Mehrkanal-Kontrollermodul

Die Erfindung betrifft ein Mehrkanal-Kontrollermodul für Integrierte Modulare Avionik (IMA).

Nach dem Stand der Technik ist aus der US 5,406,472 ein Mehrkanal-Kontrollermodul mit zwei Kanälen bekannt, wobei bei jedem der Kanäle ein Interface, ein Prozessor sowie ein erster Speicher zum Datenaustausch miteinander verbunden sind. Die beiden Kanäle werden in einer redundanten Duplex-Betriebsweise betrieben, bei der zur Ausführung eines fest vorgegebenen Programms beide Kanäle benutzt werden und die beiden Kanäle über ein Datenaustausch- und Fehlerüberwachungsmittel miteinander verbunden sind. Sofern mit dem Datenaustausch- und Fehlerüberwachungsmittel ein

Fehler festgestellt wird, wird der fehlerhaft arbeitende Kanal deaktiviert.

Die EP 0 435 613 A2 offenbart ein weiteres Mehrkanal-Kontrollermodul. Hier sind bei jedem der Kanäle zumindest ein zur Kommunikation mit einem Steuercomputer vorgesehenes Interface, ein Prozessor, zumindest ein zur Kommunikation mit einem

Peripheriegerät vorgesehenes zweites Interface sowie ein Speicher zum Datenaustausch miteinander verbunden. Auch dieses Mehrkanal-Kontrollermodul wird in einer redundanten Duplex-Betriebsweise betrieben, bei der beide Kanäle über ein Datenaustausch- und Fehlerüberwachungsmittel miteinander verbunden sind.

Die bekannten Mehrkanal-Kontrollermodule sind üblicherweise herstellerseitig an die spezifisch damit zu erfüllenden Funktionen, beispielsweise die Steuerung und Regelung einer Flugzeugturbine oder dgl., angepasst. Sie sind dabei üblicherweise im Cockpit eines Flugzeugs im Zusammenhang mit der dort vorgesehenen Avionik untergebracht. In jüngerer Zeit ist man zur Verbesserung der Leistungsfähigkeit der Avionik dazu übergegangen, diese im Flugzeug auf räumlich voneinander getrennte Module zu verteilen. Insbesondere werden Kontroller heutzutage in der Nähe der damit verbundenen Sensoren und/oder Aktuatoren untergebracht und über ein Bussystem mit einem im Cockpit vorgesehenen zentralen Steuercomputer verbunden. Derartige entfernt vom Steuercomputer untergebrachte Kontroller werden auch als Remote Controller

Electronics (RCE) bezeichnet.

Derzeit ist die RCE spezifisch für die damit zu betreibende Peripherie, beispielsweise Sensoren oder Aktuatoren. Infolgedessen ist es erforderlich, sie in die Software- Architektur der Avionik zu implementieren. Nachteiligerweise unterscheiden sich die

RCE - auch wenn sie bestimmte Qualitätsvorgaben erfüllen müssen - in ihrem Funktionsabläufen. Das macht das Auffinden eines Fehlers schwierig. Abgesehen davon ist damit die Avionik insgesamt anfälliger für Fehlfunktionen.

Aufgabe der Erfindung ist es, die Nachteile nach dem Stand der Technik zu beseitigen.

Es soll insbesondere ein möglichst universelles Mehrkanal-Kontrollermodul für Integrierte Modulare Avionik angegeben werden, das die Erlangung eines verbesserten sicherheitstechnischen Standards ermöglicht.

Diese Aufgabe wird durch die Merkmale des Anspruchs 1 gelöst. Zweckmäßige

Ausgestaltungen der Erfindung ergeben sich aus den Merkmalen der Ansprüche 2 bis 10.

Nach Maßgabe der Erfindung ist bei einem Mehrkanal-Kontrollermodul vorgesehen, dass der erste Speicher ein Betriebssystem umfasst. Dabei handelt es sich zweckmäßigerweise um ein mehrschichtiges Betriebssystem, bei dem die unteren Schichten für einen Anwender, d. h. für den Hersteller eines Anwendungsprogramms, nicht ohne weiteres zugänglich sind. In den unteren Schichten des Betriebssystems können insbesondere Fehlererkennungs-, Fehlerbeurteilungs- und/oder Fehlerkorrekturroutinen vorgesehen sein.

Das Mehrkanal-Kontrollermodul umfasst außerdem einen zweiten Speicher zum wahlweisen Speichern zumindest eines Anwendungsprogramms zur Kommunikation mit dem Peripheriegerät. Selbstverständlich ist es in diesem Zusammenhang auch möglich, unterschiedliche Anwendungsprogramme zur Kommunikation mit unterschiedlichen

Peripheriegeräten zu speichern. Erfindungsgemäß ist ferner ein Auswahlmittel vorgesehen, mit welchem dem Anwendungsprogramm wahlweise eine erste oder ein zweite Betriebsweise zugewiesen wird. Das Auswahlmittel ist zweckmäßigerweise ein Programmabschnitt des Betriebssystems. Zur Auswahl der Betriebsweise kann z. B. eine bedienungsfreundliche

Benutzeroberfläche vorgesehen sein. Die erste Betriebsweise ist eine redundante Duplex-Betriebsweise, bei der zur Ausführung des Anwendungsprogramms beide Kanäle benutzt werden und die beiden Kanäle, in diesem Fall, über ein Datenaustausch- und Fehlerüberwachungsmittel miteinander verbunden sind. In diesem Fall steht beiden Kanälen zeitgleich derselbe Input zur Verfügung. Sofern mit dem Datenaustausch- und

Fehlerüberwachungsmittel festgestellt wird, dass in einem der beiden Kanäle ein Fehler auftritt, kann dieser, in Abhängigkeit der Art des Fehlers, deaktiviert werden. Es ist auch möglich, bestimmte Fehler zu tolerieren oder auch, je nach Art des Fehlers, beide Kanäle zu deaktivieren. Die erste Betriebsweise wird in der Regel solchen Anwendungsprogrammen zugewiesen, welche im Hinblick auf die Flugsicherheit kritisch sind.

Daneben ist es erfindungsgemäß mit dem Auswahlmittel aber auch möglich, dem Anwendungsprogramm eine zweite Betriebsweise zuzuweisen. Dabei handelt es sich um eine nicht-redundante Simplex-Betriebsweise, bei der zur Ausführung des

Anwendungsprogramms lediglich einer der beiden Kanäle benutzt wird und, in diesem Fall, das Datenaustausch- und Fehlerüberwachungsmittel deaktiviert ist. In diesem Fall steht dem Anwendungsprogramm lediglich der Input des ihm zugewiesenen Kanals zur Verfügung. Die zweite Betriebsweise wird vorzugsweise solchen Anwendungsprogrammen zugewiesen, welche im Hinblick auf die Flugsicherheit nicht kritisch sind.

Das vorgeschlagene Mehrkanal-Kontrollermodul ist besonders universell. Damit wird erstmals eine standardisierte Plattform zur Verfügung gestellt, mit der ein Anwendungsprogramm wahlweise in einer besonders sicheren ersten Betriebsweise oder in einer zweiten Betriebsweise betrieben werden kann.

Nach einer vorteilhaften Ausgestaltung ist ein erstes Konfigurationsmittel zum Konfigurieren des ersten Interfaces vorgesehen. Das erste Interface kann ein CAN- oder ein FlexRay-Interface umfassen. Das erste Konfigurationsmittel ermöglicht es einem

Hersteller des Anwendungsprogramms auf einfache Weise, das erste Interface im - A -

Hinblick auf die Erfordernisse des Anwendungsprogramms zu konfigurieren. Eine aufwändige Programmierung des ersten Interfaces ist nicht mehr erforderlich. In ähnlicher Weise kann ein zweites Konfigurationsmittel zum Konfigurieren des zweiten Interfaces vorgesehen sein. Damit kann das zweite Interface seitens des Herstellers des Anwendungsprogramms schnell und einfach konfiguriert werden.

Mit dem ersten und/oder zweiten Konfigurationsmittel können insbesondere die Parameter und/oder die Funktionen des ersten bzw. zweiten Interfaces konfiguriert werden. Es handelt sich dabei z. B. um weitere Programmabschnitte des Betriebssystems, mit denen die eingegebenen Parameter und/oder Funktionen an ein im

Betriebssystem implementiertes Programm zur Ansteuerung der Interfaces übergeben werden.

Ferner kann das Mehrkanal-Kontrollermodul mehrere Stromversorgungsanschlüsse sowie ein drittes Konfigurationsmittel zum Konfigurieren der Stromanschlüsse aufweisen.

Zur Gewährleistung einer hohen Funktionssicherheit ist es damit möglich, das Mehrkanal-Kontrollermodul gleichzeitig an mehrere unabhängige Stromquellen anzuschließen. Das dritte Konfigurationsmittel ermöglicht es dem Hersteller eines Anwendungsprogramms zu bestimmen, ob z. B. im Falle des Ausfalls einer der Stromquellen zum weiteren Betrieb desselben auf einen weiteren Stromanschluss zugegriffen werden soll oder nicht. Auch beim dritten Konfigurationsmittel kann es sich - ähnlich wie beim ersten und/oder zweiten Konfigurationsmittel - um einen Programmabschnitt des Betriebssystems handeln.

Das Peripheriegerät kann zweckmäßigerweise zumindest einen Aktuator und/oder zumindest einen Sensor umfassen. Bei dem Aktuator kann es sich um ein elektrisches Schaltmittel, ein elektromechanisches, hydraulisches oder pneumatisches Stellmittel oder dgl. handeln. Insbesondere zur Erfassung und Auswertung von Signalen des zumindest einen Sensors kann jeder Kanal zumindest einen, vorzugsweise vier, digitale Signalprozessoren umfassen. Das ermöglicht eine hohe Verarbeitungsgeschwindigkeit.

Zweckmäßigerweise können mit dem vorgeschlagenen Mehrkanal-Kontrollermodul ein erstes Anwendungsprogramm in der ersten Betriebsweise und ein zweites Anwendungsprogramm in der zweiten Betriebsweise gleichzeitig betrieben werden. Es können auch drei oder mehr Anwendungsprogramme gleichzeitig auf den Mehrkanal- Kontrollermodul betrieben werden. Nach einer weiteren vorteilhaften Ausgestaltung ist ein Synchronisationsmittel zur Synchronisation der Datenverarbeitung beider Kanäle vorgesehen. Das Synchronisationsmittel ist in der ersten Betriebsweise aktiviert und in der zweiten Betriebsweise deaktiviert. Durch das Vorsehen des Synchronisationsmittels wird eine besonders schnelle und betriebssichere Arbeitsweise des Fehlerüberwachungsmittels sichergestellt.

Nachfolgend werden Ausführungsbeispiele der Erfindung anhand der Zeichnungen näher erläutert. Es zeigen:

Fig. 1 schematisch eine erste Betriebsweise "Dual Processing" sowie eine zweite Betriebsweise "Double Simplex Processing" eines Mehrkanal- Kontrollermoduls,

Fig. 2 schematisch die Hardwarearchitektur des Mehrkanal-Kontrollermoduls,

Fig. 3 die Funktion des "Shared Memory" nach Fig. 2,

Fig. 4a schematisch den gleichzeitigen Betrieb mehrerer Anwendungsprogramme in der ersten Betriebsweise und

Fig. 4b schematisch den gleichzeitigen Betrieb mehrerer Anwendungsprogramme in der ersten sowie der zweiten Betriebsweise.

Fig. 1 zeigt schematisch ein Mehrkanal-Kontrollermodul mit zwei Kanälen "Lane A" und

"Lane B". Jeder der Kanäle "Lane A" und "Lane B" weist ein erstes Interface mit einer Eingabe-/Ausgabefunktion bzw. I/O function sowie einen Prozessor "CPU" und ein zweites Interface "TC" auf. In einer ersten Betriebsweise "Dual Processing" sind beide Kanäle "Lane A" und "Lane B" zum wechselweisen Datenaustausch miteinander verbunden. Beide Kanäle "Lane A" und "Lane B" überwachen sich gegenseitig im

Hinblick auf die Konsistenz der jeweils verarbeiteten Daten. Bei der in Fig. 1 des Weiteren gezeigten zweiten Betriebsweise "Double Simplex Processing" sind die beiden Kanäle "Lane A" und "Lane B" voneinander getrennt. Es findet kein Datenaustausch zwischen beiden Kanälen "Lane A" und "Lane B" zum Zwecke der Fehlererkennung statt. Fig. 2 zeigt schematisch die Hardwarearchitektur des Mehrkanal-Kontrollermoduls "RCE". Sie gliedert sich in ein "Processing Board", auf dem für jeden der Kanäle "Lane A" und "Lane B" ein Microcontroller mit der "CPU" aufgenommen ist. Ein erstes Interface umfasst hier ein "CAN Interface" sowie "FlexRay Interfaces". Ein erster Speicher umfasst "FLASH", "RAM" und "DMA". Zur Kommunikation mit einer ein zweites Interface jedes der Kanäle "Lane A" und "Lane B" aufnehmenden Eingabe-/Ausgabeeinheit bzw. "IO Board" ist ein SCI (= Serial Communication Interface) vorgesehen. Das Processing Board umfasst außerdem eine Stromversorgungseinheit "Power Supply RDC", welche mit mehreren Stromanschlüssen versehen sein kann.

Wie aus Fig. 2 ersichtlich ist, können die Microcontroller der beiden Kanäle "Lane A" und "Lane B" über eine gemeinsame Speichereinheit "Shared Memory" miteinander verbunden werden. Das IO Board jeder der Kanäle "Lane A" und "Lane B" umfasst außerdem eine digitale Signalprozessoreinheit "DSP", die wiederum einen weiteren Prozessor (Processing Unit) sowie einen weiteren Speicher umfassen. Die zweiten

Interfaces jeder der Kanäle "Lane A" und "Lane B" sind mit dem Bezugszeichen "AL", ¹¹ AO", "DSI", "DSO" bezeichnet.

Fig. 3 zeigt die Funktion des "Shared Memory". Das "Shared Memory" ermöglicht in der ersten Betriebsweise, d. h. beim Duplex-Betrieb einen wechselweisen Datenaustausch zwischen den beiden Kanälen "Lane A" und "Lane B". Dabei wird nach einer vorgegebenen Routine geprüft, ob die beiden Kanäle "Lane A" und "Lane B" fehlerfrei arbeiten. Falls das nicht der Fall ist, kann ein fehlerhaft arbeitender Kanal abgeschaltet werden. Es ist auch möglich, in diesem Fall beide Kanäle zu deaktivieren.

Fig. 4a und 4b zeigen Möglichkeiten eines Betriebs mehrerer Anwendungsprogramme P1 , P2, P3, P4 auf dem erfindungsgemäßen Mehrkanal-Kontrollermodul. Bei den in Fig. 4a gezeigten Beispielen werden drei Anwendungsprogramme P1 , P2, P3 im Duplex- Betrieb jeweils synchron betrieben.

Bei dem in Fig. 4b gezeigten Bespiel werden lediglich die Anwendungsprogramme P1 und P2, jeweils synchron im Duplex-Betrieb betrieben, wohingegen die weiteren Anwendungsprogramme P3 und P4 unabhängig voneinander im Simplex-Betrieb betrieben werden. D. h. dem Anwendungsprogramm P3 ist ausschließlich der erste Kanal "Lane A" und dem weiteren Anwendungsprogramm P4 ist ausschließlich der zweite Kanal "Lane B" zugewiesen. Mit dem vorgeschlagenen Mehrkanal-Kontrollermodul können Anwendungsprogramme betrieben werden, welche kritisch für die Flugsicherheit sind. Solche Anwendungsprogramme können in einer Duplex-Betriebsweise betrieben werden. Dabei werden allerdings die zwischen den Kanälen "Lane A" und "Lane B" erforderlichen

Datenaustausch- und Fehlerüberwachungsroutinen nicht durch das Anwendungsprogramm, sondern durch das Betriebssystem vorgegeben. Anwendungsprogramme, welche für die Flugsicherheit nicht kritisch sind, können zur Einsparung von System ressourcen wahlweise in der Simplex-Betriebsweise betrieben werden. Zur Auswahl der jeweiligen Betriebsweise steht ein Auswahlmittel bzw. ein

Programmabschnitt zur Verfügung, mit dem dem jeweiligen Anwendungsprogramm die Duplex- oder Simplex-Betriebsweise zugewiesen werden kann. Die erfindungsgemäß vorgeschlagenen Konfigurationsmittel, bei denen es sich um weitere Programmabschnitte des Betriebssystems handeln kann, ermöglichen es dem Hersteller von Anwendungsprogrammen auf einfache und komfortable Weise, die Interfaces sowie

Stromanschlüsse zu konfigurieren.