CN1246938A - 带有认证和非认证通道的冗余电子设备 - Google Patents
带有认证和非认证通道的冗余电子设备 Download PDFInfo
- Publication number
- CN1246938A CN1246938A CN 98802340 CN98802340A CN1246938A CN 1246938 A CN1246938 A CN 1246938A CN 98802340 CN98802340 CN 98802340 CN 98802340 A CN98802340 A CN 98802340A CN 1246938 A CN1246938 A CN 1246938A
- Authority
- CN
- China
- Prior art keywords
- passage
- sign
- authentication
- electronic equipment
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24191—Redundant processors are different in structure
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Programmable Controllers (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
- Measurement Of Resistance Or Impedance (AREA)
Abstract
一种具有至少两个通道的均匀冗余结构的电子设备(EG),特别是一个存储器可编程控制器的双通道均匀冗余结构的中央单元,其具有至少一个认证通道(A)和至少一个非认证通道(B),其中认证通道(A)是一个系统错误足够少的通道,而在非认证通道(B)中可以使用尚未明确证明系统错误足够少的那些部件。
Description
本发明涉及一种至少两个通道结构的电子设备,特别是一个双通道结构的可编程逻辑电路,其中该可编程逻辑电路例如是一个存储器可编程控制器的中央单元。
对于涉及安全的任务来说,需要性能高度可靠的电子设备,这里的术语“性能可靠”是根据国际文件草案IEC1508的“功能安全性”选取的。
性能可靠的电子设备的出色之处在于为其提供专门措施以便避免、识别和控制错误和故障。
避免、识别和控制错误和故障的一种常用方法是电子设备的多通道冗余结构,其中在各通道内并行执行同样的操作。通过比较结果或者输出值来识别在一个通道中是否出现错误。
与保障设备性能可靠地运行特别相关的某组错误可能是一个通道的组件、元件或者部件的所谓系统错误。这种错误例如可以通过逻辑结构或者其物理特性引起。所谓物理结构是指单个部件和组件的彼此错接,而物理特性取决于每次使用的制造过程。对于所计划的应用,通过多种认证措施来证明足够少的系统错误。
在当今迅速发展的半导体技术中,制造方法在很短时间后即改变。其结果是,对所涉及的部件或组件必须重新证明其没有系统错误,因为在一个作为性能可靠地分级的系统中,这样的部件和组件的操作只有通过多种认证措施才允许。
半导体领域内快速的技术革新周期要求必须为例如每一代新型微处理器或者新型存储器组件重新执行这一认证,其中,由于为认证过程需提供测试和/或证明运行可靠性,预计花费在这上面的时间导致新型组件只有在相当延迟之后才能应用在与安全有关的某些用途上。
因此,本发明的目的在于提供一种电子设备,通过该设备可以在涉及安全的、带有均匀冗余通道的系统中使用尚未被证明系统错误足够少的组件、元件或部件。
本发明的目的是通过这样一种至少双通道均匀冗余结构的电子设备来实现的,该至少两个通道的均匀冗余结构的电子设备尤其可以是一个双通道均匀冗余结构的可编程逻辑电路,它具有至少一个认证通道和至少一个非认证通道,其中认证通道是一个系统错误足够少的通道。
作为系统错误足够少的通道相应地可理解为在一个规定时间期间的故障概率不超过一个规定的受当时应用影响的阈值,它例如是按照国际文件草案IEC1508的一个阈值。
当为每一个通道提供一个可询问的标识符,例如一个专门的存储器单元或者一个机械开关或者电子开关时,此时在询问认证通道的该标识符时可得到一个第一标识,在询问非认证通道的该标识符时,可得到一个第二标识,该电子设备仅当在询问各个通道的标识时第一标识出现至少一次的情况下才开始其运行,这样对该电子设备实现自检,它保证该电子设备仅在确认至少双通道结构的电子设备的至少一个通道是一个系统错误足够少的通道,亦即是一个认证通道时才开始其运行。
当顺序询问各个通道的标识时,可以确定地获知哪一个通道是一个系统错误足够少的通道,亦即认证通道,哪一个通道是系统错误不足够少的通道,亦即非认证通道。
在该电子设备运行时,非认证通道的标识在一个可预先给定的没有识别错误的时间段之后可从表征非认证通道的第二标识向表征认证通道的第一标识转换,此时在足够的运行期间和在对迄今尚未认证的通道的工作性能作足够的分析之后,可将该通道本身作为参考通道使用,使得利用该电子设备可以使用例如尚未认证的下一代的元件、部件或组件,而不必事先证明其不存在错误。
从下面参考附图对一个实施例的说明中可以了解本发明的其它优点和发明细节。
图1是一个存储器可编程控制器的双通道均匀冗余结构的中央单元的方框图。
根据图1,电子设备EG是一个存储器可编程控制器的双通道均匀冗余结构的中央单元。这里的均匀冗余表示各个通道是用具有至少同样功能的元件、部件或者组件对称构造的。
在图1所示的实施例中,通道A具有一个微处理器P、一个程序存储器I和一个数据存储器R。微处理器P的操作通过监视单元W,即所谓的看门狗来监视。通道B对于通道A来说是均匀冗余结构,这从分别具有相同附图标记的同样的部件P、I、R来看,特别明确。
通道A必须由证明为系统错误足够少的部件P、I、R、W构造,因此各部件、元件和组件是经过认证的。因而通道A整体看起来为系统错误足够少的通道。
在通道B中使用一个或者多个各种变型的部件P、I、R、W,它们曾经以某种方式例如由于新的或者修改过的制造方法被改动过,且在无系统故障方面未做足够证明。
如果在通道B中所涉及的元件、部件或者组件中可能存在的系统错误显现其作用,则这一点通过与通道A的结果比较被识别并因此得以控制。所述结果比较可以通过存在于通道A和B之间的连接K实现。
由此可以在不恶化冗余电子设备EG的通道A、B内的安全特性的情况下使用尚未充分证明无错误性的亦即尚未认证的元件、部件或组件。
通过结果比较,可以识别例如由于各电子元件、部件或者组件的物理特性或者由于改变了的制造或者安装过程引起的系统错误。
本发明的电子设备EG允许一个此种设备的供货商直接对例如半导体工业的技术革新周期作出反应,在性能可靠的系统中总是供给相应于当前发展水平的元件、部件或组件,即使在对这些元件就其系统错误足够少这一点迄今尚未通过认证而明确证明的场合。
就这一点而言,能够利用本发明的方法或者本发明的电子设备EG隐含地实现这一认证想必是特别有利的。
为此目的,为电子设备EG的每一通道A、B管理一个标识,该标识说明各通道A、B是否可被看作是系统错误足够少的通道。在一定的特别是由用户自由选择的时间段之后,如果在该段时间期间在电子设备的运行中在迄今未认证的通道A、B中未识别到任何系统错误,则该标识可从“未认证”向“已认证”转换。这样,迄今未明确认证的但其没有系统错误这一点在具体操作中被充分证明的通道,也可以象一个明确认证的通道一样使用。
这点特别能在结合有现在的“在线-认证通道”的电子设备EG中在另一个冗余通道A、B内使用由下一代半导体元件制造的构件、组件或部件,然后根据上述过程也对这些部件证明其系统错误足够少的可能性。
由此,通过使用本发明的电子设备或者采用本发明的方法,可以在任何时候自由采用最新元件,组件或部件,而不必在相当耗时的认证过程后才将它们应用到涉及安全的系统中。
Claims (8)
1.一种具有至少两个通道的均匀冗余结构的电子设备(EG),尤其是一个双通道均匀冗余结构的可编程逻辑电路,其中该电子设备(EG)具有至少一个认证通道(A)和至少一个非认证通道(B),该认证通道(A)是一个系统错误足够少的通道。
2.根据权利要求1所述的电子设备,其特征在于,为每一个通道(A,B)提供一个可询问的标识符,其中在询问认证通道(A)的标识符时获得一个第一标识(T),在询问非认证通道(B)的标识符时获得一个第二标识(F),其中该电子设备(EG)仅在询问各个通道(A,B)的标识时至少存在一个第一标识(T)的场合才开始其运行。
3.根据权利要求2所述的电子设备,其特征在于,所述对各个通道(A,B)标识的询问顺序进行。
4.根据权利要求2或3所述的电子设备,其特征在于,所述非认证通道(B)的标识在一个可预先给定的未识别出错误的时间段之后可从第二标识(F)向第一标识(T)转换。
5.一种运行一个具有至少两个通道的均匀冗余结构的电子设备(EG),特别是一个双通道均匀冗余结构的可编程逻辑电路的方法,其中该电子设备(EG)具有至少一个认证通道(A)和至少一个非认证通道(B),该认证通道(A)是一个系统错误足够少的通道。
6.根据权利要求5所述的方法,其特征在于,为每一个通道(A,B)提供一个可询问的标识符,其中在询问认证通道(A)的标识符时获得一个第一标识(T),在询问非认证通道(B)的标识符时获得一个第二标识(F),其中该电子设备(EG)仅在询问各个通道(A,B)的标识时至少出现一次第一标识(T)的场合才开始其运行。
7.根据权利要求6所述的方法,其特征在于,所述对各个通道(A,B)标识的询问顺序进行。
8.根据权利要求6或7所述的方法,其特征在于,所述非认证通道(B)的标识在一个可预先给定的未识别出错误的时间段之后可从第二标识(F)向第一标识(T)转换。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP97103151 | 1997-02-26 | ||
| EP97103151.3 | 1997-02-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1246938A true CN1246938A (zh) | 2000-03-08 |
| CN1099075C CN1099075C (zh) | 2003-01-15 |
Family
ID=8226528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN98802340A Expired - Fee Related CN1099075C (zh) | 1997-02-26 | 1998-02-13 | 带有认证和非认证通道的冗余电子设备 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN1099075C (zh) |
| DE (1) | DE59800963D1 (zh) |
| ES (1) | ES2160407T3 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112639633A (zh) * | 2018-09-07 | 2021-04-09 | 菲尼克斯电气公司 | 用于在自动化系统中使用的电子设备以及自动化系统 |
| CN114253124A (zh) * | 2021-12-22 | 2022-03-29 | 浙江中控技术股份有限公司 | 一种高可用性热备冗余系统及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3718582A1 (de) * | 1986-06-05 | 1987-12-10 | Zf Herion Systemtechnik Gmbh | Elektronische sicherheitseinrichtung |
| US5136704A (en) * | 1989-06-28 | 1992-08-04 | Motorola, Inc. | Redundant microprocessor control system using locks and keys |
| DE19504404C1 (de) * | 1995-02-10 | 1996-06-20 | Pilz Gmbh & Co | Systemarchitektur |
| US5790791A (en) * | 1995-05-12 | 1998-08-04 | The Boeing Company | Apparatus for synchronizing flight management computers where only the computer chosen to be the master received pilot inputs and transfers the inputs to the spare |
-
1998
- 1998-02-13 DE DE59800963T patent/DE59800963D1/de not_active Expired - Lifetime
- 1998-02-13 CN CN98802340A patent/CN1099075C/zh not_active Expired - Fee Related
- 1998-02-13 ES ES98910662T patent/ES2160407T3/es not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112639633A (zh) * | 2018-09-07 | 2021-04-09 | 菲尼克斯电气公司 | 用于在自动化系统中使用的电子设备以及自动化系统 |
| CN114253124A (zh) * | 2021-12-22 | 2022-03-29 | 浙江中控技术股份有限公司 | 一种高可用性热备冗余系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE59800963D1 (de) | 2001-08-09 |
| CN1099075C (zh) | 2003-01-15 |
| ES2160407T3 (es) | 2001-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101840221B (zh) | 可移动安全模块及相关方法 | |
| US8290660B2 (en) | Data access to electronic control units | |
| CN100382474C (zh) | 安全传输数据的系统和方法 | |
| US20060248172A1 (en) | Method for updating software of an electronic control device by flash programming via a serial interface and corresponding automatic state machine | |
| US10922071B2 (en) | Centralized off-board flash memory for server devices | |
| CN1737787A (zh) | 总线耦合安全相关过程的方法和设备 | |
| US6901350B2 (en) | Method and device for monitoring the functioning of a system | |
| CN108604084B (zh) | 用于监控安全系统的安全链中的数据处理和传输的方法和设备 | |
| US7372248B2 (en) | Electronic circuit, system with an electronic circuit and method for testing an electronic circuit | |
| JP2004227575A (ja) | 安全性関連プロセス情報の単一信号送信 | |
| CN111694702A (zh) | 用于进行安全的信号操纵的方法和系统 | |
| CN1099075C (zh) | 带有认证和非认证通道的冗余电子设备 | |
| US20030145221A1 (en) | Smart cards for the authentication in machine controls | |
| KR20100091198A (ko) | 안전이 최우선인 시스템의 전기적 작동을 위한 디바이스 | |
| CN105988365A (zh) | 用于失效保险系统的安全架构 | |
| EP1850554A2 (en) | Safe communications in a network | |
| CN101271317A (zh) | 用于控制负载的电路装置以及相应的方法 | |
| US11290881B2 (en) | Method for functionally secure connection identification | |
| CN100483372C (zh) | 用于识别包括多个控制设备的总线系统中不兼容性的方法 | |
| US11283613B2 (en) | Secure control of intelligent electronic devices in power delivery systems | |
| CN103237977B (zh) | 机动车发动机控制装置的可逆的、防篡改的编码方法和发动机控制装置 | |
| CN114430323A (zh) | 技术设施中的证书管理 | |
| US7284152B1 (en) | Redundancy-based electronic device having certified and non-certified channels | |
| US20140164550A1 (en) | Method of connecting a hardware module to a fieldbus | |
| WO2018216136A1 (ja) | 車両用発電機の制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20030115 Termination date: 20150213 |
|
| EXPY | Termination of patent right or utility model |