CH654425A5 - Redundant control arrangement - Google Patents

Redundant control arrangement Download PDF

Info

Publication number
CH654425A5
CH654425A5 CH387681A CH387681A CH654425A5 CH 654425 A5 CH654425 A5 CH 654425A5 CH 387681 A CH387681 A CH 387681A CH 387681 A CH387681 A CH 387681A CH 654425 A5 CH654425 A5 CH 654425A5
Authority
CH
Switzerland
Prior art keywords
peripheral
units
sub
signals
output
Prior art date
Application number
CH387681A
Other languages
German (de)
Inventor
Manfred Euringer
Original Assignee
Siemens Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag filed Critical Siemens Ag
Publication of CH654425A5 publication Critical patent/CH654425A5/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung betrifft eine redundante Steueranordnung gemäss dem Oberbegriff des Anspruchs 1. The invention relates to a redundant control arrangement according to the preamble of claim 1.

Derartige Steueranordnungen sind mehrfach bekannt. Beispielsweise ist in der GB-PS 1 359 748 beschrieben, die Ausgabetelegramme von drei Rechnern nach einer Mehrheitsentscheidung zu prüfen und dadurch einen etwaigen defekten Rechner festzustellen. Zur Funktionskontrolle werden der Vergleichseinrichtung absichtlich gefälschte Telegramme zugeführt. Such control arrangements are known several times. For example, GB-PS 1 359 748 describes checking the output telegrams from three computers after a majority decision and thereby determining any defective computer. For comparison purposes, the comparison device is deliberately falsified telegrams.

Aus der DE-AS 2 647 367 ist bekanntgeworden, die Ausgangssignale von drei parallel arbeitenden Zentraleinheiten über drei Busleitungen zu übertragen und an diese periphere From DE-AS 2 647 367 it has become known to transmit the output signals from three central units working in parallel over three bus lines and to these peripheral ones

Einheiten über Mehrheitsschaltungen anzuschliessen. Für die Übertragung der Signale von den peripheren Einheiten zu den Zentraleinheiten sind drei weitere Busleitungen vorgesehen. Mit dieser bekannten Steueranordnung können auf Stellglieder, z.B. ein Magnetventil, Stellbefehle gegeben werden, die über die peripheren Einheiten und die Eingangs-Busleitungen auf die Rechner rückgeführt sind. Es kann somit die richtige Ausführung der Befehle überwacht werden. Eine weitere Funktionskontrolle wird nicht durchgeführt. Die peripheren Einheiten können wahlweise redundant oder nichtredundant betrieben werden. Connect units via majority circuits. Three further bus lines are provided for the transmission of the signals from the peripheral units to the central units. With this known control arrangement, actuators, e.g. a solenoid valve, control commands are given which are fed back to the computer via the peripheral units and the input bus lines. The correct execution of the commands can thus be monitored. No further functional check is carried out. The peripheral units can be operated either redundantly or non-redundantly.

Die bekannten Anordnungen arbeiten entweder in der Weise, dass getaktete Vergleichseinrichtungen bei einer Antivalenz der überprüften Signale oder auch bei einem Ausfall der Vergleichseinrichtung einen Prüftakt sperren. Beim Ausbleiben von Prüftaktimpulsen werden dann Sicherheitsreaktionen ausgelöst. Andere Anordnungen enthalten Register, in welche die Signale auf den Busleitungen bei jedem Bearbeitungsschritt parallel übernommen werden und deren Inhalte verglichen werden. Die bekannten Anordnungen haben den Nachteil, dass Schaltungen zur Erzeugung des Prüftaktes und zur Auswertung des Prüftaktes notwendig sind. Ausserdem werden bei einigen bekannten Anordnungen die Zentraleinheiten und die Verbindungsleitungen durch den Vergleich und die Übertragung des Vergleichsergebnisses belastet. The known arrangements work either in such a way that clocked comparison devices block a test clock in the event of an antivalence of the checked signals or also in the event of a failure of the comparison device. If there are no test clock pulses, safety reactions are triggered. Other arrangements contain registers in which the signals on the bus lines are transferred in parallel with each processing step and the contents of which are compared. The known arrangements have the disadvantage that circuits for generating the test clock and for evaluating the test clock are necessary. In addition, in some known arrangements, the central units and the connecting lines are loaded by the comparison and the transmission of the comparison result.

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine Steueranordnung der im Oberbegriff des Anspruchs 1 angegebenen Art zu schaffen, das eine Vergleichseinrichtung enthält, die sich durch Fehlersicherheit sowie einfachen Aufbau auszeichnet, und bei der die Vergleichsergebnisse zu gewünschten Zeitpunkten zu den Zentraleinheiten übertragen werden. The present invention has for its object to provide a control arrangement of the type specified in the preamble of claim 1, which contains a comparison device, which is characterized by error security and simple structure, and in which the comparison results are transmitted to the central units at the desired times.

Erfindungsgemäss wird diese Aufgabe mit den im kennzeichnenden Teil des Anspruchs 1 angegebenen Massnahmen gelöst. According to the invention, this object is achieved with the measures specified in the characterizing part of claim 1.

Die Vergleichseinrichtung enthält demnach ausser dem oder den eigentlichen Vergleichern, die mit Antivalenzgliedern gebildet sein können, einen Speicher, in den Fehlersignale eingetragen werden, wenn Unterschiede zwischen den einander entsprechenden Signalen in den Teilanordnungen festgestellt werden. Diese Fehlersignale bleiben zunächst gespeichert, bis sie von den Zentraleinheiten abgerufen werden. Auf diese Weise werden zwar bei jedem Programmbearbeitungsschritt der Zentraleinheiten deren Ein- und Ausgabesignale auf Antivalenz überprüft, es wird aber nur zu bestimmten, im allgemeinen durch die Bearbeitungsprogramme vorgegebenen Zeitpunkten das Vergleichsergebnis abgerufen, so dass die Zentraleinheiten und die Übertragungsleitungen nicht mehr als notwendig belastet sind. Je nach geforderter Sicherheit der Steueranordnung und notwendiger Reaktionsgeschwindigkeit auf Antivalenzen der ein- und ausgegebenen Signale können die Vergleichsergebnisse nach jedem Bearbeitungsschritt oder nach einer Folge von Bearbeitungsschritten abgerufen werden. Es ist auch möglich, dass, wenn für bestimmte Bearbeitungsschritte keine Redundanz erforderlich ist, die Teilanordnung unabhängig voneinander verschiedene Programme bearbeiten und periphere Einheiten ansteuern. Die dabei auftretenden Antivalenzen werden zwar von der Vergleichseinrichtung festgestellt und im Fehlersignalspeicher gespeichert, dessen Inhalt wird aber nicht abgerufen. Erst wenn eine redundante Signalübertragung erfolgt, wird der Speicher zurückgesetzt, und während oder auch erst nach der redundanten Übertragung wird er abgefragt, ob eine Antivalenz aufgetreten ist. Die Zentraleinheiten der Steueranordnung werden daher zur Auswertung der Vergleichsergebnisse mitbenutzt, wobei die Reaktion auf Fehlermeldungen programmierbar ist. Spezielle Abschalteinrichtungen sind nicht notwendig, da die Zentral2 The comparison device accordingly contains, in addition to the actual comparator or comparators, which can be formed with antivalence elements, a memory in which error signals are entered if differences between the signals corresponding to one another are found in the sub-arrangements. These error signals remain stored until they are called up by the central units. In this way, the input and output signals of the central units are checked for antivalence at each program processing step, but the comparison result is only called up at certain times, which are generally predetermined by the processing programs, so that the central units and the transmission lines are no longer loaded as necessary . Depending on the required security of the control arrangement and the necessary reaction speed to antivalences of the input and output signals, the comparison results can be called up after each processing step or after a sequence of processing steps. It is also possible that if no redundancy is required for certain processing steps, the partial arrangement can process different programs independently of one another and control peripheral units. The antivalences that occur are determined by the comparison device and stored in the error signal memory, but its content is not called up. The memory is only reset when a redundant signal transmission takes place, and during or even after the redundant transmission it is queried whether an antivalence has occurred. The central units of the control arrangement are therefore also used to evaluate the comparison results, the reaction to error messages being programmable. Special switch-off devices are not necessary because the central2

5 5

10 10th

15 15

20 20th

25 25th

30 30th

35 35

40 40

45 45

50 50

55 55

60 60

65 65

654425 654425

einheiten Sicherheitsreaktionen redundant und damit fehlersicher ausführen können. units can perform safety reactions redundantly and thus fail-safe.

Vorteilhaft ist die neue Steueranordnung in der Weise ausgebildet, dass je Teilanordnung eine Daten-, Adressen- und Steuersignale übertragende Peripherie-Busleitung vorgesehen ist, an welche die Zentraleinheit und die peripheren Einheiten angeschlossen sind, und dass die Vergleichseinrichtung zwischen die Peripherie-Busleitungen geschaltet ist und die auf diesen übertragenen Signale miteinander vergleicht. In derartigen Anordnungen sind den peripheren Einheiten Adressen zugeordnet. Zum Aufrufen einer peripheren Einheit und zur Durchführung eines Befehls werden auf die Busleitungen eine Adresse und ein Datum geschaltet, welche die periphere Einheit und den durchzuführenden Befehl angeben. In einer solchen Anordnung kann die Vergleichseinrichtung wie jede andere periphere Einheit behandelt werden. Es ist ihr also mindestens eine Adresse zugeordnet. Wird diese auf die Busleitungen geschaltet, wird der Inhalt des Fehlersignalspeichers über die Busleitungen redundant zur Auswertung den Zentraleinheiten zugeführt. The new control arrangement is advantageously designed in such a way that a peripheral bus line which transmits data, address and control signals is provided for each partial arrangement, to which the central unit and the peripheral units are connected, and that the comparison device is connected between the peripheral bus lines and compares the signals transmitted on them. In such arrangements, addresses are assigned to the peripheral units. In order to call up a peripheral unit and to carry out a command, an address and a date are connected to the bus lines, which indicate the peripheral unit and the command to be carried out. In such an arrangement, the comparison device can be treated like any other peripheral unit. At least one address is assigned to it. If this is connected to the bus lines, the content of the error signal memory is fed redundantly via the bus lines to the central units for evaluation.

In der Vergleichseinrichtung können, von den Zentraleinheiten gesteuert, weitere Funktionen ausgeführt werden. Vorteilhaft wird von Zeit zu Zeit eine Testfunktion ausgeübt. Controlled by the central units, further functions can be carried out in the comparison device. A test function is advantageously carried out from time to time.

Auch hierzu geben die Zentraleinheiten mit einer Adresse Befehle aus, die von der Vergleichseinrichtung decodiert und als Befehle zur Durchführung von Tests erkannt werden. Aus den decodierten Befehlen werden Testsignale gebildet, mit denen ein oder mehrere steuerbare Inverter, die jeweils dem einen Eingang eines Antivalenzgliedes vorgeschaltet sind, in den invertierenden Betriebszustand geschaltet werden. For this purpose too, the central units issue commands with an address, which are decoded by the comparison device and recognized as commands for carrying out tests. Test signals are formed from the decoded commands, with which one or more controllable inverters, which are each connected upstream of the one input of an antivalence element, are switched to the inverting operating state.

Darauf werden wie üblich über die Busleitungen gleiche Daten übertragen, auf die nun, da die Daten der einen Busleitung dem Antivalenzglied invertiert zugeführt werden, die Vergleichseinrichtung anspricht und ein Fehlersignal erzeugt, sofern sie ordnungsgemäss arbeitet. Die Zentraleinheiten rufen den Inhalt des Fehlersignalspeichers ab und prüfen, ob ein Fehlersignal gespeichert war. Da die Adresse und das Datum, aus welchen die Testsignale abgeleitet sind, auf den Busleitungen im allgemeinen nicht so lange zur Verfügung stehen, bis der Test abgeschlossen ist, ist zweckmässig ein Testsignalspeicher vorgesehen, in dem die aus der Adresse und dem Datum abgeleiteten Testsignale gespeichert werden. Das Rücksetzen des Testsignalspeichers erfolgt zweckmässig mittels eines von den Zentraleinheiten abgegebenen Befehls. Von der Rückflanke des Testsignals kann, z.B. durch Differenzieren, ein Rücksetzimpuls für den Fehlersignalspeicher gebildet werden. Then, as usual, the same data is transmitted via the bus lines, to which the comparison device responds now that the data of the one bus line is fed to the antivalence element in an inverted manner and generates an error signal if it is working properly. The central units call up the content of the error signal memory and check whether an error signal was saved. Since the address and the date from which the test signals are derived are generally not available on the bus lines until the test is complete, a test signal memory is expediently provided in which the test signals derived from the address and the date are stored will. The test signal memory is expediently reset by means of a command issued by the central units. From the trailing edge of the test signal, e.g. by differentiating, a reset pulse for the error latch is formed.

Mit der neuen Anordnung können nicht nur die Ein- und Ausgangssignale der Zentraleinheiten und der Speicher überwacht werden, sondern indirekt auch die peripheren Einheiten, indem die Ausgangssignale von peripheren Ausgabeeinheiten jeder Teilanordnung auf Eingänge von peripheren Eingabeeinheiten der jeweils anderen Teilanordnung rückgeführt sind. Diese Signale werden von den peripheren Eingabeeinheiten über die Busleitungen zur Zentraleinheit übertragen, wobei sie von der Vergleichseinrichtung auf Gleichheit überwacht werden. Mit einer solchen Anordnung werden Einfachfehler in den peripheren Einheiten erkannt. With the new arrangement, not only the input and output signals of the central units and the memory can be monitored, but also indirectly the peripheral units, in that the output signals from peripheral output units of each sub-arrangement are fed back to inputs of peripheral input units of the other sub-arrangement. These signals are transmitted from the peripheral input units via the bus lines to the central unit, and they are monitored for equality by the comparison device. With such an arrangement, single errors in the peripheral units are recognized.

Anhand der Zeichnung werden im folgenden die Erfindung sowie weitere Ausgestaltungen und Ergänzungen näher beschrieben und erläutert. Es zeigen: The invention and further refinements and additions are described and explained in more detail below with reference to the drawing. Show it:

Figur 1 das Prinzipschaltbild eines Ausführungsbeispiels, FIG. 1 shows the basic circuit diagram of an exemplary embodiment,

Figur 2 das Schaltbild einer in der Anordnung nach Figur 1 eingesetzten Vergleichseinrichtung und FIG. 2 shows the circuit diagram of a comparison device used in the arrangement according to FIG. 1 and

Figur 3 Diagramme von in der Vergleichseinrichtung nach Figur 2 auftretenden Impulsen. 3 shows diagrams of pulses occurring in the comparison device according to FIG.

In Figur 1 ist eine Steueranordnung gezeigt, das aus zwei Teilanordnungen Kl, K2 besteht. Jedes von ihnen enthält eine Zentraleinheit ZE1, ZE2, welche Anweisungen bearbeitet, die in einem ihr zugeordneten, nicht dargestellten Pro-s grammspeicher enthalten sind, wobei Daten, die in einem Arbeitsspeicher AS 1, AS2 abgelegt sind, ausgewertet werden. Die Zentraleinheiten ZE1, ZE2 sind mit den Arbeitsspeichern ASI, AS2 über Peripherie-Busleitungen PB1, PB2 verbunden. An diese Busleitungen sind weitere periphere Ein-lo heiten, im Ausführungsbeispiel nach Figur 1 je ein Zeitzähler ZZI, ZZ2, eine Ausgabeeinheit AE1, AE2 und eine Eingabeeinheit EE1, EE2 angeschlossen. Die Ausgabeeinheiten dienen dazu, binäre Signale nach aussen abzugeben. Beispielsweise ist an Ausgänge A2, A'2 über Ansteuerglieder ls STI, ST2 ein Relais RL angeschlossen. Über die Eingabeeinheiten EE1, EE2 werden von aussen kommende binäre Signale auf die Busleitungen PB 1, PB2 geschaltet und den Zentraleinheiten ZE1, ZE2 oder auch unmittelbar den Arbeitsspeichern ASI, AS2 zugeführt. Jedem Zeitzähler ZZI, 20 jeder Zelle des Arbeitsspeichers AS 1, jedem Ausgang AI, A2... der Ausgabeeinheit AE1 und jedem Eingang El, E2... der Eingabe EE1 ist eine Adresse zugeordnet. Soll z.B. das Relais RL angesteuert werden, dann geben die Zentraleinheiten ZE1, ZE2 die Adressen der Ausgänge A2, A'2 der 2s Ausgabeeinheiten AE1, AE2 auf die Busleitungen PB1, PB2. Die Adresse kann durch Befehle, wie Lesen, Schreiben, Öffnen, Schliessen, ergänzt sein. Entsprechend werden Signale von aussen nur dann von der Eingabeeinheit EE1 durchgeschaltet, wenn die Einheit adressiert ist. 30 Die beiden Zentraleinheiten ZE1, ZE2 sind identisch aufgebaut und arbeiten synchron, wobei im allgemeinen nach übereinstimmenden Programmen gleiche Daten verarbeitet werden. Demgemäss haben die Zellen des Arbeitsspeichers AS2 dieselben Adressen wie die des Arbeitsspeichers ASI. 35 Ebenso können die Ausgänge A' 1, A' 2... der Ausgabeeinheit AE2 dieselben Adressen wie die Ausgänge Al, A2... der Ausgabeeinheit AE1 haben. Entsprechendes gilt für die Eingabeeinheiten und die Zeitzähler. In Figure 1, a control arrangement is shown, which consists of two sub-arrangements K1, K2. Each of them contains a central unit ZE1, ZE2, which processes instructions that are contained in a program memory (not shown) associated with it, data which are stored in a working memory AS1, AS2 being evaluated. The central units ZE1, ZE2 are connected to the main memories ASI, AS2 via peripheral bus lines PB1, PB2. Further peripheral units are connected to these bus lines, in the exemplary embodiment according to FIG. 1 a time counter ZZI, ZZ2, an output unit AE1, AE2 and an input unit EE1, EE2. The output units are used to output binary signals to the outside. For example, a relay RL is connected to outputs A2, A'2 via control elements ls STI, ST2. Binary signals coming from outside are switched to the bus lines PB 1, PB2 via the input units EE1, EE2 and fed to the central units ZE1, ZE2 or directly to the main memories ASI, AS2. An address is assigned to each time counter ZZI, 20, each cell of the main memory AS 1, each output AI, A2 ... of the output unit AE1 and each input El, E2 ... of the input EE1. Should e.g. the relay RL are controlled, then the central units ZE1, ZE2 give the addresses of the outputs A2, A'2 of the 2s output units AE1, AE2 to the bus lines PB1, PB2. The address can be supplemented by commands such as reading, writing, opening, closing. Correspondingly, signals from the outside are only switched through by the input unit EE1 when the unit is addressed. 30 The two central units ZE1, ZE2 are constructed identically and work synchronously, whereby the same data are generally processed according to matching programs. Accordingly, the cells of the working memory AS2 have the same addresses as those of the working memory ASI. 35 Likewise, outputs A '1, A' 2 ... of output unit AE2 can have the same addresses as outputs A1, A2 ... of output unit AE1. The same applies to the input units and the time counter.

Damit die Eingangssignale redundant verarbeitet werden, 40 sind den Eingängen E3, E'3 und E4, E'4 gleiche Signale zugeführt. Gegebenenfalls müssen für die Abfrage und Übertragung der Eingangssignale über die Busleitungen Synchro-nisiermassnahmen vorgesehen werden. Unter dieser Voraussetzung werden bei störungsfreiem Betrieb an den Ausgängen 4s A2, A'2 der Ausgabeeinheiten AE1, AE2 übereinstimmende Signale abgegeben, so dass bei geeigneter Ausbildung der AnSteuereinheiten STI, ST2 das Relais RL nur dann anzieht, wenn z.B. an beiden Ausgängen A2, A'2 log. « 1 »-Signal auftritt. Das Relais fällt ab, wenn an einem dieser beiden Aus-50 gänge «0»-Signal auftritt. Eine solche Betriebsweise wird man nur dann wählen, wenn die gesteuerte Anlage bei angezogenem Relais in einen gefährlichen Zustand gelangen kann, ein abgefallenes Relais dagegen die Anlage in einen sicheren Zustand bringt. Dementsprechend wird man ent-55 sprechende Ausgänge der beiden Teilanordnungen so verknüpfen, dass bei einer Antivalenz der Ausgangssignale, d.h. bei einer Störung einer Teilanordnung, die Anlage in den sicheren Zustand gesteuert wird. Fällt eine Teilanordnung aus, so kann Vorsorge dafür getroffen werden, dass die 60 Anlage mit der anderen Teilanordnung weiterbetrieben oder zumindest in den sicheren Zustand gebracht werden kann. So that the input signals are processed redundantly, 40 the same signals are fed to the inputs E3, E'3 and E4, E'4. If necessary, synchronization measures must be taken to query and transmit the input signals via the bus lines. Under this condition, in the case of trouble-free operation, corresponding signals are output at the outputs 4s A2, A'2 of the output units AE1, AE2, so that with a suitable design of the control units STI, ST2, the relay RL only picks up when e.g. at both outputs A2, A'2 log. "1" signal occurs. The relay drops out if a «0» signal occurs on one of these two outputs. Such a mode of operation will only be selected if the controlled system can get into a dangerous state when the relay is activated, whereas a dropped relay brings the system into a safe state. Accordingly, corresponding outputs of the two sub-arrangements will be linked in such a way that if the output signals are non-equivalent, i. in the event of a fault in a sub-arrangement, the system is controlled in the safe state. If one sub-arrangement fails, precautions can be taken to ensure that the system can continue to be operated with the other sub-arrangement or at least be brought into a safe state.

Weniger wichtige Daten werden jeweils nur einem Eingang El, E2, E'l zugeführt und nur von der Teilanordnung Kl bzw. K2 bearbeitet. Ebenso können über die Ausgänge AI, 65 A' 1 Daten nicht redundant ausgegeben werden. In diesen Fällen treten auf den Peripherie-Busleitungen PB1, PB2 auch bei ordnungsgemässem Betrieb unterschiedliche Signale auf. Eine andere Betriebsart besteht darin, dass Eingangssi Less important data are only supplied to one input E1, E2, E'l and only processed by the sub-arrangement K1 or K2. Likewise, data cannot be output redundantly via the outputs AI, 65 A '1. In these cases, different signals appear on the peripheral bus lines PB1, PB2 even when operating correctly. Another operating mode is that input si

654425 654425

gnale nicht-redundant nur einer Eingabeeinheit EE1, EE2 zugeführt werden, dass aber die auf die Abfrage dieser Eingabeeinheit auf die zugehörige Peripherie-Busleitung geschalteten Signale mittels eines Koppelverstärkers KV1, KV2 auf die jeweils andere Busleitung gegeben werden, so dass auf beiden Busleitungen gleiche Signale liegen. Die Koppelverstärker sind ein- und ausschaltbar und erhalten von der zugehörigen Eingabeeinheit, die einen Adressendecodierer enthält, dann ein Freigabesignal, wenn das von einem Eingang abgefragte Signal beiden Zentraleinheiten ZE1, ZE2 zugeführt werden soll. Entsprechend kann verfahren werden, wenn ein Eingangssignal redundant zwei einander entsprechenden Eingabeeinheiten, z.B. den Eingängen E3, E'3 der Eingabeeinheiten EE1, EE2 zugeführt wird, indem in zwei Schritten, die nicht unbedingt aufeinanderfolgen müssen, zunächst der Eingang E3 der Eingabeeinheit EE1 und dann der Eingang E'3 der Eingabeeinheit EE2 abgefragt wird. Bei ungestörtem Betrieb werden dann auf jeder Peripherie-Bus-leitungzwei übereinstimmende Signalkombinationen übertragen. Im Falle einer Störung eines Koppelverstärkers oder einer Peripherie-Busleitung sind jedoch die über die Busleitungen gleichzeitig übertragenen Signalkombinationen unterschiedlich, im Falle einer Störung einer Eingabeeinheit die auf den Busleitungen nacheinander übertragenen Signalkombinationen. Im letzteren Falle werden die Zentraleinheiten ZE1, ZE2 unterschiedlich reagieren, so dass deren Ausgangssignale voneinander abweichen. signals are supplied non-redundantly to only one input unit EE1, EE2, but that the signals switched to the query of this input unit on the associated peripheral bus line are given to the other bus line by means of a coupling amplifier KV1, KV2, so that the same signals are present on both bus lines lie. The coupling amplifiers can be switched on and off and receive an enable signal from the associated input unit, which contains an address decoder, when the signal queried by an input is to be supplied to both central units ZE1, ZE2. A corresponding procedure can be followed if an input signal is redundant to two corresponding input units, e.g. the inputs E3, E'3 of the input units EE1, EE2 is supplied by first querying the input E3 of the input unit EE1 and then the input E'3 of the input unit EE2 in two steps, which do not necessarily have to follow one another. With undisturbed operation, two matching signal combinations are then transmitted on each peripheral bus line. In the event of a fault in a coupling amplifier or a peripheral bus line, however, the signal combinations transmitted simultaneously via the bus lines are different, and in the event of a fault in an input unit, the signal combinations successively transmitted on the bus lines. In the latter case, the central units ZE1, ZE2 react differently, so that their output signals differ from one another.

Ähnlich wie die Eingangssignale können auch über die Ausgänge Al, A2... A' 1, A'2 Ausgangssignale seriell abgegeben werden, indem einander entsprechenden Ausgängen, z.B. den Ausgängen A2, A'2, unterschiedliche Adressen zugeordnet sind. In einem ersten Schritt geben die Zentraleinheiten ZE1, ZE2 einen Befehl zur Steuerung des Relais RL mit der Adresse des Ausganges A2 ab und in einem zweiten Schritt, der nicht unmittelbar auf den ersten Schritt folgen muss, denselben Befehl mit der Adresse des Ausganges A'2. Nach dem ersten Schritt erscheint am Ausgang A2 ein Steuersignal und nach dem zweiten Schritt am Ausgang A'2. Da die Ausgangssignale nach einer UND-Funktion verknüpft sind, wird das Relais RL erst nach dem zweiten Schritt angesteuert. Bei jedem Schritt werden über die Peripherie-Busleitungen gleiche Signalkombinationen übertragen. Similar to the input signals, output signals can also be output serially via the outputs A1, A2 ... A '1, A'2, by corresponding outputs, e.g. the outputs A2, A'2 are assigned different addresses. In a first step, the central units ZE1, ZE2 issue a command to control the relay RL with the address of the output A2 and in a second step, which does not have to immediately follow the first step, the same command with the address of the output A'2 . After the first step, a control signal appears at output A2 and after the second step at output A'2. Since the output signals are linked by an AND function, the relay RL is only activated after the second step. At every step, the same signal combinations are transmitted via the peripheral bus lines.

Bei dem Normalfall des redundanten Betriebs stehen auf sich entsprechenden Signalleitungen der Busleitungen PB1, PB2 immer gleiche Signale an. Zur Überwachung dieser Äquivalenz ist eine Vergleichseinrichtung VGL vorgesehen. In the normal case of redundant operation, the same signals are always present on corresponding signal lines of the bus lines PB1, PB2. A comparison device VGL is provided to monitor this equivalence.

Die Vergleichsergebnisse werden in einem Fehlersignalspeicher, der in der Vergleichseinrichtung enthalten ist, gespeichert. Dieser wird von den Zentraleinheiten ZE1, ZE2 in gleicher Weise wie die anderen peripheren Einheiten ASI, AS2; AE1, AE2;... abgefragt und der Inhalt ausgewertet. Damit ist die Reaktion der Zentraleinheiten auf von der Vergleichseinrichtung gemeldete Fehlersignale programmierbar, d.h. es kann je nach den Erfordernissen in kürzeren oder längeren Abständen in bestimmten Programmphasen die Vergleichseinrichtung abgefragt werden. Bei nicht-redundantem Betrieb erfolgt keine Abfragung. The comparison results are stored in an error signal memory, which is contained in the comparison device. This is done by the central units ZE1, ZE2 in the same way as the other peripheral units ASI, AS2; AE1, AE2; ... queried and the content evaluated. The response of the central units to error signals reported by the comparison device is thus programmable, i.e. depending on the requirements, the comparison device can be queried at shorter or longer intervals in certain program phases. In the case of non-redundant operation, no polling takes place.

Die Vergleichseinrichtung nach Figur 2 enthält als Vergleichsschaltungen Antivalenzglieder AK1... AKn. Die Adern der Peripherie-Busleitungen PB 1, über welche Daten übertragen werden, sind über Leitungen DAI... DAn und steuerbare In verter IVI... IVn mit den einen Eingängen der Antivalenzglieder AK1... AKn verbunden. Deren andere Eingänge sind über Leitungen DA' 1... DA'n jeweils an die entsprechenden Adern der Busleitung PB2 der zweiten Teilanordnung K2 angeschlossen. Den Invertenti IVI... IVn werden von einem weiter unten erläuterten Testsignalspeicher, bestehend aus Kippstufen TS1... TSn, log. The comparison device according to FIG. 2 contains antivalence elements AK1 ... AKn as comparison circuits. The wires of the peripheral bus lines PB 1, via which data are transmitted, are connected via lines DAI ... DAn and controllable inverters IVI ... IVn to the one inputs of the antivalence elements AK1 ... AKn. Their other inputs are connected via lines DA '1 ... DA'n to the corresponding wires of the bus line PB2 of the second sub-arrangement K2. The Invertenti IVI ... IVn are from a test signal memory explained below, consisting of flip-flops TS1 ... TSn, log.

«0»-Signale zugeführt, so dass sie die Signale von den Leitungen DAI... DAn unverändert zu den Antivalenzgliedern AK1... AKn durchschalten. An diese ist ein Fehlersignalspeicher mit den Kippstufen FS1... FSn angeschlossen, und s zwar werden im Ausführungsbeispiel die Ausgangssignale der Antivalenzglieder den Vorbereitungseingängen J zugeführt. Die Taktimpulse für die Kippstufen FS1... FSn sind von den Steuersignalen «Schreiben» und «Lesen» abgeleitet, die über die Busleitung PB 1 zu den peripheren Einheiten io übertragen werden. Hierzu sind diese über Leitungen DS, DL einem UND-Glied OR mit ODER-Funktion zugeführt, an dessen Ausgängen die Takteingänge der Kippstufen FS1... FSn angeschlossen sind. Mit der positiven Flanke der Lese-und Schreibimpulse werden daher die Ausgangssignale der 15 Antivalenzglieder AK1... AKn in die Kippstufen FS1... FSn übernommen, wobei die Ausgangssignale log. «0» sind, wenn die Signale auf den Busleitungen PB1, PB2 übereinstimmen. Im Falle einer Antivalenz ist das Ausgangssignal des die Antivalenz feststellenden Antivalenzgliedes log. « 1 ». 20 In Figur 3 ist die Ansteuerung des Fehlersignalspeichers veranschaulicht. In einem Diagramm da sind zwei Daten DTA1, DTA2 eingetragen, welche über die Busleitungen PB1, PB2 übertragen werden. Das Datum DTA2 soll in eine periphere Einheit übernommen und das Datum DTA' 1 von 25 einer peripheren Einheit über die Busleitungen in die Zentraleinheiten ZE1, ZE2 eingelesen werden. Die Übernahme des Datums DTA2 ist durch die Rückflanke eines Schreibimpulses bestimmt, der in einem Diagramm ds dargestellt ist. Der Zeitpunkt der Übernahme des Datums DTA1 in die Zen-30 traleinheiten ZE1, ZE2 ist durch die Rückflanke eines in einem Diagramm dl dargestellten Leseimpulses bestimmt. Da die Schreib- und Leseimpulse nach einer ODER-Funktion verknüpft werden, gelangt an die Takteingänge des Fehlersignalspeichers FS1... FSn eine Impulsfolge or, die je über-35 tragenem Datum DTA1, DTA2 eine positive Flanke aufweist, d.h. es wird bei jeder Gültigerklärung der übertragenen Daten ein Vergleich durchgeführt und das Vergleichsergebnis in den Fehlersignalspeicher eingetragen. Stimmen z.B. die Signale, die dem Antivalenzglied AK1 zugeführt sind, 40 überein, so bleibt die Kippstufe FS I im in Figur 2 eingezeichneten Zustand, und die Anzeigelampe ALI bleibt dunkel. Besteht dagegen eine Antivalenz der beiden Signale, so wird die Kippstufe FS1 gesetzt, und die Anzeigelampe ALI leuchtet auf. "0" signals are supplied so that they pass through the signals from lines DAI ... DAn unchanged to the antivalence elements AK1 ... AKn. An error signal memory with flip-flops FS1 ... FSn is connected to this, and in the exemplary embodiment the output signals of the antivalence elements are supplied to the preparation inputs J. The clock pulses for the flip-flops FS1 ... FSn are derived from the control signals “write” and “read”, which are transmitted via the bus line PB 1 to the peripheral units io. For this purpose, these are fed via lines DS, DL to an AND gate OR with OR function, to the outputs of which the clock inputs of flip-flops FS1 ... FSn are connected. With the positive edge of the read and write pulses, the output signals of the 15 antivalence elements AK1 ... AKn are therefore taken over into flip-flops FS1 ... FSn, the output signals being log. Are "0" if the signals on the bus lines PB1, PB2 match. In the case of an antivalence, the output signal of the antivalence element determining the antivalence is log. " 1 ". The control of the error signal memory is illustrated in FIG. Two data DTA1, DTA2 are entered in a diagram and are transmitted via the bus lines PB1, PB2. The date DTA2 is to be adopted in a peripheral unit and the date DTA '1 is read from a peripheral unit via the bus lines into the central units ZE1, ZE2. The adoption of the data DTA2 is determined by the trailing edge of a write pulse, which is shown in a diagram ds. The point in time at which the date DTA1 is adopted in the central units ZE1, ZE2 is determined by the trailing edge of a read pulse shown in a diagram d1. Since the write and read pulses are linked according to an OR function, a pulse sequence or, which has a positive edge for each transmitted data DTA1, DTA2, arrives at the clock inputs of the error signal memory FS1 ... FSn. a comparison is carried out for each validation of the transmitted data and the comparison result is entered in the error signal memory. Voices e.g. If the signals which are fed to the antivalence element AK1 match 40, the flip-flop FS I remains in the state shown in FIG. 2 and the indicator lamp ALI remains dark. If there is an antivalence between the two signals, flip-flop FS1 is set and the indicator lamp ALI lights up.

45 Zur Verbesserung der Störsicherheit werden häufig Signale bei zweikanaliger Übertragung nicht, wie in der bisherigen Beschreibung vorausgesetzt, äquivalent, sondern antivalent übertragen. Ein in die beiden Leitungen eingestreuter Störimpuls erscheint dann im Gegensatz zu den Nutzimpulsen als so äquivalentes Signal und kann erkannt werden. Für diese Übertragungsart kann die Vergleichseinrichtung nach Figur 2 ohne Änderung eingesetzt werden, indem die Inverter IVI ... IVn von denKippstufen TS1... TSn des Testsignalspeichers nicht «0»-, sondern « 1 »-Signal erhalten, also an den 55 anderen Ausgang der Kippstufen angeschlossen sind. 45 In order to improve interference immunity, signals are often transmitted in two-channel transmission rather than equivalent, as previously assumed, in the previous description. An interference pulse interspersed in the two lines then appears in contrast to the useful pulses as an equivalent signal and can be recognized. For this type of transmission, the comparison device according to FIG. 2 can be used without change, in that the inverters IVI ... IVn from the flip-flops TS1 ... TSn of the test signal memory do not receive a "0" but a "1" signal, that is to say to the 55 others Output of the flip-flops are connected.

Zum Abrufen des Inhalts des Fehlersignalspeichers FS1... FSn geben die Zentraleinheiten über die peripheren Busleitungen PB1, PB2 Adressen und Leseimpulse aus, welche von mit den Adressenleitungen der Busleitungen PB1, PB2 ver-60 bundenen Adressdecodierern LDC, LDC' decodiert und als Freigabesignale Ausgabeverstärkern AVI... AVn bzw: AV' 1 ... AV'n zugeführt werden, so dass diese die von den Kippstufen FS1... FSn erhaltenen Signale auf die beiden Busleitungen PB1, PB2 schalten. Vorteilhaft sind die Ausgabever-65 stärker invertierend. Im Ausführungsbeispiel ist angenommen, dass nur die Daten überprüft werden, was in vielen Fällen genügt. Sollen auch die Adressen und Steuersignale überprüft werden, dann müssen die Inverter, der Testsignal- To call up the content of the error signal memory FS1 ... FSn, the central units output via the peripheral bus lines PB1, PB2 addresses and read pulses which are decoded by address decoders LDC, LDC 'connected to the address lines of the bus lines PB1, PB2 and output amplifiers as release signals AVI ... AVn or: AV '1 ... AV'n are supplied so that they switch the signals received from the flip-flops FS1 ... FSn on the two bus lines PB1, PB2. The output converters 65 are advantageously more inverting. In the exemplary embodiment, it is assumed that only the data are checked, which is sufficient in many cases. If the addresses and control signals are also to be checked, then the inverters, the test signal

654425 654425

und der Fehlersignalspeicher entsprechend erweitert und die Fehlersignale zeitmultiplex zu den Zentraleinheiten übertragen werden. Ebenso wie die Adresse für die Decodierer LDC, LDC wird auch das Abfrageergebnis des Fehlersignalspeichers zweifach redundant übertragen, damit ein Fehler in den für die Übertragung verantwortlichen Komponenten erkannt werden kann. and the error signal memory is expanded accordingly and the error signals are transmitted time-multiplexed to the central units. Just like the address for the decoders LDC, LDC, the query result of the error signal memory is also transmitted twice redundantly, so that an error can be identified in the components responsible for the transmission.

Die Überwachung der Schreib- und Leseimpulse kann dadurch verbessert werden, dass diese Impulse nicht über zwei der Leitungen DAI... DAn bzw. DA'... DA'n geführt werden, sondern dass die Schreib- und Leseimpulse von der peripheren Busleitung PB 1, PB2 jeweils auf ein dem ODER-Glied OR entsprechendes ODER-Glied geführt sind und dass an jedes ODER-Glied der Takteingang einer bistabilen Kippstufe angeschlossen ist. Die beiden Kippstufen werden dann bei ungestörtem Betrieb synchron geschaltet. Je nach Ausgangszustand, der bei Einschalten der Vergleichseinrichtung gewählt werden kann, sind die Ausgangssignale der Kippstufen stets äquivalent oder antivalent. Durch Überprüfen der Schaltzustände dieser Kippstufen mit einer zusätzlichen Vergleicherstufe können daher die Schreib- und Leseimpulse überwacht werden. The monitoring of the write and read pulses can be improved in that these pulses are not carried over two of the lines DAI ... DAn or DA '... DA'n, but that the write and read pulses from the peripheral bus line PB 1, PB2 are each guided to an OR gate corresponding to the OR gate OR and that the clock input of a bistable multivibrator is connected to each OR gate. The two flip-flops are then switched synchronously in the case of undisturbed operation. Depending on the initial state that can be selected when the comparison device is switched on, the output signals of the flip-flops are always equivalent or antivalent. By checking the switching states of these flip-flops with an additional comparator stage, the write and read pulses can therefore be monitored.

Es wird vorausgesetzt, dass der Testsignalspeicher TS 1... TSn den Invertern IVI... IVn «0»-Signal zuführt, damit die auf den Leitungen DAI... DAn liegenden Signale unverändert zu den Antivalenzgliedern AK1... AKn gelangen. Der Testsignalspeicher ist von einem Testsignaldecodierer TDC angesteuert, dem, wenn die Vergleichseinrichtung getestet werden soll, von der Zentraleinheit ZE1 der ersten Teilanordnung Adressen und Daten und ausserdem über die Leitung DS ein Schreibsignal zugeführt werden. Jeweils eine oder mehrere der Kippstufen TS1... TSn des Testsignalspeichers werden dadurch in einen Schaltzustand gebracht, bei dem den diesen nachgeschalteten Invertern IVI... IVn log. « 1 »-Signal zugeführt wird, so dass die Signale von den Leitungen DAI... DAn invertiert werden und, wenn, wie es bei ungestörtem Betrieb der Fall ist, auf den Busleitungen PB1, PB2 gleiche Signalkombinationen liegen, die Antivalenzbedingungen an den Eingängen derjenigen Antivalenzglieder AK1... AKn erfüllt ist, welche durch die dem Testsignaldecodierer TDC zugeführten Daten ausgewählt sind. Es werden daher, wieder unter der Voraussetzung des fehlerfreien Betriebs, die zugehörigen Kippstufen FS1... FSn des Fehlersignalspeichers gesetzt, von den invertierenden Ausgabeverstärkern AVI... AVn bzw. AV'... AV'n log. «0»-Signale auf die Busleitungen PB1, PB2 geschaltet und von den Zentraleinheiten der beiden Teilsysteme empfangen. Liegt irgend ein Fehler im Vergleicher vor, empfängt eine oder beide Zentraleinheiten über eine Ader, auf der bei Fehlerfreiheit ein log. «0»-Signal auftreten sollte, log. «1 »-Signal, und der Fehler ist erkannt. Der Test wird durch Zurücksetzen des Testsignalspeichers beendet, wozu die Zentraleinheit ZE1 der ersten Teilanordnung wiederum den Testdecodierer TDC mit den Adressen der zurückzusetzenden Kippstufen des Testsignalspeichers ansteuert. Die Testsignale werden von Differenziergliedern Rl, Cl;... Rn, Cn differenziert und auf die Rücksetzeingänge der Kippstufen FS1... FSn gegeben, s derart, dass mit der Rückflanke der Testimpulse die Kippstufen in den Fehlerfreiheit anzeigenden Zustand geschaltet werden. Im allgemeinen wird die Vergleichseinrichtung in mehreren Schritten getestet, wobei die Kombination der gesetzten Kippstufen TS1... TSn des Testsignalspeichers io von Schritt zu Schritt geändert wird, bis alle für die Fehlererkennung notwendigen Kombinationen geprüft sind. Der Testsignal-Adressendecodierer ist nur mit der Busleitung PB1 verbunden, da ein etwaiger Decodierfehler beim Auswerten der Testergebnisse erkennbar ist. Selbstverständlich kann i5 auch ein zweiter Testsignal-Adressendecodierer vorgesehen werden, der an die zweite Busleitung PB2 angeschlossen ist und dessen Ausgangssignal mit dem des ersten verknüpft wird. It is assumed that the test signal memory TS 1 ... TSn supplies the inverters IVI ... IVn with a "0" signal so that the signals on the lines DAI ... DAn reach the antivalence elements AK1 ... AKn unchanged. The test signal memory is controlled by a test signal decoder TDC, which, if the comparison device is to be tested, is supplied with addresses and data by the central unit ZE1 of the first sub-arrangement and, in addition, a write signal is supplied via the line DS. In each case one or more of the flip-flops TS1 ... TSn of the test signal memory are brought into a switching state in which the inverters IVI ... IVn log connected downstream thereof. “1” signal is supplied so that the signals from the lines DAI ... DAn are inverted and, as is the case with undisturbed operation, the same signal combinations are on the bus lines PB1, PB2, the antivalence conditions at the inputs of the antivalence elements AK1 ... AKn is fulfilled which are selected by the data supplied to the test signal decoder TDC. Therefore, under the condition of error-free operation, the associated flip-flops FS1 ... FSn of the error signal memory are set by the inverting output amplifiers AVI ... AVn or AV '... AV'n log. “0” signals are switched on the bus lines PB1, PB2 and received by the central units of the two subsystems. If there is any error in the comparator, one or both central units receive via one wire, on which a log is made if there are no errors. "0" signal should occur, log. "1" signal and the error is recognized. The test is ended by resetting the test signal memory, for which purpose the central unit ZE1 of the first sub-arrangement in turn controls the test decoder TDC with the addresses of the flip-flops of the test signal memory to be reset. The test signals are differentiated by differentiators Rl, Cl; ... Rn, Cn and applied to the reset inputs of flip-flops FS1 ... FSn, s in such a way that the flip-flops are switched to the error-free state with the trailing edge of the test pulses. In general, the comparison device is tested in several steps, the combination of the flip-flops TS1 ... TSn of the test signal memory io being changed from step to step until all the combinations necessary for error detection have been checked. The test signal address decoder is only connected to the bus line PB1, since a possible decoding error can be recognized when evaluating the test results. Of course, a second test signal address decoder can also be provided, which is connected to the second bus line PB2 and whose output signal is linked to that of the first.

Für das Auswerten der Vergleichsergebnisse und für das 20 vollständige Testen der Vergleichseinrichtung sind nur wenige Schreib-, Lese- und Vergleichsoperationen notwendig. Die für die Fehlererkennung notwendigen Programme laufen synchron in beiden Zentraleinheiten ab, Only a few write, read and comparison operations are necessary for evaluating the comparison results and for completely testing the comparison device. The programs required for error detection run synchronously in both central units,

wobei die richtige Bearbeitung wiederum von der Vergleichs-25 einrichtung überwacht wird. Dadurch ergibt sich eine in sich geschlossene Prüfkette, bei der die Fehlererkennungszeit und die Reaktion auf falsche Vergleichs- und Testergebnisse programmierbar ist. Neben der Anzeige der Fehlerart und des Zeitpunktes des Fehlereintritts, z.B. Programmspeicher-30 adresse, können Fehlermeldungen zweikanalig und damit fehlersicher über die beiden Teilanordnungen und daran angeschlossene periphere Einheiten ausgegeben werden. the correct processing is in turn monitored by the comparison device. This results in a self-contained test chain, in which the error detection time and the response to incorrect comparison and test results can be programmed. In addition to displaying the type of error and the time when the error occurred, e.g. Program memory address, error messages can be output in two channels and thus fail-safe via the two sub-assemblies and the peripheral units connected to them.

Die Vergleichseinrichtung ist nicht-redundant aufgebaut, trotzdem arbeitet sie weitgehend fehlersicher. Um die Verfüg-35 barkeit und die Fehlersicherheit der Vergleichseinrichtung zu erhöhen, kann eine zweite Vergleichseinrichtung VGL' The comparison device has a non-redundant structure, but it still works largely fail-safe. In order to increase the availability and the reliability of the comparison device, a second comparison device VGL '

(Figur 1) vorgesehen werden, die zweckmässig derart geschaltet ist, dass die Inverter und der Testsignal-Adressendecodierer an die Busleitung PB2 angeschlossen sind. 4o In der Praxis wird man die Vergleichseinrichtung zur Entlastung der Zentraleinheiten so betreiben, dass zunächst innerhalb einer kurzen Testphase alle Schaltungskomponenten der Vergleichseinrichtung geprüft werden. Anschliessend folgt eine relativ lange Vergleichsphase zur Überwa-45 chung der redundanten Steueranordnung. Da alle Fehler in der Vergleichseinrichtung gespeichert werden, genügt es, wenn die Vergleichsergebnisse einmal am Ende der Vergleichsphase abgefragt werden. Die Fehlererkennungszeit kann verkleinert werden, indem man innerhalb der Verso gleichsphase die Abfragen mehrmals durchführt oder indem man die Vergleichseinrichtung so modifiziert, dass eine gesetzte Kippstufe des Fehlersignalspeichers eine Programmunterbrechung auslöst. (Figure 1) are provided, which is expediently connected such that the inverters and the test signal address decoder are connected to the bus line PB2. 4o In practice, the comparison device for relieving the load on the central units will be operated in such a way that all circuit components of the comparison device are first checked within a short test phase. This is followed by a relatively long comparison phase for monitoring the redundant control arrangement. Since all errors are stored in the comparison device, it is sufficient if the comparison results are queried once at the end of the comparison phase. The error detection time can be reduced by carrying out the queries several times within the reverse phase or by modifying the comparison device in such a way that a flip-flop of the error signal memory triggers a program interruption.

B B

3 Blatt Zeichnungen 3 sheets of drawings

Claims (7)

654425 PATENTANSPRÜCHE654425 PATENT CLAIMS 1. Redundante Steueranordnung mit mehreren parallel arbeitenden, gleiche Daten nach übereinstimmenden Programmen verarbeitenden Teilanordnungen, die je eine Zentraleinheit, Speicher sowie Ein-/Ausgabeeinheiten enthalten, und mit mindestens einer Vergleichseinrichtung, welche die in den Teilanordnungen auftretenden Signale vergleicht und bei Ungleichheit ein Fehlersignal abgibt, dadurch gekennzeichnet, dass die Vergleichseinrichtung einen Fehlersignalspeicher (FS 1... FSn) enthält, dessen Inhalt von den Zentraleinheiten (ZE1, ZE2) wahlweise abrufbar ist. 1.Redundant control arrangement with a plurality of sub-assemblies working in parallel and processing the same data according to corresponding programs, each containing a central unit, memory and input / output units, and with at least one comparison device which compares the signals occurring in the sub-assemblies and emits an error signal if they are not identical , characterized in that the comparison device contains an error signal memory (FS 1 ... FSn), the content of which can optionally be called up by the central units (ZE1, ZE2). 2. Steueranordnung nach Anspruch 1, dadurch gekennzeichnet, dass je Teilanordnung eine Daten, Adressen und Steuersignale übertragende Peripherie-Busleitung (PB1, PB2) vorhanden ist, an welche die Zentraleinheit (ZE1; ZE2) und die peripheren Einheiten (ZZI, ASI, AE1, EE1; ZZ2, AS2, AE2, EE2) angeschlossen sind und dass die Vergleichseinrichtung (VGL) Signale auf den Peripherie-Busleitungen miteinander vergleicht. 2. Control arrangement according to claim 1, characterized in that for each sub-arrangement there is a peripheral bus line (PB1, PB2) transmitting data, addresses and control signals, to which the central unit (ZE1; ZE2) and the peripheral units (ZZI, ASI, AE1 , EE1; ZZ2, AS2, AE2, EE2) are connected and that the comparison device (VGL) compares signals on the peripheral bus lines with each other. 3. Steueranordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Vergleichseinrichtung mindestens ein Antivalenzglied (AK1... AKn) enthält, an das der Fehlersignalspeicher (FS1... FSn) angeschlossen ist, dessen Ausgang auf die Eingänge von je einer Teilanordnung zugeordneten, schaltbaren Ausgabeverstärkern (AVI, AV' 1;... AVn, AV'n) geführt ist, welche von Adressendecodierern (LDC, LDO) gesteuert sind, die an die Peripherie-Busleitungen (PB1, PB2) angeschlossen sind. 3. Control arrangement according to claim 1 or 2, characterized in that the comparison device contains at least one antivalence element (AK1 ... AKn), to which the error signal memory (FS1 ... FSn) is connected, the output of which is connected to the inputs of a partial arrangement assigned, switchable output amplifiers (AVI, AV '1; ... AVn, AV'n), which are controlled by address decoders (LDC, LDO), which are connected to the peripheral bus lines (PB1, PB2). 4. Steueranordnung nach Anspruch 3, dadurch gekennzeichnet, dass dem einen Eingang des Antivalenzgliedes (AK1... AKn) ein ein- und ausschaltbarer Inverter (IVI... IVn) vorgeschaltet ist, der von einem Testsignal umschaltbar ist, das aus dem Ausgangssignal eines mit der Peripherie-Busleitung (PB 1) einer Teilanordnung verbundenen Testsignal-Adressdecodierers (TDC) abgeleitet ist. 4. Control arrangement according to claim 3, characterized in that the one input of the antivalence element (AK1 ... AKn) is preceded by an inverter (IVI ... IVn) which can be switched on and off and which can be switched over by a test signal which results from the output signal a test signal address decoder (TDC) connected to the peripheral bus line (PB 1) of a sub-arrangement is derived. 5. Steueranordnung nach Anspruch 4, dadurch gekennzeichnet, dass an den Testsignal-Adressdecodierer (TDC) ein den Inverter (IVI... IVn) steuernder Testsignalspeicher (TS1 ... TSn) angeschlossen ist. 5. Control arrangement according to claim 4, characterized in that a test signal memory (TS1 ... TSn) controlling the inverter (IVI ... IVn) is connected to the test signal address decoder (TDC). 6. Steueranordnung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass der Rücksetzeingang des Fehlersignalspeichers (FS1... FSn) mit dem Testsignal derart angesteuert ist, dass er mit der Rückflanke des Testsignals gelöscht wird. 6. Control arrangement according to claim 4 or 5, characterized in that the reset input of the error signal memory (FS1 ... FSn) is controlled with the test signal such that it is erased with the trailing edge of the test signal. 7. Steueranordnung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass zwei Teilanordnungen (Kl, K2) vorhanden sind, dass jede Teilanordnung eine periphere Ausgabeeinheit (AE1, AE2) und eine periphere Eingabeeinheit (EE1, EE2) aufweist und dass einander entsprechende Ausgänge (Al, A' 1) der peripheren Ausgabeeinheiten (AE1, AE2) auf einander entsprechende Eingänge (E'5, E5) der peripheren Eingabeeinheiten (EE2, EE1) der jeweils anderen Teilanordnung rückgeführt sind. 7. Control arrangement according to one of claims 1 to 6, characterized in that two sub-arrangements (Kl, K2) are present, that each sub-arrangement has a peripheral output unit (AE1, AE2) and a peripheral input unit (EE1, EE2) and that each other Outputs (Al, A '1) of the peripheral output units (AE1, AE2) are fed back to corresponding inputs (E'5, E5) of the peripheral input units (EE2, EE1) of the other sub-arrangement.
CH387681A 1980-06-27 1981-06-12 Redundant control arrangement CH654425A5 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19803024370 DE3024370C2 (en) 1980-06-27 1980-06-27 Redundant tax system

Publications (1)

Publication Number Publication Date
CH654425A5 true CH654425A5 (en) 1986-02-14

Family

ID=6105762

Family Applications (1)

Application Number Title Priority Date Filing Date
CH387681A CH654425A5 (en) 1980-06-27 1981-06-12 Redundant control arrangement

Country Status (3)

Country Link
AT (1) AT385364B (en)
CH (1) CH654425A5 (en)
DE (1) DE3024370C2 (en)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0231452B2 (en) * 1982-01-29 2002-01-16 Pitney Bowes Inc. Microprocessor systems for electronic postage arrangements
US4566106A (en) * 1982-01-29 1986-01-21 Pitney Bowes Inc. Electronic postage meter having redundant memory
US5109507A (en) * 1982-01-29 1992-04-28 Pitney Bowes Inc. Electronic postage meter having redundant memory
US4916623A (en) * 1982-01-29 1990-04-10 Pitney Bowes Inc. Electronic postage meter having redundant memory
CA1206619A (en) * 1982-01-29 1986-06-24 Frank T. Check, Jr. Electronic postage meter having redundant memory
DE3225455C2 (en) * 1982-07-07 1986-07-17 Siemens AG, 1000 Berlin und 8000 München Method for the safe operation of a redundant control system
US4665522A (en) * 1985-01-28 1987-05-12 The Charles Stark Draper Laboratory, Inc. Multi-channel redundant processing systems
DE3819994A1 (en) * 1988-06-11 1989-12-14 Dirar Najib Circuit arrangement for the monitoring of at least one parameter of an operating means
DE4009521B4 (en) * 1989-06-29 2007-03-15 Linde Ag Method for two-channel secure control of a process
DE4341082A1 (en) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Circuit arrangement for safety-critical control systems
DE19508841C2 (en) * 1994-11-18 2002-03-28 Leuze Electronic Gmbh & Co Safety switch arrangement
DE4441070C2 (en) * 1994-11-18 1997-12-11 Leuze Electronic Gmbh & Co Safety switch arrangement
EP0775332B1 (en) * 1995-03-11 2000-05-10 Leuze electronic GmbH + Co. Safety switch arrangement
DE19529434B4 (en) 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprocessor system for safety-critical regulations
DE19716197A1 (en) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Microprocessor system for safety-critical regulations
DE19717686A1 (en) 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Circuit arrangement for a motor vehicle control system
DE19800311A1 (en) 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Electronic, digital device
DE19801137A1 (en) * 1998-01-14 1999-07-22 Siemens Ag Automation system operating method e.g. for rapid shut-down of automated processes in emergency
DE19802728A1 (en) 1998-01-24 1999-07-29 Heidenhain Gmbh Dr Johannes Machine parameter monitoring method for machine tool numerical control

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2108496C3 (en) * 1971-02-23 1978-12-14 Standard Elektrik Lorenz Ag, 7000 Stuttgart Circuit arrangement for the continuous functional control of the information processing and the output of data telegrams, in particular for process computer-controlled railway signal systems
US4049957A (en) * 1971-06-23 1977-09-20 Hitachi, Ltd. Dual computer system
DE2647367C3 (en) * 1976-10-20 1982-12-09 Siemens AG, 1000 Berlin und 8000 München Redundant process control arrangement
DE2931280A1 (en) * 1979-08-01 1981-02-19 Siemens Ag Control circuit including several processors - establishes synchronisation by using coincidence elements and comparators

Also Published As

Publication number Publication date
DE3024370A1 (en) 1982-01-28
DE3024370C2 (en) 1987-01-02
ATA283081A (en) 1987-08-15
AT385364B (en) 1988-03-25

Similar Documents

Publication Publication Date Title
CH654425A5 (en) Redundant control arrangement
DE3687777T2 (en) METHOD AND DEVICE FOR SECURING A DATA TRANSFER SYSTEM.
DE3225455C2 (en) Method for the safe operation of a redundant control system
DE2735397C2 (en) Monitoring device for a program-controlled machine
EP0186724B1 (en) Test and diagnostic device for a digital calculator
EP0742502A2 (en) Device for checking an actual value in relation to values of a tolerance window
DE3700986A1 (en) DEVICE FOR MONITORING A COMPUTER SYSTEM WITH TWO PROCESSORS IN A MOTOR VEHICLE
DE2258917B2 (en) CONTROL DEVICE WITH AT LEAST TWO PARALLEL SIGNAL CHANNELS
DE2225841B2 (en) Method and arrangement for systematic error checking of a monolithic semiconductor memory
DE2461592C3 (en) Arrangement for performing maintenance operations on a data processing system
EP1246033A1 (en) Method for monitoring consistent memory contents in a redundant system
DE19847986C2 (en) Single processor system
DE3317642C2 (en)
DE19814096B4 (en) Method for switching over redundantly connected, similar modules
EP0009600B1 (en) Method and interface device for carrying out maintenance operations over an interface between a maintenance processor and a plurality of individually testable functional units of a data processing system
DE2647367B2 (en) Redundant process control arrangement
DE3726489C2 (en) Device for monitoring a computer system with two processors in a motor vehicle
DE3005872A1 (en) Test unit for input and output stages of programmed control - includes threshold switching stage with filter and address coder switchable to reference
EP0864875B1 (en) Method for testing a safety circuit
EP0090162B1 (en) Two-channels fail-safe microcomputer switching network, in particular for railway security systems
DE3824934A1 (en) CHIP IN INTEGRATED CIRCUIT TECHNOLOGY AND METHOD AND DEVICE FOR THEIR TESTING
EP0281890B1 (en) Security circuit device with a plurality of microcomputers processing the same data
EP0246556B1 (en) Circuit for monitoring a control unit
DE19805819B4 (en) Method for monitoring integrated circuits
EP1019824B1 (en) Method for generating an error identification signal in the data inventory of a memory, and device designed for that purpose

Legal Events

Date Code Title Description
PL Patent ceased