CH565407A5 - Monitoring system for control data processor - needs only one failsafe element for dynamic functional control - Google Patents

Monitoring system for control data processor - needs only one failsafe element for dynamic functional control

Info

Publication number
CH565407A5
CH565407A5 CH162774A CH162774A CH565407A5 CH 565407 A5 CH565407 A5 CH 565407A5 CH 162774 A CH162774 A CH 162774A CH 162774 A CH162774 A CH 162774A CH 565407 A5 CH565407 A5 CH 565407A5
Authority
CH
Switzerland
Prior art keywords
processing
bit pattern
processing unit
memory
identity
Prior art date
Application number
CH162774A
Other languages
German (de)
Original Assignee
Siemens Ag Albis
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag Albis filed Critical Siemens Ag Albis
Priority to CH162774A priority Critical patent/CH565407A5/en
Publication of CH565407A5 publication Critical patent/CH565407A5/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

The control data is processed in partial operations and a condition bit pattern is assigned to each partial operation. A condition bit pattern derived from the course of each partial operation is compared with a control bit pattern stored in the processor to generate a non-identity signal. The next control bit pattern in the processor store is then fed to the comparator to enable the next partial operation if identity is established. If permanent non-identity is detected, an error signal is generated to prevent further processing. Pref. the error signal is generated after a given delay.

Description

  

  
 



   Die vorliegende Erfindung betrifft ein Verfahren und eine
Schaltungsanordnung zur   Überprüfung    einer in   Teilvorgänge    gegliederten Verarbeitung einer Nachricht in Informations verarbeitungssystemen steuertechnicher Anlagen, fiir welche    Überprüfung    jedem Teilvorgang im Verarbeitungssystem ein
Zustandsbitmuster zugeteilt ist.



   Auf   alien    Gebieten der Technik nimmt der Einsatz von steuertechnischen Anlagen an Bedeutung zu. Elektrische
Fernsteuer- und   Ferniiberwacbungsanlagen      mtissen    extrem hohen Sicherheitsanforderungen gerecht werden, insbesondere dort, wo der Schutz von Sachwerten oder gar von Menschenle ben im Vordergrund steht. Dies trifft beispielsweise in der
Strassen-, Eisenbahn- und Flugverkehrssicherungstechnik zu.



   Derartige Fernwirkanlagen steuern und regeln mittels digitaler Signale   tiber    beliebige Entfernungen die gewünschten
Vorgänge. Sie sind in der Lage, empfangene Informationen selbsttätig zu verarbeiten und auszuwerten. Zur   Erfüllung    der
Sicherheitsanforderungen in nachrichtenverarbeitenden
Systemen sind besondere   Massnahmen    notwendig, welche verhindern, dass auftretende Fehler in den nachrichten verarbeitenden Einheiten eine   gefahrdende    Wirkung herbei fiihren können, indem der gesteuerte Vorgang trotzdem ausgelöst wird. Es ist anzustreben, dass auftretende Fehler ein
Versagen der Anlage nur nach der sicheren Seite hin zur Folge haben können.

  Ist diese Bedingung   erfüllt,    so kann das System als   Fehlersicher    (fail - safe) bezeichnet werden.



   In elektronischen Anlagen sind die Fehlermöglichkeiten dadurch gegeben, dass bei Halbleiterbauelementen   grnndsa#tz-    lich sowohl mit Kurzschluss als auch mit Unterbrechung gerechnet werden muss. Es sind verschiedene Vorschläge zur    Erhöhung    der Fehlersicherheit von elektronischen Systemen bekannt geworden, welche aber meistens nicht alle möglichen
Fehlerquellen erfassen und zudem zum Teil mit grossem
Aufwand verbunden sind und dementsprechend teuer ausfal len. So sind beispielsweise Kombinationen von Transistoren mit Ringkernen bekannt, welche sowohl bei Kurzschluss als auch bei Unterbrechung eine Signalweitergabe verhindern und sich zum Aufbau eines fehlersicheren Systems eignen.

  Ebenso ist die Lösung durch Systemverdoppelung bekannt, welche    naturgemäss    mit einem in vielen Anwendungsfällen nicht unwesentlichen Mehraufwand verbunden ist.



   Eine andere bekannte   Lbsung    zur Erhöhung der Sicherheit in einem System setzt eine   stindige    Priifung aller im System enthaltenen Elemente voraus. Prifung bedeutet, dass alle Elemente   wihrend    eines Arbeitszyklus einmal auf ihre
Funktion untersucht werden und dass nur dann ein Befehl an das Stellglied abgegeben werden kann, wenn alle Elemente zum richtigen Zeitpunkt und im richtigen Sinne ihre Funktion erfüllt haben. Daraus ergibt sich, dass die nicht zum eigentlichen System   gehörenden      Prifelemente    in diese Prifung miteinbezogen werden   mtissen,    dass also auch von ihrer   ordnungsgemis-    sen Funktion die Betätigung des Stellgliedes   abhingig    gemacht werden muss.

  Es ist offensichtlich, dass der Entwurf eines solchen Systems unter Vergrösserung der Redundanz und damit des Aufwandes erfolgen muss.



   Die vorliegende Erfindung beschreitet zur Lösung des Problems einen anderen Weg. Sie   schligt    unter   Berticksichti-    gung eines vertretbaren Aufwandes an Schaltelementen ein Verfahren vor, welches eine dynamische Funktionsablaufkontrolle in der Nachrichtenverarbeitung beinhaltet, die sich   stindig selbst kontrolliert. Zur Durchfiihrung des erfindungsge      mässen    Verfahrens wird eine Schaltungsanordnung   vorgeschla    gen, welche bis auf eine Ausnahme keine fehlersicheren Bauelemente aufweisen muss. Die einzelnen Elemente bilden eine Funktionskette, deren einzelne Glieder nacheinander in einer bestimmten Reihenfolge ihren Zustand   verindern    miissen.



   Das erfindungsgemässe Verfahren ist dadurch gekennzeichnet, dass durch Vergleich eines aus der Abwicklung jedes Teilvorganges erzeugten Zustandsbitmusters mit einem im Informationsverarbeitungssystem gespeicherten Kontrollbitmuster aus einer den Ablauf der   Teilvorginge    festlegenden Kontrollbitmusterreihe vorerst eine Nichtidentititsinformation erzeugt wird, dass darauf das im Speicher des Systems jeweils   nachstfolgende    Kontrollbitmuster dem Vergleicher   zugefuhrt    wird, um bei Feststellen der   Identitit    den jeweils folgenden Teilvorgang zu ermöglichen, und dass bei Feststellen einer bleibenden   Nichtidentitat    eine Fehlermeldung abgegeben wird,   um um die weitere Informationsverarbeitung zu verhindern.   



   Anhand einer Zeichnung wird das   erfindungsgemisse    Verfahren   niter      erliutert.    Fig. 1 zeigt beispielsweise eine   Anordnung zur Durchfiihrung des Verfahrens in einem    einfachen Informationsverarbeitungssystem; Fig. 2 zeigt ein mehrere Verarbeitungseinheiten aufweisendes System, in welchem neben einer   Uberprufung    der Verarbeitung in den einzelnen Verarbeitungseinheiten eine   ibergeordnete      Über-    prifung der Informationsverarbeitung fir das ganze System nach dem   erfindungsgemissen    Verfahren stattfindet.



   Das Informationsverarbeitungssystem P in Fig. 1   erhilt      tuber    seinen Eingang E aus einer Informationsquelle die ihm zugeordneten Nachrichten. Es wird vorausgesetzt, dass die Richtigkeit des Nachrichteninhaltes durch Redundanz   gewahr-    leistet ist. Die Verarbeitung jeder Nachricht im Verarbeitungssystem P erfolgt in   Teilvorgingen,    welche in einer vorgegebenen Reihenfolge ablaufen. Dieser Ablauf   soil      uberwacht    und im Falle von auftretenden Fehlern unterbunden werden. Fehler können durch Störungen auf Leitungen oder durch Ausfall von Bauelementen, wie z. B. infolge Auftreten von   Kurzschiissen,    verursacht werden.

  Der Inhalt einer Nachricht   soil    nur dann zur Wirkung ausgegeben werden können, wenn   simtliche    zur Verarbeitung der Nachricht gehörenden   Teilvorginge    ord   nungsgemiss    verlaufen sind.



   In einer Schaltungsanordnung, welche die   Uberprifung    der
Nachrichtenverarbeitung im vorgenannten Sinne ermöglicht, ist nach Fig. 1 eine Vergleichsschaltung V mit den Zustands   ausgingenZl...      ZN des    Informationsverarbeitungssystems P verbunden. Ferner steht die Vergleichsschaltung V mit den   Ausgingen    Z'1. . . Z'N eines Speichers M in Verbindung. Der Koinzidenzausgang J der Vergleichsschaltung V fiihrt auf einen Eingang E2 eines Tores T, welches im vorliegenden Fall eine UND-Funktion bildet. Der Antivalenzausgang N der Vergleichsschaltung V fihrt auf den Takteingang L eines Zählers C und ist zudem mit einer Verzögerungsschaltung D verbunden, deren Ausgang mit dem   Ricksteiieingang    R des   Zihiers    C in Verbindung steht.

  Zwecks Fehlermeldung kann der Ausgang der Verzögerungsschaltung D ferner mit einer Alarmeinrichtung H verbunden sein. Die Abfrage des Speicherinhaltes erfolgt schrittweise durch den Zähler C. Der Zähler C nimmt die Stellungen   S1    bis SX ein, was in Fig. 1 durch die Verbindungen S1 ...SX zwischen   dem Zihier C    und dem Speicher M dargestellt ist. Jede Verbindung S1...SX stellt eine bestimmte   Zählerstellung    dar und ist gleichbedeutend mit der Abfrage einer bestimmten Speicheizeile, deren Inhalt jeweils an den   Ausgingen    Z'1. . . Z'N des Speichers M zum Vergleich anliegt.



   Die Verbindung SX stellt die Abfrage der letzten Speicherzeile dar und fihrt auf den dritten Eingang E3 des Tores T. Der Ausgang A des Informationsverarbeitungssystems P ist mit dem ersten Eingang El des Tores T verbunden.



   Die zu verarbeitende Nachricht trifft in digitaler Form, beispielsweise   binircodiert    im Informationsverarbeitungssystem P ein. Sie beinhaltet eine Folge von normierten Anweisungen. Ihre Verarbeitung erfolgt in   Teilvorgängen.    Nach Ablauf jedes Teilvorganges wird an den   Zustandsausgingen    Z1. . .   ZN des    Informationsverarbeitungssystems P ein Zustandsbitmuster ausgegeben. Dieses Bitmuster   enthilt    die Information fir einen bestimmten Zustand im Verarbeitungsablauf. Die Richtigkeit des Zustandsbitmusters bietet Gewähr  dafiir, dass der entsprechende Teilverarbeitungsvorgang    fehlerlos    verlaufen ist. Die im Speicher M enthaltene Kontroll bitmusterreihe legt den Ablauf der   Teilvorgänge    fest.

  Der
Speicher M kann fest programmiert oder programmierbar sein und pro Zeile in Kontrollbitmuster enthalten. Die Gliederung der   Teilvorgänge    und die diesen zugeordneten Zustandsbit muster sind so gewählt, dass aus jedem Verarbeitungsfehler ein falsches Zustandsbitmuster resultiert.



   Ist der   Zähler      Cinder    Stellung S1, wird die erste Speicher    zeile abgefragt und an den Ausgängen Z'1 ...Z'N des Speichers   
M steht das erste Kontrollbitmuster zum Vergleich an. Nach
Ablauf des ersten Teilvorganges im   Informationsverarbeitungs-    system P steht an dessen   Zustandsausgiingen      Z1. . . ZN    das aus dem ersten Teilvorgang resultierende Zustandsbitmuster zum Vergleich an. Bei   fehlerlosem    Ablauf des Teilvorganges stimmen die beiden Bitmuster   iberein    und die Vergleichs schaltung V gibt an ihrem Koinzidenzausgang J eine   Identitäts-    aussage ab.

  Folgt nun der nächste Teilvorgang, aus dem ein neues Zustandsbitmuster resultiert, wird die Vergleichsschaltung   V zunächst    eine Nichtidentitätsaussage an ihrem Antivalenzausgang N abgeben. Diese Aussage bewirkt die Weiterschaltung des   Zählers    C in die Stellung S2, was die Abfrage der   niichsten    Speicherzeile bedeutet; d.h. das   niichste    Kontrollbitmuster wird zum Vergleich aufgerufen. Bei ord   nungsgemässem    Verarbeitungsablauf liefert die Vergleichsschaltung V wiederum die   Identitätsaussage    und der nächste Teilvorgang beginnt.

  Erreicht auf diese Weise der Zähler C die letzte, der Abfrage des   letztenBitmusters    aus der Kontrollbitmusterreihe entsprechende Stellung SX und fihrt auch der letzte Vergleich mit dem entsprechenden Zustandsbitmuster zur   Identitätsaussage    der Vergleichsschaltung V, wird der Nachrichteninhalt iber die durch das Tor T gebildete UND Funktion ausgegeben.



   Tritt während dem Verarbeitungsablauf ein Fehler auf, so fihrt der Vergleich zwischen einem Zustandsbitmuster und dem entsprechenden   Kontrolibitmuster    zu einer bleibenden Nichtidentitätsaussage des Vergleichers V. Diese bleibende Aussage   beeinflusst    die   Verzögerungsschaltung    D, was eine   Rickstellung    des Zählers C auf seine Ausgangsstellung   S1    sowie ein Ansprechen der Alarmeinrichtung H zur Folge hat.



   Die Verarbeitung der Nachricht muss demnach wieder mit dem ersten Teilvorgang beginnen und die Ausgabe ihres Inhaltes ist nur dann möglich, wenn jeder Teilvorgang fehlerfrei abgelaufen ist. Die durch das Verzögerungsglied D bestimmte Zeit dient zur   flberbrickung    von im System auftretenden Verarbeitungszeiten.



   Unter der Annahme, dass in jedem Element der in Fig. 1 dargestellten Schaltungsanordnung Fehler infolge   mangeihafter    Bauteile auftreten können, zeigen die folgenden   flberiegungen    die   Vorzige    des Verfahrens auf:
1) Fehler im Informationsverarbeitungssystem P:
Eine der   Zustandsausgänge Z1. . .      ZN hat    dauernd den gleichen logischen Zustand, also    1     oder    0     oder er wechselt seinen Zustand im falschen Zeitpunkt. In diesem Fall wird der Vergleicher V auf der   Nichtidentitätsaussage    verbleiben, was eine Fehlermeldung sowie die   Rucksetzung    des   Ziihlers    zur Folge hat.



   2) Fehler im Vergleicher V:
Die Vergleichsschaltung V liefert dauernd eine   Identita#ts-    oder dauernd eine   Nichtidentitätsaussage    oder beide zugleich oder keine Aussage. Demzufolge wird der   Zähler    C nicht weitergeschaltet und damit der weitere Verarbeitungsvorgang verhindert.



   3) Fehler im Speicher M:
Die Werte an den   Speicherausgängen    Z'1...Z'N sind falsch.



  Der Vergleicher wird daher die bleibende Nichtidentitätsaus- sage liefern, was zur Fehlermeldung und zur   Ricksetzung    des Zählers   C fihrt.   



   4) Fehler im Zähler C:
Im Speicher M werden falsche Bitmuster aus der Kontrollbitmusterreihe gelesen. Es ergeben sich die gleichen Auswirkungen wie unter 3).



   5) Fehler in der Verzögerungsschaltung D:
Solche Fehler haben zur Folge, dass die Fehlermeldung sowie die   Ricksetzung    des Zählers C unterbleiben. Das Auftreten dieser   Störung    bedeutet, dass die   Nichtricksetzung    des   Ziihlers    C den weiteren Ablauf des Verarbeitungsvorganges nicht verhindert. Eine Ausgabe des Nachrichteninhaltes ist somit trotz Verarbeitungsfehlern iber das Tor T möglich. Dies kann aber dadurch verhindert werden, dass die   Verz6gerungs-    schaltung D in bekannter Weise periodisch   geprift    wird und die Ausgabe des Nachrichteninhaltes nur nach erfolgreicher Prifung erfolgen kann.



   6) Fehler im   Tor T:   
Um eine Auswirkung eines hier auftretenden Fehlers zu verhindern, muss das Tor T im Gegensatz zu allen   ibrigen    Elementen der Anordnung in Fail - safe Technik   ausgefihrt    sein. Diese Bedingung lässt sich sehr einfach dadurch erfüllen, dass z.B. ein Relais mit zwangsläufig   gefihrten    Kontakten und   Rickstellung    durch die Schwerkraft eingesetzt wird.



   Damit ist gezeigt, dass die Schaltungsanordnung zur   Durchfihrung    des   erfindungsgemässen    Verfahrens ein einziges   fehlersicheres    Element aufweisen muss, um die gestellten Sicherheitsanforderungen zu erfüllen. Die beschriebene Anordnung zeichnet sich zudem durch einen vertretbaren technischen und wirtschaftlichen Aufwand aus. Im Gegensatz zu bekannten Anordnungen mit Systemverdoppelung wird die Fehlerwahrscheinlichkeit in der dargestellten Schaltungsanordnung durch die geringere Anzahl von Bauteilen noch wesentlich vermindert.



   Anhand eines Blockschemas nach Fig. 2 wird eine weitere vorteilhafte Einsatzmöglichkeit des   erfindungsgemässen    Verfahrens erläutert. In Fig. 2 ist ein Informationsverarbeitungssystem dargestellt, welches mehrere Verarbeitungseinheiten   P1...PM    aufweist. Jede Informationsverarbeitungseinheit weist mit Ausnahme des Tores T alle   zusätzlichen    Elemente der nach Fig. 1 beschriebenen Anordnung mit den entsprechenden Verbindungen auf. Um die Fig. 2 nicht   unnbtig    zu   jiberlasten,    wurde jedoch auf die Darstellung des zu jeder Verarbeitungseinheit   gehörenden    Zählers verzichtet, ebenso ist die zu jeder Verarbeitungseinheit   gehdrende      Verzögerungs-    schaltung weggelassen.

  Im Blockschema nach Fig. 2 sind nur die den einzelnen   Verarbeitungseinheiten P1. . .    PM zugeordneten Vergleichsschaltungen V1...VM sowie die zugeordneten Speicher   M1    . . MM   aufgefihrt.    Das Informationsverarbeitungssystem weist wiederum den Speicher M auf, dessen Ausgänge Z'1...Z'M mit der Vergleichsschaltung V verbunden sind. Ferner   enthilt    das System den Zähler C und die   Verzbge-    rungsschaltung D sowie ein   Tor TS,    iber das die Ausgabe der im System verarbeiteten Nachrichten erfolgt.



   Die Vergleichsschaltung V, der Speicher M, der Zähler C, die Verzögerungsschaltung D und das Tor TS sind untereinander in der gleichen Art verbunden, wie die entsprechenden Elemente der in Fig. 1 dargestellten Anordnung; ebenso ist ihre Arbeitsweise identisch.



   Die Überprüfung der Nachrichtenverarbeitung im Informationsverarbeitungssystem nach Fig. 2 spielt sich wie folgt ab: Jede Informationsverarbeitungseinheit   V1. . .VM    verarbeitet die ihr zugeordneten Teile der im System eintreffenden Nachrichten, wie z. B. Empfangsanweisungen, Hamming  Kontrollen, Adressendecodierungen, Aufruf von Peripherieeinheiten u.a.m. In jeder Einheit erfolgt die Überprüfung der in untergeordnete   Teilvorgänge    gegliederten Verarbeitung nach dem   erfindungsgemässen    Verfahren.

  Die zur   Qberprifung    der untergeordneten   Teilvorgänge    nach dem   erfindungsgemässen    Verfahren notwendigen Kontrollbitmuster sind fir jede   Verarbeitungseinheit in den Speichern   My...      MM    enthalten.



  Jeder Speicher in jeder Verarbeitungseinheit enthält eine den Ablauf der untergeordneten   Teilvorgänge    bestimmende
Kontrollbitmusterreihe, welche durch den zur Verarbeitungs einheit   gehirenden    Zähler abgefragt wird, was in gleicher Art geschieht, wie anhand von Fig. 1 beschrieben. Nach ordnungs   gemissen    Ablauf der   vollstindigen    Verarbeitung in jeder
Verarbeitungseinheit wird ein Schlusszustand erreicht. Zur
Kennzeichnung dieses das Ende der Verarbeitung in der betreffenden Verarbeitungseinheit bedeutenden Schiuss zustandes kann beispielsweise die aus dem letzten untergeord neten Teilvorgang abgegebene   Identititsaussage    am Koinzi denzausgang der entsprechenden Vergleichsschaltung herange zogen werden.

  Diese Möglichkeit ist im Blockschema der Fig. 2 angedeutet.   Selbstverstindlich      können    neben dieser   Identitlts    aussage noch weitere, sich aus dem Verarbeitungsablauf in den
Verarbeitungseinheiten ergebende Informationen zur Kenn zeichnung des Schlusszustandes herangezogen werden.



   Fasst man nun wie im vorliegenden Beispiel die an den   Koinzidenzausgingen der Vergleichsschaltungen V1 .... . VM    anliegenden Informationen zu einem Bitmuster zusammen, kann dieses wiederum iber die Vergleichsschaltung V mit einem aus dem Speicher M vorgegebenen Kontrollbitmuster verglichen werden. Die im Speicher M enthaltene Kontrollbitmusterreihe legt den Ablauf der Verarbeitung im System fest und   ermöglicht    so eine   ibergeordnete      Oberprifung    der Nachrichtenverarbeitung nach dem   erfindungsgemissen    Verfahren, indem jeder   volistindige    Verarbeitungsablauf in den einzelnen Verarbeitungseinheiten als Teilvorgang im ganzen Informationsverarbeitungssystem betrachtet wird.



   PATENTANSPRÜCHE



   I. Verfahren zur   Uberprifung    einer in   Teilvorginge    gegliederten Verarbeitung einer Nachricht in Informationsverarbeitungssystemen steuertechnischer Anlagen, fir welche   Oberprifung    jedem Teilvorgang im Verarbeitungssystem ein Zustandsbitmuster zugeteilt ist, dadurch gekennzeichnet, dass durch Vergleich eines aus der Abwicklung jedes Teilvorganges erzeugten Zustandsbitmusters mit einem im Informationsverarbeitungssystem gespeicherten Kontrollbitmuster aus einer den Ablauf der   Teilvorginge    festlegenden Kontrollbitmusterreihe vorerst eine   Nichtidentititsinformation    erzeugt wird, dass darauf das im Speicher des Systems jeweils   nichstfolgende    Kontrollbitmuster dem Vergleicher   zugefihrt    wird,

   um bei Feststellen der   Identikit    den jeweils folgenden Teilvorgang zu ermöglichen, und dass bei Feststellen einer bleibenden Nicht   identikit    eine Fehlermeldung abgegeben wird, um die weitere Informationsverarbeitung zu verhindern.



   II. Schaltungsanordnung zur   Durchfihrung    des Verfahrens nach Patentanspruch I, dadurch gekennzeichnet, dass das Verarbeitungssystem (P) iber seinen Ausgang (A) mit einem ersten Eingang (El) eines Tores (T) verbunden ist, dass eine Vergleichsschaltung (V) einerseits mit den   Zustands-Ausgin-    gen   (Z1...ZN)    des Verarbeitungssystems (P) und andererseits mit den   Ausgingen    (Z'1 . . .

  Z'N) eines Speichers (M) verbunden ist, dass der Koinzidenzausgang (J) der Vergleichsschaltung (V) mit einem zweiten Eingang (E2) des Tores (T) verbunden ist, dass der Antivalenzausgang (N) der Vergleichsschaltung (V) mit dem Takteingang (L) eines   Zihlers    (C) und mit einem   Verzdgerungsgiied    (D) verbunden ist, das seinerseits mit dem   Riicksteiieingang    (R) des   Zihlers    (C) und zudem mit einer Alarmschaltung (H) verbunden ist, dass ferner der Zähler (C) iber die Abfrageleitungen   ..... . SX)    mit dem Speicher (M) verbunden ist und dass die Abfrageleitung (SX) zusätzlich mit einem dritten Eingang (E3) des Tores (T) verbunden ist.



     UNTERANSPROCHE   
1. Verfahren nach Patentanspruch I fir ein Informationsverarbeitungssystem, das mehrere Verarbeitungseinheiten aufweist und in dem jeder Teilvorgang einen   vollstindigen    Verarbeitungsablauf in einer Verarbeitungseinheit umfasst, dadurch gekennzeichnet, dass der Verarbeitungsablauf in jeder Verarbeitungseinheit in untergeordnete   Teilvorginge    gegliedert ist, deren   Uberprifung    durch Vergleich eines aus der Verarbeitung jedes untergeordneten Teilvorganges erzeugten Zustandsbitmusters mit einem in der Verarbeitungseinheit gespeicherten Kontrollbitmuster aus einer den Ablauf der untergeordneten   Teilvorginge    festlegenden Kontrollbitmusterreihe vorerst eine   Nichtidentititsinformation    erzeugt wird,

   dass darauf das im Speicher der Verarbeitungseinheit jeweils nichstfolgende Kontrollbitmuster dem Vergleicher der Verarbeitungseinheit   zugefihrt    wird, um bei Feststellen der   Identity    den jeweils nichstfolgenden untergeordneten Teilvorgang zu   ermiglichen,    und dass bei Feststellen einer bleibenden   Nichtidentitit    eine Fehlermeldung abgegeben wird, um die weitere Informationsverarbeitung zu verhindern.



   2. Verfahren nach Patentanspruch I und Unteranspruch 1, dadurch gekennzeichnet, dass bei Feststellen einer bleibenden Nichtidentitit eine Fehlermeldung erst nach einer bestimmten Zeitspanne erfolgt.



   3. Verfahren nach Patentanspruch I, dadurch gekennzeichnet, dass nach abgegebener Fehlermeldung die weitere Verarbeitung einer Nachricht nur dann erfolgen kann, wenn sie wiederum mit dem ersten zur Verarbeitung gehörenden Teilvorgang beginnt.



   4. Verfahren nach Unteranspruch 1, dadurch gekennzeichnet, dass nach abgegebener Fehlermeldung die weitere Verarbeitung in jeder Verarbeitungseinheit nur dann erfolgen kann, wenn sie wiederum mit dem ersten zum Verarbeitungsablauf in der Einheit gehörenden untergeordneten Teilvorgang beginnt.



   5. Verfahren nach Patentanspruch I fir eine redundante Nachricht, dadurch gekennzeichnet, dass mindestens ein Bit des jeweils zu vergleichenden Zustandsbitmusters aus jedem Teilvorgang die Aussage einer Informationskontrolle darstellt.

**WARNUNG** Ende DESC Feld konnte Anfang CLMS uberlappen**.



   



  
 



   The present invention relates to a method and a
Circuit arrangement for checking a processing of a message, which is divided into sub-processes, in information processing systems of control systems, for which checking each sub-process in the processing system
Status bit pattern is assigned.



   In all areas of technology, the use of control systems is increasing in importance. Electric
Remote control and remote monitoring systems have to meet extremely high security requirements, especially where the focus is on protecting property or even human life. This applies, for example, in the
Road, rail and air traffic safety technology.



   Such telecontrol systems control and regulate the desired ones using digital signals over any distance
Operations. You are able to process and evaluate received information independently. To meet the
Security requirements in message processing
Systems require special measures which prevent errors occurring in the message processing units from causing a dangerous effect by triggering the controlled process anyway. The aim is to eliminate errors that occur
Failure of the system can only result on the safe side.

  If this condition is met, the system can be described as fail-safe.



   In electronic systems, the potential for errors is that with semiconductor components, both short circuits and interruptions must be expected. Various proposals for increasing the fail-safety of electronic systems have become known, but most of them are not all possible
Capture sources of error and, in some cases, with a large
Costs are associated and are correspondingly expensive. For example, combinations of transistors with toroidal cores are known which prevent signals from being passed on in the event of both a short circuit and an interruption and are suitable for setting up a fail-safe system.

  The solution by doubling the system is also known, which is naturally associated with a not insignificant additional effort in many applications.



   Another known solution for increasing the security in a system requires constant testing of all elements contained in the system. Testing means that all elements are checked once during a work cycle
Function can be examined and that a command can only be issued to the actuator if all elements have fulfilled their function at the right time and in the right sense. It follows from this that the test elements that do not belong to the actual system must be included in this test, so that the actuation of the actuator must also be made dependent on their proper function.

  It is obvious that the design of such a system must be done with increased redundancy and thus the effort.



   The present invention takes a different approach to solving the problem. Taking into account a justifiable expenditure on switching elements, it proposes a method which contains a dynamic function sequence control in the message processing, which constantly controls itself. To carry out the method according to the invention, a circuit arrangement is proposed which, with one exception, does not have to have any fail-safe components. The individual elements form a functional chain, the individual links of which must change their state one after the other in a certain order.



   The method according to the invention is characterized in that by comparing a status bit pattern generated from the execution of each sub-process with a control bit pattern stored in the information processing system from a control bit pattern series defining the sequence of the sub-processes, a non-identification information is initially generated so that the following control bit pattern in the memory of the system is sent to the comparator is supplied in order to enable the subsequent partial process when the identity is established, and that when a permanent non-identity is established an error message is issued in order to prevent further information processing.



   The method according to the invention is further explained with the aid of a drawing. 1 shows, for example, an arrangement for carrying out the method in a simple information processing system; 2 shows a system having a plurality of processing units, in which, in addition to checking the processing in the individual processing units, a higher-level check of the information processing for the entire system takes place according to the method according to the invention.



   The information processing system P in FIG. 1 receives the messages assigned to it via its input E from an information source. It is assumed that the correctness of the message content is guaranteed by redundancy. The processing of each message in the processing system P takes place in partial processes which run in a predetermined order. This process is to be monitored and prevented in the event of errors. Errors can be caused by faults on lines or by failure of components, such as B. due to the occurrence of short shots.

  The content of a message should only be able to be output if all of the sub-processes associated with the processing of the message have proceeded properly.



   In a circuit arrangement which enables the verification of the
Enables message processing in the aforementioned sense, a comparison circuit V is connected to the states outgoingZ1 ... ZN of the information processing system P according to FIG. The comparison circuit V is also connected to the outputs Z'1. . . Z'N of a memory M in connection. The coincidence output J of the comparison circuit V leads to an input E2 of a gate T, which in the present case forms an AND function. The non-equivalence output N of the comparison circuit V leads to the clock input L of a counter C and is also connected to a delay circuit D, the output of which is connected to the Ricksteiie input R of the counter C.

  The output of the delay circuit D can also be connected to an alarm device H for the purpose of error messages. The memory content is queried step by step by the counter C. The counter C assumes the positions S1 to SX, which is shown in FIG. 1 by the connections S1... SX between the Zihier C and the memory M. Each connection S1 ... SX represents a specific counter position and is equivalent to querying a specific memory line, the content of which is sent to the outputs Z'1. . . Z'N of the memory M is present for comparison.



   The connection SX represents the query of the last memory line and leads to the third input E3 of the gate T. The output A of the information processing system P is connected to the first input El of the gate T.



   The message to be processed arrives at the information processing system P in digital form, for example in binary code. It contains a sequence of standardized instructions. Your processing takes place in partial processes. After each partial process has been completed, the status outputs Z1. . . ZN of the information processing system P output a status bit pattern. This bit pattern contains the information for a certain status in the processing sequence. The correctness of the status bit pattern ensures that the corresponding partial processing operation has proceeded without errors. The control bit pattern series contained in the memory M defines the sequence of the partial processes.

  Of the
Memory M can be permanently programmed or programmable and contain control bit patterns per line. The structure of the partial processes and the status bit patterns assigned to them are selected in such a way that an incorrect status bit pattern results from every processing error.



   If the counter is in position S1, the first memory line is queried and at the outputs Z'1 ... Z'N of the memory
M is the first control bit pattern for comparison. To
The sequence of the first partial process in the information processing system P is available at its state outputs Z1. . . ZN displays the status bit pattern resulting from the first partial process for comparison. If the partial process runs without errors, the two bit patterns agree and the comparison circuit V outputs an identity statement at its coincidence output J.

  If the next partial process now follows, from which a new status bit pattern results, the comparison circuit V will first issue a non-identity statement at its non-equivalence output N. This statement causes the counter C to switch to position S2, which means that the next memory line is queried; i.e. the next control bit pattern is called up for comparison. If the processing sequence is correct, the comparison circuit V again supplies the identity statement and the next partial process begins.

  If the counter C reaches the last position SX corresponding to the query of the last bit pattern from the control bit pattern row and the last comparison with the corresponding status bit pattern also leads to the identity statement of the comparison circuit V, the message content is output via the AND function formed by the gate T.



   If an error occurs during the processing sequence, the comparison between a status bit pattern and the corresponding control bit pattern leads to a permanent non-identity statement by the comparator V. This permanent statement influences the delay circuit D, which means that the counter C is set to its starting position S1 and the alarm device responds H entails.



   The processing of the message must therefore start again with the first sub-process and the output of its content is only possible if each sub-process has run without errors. The time determined by the delay element D is used to bridge the processing times that occur in the system.



   Assuming that faults due to defective components can occur in each element of the circuit arrangement shown in Fig. 1, the following points show the advantages of the method:
1) Error in the information processing system P:
One of the status outputs Z1. . . ZN always has the same logical state, i.e. 1 or 0 or it changes its state at the wrong time. In this case, the comparator V will remain on the non-identity statement, which results in an error message and the counter being reset.



   2) Error in comparator V:
The comparison circuit V continuously supplies an identity statement or continuously a non-identity statement, or both at the same time or no statement. As a result, the counter C is not incremented, thus preventing further processing.



   3) Error in memory M:
The values at the memory outputs Z'1 ... Z'N are incorrect.



  The comparator will therefore supply the permanent non-identity statement, which leads to an error message and counter C being reset.



   4) Error in counter C:
In the memory M incorrect bit patterns are read from the control bit pattern series. The effects are the same as under 3).



   5) Error in delay circuit D:
Such errors have the consequence that the error message and the resetting of the counter C do not occur. The occurrence of this disturbance means that the non-reset of the counter C does not prevent the further course of the processing procedure. Output of the message content is thus possible via the gate T despite processing errors. However, this can be prevented in that the delay circuit D is periodically checked in a known manner and the message content can only be output after a successful check.



   6) Error in gate T:
In order to prevent the effects of an error occurring here, the gate T must, in contrast to all other elements of the arrangement, be implemented in fail-safe technology. This condition can be met very easily in that e.g. a relay with inevitably guided contacts and position by gravity is used.



   This shows that the circuit arrangement for carrying out the method according to the invention must have a single fail-safe element in order to meet the safety requirements. The arrangement described is also characterized by a reasonable technical and economic effort. In contrast to known arrangements with system doubling, the probability of errors in the circuit arrangement shown is still significantly reduced by the smaller number of components.



   A further advantageous possible use of the method according to the invention is explained with the aid of a block diagram according to FIG. In Fig. 2, an information processing system is shown which has several processing units P1 ... PM. With the exception of the port T, each information processing unit has all the additional elements of the arrangement described in FIG. 1 with the corresponding connections. In order not to unnecessarily overload FIG. 2, however, the representation of the counter belonging to each processing unit has been omitted, and the delay circuit belonging to each processing unit has also been omitted.

  In the block diagram of FIG. 2, only the individual processing units P1. . . PM associated comparison circuits V1... VM and the associated memory M1. . MM listed. The information processing system in turn has the memory M, the outputs Z'1... Z'M of which are connected to the comparison circuit V. The system also contains the counter C and the delay circuit D as well as a gate TS, via which the messages processed in the system are output.



   The comparison circuit V, the memory M, the counter C, the delay circuit D and the gate TS are connected to one another in the same way as the corresponding elements of the arrangement shown in FIG. 1; their mode of operation is also identical.



   The checking of the message processing in the information processing system according to FIG. 2 takes place as follows: Each information processing unit V1. . .VM processes the parts of the messages arriving in the system assigned to it, such as B. receive instructions, Hamming controls, address decoding, calling peripheral units, etc. The processing broken down into subordinate sub-processes is checked in each unit according to the method according to the invention.

  The control bit patterns necessary for checking the subordinate partial processes according to the method according to the invention are contained in the memories My... MM for each processing unit.



  Each memory in each processing unit contains one which determines the sequence of the subordinate sub-processes
Control bit pattern series which is queried by the counter belonging to the processing unit, which happens in the same way as described with reference to FIG. After the proper process of complete processing in each
Processing unit a final state is reached. To
This final state, which is significant for the end of processing in the relevant processing unit, can be used, for example, to refer to the identity statement issued from the last subordinate subprocess at the coincidence output of the corresponding comparison circuit.

  This possibility is indicated in the block diagram of FIG. Of course, in addition to this identity information, further information can be derived from the processing sequence in the
Information resulting from processing units can be used to identify the final state.



   If, as in the present example, the at the coincidence outputs of the comparison circuits V1 ..... VM together to form a bit pattern, this can in turn be compared via the comparison circuit V with a control bit pattern predetermined from the memory M. The control bit pattern series contained in the memory M defines the processing sequence in the system and thus enables a higher-level review of the message processing according to the method according to the invention, in that each complete processing sequence in the individual processing units is viewed as a partial process in the entire information processing system.



   PATENT CLAIMS



   I. A method for checking a processing of a message in information processing systems of control systems, which is subdivided into subprocesses, for which checking a status bit pattern is assigned to each subprocess in the processing system, characterized in that by comparing a status bit pattern generated from the execution of each subprocess with a control bit pattern stored in the information processing system a series of control bit patterns defining the sequence of the partial processes is initially generated a non-identity information that the next control bit pattern in the memory of the system is then fed to the comparator,

   in order to enable the subsequent partial process when the Identikit is determined, and that an error message is issued if a permanent Non-Identikit is determined in order to prevent further information processing.



   II. Circuit arrangement for performing the method according to claim I, characterized in that the processing system (P) is connected via its output (A) to a first input (El) of a gate (T), that a comparison circuit (V) on the one hand with the Status outputs (Z1 ... ZN) of the processing system (P) and on the other hand with the outputs (Z'1....

  Z'N) of a memory (M) is connected, that the coincidence output (J) of the comparison circuit (V) is connected to a second input (E2) of the gate (T), that the non-equivalence output (N) of the comparison circuit (V) is connected to the clock input (L) of a counter (C) and with a delay element (D), which in turn is connected to the backward input (R) of the counter (C) and also to an alarm circuit (H), that the counter (C ) via the interrogation lines ...... SX) is connected to the memory (M) and that the interrogation line (SX) is also connected to a third input (E3) of the gate (T).



     SUBSCRIBED
1. The method according to claim I for an information processing system which has several processing units and in which each sub-process comprises a complete processing sequence in one processing unit, characterized in that the processing sequence in each processing unit is divided into subordinate sub-processes, which are checked by comparing one from the processing of each subordinate sub-process generated status bit pattern with a control bit pattern stored in the processing unit from a control bit pattern series defining the sequence of the subordinate sub-processes, a non-identity information is initially generated,

   that the next control bit pattern in the memory of the processing unit is then fed to the comparator of the processing unit in order to enable the next subordinate partial process when the identity is determined, and that when a permanent non-identity is determined, an error message is issued in order to prevent further information processing.



   2. The method according to claim I and dependent claim 1, characterized in that if a permanent non-identity is found, an error message is only issued after a certain period of time.



   3. The method according to claim I, characterized in that after an error message has been issued, the further processing of a message can only take place if it begins again with the first partial process belonging to the processing.



   4. The method according to dependent claim 1, characterized in that after an error message has been issued, further processing in each processing unit can only take place if it begins again with the first sub-process belonging to the processing sequence in the unit.



   5. The method according to claim I for a redundant message, characterized in that at least one bit of the respective status bit pattern to be compared from each partial process represents the statement of an information control.

** WARNING ** End of DESC field could overlap beginning of CLMS **.

Claims (1)

**WARNUNG** Anfang CLMS Feld konnte Ende DESC uberlappen **. Verarbeitungseinheit in den Speichern My... MM enthalten. ** WARNING ** Beginning of CLMS field could overlap end of DESC **. Processing unit contained in the My ... MM memories. Jeder Speicher in jeder Verarbeitungseinheit enthält eine den Ablauf der untergeordneten Teilvorgänge bestimmende Kontrollbitmusterreihe, welche durch den zur Verarbeitungs einheit gehirenden Zähler abgefragt wird, was in gleicher Art geschieht, wie anhand von Fig. 1 beschrieben. Nach ordnungs gemissen Ablauf der vollstindigen Verarbeitung in jeder Verarbeitungseinheit wird ein Schlusszustand erreicht. Zur Kennzeichnung dieses das Ende der Verarbeitung in der betreffenden Verarbeitungseinheit bedeutenden Schiuss zustandes kann beispielsweise die aus dem letzten untergeord neten Teilvorgang abgegebene Identititsaussage am Koinzi denzausgang der entsprechenden Vergleichsschaltung herange zogen werden. Each memory in each processing unit contains one which determines the sequence of the subordinate sub-processes Control bit pattern series which is queried by the counter belonging to the processing unit, which happens in the same way as described with reference to FIG. After the proper process of complete processing in each Processing unit a final state is reached. To This final state, which is significant for the end of processing in the relevant processing unit, can be used, for example, to refer to the identity statement issued from the last subordinate partial process at the coincidence output of the corresponding comparison circuit. Diese Möglichkeit ist im Blockschema der Fig. 2 angedeutet. Selbstverstindlich können neben dieser Identitlts aussage noch weitere, sich aus dem Verarbeitungsablauf in den Verarbeitungseinheiten ergebende Informationen zur Kenn zeichnung des Schlusszustandes herangezogen werden. This possibility is indicated in the block diagram of FIG. Of course, in addition to this identity information, further information can be derived from the processing sequence in the Information resulting from processing units can be used to identify the final state. Fasst man nun wie im vorliegenden Beispiel die an den Koinzidenzausgingen der Vergleichsschaltungen V1 .... . VM anliegenden Informationen zu einem Bitmuster zusammen, kann dieses wiederum iber die Vergleichsschaltung V mit einem aus dem Speicher M vorgegebenen Kontrollbitmuster verglichen werden. Die im Speicher M enthaltene Kontrollbitmusterreihe legt den Ablauf der Verarbeitung im System fest und ermöglicht so eine ibergeordnete Oberprifung der Nachrichtenverarbeitung nach dem erfindungsgemissen Verfahren, indem jeder volistindige Verarbeitungsablauf in den einzelnen Verarbeitungseinheiten als Teilvorgang im ganzen Informationsverarbeitungssystem betrachtet wird. If, as in the present example, the at the coincidence outputs of the comparison circuits V1 ..... VM together to form a bit pattern, this can in turn be compared via the comparison circuit V with a control bit pattern predetermined from the memory M. The control bit pattern series contained in the memory M defines the processing sequence in the system and thus enables a higher-level review of the message processing according to the method according to the invention, in that each complete processing sequence in the individual processing units is viewed as a partial process in the entire information processing system. PATENTANSPRÜCHE PATENT CLAIMS I. Verfahren zur Uberprifung einer in Teilvorginge gegliederten Verarbeitung einer Nachricht in Informationsverarbeitungssystemen steuertechnischer Anlagen, fir welche Oberprifung jedem Teilvorgang im Verarbeitungssystem ein Zustandsbitmuster zugeteilt ist, dadurch gekennzeichnet, dass durch Vergleich eines aus der Abwicklung jedes Teilvorganges erzeugten Zustandsbitmusters mit einem im Informationsverarbeitungssystem gespeicherten Kontrollbitmuster aus einer den Ablauf der Teilvorginge festlegenden Kontrollbitmusterreihe vorerst eine Nichtidentititsinformation erzeugt wird, dass darauf das im Speicher des Systems jeweils nichstfolgende Kontrollbitmuster dem Vergleicher zugefihrt wird, I. A method for checking a processing of a message in information processing systems of control systems, which is subdivided into subprocesses, for which checking a status bit pattern is assigned to each subprocess in the processing system, characterized in that by comparing a status bit pattern generated from the execution of each subprocess with a control bit pattern stored in the information processing system a series of control bit patterns defining the sequence of the partial processes is initially generated a non-identity information that the next control bit pattern in the memory of the system is then fed to the comparator, um bei Feststellen der Identikit den jeweils folgenden Teilvorgang zu ermöglichen, und dass bei Feststellen einer bleibenden Nicht identikit eine Fehlermeldung abgegeben wird, um die weitere Informationsverarbeitung zu verhindern. in order to enable the subsequent partial process when the Identikit is determined, and that an error message is issued if a permanent Non-Identikit is determined in order to prevent further information processing. II. Schaltungsanordnung zur Durchfihrung des Verfahrens nach Patentanspruch I, dadurch gekennzeichnet, dass das Verarbeitungssystem (P) iber seinen Ausgang (A) mit einem ersten Eingang (El) eines Tores (T) verbunden ist, dass eine Vergleichsschaltung (V) einerseits mit den Zustands-Ausgin- gen (Z1...ZN) des Verarbeitungssystems (P) und andererseits mit den Ausgingen (Z'1 . . . II. Circuit arrangement for performing the method according to claim I, characterized in that the processing system (P) is connected via its output (A) to a first input (El) of a gate (T), that a comparison circuit (V) on the one hand with the Status outputs (Z1 ... ZN) of the processing system (P) and on the other hand with the outputs (Z'1.... Z'N) eines Speichers (M) verbunden ist, dass der Koinzidenzausgang (J) der Vergleichsschaltung (V) mit einem zweiten Eingang (E2) des Tores (T) verbunden ist, dass der Antivalenzausgang (N) der Vergleichsschaltung (V) mit dem Takteingang (L) eines Zihlers (C) und mit einem Verzdgerungsgiied (D) verbunden ist, das seinerseits mit dem Riicksteiieingang (R) des Zihlers (C) und zudem mit einer Alarmschaltung (H) verbunden ist, dass ferner der Zähler (C) iber die Abfrageleitungen ..... . SX) mit dem Speicher (M) verbunden ist und dass die Abfrageleitung (SX) zusätzlich mit einem dritten Eingang (E3) des Tores (T) verbunden ist. Z'N) of a memory (M) is connected, that the coincidence output (J) of the comparison circuit (V) is connected to a second input (E2) of the gate (T), that the non-equivalence output (N) of the comparison circuit (V) is connected to the clock input (L) of a counter (C) and with a delay element (D), which in turn is connected to the backward input (R) of the counter (C) and also to an alarm circuit (H), that the counter (C ) via the interrogation lines ...... SX) is connected to the memory (M) and that the interrogation line (SX) is also connected to a third input (E3) of the gate (T). UNTERANSPROCHE 1. Verfahren nach Patentanspruch I fir ein Informationsverarbeitungssystem, das mehrere Verarbeitungseinheiten aufweist und in dem jeder Teilvorgang einen vollstindigen Verarbeitungsablauf in einer Verarbeitungseinheit umfasst, dadurch gekennzeichnet, dass der Verarbeitungsablauf in jeder Verarbeitungseinheit in untergeordnete Teilvorginge gegliedert ist, deren Uberprifung durch Vergleich eines aus der Verarbeitung jedes untergeordneten Teilvorganges erzeugten Zustandsbitmusters mit einem in der Verarbeitungseinheit gespeicherten Kontrollbitmuster aus einer den Ablauf der untergeordneten Teilvorginge festlegenden Kontrollbitmusterreihe vorerst eine Nichtidentititsinformation erzeugt wird, SUBSCRIBED 1. The method according to claim I for an information processing system which has several processing units and in which each sub-process comprises a complete processing sequence in one processing unit, characterized in that the processing sequence in each processing unit is divided into subordinate sub-processes, which are checked by comparing one from the processing of each subordinate sub-process generated status bit pattern with a control bit pattern stored in the processing unit from a control bit pattern series defining the sequence of the subordinate sub-processes, a non-identity information is initially generated, dass darauf das im Speicher der Verarbeitungseinheit jeweils nichstfolgende Kontrollbitmuster dem Vergleicher der Verarbeitungseinheit zugefihrt wird, um bei Feststellen der Identity den jeweils nichstfolgenden untergeordneten Teilvorgang zu ermiglichen, und dass bei Feststellen einer bleibenden Nichtidentitit eine Fehlermeldung abgegeben wird, um die weitere Informationsverarbeitung zu verhindern. that the next control bit pattern in the memory of the processing unit is then fed to the comparator of the processing unit in order to enable the next subordinate partial process when the identity is determined, and that when a permanent non-identity is determined, an error message is issued in order to prevent further information processing. 2. Verfahren nach Patentanspruch I und Unteranspruch 1, dadurch gekennzeichnet, dass bei Feststellen einer bleibenden Nichtidentitit eine Fehlermeldung erst nach einer bestimmten Zeitspanne erfolgt. 2. The method according to claim I and dependent claim 1, characterized in that if a permanent non-identity is found, an error message is only issued after a certain period of time. 3. Verfahren nach Patentanspruch I, dadurch gekennzeichnet, dass nach abgegebener Fehlermeldung die weitere Verarbeitung einer Nachricht nur dann erfolgen kann, wenn sie wiederum mit dem ersten zur Verarbeitung gehörenden Teilvorgang beginnt. 3. The method according to claim I, characterized in that after an error message has been issued, the further processing of a message can only take place if it begins again with the first partial process belonging to the processing. 4. Verfahren nach Unteranspruch 1, dadurch gekennzeichnet, dass nach abgegebener Fehlermeldung die weitere Verarbeitung in jeder Verarbeitungseinheit nur dann erfolgen kann, wenn sie wiederum mit dem ersten zum Verarbeitungsablauf in der Einheit gehörenden untergeordneten Teilvorgang beginnt. 4. The method according to dependent claim 1, characterized in that after an error message has been issued, further processing in each processing unit can only take place if it begins again with the first sub-process belonging to the processing sequence in the unit. 5. Verfahren nach Patentanspruch I fir eine redundante Nachricht, dadurch gekennzeichnet, dass mindestens ein Bit des jeweils zu vergleichenden Zustandsbitmusters aus jedem Teilvorgang die Aussage einer Informationskontrolle darstellt. 5. The method according to claim I for a redundant message, characterized in that at least one bit of the respective status bit pattern to be compared from each partial process represents the statement of an information check.
CH162774A 1974-02-06 1974-02-06 Monitoring system for control data processor - needs only one failsafe element for dynamic functional control CH565407A5 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CH162774A CH565407A5 (en) 1974-02-06 1974-02-06 Monitoring system for control data processor - needs only one failsafe element for dynamic functional control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH162774A CH565407A5 (en) 1974-02-06 1974-02-06 Monitoring system for control data processor - needs only one failsafe element for dynamic functional control

Publications (1)

Publication Number Publication Date
CH565407A5 true CH565407A5 (en) 1975-08-15

Family

ID=4214860

Family Applications (1)

Application Number Title Priority Date Filing Date
CH162774A CH565407A5 (en) 1974-02-06 1974-02-06 Monitoring system for control data processor - needs only one failsafe element for dynamic functional control

Country Status (1)

Country Link
CH (1) CH565407A5 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0088539A1 (en) * 1982-03-10 1983-09-14 Imperial Chemical Industries Plc Trip system
EP0112001A1 (en) * 1982-11-15 1984-06-27 Eaton Corporation Remote control circuit breaker system with on-off-tripped-problem status storage and indication
EP0127002A2 (en) * 1983-05-27 1984-12-05 Siemens Aktiengesellschaft A method for maintaining the integrity of a dual microprocessor multiprocessing system and multiprocessing system
EP0246556A1 (en) * 1986-05-16 1987-11-25 Siemens Aktiengesellschaft Circuit for monitoring a control unit

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0088539A1 (en) * 1982-03-10 1983-09-14 Imperial Chemical Industries Plc Trip system
EP0112001A1 (en) * 1982-11-15 1984-06-27 Eaton Corporation Remote control circuit breaker system with on-off-tripped-problem status storage and indication
EP0127002A2 (en) * 1983-05-27 1984-12-05 Siemens Aktiengesellschaft A method for maintaining the integrity of a dual microprocessor multiprocessing system and multiprocessing system
EP0127002A3 (en) * 1983-05-27 1987-08-19 Siemens Aktiengesellschaft A method for maintaining the integrity of a dual microprocessor multiprocessing system and multiprocessing system
EP0246556A1 (en) * 1986-05-16 1987-11-25 Siemens Aktiengesellschaft Circuit for monitoring a control unit

Similar Documents

Publication Publication Date Title
DE3411015C2 (en)
DE19847986C2 (en) Single processor system
DE3522220C2 (en) Circuit arrangement for the safe control of control elements of a process
EP0524330A1 (en) Process for fault recognition and location in redundant signal generating devices used in a automation system
DE2651314B1 (en) Safety output circuit for a data processing system which emits binary signals
CH565407A5 (en) Monitoring system for control data processor - needs only one failsafe element for dynamic functional control
DE2647367A1 (en) Multiple redundant process controller - has detector stages to continuously monitor performance of each unit to indicate single or double malfunction
EP0404992B1 (en) Method for operating with a high availability redundant data-processing units
DE2023117B2 (en) Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer
DE2842370C2 (en)
DE3531901C2 (en)
DE2365092C3 (en) Electronic circuit for frequency and phase monitoring of clock pulses
DE3012159C2 (en) Arrangement for secure data output
DE3239434C1 (en) Device for monitoring the operability of a multi-processor system
DE1499262C (en) Device for selecting the correct one of two data processing systems operated in parallel
DE1463398C (en) Arrangement for signal conversion and error monitoring for two-channel controls
DE1513297B2 (en) CIRCUIT ARRANGEMENT FOR DETECTION OF L OR O SIGNAL ERRORS FOR AT LEAST ONE TWO-CHANNEL CONTROL CIRCUIT
DE1537898C (en) Test device for a coupling arrangement comprising several coupling stages
DE19849502C1 (en) Optical barrier control apparatus for operator protection and safety in risk zone of machine
DE1126938B (en) Circuit arrangement for the central control of switching devices by means of two similar, parallel-acting control devices in centralized telecommunication switching systems, in particular telephone switching systems
DE1762905C (en) Circuit arrangement for monitoring the switching function of a distribution switch
DE1211709B (en) Program control circuit with error monitoring using stepper mechanisms that consist of several step modules
DE3732973A1 (en) Circuit arrangement for fault monitoring of two calculation results of a microprocessor
WO2005114234A1 (en) Method and circuit arrangement for testing functions and/or algorithms implemented in electrical circuits
DD286677A5 (en) METHOD FOR MONITORING DIGITAL CONTROL SIGNALS

Legal Events

Date Code Title Description
PL Patent ceased