AT395358B - Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern - Google Patents

Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern Download PDF

Info

Publication number
AT395358B
AT395358B AT0249688A AT249688A AT395358B AT 395358 B AT395358 B AT 395358B AT 0249688 A AT0249688 A AT 0249688A AT 249688 A AT249688 A AT 249688A AT 395358 B AT395358 B AT 395358B
Authority
AT
Austria
Prior art keywords
data processing
processing system
computers
voltage
switching element
Prior art date
Application number
AT0249688A
Other languages
English (en)
Other versions
ATA249688A (de
Original Assignee
Siemens Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag filed Critical Siemens Ag
Publication of ATA249688A publication Critical patent/ATA249688A/de
Application granted granted Critical
Publication of AT395358B publication Critical patent/AT395358B/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L1/00Devices along the route controlled by interaction with the vehicle or train
    • B61L1/20Safety arrangements for preventing or indicating malfunction of the device, e.g. by leakage current, by lightning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Power Sources (AREA)

Description

AT 395 358 B
Die Erfindung bezieht sich auf eine Datenverarbeitungsanlage mit in mehreren Kanälen dieselben Daten verarbeitenden, mit Gleichspannung über mindestens ein monostabiles Schaltglied versorgten Rechnern, die sich im Hinblick auf ordnungsgerechtes Aibeiten gegenseitig überwachen und dabei Quittungssignale abgeben, von denen im Fehlerfall mindestens eines ausbleibt und die über das monostabile Schaltglied geführte Stromversorgung den S Rechner abschaltet.
Bei modernen technischen Prozessen mit Sicherheitsverantwortung, z. B. bei der Steuerung und Überwachung von Kernreaktoren oder der Steuerung von Eisenbahnsicherungsanlagen, wird nach einem anerkannten sicherungstechnischen Prinzip gearbeitet: Abschalten der Anlage im Fehlerfall. Beim Einsatz von nicht sicheren Datenverarbeitungsanlagen muß mit technischen Fehlem gerechnet werden, auch wenn sie nur äußerst selten 10 eintreten sollten. In den wenigen Fällen muß der zu steuernde Prozeß dann mit Sicherheit in einen für den Menschen und auch für das Material unkritischen Zustand überführt werden. Dies kann bei Eisenbahnsicherungsanlagen beispielsweise dadurch bewirkt werden, daß allen prozeßaktivierenden Signalen ein hoher Signalpegel zugeordnet wird,derbeieinertechnischenStörungderdenProzeßsteuernden Datenverarbeitungsanlage auf allen Ausgabekanälen abgeschaltet wird. Diese Verfahrensweise setzt allerdings technische Einrichtungen voraus, die eine fehlerhafte IS Datenverarbeitung unverzüglich erkennen. Je nach Eigenschaft der Anlage können defekt gewordene Anlagenteile als solche unabhängig vom eigentlichen Datenfiuß herausgefunden und für sich abgeschaltet werden.
Unter Verdopplung einer Datenverarbeitungsanlage kann deren Verfügbarkeit erhöht werden, da nach dem Auftreten eines Fehlers in einer der beiden Datenverarbeitungsanlagen auf die jeweils andere Anlage, die im Parallelbetrieb dieselben Informationen ständig mitverarbeitet hat, umgeschaltet wird. Doppelsysteme dieser Art 20 haben zwar in wünschenswerter Weisedie erhöhte Verfügbarkeit, jedoch nicht die für die oben angegebenen Anlagen zu fordernde Sicherheit Dies liegt u. a. daran, daß ein defekt gewordener Anlagenteil nur dadurch ermittelt werden kann, daß ständig ein Vergleich vieler Schaltzustände gleichartiger Anlagenteile beider Datenverarbeitungsanlagen erfolgen muß. Bei den in Rede stehenden Doppelrechnersystemen darf also keine Beschränkung dahingehend erfolgen, daß nach einem Fehlerfall nur einzelne Anlagenteile des verdoppelten Systems abgeschaltet werden, also 25 z. B. eine der beiden Datenverarbeitungsanlagen selbst, weil für den verbleibenden Rest dann keine ausreichende sichereFehlererkennungmehrvorhandenist Somitmüssen also in für sicherungstechnischeSteuerungen konzipierten Doppelrechnersystemen nach einem in einem beliebigen Anlagenteil erkannten Fehler beide Datenverarbeitungs-anlagen abgeschaltet werden. Eine Datenverarbeitungsanlage, die nach diesem Prinzip arbeitet, ist in der DE-OS 2612100 näher beschrieben. Dieses bekannte Doppelrechnersystem besteht u. a. aus zwei voneinander unabhän-30 gigen Gleichstromquellen gespeisten Mikrocomputern. In einer gemeinsamen Taktstromversorgungseinrichtung wird außer den erforderlichen Steuersignalen ein Überwachungspuls erzeugt, dessen Impulse zum Abfragen der Schaltzustände einer Vielzahl von Vergleichern dienen. Nur bei ordnungsgerechter Übereinstimmung aller zu vergleichenden Signalpaare der verschiedensten Signalquellen des Doppelrechnersystemes können die Überwachungsimpulse an die Taktstromversorgungseinrichtung zur weiteren Aufrechterhaltung des Betriebes wieder 35 zurückgeführt werden.
Der Überwachungspuls wird ferner einem Überwacher für dynamische Signale zugeführt, der beim Ausbleiben des Überwachungspulses unter Einsatz zweier Spezialrelais die beiden Gleichspannungsquellen von den Mikrocomputern abtrennt Diese Maßnahme entspricht einem sicheren Abschalten der gesamten Datenverarbeitungsanlage, so daß die Ausgabe von prozeßgefährdenden Signalen vermieden wird. Dies setzt allerdings die Gewißheit voraus, daß 40 sich die Relais im entscheidenden Moment auch wirklich betätigen lassen. Entsprechendes gilt sinngemäß für ähnlich geartete andere monostabile Schaltglieder.
Aus der DE-Al 34 39 563 ist eine Datenverarbeitungsanlage mit zwei dieselben Daten verarbeitenden Rechnern bekannt, bei der die Rechner im Fehlerfall je einen zugeordneten Schalter einstellen. Wird einer dieser Schalter eingestellt, so wird eine Sicherung im Speisekreis der Rechner zerstört, wodurch die Rechner vom Netz getrennt 45 werden. Zur Funktionsprüfung der Schalter werden diese von den Rechnern mitSteuersignalen beaufschlagt, die so kurzzeitig wirksam sind, daß die Sicherung noch nichtanspricht Es wird dabei der über die Schalter fließende Strom detektiert und hieraus eine Aussage über die Schaltfähigkeit der Schalter abgeleitet Ist die Sicherung im Fehlerfall zerstört worden, so wird bei der Wiedainbetriebnahme des Rechnersystems ein Eingriff des Wartungspersonals in die Anlage zwingend erforderlich. Dies und die Bevorratung von Sicherungen sind jedoch unerwünscht 50 Der Erfindung liegt die Aufgabe zugrunde, eine Datenverarbeitungsanlage der oben angegebenen Art so weiterzubilden,daß die Abschaltbarkeit der Datenverarbeitungsanlageohnedie Verwendung vonSchmelzsicherungen und ohne überwachte Relais sichergestellt werden kann.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß das monostabile Schaltgliedals elektronische Schaltung ausgeführt ist die durch ein manuell auslösbares Einschaltsignal in die Einschaltlage steuerbar ist in welcher sie nur 55 bei anschließend vorhandenen Quittungssignalen verbleibt daß an die elektronische Schaltung ausgangsseitig ein Spannungswächter angeschlossen ist der bei jeder Gleichspannungsabsenkung bis unterhalb eines vorgegebenen Wertes an mindestens einen der Rechner ein Fehlersignal abgibt daß für den letztgenannten Rechner ein -2-
AT 395 358 B
Prüfprogramm vorgesehen ist, bei welchem eines der Quittungssignale abgeschaltet und dieses nur beim anschließenden Vorliegen des Fehlersignales wieder eingeschaltet wird.
Eine derartige Datenverarbeitungsanlage, bei welcher die Unterbrechbarkeit der Stromversorgung regelmäßig überprüft wird, gewährleistet im Fehlerfall mit hoher Zuverlässigkeit das sichere, gewünschte Abschalten der gesamten Anlage. Da beispielsweise die Quittungssignale gleichzeitig auch dazu verwendet werden können, Ausgäbebausteine für sicherungstechnisch bedeutsame Prozeßsignale abzuschalten, kann beim Ausbleiben eines zu erwartenden Fehlersignales eine vorsorgliche Abschaltung, die sich beispielsweise auf die Ausgabebausteine beschränkt, vorgenommen werden. Somit sind in vorteilhafter Weise auch die Spannungswächter in die regelmäßig vorkommenden Prüfvorgänge mit einbezogen. Das monostabile Schaltglied dient gleichzeitig auch als Kurzschlußsicherung, da im Kurzschlußfall bei einem der Rechner mindestens eines der Quittungssignale entfällt.
Das monostabile Schaltglied, über welches die Stromversorgung der Datenverarbeitungsanlage erfolgt, kann in der einfachsten Form als Halbleiterschalter ausgeführt sein. Eine andere vorteilhafte Weiterbildung sieht dafür einen ffemdgesteuerten Gleichspannungswandler vor, dessen Funktion durch den speziellen Einsatz als abschaltbare Spannungsquelle auch mit überwacht ist Für manche Anwendungsfälle kann es ferner von besonderem Vorteil sein, den Spannungswächter von den Stromversorgungseingängen der Rechner durch mindestens eine Schutzdiode zu trennen. In dem Zusammenhang ist es besonders vorteilhaft, daß die Stromversorgungeingänge der Rechner mit mindestens einem Kondensator beschältet werden, dessen Kapazität so groß gewählt ist, daß bei zu Testzwecken abgeschalteter Stromversorgung das Prüfprogramm noch vollständig ablaufen kann, die Energie jedoch nicht ausreicht, prozeßgefährdende Signale auszugeben.
Zwei Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden nachfolgend näher erläutert. Es zeigen Fig, 1 eine Datenverarbeitungsanlage, deren Stromversorgung übereinen im Störfall abschaltbaren elektronischen Schalter geführt ist, dessen Funktionsfähigkeit regelmäßig überprüft wird und Fig. 2 eine Aus-führungsform, bei welcher der elektronische Schalter als fremdgesteuerter Gleichspannungswandler ausgeführt ist.
Das Blockschaltbild nach Fig. 1 zeigt nur schematisch eine Datenverarbeitungsanlage mit in zwei Kanälen dieselben Daten verarbeitenden Rechnern (RN). Hiebei ist es gleichgültig, wie diese Rechner (RN) aufgebaut sind, welche Prozeßsignale sie verarbeiten und in welcher Art ein beliebiger Prozeß zu steuern ist.
Wichtig ist jedoch, daß die beiden Rechner (RN) sich gegenseitig auf ordnungsgerechtes Arbeiten überwachen und im Fehlerfall über eine stellvertretend für eine Vielzahl von Leitungen dargestellte Leitung (LP) keine den zu steuernden Prozeß (PS) gefährdenden Signale ausgeben. Dies kann beispielsweise dadurch erreicht werden, daß beide Rechner (RN) im Fehlerfall total abgeschaltet werden oder aber beispielsweise nur deren Ausgabebaugruppen. Die Gleichspannungsversorgung der Rechner (RN) erfolgt mit (+UB) über die Klemmen (Kl) und (K2) und einen elektronischen Schalter (ER) mit monostabilem Verhalten. Gezeigtistdiestabile Ausschaltlage. Am Ausgang (ER1) des elektronischen Schalters (ER) ist ein Spannungs wächter (SR) vorgesehen, dem als Referenzspannung die an der Klemme (Kl) liegende Gleichspannung (+UB) zugeführt ist. Grundsätzlich ist es jedoch möglich, als Vergleichsspannung auch eine beliebige andere Gleichspannung zu verwenden. Der Spannungswächter (SR) hat die Aufgabe, über dessen Ausgangsleitung (SRI) dann ein Fehlersignal (FL) an mindestens einen der beiden Rechner (RN) zu geben, wenn die am Ausgang (ER1) des elektronischen Schalters (ER) befindliche Spannung unterhalb eines vorgegebenen Wertes liegt. Gespeist werden die Rechner (RN) schließlich über eine Schutzdiode (Dl). Ein Kondensator (CI) sorgt bei kurzzeitigen Spannungsschwankungen, beispielsweise durch Öffnen des elektronischen Schalters (ER) zu Testzwecken, daß die Rechner (RN) kurzzeitig noch mit ausreichender Energie versorgt werden. Zur Steuerung des elektronischen Schalters (ER), der beispielsweise als Halbleiterschalter ausgeführt sein kann, ist ein ODER-Glied (O) in Verbindung mit einem UND-Glied (UD) vorgesehen. Das letztgenannte Schaltglied gibt an seinem Ausgang (UD1) nur dann dauernd ein Steuersignal an den Eingang (Ol) des ODER-Gliedes (O) und damit auf einen Steuereingang (ER2) des elektronischen Schalters (ER), solange dem UND-Glied (UD) über alle seine Eingänge Quittungssignale (Ql), (Q2) bzw. (Q3) aus den Rechnern (RN) zugeführt werden. Diese Quittungssignale (Ql) bis (Q3) werden im Rahmen der gegenseitigen Überwachung der beiden Rechner (RN) auf ordnungsgerechtes Arbeiten, und zwar nur in diesem Fall, in vollständiger Anzahl ausgelöst. Mindestens eines der Quittungssignale (Ql) bis (Q3) kann in Abhängigkeit davon abgegeben werden, daß innerhalb des Rechnerverbundes ein Prüfprogramm ordnungsgerecht ablaufen konnte mit dem Ergebnis, daß die Rechner (RN) auch dabei in allen Teilen wie erwartet gearbeitet haben.
Zum Starten der Stromversorgung, also zum Schließen des elektronischen Schalters (ER), wird manuell eine Taste (TE) betätigt. Das dabei dann fehlende Nullpotential wird als Einschaltsignal (EL) gewertet, welches über den Eingang (02) das ODER-Glied (O) passiert und über den Steuereingang (ER2) den elektronischen Schalter (ER) schließt. Bis zu diesem Zeitpunkt fehlte den Rechnern (RN) die nötige Stromversorgung, so daß bis dahin keine Quittungssignale (Ql) bis (Q3) ausgegeben werden konnten. Mit dem Durchschalten der Stromversorgung entfällt das Fehlersignal (FL) des Spannungswächters (SR), und die Rechner (RN) geben nach erfolgter gegenseitiger -3-
AT395358B Überprüfung die Quittungssignale (Ql) bis (Q3) aus. Nach diesem Zeitpunkt kann der Startvorgang durch Loslassen der Taste (TE) beendet werden, da am Ausgang (UD1) des UND-Gliedes (UD) dann steuerwirksames Dauersignal vorhanden ist, welches den elektronischen Schalter in der nicht dargestellten instabilen Einschaltlage hält Für die Datenverarbeitungsanlage ist es nun besonders wichtig, daß sich der elektronische Schalter (ER) im S Fehlerfall, also beim Abschalten mindestens eines der Quittungssignale (Ql) bis (Q3) auch mit Sicherheit öffnet, so daß an den Prozeß (PS) keinegefahrbringenden Signaleausgegeben werden. Im Rahmen einesRechnerprüfprogrammes wirdnun.ohnedaßein Verarbeitungsfehleroderein technischer Defekt innerhalbderRechner (RN) festgestelltwurde, vorsätzlich eines der Quittungssignale (Ql) bis (Q3) abgeschaltet Dies muß ein öffnen des elektronischen Schalters (ER) zur Folge haben. Hiedurch sinkt die Spannung am Spannungswächter (SR) in kürzester Zeit bis unterhalb eines 10 vorgegebenen Wertes, so daß der Spannungswächter (SR) - selbstverständlich auch nur im ordnungsgerechten Zustand - über seine Ausgangsleitung (SRI) das zu erwartende Fehlersignal (FL) an die Rechner (RN) ausgibt Da aufgrund der Schutzdiode (Dl) und des Kondensators (CI) die Versorgungsspannung für die Rechner (RN) trotz geöffneten Schalters (ER) zunächst noch erhalten bleibt, können diese im Rahmen des laufenden Prüfprogrammes nachErhaltdesFehlersignals (FL) das kurzzeitig vorher abgeschaltete Quittungssignal, z. B. (Ql), wiederausgeben. IS Hiedurch wird der elektronische Schalter (ER) wieder geschlossen, und dessen Überprüfung ist abgeschlossen. Durch die geschilderte regelmäßige Überwachung auf ordnungsgeiechtes Arbeiten des elektronischen Schalters (ER) ist gewährleistet, daß dies»1 besonders dann ordnungsgeiecht abschaltet, wenn beim betriebsmäßigen Erkennen eines Fehlers mindestens eines der Quittungssignale (Ql) bis (Q3) abgeschaltet wird.
Der sicherlich sehr seltene Fall, daß der elektronische Schalter OER) im Rahmen des erläuterten Prüfprogrammes 20 nicht öffnet, wird von den Rechnern (RN) erkannt, da beim vorsätzlichen Abschalten eines der Quittungssignale (Ql) bis (Q3) das Fehlersignal (FL) des Spannungswächters (SR) «wartet wird. Erscheint das Fehlersignal (FL) nicht, sind im Zusammenhang mit dem Prüfprogramm Abschaltroutinen vorgesehen, die sich beispielsweise auf das Abschalten von Ausgabebaugiuppen (nicht daigestellt) auswirken. Der dann vorhandene Schaltzustand der Datenverarbeitungsanlage kann mit Hilfe einer Meldeeinrichtung (MG) signalisiert werden. 25 Das Ausführungsbeispiel nach Fig. 1 kann dahingehend variiert werden, daß auf die Schutzdiode (Dl) und den
Kondensator (CI) verzichtet wird. Dies setzt Bemessungsspielräume voraus, derart, daß nach dem Öffnen des elektronischen Schalters (ER) der Spannungswächter (SR) bei absinkender Spannung am Ausgang (ER1) des elektronischen Schalters (ER) das gewünschte Fehlersignal (FL) ausgibt, während die dann bereits verminderte Versorgungsspannung noch ausreicht, daß die Rechner (RN) ordnungsgerecht arbeiten. 30 Beim Ausführungsbeispiel gemäß Fig. 2 sind für alle Bauteile und Baugruppen, die im Rahmen des Aus- führungsbeispieles nach Fig. 1 bereits näher erläutert wurden, dieselben Bezugszeichen verwendet.
Beim Vergleich der beiden Ausführungsbeispiele ist leicht zu erkennen, daß beim zweiten Ausführungsbeispiel als monostabile elektronische Schaltung (ER) ein fremdgesteuerter Gleichspannungswandler verwendet ist Auch dieser hat insofern monostabiles Verhalten, als er nur dann Energie für die Rechner (RN) zur Verfügung stellt wenn 35 ihm das Steuersignal vom ODER-Glied (0) zugeführt wird. Der fremdgesteuerte Gleichspannungswandler besteht aus einem Transistor (TR), an dessen Kollektorelektrode die mit der Klemme (Kl) verbundene Primärwicklung (U1) eines Übertragers (U) angeschlossen ist. Die Sekundärwicklung (U2) speist über eine Gleichrichterdiode (D2) einen Ladekondensator (C2), dem ein ohmscher Widerstand (R) parallelgeschaltet ist, und somit die Rechner (RN). Angesteuert wird der Transistor (TR) nur dann durch Taktsignale eines Taktgenerators (TG), wenn einem vor-40 geschalteten UND-Glied (UDS) gleichzeitig das Steuersignal des ODER-Gliedes (0) zur Verfügung steht.
Der besondere Vorteil dieses speziellen elektronischen Schalters (ER) liegt darin, daß das Abschaltverhalten ausschließlich durch digitaleZustände bestimmt wird. Der Widerstand (R) trägt in Abhängigkeit von seiner Bemessung dazu bei, daß die Spannung am Ausgang (ER1) nach einem im Rahmen des Prüfprogrammes vorgesehenen Abschaltvorgang möglichst schnell zusammenbricht, damit das gewünschte Fehlersignal (FL) unverzüglich ausgelöst 45 wird und der gesamte Prüfvorgang nur eine geringe Zeitdauer erfordert. Somit wird der Rechnerbetrieb zur Prozeßsteuerung durch Prüfvorgänge zeitlich wenig belastet 50 -4- 55

Claims (5)

  1. AT395 358 B PATENTANSPRÜCHE 5 1. Datenverarbeitungsanlage mit in mehreren Kanälen dieselben Daten verarbeitenden, mit Gleichspannung über 10 mindestens ein monostabiles Schaltglied versorgten Rechnern, die sich im Hinblick auf ordnungsgerechtes Arbeiten gegenseitig überwachen und dabei Quittungssignale abgeben, von denen im Fehlerfall mindestens eines ausbleibt und die über das monostabile Schaltglied geführte Stromversorgung den Rechner abschaltet, dadurch gekennzeichnet, daß das monostabile Schaltglied als elektronische Schaltung (ER) ausgeführt ist, die durch ein manuell auslösbares Einschaltsignal (EL) in die Einschaltlage steuerbar ist, in welcher sie nur bei anschließend vorhandenen 15 Quittungssignalen (Ql bis Q3) verbleibt, daß an die elektronische Schaltung (ER) ausgangsseitig ein Spannungs wächter (SR) angeschlossen ist, der bei jeder Gleichspannungsabsenkung bis unterhalb eines vorgegebenen Wertes an mindestens einen der Rechner (RN) ein Fehlersignal (FL) abgibt, daß für den letztgenannten Rechner (RN) ein Prüfprogramm vorgesehen ist, bei welchem eines der Quittungssignale (Ql) abgeschaltet und dieses nur beim anschließenden Vorliegen des Fehlersignals (FL) wieder eingeschaltet wird. 20
  2. 2. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß das monostabüe Schaltglied als Halbleiterschalter ausgeführt ist
  3. 3. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß das monostabile Schaltglied als 25 fremdgesteuerter Gleichspannungswandler ausgefßhrt ist
  4. 4. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Spannungswächter (SR) von den Stromversorgungseingängen der Rechner (RN) durch mindestens eine Schutzdiode (Dl) getrennt ist 30
  5. 5. Datenverarbeitungsanlage nach Anspruch 4, dadurch gekennzeichnet daß die Stromversorgungseingänge der Rechner (RN) mit mindestens einem Kondensator (CI) beschältet sind, dessen Kapazität so groß gewählt ist daß bei zu Testzwecken abgeschalteter Stromversorgung das Prüfprogramm noch vollständig ablaufen kann. 35 Hiezu 2 Blatt Zeichnungen 40 45 50 -5- 55
AT0249688A 1987-11-19 1988-10-10 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern AT395358B (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19873739227 DE3739227A1 (de) 1987-11-19 1987-11-19 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern

Publications (2)

Publication Number Publication Date
ATA249688A ATA249688A (de) 1992-04-15
AT395358B true AT395358B (de) 1992-12-10

Family

ID=6340809

Family Applications (1)

Application Number Title Priority Date Filing Date
AT0249688A AT395358B (de) 1987-11-19 1988-10-10 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern

Country Status (3)

Country Link
AT (1) AT395358B (de)
DE (1) DE3739227A1 (de)
IT (1) IT1229959B (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19755259A1 (de) 1997-12-12 1999-06-17 Kostal Leopold Gmbh & Co Kg Elektronische Schaltungsanordnung zum Beaufschlagen eines Mikroprozesses mit Weck- und Aktionssignalen
CN103802861A (zh) * 2014-01-24 2014-05-21 深圳市长龙铁路电子工程有限公司 一种移动式铁路信号设备故障记录装置
IT201700091139A1 (it) * 2017-08-07 2019-02-07 Intecs Solutions S P A Unità di elaborazione e controllo basata su tecniche di voting operanti con coppie di flussi di dati ridondati provenienti da uno o più sistemi esterni

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3439563A1 (de) * 1984-10-29 1986-04-30 Siemens AG, 1000 Berlin und 8000 München Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2612100A1 (de) * 1976-03-22 1977-10-06 Siemens Ag Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3439563A1 (de) * 1984-10-29 1986-04-30 Siemens AG, 1000 Berlin und 8000 München Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Also Published As

Publication number Publication date
DE3739227A1 (de) 1989-06-01
IT1229959B (it) 1991-09-17
ATA249688A (de) 1992-04-15
IT8822637A0 (it) 1988-11-16
DE3739227C2 (de) 1989-09-21

Similar Documents

Publication Publication Date Title
DE3706325C2 (de)
DE3123451A1 (de) Verfahren und anordnung zur stoerungserkennung in gefahren-, insbesondere brandmeldeanlagen
DE4134396C2 (de) Sicheres Automatisierungssystem
WO1999064938A1 (de) Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung
DE2316433A1 (de) Programmierbarer universal-logikmodul
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
DE3522220C2 (de) Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses
CH618029A5 (de)
AT395358B (de) Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
DE2647367B2 (de) Redundante Prozeßsteueranordnung
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
EP0508081B1 (de) Schaltungsanordnung und Verfahren zum Überwachen eines brennstoffbeheizten Gerätes
DE3917482A1 (de) Schaltungsanordnung zur steuerung einer raumlufttechnischen anlage
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE3439563C2 (de)
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE1516696C3 (de) Straßenverkehrssignalanlage
DE1513297C (de)
EP0992911A2 (de) Verfahren und Schaltungsanordnung zur sicheren Überwachung von Taktraten in einem redundanten System
DE2613927C3 (de) Schaltungsanordnung zur Steuerung und Überwachung der Abfrage von Signalquellen mit individuellen Signalleitungen
DE3639229C1 (en) Safe set circuit for a safety-oriented RS memory
DE2534759A1 (de) Kreuzschienenverteiler

Legal Events

Date Code Title Description
ELJ Ceased due to non-payment of the annual fee