PatentDe  


Dokumentenidentifikation DE69227000T2 02.06.1999
EP-Veröffentlichungsnummer 0535760
Titel Verfahren und Vorrichtung zur zeitbedingten Unterscheidung zwischen Fehlern in einem hierarchischen Datenverarbeitungssystem
Anmelder Aérospatiale Société Nationale Industrielle, Paris, FR
Erfinder Leyre, Xavier, Residence Les Reves d'Or, F-06400 Cannes, FR;
Senaux, Michel, F-06560 Valbonne, FR
Vertreter Hagemann, Braun & Held, 81675 München
DE-Aktenzeichen 69227000
Vertragsstaaten DE, SE
Sprache des Dokument Fr
EP-Anmeldetag 02.10.1992
EP-Aktenzeichen 922030325
EP-Offenlegungsdatum 07.04.1993
EP date of grant 16.09.1998
Veröffentlichungstag im Patentblatt 02.06.1999
IPC-Hauptklasse G06F 11/14
IPC-Nebenklasse G06F 11/20   

Beschreibung[de]

Die Erfindung betrifft die Behandlung von Fehlern, die auf verschiedenen Ebenen eines Datenverarbeitungssystems auftreten können, das sich insbesondere, jedoch nicht notwendigerweise an Bord eines Raumfahrzeugs befindet, welches im Falle eines Fehlers in ungünstiger Umgebung eine hohe Autonomie aufweisen muß.

Ein Datenverarbeitungssystem für Raumfahrzeuge muß in der Praxis verschiedene Anforderungen erfüllen, nämlich diejenigen einer hohen Zuverlässigkeit (durch die Fähigkeit, Fehler möglichst autonom zu überwinden), geringer Masse und niedriger Kosten.

Tatsächlich setzt die Minimierung der Gesamtkosten nicht nur die Minimierung der Materialkosten der Datenverarbeitungsanlage sondern auch die Minimierung der Notwendigkeit der Überwachung von der Bodenstation aus und der Dauer möglicher Unterbrechungen der Mission voraus.

Datenverarbeitungsanlagen für Einsätze in der Raumfahrt sind bereits vorgestellt und insbesondere in "SPACE SHUTTLE AVIONICS SYSTEM-NASA 59-504-1989 - J. F. HANAWAY, R. W. MOOREHEAD" oder in "Study of a Unified Hardware and Software Fault Tolerant Architecture - NASA Contractor Report 181759 - Januar 1989 - J. LALA et al. " beschrieben. Diese Systeme weisen den Nachteil auf, mehr als zwei Einheiten pro Funktion einzusetzen (eine nominale Einheit und eine redundante Einheit), was zu einer großen Masse und zu hohen Kosten führt.

Andere Lösungen, wie z. B. jene, die in "A 6800 Coprocessor for Error Detection in Microcomputers: The PAD - Proceedings of the IEEE, Band 74, Nr. 5, Mai 1986, 5.723 - Y. CROUZET, J. CHAVADE" beschrieben sind, weisen insbesondere den Nachteil auf, daß zwei Mikroprozessoren eingesetzt werden, die gleichzeitig funktionieren müssen, was zu einer merklichen Komplexität führt.

Das Verfahren des Ersetzens eines defekten Rechners durch einen Ersatzrechner, wie dies von einem Koordinationsrechner ausgeführt wird, der über mehrere Bussysteme mit diesen Rechnern verbunden ist, ist in der EP-A-0 358 785 im Zusammenhang mit einem Eisenbahnsignalisationssystem detailliert beschrieben.

Aber es handelt sich nicht um ein tatsächliches zentralisiertes hierarchisches Datenverarbeitungssystem: Jeder Rechner übernimmt seine eigene Funktion, und es gibt keine Hinweise auf mögliche Einheiten, die von ihm abhängen, und insbesondere nicht auf deren Ersetzung.

Die Erfindung bezieht sich im Gegensatz dazu auf ein zentralisiertes hierarchisches Datenverarbeitungssystem, d. h. auf eine einzelne Rechner- bzw. Berechnungseinheit, die in einem gegebenen Moment in Betrieb ist, das zum Erreichen der üblichen Standarts in bezug auf Zuverlässigkeit nur eine sehr kleine Anzahl an Elementen benötigt, die in redundanter Reservelage zur Verfügung stehen (typischerweise ein einziges Element pro Funktion).

Der Erfindung liegt somit die Aufgabe zugrunde, ein Verfahren zum Detektieren/Passivieren von Fehlern in einem derartigen zentralisierten hierarchischen Datenverarbeitungssystem anzugeben, das es ermöglicht, einen möglichst großen Teil der Rechner, wobei es sogar nur einen einzigen geben kann, sowie verschiedener anderer Elemente des Systems betriebsbereit zu machen, wobei die Risiken, ein noch brauchbares Element auszusortieren und beispielsweise vorschnell seine Rekonfiguration anzuweisen (Rekonfiguration = Ersetzung durch ein in redundanter Reservelage zur Verfügung stehendes Element), begrenzt sein sollen, und dies mit einer hohen Reaktionsgeschwindigkeit.

Die Erfindung schlägt demzufolge ein Verfahren zum Detektieren und Passivieren von Fehlern in einem zentralisierten hierarchischen Datenverarbeitungssystem vor, das im Fall von Fehlern in einer feindlichen Umgebung autonom ist, das sich insbesondere, jedoch nicht notwendigerweise, an Bord eines Raumfahrzeuges befindet und das ein Prozessormodul, einen mit diesem Prozessormodul verbundenen Datenverarbeitungsbus und mit diesem Bus verbundene Einheiten aufweist, dadurch gekennzeichnet, daß Zustandssignale, die die korrekte oder schlechte Funktion des Prozessormoduls und jeder der Einheiten anzeigen, überwacht werden und, wenn ein Zustandssignal detektiert wird, das eine schlechte Funktion des Prozessormoduls anzeigt, ein vorgegebener Rekonfigurationszyklus des Prozessormoduls angefordert wird und, wenn ein Signal detektiert wird, das eine schlechte Funktion einer Einheit anzeigt, der Austausch dieser Einheit durch eine für dieselbe Funktion in redundanter Reservelage zur Verfügung stehende Einheit angefordert wird, und zwar nach einer Verzögerung, die mindestens gleich der Zeitdauer eines solchen Rekonfigurationszyklus des Prozessormoduls ist, wobei diese Verzögerung bei der Auslösung eines solchen Rekonfigurationszyklus des Prozessormoduls inhibiert wird.

Es ist zu erkennen, daß durch eine solche zeitliche Diskriminierung der Ebenen vermieden wird, daß auf eine komplexe Logik zurückgegriffen werden muß, um die tatsächliche fehlerhafte Komponente zu identifizieren: Auf einer gegebenen Ebene erfolgt eine Reaktion nur nach einer Verzögerung, welche sicherstellt, daß das System die Zeit hatte, aus einer möglichen Reaktion der höheren Ebene Nutzen zu ziehen, und so wird jegliche Anforderung einer noch ausstehenden Reaktion auf einer unteren Ebene inhibiert.

Gemäß bevorzugter Ausführungen, die eventuell kombiniert sein können,:

- läßt man die Zustandssignale, die die Funktion der Einheiten anzeigen, durch das Prozessormodul überwachen und läßt man einen solchen Austausch der Einheit von einem Piloten außerhalb des Prozessormoduls ausführen;

- beträgt diese Verzögerung zwischen 0,5 und 50 Sekunden, vorzugsweise zwischen 0,5 und 5 Sekunden;

- läßt man außerdem vom Prozessormodul Zustandssignale überwachen, die die korrekte oder schlechte Funktion von elementaren Einheiten anzeigen, welche durch die Einheiten mit dem Bus verbunden sind, und läßt man, wenn das Prozessormodul ein Zustandssignal detektiert, das eine schlechte Funktion einer dieser elementaren Einheiten anzeigt, durch dieses Prozessormodul den Austausch dieser elementaren Einheit durch eine elementare, in redundanter Reservelage für dieselbe Funktion zur Verfügung stehende Einheit ausführen, und zwar nach einer zweiten Verzögerung, die mindestens gleich der Summe aus der vorgesehenen Verzögerung vor dem Austausch einer Einheit durch eine in redundanter Reservelage für dieselbe Funktion zur Verfügung stehende Einheit und der für diesen Austausch notwendigen Zeitdauer ist, wobei diese zweite Verzögerung durch einen solchen Austausch der Einheit oder durch die Auslösung eines Rekonfigurationszyklus des Prozessormoduls inhibiert wird;

- beträgt diese zweite Verzögerung zwischen 1 und 10 Sekunden;

- beträgt die erste Verzögerung etwa 0,5 Sekunden, wobei die zweite Verzögerung etwa 1 Sekunde beträgt;

- sind mit dem Prozessormodul eine Vielzahl von Einheiten verbunden, die auf mindestens einer Ebene verteilt sind, wobei außerdem, unabhängig von den Einheiten und dem Prozessormodul, Zustandssignale überwacht werden, die den Zustand oder die Lage des Raumfahrzeugs anzeigen, und, wenn detektiert wird, daß eines dieser Zustandssignale einen Schwellenwert übersteigt, man unabhängig vom Prozessormodul den Austausch des Prozessormoduls, des Busses und aller Einheiten durch etwaige Prozessormodule, Busse und Einheiten, die in redundanter Reservelage zur Verfügung stehen, ausführen läßt, und dies nach einer gesamten Verzögerung, die mindestens gleich der Zeit ist, welche notwendig ist, um nacheinander den Austausch des Prozessormoduls, dann denjenigen der Einheiten Ebene für Ebene durchzuführen, wobei von der höchsten Ebene ausgegangen wird;

- beträgt diese gesamte Verzögerung mindestens 1 Minute;

- beträgt diese gesamte Verzögerung zwischen 1 und 10 Minuten;

- ist diese Schwellenzahl gleich 1;

- beträgt diese vorgegebene Zeitdauer zwischen 5 und 60 Sekunden, vorzugsweise etwa 10 Sekunden;

- wird zum Ausführen eines solchen Rekonfigurationszyklus des Prozessormoduls oder eines Austausches einer Einheit die Erzeugung eines Rekonfigurationsimpulses mit bestimmten Merkmalen angefordert und wird, während die Zustandssignale eine korrekte Funktion anzeigen, periodisch ein Testverfahren angewiesen, das die Erzeugung mindestens eines Testimpulses beinhaltet, der nur eines dieser bestimmten Merkmale aufweist, und wird verifiziert, daß dieser Testimpuls dieses gewünschte der bestimmten Merkmale aufweist;

- sind die bestimmten Merkmale die Spannung und die Dauer des Rekonfigurationsimpulses;

- umfaßt dieser vorgegebene Rekonfigurationszyklus des Prozessormoduls ein Ausschalten und ein Wiedereinschalten dieses Prozessormoduls;

- wird bei der Auslösung eines Rekonfigurationszyklus ein Zeitgeber ausgelöst und wird die Anzahl der Detektierungen eines Zustandssignals, das eine schlechte Funktion des Prozessormoduls anzeigt, im Verlauf einer vorgegebenen Zeitdauer, die von dieser Auslösung an zu zählen ist, gezählt, wird diese Anzahl mit einer Schwellenzahl verglichen und wird, wenn diese Anzahl diese Schwellenzahl erreicht, der Austausch dieses Prozessormoduls durch ein anderes Prozessormodul, das in redundanter Reservelage zur Verfügung steht, angefordert.

Die Erfindung schlägt auch ganz allgemein ein Verfahren zum Detektieren und Passivieren von Fehlern in einem zentralisierten hierarchischen Datenverarbeitungssystem vor, das im Fall von Fehlern in einer feindlichen Umgebung eine große Autonomie zeigen muß, das sich insbesondere, jedoch nicht notwendigerweise, an Bord eines Raumfahrzeuges befindet und Komponenten aufweist, die auf mehreren Ebenen verteilt sind, darunter ein Prozessormodul auf der höchsten Ebene, dadurch gekennzeichnet, daß Zustandssignale überwacht werden, die die korrekte oder schlechte Funktion dieser Komponenten anzeigen, und, wenn ein Zustandssignal detektiert wird, das eine schlechte Funktion des Prozessormoduls anzeigt, ein vorgegebener Rekonfigurationszyklus des Prozessormoduls angefordert wird, und, wenn ein Signal detektiert wird, das eine schlechte Funktion einer Komponente auf einer niedrigeren Ebene anzeigt, diese Komponente durch eine andere Komponente derselben Ebene, die für dieselbe Funktion in redundanter Reservelage zur Verfügung steht, ersetzt wird, und zwar nach einer Verzögerung, welche um so länger ist, je niedriger die Ebene dieser Komponente ist, wobei diese Verzögerung für diese Ebene so vorgegeben ist, daß sie größer ist als die Summe aus einer vorgegebenen Verzögerung, die für die nächsthöhere Ebene ausgewählt ist, und der Zeitdauer des Austausches einer Komponente dieser nächsthöheren Ebene, wobei die vorgegebene Verzögerung, die für die in bezug auf die Ebene des Prozessormoduls nächstniedrigere Ebene ausgewählt ist, mindestens gleich der Zeitdauer eines solchen Rekonfigurationszyklus des Prozessormoduls ist, wobei jede für eine bestimmte Komponente einer bestimmten Ebene ausgelöste Verzögerung durch die Auslösung entweder eines Rekonfigurationszyklus des Prozessormoduls oder eines Ersetzungszyklus einer Komponente, von der diese bestimmte Komponente abhängt, auf einer höheren Ebene inhibiert wird.

Im Hinblick auf den Einsatz dieses Verfahrens schlägt die Erfindung auch ein zentralisiertes hierarchisches Datenverarbeitungssystem vor, das im Fall von Fehlern in einer feindlichen Umgebung autonom ist und sich insbesondere, jedoch nicht notwendigerweise, an Bord eines Raumfahrzeugs befindet und eine Berechnungseinheit und Einheiten aufweist, die auf einer niederen Ebene verteilt sind und mit einem Prozessormodul verbunden sind, das Teil der Berechnungseinheit ist, dadurch gekennzeichnet, daß die Berechnungseinheit so ausgelegt ist, daß sie Zustandssignale, die die korrekte oder schlechte Funktion des Prozessormoduls und jeder der Einheiten anzeigen, überwacht, und außerdem ein Rekonfigurationsmodul aufweist, das vom Prozessormodul getrennt ist und, mit einem Datenübertragungsbus verbunden, einen Prozessormodul-Rekonfigurationsblock, der dafür ausgelegt ist, als Funktion von Zustandssignalen einen Impuls auszusenden, der dazu bestimmt ist, einen Rekonfigurationszyklus des Prozessormoduls auszulösen, einen Selbsttestblock, einen Testverifizierungsblock, der mit dem Ausgang des Prozessormodul-Rekonfigurationsblocks verbunden ist, einen Sicherungsspeicherblock, ein Schnittstellenmodul zum Prozessormodul und einen zweiten Rekonfigurationsblock aufweist, der mit dem Bus verbunden ist und dafür ausgelegt ist, auf Anforderung des Prozessormoduls als Funktion von Zustandssignalen einen Rekonfigurationsimpuls zu erzeugen, der für eine der Einheiten der niedrigen Ebene bestimmt ist, und zwar nach einer Verzögerung, die mindestens gleich der Zeitdauer eines solchen Rekonfigurationszyklus des Prozessormoduls ist.

Gemäß bevorzugter Ausführungen, die eventuell kombiniert sein können,:

- weist das Prozessormodul eine Anschlußklemme zur Steuerung der Ein-/Aus-Funktion auf, die mit einem Ausgang des Prozessormodul- Rekonfigurationsblocks verbunden ist, wobei dieses Rekonfigurationsmodul eine Anschlußklemme zur Steuerung der Ein-/Aus-Funktion aufweist, die mit einem vom Prozessormodul unabhängigen Modul verbunden ist;

- weist diese Berechnungseinheit ein zweites Prozessormodul, das in redundanter Reservelage zur Verfügung steht, und ein zweites Rekonfigurationsmodul in redundanter Reservelage auf;

- ist dieses Rekonfigurationsmodul außerdem durch von den Einheiten, dem Bus und dem Prozessormodul unabhängigen Leitungen mit Sensoren verbunden, die auf Zustandsparameter ansprechen, welche den Zustand des Raumfahrzeugs anzeigen.

Aufgaben, Merkmale und Vorteile der Erfindung gehen aus der folgenden Beschreibung hervor, die als nicht beschränkendes Beispiel mit Bezug auf die beigefügten Zeichnungen gegeben ist, in denen:

- Fig. 1 ein Prinzipschema einer erfindungsgemäßen Datenverarbeitungsanlage für einen Satelliten ist;

- Fig. 2 ein Prinzipschema der an Bord befindlichen Berechnungs- bzw. Rechnereinheit ist;

- Fig. 3 ein äußeres Funktionsschema des Rekonfigurationsmoduls ist, das die an Bord befindliche Rechnereinheit aufweist;

- Fig. 4 ein inneres Funktionsschema dieses Rekonfigurationsmoduls ist;

- Fig. 5 ein Funktionsschema des Selbsttestblocks ist, den das Rekonfigurationsmodul aufweist;

- Fig. 6 ein Funktionsschema des Blocks zur Detektierung und Validierung von Alarmen ist, den das Rekonfigurationsmodul aufweist;

- Fig. 7 ein Funktionsschema des Rekonfigurationsblocks des Prozessormoduls ist, das das Rekonfigurationsmodul aufweist;

- Fig. 8 ein Funktionsschema des Rekonfigurationsblocks der Koppler ist, den das Rekonfigurationsmodul aufweist;

- Fig. 9 ein Funktionsschema der Logikblöcke der Verifizierung ist, die zu den Rekonfigurationsblöcken der Fig. 7 und 8 gehören;

- Fig. 10 ein Prinzipschema einer Rekonfiguration der Ebene I ist;

- Fig. 11 ein Prinzipschema einer Rekonfiguration der Ebene II ist;

- Fig. 12 ein Prinzipschema einer kombinierten Rekonfiguration der Ebenen I und II ist;

- Fig. 13 ein Diagramm ist, das den minimalen Teilchendichtefluß als Funktion deren Energie für verschiedene Zeitanteile korreliert;

- Fig. 14 ein Zustandsdiagramm ist, das dem Rekonfigurationsmodul im Fall eines Alarms auf Ebene III entspricht;

- Fig. 15 ein Flußdiagramm ist, das dem Diagramm von Fig. 14 entspricht;

- Fig. 16 eine schematische Ansicht einer Rekonfiguration der Ebene III.2 ist;

- Fig. 17 ein Prinzipschema der Rekonfigurationslogik der Ebene IV ist; und

- Fig. 18 ein Zeitdiagramm ist, das die Strategie der zeitlichen Diskriminierung zeigt, welche für die Behandlung der Alarme der Ebenen I, II, III und IV vorgesehen ist.

Fig. 1 zeigt ein Datenverarbeitungssystem, das in seiner Gesamtheit mit 1 bezeichnet ist und sich auf ein Raumfahrzeug, z. B. einen (nicht gezeigten) Satelliten, jeder bekannten Art bezieht, der beispielsweise um drei Achsen stabilisiert ist und sich in der Praxis auf einem geostationären oder heliosynchronen Orbit befindet.

Dieses System 1 ist zentralisiert und hierarchisch. Es weist im wesentlichen eine Berechnungs- bzw. Rechnereinheit (oder Rechner), die sich an Bord befindet (auf Englisch: "On Board Computer Unit) und abgekürzt mit OBCU bezeichnet und mit dem Bezugszeichen 2 gekennzeichnet ist,, zwei redundante Busse 3 und 3' (vorzugsweise Busse, die unter der Bezeichnung OBDH für On Board Data Handling bekannt sind), bei denen die Geschwindigkeit der Datenübertragung bis zu 512 kbps (Kilobits pro Sekunde) betragen kann, und verschiedene Schnittstelleneinheiten auf, die mit den Eingangs- und Ausgangselementen des Systems 1 verbunden sind, auf. Diese Schnittstelleneinheiten oder Kuppler weisen hier zwei Einheiten 4 und 5 als Schnittstellen zur Plattform des Raumfahrzeugs, welche abgekürzt mit PFIU (für Plattform-Schnittstelleneinheit) bezeichnet sind und beispielsweise für die Detektoren/Antriebe des Lage- und Orbitregelungssystems des Satelliten, das hier mit AOCS (für "Lage- und Orbitregelungsuntersystem) abgekürzt wird, spezifisch sind, eine Verteilereinheit 6, die abgekürzt mit PFDU (für Plattform-Verteilereinheit) bezeichnet ist und mit der Verteilung der für die Plattform bestimmten Energie befaßt ist, und zwei Verteilereinheiten 7 und 8 (oder sogar eine einzige) auf, die für die Nutzlast bestimmt sind, abgekürzt mit PLDU (für Pay Load Distribution Unit) bezeichnet sind, um für sie die Energieversorgung und das thermische Verhalten zu überwachen (die Anzahl dieser Einheiten hängt tatsächlich von der Größe der Nutzlast ab).

Die OBCU-Einheit, die mit 2 bezeichnet ist, sowie die Kuppler 4 bis 8 stehen in innerer redundanter Reservelage zur Verfügung (dies ist die Einheit 2 betreffend durch die Verdoppelung ihrer Bestandteile dargestellt).

Die mit 2 bezeichnete OBCU-Einheit weist ein Kommunikationsmodul 9 auf, das dafür ausgelegt ist, Informationen Tx zur Bodenstation zu schicken und von dort Anweisungen Rx zu empfangen. Die mit 2 bezeichnete OBCU-Einheit und die Kuppler 4 bis 8 tauschen unabhängig von der Bussen 3 (oder 3') Steuersignale HLC1 oder HLC2 (HLC entspricht High Level Command) aus. Diese Signale entsprechen beispielsweise Größen wie dem Ein-/Ausschaltens der Relais.

Gemäß eines vorteilhaften Merkmals der Erfindung, das an sich originell ist, sind direkte elektrische, optische Verbindungen oder Funkverbindungen, die mit 2A bezeichnet sind, zwischen bestimmten (Erd-, Solar- ...) Sensoren des Systems zur Lage- und Orbitregelung oder sogar den Bereich der elektrischen Versorgung, den Thermikbereich oder andere Bereiche betreffenden Sensoren und der OBCU-Einheit vorgesehen, um an diese letztere Parameter zu übertragen, insbesondere inertielle Parameter des Satelliten, die an Bord auswählbar sind, wie z. B. das Vorhandensein oder Nichtvorhandensein der Erde oder der Sonne im Gesichtsfeld ihrer jeweiligen Detektoren. Allgemeiner können diese Leitungen auch von den die Versorgung oder die thermische Kontrolle des Satelliten betreffenden Einheiten kommen.

Fig. 2 ist ein Prinzipschema der mit 2 bezeichneten OBCU- Einheit. Diese Einheit weist hier mit einer sogenannten inneren Redundanz ein Prozessormodul PM (das einen Mikroprozessor aufweist, der insbesondere mit flüchtigen Speichern RAM und festen Speichern ROM ausgestattet ist), ein mit 10 bezeichnetes Energiemodul, Fernsteuerungsmodule 9A und Telemetriemodule 9B, die zusammen das Kommunikationsmodul 9 bilden, ein Busverwaltungsmodul 11, ein mit 12 bezeichnetes Überwachungsmodul und, gemäß einem wichtigen Aspekt der Erfindung, ein Rekonfigurationsmodul RM auf, auf das die Verbindungen 2A stoßen.

Dieses Rekonfigurationsmodul RM ist dazu bestimmt, eine an Bord angewiesene Rekonfiguration zuzulassen, was die Belastung der Überwachung auf dem Baden und gleichermaßen vor allem die Verzögerungen der Reaktion verringert. Tatsächlich führt die Sorge des Verringerns der Risiken einer Unterbrechung der Mission (auf Englisch: "outage") zu zwei Bedürfnissen: Einerseits muß die Gesamtheit 1 im Fall eines einzelnen Fehlers fehlertolerant sein (auf Englisch: "fail save"), andererseits muß die Wiederherstellung nach einem solchen Fehler automatisch an Bord behandelt werden.

Es ist im folgenden zu erkennen, daß eine einfache Struktur in innerer redundanter Reservelage es ermöglicht, durch die Erfindung diesen Bedürfnissen zu entsprechen, wobei gleichzeitig die Masse und die Kosten des Systems 1 minimiert werden.

Um eine an Bord angewiesene Rekonfiguration zu gewährleisten, muß eine Klassifikation der Fehler bestimmt werden, so daß eine automatische Strategie entwickelt werden kann, um ihnen entgegenzutreten.

Es wurde eine Klassifizierung auf vier Ebenen beibehalten, die den angenommenen Schweregraden der Fehler entsprechen.

Die erste Ebene oder Ebene I betrifft alle Einheiten (insbesondere Detektoren und Antriebe), die durch die Kuppler 4 bis 8 mit dem Bus 3 verbunden sind.

Die zweite Ebene oder Ebene II betrifft die verschiedenen Kuppler 4 bis 8.

Die dritte Ebene oder Ebene III betrifft das Prozessormodul PM.

Und die vierte Ebene oder Ebene IV betrifft die Gesamtheit des Systems einschließlich der Einheiten, der Kuppler, der Busse und des Prozessormoduls als Funktion der Signale SAL, die Systemalarmsignale genannt werden, die über die Leitungen 2A laufen und die Anomalien in den Parametern oder Größen der betrachteten Sensoren entsprechen.

Es ist klar, daß die Überwachung des Prozessormoduls PM und des Systems 1 in seiner Gesamtheit nicht vom Prozessormodul selbst sichergestellt werden kann. Die Erfindung sieht ein getrenntes Modul vor, das eine Überwachungsrolle übernimmt: Es handelt sich um das Rekonfigurationsmodul RM. Eine solche Überwachungsrolle hätte vielleicht durch die Verwendung mehrerer Prozessormodule sichergestellt werden können (es hätte derer mindestens drei in heißer Redundanz bedurft), aber das Prinzip eines Rekonfigurationsmoduls weist den Vorteil einer geringeren Masse, geringerer Kosten und einer geringeren Komplexität und somit einer höheren Zuverlässigkeit auf.

Wie dies zu erkennen sein wird, ermöglicht dieses Rekonfigurationsmodul eine große Autonomie an Bord, indem es ermöglicht, die Risiken einer Missionsunterbrechung für Fehler der Ebene I, II oder III zu eliminieren.

Tatsächlich greift dieses Rekonfigurationsmodul erst ab der Ebene II ein: Für diese Fehlerebene beschränkt es sich darauf, nach einer geeigneten Verzögerung (siehe unten) eventuelle Rekonfigurationsanweisungen, die von der Software durch das Prozessormodul PM ausgehend von einer ebenfalls durch Software über den Bus 3 ausgeführten Fehlererkennung erzeugt werden, auszuführen.

Für die Ebene I werden über den Bus 3 durch Software sowohl die Detektierung eines Fehlers als auch die Auslösung und Ausführung einer eventuellen Rekonfiguration nach einer Verzögerung, welche länger ist als für die Ebene II (siehe unten), sichergestellt.

Die praktische Umsetzung des Vorstehenden liegt an sich ohne weitere Erklärung im Vermögen des Fachmannes.

Für die Ebene III wird die Überwachung, was die Peripheriegeräte des Prozessormoduls betrifft, durch Software und, was die Hardware betrifft, auf materiellem Weg (Überwachungsschaltung) sichergestellt. Tatsächlich werden zwei Schweregrade unterschieden.

Dies wird nachstehend genauer ausgeführt.

Das Rekonfigurationsmodul weist drei Hauptfunktionen auf:

- Detektierung und Validierung von Alarmen,

- Rekonfigurationshandlungen (Ersetzen eines Elementes durch ein in redundanter Reservelage zur Verfügung stehendes Element im System), und

- Sicherung von Sicherheitsdaten, die zu jedem Zeitpunkt zur Verfügung bleiben müssen.

Die Aufgabe dieses Rekonfigurationsmoduls ist es, als Funktion von Alarmsignalen geeignete Steuersignale zu erzeugen, die darauf ausgerichtet sind, nur die Rekonfiguration des Teils des Systems zu bewirken, der sie benötigt.

Fig. 3 zeigt die durch dieses Modul nach außen ausgetauschten Informationen.

Die durch dieses Modul RM verarbeiteten Alarme können in drei Gruppen unterteilt werden:

- Systemalarme (Ebene IV), die den Signalen SAL entsprechen,

- Überwachungsalarme, die den Signalen WD entsprechen,

- Alarme der Kuppler, die den Auslösesignalen entsprechen, welche vom aktiven Prozessormodul stammen.

Die Signale HLC1-MA und HLC1-ARR repräsentieren Signale, die vom Boden kommen und das Ein- oder Ausschalten des Rekonfigurationsmoduls RM anweisen.

Das Rekonfigurationsmodul kommuniziert mit dem nominellen Prozessormodul (oder mit dem redundanten Modul PM2), das mit PM1 bezeichnet ist, insbesondere für den Empfang von Rekonfigurationsanweisungen der Kuppler über mit INT bezeichnete parallele Schnittstellen.

Das Modul erzeugt Signale zur Auswahl der Aktivierung- Desaktivierung, die für die Prozessormodule (Signale S1) oder die Kuppler (Signale S2) bestimmt sind.

Das Rekonfigurationsmodul weist verschiedene Register und Zonen zur flüchtigen Speicherung auf, die gegen zufällige Ereignisse (z. B. durch ein herkömmliches Element zur Fehlererkennung und -korrektur (auf Englisch: "Detection and Correction Code")) und gegen Beschreibungsvorgänge ausgehend vom aktiven Prozessormodul im Fall des Versagens desselben geschützt sind. Die Register und Zonen sind zum Auslesen und Beschreiben durch das Prozessormodul PM gemäß den Zugriffsrechten und den Protokollen, die Sache des Fachmanns sind, zugänglich. Schließlich weist dieses Modul RM einen materiellen Schutz auf (z. B. durch eine parallele materielle Schaltung, die in den Fig. 4, 5 und 7 unter dem Bezugszeichen 29 dargestellt ist), um die Erzeugung eines parasitären Signals zur Rekonfigurationsanweisung am Ausgang beim Fehlen von Eingangssignalen zu inhibieren.

Wie dies aus Fig. 4 hervorgeht, ist das Rekonfiguratiosmodul aus mehreren funktionellen Blöcken gebildet, unter denen insbesondere die vorstehend erwähnten Register und Zonen aufgeteilt sind:

- ein Selbsttestblock 21,

- ein Block 22 zur Detektion und Validierung des Alarms (somit für die Ebenen III und IV),

- ein Block 23 zur Rekonfiguration des Prozessormoduls, der durch die parallele Verbindung 29 mit dem Block 21 verbunden ist und mit dem ein Logikblock 24 zur Verifizierung verbunden ist,

- ein Block 25 zur Rekonfiguration der Kuppler, mit dem ein Logikblock 26 zur Verifizierung verbunden ist,

- ein Sicherungsspeicherblock 27, und

- ein Verbindungsbus 28.

Der Selbsttestblock 21, der sich am Eingang des Rekonfigurationsmoduls befindet, ist in Fig. 3 schematisch dargestellt. Er hat die Funktion, alle möglichen Arten von Alarmen SAL oder WD zu simulieren, die vom System oder der Überwachungsschaltung kommen können. Er weist eine Logik auf, die alle fiktiven Kombinationen von Alarmen erzeugen kann, die in einem Register, das dieser Block aufweist, enthalten sind. Der Block empfängt eventuelle reale Alarmsignale des Systems (Ebene IV) oder von der Überwachungsschaltung (Ebene III) und liefert entweder fiktive Alarmsignale oder reale Signale, falls diese existieren, wobei diese Ausgangssignale dieselben physikalischen Merkmale aufweisen, ob sie nun realen oder fiktiven Alarmen entsprechen. Er tauscht des weiteren Signale mit dem Block 23 und den Logikblöcken 24 und 26 zur Verifizierung (siehe unten) über eine mit 21A bezeichnete und mit dem Bus 28 verbundene Schnittstelle aus.

Im Fall eines realen Fehlers werden alle Testverfahren unterbrochen, die Schnittstellen INT zwischen dem Rekonfigurationsmodul RM und den Prozessormodulen PM1 und PM2 werden inhibiert, die nominalen Werte der verschiedenen Blöcke werden ausgehend vom Speicherblock 27 wieder geladen (sie können durch ein Testverfahren modifiziert worden sein), und die nominale Verarbeitung der Alarme wird ausgelöst.

Der Block 22 zur Detektion und Validierung eines Alarms ist in Fig. 6 schematisch dargestellt.

Dieser Block weist Register 30 und 31 (oder Maskierungstabellen) auf, die es ermöglichen, alle Eingangs-Alarmkombinationen des Systems oder der Überwachungsschaltung beizubehalten oder zu verwerfen (deswegen ist ein Verlust des Erdsignals, das im Verlauf einer Beobachtungsmission als Systemalarmsignal betrachtet werden würde, in dem auf die Sonne ausgerichteten Modus im Gegensatz dazu als normal zu betrachten). Ein Alarm der Ebene IV wird validiert, wenn mindestens einer der Systemalarmeingänge aktiviert ist. Gleichermaßen wird ein Alarm der Ebene III validiert, wenn mindestens einer der Alarmeingänge der Überwachungsschaltung aktiviert ist. In der Praxis entspricht ein solcher Alarm der Überwachungsschaltung der Überschreitung eines Schwellenwertes (in der Praxis Null) des Ausgangssignals der Überwachungsschaltung, das, normalerweise gleich Null, plötzlich auf einem vorgegebenen Niveau positiv wird.

Gemäß einem vorteilhaften Aspekt der Erfindung ermöglicht es ein Verzögerungselement 32, einem Alarmsignal der Ebene IV eine Verzögerung zu erteilen (siehe unten, insbesondere im Zusammenhang mit den Fig. 17 und 18). Diese Verzögerung kann durch das Prozessormodul gesetzt werden: Dieser Alarm der Ebene IV muß dann während mindestens der durch diese Verzögerung definierten Zeitdauer fortbestehen, um wahrgenommen zu werden. Wenn diese Bedingung erfüllt ist, wird das Alarmsignal bei 33 in der Eigenschaft als gültiger Alarm der Ebene IV gespeichert (Zustandsänderung einer Anzeige) und zur Auswahlvorrichtung 34 für die Priorität geschickt.

Was die Alarme der Überwachungsschaltung betrifft, so ist vorzugsweise eine Rechen- und Zeitgeberlogik 35 vorgesehen, um eine erste Art von Alarmsignal der Ebene III (mit III.1 bezeichnet) auf den Empfang eines Alarms der Überwachungs schaltung hin auszusenden und dann im Fall vielfacher Alarme von der Überwachungsschaltung während einer vorgegebenen Periode, ausgehend von dem ersten Alarm, eine zweite Art von Alarmsignal der Ebene III (mit III.2 bezeichnet) auszusenden.

Diese Signale werden, sobald sie erzeugt/validiert sind, bei 36 so gespeichert, daß das Prozessormodul den Ursprung des Alarms identifizieren kann.

Die Auswahlvorrichtung 34 stimmt die Priorität auf der Ebene IV ab: Sie erzeugt zwei Arten von Ausgangssignalen, je nachdem, ob:

- der Alarm vom Typ IV oder III.2 ist: Ausgang TI des Typs I,

- der Alarm vom Typ III.1 ist: Ausgang TII des Typs II. Diese Unterscheidung zwischen den Alarmarten III.1 und III.2 ist einer der an sich originellen Aspekte der Erfindung.

Der Block 23 zur Rekonfiguration des Prozessormoduls ist in Fig. 7 schematisch dargestellt. Er weist ein Register auf, das das im Rekonfigurationsfall zu verwendende Prozessormodul (und den zugehörigen Leistungswandler) anzeigt: Dies ist das Register der Rekonfiguration des Prozessors; es weist ein Unterregister auf, das vom Block 21 gelieferte Daten enthält, die anzeigen, ob der ablaufende Rekonfigurationsprozeß Teil eines Testverfahrens ist (soviel Fälle, wie es Testverfahren gibt) oder ob es sich um eine reale Rekonfiguration handelt: Dies würde die Ausgangssignale (siehe oben) bedingen.

Dieser Block weist einen Logikteil 38 auf, der zwei Arten von Eingängen aufweisen kann, von denen eine den beiden Ausgangsarten des Blocks 22 zur Detektierung und Validierung des Alarms entspricht:

- Wenn es sich um einen Eingang TI handelt, der dem Ausgang des Typs I entspricht (Alarm der Ebene IV oder III.2), löst die Logik die Erzeugung eines Impulses aus, der dafür ausgelegt ist, einen Übergang auf das redundante Prozessormodul (und den zugehörigen Leistungswandler) unter Berücksichtigung des Inhalts des Registers der Prozessorrekonfiguration anzuweisen;

- Wenn es sich um einen Eingang TII handelt, der dem Ausgang des Typs II entspricht (Alarm der Ebene III.1), erzeugt die Logik einen Impuls, der dafür ausgelegt ist, das bisher verwendete Prozessormodul neu zu starten (Löschen und Wiedereinschalten).

Dieser Logikteil 38 empfängt als anderen Eingang ein Signal des Blocks 21, das in der Praxis über den Bus 28 läuft und anzeigt, ob es sich um ein Testverfahren handelt (und von welcher Art) oder um eine reale Rekonfiguration handelt. Er empfängt schließlich ein eventuelles Inhibitionssignal über die Leitung 29.

Die Rekonfiguration wird, wenn sie real sein muß, von den Steuerelementen 39 (auf Englisch: "drivers") ausgeführt, die einen Steuerimpuls S1 erzeugen.

Jedes der Elemente 38 oder 39 des Blocks kann über die Leitung 29 Informationen des aktiven Prozessormoduls PM empfangen.

Der Block 25 zur Rekonfiguration der Kuppler ist in Fig. 8 schematisch dargestellt. Es sei daran erinnert, daß dieser Block nur dazu dient, die durch das Prozessormodul PM über den Bus 28 ausgelösten Rekonfiguratiosschritte auszuführen.

Der Block 25 empfängt also am Eingang ein vom Prozessormodul stammendes Auslösesignal, das anzeigt, welcher der Kuppler aktiviert werden muß und welcher desaktiviert werden muß. Ein Testregister, das vom Block 21 stammende Daten enthält, zeigt an, ob diese Rekonfiguration Teil eines Testverfahrens oder einer realen Rekonfigurationsstrategie ist.

Dieser Block 2 weist eine (oder mehrere) Verzögerungseinheit(en) 40 der Steuerelemente 41 auf, welche Impulse S2 zum Ausführen der Rekonfiguration der Kuppler erzeugen.

Die Logikblöcke der Verifikation 24 oder 26 entsprechen beide dem Schema der Fig. 9. Diese Logikblöcke sind dazu bestimmt, die von den Steuerelementen 39 oder 41 der Blöcke 23 oder 25 ausgesandten Rekonfigurationsimpulse zu testen. Zwei von jedem der Blöcke 24 und 26 durchgeführten Tests betreffen z. B. die Spannung bzw. die Dauer der Impulse (mit. Test 1 und Test 2 bezeichnet). Die erhaltenen Werte werden in einem Register 42 gespeichert, das für das Prozessormodul PM zugänglich ist.

In der Praxis wird ein Rekonfigurationsschritt (darunter der Fall III. 1) von Relais gesteuert, die nur dann ihren Zustand wechseln, wenn sie einen ausreichenden Energieimpuls erhalten. Der reale Steuerimpuls hierzu gleichzeitig bezüglich der Spannung und der Dauer kalibriert, während die bei den Testverfahren erzeugten Impulse gemäß dem auszuführenden Test das gewünschte Spannungsniveau (typischerweise 26 V), jedoch über eine sehr kurze Dauer (Test 1), oder ein sehr niedriges Spannungsniveau (typischerweise 3-4 V) während der gewünschten Dauer (typischerweise 45 ms - Test 2) aufweisen, d. h., daß sie keine ausreichende Energie aufweisen, um die Relais zu steuern.

Der Sicherungsspeicherblock 27 ist der Speicherung dynamischer Daten des Systems 1 sowie der Logikmodule gewidmet.

So bleiben richtige Daten und Module der Logikeinheiten ständig verfügbar, selbst im Fall eines Fehlers des Pro zessormoduls oder der Überwachungsschaltung und auch im Falle eines Energieausfalls.

Es gibt einen Sicherungsspeicherblock pro Rekonfigurationsmodul. Jedes Prozessormodul hat die Möglichkeit, den Sicherungsspeicherblock im Verlauf der Verwendung zu beschreiben und zu lesen (in Kenntnis der Tatsache, daß es zu einem gegebenen Zeitpunkt nur einen einzigen aktiven Speicherblock gibt).

Es ist anzumerken, daß die optimale Anwendung des Prinzips eines Rekonfigurationsmoduls das Vorhandensein des Selbsttestverfahrens voraussetzt (siehe die vorstehenden Kommentare betreffend die Blöcke 21, 23 bis 26), wobei in Ermangelung desselben im Fall eines Fehlers dieses Moduls dieser erst beim Auftreten des Bedarfs einer Rekonfiguration erkannt würde, welcher Bedarf nicht befriedigt würde. In diesem Fall ist die Gesamtheit des Systems in großer Gefahr, da der erste Fehler nicht behoben werden würde. Natürlich kann der Selbsttest nicht vom Rekonfigurationsmodul selbst verarbeitet werden. Die Verarbeitung dieses Selbsttests obliegt dem Prozessormodul, das in jedem Fall nur den Ablauf eines solchen Selbsttests überwachen und im Fall, daß es eine Anomalie detektiert, d. h. einen Fehler des Rekonfigurationsmoduls, dies durch Telemetrie an die Bodenstation übermitteln kann. Das Prozessormodul hat keinerlei Möglichkeit, auf das Rekonfigurationsmodul einzuwirken, so daß keine Gefahr der Schleifenbildung zwischen diesen Modulen entsteht. Die Bodenstation, und nur die Bodenstation, hat die Möglichkeit, einen Übergang auf das redundante Rekonfigurationsmodul anzuweisen oder sogar die beiden Rekonfigurationsmodule im Hinblick auf die Ergebnisse der Selbsttests und im Hinblick auf das Verhalten des Satelliten zu trennen.

Es ist wichtig anzumerken, daß die Mission und das Verhalten des Satelliten nicht von der Verfügbarkeit oder Nichtverfüg barkeit eines arbeitenden Rekonfigurationsmoduls abhängen. Es bleibt tatsächlich immer möglich, beim Fehlen eines funktionierenden Rekonfigurationsmoduls ausgehend vom Boden alle für die Mission notwendigen Aufgaben anzuweisen (insbesondere die Rekonfigurationsschritte). Es ist jedoch wahr, daß die Autonomie des Satelliten in dem Sinne reduziert würde, als die automatische Fehlerpassivierung und die automatische Rekonfiguration nur für die Ebene I bestehen blieben. Die anderen Ebenen müßten somit vom Boden übernommen werden, der gleichwohl die Möglichkeit des automatischen Reagierens in der Art eines dritten Rekonfigurationsmoduls durch herkömmliche Steuermodule hoher Priorität (High Priority Commands Modules) beibehält.

Das vorstehend Erläuterte kann wie folgt zusammengefaßt werden:

- Im Fall eines Fehlers einer oder mehrerer Einheit(en) wird jener durch das Prozessormodul detektiert (durch Software). Die Reaktion wird durch dieses Prozessormodul angewiesen und (nach Verzögerung) durch den zugehörigen Kuppler ausgeführt: Ein solcher Fehler der Ebene I bewirkt keine Unterbrechung der Mission;

- Im Fall eines Fehlers eines oder mehrerer Kuppler wird jener durch das Prozessormodul (durch Software) detektiert. Die Reaktion wird (nach Verzögerung) durch das Prozessormodul angewiesen und durch das Rekonfigurationsmodul ausgeführt: Ein solcher Fehler der Ebene II bewirkt keine Unterbrechung der Mission;

- Im Fall eines Fehlers des Prozessormoduls oder der Überwachungsschaltung wird jener durch die Überwachungsschaltung und das Rekonfigurationsmodul detektiert. Die Reaktion wird vom Rekonfigurationsmodul angewiesen und ausgeführt, und ein solcher Fehler der Ebene III bewirkt keine Unterbrechung der Mission;

- Im Fall eines Fehlers des Systems (ein von den niedrigeren Ebenen nicht detektierter oder korrigierter Fehler) wird jener durch die Systemalarme, die über die Leitungen 2A laufen, durch das Rekonfigurationsmodul detektiert. Die Reaktion wird, nach Verzögerung, vom Rekonfigurationsmodul angewiesen und ausgeführt: Ein solcher Fehler der Ebene IV bewirkt eine Unterbrechung der Mission, jedoch nach einer automatisch (und an Bord) angewiesenen Reaktion, die von begrenzter Dauer ist (typischerweise in der Größenordnung von einigen Minuten). Es bleibt somit das Folgende zu entscheiden;

- Im Fall eines Fehlers des Rekonfigurationsmoduls wird jener vom Prozessormodul, das die Selbsttests überwacht und die Bodenstation informiert, detektiert. Die Reaktion wird ausgehend vom Boden automatisch oder durch den Menschen ohne Unterbrechung der Mission angewiesen.

Im Folgenden werden die Rekonfigurationsstrategien für die verschiedenen Ebenen dargelegt.

Was die Ebene I betrifft, so wurde das Notwendige bereits erwähnt. Die Entscheidung und die Rekonfigurationstätigkeiten (nach Verzögerung) einer Einheit wie U1 von Fig. 10 werden von einer Anwendungssoftware als Funktion charakteristischer Parameter der Einheit getroffen bzw. ausgeführt (diese Parameter sind beispielsweise die sekundären Werte einer Spannung, die im Inneren der Einheit existiert). Diese Rekonfigurationstätigkeiten werden von dem Prozessormodul über den Bus 3 und über einen Kuppler (der hier durch C mit seinem aktiven Teil C1 und seinem redundanten Teil C2 bezeichnet ist) bis zur betrachteten Einheit hin übertragen. Der Kuppler C1 verbindet sich dann mit der redundanten Einheit U2, wenn jene bis dahin noch nicht verwendet wurde. Die zu diesem Einheitenpaar U1 und U2 gehörende Gesamtheit von Informationen (Welche Einheit wird gerade verwendet? Bleibt eine Einheit verfügbar?...) wird im Sicherungs speicherblock 27 gespeichert und geschützt. In all den Fällen wird die Mission nicht unterbrochen.

In bezug auf die Ebene II (siehe Fig. 11) wurde ebenfalls das Wesentliche bereits gesagt. Die Entscheidung und die Auslösung einer Rekonfigurationstätigkeit eines Kupplers, wie z. B. C, werden (nach Verzögerung) von einer Anwendungssoftware als Funktion charakteristischer Parameter des Kupplers (beispielsweise eines herkömmlichen Tests zur Decodierung einer Testfunktion des Standarts OBDH) angewiesen. Die eigentliche Ausführung der Rekonfigurationstätigkeit (Übergang von C1 auf C2) wird durch das Rekonfigurationsmodul sichergestellt. Dies erklärt sich durch die Tatsache, daß die Kuppler mit dem Bus verbunden sind und aus diesem Grund im Fall des Ausfalls der Schnittstelle der Kuppler mit diesen Bussen nicht mehr zugänglich sind. Eine andere Lösung könnte darin bestehen, jeden Kuppler durch einen anderen kontrollieren und steuern zu lassen. In jedem Fall hätte diese Lösung insbesondere die Nachteile einer großen Komplexität und einer starken Zweideutigkeit in bezug auf die Lokalisierung eines einmal detektierten Fehlers. Lediglich eine Kettenstruktur von Kupplern könnte es dann ermöglichen, diese Zweideutigkeit aufzuheben, dies jedoch zum Preis einer noch größeren Komplexität sowohl unter dem Gesichtspunkt der Software als auch unter dem Gesichtspunkt der Verkabelung.

Es sei hier daran erinnert, daß sich für die Ebene II die Rolle des Rekonfigurationsmoduls auf eine "passive Rolle der bloßen Ausführung beschränkt: Es gibt zu diesem Zweck weder eine Logik noch eine intelligente Tätigkeit im Inneren des Rekonfigurationsmoduls. Das Modul handelt nur auf Anweisung des Prozessormoduls, welches nur auf die Steuerelemente des Rekonfigurationsmoduls wirkt, um direkt auf den betrachteten Kuppler einzuwirken.

Tatsächlich kann im Inneren eines Kupplers die Rekonfigurationstätigkeit mehr als ein Modul betreffen. Jedenfalls sieht die Strategie der automatischen Rekonfiguration an Bord im Prinzip vor, auf alle verfügbaren Hilfsmodule umzusteigen, wie groß auch immer die Anzahl dieser Module sein mag. Wie für die Ebene I wird der Status der Module der Kuppler (Welche werden gerade verwendet? Und welche bleiben verfügbar?...) im Sicherungsspeicherblock 27 gespeichert und geschützt.

Nach der Rekonfiguration werden die alten Module, die entkoppelt worden sind, als nicht mehr verfügbar angesehen, bis der Boden möglicherweise durch telemetrische Informationen die tatsächlich fehlerhaften Module identifizieren kann und als Folge davon im Speicherblock den Status der als nicht fehlerhaft erkannten Module modifizieren kann. Wie dies bereits angedeutet wurde, gibt es keine Unterbrechung der Mission.

Fig. 12 zeigt einen Fall, in dem die kombinierten Rekonfigurationstätigkeiten die Ebenen I und II betreffen (Übergang von C1-U1 nach C2-U2).

Diese Alternative zur Basislösung ermöglicht es, die Fälle zu berücksichtigen, in denen die Selbsttestsignale es nicht ermöglichen würden, die Zweideutigkeit zwischen den Ebenen I und II aufzuheben, oder in denen die Rekonfiguration sehr lange dauerte.

Wie dies bereits dargelegt wurde, betrifft die Ebene III das Prozessormodul und seine Peripherieeinheiten, die von einer Überwachungsschaltung gesteuert werden. Das Ziel dieser Ebene ist es, im Fall eines Fehlers eine Selbstrestauration zu ermöglichen, wobei die Mission beibehalten wird, und dies durch Anpassen der Reaktion (Rekonfiguration oder andere Reaktion) an die Art des Defekts, um den größtmöglichen Teil der Elemente der mit 2 bezeichneten Einheit OBCU zunutze zu machen: Man versucht insbesondere, dasselbe Prozessormodul so lange wie möglich zu benutzen.

Um die Reaktion dem Defekt anpassen zu können, müssen mehrere Arten von Defekten oder Fehlern unterschieden werden:

- vorübergehender Datenfehler,

- permanente Datenänderung,

- Materialdefekt.

Ein typisches Beispiel eines vorübergehenden Datenfehlers ist das Ergebnis einer elektrischen Störung, wie z. B. einer elektrostatischen Entladung oder einer anderen elektromagnetischen Störung, die einige Werte im Bus ändern kann (es wird hier angenommen, daß es dagegen keine Änderung der Speicherzonen gibt).

Ein typisches Beispiel einer permanenten Datenänderung ist eine Änderung durch ein isoliertes Ereignis (auf Englisch: "Single Event Upset"), das den Inhalt einer Speicherzone ändern kann oder sogar die Substanz einer Date oder sogar einer Software in ihrer Gesamtheit vollständig ändern kann: Die Konsequenzen können katastrophal sein.

Ein typisches Beispiel eines Materialdefekts ist ein Defekt des Prozessormoduls selbst.

Es sind verschiedene Abstufungen der Reaktionen für diese verschiedenen Arten von Defekten vorgesehen.

Für die Behandlung von vorübergehenden Fehlern ist eine zeitliche Filterung durch Software vorgesehen, die diese Art von Fehler automatisch passiviert, wodurch jede Folge beispielsweise einer Speicherung falscher Daten vermieden wird. Es wurde erkannt, daß der bevorzugte Ort dieser Art von Fehlern der Bus 3 (des Typs OBDH) ist. Die Fehlerquote liegt für die Antworten auf den Bus bei 10&supmin;&sup9;, was für eine maximale Datenrate von 16.000 Wörtern pro Sekunde einer fehlerhaften Date alle 17 Stunden entspricht, wenn eine Auslastungsrate von 100% angenommen wird (jedenfalls ohne Konsequenz im Hinblick auf die vorstehend erwähnte Passivierung).

Was die permanenten Datenänderungen betrifft, so wurde angedeutet, daß es sich meistens um Änderungen durch ein isoliertes Ereignis handelt (prinzipiell Durchgang von Teilchen wie schweren Ionen), und das Diagramm von Fig. 13 korreliert die minimale Energiedichte des Teilchenflusses zwischen 2 und 10&sup5; MeV · cm²/g, die auf einem geosynchronen Orbit anzutreffen ist, für verschiedene Fraktionen einer beliebigen Zeitperiode.

Die obere Kurve, die mit A bezeichnet ist und zur Angabe 0,02% gehört, zeigt somit die Energieverteilung und den Dichtefluß der Teilchen, die während der günstigsten 99,98% der Zeit Änderungen bewirken können: Während der verbleibenden 0,02% (insgesamt ein Tag während einer Mission von 15 Jahren) sind die Partikel tatsächlich zahlreicher und gefährlicher.

Die untere Kurve, die mit D bezeichnet ist und zur Angabe 100% gehört, entspricht dagegen der geringstmöglichen Agression, die zu einem beliebigen Zeitpunkt angetroffen werden kann.

Die mit B bezeichnete und zur Angabe 10% gehörende Kurve entspricht dem Agressionsbereich, der für die günstigsten 90% der Zeit gültig ist. Im Durchschnitt ist die Kurve A im Verhältnis von etwa 350.000 in bezug auf die Kurve B nach oben verschoben. Anders ausgedrückt sind die Agressionen, deren Spektrum durch die Kurve A gegeben ist, während 9, 98% der Zeit durchschnittlich 350.000mal stärker als während der günstigsten 90%.

Die Fehlerpassivierung wird in einem Schritt in drei Teilen ausgeführt: Für den über 90% der Zeit gültigen Agressionsbereich, für den zwischen 90% und 99,98% der Zeit gültigen Agressionsbereich und während der 0,02% der verbleibenden Zeit.

Was die 90% der Zeit betrifft, so wird die Passivierung durch die Technologie selbst ausgeführt. Hierzu handelt es sich bei der für die Mikroprozessoren und die Speicher ausgewählten Technologie um die CMOS/SOS-Technologie. Für diese Technologieart liegt die Gesamtfehlerrate unter Berücksichtigung der Kurve B (bei 90%) pro Chip (integrierter Schaltkreis), der Teil der OBCU ist, für die Gesamtheit einer Mission von 15 Jahren in der Größenordnung von 5.10&supmin;³. Anders ausgedrückt eliminiert die geeignete Wahl der Technologie während 90% der Zeit das Risiko einer permanenten Änderung der Speicherstelle oder in den Speichern.

Während etwa eines Zehntels der Zeit (9,98% zwischen 90% und 99,98%) sind die Risiken einer Änderung 350.000mal größer, was etwa einem Risiko von einem Ereignis pro Monat entspricht.

Was die Speicher betrifft, so werden diese Änderungen pro isoliertem Ereignis durch einen herkömmlichen Mechanismus des Typs EDAC (Anfangsbuchstaben von "Error Detection And Correction Code" auf Englisch) passiviert, der jeglichen einzelnen Fehler detektieren und korrigieren und jeden doppelten Fehler detektieren kann. Unter Berücksichtigung der geringen Frequenz dieser Fehler und der Frequenz des EDAC (typischerweise in der Größenordnung von einer Minute) gibt es kein Problem, anschließend die Daten ausgehend vom Block 27 aufzufrischen.

Was den Mikroprozessor betrifft, so werden die Änderungen pro isoliertem Ereignis durch die Überwachungsschaltung und den Logikblock 22 zur Detektierung und Validierung des Alarms (siehe Fig. 6), den das Rekonfigurationsmodul enthält, behandelt. Tatsächlich bringt eine Veränderung des Mikroprozessors, die einen katastrophalen Defekt der in dem Mikroprozessor enthaltenen Daten (durch die generalisierte Überwachungsschaltung detektierbar) induziert, das Absenden eines Alarmsignals durch die Überwachungsschaltung an das Rekonfigurationsmodul mit sich. Dieses letztere reagiert wie folgt (siehe Fig. 14, in der das Prozessormodul, das anfänglich in unversehrtem Zustand war, der mit 1 bezeichnet ist, auf ein Alarmsignal WD hin in den Zustand 2 übergeht): Der Rechner des Moduls 35 von Fig. 6 wird ausgelöst, wenn es sich um einen ersten Alarm handelt, während eine Rekonfiguration des Typs III.1 ausgelöst wird, d. h., daß das Logikmodul 38 von Fig. 7 den Neustart (Ausschalten/Einschalten) desselben Prozessormoduls PM unter Auffrischung der Speicher durch den Inhalt des ROM-Speichers dieses PM (dieser ROM-Speicher bleibt bis auf einen materiellen Fehler - siehe unten - intakt), was den Code betrifft, und durch den Inhalt des Sicherungsspeicherblocks 27, was die für diesen Neustart notwendigen kritischen Daten betrifft, bewirkt, und dies ohne Unterbrechung der Mission.

Da die Art des hier betrachteten Defekts eine Datenänderung ist, weiß man, daß dieser Neustart durch die Auffrischung der Speicher von Erfolg gekrönt sein wird und daß der Zustand 3, der nach der Rekonfiguration des Typs III.1 erhalten wird, jenseits der maximalen Zähldauer Tmax des Moduls 35 von Fig. 6 dauerhaft unversehrt bleiben wird: Man kehrt zum unversehrten Ausgangszustand 1 zurück.

Wenn nun die verbleibenden 0,02% der Zeit betrachtet werden (was einer Dauer von einem Tag im Verlauf der gesamten Mission entspricht), so ist keinerlei Quantifizierung bezüglich der Amplitude oder der statistischen Verteilung der Teilchenstöße oder -stürme oberhalb der Kurve A verfügbar. Das einzige Mittel, um den Effekt eines solchen "Sturms" zu minimieren, ist es, die vom Modul 35 von Fig. 6 ausgeführte Verzögerung zu minimieren, welche dazu dient, zwischen den fehlerhaften Ebenen III.1 und 111.2 zu unterscheiden. Je kürzer diese Verzögerung ist desto größer ist die Fähigkeit des Systems, einem solchen Sturm (der, erinnern wir uns daran, nur Datenänderungen induziert) zu begegnen. Jedenfalls kann diese Verzögerung umgekehrt nicht unter eine Schwelle absinken, welche durch die Zeitkonstante der materiellen Defekte (mit dem Risiko, zu einer unendlichen Serie von Rekonfigurationen des Typs III.1 im Fall eines materiellen Fehlers zu führen) und durch die minimal notwendige Zeit, um bei einer Rekonfiguration des Typs III.2 von einem Prozessormodul auf ein anderes überzugehen, diktiert wird.

Es wird beispielsweise eine Verzögerung Tmax der Größenordnung von zehn Sekunden ausgewählt. Es ist zu erkennen, daß eine solche Verzögerung im Verhältnis zu der Zeit (meistens mehrere Stunden), die in der Praxis bei den Strategien, welche auf den auf dem Boden getroffenen Entscheidungen basieren, benötigt wird, sehr kurz ist.

Wenn es sich nun um materielle Fehler handelt, so hat man gesehen, daß sie beispielsweise dem definitiven Fehler des Prozessormoduls entsprechen können (das Problem eines Fehlers der Art eines inneren Kurzschlusses in irgendeinem der integrierten Schaltkreise des Rechners aufgrund des Durchgangs eines schweren Ions (auf Englisch: "latch up") wird tatsächlich durch die Auswahl der CMOS/SOS-Technologie eliminiert). Andere Arten von Fehlern, wie z. B. insbesondere Energieausfall oder Verlust des Zeitgebers, sind in jedem Fall möglich. Die Ebene III.2 wurde betrachtet, um solche Arten von Fehlfunktionen zu berücksichtigen.

Es wurde gesehen, daß dieser Alarmtyp vom selben Alarmsignal, das von der Überwachungsschaltung ausgesendet wird, wie der Typ III.1 ausgelöst wird. Die Diskriminierung ist eine Folge des gemeinsamen Vorhandenseins der Rechner- und Zeitgeberfunktionen im Modul 35 des Blocks 22 zur Detektierung und Validierung. Tatsächlich entspricht dieser Typ III.2 der Detektierung einer Anzahl von Alarmen, die größer ist als ein vorgegebener Schwellenwert, der hier gleich 1 angenommen wird, während der vorstehend erwähnten Verzögerung. So wird, wenn während dieser Verzögerung, nachdem eine Rekonfiguration des Typs III.1 versucht wurde, ein zweiter Alarm detektiert wird, gefolgert, daß ein Neustart des Prozessormoduls mit Auffrischung der Speicher nicht ausgereicht hat, um die Ursache des Alarms verschwinden zu lassen (Zustand 4 des permanenten Fehlers in Fig. 14), und somit, daß es sich bei jenem nicht um eine Datenänderung sondern um einen materiellen Fehler handelt: Es wird dann eine Rekonfiguration des Typs III.2 mit Rücksetzen der Gesamtheit des Moduls 35 von Fig. 6 auf Null beschlossen.

Fig. 15 zeigt die Lehre von Fig. 14 mit den verschiedenen vorstehend angegebenen Tests mit einer zeitlichen Filterung am Anfang, die dazu bestimmt ist, die parasitären Alarme zu eliminieren, in Form eines Flußdiagramms.

Diese Rekonfiguration des Typs III.2 ist in Fig. 16 schematisch dargestellt. Sie entspricht der Entkoppelung des Prozessormoduls PM1, das bis dahin verwendet wurde (sowie seines - nicht gezeigten - Leistungswandlers) und der Aktivierung des verbliebenen Prozessormoduls PM2 (und des zugehörigen - nicht gezeigten - Leistungswandlers). Das Vorhandensein oder Nichtvorhandensein eines solchen verfügbaren Prozessormoduls erscheint in im Block 23 des Rekonfigurationsmoduls gespeicherten Daten. Natürlich ist kein Umstieg möglich, wenn kein verfügbares Prozessormodul mehr vorhanden ist.

Wenn diese Rekonfiguration des Typs III.2 möglich ist, kehrt man in den unversehrten Ausgangszustand 1 von Fig. 14 zurück. Wenn sie es nicht ist, liegt es an der Bodenstation zu entscheiden, wie zu reagieren ist.

Ein anderer Defekt der Ebene III.2 betrifft die Busse.

Wenn es die Zuverlässigkeit des Materials erlaubt, die Kreuzkopplung zwischen den Prozessormodulen und den Bussen OBDH aufzuheben, wie dies bisher der Fall war, dann folgt man einem Testverfahren für Busse. Jenes ist Teil der generalisierten Überwachungsschaltung, da im Fall eines Defekts sowohl das verwendete Prozessormodul als auch der verwendete Bus auszutauschen ist. Dieses Verfahren ist eine Synthese der Tests der Ebene II. Anders ausgedrückt: Wenn alle Tests der Kuppler zu dem Ergebnis führen, daß alle Kuppler defekt sind (z. B. ein gleichzeitiger Defekt der fünf Kuppler von Fig. 1 trotz einer zeitlichen Filterung), oder im Fall eines Fehlers der Ebene II, der nach dem Übergang auf den geeigneten redundanten Kuppler bestehen bleibt, muß die Folgerung lauten, daß alle Kuppler a priori gut sind, daß aber der Bus fehlerhaft ist: Dann wird zu Beginn ein Alarm der Ebene III.1 ausgesendet.

Das Ziel der Ebene IV ist es, für die Gesamtheit des Systems eine Sicherheitsebene zu sein. Tatsächlich wurde gesehen, daß alle detektierbaren Fehler von den niedrigeren Ebenen behandelt wurden: Die auf dieser Ebene IV zu bewirkenden Alarme und Tätigkeiten betreffen somit das ganze System.

Die betrachteten Systemalarmsignale SAL werden ausgehend von der Verifizierung oder Nichtverifizierung verschiedener Kriterien erzeugt. Diese verschiedenen Kriterien müssen im Prinzip dann, wenn sich der Satellit in einem korrekten Zustand befindet, verifiziert werden, und diese Kriterien sind bezüglich ihrer Anzahl und Art möglichst so ausgelegt, daß ihre Verifizierung bedeutet, daß sich der Satellit mit hoher Wahrscheinlichkeit in einem korrekten Zustand befindet. Diese Kriterien sind hier in bezug auf äußere Bezugssysteme definiert, und im Fall der Nichteinhaltung mindestens eines dieser Kriterien (z. B. Erdverlust und/oder Sonnenverlust und/oder Polarsternverlust...) werden SAL-Signale ausgesendet, die über die Leitungen 2A zum Rekonfigurationsmodul geschickt werden. Andere Kriterien, die beispielsweise den Bereich der elektrischen Versorgung des ganzen oder eines Teils des Satelliten, das thermische Verhalten dieses oder jenes Elements usw. betreffen, können für die Erzeugung der SAL-Signale in Betracht gezogen werden. Es passiert häufig, aber nicht systematisch, daß die Erzeugung eines SAL-Signals von der Erzeugung eines Signals der Ebene I oder sogar II oder III begleitet wird (beispielsweise Vermutung eines Defekts des Erdsensors im Fall eines Erdverlusts...).

Wenn ein Alarm der Stufe IV ausgesendet wird und wenn er vom Rekonfigurationsmodul detektiert wird, wird er nicht unmittelbar verarbeitet (siehe Schema von Fig. 17). Um den anderen Ebenen ausreichend Zeit zu lassen, um ihre Aufgaben zu erfüllen, und somit zu verifizieren, daß eine Reaktion auf einer niedrigeren Ebene (I, II oder III) nicht ausreicht, wird tatsächlich eine Verzögerung eingeleitet. Diese Verzögerung ist größer als die maximale Verzögerung, die für den längsten Konfigurationsschritt notwendig ist, der im Verlauf der Ausführung auf einer niedrigeren Ebene auftreten kann. Außerdem ist diese Verzögerung in Übereinstimmung mit der Strategie der Lage- und Orbitregelung gewählt, so daß selbst im Fall des Verlusts von Systemparametern ausreichend Zeit bleibt, um eine neue Erfassung zu versuchen. Diese Verzögerung am Eingang der Ebene IV ist typischerweise von der Größenordnung einiger Minuten (oder sogar einiger zehn Sekunden).

Wenn am Ende dieser Verzögerung der Alarm fortbesteht, wird seine Verarbeitung angewiesen. Eine Anzeige (auf Englisch: "flag"), die angibt, ob es sich um einen Alarm der Ebene IV handelt, ist im Inneren des Moduls 33 aktiv (siehe Fig. 6). Das Prozessormodul und der zugehörige Leistungswandler werden wie im Fall der Ebene III.2 ausgewechselt, und dann wird die Anzeige getestet, die die Ebene des Alarms anzeigt. Wenn sich die Anzeige in einem Zustand befindet, der dem Zustand IV entspricht, dann wird durch Software eine Rekonfiguration aller Kuppler und schließlich aller Einheiten angewiesen (oder mindestens der Kuppler oder Einheiten, für die verfügbare redundante Module existieren). Anders ausgedrückt wird alles, was möglich ist, rekonfiguriert.

In diesem Fall wird die Mission zeitweilig in Erwartung einer Tätigkeit von der Bodenstation aus unterbrochen, aber der Satellit bleibt in einem Sicherheitsmodus ("safe mode").

Um die Ebenen unabhängig zu halten eine Wechselwirkung zwischen ihnen zu vermeiden, schlägt die Erfindung gemäß einem ihrer an sich originellen Aspekten eine Logik der zeitlichen Unterscheidung oder Diskriminierung vor.

Der erste Einfall, der jemandem bei einem Fehler in einer Gesamtheit in den Sinn kommt, führt tatsächlich dazu zu versuchen, das fehlerhafte Element herzuleiten, indem verschiedene Selbsttestparameter benutzt werden. Aber diese Lösung benötigt eine komplexe Software, wobei bestimmte Zweideutigkeiten bezüglich der Herkunft des Fehlers die Testparameter außerhalb ihrer normalen Grenzen herauskommen lassen (dies ist beim Fehlen von bi-univoken Relationen zwischen den Fehlern und den Selbsttestparametern unvermeidlich).

Die durch die Erfindung vorgeschlagene Lösung der zeitlichen Unterscheidung ist eine Strategie auf der Basis verschiedener Verzögerungen für die verschiedenen Ebenen des hierarchischen Systems: ausgehend von der am wenigsten kritischen Ebene I bis zu der kritischsten Ebene III. Die Grundidee ist es, jeder Ebene III und II ausreichend Zeit zu geben, bevor man die Verfahren, die den niedrigeren Ebenen entsprechen ablaufen läßt. Hingegen ist die Ebene IV, die alle unteren Ebenen zusammen behandelt, von einer Verzögerung betroffen, die länger ist als die Dauer des Reaktionszyklus der niedrigsten Ebene.

So würden beispielsweise im Fall des Verlusts des Busses 3 (was auch immer die Ursache hierfür ist) alle Einheiten und alle Kuppler zu Unrecht als fehlerhaft erscheinen und Alarme der Ebenen III, II und I auftreten.

Die Strategie zeitlichen Unterscheidung besteht darin, die Rekonfiguration der Kuppler erst ablaufen zu lassen, nachdem eine eventuelle Rekonfiguration der höheren Ebene III (III.1 oder III.2) stattgefunden hat und den Fehler auf dieser Ebene korrigieren konnte, wenn dies möglich war, und die Rekonfiguration der Einheiten erst ablaufen zu lassen, nachdem eventuelle Rekonfigurationen der Kuppler stattgefunden haben können und die eventuellen Fehler auf der Ebene II korrigiert werden konnten.

So kehren im vorstehend erwähnten Beispiel eines fehlerhaften Busses nach der Rekonfiguration des Busses die Testparameter in ihre nominellen Bereiche zurück, ohne daß eine weitere Rekonfiguration auf einer niedrigeren Ebene nötig wäre.

Das Flußdiagramm von Fig. 18 (die Zeitdehnung wurde aus Gründen der Deutlichkeit nicht berücksichtigt)veranschaulicht einen anderen Fall, und zwar denjenigen eines Fehlers des aktiven Erddetektors. Das Prozessormodul PM detektiert diesen Fehler über den zugehörigen Kuppler und den Bus 3 und behandelt ihn als Fehler der Ebene I. Darüber hinaus ruft der Verlust des Erdsignals ein Systemalarmsignal der Ebene IV hervor, das über die Leitung 2A läuft.

Bei to der Moment, in dem diese beiden Alarme auftreten. Das Prozessormodul löst die Verzögerung der Ebene I aus, während der Zeitgeber 32 des Rekonfigurationsmoduls die Verzögerung der Ebene IV auslöst: Dies bedeutet, daß vor dem Ende der Verzögerung keine Reaktion auf den einen oder anderen dieser Alarme auftreten wird.

Die Verarbeitung jedes dieser Alarme wird ausgeführt, ohne zu wissen, ob ein anderer Alarm existiert oder nicht. Nachstehend wird unter Einhaltung der folgenden Hauptregeln diskutiert:

- Jeder Alarm der Ebene III oder II bewirkt eine Inhibierung der Alarme einer niedrigeren Ebene (es wurde tatsächlich gesehen, daß auf diesen Ebenen ein Alarm von zu den von der fehlerhaften Komponente abhängigen Komponenten gehörenden Alarmen begleitet wird);

- Die Reaktion auf einen Alarm der Ebene II oder 1 wird erst ausgeführt, wenn einer eventuellen Reaktion einer höheren Ebene (III oder II) Zeit gelassen wurde, ihre Wirkungen zu zeigen.

Es wird hier angenommen, daß die Periode der Prüfung des Zustands der verschiedenen Komponenten 100 ms beträgt.

So würde ein zum Zeitpunkt to auftretender Fehler im folgenden Zyklus entdeckt (to + 100 ms). Es ist hier eine zeitliche Filterung von einem Zyklus (oder mehreren) vorgesehen: Wenn der Alarm der Ebene III bis to + 200 ms andauert, dann wird dieser Alarm validiert und es wird, nach einer Verzögerung, die hier gleich Null ist, eine Rekonfiguration der Ebene III.1 ausgelöst. Man kann abschätzen, daß nach der Validirung eines Alarms der Ebene III die Erzeugung eines Löschsignals und dann die Phase des Ausschaltens des aktiven Prozessormoduls zusammen 200 bis 300 ms dauern. Folglich gibt es im betrachteten Beispiel unter der Annahme eines Alarms der Ebene III eine Löschung nach to + 500 ms. Diese Löschung würde jede Alarmverarbeitung der Ebene I oder II inhibieren. Es muß so für die Ebene II eine solche Verzögerung vorgesehen werden, daß keine Reaktion der Ebene II vor to + 500 ms ausgelöst werden kann.

Wenn zum Zeitpunkt to ein Alarm der Ebene II aufträte, würde er bei dem folgenden Abfragezyklus (bei to + 100 ms) detektiert und bei to + 200 ms validiert, wobei auch hier eine zeitliche Filterung von 100 ms angewendet würde. Eine Verzögerung von 300 ms (oder mehr) ist ausreichend, um die sich aus der vorstehend im Zusammenhang mit der Behandlung der Ebene III gemachten Analyse ergebende Bedingung sicherzustellen. Aus Vorsicht wird hier eine Verzögerung von 0,5 s gewählt, was unter der Annahme eines Alarms der Ebene II zu to + 0,75 führt. Die Verarbeitung dieses Alarms der Ebene würde von einer Inhibierung von Alarmen der Ebene I begleitet. Es muß deshalb für die Ebene I eine Verzögerung von mindestens 0,75 vorgesehen werden um sicherzustellen, daß vor der Auslösung einer Reaktion der Ebene II keine Reaktion der Ebene I ausgelöst wird.

Aus Vorsicht wird hier eine Verzögerung von 1 s ausgewählt.

In dem im Zusammenhang mit Fig. 18 betrachteten Beispiel gab es keinen Alarm der Ebenen III oder II, und der Alarm I hält bis zum Ende dieser Verzögerung von 1 s an: Somit wird die Rekonfiguration des Erddetektors ausgeführt. Sie dauert etwa 30 s (diese Dauer variiert entsprechend der Einheiten), was zu to + 31 s führt.

Im hier betrachteten Beispiel beträgt die zur Ebene IV gehörende Verzögerung eine Minute. Da die Verarbeitung des Alarms der Ebene I 31 s dauerte und der neue aktive Erddetektor (unter der Voraussetzung korrekter Funktion) von neuem gültige Signale liefert, verschwindet der Alarm der Ebene IV vor dem Ende der Verzögerung der Ebene IV, und es scheint keine Reaktion der Ebene IV notwendig. Das System ist in einen unversehrten Zustand ohne Alarm zurückgekehrt.

Das Vorstehende setzt die Existenz eines redundanten verfügbaren Erddetektors voraus, wobei in Ermangelung eines solchen auf der Bodenstation entschieden werden muß, wie die Mission fortzusetzen ist.

Es ist zu erkennen, daß die Verzögerung, bevor einer gegebenen Ebene eine Rekonfigurationsanforderung gewährt wird, um so kürzer ist, je höher die Ebene ist: 1 s für die Ebene I, 0,5 s für die Ebene II, Oms für die Ebene III. Die vorstehende Darlegung ermöglicht es, auf einfache Weise neue Werte zu bestimmen, wenn man z. B. die zeitliche Filterung auf 200 ms (oder mehr) verlängern möchte.

Tatsächlich wird von der Bedienungsperson am Boden eine letzte Reaktionsebene direkt gewährleistet, wobei alle Rekonfigurationsmodule inhibiert werden. Die Bodenstation hat somit die Möglichkeit, alle bisher an Bord automatisch erledigten Aufgaben durch direkte Fernsteuerung zu übernehmen, die so die Steuerelemente ("drivers") der Rekonfigurationsmodule ersetzen kann. Somit bleibt die nominale Mission im Fall des Ausfalls der beiden Rekonfigurationsmodule aufrechterhalten, wobei die Behandlung der Ebene I an Bord sichergestellt wird und die Behandlung der höheren Ebenen durch die Bodenstation sichergestellt wird.

Es ist zu erkennen, daß die Erfindung ein sehr zuverlässiges zentralisiertes System bei gleichzeitig niedriger Masse und zu geringen Kosten vorschlägt, das dafür geeignet ist, sowohl die thermischen und energetischen Aspekte des Satelliten als auch die Lage- und Orbitregelung zu übernehmen.

Wie dies vorstehend dargelegt wurde, weist dieses zentralisierte System mehrere, eventuell unabhängige originelle Merkmale auf:

- Es wurde erkannt, daß eine große Anzahl an Fehlern der Ebene III (Ebene des Prozessormoduls, sogar des Busses) nicht materieller Art sind. Deshalb besteht ein erster Abschnitt der Rekonfiguration darin, dasselbe Prozessormodul wie das bisher verwendete neu zu starten. Dies geht gegen die Gewohnheiten des Fachmanns, die darin bestehen, im Fall eines Fehlers zu handeln und anschließend die Alarmsignale zu analysieren, wohingegen die Erfindung auf eine Art Anzweifeln der Ernsthaftigkeit des detektierten Fehlers gegründet ist, wobei eine Art des Zögerns oder Zurückhaltens der Reaktion eingeführt wird. Dieses Konzept kann für jede Art von autonomem und schnell reagierendem Datenverwaltungssystem verallgemeinert werden, bei dem ein maximaler Teil jedes (eventuell einzelnen) Rechners genutzt werden soll;

- Die Strategie der zeitlichen Unterscheidung (oder Diskriminierung), die eine sukzessive Behandlung der verschiedenen Ebenen I, II, III gewährleistet, wobei von der kritischsten Ebene ausgegangen und dann mit den weniger kritischen Ebenen fortgefahren wird und wobei jedesmal die Rekonfigurationsanforderungen der niedrigeren Ebenen inhibiert werden, gewährleistet eine hohe Unabhängigkeit zwischen den Ebenen, ohne daß eine komplexe und kostspielige Detektierungslogik für den Ursprung des Fehlers zum Eingreifen veranlaßt wird. Doch diese Strategie der zeitlichen Unterscheidung ermöglicht es, ein fehlerhaftes Element in einer beliebigen Struktur der Konzentration von Daten, bei der eine Ebene n aus der niedrigeren Ebene n-1 stammende Daten konzentriert, um sie auf die Ebene n+1 zu übertragen, auf einfache Weise zu lokalisieren und zu rekonfigurieren. Diese Strategie lehrt, für jede Ebene die charakteristischen Parameter dieser Ebene periodisch aufzunehmen (typischerweise alle 100 ms ein Abfragezyklus) und in Abhängigkeit von diesen zu entscheiden, ob das betreffende Element fehlerhaft ist oder scheint: Wenn dieses Element fehlerhaft ist oder scheint, wird, zumindest für die höchsten Ebenen, durch ein Rekonfigurations- oder Überwachungsmodul eine Rekonfiguration dieser Ebene bewirkt. Dieses Modul (oder sogar das Prozessormodul für die niedrigsten Ebenen) testet periodisch alle Rekonfigurationsanforderungen, und wenn eine solche Anforderung detektiert wird, wird eine Verzögerung ausgelöst, deren begrenzter Wert von der betrachteten Ebene abhängt (um so kürzer, je kritischer die Fehlerebene ist), wobei die Rekonfiguration dieser Ebene nur im Fall des Fortbestehens der Rekonfigurationsanforderung über diese Verzögerung hinaus stattfindet (mit Inhibierung der Rekonfigurationsanforderungen der niedrigeren Ebenen);

- Das System verwendet vorzugsweise (siehe Fig. 1) interne Parameter (elektrisches, thermisches Verhalten) oder inertielle Parameter außerhalb des Satelliten, die an Bord autonom als Funktion der Phasen der Mission oder auch starr gemäß der Planung wählbar sind, deren Quellen jedoch direkt mit dem Rekonfigurationsmodul ohne eine andere Schnittstelle oder ein anderes Transportmedium für Informationen als den direkten elektrischen oder optischen Verbindungen oder Funkverbindungen verbunden sind (siehe Fig. 1);

- Das zentralisierte System besteht mit einfacher innerer Redundanz mit einem Rekonfigurationsmodul, das dafür geeignet ist, auf die Prozessormodule autonom und auf der niedrigeren Ebene auf die Initiative der Prozessormodule hin einzuwirken. Dieses Rekonfigurationsmodul ist mit einem Selbsttestblock ausgestattet und wird von den Prozessormo dulen ohne die Möglichkeit des direkten Einwirkens dieser letzteren überwacht, weswegen jedes Risiko der Schleifenbildung vermieden wird. Dieses Rekonfigurationsmodul weist darüber hinaus einen Sicherungsspeicherblock auf, der es ermöglicht, alle Speicherzonen der Prozessormodule nach Belieben aufzufrischen.

Es versteht sich von selbst, daß die vorstehende Beschreibung nur als nicht beschränkendes Beispiel gegeben wurde und daß zahlreiche Varianten vom Fachmann vorgeschlagen werden können, ohne den Rahmen der Erfindung zu verlassen. So kann insbesondere die Anzahl an unabhängigen Ebenen über drei hinaus erhöht werden, wenn gleichzeitig die vorstehend erwähnten Regeln der zeitlichen Diskriminierung eingehalten werden.

Ebenso kann diese Erfindung neben dem Bereich der Raumfahrt allgemein bei allen Datenverarbeitungssystemen angewendet werden, die im Fall von Fehlern in einem feindlichen, wie z. B. nuklearen, Milieu oder als isolierte Systeme (z. B. unter Wasser) eine beträchtliche Autonomie aufweisen müssen.


Anspruch[de]

1. Verfahren zum Detektieren und Passivieren von Fehlern in einem zentralisierten hierarchischen Datenverarbeitungssystem, das im Fall von Fehlern in einer feindlichen Umgebung autonom ist, das sich insbesondere, jedoch nicht notwendigerweise, an Bord eines Raumfahrzeugs befindet und das ein Prozessormodul (PM, PM1, PM2), einen mit diesem Prozessormodul verbundenen Datenverarbeitungsbus (3, 3') und mit diesem Bus verbundene Einheiten (4-8) aufweist, dadurch gekennzeichnet, daß Zustandssignale, die die korrekte oder schlechte Funktion des Prozessormoduls und jeder der Einheiten anzeigen, überwacht werden und, wenn ein Zustandssignal detektiert wird, das eine schlechte Funktion des Prozessormoduls anzeigt, ein vorgegebener Rekonfigurationszyklus des Prozessormoduls (III.1) angefordert wird und, wenn ein Signal detektiert wird, das eine schlechte Funktion einer Einheit anzeigt, der Austausch (II) dieser Einheit (C1) durch eine für dieselbe Funktion in redundanter Reservelage zur Verfügung stehende Einheit angefordert wird, und zwar nach einer Verzögerung, die mindestens gleich der Zeitdauer eines solchen Rekonfigurationszyklus des Prozessormoduls ist, wobei diese Verzögerung bei der Auslösung eines solchen Rekonfigurationszyklus des Prozessormoduls inhibiert wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß man die Zustandssignale, die die Funktion der Einheiten anzeigen, durch das Prozessormodul überwachen läßt und daß man einen solchen Austausch der Einheit von einem Piloten (41) außerhalb des Prozessormoduls ausführen läßt.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß diese Verzögerung zwischen 0,5 und 50 Sekunden beträgt.

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß diese Verzögerung zwischen 0,5 und 5 Sekunden beträgt.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß man außerdem vom Prozessormodul Zustandssignale überwachen läßt, die die korrekte oder schlechte Funktion von elementaren Einheiten anzeigen, welche durch die Einheiten mit dem Bus verbunden sind, und, wenn das Prozessormodul (PM) ein Zustandssignal detektiert, das eine schlechte Funktion einer dieser elementaren Einheiten anzeigt, man durch dieses Prozessormodul den Austausch dieser elementaren Einheit durch eine elementare, in redundanter Reservelage für dieselbe Funktion zur Verfügung stehende elementare Einheit ausführen läßt, und zwar nach einer zweiten Verzögerung, die mindestens gleich der Summe aus der vorgesehenen Verzögerung vor dem Austausch einer Einheit durch eine in redundanter Reservelage für dieselbe Funktion zur Verfügung stehende Einheit und der für diesen Austausch notwendigen Zeitdauer ist, wobei diese zweite Verzögerung durch einen solchen Austausch der Einheit oder durch die Auslösung eines Rekonfigurationszyklus des Prozessormoduls (III.1) inhibiert wird.

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß diese zweite Verzögerung zwischen 1 und 10 Sekunden beträgt.

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß die erste Verzögerung etwa 0,5 Sekunden beträgt, wobei diese zweite Verzögerung etwa 1 Sekunde beträgt.

8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß mit dem Prozessormodul eine Vielzahl von Einheiten verbunden sind, die auf mindestens einer Ebene verteilt sind, wobei außerdem, unabhängig von den Einheiten und dem Prozessormodul, Zustandssignale (SAL) überwacht werden, die den Zustand oder die Lage des Raumfahrzeugs anzeigen, und, wenn detektiert wird, daß eines dieser Zustandssignale einen Schwellenwert übersteigt, man unabhängig vom Prozessormodul den Austausch des Prozessormoduls, des Busses und aller Einheiten durch etwaige Prozessormodule, Busse und Einheiten, die in redundanter Reservelage zur Verfügung stehen, ausführen läßt, und dies nach einer gesamten Verzögerung, die mindestens gleich der Zeit ist, welche notwendig ist, um nacheinander den Austausch des Prozessormoduls, dann denjenigen der Einheiten Ebene für Ebene durchzuführen, wobei von der höchsten Ebene ausgegangen wird.

9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, daß diese gesamte Verzögerung mindestens 1 Minute beträgt.

10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß diese gesamte Verzögerung zwischen 1 und 10 Minuten beträgt.

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß diese Schwellenzahl gleich 1 ist.

12. Verfahren nach Anspruch 10 oder 11, dadurch gekennzeichnet, daß diese vorgegeben Zeitdauer zwischen 5 und 60 Sekunden beträgt.

13. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß diese vorgegebene Zeitdauer etwa 10 Sekunden beträgt.

14. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, daß zum Ausführen eines solchen Rekonfigurationszyklus des Prozessormoduls oder eines Austausches einer Einheit die Erzeugung (39) eines Rekonfigurationsimpulses mit bestimmten Merkmalen angefordert wird und dadurch, daß, während die Zustandssignale eine korrekte Funktion anzeigen, die Erzeugung mindestens eines Testimpulses angefordert wird, der nur eines dieser bestimmten Merkmale aufweist, und verifiziert wird, daß dieser Testimpuls dieses gewünschte der bestimmten Merkmale aufweist.

15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, daß die bestimmten Merkmale die Spannung und die Dauer des Rekonfigurationsimpulses sind.

16. Verfahren zum Detektieren und Passivieren von Fehlern in einem zentralisierten hierarchischen Datenverarbeitungssystem, das im Fall von Fehlern in einer feindlichen Umgebung eine große Autonomie zeigen muß, das sich insbesondere, jedoch nicht notwendigerweise, an Bord eines Raumfahrzeugs befindet und Komponenten (PM, 4-8) aufweist, die auf mehreren Ebenen (I, II, III) verteilt sind, darunter ein Prozessormodul (PM, PM1, PM2) auf der höchsten Ebene (III), dadurch gekennzeichnet, daß Zustandssignale überwacht werden, die die korrekte oder schlechte Funktion dieser Komponenten anzeigen, und, wenn ein Zustandssignal detektiert wird, das eine schlechte Funktion des Prozessormoduls anzeigt, ein vorgegebener Rekonfigurationszyklus des Prozess> ormoduls (III.1) angefordert wird und, wenn ein Signal detektiert wird, das eine schlechte Funktion einer Komponente auf einer niedrigeren Ebene anzeigt, diese Komponente durch eine andere Komponente derselben Ebene, die für dieselbe Funktion in redundanter Reservelage zur Verfügung steht, ersetzt wird, und zwar nach einer Verzögerung, welche um so länger ist, je niedriger die Ebene dieser Komponente ist, wobei diese Verzögerung für diese Ebene so vorgegeben ist, daß sie größer ist als die Summe aus einer vorgegebenen Verzögerung, die für die nächsthöhere Ebene ausgewählt ist, und der Zeitdauer des Austausches einer Komponente dieser nächsthöheren Ebene, wobei die vorgegebene Verzögerung, die für die in bezug auf die Ebene des Prozessormoduls nächstniedrigere Ebene ausgewählt ist, mindestens gleich der Zeitdauer eines solchen Rekonfigurationszyklus des Prozessormoduls ist, wobei jede für eine Komponente einer bestimmten Ebene ausgelöste Verzögerung durch die Auslösung entweder eines Rekonfigurationszyklus des Prozessormoduls oder eines Ersetzungszyklus einer Komponente, von der diese bestimmten Komponente abhängt, auf einer höheren Ebene inhibiert wird.

17. Verfahren nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, daß dieser vorgegebene Rekonfigurationszyklus des Prozessormoduls ein Ausschalten und ein Wiedereinschalten dieses Prozessormoduls umfaßt.

18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, daß bei der Auslösung eines Rekonfigurationszyklus des Prozessormoduls ein Zeitgeber (35) ausgelöst wird und die Anzahl der Detektierungen eines Zustandssignals, das eine schlechte Funktion des Prozessormoduls (WD) anzeigt, im Verlauf einer vorgegebenen Zeitdauer, die von dieser Auslösung an zu zählen ist, gezählt (35) wird, diese Anzahl mit einer Schwellenzahl verglichen wird und, wenn diese Anzahl diese Schwellenzahl erreicht, der Austausch (III.2) dieses Prozessormoduls (PM1) durch ein anderes Prozessormodul, das in redundanter Reservelage zur Verfügung steht, angefordert wird.

19. Zentralisiertes hierarchisches Datenverarbeitungssystem, das im Fall von Fehlern in einer feindlichen Umgebung autonom ist und das sich insbesondere, jedoch nicht notwendigerweise, an Bord eines Raumfahrzeugs befindet und eine Berechnungseinheit (2) und Einheiten (C) aufweist, die auf einer niederen Ebene (II) verteilt sind und mit einem Prozessormodul (PM, PM1, PM2) verbunden sind, das Teil der Berechnungseinheit ist, dadurch gekennzeichnet, daß die Berechnungseinheit so ausgelegt ist, daß sie Zustandssignale, die die korrekte oder schlechte Funktion des Prozessormoduls und jeder der Einheiten anzeigen, überwacht und außerdem ein Rekonfigurationsmodul (RM) aufweist, das vom Prozessormodul getrennt ist und, mit einem Datenübertragungsbus (28) verbunden, einen Prozessormodul-Rekonfigurationsblock (23), der dafür ausgelegt ist, als Funktion von Zustandssignalen einen Impuls auszusenden, der dazu bestimmt ist, einen Rekonfigurationszyklus des Prozessormoduls auszulösen, einen Selbsttestblock (21), einen Testverifizierungsblock (24), der mit dem Ausgang des Prozessormodul-Rekonfigurationsblocks verbunden ist, einen Sicherungsspeicherblock (27), ein Schnittstellenmodul (INT) zum Prozessormodul und einen zweiten Rekonfigurationsblock (25) aufweist, der mit dem Bus verbunden ist und dafür ausgelegt ist, auf Anforderung des Prozessormoduls als Funktion von Zustandssignalen einen Rekonfigurationsimpuls zu erzeugen, der für eine der Einheiten der niedrigen Ebene bestimmt ist, und zwar nach einer Verzögerung, die mindestens gleich der Zeitdauer eines solchen Rekonfigurationszyklus des Prozessormoduls ist.

20. System nach Anspruch 19, dadurch gekennzeichnet, daß das Prozessormodul eine Anschlußklemme zur Steuerung der Ein-/Aus-Funktion aufweist, die mit einem Ausgang des Prozessormodul-Rekonfigurationsblocks verbunden ist, wobei dieses Rekonfigurationsmodul eine Anschlußklemme zur Steuerung der Ein-/Aus-Funktion aufweist, die mit einem vom Prozessormodul unabhängigen Modul verbunden ist.

21. System nach Anspruch 19 oder 20, dadurch gekennzeichnet, daß diese Berechnungseinheit ein zweites Prozessormodul (PM2), das in redundanter Reservelage zur Verfügung steht, und ein zweites Rekonfigurationsmodul in redundanter Reservelage aufweist.

22. System nach einem der Ansprüche 19 bis 21, dadurch gekennzeichnet, daß dieses Rekonfigurationsmodul außerdem durch von den Einheiten, dem Bus und dem Prozessormodul unabhängigen Leitungen (2A) mit Sensoren verbunden ist, die auf Zustandsparameter ansprechen, welche den Zustand des Raumfahrzeugs anzeigen.







IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com