DE4415761A1 - Procedure for handling temporarily unequal input data or intermediate results in redundant control systems - Google Patents

Procedure for handling temporarily unequal input data or intermediate results in redundant control systems

Info

Publication number
DE4415761A1
DE4415761A1 DE19944415761 DE4415761A DE4415761A1 DE 4415761 A1 DE4415761 A1 DE 4415761A1 DE 19944415761 DE19944415761 DE 19944415761 DE 4415761 A DE4415761 A DE 4415761A DE 4415761 A1 DE4415761 A1 DE 4415761A1
Authority
DE
Germany
Prior art keywords
data
temporarily
content
processing
date
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19944415761
Other languages
German (de)
Inventor
Wolfgang Dipl Ing Eue
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19944415761 priority Critical patent/DE4415761A1/en
Priority to PCT/DE1995/000557 priority patent/WO1995030189A1/en
Priority to EP95915813A priority patent/EP0757814A1/en
Publication of DE4415761A1 publication Critical patent/DE4415761A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

The data are classified as more or less dangerous depending on the system values which they represent and, where data are unequal, are transiently processed further with the data classified as less dangerous. It is possible, especially with more than bivalent data, to list in a table the data with which further processing is to be performed transiently in the case of unequal data. This table can be used, even for further processing, to predict such data which exist in none of the participating partial control systems, e.g. the data from the previous processing period. The process can be used to advantage in both multi-computer systems and with linking circuits with redundancy.

Description

Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbe­ griff des Patenanspruches 1. Ein solches Verfahren ist z. B. in der DE-Zeitschrift "Elektronische Rechenanlagen", 1975, Heft 3, Seiten 118 bis 124 beschrieben. Dort wird über ein redundantes Mehrrechnersystem berichtet, bei dem die Rechner die im Zusammenhang mit synchronen Programmabläufen benötig­ ten Daten sowie die anfallenden Zwischen- und Endergebnisse laufend wortweise untereinander vergleichen. Nach jedem Vergleich unterrichten sich die Rechner davon, ob die vorlie­ genden Daten übereinstimmen bzw. welcher Rechner ein von den anderen Rechnern abweichendes Datenwort abgegeben hatte. Bei Datengleichheit werden die Programme fortgesetzt; bei Un­ gleichheit wird die Erarbeitung des ungleichen Datums wieder­ holt. Führt auch die Wiederholung zu einem abweichenden Ergebnis, wird der betreffende Rechner als defekt angesehen und von der weiteren Zusammenarbeit mit den übrigen Rechnern ausgeschlossen.The invention relates to a method according to the Oberbe handle of the patent claim 1. Such a procedure is such. B. in the DE magazine "Electronic Computing Systems", 1975, Issue 3, pages 118 to 124. There is about a redundant multi-computer system reports, in which the computer which are required in connection with synchronous program sequences data as well as the intermediate and final results continuously compare word by word. After every The computers inform themselves by comparison whether they are available data or which computer is one of the had given a different data word to other computers. At The programs continue to match data; at Un equality will elaborate the unequal date again get. The repetition also leads to a different Result, the computer in question is considered defective and further cooperation with the other computers locked out.

Datenungleichheiten zwischen den einzelnen Rechnern treten relativ häufig auf, führen aber nicht unbedingt zum Abschal­ ten eines Rechners. Sie entstehen dadurch, daß die Rechner, die überlicherweise über eigene Taktgeber verfügen, die gleichzeitig anliegenden Eingangsdaten nicht hundertprozentig zeitgleich einlesen und auch nicht hundertprozentig zeit­ gleich untereinander austauschen, um sie intern auf Überein­ stimmung zu prüfen. Ein gewisser zeitlicher Versatz dieser Daten wird vom Rechnersystem toleriert, indem der Vergleich wiederholt wird. Bis dahin werden die alten Daten der letzten Bearbeitungsperiode weiterverarbeitet. Haben sich die Rechner in der Zwischenzeit synchronisiert und stimmen dann die Daten im Rechnersystem überein, so werden sie der weiteren Verar­ beitung zugrunde gelegt bzw. für den Fall der noch andauern­ den Datenungleichheit wird das davon betroffene Einzelsystem oder sofern dieses als nicht solches erkennbar ist, das gesamte Rechnersystem disqualifiziert.Data inequalities occur between the individual computers relatively often, but do not necessarily lead to the scarf a computer. They arise because the computers, who usually have their own clock, which input data present at the same time not 100 percent Read in at the same time and not 100 percent of the time immediately exchange with each other to make sure they match internally to check mood. A certain time offset of this Data is tolerated by the computer system by the comparison is repeated. Until then, the old data will be the last Processing period further processed. Have the calculator meanwhile synchronized and then correct the data in the computer system, they become the further processor  on the basis of the processing or in the event that it is still ongoing The data system is affected by the individual system affected or if this is not recognizable as such, the entire computer system disqualified.

So wird z. B. in der DE 30 24 370 C3 zu diesem Problem ausge­ führt, daß die einzelnen Rechner eines Rechnersystems sich untereinander auf inhaltliche Datengleichheit überwachen und daß je nach geforderter Sicherheit des Steuersystems und notwendiger Reaktionsgeschwindigkeit auf inhaltliche Antiva­ lenzen der ein- und ausgegebenen Signale die Vergleichsergeb­ nisse nach jedem Bearbeitungsschritt oder nach einer Folge von Bearbeitungsschritten abgerufen werden könne. Die Zen­ traleinheiten des Steuersystems werden zur Auswertung dieser Vergleichsergebnisse mitbenutzt, wobei die Reaktion auf Fehlmeldungen programmierbar ist. Unter Reaktion auf Fehler­ meldungen ist hier zu verstehen das Abschalten eines Einzel­ rechners oder das Abschalten des gesamten Rechnersystems.So z. B. in DE 30 24 370 C3 on this problem leads that the individual computers of a computer system itself monitor each other for content-related data consistency and that depending on the required security of the tax system and necessary reaction speed to Antiva content limit the input and output signals the comparison results nisse after each processing step or after a sequence of processing steps can be called up. The zen Central units of the control system are used to evaluate this Comparative results shared, the response to Error messages are programmable. In response to errors Messages here is understood to mean switching off an individual computer or switching off the entire computer system.

In der DE 35 18 105 C2 wird als Variante eines solchen Ver­ fahrens zum Behandeln vorübergehend ungleicher Daten in redundanten Steuersystemen eine Lösung angegeben, bei der bei Abweichungen zwischen den verglichenen Daten, d. h. zwischen den aktuell übertragenen und den momentan im System noch vorhandenen Daten, die Datenverarbeitung auf der Basis der übertragenen neuen Daten fortgesetzt wird und daß erst dann eine Störung gemeldet wird bzw. eine Reaktion auf die Störung erfolgt, wenn in einer vorgegebenen Anzahl von Programmzyklen Abweichungen zwischen den verglichenen Daten beider Systeme bestehen bleiben.DE 35 18 105 C2 is a variant of such a Ver driving to handle temporarily unequal data in redundant control systems specified a solution in which Deviations between the compared data, i. H. between the one currently being transferred and the one currently in the system existing data, data processing based on the transmitted new data is continued and only then a fault is reported or a reaction to the fault occurs when in a predetermined number of program cycles Deviations between the compared data of both systems remain.

Beide Verfahren, das vorübergehende Weiterarbeiten mit den alten Daten und das vorübergehende Weiterarbeiten mit den neuen Daten hat gewisse Vor- aber auch gewisse Nachteile; auf der einen Seite werden neue Daten erst dann berücksichtigt, wenn sie von allen Rechnern zur Kenntnis genommen worden sind, wodurch sich etwaige Reaktionen auf diese Daten durch die Synchronisation der Rechner verzögern können, auf der anderen Seite werden Reaktionen auf neue Daten zwar sehr schnell abgeleitet; dafür steht aber nicht zuverlässig fest, daß die diese Reaktionen veranlassenden Daten auch tatsäch­ lich zutreffen.Both procedures, the temporary work with the old data and the temporary further work with the new data has certain advantages but also certain disadvantages; on on the one hand, new data are only taken into account if they have been noted by all computers  are, resulting in possible reactions to this data can delay the synchronization of the computers on the on the other hand, reactions to new data are very much quickly derived; but it is not reliably certain that the data causing these reactions are actually apply.

Aufgabe der Erfindung ist es, ein Verfahren nach dem Oberbe­ griff des Patentanspruches 1 so weiterzubilden, daß auch bei vorübergehend ungleichen Daten aus diesen Daten abgeleitete Reaktionen möglichst frühzeitig vorliegen, Gefährdungen durch die Verwendung tatsächlich nicht richtiger Daten bei der Datenverarbeitung aber vermieden werden.The object of the invention is a method according to the Oberbe handle of claim 1 so that even temporarily dissimilar data derived from this data Reactions occur as early as possible, hazards through the use of actually incorrect data in the Data processing can be avoided.

Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale eines der Ansprüche 1 bis 3. Nach der Lehre dieser Ansprüche werden die zu verarbeitenden Daten hinsichtlich ihres Gefährdungspotentials gegenüber dem zu steuernden Prozeß klassifiziert und es wird jeweils mit den als unge­ fährlicher eingestuften Daten weitergearbeitet oder aber für die Weiterverarbeitung werden vorab für die sich unterschei­ denden Daten festgelegte Werte zugrunde gelegt.The invention solves this problem by the characterizing Features of one of claims 1 to 3. According to the teaching of this The data to be processed are claims regarding of their hazard potential compared to the one to be controlled Process classified and it is always with the as unsung dangerous classified data continued or for the further processing will be different in advance for the based on specified data.

Vorteilhafte Weiterbildungen und Ausführungsformen des erfin­ dungsgemäßen Verfahrens sind in den Unteransprüchen angege­ ben.Advantageous further developments and embodiments of the inventions The method according to the invention is specified in the subclaims ben.

So sollen gemäß Anspruch 4 oder 5 für die Bestimmung der Daten, die bei Datenungleichheit vorübergehend weiterverar­ beitet werden sollen, auch die zuvor verwendeten, bereits akzeptierten Daten herangezogen werden. Für die weitere Datenverarbeitung können so auch solche Daten verwendet werden, die aktuell von keinem der redundanten Steuersysteme bereitgestellt werden. So according to claim 4 or 5 for the determination of Data that is temporarily processed in the event of data inequality should be processed, including those previously used accepted data are used. For the further Data processing can also use such data that are currently not supported by any of the redundant control systems to be provided.  

Sollen die bei Datenungleichheit vorübergehend weiterverwen­ deten Daten aus einer Tabelle entnommen werden, so ist es gemäß Anspruch 6 von Vorteil, in diese Tabellen auch die Daten einzutragen, welche die Rechner bei übereinstimmenden Daten verarbeiten sollen; auf diese Weise gibt es eine ein­ heitliche Datenverarbeitungsprozedur sowohl bei Datengleich­ heit als auch bei Datenungleichheit.Should they continue to be used temporarily in the event of data inequality? dated data from a table, so it is according to claim 6 advantageous in these tables also Enter data that the computers match Should process data; that way there's a one Uniform data processing procedure both with identical data as well as data inequality.

Damit nicht mit einem dauerhaft fehlerhaft arbeitenden Teil­ system ständig weitergearbeitet wird, ist gemäß Anspruch 7 eine zeitliche Bewertung der ungleichen Daten vorgesehen; stehen solche ungleichen Daten länger als eine vorgegebene Zeitspanne hinaus an, so wird die Weiterverarbeitung dieser Daten unterbunden und gemäß Anspruch 8 gegebenenfalls eine Abschaltung des von der Störung betroffenen Teilsystems oder mindestens der von der Störung belegten Eingabeschaltung bewerkstelligt.So not with a permanently faulty part system continues to work, is according to claim 7 a timely assessment of the unequal data is foreseen; such unequal data will last longer than a given one Period, the further processing of this Data prevented and optionally one according to claim 8 Shutdown of the subsystem affected by the fault or at least the input circuit occupied by the fault accomplished.

Die Erfindung ist nachstehen unter Bezugnahme auf die Zeich­ nung näher erläutert.The invention is below with reference to the drawing tion explained in more detail.

Sind die Teilsysteme eines redundanten Steuerungssystems zur Verarbeitung binärer Daten eingerichtet, so wird nach der erfindungsgemäßen Lehre für jedes Datum, abhängig von der Größe, das es repräsentiert, das für das Steuerungssystem jeweils gefährlichere bzw. ungefährlichere Datum festgelegt und bei inhaltlicher Datenungleichheit wird vorübergehend mit dem als ungefährlicher eingestuften Datum weitergearbeitet. Lesen alle Teilsysteme ein Eingangssignal mit z. B. hohem Potential ein, so ist das ein eindeutiger Fall und das hohe Potential wird zur Weiterverarbeitung gegeben. Lesen dagegen ein oder mehrere Teilsysteme ein Eingangssignal mit hohem Potential ein, während ein oder mehrere andere Teilsysteme dasselbe Eingangssignal mit niedrigem Potential einlesen, so ist dies ein uneindeutiger Fall und das bei der Spezifikation des Steuerungssystems festgelegte ungefährlichere Potential, beispielsweise hier das niedrigere Potential, wird vorüberge­ hend zur Weiterverarbeitung zugelassen. In vorteilhafter Weise wird in einem solchen Fall eine Zeitüberwachung gestar­ tet, die verhindern soll, daß mit einem ausgefallenen Steue­ rungsteilsystem ständig weitergearbeitet wird. Sollte es sich um Störungen, Bauteiltoleranzen oder Differenzen wegen un­ gleichzeitiger Bearbeitung handeln, so wird es vor Ablauf der Zeitüberwachung zu einem eindeutigen Fall kommen und die Zeitüberwachung wird passiviert. Sollte die Überwachungszeit ablaufen, so wird das verursachende Teilsystem disqualifi­ ziert und es entsteht auf diesem Wege wieder ein eindeutiger Fall, d. h. für alle übrigen Teilsysteme liegen übereinstim­ mende Daten vor.Are the subsystems of a redundant control system for Processing of binary data is set up after the teaching according to the invention for each date, depending on the Size that it represents, that for the control system dates that are more dangerous or less dangerous and in the event of content inequality, data is temporarily transferred to the date classified as harmless. Read all subsystems an input signal with z. B. high Potential, this is a clear case and the high one Potential is given for further processing. Reading against it one or more subsystems have a high input signal Potential while one or more other subsystems read the same input signal with low potential, so this is an ambiguous case and that in the specification the non-hazardous potential defined by the control system,  for example, the lower potential here, is passed approved for further processing. In advantageous In such a case, time monitoring is started tet, which is to prevent that with a failed tax subsystem is constantly being worked on. Should it be malfunctions, component tolerances or differences due to un act simultaneously, it will be before the expiry of Time monitoring come to a clear case and the Time monitoring is passivated. Should the monitoring time expire, the subsystem causing it is disqualified adorns and this creates a clear one again Case, d. H. for all other subsystems are the same data.

Haben z. B. mehrere Eingangssignale einen festen Bezug zuein­ ander wie z. B. bei der binären Kodierung von Analogwerten oder ist ein Eingangssignal mehr als zweiwertig und ist die Abhängigkeit "stetig", so wird jedem Wert dieses Datums in einer Tabelle ein Gefährdungsbeiwert zugeordnet. In den uneinheitlichen Fällen wird in allen Teilsystemen mit dem Zustand, der den niedrigsten Gefährdungsbeiwert hat, weiter­ gearbeitet. Als Beispiel sei hier ein System angenommen, das eine Füllstandsbewertung mit einem Eingangssignal einer Wertigkeit von Null bis sieben durchführen soll. Lesen alle Schaltungssysteme ein Eingangssignal z. B. mit dem Wert vier ein, so ist das ein eindeutiger Fall und der Wert vier wird zur Weiterverarbeitung gegeben. Lesen ein oder mehrere Teil­ systeme ein Eingangssignal mit dem Wert vier ein, während ein oder mehrere andere Teilsysteme dasselbe Eingangssignal mit dem Wert fünf einlesen, so ist dies ein uneindeutiger Fall und der Gefährdungsbeiwert entscheidet, welches Datum weiter­ verarbeitet wird. Wurde bei der Spezifikation der Systems dem Wert vier der Gefährdungsbeiwert 50 und dem Wert fünf der Gefährdungsbeiwert 30 zugeordnet, so muß zur Verringerung der Gefährdung der Wert fünf zur Weiterverarbeitung gegeben werden. Have z. B. several input signals to a fixed reference other such as B. in the binary coding of analog values or is an input signal more than two-valued and is the Dependency "steady", so every value of that date is in assigned a risk factor to a table. In the inconsistent cases in all subsystems with the Condition with the lowest risk factor continues worked. As an example, let us assume a system that a level evaluation with an input signal Valence from zero to seven. Read all Circuit systems an input signal z. B. with the value four a, this is a clear case and the value becomes four given for further processing. Read one or more parts systems an input signal with the value four one, while one or several other subsystems with the same input signal read the value five, this is an ambiguous case and the risk factor decides which date continues is processed. Was the specification of the system the Value four is the risk factor 50 and value five is the Risk factor 30 assigned to reduce the Risk of value five given for further processing become.  

In einem uneindeutigen Fall der vorstehend genannten Art könnte es auch sinnvoll sein, zusätzlich das alte Eingangssi­ gnal der letzten Bearbeitungsperiode zu berücksichtigen. Hat dieses z. B. den Wert sechs und ist diesem Wert der Gefähr­ dungsbeiwert 25 zugeordnet, so sollte zur Verringerung der Gefährdung der Wert sechs zur Weiterverarbeitung gegeben werden. In beiden Fällen entstehen wieder eindeutige Fälle, wenn die Ungleichheiten in späteren Bearbeitungsperioden nicht mehr auftreten oder das dauerhaft falsch signalisieren­ de System disqualifiziert wurde.In an ambiguous case of the type mentioned above, it could also make sense to also take into account the old input signal of the last processing period. Has this z. B. the value six and this value is assigned the risk factor 25 , the value six should be given for further processing to reduce the risk. In both cases, clear cases arise again if the inequalities no longer occur in later processing periods or if the permanently incorrectly signaling system has been disqualified.

Haben mehrere Eingangssignale einen festen Bezug zueinander oder ist ein Eingangssignale mehr als zweiwertig und ist die Abhängigkeit nicht "stetig", so könnte die Lösung mit einer Tabelle von Gefährdungsbeiwerten unzweckmäßig sein, weil nicht unbedingt feststeht, daß ein höherer Wert z. B. auch einen höheren Gefährdungsbeiwert haben muß. In diesen Fällen kann eine mehrdimensionale Tabelle zum Einsatz kommen. In den uneindeutigen Fällen wird in allen Teilsystemen mit dem Wert, der am Schnittpunkt der mehrdimensionalen Tabelle eingetragen ist, weitergearbeitet. Als Beispiel soll hier ein Datenverar­ beitungssystem mit zwei Teilsystemen angenommen werden, das eine Füllstandsbewertung mit einem Eingangssignal der Wertig­ keit von Null bis drei durchführen soll. Eine derartige Tabelle mit den mehrwertigen Größen der beiden Teilsystemen ist in der Zeichnung dargestellt. Lesen beide Teilsysteme ein Eingangssignal, z. B. mit der Wertigkeit zwei ein, so ist das ein eindeutiger Fall und der Wert zwei wird zur Weiterverar­ beitung gegeben. Liest ein Teilsystem ein Eingangssignal mit dem Wert zwei ein, während das andere Teilsystem dasselbe Eingangssignal mit dem Wert drei einließt, so ist dies ein uneindeutiger Fall und die in diesem Fall zweidimensionale Tabelle entscheidet über das Datum, das der Weiterverarbei­ tung zugeführt wird. Wurde bei der Spezifikation der Systeme am Kreuzungspunkt vom Wert des Systems 1 = 2 und Wert des Systems 2 = 3 der Wert 3 eingetragen, so wird auch der Wert 3 zur Weiterverarbeitung gegeben.Several input signals have a fixed relationship to each other or is an input signal more than two-valued and is the Dependency not "steady", so the solution could be with a Table of risk factors may be inappropriate because it is not necessarily certain that a higher value e.g. Belly must have a higher risk factor. In these cases a multidimensional table can be used. In the ambiguous cases in all subsystems with the value the entered at the intersection of the multidimensional table is worked on. As an example, here is a data processing processing system with two subsystems, the a level evaluation with an input signal of the value speed from zero to three. Such Table with the multivalued sizes of the two subsystems is shown in the drawing. Read both subsystems Input signal, e.g. B. with the value two one, that is a clear case and the value two becomes further processing given processing. Reads an input signal from a subsystem the value two one while the other subsystem is the same Input signal with the value three, so this is one ambiguous case and the two-dimensional in this case The table decides on the date of further processing tion is fed. Has been in the specification of the systems at the intersection of the value of the system 1 = 2 and the value of the  Systems 2 = 3, the value 3 is entered, so the value 3 is also given for further processing.

Die Beispielstabelle zeigt, daß die n-dimensionale Tabelle (n=Anzahl der Teilsysteme) auch ohne Vergleich der Werte der Schaltungssysteme immer sofort benutzt werden kann, da sie den eindeutigen Fall leicht miterfüllt. An den ansonsten niemals angesprochenen Kreuzungspunkten übereinstimmender Werte für beide Teilsysteme sind dann nur die jeweiligen Werte einzutragen; diese Werte sind in der Tabelle mit einem Sternchen gekennzeichnet.The sample table shows that the n-dimensional table (n = number of subsystems) even without comparing the values of Circuit systems can always be used immediately as they easily fulfilled the clear case. Otherwise crossing points never addressed more coincident Values for both subsystems are then only the respective ones Enter values; these values are in the table with a Marked with an asterisk.

Weiterhin zeigt die Beispielstabelle, daß im Gegensatz zur Gefahrenbeiwerttabelle auch Ergebniswerte möglich sind, die von keinem der Teilsysteme eingelesen wurden. Ist, wie in der Beispielstabelle am Kreuzungspunkt von Wert des Systems 1 = 3 und Wert des Systems 2 = 1 der Wert 0 eingetragen, so wird der Wert 0, der in keinem System vorlag, zur Weiterverarbei­ tung gegeben. Damit läßt sich sehr deutlich auf Unterschiede in den Eingabedaten reagieren.Furthermore, the example table shows that, in contrast to Hazard coefficient table also result values are possible that were not read in by any of the subsystems. It's like that Example table at the crossing point of value of system 1 = 3 and value of system 2 = 1 the value 0 is entered, then the value 0, which was not available in any system, for further processing given. This is very clear on differences react in the input data.

In einem uneindeutigen Fall könnte es sinnvoll sein, die Tabelle um eine weitere Dimension zu vergrößern für das alte Eingangssignal der letzten Bearbeitungsperiode. Es käme dann immer eine n+1-dimensionale Tabelle zum Einsatz. Die n+1-dimensionale Tabelle hat den Vorteil, daß bei fehlender Übereinstimmung der Teilsysteme auch das alte Eingangssignal der letzten Bearbeitungsperiode zur Entscheidungsfindung herangezogen wird und sich bei entsprechend ausgefüllter Tabelle auch deutlich durchsetzen kann.In an ambiguous case, it might make sense to Table to enlarge another dimension for the old one Input signal of the last processing period. Then it would come always use an n + 1-dimensional table. The n + 1-dimensional table has the advantage that if there is no The subsystems also match the old input signal the last processing period for decision making is used and is filled in accordingly Table can also enforce clearly.

Der Begriff redundante Steuerungssysteme umfaßt nicht nur mehrere redundant zusammenwirkende Rechner, sondern bezieht sich ganz allgemein auf mehrkanalige Datenverarbeitungsein­ richtungen wie sie auch durch Verknüpfungsschaltungen darge­ stellt sein können, sofern diese Verknüpfungsschaltungen aus Sicherheits- und/oder Verfügbarkeitsgründen aus weitgehend unabhängigen redundanten Schaltungssystemen aufgebaut sind.The term redundant control systems does not only include several redundantly interacting computers, but relates generally deal with multichannel data processing directions such as Darge also through logic circuits can be provided that these logic circuits  Security and / or availability reasons for the most part independent redundant circuit systems.

Claims (8)

1. Verfahren zum Behandeln vorübergehend ungleicher Eingangs­ daten oder Zwischenergebnisse in redundanten Steuersystemen mit mehreren parallel arbeitenden, gleiche Daten nach über­ einstimmenden Programmen verarbeitenden Teilsystemen mit gegenseitigem Datenvergleich zum Erkennen inhaltlich vonein­ ander abweichender Daten und mit vorgegebenen Reaktionen auf solche Daten, dadurch gekennzeichnet, daß bei Verarbeitung binärer Daten für jedes Datum, abhängig von der Systemgröße, das es repräsentiert, das für das Steu­ ersystem jeweils gefährlichere bzw. ungefährlichere festge­ legt wird und daß bei inhaltlicher Datenungleichheit vorüber­ gehend mit dem als ungefährlicher eingestuften Datum weiter­ gearbeitet wird.1. A method for handling temporarily unequal input data or intermediate results in redundant control systems with several parallel working, same data after processing sub-systems processing with matching programs with mutual data comparison for recognizing content differing from each other data and with predetermined reactions to such data, characterized in that at Processing of binary data for each date, depending on the size of the system that it represents, the more dangerous or less dangerous for the tax system is determined and that in the event of data inequality in terms of content, work is continued temporarily with the date classified as less dangerous. 2. Verfahren zum Behandeln vorübergehend ungleicher Eingangs­ daten oder Zwischenergebnisse in redundanten Steuersystemen mit mehreren parallel arbeitenden, gleiche Daten nach über­ einstimmenden Programmen verarbeitenden Teilsystemen mit gegenseitigem Datenvergleich zum Erkennen inhaltlich vonein­ ander abweichender Daten und mit vorgegebenen Reaktionen auf diese Daten, dadurch gekennzeichnet, daß bei Verarbeitung von mehr als zweiwertigen Daten für jedes Datum, abhängig von der Systemgröße, das es repräsen­ tiert, ein bestimmter Gefährdungsbeiwert festgelegt wird, wobei bei Datenungleichheit vorübergehend mit dem als unge­ fährlicher eingestuften Datum weitergearbeitet wird.2. Procedure for treating temporarily unequal input data or interim results in redundant control systems with several identical data working in parallel after over subsystems matching programs mutual data comparison for recognizing the content of each other other deviating data and with predefined reactions these dates, characterized, that when processing more than two-valued data for any date, depending on the size of the system it represents a certain risk factor is determined, whereby in the case of data inequality temporarily with that as an uneven dangerous classified date is continued. 3. Verfahren zum Behandeln vorübergehend ungleicher Eingangs­ daten oder Zwischenergebnisse in redundanten Steuersystemen mit mehreren parallel arbeitenden, gleiche Daten nach über­ einstimmenden Programmen verarbeitenden Teilsystemen mit gegenseitigem Datenvergleich zum Erkennen inhaltlich vonein­ ander abweichender Daten und mit vorgegebenen Reaktionen auf diese Daten, dadurch gekennzeichnet, daß bei Verarbeitung von mehr als zweiwertigen Daten für jedes Datum, abhängig von der Systemgröße, das es repräsen­ tiert, in einer mehrdimensionalen Tabelle für die einzelnen Werte der Systemgrößen die Werte festgelegt werden, mit denen bei inhaltlicher Datenungleichheit vorübergehend weitergear­ beitet wird.3. Procedure for treating temporarily uneven input data or interim results in redundant control systems with several identical data working in parallel after over subsystems matching programs mutual data comparison for recognizing the content of each other  other deviating data and with predefined reactions these dates, characterized, that when processing more than two-valued data for any date, depending on the size of the system it represents in a multi-dimensional table for the individual Values of the system sizes the values are set with which in the event of data inequality, temporarily continue is being processed. 4. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß bei inhaltlicher Datenungleichheit zum Bestimmen der Daten, mit denen vorübergehend weitergearbeitet wird, nicht nur die Gefährdungsbeiwerte dieser Daten miteinander vergli­ chen werden, sondern zusätzlich der Gefährdungsbeiwert des zuletzt bei Datengleichheit erkannten Datums berücksichtigt wird.4. The method according to claim 2, characterized, that in the event of content inequality to determine the Data with which work continues temporarily is not only compare the risk factors of this data be, but also the risk factor of the last taken into account when the data is recognized as being identical becomes. 5. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß bei inhaltlicher Datenungleichheit zum Bestimmen der Daten, mit denen vorübergehend weitergearbeitet wird, in einer entsprechenden mehrdimensionalen Tabelle hinterlegt wird, mit welchen Daten bei welchen augenblicklich voneinan­ der abweichenden Daten und welchem zuvor bei Datengleichheit erkannten Datum vorübergehend weitergearbeitet wird.5. The method according to claim 3, characterized, that in the event of content inequality to determine the Data with which work continues temporarily in a corresponding multi-dimensional table with which data and with which one instantly the deviating data and which one previously in case of data equality recognized date is temporarily continued. 6. Verfahren nach Anspruch 3 oder 5, dadurch gekennzeichnet, daß zur Vermeidung des anfänglichen Datenvergleichs in einer solchen Tabelle auch die Daten hinterlegt sind, mit denen bei inhaltlich nicht voneinander abweichenden Daten weitergear­ beitet wird. 6. The method according to claim 3 or 5, characterized, that to avoid the initial data comparison in one Such a table also contains the data with which content that does not differ from each other is being processed.   7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß beim Erkennen inhaltlich voneinander abweichender Daten eine zeitliche Bewertung der ungleichen Daten vorgenommen wird, derart, daß beim Anstehen solcher Daten über eine vorgegebene Zeitspanne hinaus die Weiterverarbeitung dieser Daten unterbunden wird.7. The method according to any one of claims 1 to 5, characterized, that when recognizing content that differs in content a time evaluation of the unequal data was made is such that when pending such data on a predetermined period of time further processing this Data is prevented. 8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß mit dem Erkennen desjenigen Teilsystems mit den von den Daten der übrigen Teilsysteme inhaltlich abweichenden Daten dieses Teilsystems disqualifiziert oder zumindest die Ein- oder Weitergabe von Daten über die durch die fehlerhaft erkannten Daten belegte Eingabeschaltung dieses Teilsystems verhindert wird.8. The method according to claim 7, characterized, that with the recognition of that subsystem with those of Data of the other subsystems data with different content this subsystem disqualifies or at least the input or Disclosure of data through the faulty recognized data occupied input circuit of this subsystem is prevented.
DE19944415761 1994-04-29 1994-04-29 Procedure for handling temporarily unequal input data or intermediate results in redundant control systems Withdrawn DE4415761A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE19944415761 DE4415761A1 (en) 1994-04-29 1994-04-29 Procedure for handling temporarily unequal input data or intermediate results in redundant control systems
PCT/DE1995/000557 WO1995030189A1 (en) 1994-04-29 1995-04-19 Process for processing transiently unequal input data or intermediate results in redundant control systems
EP95915813A EP0757814A1 (en) 1994-04-29 1995-04-19 Process for processing transiently unequal input data or intermediate results in redundant control systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19944415761 DE4415761A1 (en) 1994-04-29 1994-04-29 Procedure for handling temporarily unequal input data or intermediate results in redundant control systems

Publications (1)

Publication Number Publication Date
DE4415761A1 true DE4415761A1 (en) 1995-11-02

Family

ID=6517297

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19944415761 Withdrawn DE4415761A1 (en) 1994-04-29 1994-04-29 Procedure for handling temporarily unequal input data or intermediate results in redundant control systems

Country Status (3)

Country Link
EP (1) EP0757814A1 (en)
DE (1) DE4415761A1 (en)
WO (1) WO1995030189A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3706000A1 (en) * 2019-03-07 2020-09-09 ALSTOM Transport Technologies Method and system for geographical hot redundancy

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3621106C2 (en) * 1986-06-24 1995-03-23 Vdo Schindling Process for online processing of the same input values using two processors
US5583757A (en) * 1992-08-04 1996-12-10 The Dow Chemical Company Method of input signal resolution for actively redundant process control computers

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3706000A1 (en) * 2019-03-07 2020-09-09 ALSTOM Transport Technologies Method and system for geographical hot redundancy
FR3093570A1 (en) * 2019-03-07 2020-09-11 Alstom Transport Technologies Method and system for geographic hot redundancy

Also Published As

Publication number Publication date
WO1995030189A1 (en) 1995-11-09
EP0757814A1 (en) 1997-02-12

Similar Documents

Publication Publication Date Title
EP0655682B1 (en) Multitasking arithmetic unit
DE2856483C2 (en)
EP3961317B1 (en) Method for configuring a modular safety switching device
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
WO2001037058A1 (en) Automation device and updating method
WO2017080793A2 (en) Method for operating a multicore processor
DE4415761A1 (en) Procedure for handling temporarily unequal input data or intermediate results in redundant control systems
EP2126644B1 (en) Method for the conversion of ladder diagrams
EP3779619B1 (en) Method and device for determining emerging risks of a technical system
EP4232905A1 (en) Data processing network for performing data processing
DE102010039607B3 (en) Method for the redundant control of processes of an automation system
DE102020209228A1 (en) Method for monitoring at least one computing unit
DE19801992C2 (en) Process for improving system availability after processor processor failure
EP3172671B1 (en) Method for parallel processing of data in a computer system comprising a plurality of computer units and computer system comprising a plurality of computer units
EP1176508B1 (en) Arrangement for monitoring the correct operation of components which execute the same or corresponding action in an electrical system
DE2250080A1 (en) DEVICE FOR ELECTRONIC DATA PROCESSING
EP1283467A2 (en) Data checking of a system containing a programme-controlled unit
WO2022069154A1 (en) Method for recording a number of events in an encoded tracer variable in a security-oriented computer program
DE102020006887A1 (en) Easily certifiable and qualifiable computer program structure and computer system
DE3906238C2 (en)
WO2023066624A1 (en) Data processing network for performing data processing
DE102021126271A1 (en) Procedure and system for linking error messages
EP1418706A1 (en) Method for remote configuration
EP1426862A2 (en) Synchronization of data processing within redundant processing elements of a data processing system
WO2010025757A1 (en) Method for specifying a control function

Legal Events

Date Code Title Description
8127 New person/name/address of the applicant

Owner name: EUE, WOLFGANG, DIPL.-ING., 38162 CREMLINGEN, DE

8139 Disposal/non-payment of the annual fee