Nothing Special   »   [go: up one dir, main page]

DE102005008556A1 - Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers - Google Patents

Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers Download PDF

Info

Publication number
DE102005008556A1
DE102005008556A1 DE102005008556A DE102005008556A DE102005008556A1 DE 102005008556 A1 DE102005008556 A1 DE 102005008556A1 DE 102005008556 A DE102005008556 A DE 102005008556A DE 102005008556 A DE102005008556 A DE 102005008556A DE 102005008556 A1 DE102005008556 A1 DE 102005008556A1
Authority
DE
Germany
Prior art keywords
control
safety
critical
data
microcomputers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102005008556A
Other languages
German (de)
Inventor
Reinhard Prof. Reichel
Gernot Konrad
Michael Armbruster
Matthias Lehmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
STUTTGART INST fur LUFTF, University of
Universitat Stuttgart Institut fur Luftfahrtsysteme
Original Assignee
STUTTGART INST fur LUFTF, University of
Universitat Stuttgart Institut fur Luftfahrtsysteme
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by STUTTGART INST fur LUFTF, University of, Universitat Stuttgart Institut fur Luftfahrtsysteme filed Critical STUTTGART INST fur LUFTF, University of
Priority to DE102005008556A priority Critical patent/DE102005008556A1/en
Publication of DE102005008556A1 publication Critical patent/DE102005008556A1/en
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64CAEROPLANES; HELICOPTERS
    • B64C13/00Control systems or transmitting systems for actuating flying-control surfaces, lift-increasing flaps, air brakes, or spoilers
    • B64C13/24Transmitting means
    • B64C13/38Transmitting means with power amplification
    • B64C13/50Transmitting means with power amplification using electrical energy
    • B64C13/503Fly-by-Wire
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2025Failover techniques using centralised failover control functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/4028Bus for use in transportation systems the transportation system being an aircraft

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

The device has two control units (17) coupled between data buses (B1, B2), where each unit has a microcomputer (18) that is operating independent of each other. The microcomputers have a security critical control software. A decision unit (20) is provided which decides execution of a security-critical control function on the microcomputers and/or control units due to the comparison of output data of the microcomputers.

Description

Die vorliegende Erfindung betrifft eine Vorrichtung zur Steuerung von Flugzeugen, mit aerodynamischen Steuerflächen und deren Aktuatoren sowie mit pilotseitigen Bedienelementen, insbesondere zur einfachen und sicheren Steuerung von Flugzeugen der Zulassungsklassen JAR23, Class VSA, I, II, III, IV sowie von Business Jets und Reginals der Zulassungsklasse JAR 25.The The present invention relates to a device for controlling Aircraft, with aerodynamic control surfaces and their actuators as well with pilot-side controls, especially for simple and safe control of aircraft of the approval classes JAR23, Class VSA, I, II, III, IV as well as business jets and reginals of the admission class JAR 25.

Bekannt sind so genannte „Full Fly-by-Wire"-Plattformen, die das Erfassen von Pilotenkommandos, das Ausführen der eigentlichen Steuerfunktion als auch die Ansteuerung der Stellorgane in elektronischer Form mit Hilfe von Computern durch führen. Die zentrale Herausforderung solcher Plattformen ist die Ausfallsicherheit. Fällt nämlich das System z.B. durch ein Versagen des Fly-by-Wire-Computers (FBWC) aus, so ist die Steuerbarkeit des Flugzeugs nicht mehr gegeben. Ein fataler Flugunfall wäre die Folge.Known are so-called "Full Fly-by-wire "platforms, capturing pilot commands, performing the actual control function as well as the control of the actuators in electronic form with the help of computers. The key challenge of such platforms is resilience. That's right System e.g. due to a failure of the fly-by-wire computer (FBWC) out, so the controllability of the aircraft is no longer given. A fatal accident would be the episode.

Flugzeuge der Klasse JAR23 Class VSA I, II, III, IV (General Aviation) und Business-Jets, Regionals der Klasse JAR 25 werden vom Pilot weitgehend über eine mechanische Steuerung gesteuert, d.h., das zentrale Steuerorgan (Steuerhorn oder Steuerknüppel) und die Pedale sind mechanisch mit den verschiedenen aerodynamischen Steuerflächen der Primärsteuerung verbunden. Der Ausschlag der einzelnen Steuerflächen ertolgt in direktem Zusammenhang zum Ausschlag der Steuerorgane. Es gibt keine direkt und mit voller Autorität eingreifende Stabilisierungsfunktionen, „Flight Envelope Protection" und Vorgabesteuerung. Durch diese Art der Steuerung weist jeder Flugzeugtyp ein für ihn charakteristisches Steuerverhalten auf, das von Flugschülern durch intensives Üben erlernt bzw. von erfahrenen Piloten beim „Type-Rating" speziell trainiert werden muss. Für das Einhalten der „Operational Flight Envelope" ist allein der Pilot zuständig. Warneinrichtungen zur Einhaltung der minimalen Geschwindigkeit sind teilweise vorhanden. Sie greifen allerdings nicht direkt in die Steuerung ein, sondern machen durch Warnungen den Piloten auf die kritische Situation aufmerksam. In jedem Fall muss der Pilot reagieren, wodurch er in Stresssituationen oft überfordert ist. Derartige Situation sind häufig Ursachen für schwere Flugunfälle.Aircrafts Class JAR23 Class VSA I, II, III, IV (General Aviation) and Business Jets, Regionals of Class JAR 25 are largely controlled by the pilot via a mechanical control controlled, that is, the central control (control wheel or joystick) and the pedals are mechanical with the different aerodynamic ones control surfaces the primary control connected. The rash of each tax area is directly related to the rash of the tax organs. There are no direct and full ones authority aggressive stabilization features, Flight Envelope Protection and Preset Control. By this type of control, each type of aircraft has a characteristic for him Control behavior learned by flight students through intense practice or specially trained by experienced pilots in the "Type Rating" must become. For adherence to the "Operational Flight Envelope "is alone the pilot in charge. Warning devices to comply with the minimum speed partly available. They do not, however, directly access the Control, but by warning the pilot on the attentive to the critical situation. In any case, the pilot has to react, which makes him often overwhelmed in stressful situations. Such situation are common Reasons for heavy air accidents.

Autopilotensysteme, sofern vorhanden, greifen über eigene Stellmotoren in die mechanische Steuerkette ein und führen das Flugzeug automatisch in bis zu drei Steuerachsen. Die Autorität des Autopiloten ist jedoch begrenzt. Er deckt somit nicht den kompletten Flugbereich ab. Im Fehlerfall schaltet sich der Autopilot selbst ab oder muss vom Piloten abgeschaltet werden. Im Extremfall, wenn sich der Autopilot nicht mehr abschalten lässt, muss der Pilot ihn über die zentralen Steuerorgane überdrücken. Die Autopilotenfunktionen müssen manuell über ein „Bedienpanel" aktiviert und deaktiviert werden. Steuervorgaben wie der Steuerkurs erfolgen manuell durch den Piloten. Autopilot systems if available, grab over own servomotors in the mechanical timing chain and lead the Airplane automatically in up to three control axes. The authority of the autopilot is limited. He does not cover the entire flight range from. In the event of a fault, the autopilot shuts itself off or must be switched off by the pilot. In extreme cases, when the autopilot can not turn off anymore, the pilot has to pass him over override the central controls. The Autopilot functions must manually over a "control panel" is activated and deactivated become. Tax specifications such as the tax rate are carried out manually the pilot.

Bei großen Transportflugzeugen neuen Typs, wie dem Airbus A320, A330/340 oder der Boeing B777, die alle zur Zulassungsklasse JAR 25 (FAR 25) gehören, ist der Stand der Technik wie folgt:

  • • Die Flugzeuge weisen eine „Fly-by-Wire"-Steuerung mit voller Steuerautorität in allen drei Steuerachsen auf.
  • • Das Flugsteuerungssystem ist mit einem „minimalen" mechanisch-hydraulischen Backupsystem ausgerüstet (bei Airbus für den „Trimable Horizontal Stabilizer" (THS) und das Seitenruder; bei Boeing für ein Spoilerpaar und den THS). Mit diesem System lässt sich das Flugzeug auch bei einem Komplettausfall der „Flyby-Wire"-Steuerung zumindest in einer stabilen Fluglage halten.
  • • Ein minimales mechanisch-hydraulisches Backupsystem ist nur sinnvoll, solange das Flugzeug noch natürliche Stabilität im Steuerverhalten aufweist. Flugzeuge mit instabilen Steuerverhalten sind mit derartigen Systemen nicht realisierbar.
  • • Die „Fly-by-Wire"-Steuerung umfasst im Wesentlichen – die Flugsteuerung um alle 3 Steuerachsen; – Vorgabesteuerung in der Nickachse durch Vorgabe des Lastvielfachen; – Vorgabesteuerung in der Rollachse durch Vorgabe der Rollrate und beim Überschreiten eines Grenzwertes durch Vorgabe des Rollwinkels; – Automatische Kurvenkoordination für alle drei Steuerachsen (Nick, Gier, Roll); – Automatische Trimmung mit „Side Slip" Minimierung in der Gierachse; – Flugbereichsüberwachung und „Flight Envelope Protection" während des Fluges, allerdings nicht am Boden und nicht beim unmittelbaren Lande- oder Startvorgang); – „Direct Control" (Direct Law) am Boden, d.h., am Boden werden die Steuerklappen proportional zu den Ausschlägen der zentralen Steuerorgane ausgefahren.
  • • Bei Fehlern im Flugsteuersystem wird bis auf das „Direct Control" (Direct Law) degradiert. Damit ändert sich das Steuerverhalten des Flugzeugs signifikant.
  • • Die Autopilotenfunktionen sind weitgehend von der Flugsteuerung getrennt und müssen über eigene, dafür vorgesehene Bedieneinheiten vorgegeben werden.
  • • Eine direkt in die Steuerung eingreifende Führung durch den Autopiloten beim Anrollen und Abheben während des Starts ist nicht vorgesehen.
  • • Nach einem zweiten Fehler steht die Autopilotenfunktion nicht mehr zur Verfügung. Es muss dann manuell weitergeflogen werden.
For large transport aircraft of the new type, such as the Airbus A320, A330 / 340 or the Boeing B777, all of which belong to the approval class JAR 25 (FAR 25), the state of the art is as follows:
  • • Aircraft have fly-by-wire control with full control authority in all three control axes.
  • • The flight control system is equipped with a "minimal" mechanical-hydraulic backup system (at Airbus for the "Trimable Horizontal Stabilizer" (THS) and the rudder, at Boeing for a spoiler pair and the THS). With this system, the aircraft can be maintained at least in a stable attitude even in the event of complete failure of the flyby-wire control.
  • • A minimal mechanical-hydraulic backup system only makes sense, as long as the aircraft still has natural stability in the control behavior. Aircraft with unstable control behavior are not feasible with such systems.
  • • The "fly-by-wire" control essentially comprises - the flight control around all 3 control axes, - default control in the pitch axis by specifying the load factor, - default control in the roll axis by specifying the roll rate and exceeding a limit by specifying the roll angle - Automatic curve coordination for all three control axes (pitch, yaw, roll) - Automatic trimming with "Side Slip" minimization in the yaw axis; - Flight area monitoring and "Flight Envelope Protection" during the flight, but not on the ground and not during the direct landing or take-off operation; - "Direct Control" on the ground, ie on the ground the control flaps become proportional to the rashes of the extended central control organs.
  • • Errors in the flight control system are downgraded to "direct control" (direct law), which means that the steering behavior of the aircraft changes significantly.
  • • The autopilot functions are largely separate from the flight control and have their own, because be specified for intended control units.
  • • The autopilot does not envisage direct guidance into the control when rolling up and taking off during take-off.
  • • After a second error, the autopilot function is no longer available. It must then be flown manually.

Aufgabe der vorliegenden Erfindung ist es, eine einfach strukturierte Vorrichtung zur Steuerung von Flugzeugen bereitzustellen, die trotz eines fehlerhaften Steuergeräts funktionsfähig bleibt.task It is the object of the present invention to provide a simply structured device to provide control of aircraft, despite a faulty ECU functioning remains.

Diese Aufgabe wird erfindungsgemäß gelöst durch eine Vorrichtung zur Steuerung von Flugzeugen mit einem redundanten Datenbussystem mit zwei Datenbussen, mit aerodynamischen Steuerflächen, deren Aktuatoren jeweils nur an einen der beiden Datenbusse angekoppelt sind, und mit pilotseitigen Bedienelementen, die an einen oder an beide Datenbusse angekoppelt sind, wobei zwischen den Datenbussen mindestens zwei Steuergeräte angekoppelt sind, die jeweils funktionsgleiche sicherheitskritische Steuerungssoftware beinhalten, welche von mindestens einem der Steuergeräte abgearbeitet wird, so dass bei Ausfall des gerade aktiven Steuergeräts die sicherheitskritische Steuerungsaufgabe nun von dem anderen Steuergerät übernommen werden kann, wobei jedes Steuergerät zwei voneinander unabhängig arbeitende Mikrorechner aufweist, die jeweils beide die sicherheitskritische Steuerungssoftware beinhalten und deren aus Sensordaten der Bedienelemente und/oder anderer Sensoren berechnete Ergebnisdaten austauschbar und miteinander vergleichbar sind, und wobei ein Entscheidungsmittel vorgesehen ist, das aufgrund des Vergleichs der Ergebnisdaten entscheidet, welcher Mikrorechner bzw. welches Steuergerät die sicherheitskritische Steuerungsaufgabe durchführt.These The object is achieved by a device for controlling aircraft with a redundant Data bus system with two data buses, with aerodynamic control surfaces, their actuators each coupled to only one of the two data buses, and with pilot-side controls connected to one or both data buses coupled, wherein between the data buses at least two ECUs are coupled, each functionally equivalent safety critical Include control software, which is processed by at least one of the control units is so that in case of failure of the currently active control unit, the safety-critical Control task can now be taken over by the other controller, wherein every control unit two independent of each other working microcomputer, both of which are safety-critical Include control software and their from sensor data of the controls and / or other sensors calculated result data interchangeably and are comparable to each other, and being a decision-making tool is provided, which decides on the basis of the comparison of the result data, which microcomputer or which control unit the safety-critical Performs control task.

Die erfindungsgemäße Steuervorrichtung, im Folgenden auch als „Carefree Control System" (CCS) bezeichnet, dient zur einfachen und sicheren Steuerung von Flugsteuerung der Zulassungsklassen JAR23, Class VSA, I, II, III, IV sowie für Business Jets und Reginals der Zulassungsklasse JAR 25.The control device according to the invention, hereinafter also referred to as "Carefree Control System "(CCS), is used for easy and safe control of flight control of the Admission classes JAR23, Class VSA, I, II, III, IV and Business Jets and reginals of approval class JAR 25.

Auf einer solchen erfindungsgemäßen Fly-by-Wire-Plattform werden Flugsteuer- und Autopilotenfunktionen in integrierter Form implementiert mit dem Ziel, über möglichst wenige Eingabeeinheiten dem Piloten eine einfache, übersichtliche und in vielen Flugphasen automatische Führung des Flugzeugs zu ermöglichen, ohne dass er sich dabei um eine Vielzahl unterschiedlicher „Modes" im Flugsteuer- und Autopilotensystem kümmern muss.On Such a fly-by-wire platform according to the invention become flight control and autopilot functions in integrated form implemented with the goal over preferably few input units give the pilot a simple, concise and to enable automatic guidance of the aircraft in many phases of flight without that he is dealing with a variety of different "modes" in flight control and Take care of autopilot system got to.

Die vom Piloten über einen „Stick Controller" (SC) eingegebenen Kommandos werden vom CCS als Vorgabekommandos aufgefasst. Diese Vorgabekommandos werden in unterschiedlichen Flugphasen vom CCS in unterschiedlicher Weise interpretiert. Dies geschieht in einer Art und Weise, dass das daraus resultierende Steuerverhalten des Flugzeugs dem Steuerempfinden eines Menschen für ein Flugzeug möglichst nahe kommt. So interpretiert das CCS Querausschläge beim Anrollen, beim Abheben, im Cruise-Mode oder bei der Landung als Vorgaben unterschiedlicher Größen. Ein Querausschlag am SC gibt einmal die Querbeschleunigung des Flugzeugs, in einer anderen Phase die reine Gierrate zur Korrektur des Kurses oder wiederum in einer anderen Phase die Rollrate des Flugzeugs vor. In jedem Fall bewirkt es am Ende des Manövers eine Kurs- bzw. Ausrichtungsänderung des Flugzeugs, auch wenn das Manöver dazu flugphasen- und vorgabeabhängig ist. Weiter gilt für die flughasenabhängige Wahl der Vorgabegrößen:

  • • Im dynamischen Steuerbereich bei der Durchführung von Manövern (Manövermode) werden über den „Stick Controller" für den Piloten natürlich wahrnehmbare physikalische Größen wie das Lastvielfache (Nickachse) oder die Rollrate (Rollachse) vorgegeben.
  • • Im statischen Bereich (Cruise-Mode) werden die Piloteneingaben über den „Stick Controller" weitgehend als Änderungen der Bahnführung oder der Flugzeugausrichtung bzw. des Flugbahnneigungswinkels interpretiert.
  • • Die o.a. Vorgabesteuerung stellt sicher, dass die Steuercharakteristik des Flugzeuges über den gesamten Bereich der „Operational Flight Envelope" (OFE) annähernd gleich ist, also nicht von Geschwindigkeit u.a. abhängt.
The commands entered by the pilot via a "stick controller" (SC) are interpreted by the CCS as default commands.These command commands are interpreted in different phases by CCS in different ways, in such a way that the resulting control behavior of the aircraft is the same For example, the CCS interprets transversal roll-overs, take-offs, cruise-mode or landing as presets of different sizes: A lateral excursion at the SC gives the lateral acceleration of the aircraft, in another phase the In any case, at the end of the maneuver, it will cause the aircraft to change course or orientation, even if the maneuver is dependent on the flight phase and on the given task the airbag-dependent choice of default sizes :
  • • In the dynamic control range when performing maneuvers (maneuvering mode), the pilot's "stick controller" specifies natural physical parameters such as the load multiple (pitch axis) or the roll rate (roll axis).
  • • In the static area (cruise mode), the pilot inputs via the "stick controller" are largely interpreted as changes in the path guidance or the aircraft orientation or the trajectory inclination angle.
  • • The above-mentioned default control ensures that the control characteristic of the aircraft is approximately the same over the entire range of the "Operational Flight Envelope" (OFE), ie does not depend on speed and the like.

Zur Erreichung der natürlichen Steuercharakteristik ist eine Vielzahl verschiedener Steuermodes im CCS notwendig. Viele davon wie Kurs- und Höhehaltung sind schon lange im Einsatz. Neu sind allerdings:

  • • das automatische Umschalten zwischen den verschiedenen Modes der klassischen Fly-By-Wire-Flugsteuerung und des Autopiloten, wobei das automatische Umschalten zwischen den Modes für den Piloten transparent ist (nicht unmittelbar erkennbar ist) das Anwenden der Vorgabesteuerung auch während des Abfangbogens mit Alignment (Längsausrichtung) das Anwenden der Vorgabesteuerungen auf alle Bodenoperationen
  • • die Steuerung nur mit dem Stick über alle Flug- und Rollphasen.
In order to achieve the natural control characteristic, a multiplicity of different control codes is required in the CCS. Many of them, such as course and altitude control, have been in use for a long time. New are:
  • The automatic switching between the different modes of the classic fly-by-wire flight control and the autopilot, wherein the automatic switching between the modes for the pilot is transparent (not immediately recognizable), the application of the default control even during the Intercept arc with alignment applying default controls to all ground operations
  • • Control only with the stick over all flight and taxi phases.

Flugsteuer- und Autopilotenfunktionen werden sowohl funktionell als auch plattformbedingt zu einer Einheit verschmolzen.flight control and autopilot functions become both functional and platform-driven merged into a single entity.

Über eine konsequent ausgelegte „Flight Envelope Protection" (FEP) wird sichergestellt, dass das Flugzeug seine „Operational Flight Envelope" nicht verlassen kann und somit immer in einem sicheren für den Piloten beherrschbaren Flugzustand ist. Diese „Flight Envelope Protection" ist auch bei Operationen am Boden aktiv, d.h. während der Rollphase bei Start und Landung. Selbst in diesen Phasen steuert der Pilot das Flugzeug per „Stick Controller" (optional auch über die Pedale) über Vorgabekommandos, welche in Abhängigkeit des Rollzustandes automatisch begrenzt werden.Over a consistently designed "Flight Envelope Protection "(FEP) ensures that the aircraft does not leave its "Operational Flight Envelope" can and therefore always in a safe for the pilot controllable Flight condition is. This "Flight Envelope Protection "is also active in operations on the ground, i. during the rolling phase at start and landing. Even in these phases, the pilot controls the aircraft via "stick Controller "(optional also over the pedals) over Default commands, which depend on the Roll state automatically be limited.

Für die Stabilisierung während des Anrollens bis zum Abheben beim Start wird eine Kombination einer aerodynamischen Stabilisierung mit einer nur über das zu lenkende Fahrwerk realisierten „Fahrzeugstabilisierung" durchgeführt. Für die Stabilisierung beim Aufsetzen und Ausrollen während der Landung wird eine Kombination einer aerodynamischen Stabilisierung mit einer über Lenkung und Bremsung realisierten „Fahrzeugstabilisierung" durchgeführt.For stabilization while Starting to take off at take-off will be a combination of aerodynamic Stabilization with a just over the chassis to be steered realized "vehicle stabilization" carried out for the stabilization when putting on and rolling out during The landing will be a combination of aerodynamic stabilization with one over Steering and braking realized "vehicle stabilization" performed.

Bei heutigen nur in großen Transportflugzeugen eingesetzten „Fly-by-Wire"-Steuerungen ändert sich die Steuercharakteristik signifikant beim Auftreten von Systemfehlern. Die oberste Stufe der Steuercharakteristik ist das „Normal Law", die unterste Stufe der Steuercharakteristik ist das so genannte „Direct Law". Das Normal Law entspricht dem im Manövermode vom CCS angewandten „Law". Im Direct Law werden die Steuerflächen weitgehend proportional zu den „Stick Controller-„ und Pedalkommandos ausgeschlagen. Bei Systemfehlern schaltet die Flugsteuerung von großen Transportflugzeugen schließlich in das Direct Law. Damit verbunden ist eine signifikante Änderung der Steuercharakteristik. Das Direct Law kommt im CCS nicht zum Einsatz. Kommt es bei Steuersystemen zu signifikanter Degradation in der Steuercharakteristik, so müssen all diese Fälle vom Piloten trainiert werden. Dies ist gerade bei den hier betrachteten Flugzeugen, zum Teil von Privatpiloten gesteuert, nicht akzeptabel. Deshalb sind im CCS die Regelgesetze und das Redundanzmanagement der Fly-by-Wire-Plattform dergestalt kombiniert, dass sich selbst bei Fehlern die Steuercharakteristik des Flugzeugs nicht signifikant ändert. Allerdings kann es im Fall von Fehlern zur Einschränkung der „Operational Flight Envelope" kommen. Dies kann zwar die Leistungsfähigkeit des Flugzeugs herabsetzen, stellt allerdings keinen Trainingsfall dar. Die fehlerbedingte „Flight Envelope" Einschränkung wird vom CCS automatisch durchgeführt.at today only in large Transport aircraft used "fly-by-wire" controls changes the control characteristics significant when system errors occur. The top step The control characteristic is the "Normal Law", the lowest level The tax characteristic is the so-called "direct law", the normal law corresponds to that in Manövermode CCS applied "Law." In Direct Law the control surfaces largely proportional to the "stick controller" and pedal commands knocked out. In case of system errors, the flight control of huge Finally, transport planes in the Direct Law. This is associated with a significant change the control characteristic. Direct Law is not used in the CCS. Is there a significant degradation in tax systems in the Control characteristic, so must all these cases be trained by the pilot. This is just the case here considered Aircraft, partly controlled by private pilots, unacceptable. Therefore in CCS the rules and the redundancy management are the fly-by-wire platform so combined that itself in case of errors, the control characteristic of the aircraft does not change significantly. Indeed In the case of errors, the "Operational Flight Envelope" can be restricted although the performance reduce the aircraft, but does not provide a training case dar. The error-related "Flight Envelope "restriction becomes automatically performed by the CCS.

Die Charakteristika der erfindungsgemäßen Steuervorrichtung sind wie folgt:

  • • Der Pilot steuert das Flugzeug im Wesentlichen ausschließlich über den Stick Controller (neu) und den Schubhebel.
  • • Per „Stick Controller" erfolgt die Eingabe von – Vorgabegrößen für die Flugsteuerung (heute Stand bei Airbus) und – die automatische Flugführung (neu).
  • • Das Umschalten von manuellen „Steuermodes" auf automatische „Führungsmodes" und damit verbunden die automatische Variation der Bedeutung der Vorgabe erfolgt automatisch und transparent für den Piloten (neu). Dies gilt für den gesamten Flug- und Rollbereich (neu).
  • • Eine „Flight Envelope Protection", ausgeweitet auf das Rollen (neu), Abheben (neu) und Aufsetzen am Boden, schützt das Flugzeug automatisch vor unsicheren Flugzuständen.
  • • Systemfehler bedingte Degradationen in der Steuercharakteristik der Art, dass sie vom Piloten trainiert werden müssen, gibt es nicht (neu).
  • • Durch CCS ist es möglich, unterschiedlichen Flugzeugtypen eine vergleichbare Steuercharakteristik aufzuprägen und damit das „Type-Rating" für Piloten unnötig zu machen oder auf ein Minimum zu begrenzen (Airbus).
  • • Das „Fly-by-Wire"-System ohne Backup ermöglicht die über Regelung erzeugte künstliche Stabilisierung des dynamischen Steuerverhaltens des Flugzeugs und damit den Verzicht auf natürliche Stabilität beim Auslegung von Flugzeugen. Dies wiederum erlaubt eine weitere Steigerung der Leistung bzw. Effizienz des Flugzeugs, ohne damit die Steuercharakteristik für Piloten zu verschlechtern oder das Flugzeug gar unfliegbar zu machen.
The characteristics of the control device according to the invention are as follows:
  • • The pilot steers the aircraft essentially exclusively via the stick controller (new) and the throttle lever.
  • • The "Stick Controller" is used to enter - default values for the flight control (today stand on Airbus) and - automatic flight guidance (new).
  • • Switching from manual "control modes" to automatic "guidance modes" and, as a result, the automatic variation of the meaning of the preset is automatic and transparent for the pilot (new). This applies to the entire flight and taxi area (new).
  • • A "Flight Envelope Protection", extended to rolling (new), lifting (new) and landing on the ground, automatically protects the aircraft from unsafe flight conditions.
  • • System-related degradations in the control characteristic of the kind that they must be trained by the pilot, there is not (new).
  • • CCS makes it possible to impose comparable control characteristics on different types of aircraft, thereby eliminating or minimizing the "type rating" for pilots (Airbus).
  • • The fly-by-wire system with no back-up allows for artificial stabilization of the aircraft's dynamic control behavior, eliminating the need for natural stability in aircraft design, which in turn further enhances the performance and efficiency of the aircraft without impairing the pilot's control characteristics or even making the aircraft fly.

Die erfindungsgemäße Steuervorrichtung CCS ist auf einer Fly-by-Wire-Plattform ohne mechanisches Backup implementiert Die wesentlichen Charakteristika der erfindungsgemäßen Steuervorrichtung sind:

  • • Kein mechanisches Backup (neu für Transportflugzeuge)
  • • Die Plattform lässt sich an die unterschiedlichen Sicherheitsanforderungen ohne große Systemänderungen anpassen: P{Ausfall für eine einstündige Mission} < 10–6 ... 10–9
  • • Die Plattform besteht aus zwei Systemhälften, welche voneinander weitgehend getrennt sind (neu)
  • • Fällt eine Systemhälfte komplett aus, so ist die Steuerbarkeit des Flugzeugs bei gleich bleibender Steuercharakteristik sichergestellt
  • • Jeder Seite sind Stellmotoren, Sensoren, Energieversorgung, ein Systembus fest zugeordnet (neu)
  • • Der Systembus arbeitet bevorzugt nach dem „Time triggered Datentransferverfahren"
  • • Die beiden Systembusse arbeiten unabhängig voneinander und sind miteinander nicht synchronisiert.
  • • Beide Busse können dissimilar zueinander aufgebaut sein (z.B. FlexRay und TTP).
  • • Stellmotoren und Sensoren sind nur mit dem Systembus ihrer Seite verbunden
  • • „Smart"-Sensoren oder -Stellmotoren sind direkt mit dem Systembus ihrer Seite verbunden und erhalten/versenden darüber Daten von/an den FBWC beider Seiten
  • • „Dumb"-Sensoren oder -Stellmotoren, die keinen direkten Anschluss an den Systembus aufweisen, sind über ein IOM mit ihrem Systembus verbunden und erhalten/versenden darüber Daten von/an den FBWC beider Seiten
  • • Die Daten aller Stellmotoren und Sensoren stehen beiden FBWC zur Verfügung
  • • Eine externe Einheit erhält über ihren Systembus Daten von den FBWC beider Seiten
  • • Jeder FBWC ist intern modular aufgebaut
  • • Jeder FBWC kann intern redundant aufgebaut sein
  • • Die interne Redundanz eines FBWC ist für externe über den Systembus oder IOM angekoppelte Einheiten transparent; folglich ist das System skalierbar bzgl. der FBWC-internen Redundanz
  • • Die Module eines FBWC tauschen ihre Daten untereinander über die Systembusse aus
  • • Die beiden FBWC tauschen ihre Daten untereinander ebenfalls über die Systembusse aus.
  • • Nur die CPM innerhalb eines FBWC haben Zugang zu beiden Systembussen • Die CPM sind die zentralen Module eines FBWC.
  • • Das CPM ist duplex aufgebaut, um so eigene Fehler sicher erkennen zu können.
  • • Das CPM hat nur minimale IO-Fähigkeit.
  • • Jeder FBWC muss mindestens ein CPM aufweisen
  • • Das CPM bearbeitet die Steueraufgaben des CCS und bearbeitet das System-/Redundanz-/Ressourcemanagement
  • • Im Falle des Ausfalls eines CPM kann innerhalb eines FBWC ein anderes CPM eine weniger sicherheitskritische Aufgabe suspendieren und dafür die absolut sicherheitskritische Aufgabe übernehmen (Dynamic Resource Sharing).
The control device CCS according to the invention is implemented on a fly-by-wire platform without mechanical backup. The essential characteristics of the control device according to the invention are:
  • • No mechanical backup (new for transport planes)
  • • The platform can be adapted to different security requirements without major system changes: P {one-hour mission failure} <10 -6 ... 10 -9
  • • The platform consists of two system halves, which are largely separated from each other (new)
  • • If one half of the system fails completely, the controllability of the aircraft is ensured with the same control characteristic
  • • Each side has positioning motors, sensors, power supply, a system bus permanently assigned (new)
  • The system bus preferably operates according to the "time-triggered data transfer method"
  • • The two system buses work independently and are not synchronized with each other.
  • • Both buses may be dissimilar to each other (eg FlexRay and TTP).
  • • Actuators and sensors are only connected to the system bus on their side
  • • "Smart" sensors or motors are directly connected to the system bus on their side and receive / send data from / to the FBWC on both sides
  • • "Dumb" sensors or motors that are not directly connected to the system bus are connected to their system bus via an IOM and receive / send data to / from the FBWC on both sides
  • • The data of all servomotors and sensors are available to both FBWCs
  • • An external unit receives data from the FBWC on both sides via its system bus
  • • Each FBWC has a modular internal structure
  • • Each FBWC can be internally redundant
  • • The internal redundancy of a FBWC is transparent to external devices connected via the system bus or IOM; Consequently, the system is scalable with respect to the internal FBWC redundancy
  • • The modules of a FBWC exchange their data with each other via the system buses
  • • The two FBWC also exchange their data with each other via the system buses.
  • • Only the CPMs within a FBWC have access to both system busses • The CPMs are the central modules of a FBWC.
  • • The CPM is constructed in duplex mode so that you can reliably identify your own errors.
  • • The CPM has only minimal IO capability.
  • • Each FBWC must have at least one CPM
  • • The CPM processes the control tasks of the CCS and processes the system / redundancy / resource management
  • • In the event of a CPM failure, another CPM within one FBWC can suspend a less critical task and take on the task that is absolutely critical to security (Dynamic Resource Sharing).

In detaillierter Form sind die Charakteristika der Fly-by-Wire-Plattform und des FBWC in den beiden folgenden Tabellen dargestellt:

Figure 00100001
Figure 00110001
In detail, the characteristics of the fly-by-wire platform and the FBWC are shown in the following two tables:
Figure 00100001
Figure 00110001

Vorteile der erfindungsgemäßen Steuervorrichtung CCS für die o.a. Flugzeugklassen sind:

  • • Sehr einfache und sichere Steuerung des Flugzeugs durch (Privat-)Piloten
  • • Erhöhung der Sicherheit – durch weitgehende Entlastung des Piloten von der eigentlichen Steuerung des Flugzeugs – durch das für den Piloten transparente Systemverhalten bzg. der Aktivierung unterschiedlicher Steuer- und „Flugführungsmodes" im CCS (dem Pilot bleiben CCS-interne „Modeumschaltungen" verborgen; der Pilot fliegt das Flugzeug nach einer seinen natürlichen Steuergefühlen in allen Flugphasen weitgehend angepassten Vorgabesteuerung) – wegen keiner signifikanten Änderung der Steuercharakteristik bei Systemfehlern – durch die automatische „Flight Envelope Protection" mit integriertem Schutz der Flugzeugstruktur in allen Betriebsphasen – durch automatische Anpassung der „Allowed Flight Envelope" (AFE) im Fall von Systemfehlern, sofern notwendig
  • • Reduktion des Ausbildungsaufwandes durch das vereinfachte Handhaben des Flugzeugs sowohl im dynamischen Steuerbereich (Manövermode) als auch im horizontalen und vertikalen „Cruise-Mode"
  • • Aufprägen von ähnlichem oder gleichem Steuerverhalten bei Flugzeugen unterschiedlichen Typs und damit signifikante Vereinfachung des „Type-Ratings" für Piloten
  • • Schaffung eines Leistungs- und Effizienzerhöhungspotentials für Flugzeuge – durch künstliche Stabilisierung des Flugzeugs mit CCS – durch im CCS integrierten Strukturschutz
  • • Anwendung des Steuersystems auf verschiedene Flugzeugtypen durch die skalierbare Ausführung des Systems bezüglich – Rechnerredundanz – Anzahl und Typ der Sensoren – Anzahl und Typ der Stellmotoren – Technologie der Stellmotoren in Bezug auf Dumb/Smart-Ausführung
Advantages of the control device CCS according to the invention for the above-mentioned aircraft classes are:
  • • Very simple and safe control of the aircraft by (private) pilots
  • • Increased safety - by largely relieving the pilot of the actual control of the aircraft - by the transparent for the pilot system behavior bzg. the activation of different control and "flight control" modes in the CCS (the pilot remains hidden CCS-internal "mode remodeling"), the pilot flies the plane after a natural control feelings in all phases of flight largely adjusted default control) - due to no significant change in control characteristics in case of system failure - by the automatic "Flight Envelope Protection" with integrated protection of the aircraft structure in all phases of operation - by automatic adaptation of the "Allowed Flight Envelope" (AFE) in case of system errors, if necessary
  • • Reduction of training costs due to the simplified handling of the aircraft both in the dynamic control range (maneuvering mode) and in horizontal and vertical "cruise mode"
  • • Imposing similar or similar control behavior on aircraft of different types and thus significantly simplifying pilot type rating
  • • Creating a performance and efficiency enhancement potential for aircraft - by artificially stabilizing the aircraft with CCS - through CCS integrated structural protection
  • • Application of the control system to different types of aircraft due to the scalable design of the system with respect to - Computer redundancy - Number and type of sensors - Number and type of servomotors - Technology of servomotors with respect to Dumb / Smart design

Erfindungsgemäß ist ein Datenbussystem mit Steuergeräten zur Ansteuerung der Aktuatoren für die aerodynamischen Steuerflächen des Flugzeugs vorgesehen. Die Steuerdaten werden über das Datenbussystem in Form von elektronischen Nachrichten übertragen und ein Aktuator, beispielsweise ein Elektromotor, bewirkt dann die eigentliche Verstellung der aerodynamischen Steuerflächen. Ein Datenbus ist in diesem Sinne ein einfacher LIN-, CAN-, oder FlexRay-Datenbus. Dabei kann jeder Datenbus jeweils zwei Datenbusleitungen aufweisen, wie dies beispielsweise beim CAN üblich ist.According to the invention is a Data bus system with control units for controlling the actuators for the aerodynamic control surfaces provided the aircraft. The control data is about the Transfer data bus system in the form of electronic messages and an actuator, such as an electric motor, then causes the actual adjustment of the aerodynamic control surfaces. One Data bus is in this sense a simple LIN, CAN, or FlexRay data bus. Each data bus can have two data bus lines in each case, as is customary for CAN, for example.

Sensoren mit sicherheitsrelevanten Aufgaben, dazu zählen auch Sensoren zur Erfassung der Pilotenkommandos in sicherheitsrelevanten Bedieneinheiten, sind mehrfach (redundant) ausgeführt. Dabei sind Mehrfachsensoren mit sicherheitsrelevanten Aufgaben so an die beiden Systembusse angekoppelt, dass an jedem der beiden Systembusse mindestens einer der mehrfachen Sensoren angekoppelt ist. Die Daten der mehrfach ausgeführten Sensoren werden so über die beiden Systembusse an die Steuergeräte übertragen. Das gerade aktive Steuergerät wählt im Wesentlichen über Mehrheitsvoting die korrekten Daten der redundanten Sensoren aus.sensors with safety-related tasks, including sensors for recording the pilot commands in safety-related control units, are executed multiple times (redundant). In this case, multiple sensors with safety-relevant tasks are like that coupled to the two system buses, that at each of the two System buses coupled to at least one of the multiple sensors is. The data of the multiply executed sensors are so over the both system buses are transmitted to the control units. The currently active one control unit chooses in Essentially about Majority vote, the correct data from the redundant sensors.

Steuergeräte mit sicherheitsrelevanten Aufgaben sind jeweils als Duplex, d. h. mit an sich gleichen oder dissimilaren Hardwaremodulen, doppelt ausgelegt. Dissimilar bedeutet hier, dass die Hardwaremodule funktionsidentisch, aber mit unterschiedlichen Komponenten ausgeführt sein können, um so Entwurfs- oder Produktionsfehler in einem Komponententyp nicht in beiden Hardwaremodulen gleichzeitig auftreten zu lassen (z.B.: die CPUs der beiden Hardwaremodule sind vom Typ her unterschiedlich). Die Ausführung mit zwei Hardwaremodulen hat für das Steuergerät den Vorteil, dass seine Aufgabe in jedem der Hardwaremodule separat berechnet und die Ergebnisse verglichen werden. Bei Übereinstimmung kann von einer ordnungsgemäßen Funktion des jeweiligen Hardwaremoduls ausgegangen werden. Unterscheiden sich die beiden berechneten Ergebnisse, so führt das gerade aktive Steuergerät entsprechend einer vorgegebenen Fehlerroutine Berechnungen durch. Im Fehlerfall übernimmt dann ein anderes Steuergerät die sicherheitskritische Steuerungsaufgabe oder bei weniger sicherheitskritischen Fehlern kann auch nur einer der beiden Mikrorechner des Steuergeräts die Aufgabe übernehmen, soweit eine Plausibilitätsprüfung vorher durchgeführt wurde. Die Steuergeräte sind über das Datenbussystem mit den jeweiligen sicherheitsrelevanten Aktuatoren (Stellmotoren) für die aerodynamischen Steuerflächen verbunden.Control units with safety-related Tasks are each as duplex, d. H. in itself or the same dissimilaren hardware modules, double designed. Dissimilar means here that the hardware modules are functionally identical, but with different Components executed could be, so design or production error in a component type is not occur simultaneously in both hardware modules (e.g. the CPUs of the two hardware modules are different in type). Execution with two hardware modules has for the control unit the advantage that calculates its task separately in each of the hardware modules and the results are compared. With agreement can of a proper function of the respective hardware module are assumed. distinguish If the two calculated results, then the currently active control unit performs accordingly a given error routine calculations by. In case of error takes over then another controller the safety-critical control task or less safety-critical Errors can take over even only one of the two microcomputer of the controller, the task as far as a plausibility check before carried out has been. The controllers are about the data bus system with the respective safety-relevant actuators (Servomotors) for the aerodynamic control surfaces connected.

Vorzugsweise ist eine sicherheitskritische Bedienfunktion entweder durch ein einziges an beide Datenbusse angekoppeltes Bedienelement, z.B. bei einem einpilotigen Flugzeug der Steuerknüppel des Piloten, oder durch zwei Bedienelemente (z.B. bei einem zweipilotigen Flugzeug die Steuerknüppel des Piloten und des Copiloten), von denen das eine an den einen und das andere an den anderen Datenbus angeschlossen ist, realisiert.Preferably is a safety-critical operating function either by a single control element coupled to both data buses, e.g. at a single-pilot pilot's joystick, or through two controls (e.g., on a two pilot airplane, the control sticks of the Pilots and the copilot), of which one to the one and the other is connected to the other data bus realized.

Bevorzugt sind die beiden Datenbusse unabhängig voneinander und nicht synchronisiert.Prefers the two data buses are independent from each other and not synchronized.

Bei einer vorteilhaften Ausführungsform der Erfindung ist eines der Steuergeräte bzgl. einer sicherheitskritischen Steuerungsaufgabe als Master-Steuergerät vorgesehen, das die sicherheitskritischen Steuerungsaufgabe ausführt, wobei das Entscheidungsmittel diese sicherheitskritische Steuerungsaufgabe im Fehlerfall auf das andere Steuergerät überträgt. Das Datenbussystem weist bzgl. einer Steuerungsaufgabe zwei voneinander unabhängige Steuergeräte mit jeweils zwei voneinander unabhängig arbeitenden Mikrorechnern auf. Innerhalb jedes Steuergeräts sind zwei Mikrorechner mit einer zwischen die beiden Mikrorechner geschalteten Datenschnittstelle vorhanden, über welche die aus den sicherheitsrelevanten Steuernachrichten berechneten Ergebnisdaten austauschbar und miteinander vergleichbar sind. Das Entscheidungsmittel, das als Software in jedem Steuergerät implementiert sein kann, entscheidet dann aufgrund des Vergleichs der Ergebnisdaten, welcher Mikrorechner bzw. welches Steuergerät die sicherheitskritische Steuerungsaufgabe durchführt.In an advantageous embodiment of the invention, one of the control units is provided with respect to a safety-critical control task as the master control unit, which controls the safety-critical operation executes this task task critical in the event of an error on the other control unit. With regard to a control task, the data bus system has two independent control devices each having two mutually independently operating microcomputers. Within each control unit there are two microcomputers with a data interface connected between the two microcomputers, via which the result data calculated from the security-relevant control messages are interchangeable and comparable with one another. The decision-making means, which can be implemented as software in each control device, then decides on the basis of the comparison of the result data which microcomputer or which control device performs the safety-critical control task.

Das Datenbussystem ist auf diese Weise mehrfach redundant. Bezogen auf eine sicherheitskritische Steuerungsaufgabe sind mindestens zwei Steuergeräte mit der notwendigen Steuerungssoftware versehen. Bei ordnungsgemäßem Betrieb des Datenbussystems übernimmt eines der beiden Steuergeräte, im Folgenden als das Master-Steuergerät bezeichnet, die sicherheitskritische Steuerung, z.B. die Steuerung aller Stellflächen. Die entsprechenden Aktuator-Nachrichten und -Daten werden auf einem der beiden Datenbusse zum Master-Steuergerät übertragen, die Nachrichten und Daten der Sensoren und anderer Systeme werden auf einem und für sicherheitskritische Daten auf beiden Bussen an das Master-Steuergerät übertragen. Die Steuerdaten werden innerhalb des Master-Steuergeräts jeweils unabhängig auf den beiden Mikrorechnern berechnet. Bei gleichlautenden Ergebnisdaten wird dann ein ordnungsgemäßer Betrieb des Master-Steuergeräts festgestellt, und einer der Mikrorechner oder auch beide Mikrorechner berechnen neue Steuersignale und diese werden auf beiden Datenbussen an die Aktuatoren übertragen, wobei ein Aktuator nur an einem Datenbus angekoppelt ist. Unterscheiden sich jedoch die beiden berechneten Ergebnisdaten im Master-Steuergerät, so beauftragt das Entscheidungsmittel über den Datenbus das andere Steuergerät mit der Berechnung der jeweiligen Steuerungsaufgaben. Dieses andere Steuergerät hat dazu die Systemsteuerdaten auf dem Datenbus auch zuvor schon empfangen und gespeichert, so dass nun die Berechnung der Steuerungsdaten ohne Zeitverzug anlaufen kann. Auf diese Weise ist gewährleistet, dass bei sicherheitskritischen Anwendungen im Flugzeug die Steuerung und Kommunikation auf dem Datenbussystem auch bei auftretenden Fehlern ohne Zeitverzug weitergeführt werden kann. Dadurch entsteht ein fehlersicheres Datenbussystem bezogen auf die dafür vorgesehenen sicherheitskritischen Steuerungsaufgaben.The Data bus system is multi-redundant in this way. Related to a safety-critical control task is at least two ECUs provided with the necessary control software. In proper operation of the data bus system one of the two control units, hereinafter referred to as the master controller, the safety-critical Control, e.g. the control of all shelves. The corresponding actuator messages and data are transferred on one of the two data buses to the master controller, the news and data of the sensors and other systems become on one and for transmit safety-critical data on both buses to the master control unit. The control data is within the master controller respectively independently calculated on the two microcomputers. For identical result data will then be a proper operation detected by the master controller, and calculate one of the microcomputers or both microcomputers new control signals and these are on both data buses to the Transmit actuators, wherein an actuator is coupled only to a data bus. distinguish However, the two calculated result data in the master control unit, so instructed the decision-making tool about the data bus the other control unit with the calculation of the respective Control tasks. This other controller has the system control data on the data bus also previously received and stored, so that now start the calculation of the control data without delay can. This ensures that that in safety-critical applications in the aircraft control and communication on the data bus system even if errors occur continued without delay can be. This creates a fail-safe data bus system based on the designated safety-critical control tasks.

Bevorzugt sind jeder sicherheitskritischen Bedienfunktion mindestens ein Sensor, der an den einen Datenbus angekoppelt ist, und mindestens ein Sensor, der an den anderen Datenbus angekoppelt sind, zugeordnet. Durch die doppelte (mehrfache) Auslegung können gerade sicherheitskritische Sensoren besser auf deren Funktion überprüft werden. Dabei werden die redundanten Sensoren möglichst gleich auf beide Systembusse verteilt. Im Fehlerfall kann dann auf einen Sensor umgeschaltet werden, der innerhalb des vorgesehenen Plausibilitätsbereichs Daten liefert.Prefers are every safety-critical operating function at least one sensor, which is coupled to the one data bus, and at least one sensor, which are coupled to the other data bus assigned. By The double (multiple) design can be safety-critical Sensors are better checked for their function. Here are the redundant sensors as possible immediately distributed to both system buses. In case of error can then a sensor can be switched within the provided plausibility range Provides data.

Bevorzugt weist jeder Mikrorechner die Steuerungssoftware aller sicherheitskritischen Steuerungsaufgaben auf, so dass auf jedem Steuergerät die Gesamtinformation aller sicherheitskritischen Steuerungsaufgaben vorgesehen ist. Dadurch kann jedes Steuergerät im Fehlerfall auch als Vertreter für ein anderes Steuergerät bei jeder beliebigen sicherheitskritischen Steuerungsaufgabe auftreten.Prefers Every microcomputer has the control software of all safety-critical ones Control tasks, so that the total information on each control unit all safety-critical control tasks is provided. Thereby can any controller in case of error also as representative for another control unit at each any safety-critical control task occur.

Weitere Vorteile der Erfindung ergeben sich aus der Beschreibung und der Zeichnung. Ebenso können die vorstehend genannten und die noch weiter aufgeführten Merkmale je für sich oder zu mehreren in beliebigen Kombinationen Verwendung finden. Die gezeigten und beschriebenen Ausführungsformen sind nicht als abschließende Aufzählung zu verstehen, sondern haben vielmehr beispielhaften Charakter für die Schilderung der Erfindung.Further Advantages of the invention will become apparent from the description and the Drawing. Likewise, the mentioned above and the features further listed individually or can be used for several in any combination. The shown and described embodiments are not as final enumeration but have rather exemplary character for the description of the Invention.

Es zeigen:It demonstrate:

1 die Systemarchitektur der erfindungsgemäßen Steuervorrichtung für ein einpilotiges Flugzeug; und 1 the system architecture of the control device for a single-pilot aircraft according to the invention; and

2 die Systemarchitektur der erfindungsgemäßen Steuervorrichtung für ein zweipilotiges Flugzeug. 2 the system architecture of the control device for a two-pilot aircraft according to the invention.

Die in 1 gezeigte Flugzeugsteuervorrichtung 1 umfasst ein redundant ausgelegtes Datenbussystem mit einem ersten Datenbus B1 und einem zweiten Datenbus B2. Die beiden Datenbusse B1 und B2 arbeiten unabhängig voneinander und sind nicht synchronisiert. Sie können zueinander dissimilar sein, d.h., der eine Datenbus kann z.B. vom Typ „FlexRay" und der andere z.B. vom Typ „TTP" sein. Jeder Datenbus B1 bzw. B2 besteht jeweils aus zwei Datenbusleitungen (nicht gezeigt).In the 1 Aircraft control device 1 shown comprises a redundantly designed data bus system with a first data bus B1 and a second data bus B2. The two data buses B1 and B2 operate independently of each other and are not synchronized. They can be dissimilar to each other, ie, the For example, one data bus may be of the "FlexRay" type and the other may be of the "TTP" type, for example. Each data bus B1 or B2 each consists of two data bus lines (not shown).

An die beiden Datenbusse B1 und B2 sind unterschiedliche Komponenten, wie Bediengeräte 26, Module 7, 8, Aktuatoren 912 für die Steuerruder 1316 des Flugzeugs sowie Steuergeräte 17 zum Ansteuern der Aktuatoren, angeschlossen. Je nachdem, ob die Funktion im Flugzeug sicherheitskritisch ist, sind die Komponenten entweder nur an einem Datenbus B1, B2 oder zwischen beiden Datenbussen angeordnet, so dass Nachrichten von beiden Datenbussen B1, B2 empfangen und hinsichtlich ihrer Korrektheit ausgewertet werden können.To the two data buses B1 and B2 are different components, such as operator panels 2 - 6 , Modules 7 . 8th , Actuators 9 - 12 for the rudder 13 - 16 of the aircraft as well as control devices 17 for driving the actuators, connected. Depending on whether the function in the aircraft is safety-critical, the components are either arranged only on a data bus B1, B2 or between the two data buses, so that messages from both data buses B1, B2 can be received and evaluated with regard to their correctness.

Die Bezugsziffern 2 und 3 bezeichnen den Steuerknüppel (STICK PIC) bzw. die Fußpedale (PEDAL) des Piloten, die Bezugsziffer 4 den Klappenhebel (FLAP LEVER PIC) des Piloten und die Bezugsziffern 5, 6 die Bugradsteuerung (NWS) bzw. die Bremssteuerung (BRAKE&TACHO, WOW). Die Aktoren 91 , 92 dienen zur Ansteuerung von beidseitigen Querrudern 131 , 132 , die Aktoren 101 , 102 zur Ansteuerung von beidseitigen Klappenrudern 141 , 142 , die Aktoren 111 , 112 zur Ansteuerung von beidseitigen Höhenrudern 151 , 152 und die Aktoren 121 , 122 zur Ansteuerung des Seitenruders 16. Die mit 1 indizierten Aktuatoren sind nur an den Datenbus B1 und die mit 2 indizierten Aktuatoren nur an den Datenbus B2 angekoppelt. Auch die Brems-Komponenten 61 , 62 sind jeweils nur an einem Datenbus B1 bzw. B2 vorgesehen, um den jeweiligen Bremszylinder anzusteuern oder Bremswerte zu erfassen, und als Simplex-Komponenten jeweils an einem Rad angeordnet und steuern Motoren oder Pneumatik- bzw. Hydraulik-Komponenten des Bremssystems an.The reference numbers 2 and 3 denote the pilot stick (STICK PIC) or the foot pedals (PEDAL) of the pilot, the reference numeral 4 the flap lever (FLAP LEVER PIC) of the pilot and the reference numerals 5 . 6 the nose wheel control (NWS) or the brake control (BRAKE & TACHO, WOW). The actors 9 1 . 9 2 serve for the control of bilateral ailerons 13 1 . 13 2 , the actors 10 1 . 10 2 for controlling double-sided flap rudders 14 1 . 14 2 , the actors 11 1 . 11 2 for controlling double-sided elevators 15 1 . 15 2 and the actors 12 1 . 12 2 for controlling the rudder 16 , The actuators indicated with 1 are only coupled to the data bus B1 and the actuators indicated by 2 only to the data bus B2. Also the brake components 6 1 . 6 2 are each provided only on a data bus B1 or B2 to control the respective brake cylinder or to detect braking values, and arranged as a simplex components each on a wheel and control motors or pneumatic or hydraulic components of the brake system.

Neben diesen jeweils nur einem Datenbus B1 bzw. B2 zugeordneten Komponenten, welche nicht fehlersicher sein müssen, sind die sicherheitskritischen Komponenten, d.h. die Bedienelemente 2, 3 und die Steuergeräte 17, doppelt ausgelegt und an beide Datenbussen B1, B2 angekoppelt.In addition to these only one data bus B1 and B2 associated components, which must not be failsafe, the safety-critical components, ie the controls 2 . 3 and the controllers 17 , doubly designed and coupled to both data buses B1, B2.

Die doppelte Auslegung der Bedienelemente 2, 3 bedeutet, dass die Bewegung z.B. des Steuerknüppels von zwei in sich redundanten Sensorgruppen erfasst wird. Jede Sensorgruppe umfasst z.B. ein Sensorpaar mit zwei Sensoren (nicht gezeigt), wobei das eine Sensorpaar nur an den Datenbus B1 und das andere Sensorpaar nur an den Datenbus B2 angekoppelt ist. Aus den redundanten Sensordaten wird im Wesentlichen durch einen „Voting-Vorgang" ein Sensorwert ermittelt und im Steuergerät 17 zur Steuerung genutzt werden. Dabei werden die von einem Sensorpaar eines Bedienelements gelieferten Sensordaten miteinander verglichen und nur, wenn sie miteinander übereinstimmen, für die weitere Verarbeitung im Steuergerät 17 ausgewählt. Im Mehrfachfehlerfall, wenn also die über die Datenbusse B1 und B2 gelieferten Sensordaten nicht übereinstimmen, kann diese Aufgabe auf ein anderes Steuergerät 17 verlagert werden. Aufgrund dieser Funktion besteht eine hohe Fehlersicherheit für den Steuerknüppel, bei dessen Ausfall das Flugzeug fluguntauglich wäre. Innerhalb von Millisekunden kann nach Erkennung eines Fehlers umgeschaltet werden, so dass die sicherheitskritische Steuerfunktion durch ein anderes Steuergerät übernommen wird.The double design of the controls 2 . 3 means that the movement of eg the joystick is detected by two mutually redundant sensor groups. Each sensor group includes, for example, a pair of sensors with two sensors (not shown), wherein the one pair of sensors is coupled only to the data bus B1 and the other sensor pair only to the data bus B2. From the redundant sensor data, a sensor value is essentially determined by a "voting process" and in the control unit 17 be used for control. In this case, the sensor data supplied by a sensor pair of a control element are compared with each other and only if they coincide with each other, for further processing in the control unit 17 selected. In the case of multiple errors, ie if the sensor data supplied via the data buses B1 and B2 do not match, this task can be transferred to another control unit 17 be relocated. Due to this function, there is a high error security for the joystick, in the absence of which the aircraft would be unfit for flight. Within milliseconds can be switched after detection of an error, so that the safety-critical control function is taken over by another controller.

Die Steuergeräte 17 beinhalten jeweils die gleiche sicherheitskritische Steuerungssoftware, welche von mindestens einem der Steuergeräte abgearbeitet wird, so dass bei Ausfall des gerade aktiven Steuergeräts die sicherheitskritische Steuerungsaufgabe nun von dem anderen Steuergerät übernommen werden kann. Jedes Steuergerät 17 umfasst zwei voneinander unabhängig arbeitende Mikrorechner 18, die jeweils die Steuerungssoftware aller sicherheitskritischen Steuerungsaufgabe aufweisen, so dass beim Ausfall eines Steuergeräts die Steuerungsaufgabe durch ein anderes Steuergerät übernommen werden kann. Zwischen den beiden Mikrorechnern 18 besteht eine Datenschnittstelle 19, an der die über die Datenbusse B1, B2 eingehenden Nachrichten bzw. die daraus berechneten Daten des ersten Mikrorechners 18 verglichen werden mit denen aus den Nachrichten der Datenbusse B1, B2 stammenden bzw. berechneten Ergebnisdaten des zweiten Mikrorechners 18. Mit der Datenschnittstelle 19 verbunden ist ein Entscheidungsmittel 20, das sinnvollerweise als Software in nur einem oder in allen Steuergeräten 17 implementiert ist und das die ordnungsgemäße Funktion der beiden Mikrorechner 18 überprüft und deren Daten vergleicht. Statt über die im Steuergerät 17 vorgesehene Datenschnittstelle 19 können die Mikrorechner 18 ihre Daten auch über die Datenbusse B1, B2 austauschen.The controllers 17 each contain the same safety-critical control software, which is processed by at least one of the control units, so that in case of failure of the currently active control unit, the safety-critical control task can now be taken over by the other control unit. Each control unit 17 includes two mutually independent microcomputers 18 , which each have the control software of all safety-critical control task, so that in case of failure of a control unit, the control task can be taken over by another control unit. Between the two microcomputers 18 there is a data interface 19 in which the messages arriving via the data buses B1, B2 or the data of the first microcomputer calculated therefrom 18 be compared with those from the messages of the data buses B1, B2 derived or calculated result data of the second microcomputer 18 , With the data interface 19 connected is a decision-making tool 20 that makes sense as software in just one or all controllers 17 is implemented and that the proper functioning of both microcomputers 18 checks and compares their data. Instead of the control unit 17 provided data interface 19 can the microcomputer 18 also exchange their data via the data buses B1, B2.

Im Fehlerfall, d.h. wenn die berechneten Ergebnisdaten des einen Mikrorechners 18 von denen des anderen Mikrorechners 18 abweichen, erkennt das Entscheidungsmittel 20 einen Fehler und je nach Diagnose wird das Entscheidungsmittel 20 die Funktionen des als fehlerhaft erkannten Steuergeräts 17 auf ein Ersatzsteuergerät 17 übergeben, so dass die Steuerungsaufgaben dann in diesem Ersatzsteuergerät erfolgen können. Das erfindungsgemäße Konzept sieht vor, dass im Wesentlichen die gleiche Hardware und im Wesentlichen die gleiche Software auf den Mikrorechnern 18 eines Steuergerät zweimal vorgesehen ist und auf diese Weise das Ergebnis aus den Nachrichten doppelt, d. h. redundant, berechnet wird. Im Fehlerfall verteilt das Entscheidungsmittel 20 entsprechend einer vorgegebenen Fehlerbehandlungsroutine die sicherheitskritische Steuerungsaufgabe auf ein anderes Steuergerät oder einen anderen Mikrorechner 18.In case of error, ie if the calculated result data of the one microcomputer 18 from those of the other microcomputer 18 deviate recognizes the means of decision 20 a mistake and depending on the diagnosis becomes the decision-making tool 20 the functions of the controller identified as faulty 17 on a replacement control unit 17 passed, so that the control tasks can then be done in this replacement control unit. The inventive concept provides that essentially the same hardware and essentially the same software on the microcomputers 18 a control unit is provided twice and in this way the result from the messages is calculated twice, ie redundantly. In the event of an error, this is distributed decision means 20 according to a predetermined error handling routine, the safety-critical control task to another controller or another microcomputer 18 ,

Zur Ansteuerung des sicherheitskritischen Seitenruders 16 sind zwei Aktuatoren 121 und 122 vorgesehen, die beide gleichzeitig „aktiv/aktiv" oder auch „aktiv/standby" das Seitenruder ansteuern. Fällt ein Aktuator 12, aus, wird dies über Sensoren erkannt, der betroffene Aktuator abgeschaltet („in Leerlauf: standby" geschaltet), und nun nur noch vom verbleibenden Aktuator angesteuert.For controlling the safety-critical rudder 16 are two actuators 12 1 and 12 2 provided that both simultaneously "active / active" or "active / standby" the rudder drive. If an actuator fails 12 , this is detected by sensors, the affected actuator is switched off ("switched to idle: standby"), and now only driven by the remaining actuator.

Die Modul 71 , 72 sind IO-Module (IOM) und die Module 82 , 82 Gateway-Module (GWM), die, wie ihre Indizierung zeigt, jeweils nur an einen der Datenbusse B1 oder B2 angeschlossen sind. Sind externe Einheiten nicht „smart" (d.h. der Datenaustausch erfolgt über diskrete Schaltsignale oder diskrete analoge Steuersignale), so wird die hierfür nötige Elektronik in einem IO-Modul 7 untergebracht, das mit den Steuergeräten 17 kommuniziert. Über die GWM-Module 8 wird die Verbindung eines Datenbusses B1, B2 zu anderen externen Bussystemen, z.B. GPS-Systemen 211 , 212 und ECU-Systemen 221 , 222 hergestellt.The module 7 1 . 7 2 are IO modules (IOM) and the modules 8 2 . 8 2 Gateway modules (GWM), which, as their indexing shows, are each connected to only one of the data buses B1 or B2. If external units are not "smart" (ie the data is exchanged via discrete switching signals or discrete analogue control signals), the necessary electronics are integrated in an IO module 7 housed with the controllers 17 communicated. About the GWM modules 8th becomes the connection of a data bus B1, B2 to other external bus systems, eg GPS systems 21 1 . 21 2 and ECU systems 22 1 . 22 2 produced.

Die Steuergeräte 17, IO-Module 7 und GWM-Module 8 sind in zwei Blöcke 23a und 23b angeordnet, die jeweils an unterschiedliche Stromquellen angeschlossen sind.The controllers 17 , IO modules 7 and GWM modules 8th are in two blocks 23a and 23b arranged, which are each connected to different power sources.

Von der Steuervorrichtung 1 unterscheidet sich die in 2 gezeigte Steuervorrichtung 1' bei gleicher Funktionsweise lediglich dadurch, dass die Steuerfunktionen der Bedieneinheiten 2, 3 nunmehr auf der Piloten- und der Copilotenseite jeweils durch eine eigene Bedieneinheit 21 , 22 und 31 , 32 realisiert sind.From the control device 1 is different in the 2 shown control device 1' with the same functioning only in that the control functions of the control units 2 . 3 now on the pilot and co-pilot side each with its own control unit 2 1 . 2 2 and 3 1 . 3 2 are realized.

Abkürzungen und ÜbersetzungenAbbreviations and translations

FPlatFPlat
Fly by Wire PlattformFly by Wire platform
FBWCFBWC
Fly by Wire ComputerFly by wire computer
CPMCPM
Computing ModuleComputing modules
IOMIOM
Input/Output ModuleInput / output modules
GWMGWM
Gateway ModuleGateway modules
PDMPDM
Power Distribution ModulePower Distribution modules
SCSC
Star CpouplerStar Cpoupler
SCSC
Stick ControllerStick controller
HDGHDG
Headingheading
TRKTRK
Trackingtracking
BRGBRG
BearingBearing
PICPIC
Pilot In CommandPilot In Command
FOFO
First OfficerFirst Officer
NWSNWS
Nose Wheel SteeringNose Wheel Steering
WOWWOW
Weight On WheelWeight On Wheel
GPSGPS
Global Positioning SystemGlobal Positioning system
ECUECU
Engine Control UnitEngine control unit
PWRPWR
Powerpower
TTPTTP
Time Trigger ProtocolTime Trigger Protocol
BATBAT
BatteryBattery
GENGENE
Generatorgenerator
CoCo
CommandCommand
MoNot a word
Monitormonitor
PSPS
Power SupplyPower supply
FlightFlight
Envelope Protection FlugbereichsüberwachungEnvelope Protection Flight range monitoring
CCSCCS
Carefree Control SystemCarefree Control System
AFPAFP
Allowed Flight EnvelopeAllowed Flight Envelope
CANCAN
Controller Area NetworkController Area Network
A/CA / C
AircraftAircraft

Claims (9)

Vorrichtung (1; 1') zur Steuerung von Flugzeugen, mit einem redundanten Datenbussystem mit zwei Datenbussen (B1, B2), mit aerodynamischen Steuerflächen (1316), deren Aktuatoren (912) jeweils nur an einen der beiden Datenbusse (B1, B2) angekoppelt sind, und mit pilotseitigen Bedienelementen (2, 3; 21 , 22 , 31 , 32 ), die an einen oder an beide Datenbusse angekoppelt sind, wobei zwischen den Datenbussen (B1, B2) mindestens zwei Steuergeräte (17) angekoppelt sind, die jeweils funktionsgleiche sicherheitskritische Steuerungssoftware beinhalten, welche von mindestens einem der Steuergeräte abgearbeitet wird, so dass bei Ausfall des gerade aktiven Steuergeräts die sicherheitskritische Steuerungsaufgabe nun von dem anderen Steuergerät übernommen werden kann, wobei jedes Steuergerät (17) zwei voneinander unabhängig arbeitende Mikrorechner (18) aufweist, die jeweils beide die sicherheitskritische Steuerungssoftware beinhalten und deren aus Sensordaten der Bedienelemente (2, 3, 21 , 22 , 31 , 32 ) und/oder anderer Sensoren (211 , 212 , 221 , 222 ) berechnete Ergebnisdaten austauschbar und miteinander vergleichbar sind, und wobei ein Entscheidungsmittel (20) vorgesehen ist, das aufgrund des Vergleichs der Ergebnisdaten entscheidet, welcher Mikrorechner (18) bzw. welches Steuergerät (17) die sicherheitskritische Steuerungsaufgabe durchführt.Contraption ( 1 ; 1' ) for controlling aircraft, with a redundant data bus system with two data buses (B1, B2), with aerodynamic control surfaces ( 13 - 16 ), whose actuators ( 9 - 12 ) are each coupled to only one of the two data buses (B1, B2), and with pilot-side operating elements ( 2 . 3 ; 2 1 . 2 2 . 3 1 . 3 2 ), which are coupled to one or both data buses, wherein between the data buses (B1, B2) min at least two control devices ( 17 ) are coupled, each containing functionally identical safety-critical control software, which is processed by at least one of the control units, so that in case of failure of the currently active controller, the safety-critical control task can now be taken over by the other controller, each control unit ( 17 ) two mutually independent microcomputers ( 18 ), both of which contain the safety-critical control software and their sensor data from the operating elements ( 2 . 3 . 2 1 . 2 2 . 3 1 . 3 2 ) and / or other sensors ( 21 1 . 21 2 . 22 1 . 22 2 ) are interchangeable and comparable, and where a decision-making tool ( 20 ) which, on the basis of the comparison of the result data, decides which microcomputer ( 18 ) or which control device ( 17 ) performs the safety-critical control task. Steuervorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass zwischen den beiden Mikrorechnern (18) eines Steuergeräts (17) eine Datenschnittstelle (19) vorgesehen ist, über welche die beiden Mikrorechner (18) ihre Ergebnisdaten austauschen und miteinander vergleichen.Control device according to Claim 1, characterized in that between the two microcomputers ( 18 ) of a control device ( 17 ) a data interface ( 19 ) is provided, via which the two microcomputer ( 18 ) exchange their results and compare them. Steuervorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Mikrorechner (18) eines Steuergeräts (17) ihre Ergebnisdaten über die Datenbusse (B1, B2) austauschen und miteinander vergleichen.Control device according to Claim 1 or 2, characterized in that the microcomputers ( 18 ) of a control device ( 17 ) exchange their result data over the data buses (B1, B2) and compare them. Steuervorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine sicherheitskritische Bedienfunktion entweder durch ein einziges an beide Datenbusse (B1, B2) angekoppeltes Bedienelement (2; 3) oder durch zwei Bedienelemente (21 , 22 ; 31 , 32 ), von denen das eine an den einen und das andere an den anderen Datenbus angeschlossen ist, realisiert ist.Control device according to one of the preceding claims, characterized in that a safety-critical operating function either by a single to both data buses (B1, B2) coupled control ( 2 ; 3 ) or by two control elements ( 2 1 . 2 2 ; 3 1 . 3 2 ), one of which is connected to one and the other to the other data bus is realized. Steuervorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die beiden Datenbusse (B1, B2) unabhängig voneinander und nicht synchronisiert sind.Control device according to one of the preceding claims, characterized in that the two data buses (B1, B2) are independent of each other and are not synchronized. Steuervorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eines der Steuergeräte (17) bzgl. einer sicherheitskritischen Steuerungsaufgabe als Master-Steuergerät vorgesehen ist, das die sicherheitskritische Steuerungsaufgabe ausführt, wobei das Entscheidungsmittel (20) diese sicherheitskritische Steuerungsaufgabe im Fehlerfall auf ein anderes Steuergerät (17) überträgt.Control device according to one of the preceding claims, characterized in that one of the control devices ( 17 ) with respect to a safety-critical control task is provided as a master control unit, which executes the safety-critical control task, wherein the decision-making means ( 20 ) this safety-critical control task in the event of an error on another control unit ( 17 ) transmits. Steuervorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jeder sicherheitskritischen Bedienfunktion mindestens ein Sensor, der an den einen Datenbus angekoppelt ist, und mindestens ein Sensor, der an den anderen Datenbus angekoppelt sind, zugeordnet sind.Control device according to one of the preceding claims, characterized characterized in that any safety-critical operating function at least one sensor coupled to the one data bus, and at least one sensor coupled to the other data bus are assigned. Steuervorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jeder Datenbus (B1, B2) zwei Busleitungen (Channels) aufweist.Control device according to one of the preceding claims, characterized characterized in that each data bus (B1, B2) has two bus lines (channels) having. Steuervorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jeder Mikrorechner (18) die Steuerungssoftware aller sicherheitskritischen Steuerungsaufgaben aufweist, so dass auf jedem Steuergerät (17) die Gesamtinfonnation aller sicherheitskritischen Steuerungsaufgaben vorgesehen ist.Control device according to one of the preceding claims, characterized in that each microcomputer ( 18 ) has the control software of all safety-critical control tasks, so that on each control unit ( 17 ) the total information of all safety-critical control tasks is provided.
DE102005008556A 2005-02-23 2005-02-23 Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers Ceased DE102005008556A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102005008556A DE102005008556A1 (en) 2005-02-23 2005-02-23 Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005008556A DE102005008556A1 (en) 2005-02-23 2005-02-23 Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers

Publications (1)

Publication Number Publication Date
DE102005008556A1 true DE102005008556A1 (en) 2006-08-24

Family

ID=36776289

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005008556A Ceased DE102005008556A1 (en) 2005-02-23 2005-02-23 Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers

Country Status (1)

Country Link
DE (1) DE102005008556A1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008026574A1 (en) * 2008-05-30 2009-12-10 Siemens Aktiengesellschaft Control system, control computer and method for operating a control system
DE102008034150A1 (en) * 2008-07-22 2010-01-28 Continental Automotive Gmbh Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102008060984A1 (en) * 2008-12-06 2010-06-10 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Method for protection against external intervention in a master / slave bus system and master / slave bus system
EP2251789A1 (en) * 2009-05-12 2010-11-17 ABB France Input/output module for sensors and/or actuators exchanging information with two central processing units
EP2423105A3 (en) * 2010-08-27 2017-06-21 Liebherr-Aerospace Lindenberg GmbH Wheel control for an aircraft
WO2018215649A1 (en) * 2017-05-26 2018-11-29 Liebherr-Aerospace Lindenberg Gmbh Flight control system
CN110466741A (en) * 2018-05-11 2019-11-19 利勃海尔航空航天林登贝格股份有限公司 System for controlling, adjusting and/or monitor aviation aircraft
EP3761568A1 (en) * 2019-07-01 2021-01-06 Volvo Car Corporation Method of controlling communication over a local interconnect network bus

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3882406A (en) * 1973-11-14 1975-05-06 Honeywell Inc Fault suppressing signal selection apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3882406A (en) * 1973-11-14 1975-05-06 Honeywell Inc Fault suppressing signal selection apparatus

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008026574A1 (en) * 2008-05-30 2009-12-10 Siemens Aktiengesellschaft Control system, control computer and method for operating a control system
US8510594B2 (en) 2008-05-30 2013-08-13 Siemens Aktiengesellschaft Control system, control computer and method for operating a control system
DE102008034150A1 (en) * 2008-07-22 2010-01-28 Continental Automotive Gmbh Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102008060984A1 (en) * 2008-12-06 2010-06-10 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Method for protection against external intervention in a master / slave bus system and master / slave bus system
EP2251789A1 (en) * 2009-05-12 2010-11-17 ABB France Input/output module for sensors and/or actuators exchanging information with two central processing units
FR2945643A1 (en) * 2009-05-12 2010-11-19 Abb France Inputs / outputs module for sensors and / or actuators exchanging information with two central units.
EP2423105A3 (en) * 2010-08-27 2017-06-21 Liebherr-Aerospace Lindenberg GmbH Wheel control for an aircraft
WO2018215649A1 (en) * 2017-05-26 2018-11-29 Liebherr-Aerospace Lindenberg Gmbh Flight control system
CN110710164A (en) * 2017-05-26 2020-01-17 林登贝格利勃海尔-航空股份有限公司 Flight control system
CN110710164B (en) * 2017-05-26 2022-02-11 林登贝格利勃海尔-航空股份有限公司 Flight control system
CN110466741A (en) * 2018-05-11 2019-11-19 利勃海尔航空航天林登贝格股份有限公司 System for controlling, adjusting and/or monitor aviation aircraft
EP3567809A3 (en) * 2018-05-11 2019-12-18 Liebherr-Aerospace Lindenberg GmbH System for controlling, regulating and/or monitoring an aircraft
EP3761568A1 (en) * 2019-07-01 2021-01-06 Volvo Car Corporation Method of controlling communication over a local interconnect network bus

Similar Documents

Publication Publication Date Title
DE60108637T2 (en) AIR CONTROL MODULES, BUILT IN THE INTEGRATED MODULAR AVIONICS
DE69305112T2 (en) Primary multi-axis, redundant, fully electric flight control system
DE60202924T2 (en) Aircraft control system
DE60105815T2 (en) PILOT CONTROL WITH INTEGRATED SPOILER DRIVE CONTROL ELECTRONICS
DE60221949T2 (en) Electric steering for a vehicle with triple redundancy
EP3584140B1 (en) Vehicle and method and apparatus for controlling a safety-relevant process
DE102005008556A1 (en) Aircraft controlling device, has decision unit provided to decide execution of security-critical control function on microcomputers and/or control units due to comparison of output data of microcomputers
DE69204071T2 (en) Model-assisted speed control at low speeds for rotary wing aircraft.
EP2587330B1 (en) Control device for at least partially autonomous operation of a vehicle and vehicle with such a control device
DE69534317T2 (en) Over-speed protection system for autopilot / trajectory controller
EP2435308B1 (en) Aircraft with a high-lift system
EP3563527B1 (en) Flight control system
DE602004003855T2 (en) Method and device for controlling an aircraft
EP3746344B1 (en) Control system for a motor vehicle for coordinating and carrying out customer functions, method for operating such a control system, and motor vehicle comprising such a control system
DE69900315T2 (en) INTEGRATED FIRE AND FLIGHT CONTROL SYSTEM TO CONTROL THE ATTACK ANGLE OF A HELICOPTER
DE69404763T2 (en) Automatic aircraft control device
DE60008944T2 (en) Device for controlling the yaw angle of an aircraft
DE60111303T2 (en) Airplane with electric flight control, equipped with an autopilot system
WO2021089307A1 (en) Device for controlling an automated driving operation of a vehicle
DE102011115362A1 (en) Modular electronic flight control system for controlling actuators in e.g. primary flight controls of e.g. civilian aircraft, has control units comprising electronic control of actuators and arranged and distributed in airplane
DE3200839C1 (en) Aircraft trimming device
DE102006039671A1 (en) Modular electronic flight control system has actuator control-electronics having selection logic to decide whether to use directly received pilot guidelines or reference values of flight control processor for controlling actuator module
DE69816889T2 (en) Method and device for operating an elevator or a tilt rudder of an aircraft
EP3515816B1 (en) Open and closed control of actuators which drive aerodynamic control surfaces of an aircraft
EP3163397A2 (en) Flight control device for a guided missile and method for steering a guided missile

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection