfolgend ausführlicher beschrieben wird. Die Steuerungsstellglieder 116, 118 usw. sind üblicherweise konfiguriert, die gewünschten Funktionsänderungen innerhalb der Anlage 240 auszuführen. In den Ausführungsformen, in denen die Anlage 240 ein Flugzeug ist, können die Steuerungsstellglieder 116 und 11 8 zum Beispiel in der Form von Flugsteuerungsflächen, wie z.B. Querrudern, Höhenleitwerken und/oder Steuerrudern, vorliegen. In verschiedenen Ausführungsformen ist jede Prozesseinheit 243 konfiguriert, dass sie zu einer schnellen Wiederherstellung in der Lage ist. Um eine schnelle Wiederherstellung auszuführen, ist jede Prozesseinheit 243 konfiguriert, die notwendigen Steuerungs- und logischen Zustandsvariablen aus den internen Speicherplätzen, wie z.B. einem hochintegren Speicher mit wahlfreiem Zugriff, abzurufen. Ein Beispiel für einen hochintegren RAM wird in der US-Patentschrift Nr. 6,163,480 beschrieben, obwohl eine beliebige andere Speichertechnologie hoher Integrität verwendet werden könnte. Unter Verwendung der abgerufenen Zustandsvariablen und entsprechender Sensordaten kann sich jede Prozesseinheit 243 von einer weichen Störung verhältnismäßig schnell vollständig erholen, ohne dass eine Datenübertragung von einer anderen Rechnereinheit erforderlich ist.
  • Während des normalen Betriebs können die Ausgangssignale von jeder Prozesseinheit 243 durch den Bedienglied-Adapter 110 überwacht werden, um sicherzustellen, dass jede Rechnereinheit 202, 204 Ergebnisse innerhalb einer vorgegebenen Toleranz der verbleibenden Rechnereinheiten erzeugt.
  • Der Schnellwiederherstellungszyklus schließt ein Zurücksetzen der in Frage kommenden Rechnereinheit und einen Beginn der Ausführung des Betriebsprogramms an einer passenden Stelle des Programmausführungszyklus ein. Durch die Verwendung der Mittelwert-Steuerungssignalauswahl, des Ausgleichens und anderer Verfahren sollte eine Synchronisierung mit den verbleibenden Prozesseinheiten 243 nicht nötig sein, wenn der Schnellwiederherstellungszyklus eingeleitet wird.
  • Während eines Schnellwiederherstellungszyklus kann die Toleranz, die für die Feststellung verwendet wird, ob eine Prozesseinheit 243 richtig arbeitet, für diese spezielle Prozesseinheit 243 gelockert werden. Zum Beispiel kann es während des normalen Betriebs eine vorgegebene Toleranz geben, innerhalb derer der Betrieb einer jeden Prozesseinheit 243 erwartet wird. Erzeugt eine Prozesseinheit 243 Werte, die nicht innerhalb der vorgegebenen Toleranz liegen, dann kann festgestellt werden, dass diese Prozesseinheit 243 einer weichen Störung unterliegt, und es kann ein Schnellwiederherstellungszyklus eingeleitet werden. Während des Schnellwiederherstellungszyklus kann die vorgegebene Toleranz für die betroffene Prozesseinheit 243 derart ein wenig gelockert werden, dass weitere Abweichungen akzeptabel sind, bis die Einheit 243 ihren normalen Betrieb wieder aufnimmt. Darüber hinaus darf die Ausgabe dieser Einheit 243 nicht in die Ableitung der Ausgabe an ein Bedienglied (d.h. die Berechnung des Mittelwertes) einbezogen werden, bis die Ausgabe in die gelockerte Toleranz hineinfällt. Fällt die Ausgabe innerhalb einer vorgegebenen Zeitspanne T in die Toleranz hinein (wodurch angezeigt wird, dass sich die Rechnereinheit stabilisiert hat), dann kann sie wieder in die Ableitung der Ausgabe eingezogen werden. Bevor die vorgegebene Zeit T abgelaufen ist und die Ausgabe der Einheit 243 in die Toleranz hineingelangt ist, können die Anforderungen, die Einheit 243 in einen Schnellwiederherstellungszustand zu versetzen, ausgesetzt oder "maskiert" werden, um ein Wiederherstellen der Einheit 243 zu ermöglichen. Sobald sich die Einheit 243 vom Wiederherstellungszyklus stabilisiert hat, kann die Einheit 243 den vorherigen Toleranzen unterworfen werden. Gelangt die Ausgabe in der vorher festgelegten Zeit nicht in die Toleranz hinein, dann kann eine weitere Anforderung ausgegeben werden, die Einheit 243 in einen Schnellwiederherstellungszustand zu versetzen.
  • Ein optionaler Neustartzähler innerhalb des Bedienglied-Adapters 110 kann konfiguriert sein, die Anzahl der aufeinander folgenden Neustartanforderungen zu zählen, die jeder Einheit 243 übergeben werden. Wenn die Anzahl der Anforderungen (N) einen vorgegebenen Wert (X) überschreitet, dann kann die Einheit 243 als "nicht wiederherstellbar" gekennzeichnet und von der Ableitung des Positionsbefehls aus dem Bedienglied-Adapter ausgeschlossen werden. Der vorgegebene Wert X kann ein Sicherheitsparameter sein, der auf die Dynamik einer Anlage 240 in einem Regelkreissystem, in welchem jede Einheit 243 angeordnet ist, bezogen ist, wobei er die Anzahl von Neustarts für die Einheit 243 darstellt und zum Beispiel im Bereich zwischen drei und zehn liegen kann. In anderen Ausführungsformen jedoch wird die Einheit 243 bei einer einzigen Störung oder bei vielen Störungen ausgeschlossen, wie es zweckmäßig ist. In noch einer weiteren Ausführungsform ist jede der Einheiten 243 konfiguriert, innere Störungen nachzuweisen. In einer solchen Situation ist die Einheit 243, welche auf eine Störung trifft, in der Lage, die Störung nachzuweisen und ihren eigenen Schnellwiederherstellungszyklus auszulösen, vorzugsweise (aber nicht notwendigerweise) in demselben Berechnungsrahmen, in dem die Störung auftritt. In der Zwischenzeit übermittelt die betroffene Einheit 243 ein Signal an den Bedienglied-Adapter 110, um eine Lockerung in den Toleranzen anzuzeigen, während die betroffene Einheit 243 im Wiederherstellungsprozess ist. Wie in dem vorherigen Szenarium ist die Widerherstellbarkeit der Einheit 243 durch die Kriterien festgelegt, die mit den Neustartzählern verbunden sind, die sowohl in der Einheit 243 als auch dem Bedienglied-Adapter 110 angeordnet sind. Die Neustartzähler in den Einheiten 243 sind ein Mittel, durch welches die Einheit 243 als nicht wiederherstellbar gekennzeichnet wird. Wieder kann die Einheit 243 als nicht wiederherstellbar gekennzeichnet und von der Ableitung des Positionsbefehls aus dem Bedienglied-Adapter 110 ausgeschlossen werden, wenn über eine vorher festgelegte Zeit die Anzahl von Anforderungen N eine Anzahl X übersteigt.
  • In bestimmten Ausführungsformen der vorliegenden Erfindung ist die Wiederherstellung der Rechnereinheiten durchschaubar. Das heißt, wenn eine Rechnereinheit 202, 204 auf eine weiche Störung trifft und zu einem Wiederherstellungszyklus übergeht, bleiben die übrigen Rechnereinheiten 202, 204 durch den Wiederherstellungszyklus unbeeinflusst, und der Betrieb des Rechnersystems als ganzes ist unbeeinflusst. Die obige Beschreibung stellt Verfahrensbeispiele vor, die zur Ausführung der Erfindung in Betracht gezogen werden. Die oben beschriebenen Verfahren sind jedoch empfänglich für Veränderungen und alternative Konstruktionen von den oben dargestellten Ausführungsformen. Andere Variationen und Veränderungen der vorliegenden Erfindung werden für Fachleute offensichtlich sein, und es ist das Ziel der beigefügten Ansprüche, dass derartige Variationen und Veränderungen abgedeckt werden. Zum Beispiel sind verschiedene Ausführungsformen spezifisch für einen Einsatz im Flugzeug und in der Luftfahrtelektronik, wobei es verständlich sein sollte, dass die Erfindung nicht so eingeschränkt ist und in einer Vielfalt von Systemen ohne Rücksicht auf den Verwendungszweck des Systems verwendet werden kann. Darüber hinaus ist der Ablauf der beschriebenen Schritte nicht notwendigerweise maßgeblich, außer wenn es anders angemerkt ist. Ferner können bei den beschriebenen und in der Anwendung veranschaulichten Ausführungsformen verschiedene Schritte ohne einen schädlichen Einfluss auf die vorliegende Erfindung verändert, hinzugefügt oder gestrichen werden.
  • Es sollte anerkannt werden, dass die dargestellten und hier beschriebenen speziellen Ausführungen Beispiele der Erfindung sind und nicht dazu gedacht sind, den Gültigkeitsbereich der vorliegenden Erfindung auf irgendeine Weise anderweitig zu beschränken. Die Verbindungslinien, die in den verschiedenen hier enthaltenen Figuren dargestellt sind, sind dazu gedacht, Funktionsbeziehungsbeispiele und/oder physische oder logische Verknüpfungen zwischen den verschiedenen Elementen darzustellen. Es sollte angemerkt werden, dass viele alternative oder zusätzliche Funktionsbeziehungen, physische Verbindungen oder logische Verbindungen vorliegen können. Die entsprechenden Strukturen, Materialien, Vorgänge und Äquivalente aller Elemente in den nachfolgenden Ansprüchen sind dazu gedacht, eine beliebige Struktur, Material oder die Vorgänge zum Ausführen der Funktionen in Kombination mit den anderen beanspruchten Elementen einzuschließen, wie speziell beansprucht wird. Außerdem können die in beliebigen Verfahrensansprüchen vorgestellten Schritte in einer beliebigen Reihenfolge ausgeführt werden. Der Gültigkeitsbereich der Erfindung sollte eher durch die angefügten Ansprüche und deren legale Äquivalente statt durch die oben gegebenen Beispiele festgelegt werden. Keine Einzelheit oder Komponente ist für die Anwendung der Erfindung wesentlich, außer wenn das Element hier speziell als "wesentlich" oder "entscheidend" beschrieben wird.

Claims (10)

  1. Steuerungssystemarchitektur (200) für das Steuern eines Betriebes (240), wobei die Steuerungssystemarchitektur umfasst: ein System von Rechnereinheiten (108), das eine Vielzahl von redundanten Prozesseinheiten (243) aufweist, wobei jede aus der Vielzahl der redundanten Prozesseinheiten (243) konfiguriert ist, mindestens eines aus einer Vielzahl von redundanten Positionssignalen für den Betrieb (240) zu erzeugen, und dadurch gekennzeichnet ist, dass: jede aus der Vielzahl der redundanten Prozesseinheiten (243) konfiguriert ist, eine schnelle Wiederherstellung selbst einzuleiten; und ein Bedienglied-Adapter (110) an das System von Rechnereinheiten (108) angekoppelt und konfiguriert ist, jedes aus der Vielzahl der redundanten Positionssignale zu empfangen, um einen Mittelwert für die Vielzahl von redundanten Positionssignalen zu berechnen und die schnelle Wiederherstellung in einer aus der Vielzahl der redundanten Prozesseinheiten (243) abzufordern, wenn die Differenz zwischen dem Positionssignal, das durch eine aus der Vielzahl der redundanten Prozesseinheiten (243) erzeugt wurde, und dem berechneten Mittelwert einen Schwellwert überschreitet.
  2. Steuerungssystemarchitektur (200) nach Anspruch 1, ferner ein Bedienglied (112, 114) umfassend, das an den Bedienglied-Adapter (110) gekoppelt ist, wobei das Bedienglied (112, 114) konfiguriert ist, ein Bedienglied-Steuersignal für den Bedienglied- Adapter (110) zu empfangen.
  3. Steuerungssystemarchitektur (200) nach Anspruch 2, ferner einen Effektor (116, 118) umfassend, der durch das Bedienglied (112, 114) betätigt wird, um in dem Betrieb (240) ein gewünschtes Ergebnis als eine Funktion des Bedienglied-Steuersignals zu bewirken.
  4. Steuerungssystemarchitektur (200) nach Anspruch 1, wobei die schnelle Wiederherstellung im Wesentlichen momentan ist.
  5. Steuerungssystemarchitektur (200) nach Anspruch 1, wobei die Vielzahl von redundanten Prozesseinheiten (243) derart konfiguriert ist, dass es keine Synchronisation zwischen den Prozesseinheiten (243) gibt.
  6. Steuerungssystemarchitektur (200) nach Anspruch 1, wobei das System von Rechnereinheiten (108) konfiguriert ist, ein Rückkopplungssignal von dem Betrieb (240) zu empfangen.
  7. Steuerungssystemarchitektur (200) nach Anspruch 1, wobei jede aus der Vielzahl der redundanten Prozesseinheiten (243) konfiguriert ist, innere Störungen nachzuweisen und die schnelle Wiederherstellung in Reaktion auf den Nachweis einer inneren Störung selbst einzuleiten.
  8. Verfahren zum Steuern eines Betriebes (240), wobei das Verfahren die Schritte umfasst: Erzeugen einer Vielzahl von redundanten Positionssignalen, wobei jedes aus der Vielzahl der redundanten Positionssignale durch eine aus einer Vielzahl von redundanten Prozesseinheiten (243) erzeugt wird, dadurch gekennzeichnet, dass jede aus der Vielzahl der redundanten Prozesseinheiten konfiguriert ist, eine schnelle Wiederherstellung selbst einzuleiten; Berechnen eines Mittelwertes für die Vielzahl von redundanten Positionssignalen in einem Bedienglied-Adapter (110); und Abfordern der schnellen Wiederherstellung in einer aus der Vielzahl der redundanten Prozesseinheiten (243), wenn der Bedienglied-Adapter (110) feststellt, dass die Differenz zwischen dem redundanten Positionssignal, das durch eine aus der Vielzahl der redundanten Prozesseinheiten erzeugt wurde, und dem berechneten Mittelwert einen Schwellwert überschreitet.
  9. Verfahren nach Anspruch 8, ferner den Schritt zum Rückführen von Zustandsvariablen aus einem geschützten Speicher in jeder aus der Vielzahl der redundanten Prozesseinheiten (243) in die eine aus der Vielzahl der redundanten Prozesseinheiten während der schnellen Wiederherstellung dieser Prozesseinheit umfassend.
  10. Verfahren nach Anspruch 8, wobei jede aus der Vielzahl der redundanten Prozesseinheiten (243) ferner konfiguriert ist, innere Störungen nachzuweisen, wobei das Verfahren ferner die Schritte umfasst: Nachweisen einer inneren Störung; und selbstständiges Einleiten der schnellen Wiederherstellung in Reaktion auf den Nachweis der inneren Störung.
DE60316016T 2002-11-20 2003-11-19 Hochintegre systemarchitektur mit einer schnellen wiederherstellung der digitale computerplatform Expired - Fee Related DE60316016T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/300,185 US6813527B2 (en) 2002-11-20 2002-11-20 High integrity control system architecture using digital computing platforms with rapid recovery
US300185 2002-11-20
PCT/US2003/036949 WO2004046838A1 (en) 2002-11-20 2003-11-19 High integrity control system architecture using digital computing platforms with rapid recovery

Publications (2)

Publication Number Publication Date
DE60316016D1 DE60316016D1 (de) 2007-10-11
DE60316016T2 true DE60316016T2 (de) 2008-06-05

Family

ID=32297861

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60316016T Expired - Fee Related DE60316016T2 (de) 2002-11-20 2003-11-19 Hochintegre systemarchitektur mit einer schnellen wiederherstellung der digitale computerplatform

Country Status (5)

Country Link
US (1) US6813527B2 (de)
EP (1) EP1563352B1 (de)
AU (1) AU2003291091A1 (de)
DE (1) DE60316016T2 (de)
WO (1) WO2004046838A1 (de)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4490963B2 (ja) 2003-02-15 2010-06-30 ガルフストリーム・エアロスペース・コーポレイション 航空機キャビン大気組成制御方法
US7209809B2 (en) * 2003-10-15 2007-04-24 The Boeing Company Method and apparatus for obtaining high integrity and availability in multi-channel systems
US8789051B2 (en) * 2004-11-18 2014-07-22 Hamilton Sundstrand Corporation Operating system and architecture for embedded system
US7971095B2 (en) * 2005-02-16 2011-06-28 Honeywell International Inc. Fault recovery for real-time, multi-tasking computer system
US7789345B2 (en) * 2005-03-03 2010-09-07 Nabtesco Corporation Actuator control apparatus
US20100318245A1 (en) * 2005-03-03 2010-12-16 Nabtesco Corporation Flight control system
US7698511B2 (en) * 2005-05-19 2010-04-13 Honeywell International Inc. Interface for writing to memories having different write times
LU91175B1 (fr) * 2005-06-13 2006-12-14 Airflowcontrol S A Procédé et système d'économie d'énergie dans un bâtiment avec ascenseur
US7953536B2 (en) * 2005-07-29 2011-05-31 GM Global Technology Operations LLC Inertial sensor software architecture security method
WO2007094808A1 (en) * 2005-08-05 2007-08-23 Honeywell International Inc. Monitoring system and methods for a distributed and recoverable digital control system
US7725215B2 (en) * 2005-08-05 2010-05-25 Honeywell International Inc. Distributed and recoverable digital control system
WO2007018651A1 (en) * 2005-08-05 2007-02-15 Honeywell International, Inc. Method for redunancy management of distributed and recoverable digital control system
US7421320B2 (en) * 2005-10-06 2008-09-02 The Boeing Company Methods and apparatus for implementing mid-value selection functions for dual dissimlar processing modules
US8359112B2 (en) * 2006-01-13 2013-01-22 Emerson Process Management Power & Water Solutions, Inc. Method for redundant controller synchronization for bump-less failover during normal and program mismatch conditions
US7878461B2 (en) * 2006-01-17 2011-02-01 Gulfstream Aerospace Corporation System and method for an integrated backup control system
CA2637226A1 (en) * 2006-01-17 2007-07-26 Gulfstream Aerospace Corporation Apparatus and method for backup control in a distributed flight control system
US8977252B1 (en) * 2006-07-06 2015-03-10 Gryphonet Ltd. System and method for automatic detection and recovery of malfunction in mobile devices
US7793147B2 (en) * 2006-07-18 2010-09-07 Honeywell International Inc. Methods and systems for providing reconfigurable and recoverable computing resources
US20080098234A1 (en) * 2006-10-20 2008-04-24 Honeywell International Inc. Fault-containment and/or failure detection using encryption
US20100257139A1 (en) * 2007-03-29 2010-10-07 Gm Global Technology Operations, Inc. Vehicle Data Security Method and System
US20080288120A1 (en) * 2007-05-14 2008-11-20 General Electric Company Methods and Systems for Modifying Turbine Control Systems
US8036805B2 (en) * 2007-07-13 2011-10-11 Honeywell International Inc. Distributed engine control system
US8948960B2 (en) * 2007-11-30 2015-02-03 Honeywell International Inc. Systems and methods for arbitrating sensor and actuator signals in a multi-channel control system
US8209526B2 (en) * 2008-09-30 2012-06-26 General Electric Company Method and systems for restarting a flight control system
US7877627B1 (en) 2008-12-18 2011-01-25 Supercon, L.L.C. Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
JP4840483B2 (ja) * 2009-07-13 2011-12-21 トヨタ自動車株式会社 制御目標演算装置
FR2978423B1 (fr) * 2011-07-28 2014-12-19 Airbus Operations Sas Procede et dispositif de detection de l'embarquement d'une gouverne d'aeronef
US20140163907A1 (en) * 2012-12-10 2014-06-12 General Electric Company Systems and methods for fault detection
US9740178B2 (en) * 2013-03-14 2017-08-22 GM Global Technology Operations LLC Primary controller designation in fault tolerant systems
US8862290B1 (en) * 2013-04-18 2014-10-14 Ge Aviation Systems Llc Flight system for an aircraft having an autoland system
EP2851291B1 (de) 2013-09-23 2016-05-11 Airbus Operations (S.A.S) Steuersystem eines Luftfahrzeugs
US9284043B2 (en) * 2013-11-21 2016-03-15 Aai Corporation Evaluating aileron deflection while an unmanned aerial vehicle is in flight
US9915925B2 (en) * 2014-02-25 2018-03-13 Honeywell International Inc. Initiated test health management system and method
JP6207483B2 (ja) * 2014-09-03 2017-10-04 双葉電子工業株式会社 通信機器、被操縦装置
CN105204327B (zh) * 2015-08-24 2017-08-29 北京航空航天大学 基于最小路不交化的飞机非相似作动系统可靠性确认方法
CN116069066A (zh) * 2016-12-22 2023-05-05 小鹰公司 分布式飞行控制系统
US10850868B1 (en) * 2018-05-29 2020-12-01 Rockwell Collins, Inc. Operational scenario specific adaptive sensor voter
US11099238B2 (en) 2019-03-27 2021-08-24 General Electric Company Distributed control modules with built-in tests and control-preserving fault responses
US11661895B2 (en) 2020-02-24 2023-05-30 General Electric Comapny Autonomous safety mode for distributed control of turbomachines
US11720067B2 (en) 2020-03-30 2023-08-08 General Electric Company Method for handling a simultaneous failure of all channels of a multi-channel engine controller for a gas turbine engine
US11435761B1 (en) 2021-07-23 2022-09-06 Beta Air, Llc System and method for distributed flight control system for an electric vehicle
US11465734B1 (en) 2021-09-16 2022-10-11 Beta Air, Llc Systems and methods for distrubuted flight controllers for redundancy for an electric aircraft
JP2024009696A (ja) * 2022-07-11 2024-01-23 横河電機株式会社 制御装置、制御システム、制御方法、及び制御プログラム

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3805235A (en) 1972-12-26 1974-04-16 Collins Radio Co Equalization means for multi-channel redundant control system
FR2344063A1 (fr) 1976-03-10 1977-10-07 Smiths Industries Ltd Circuit numerique de commande a deux voies au moins
US4751670A (en) 1986-03-31 1988-06-14 Honeywell Inc. High integrity digital processor architecture
DE3642851A1 (de) 1986-12-16 1988-06-30 Bbc Brown Boveri & Cie Fehlertolerantes rechensystem und verfahren zum erkennen, lokalisieren und eliminieren von fehlerhaften einheiten in einem solchen system
US4996687A (en) 1988-10-11 1991-02-26 Honeywell Inc. Fault recovery mechanism, transparent to digital system function
US5226152A (en) * 1990-12-07 1993-07-06 Motorola, Inc. Functional lockstep arrangement for redundant processors
US5313625A (en) 1991-07-30 1994-05-17 Honeywell Inc. Fault recoverable computer system
FR2692379B1 (fr) 1991-10-04 1996-08-14 Aerospatiale Ste Nat Indle Procede de detection et de passivation de pannes dans un systeme de traitement de donnees, et systeme de traitement de donnees adapte a sa mise en oeuvre
US5502728A (en) 1992-02-14 1996-03-26 International Business Machines Corporation Large, fault-tolerant, non-volatile, multiported memory
KR100302222B1 (ko) * 1992-06-12 2001-11-22 그레이스 스테펀 에스 프로세스제어컴퓨터용보안프론트엔드통신시스템과그방법
WO1993025965A1 (en) * 1992-06-12 1993-12-23 The Dow Chemical Company Intelligent process control communication system and method
US5583757A (en) * 1992-08-04 1996-12-10 The Dow Chemical Company Method of input signal resolution for actively redundant process control computers
US5307409A (en) 1992-12-22 1994-04-26 Honeywell Inc Apparatus and method for fault detection on redundant signal lines via encryption
US5386424A (en) 1993-03-31 1995-01-31 Honeywell, Inc. Apparatus and method for transmitting information between dual redundant components utilizing four signal paths
US5343474A (en) 1993-03-31 1994-08-30 Honeywell Inc. Slotted arbitration without time jitter in a table driven protocol
US5550736A (en) 1993-04-27 1996-08-27 Honeywell Inc. Fail-operational fault tolerant flight critical computer architecture and monitoring method
US5909541A (en) 1993-07-14 1999-06-01 Honeywell Inc. Error detection and correction for data stored across multiple byte-wide memory devices
US5572620A (en) * 1993-07-29 1996-11-05 Honeywell Inc. Fault-tolerant voter system for output data from a plurality of non-synchronized redundant processors
US5491625A (en) * 1993-12-23 1996-02-13 The Dow Chemical Company Information display system for actively redundant computerized process control
US5491787A (en) * 1994-08-25 1996-02-13 Unisys Corporation Fault tolerant digital computer system having two processors which periodically alternate as master and slave
US5881971A (en) 1995-05-15 1999-03-16 The Boeing Company Monitoring systems for detecting failures in fly-by-wire aircraft flight control systems
US6085127A (en) 1997-03-18 2000-07-04 Aurora Flight Sciences Corporation Fault tolerant automatic control system utilizing analytic redundancy
US5757641A (en) 1995-07-03 1998-05-26 General Electric Company Triplex control system with sensor failure compensation
FR2737029B1 (fr) * 1995-07-19 1997-09-26 Sextant Avionique Dispositif d'interface entre un calculateur a architecture redondante et un moyen de communication
DE19747125C2 (de) 1997-10-24 1999-09-30 Siemens Ag Verfahren zur Einstellung von Reglerparametern eines Zustandsreglers
US6163480A (en) 1997-12-29 2000-12-19 Honeywell International Inc. Memory with high integrity memory cells
US6272386B1 (en) 1998-03-27 2001-08-07 Honeywell International Inc Systems and methods for minimizing peer-to-peer control disruption during fail-over in a system of redundant controllers
US6178522B1 (en) 1998-06-02 2001-01-23 Alliedsignal Inc. Method and apparatus for managing redundant computer-based systems for fault tolerant computing
US6449732B1 (en) 1998-12-18 2002-09-10 Triconex Corporation Method and apparatus for processing control using a multiple redundant processor control system
US6532550B1 (en) * 2000-02-10 2003-03-11 Westinghouse Electric Company Llc Process protection system
EP1379950A4 (de) 2001-03-12 2009-11-11 Honeywell Int Inc Verfahren zur wiederherstellung eines flugkritischen computers nach einem strahlungsereignis
US6862693B2 (en) * 2001-04-13 2005-03-01 Sun Microsystems, Inc. Providing fault-tolerance by comparing addresses and data from redundant processors running in lock-step

Also Published As

Publication number Publication date
US6813527B2 (en) 2004-11-02
US20040098140A1 (en) 2004-05-20
AU2003291091A1 (en) 2004-06-15
EP1563352A1 (de) 2005-08-17
DE60316016D1 (de) 2007-10-11
EP1563352B1 (de) 2007-08-29
WO2004046838A1 (en) 2004-06-03

Similar Documents

Publication Publication Date Title
DE60316016T2 (de) Hochintegre systemarchitektur mit einer schnellen wiederherstellung der digitale computerplatform
US8260492B2 (en) Method and system for redundancy management of distributed and recoverable digital control system
US20070135975A1 (en) Distributed and recoverable digital control system
WO2007094808A1 (en) Monitoring system and methods for a distributed and recoverable digital control system
EP3605256B1 (de) System und verfahren zum überwachen des zustands eines unbemannten luftfahrzeugs
DE60032015T2 (de) Systemen und verfahren zur ausfallsicheren prozessausführung,überwachung und ausgangssteuerung von kritischen systemen
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
EP2817682B1 (de) Verfahren zum ausfallsicheren betreiben eines prozesssteuersystems mit redundanten steuereinrichtungen
DE112016000264T5 (de) Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems
DE102008008357A1 (de) Verfahren und System zur Ermittlung von Zuverlässigkeitsparametern einer technischen Anlage
DE69629828T2 (de) Reconfigurierbares flugsteuersystem für helikopter
DE2912107A1 (de) Zweikanal-servosteuersystem fuer luftfahrzeug-selbststeueranlagen
DE102006039671A1 (de) Modulares elektronisches Flugsteuerungssystem
Hammett Design by extrapolation: an evaluation of fault tolerant avionics
DE3416241C2 (de) Doppelglied-Monitor zur Verwendung in Verbindung mit einer Stelleinrichtung
Riter Modeling and testing a critical fault-tolerant multi-process system
Traverse Dependability of digital computers on board airplanes
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
DE3906846A1 (de) Redundante rechneranordnung fuer steuersysteme
EP1692578B1 (de) Peripherieeinheit für ein redundantes steuersystem
EP3567809A2 (de) System zum steuern, regeln und/oder überwachen eines luftfahrzeugs
Kopecki Control computers diagnostics for UAV flight control system
DE3416242A1 (de) Aussenschleifenmonitor zum ueberwachen eines automatischen flugsteuersystems (afcs) eines flugzeugs
EP4009121A1 (de) Verfahren zur steuerung einer technischen vorrichtung
DE2824279C2 (de)

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee