DD217054A1 - Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern - Google Patents

Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern Download PDF

Info

Publication number
DD217054A1
DD217054A1 DD24926083A DD24926083A DD217054A1 DD 217054 A1 DD217054 A1 DD 217054A1 DD 24926083 A DD24926083 A DD 24926083A DD 24926083 A DD24926083 A DD 24926083A DD 217054 A1 DD217054 A1 DD 217054A1
Authority
DD
German Democratic Republic
Prior art keywords
input
output
diagnostic
bus
computer
Prior art date
Application number
DD24926083A
Other languages
English (en)
Inventor
Juergen Nikolaizik
Karl Richter
Kurt Bruenecke
Udo Kretzschmann
Original Assignee
Berlin Elektro Anlagen Inst
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Berlin Elektro Anlagen Inst filed Critical Berlin Elektro Anlagen Inst
Priority to DD24926083A priority Critical patent/DD217054A1/de
Publication of DD217054A1 publication Critical patent/DD217054A1/de

Links

Landscapes

  • Hardware Redundancy (AREA)

Abstract

DIE ERFINDUNG BETRIFFT EINE SCHALTUNGSANORDNUNG MIT DIAGNOSERECHNER UND AUSSERHALB DES DATENFLUSSES ANGEORDNETEN VERGLEICHERN. DIE ERFINDUNG IST IN DER AUTOMATISIERUNGSTECHNI, INSBESONDERE IN DER PROZESSSTEUERUNGSTECHNIK MIT HOHEN SICHERHEITS- UND ZUVERLAESSIGKEITSANFORDERUNGEN ANWENDBAR. ZIEL DER ERFINDUNG IST EINE SCHALTUNGSANORDNUNG MIT EINEM HOHEN ZUVERLAESSIGKEITS- UND SICHERHEITSNIVEAU ZUR INFORMATIONSVERARBEITUNG. ERFINDUNGSGEMAESS WIRD DIE AUFGABE DURCH EINE ANORDNUNG VON RECHNERN, AUSSERHALB DES DATENFLUSSES LIEGENDEN VERGLEICHERN, EINEM DIAGNOSERECHNER, TOREN, ANSCHLUSSSTEUERUNGEN, KOPPELEINRICHTUNGEN, EINEM MELDEDISPLAY UND MITTELS EXTERNEN BUSSEN SOWIE EIN-/AUSGABE-EINHEITEN SO GELOEST, DASS EIN FEHLERTOLERANTES "2 VON 3"-SYSTEM ENTSTEHT, MIT WELCHEM EINE FEHLERTESTUNG UND -PROTOKOLLIERUNG, EIN INNERER VERGLEICH UND DIE INFORMATIONSUEBERTRAGUNG ZWISCHEN DEN RECHNERN MOEGLICH IST.

Description

Schaltungsanordnung mit Diagnoserechner und außerhalb des Datenflusses angeordneten Vergleichern
Anwendungsgebiet der Erfindung
Die Erfindung betrifft eine Schaltungsanordnung mit Diagnoserechner und außerhalb des Datenflusses angeordneten Vergleichern, welche in der Automatisierungstechnik, insbesondere in den Bereichen mit hohen Zuverlässigkeits- und . Sicherheitsanforderungen, wie bei der Prozeßsteuerung in Kraftwerken; der Chemie und beim schienengebundenen Verkehr anwendbar ist..
Charakteristik der bekannten technischen Lösungen Bekannterweise werden zur Fehlererkennung in derartigen Mikrorechnersystemen Vergleicher eingesetzt. Der Vergleicher und seine Anordnung im Gesamtinikrorechnersystem prägen das Zuverlässigkeits- und Sicherheitsverhalten des Mi.ter.o- rechnersysteme mit.
Bekannt ist hierzu eine Schaltungsanordnung (DE-OS 31 37 046), bei der zwei CPU's parallel arbeiten. Die Ausgänge der beiden CPU's sind mit einem Vergleicher gekoppelt, welcher bei Auftreten von Abweichungen entsprechende Fehlersignale abgibt. Diese Schaltungsanordnung weist zwar für viele Einsatzfälle eine ausreichende Zuverlässigkeit auf/ ist aber für sicherheitsrelev'ante Anwendungen nicht geeignet, da , bei einem beispielsweisen Ausfall des nur einmal vorhandenen
Taktgenerators für- die o.g. zwei CPU's oder Vergleichers ein fehlerhaftes Signal ausgegeben werden kann. Weiterhin bekannt ist eine Schaltungsanordnung (OE-OS 26 12 100) für eine digitale Datenverarbeitung mit in zwei Kanälen vorgesehenen Baugruppen,· die'durch eine gemeinsame Taktstromversorgung schrittweise gesteuert werden. Bei jedem Verarbeitungsschritt wird außer mehreren Steuersignalen ein Überwach.ungsimpuls ausgegeben. Dieser Überwachungsimpuls dient zum Abfragen von in Reihenschaltung vorgesehenen Vergleichern. Beim Vorhandensein von ordnungsgerechten Signalpaaren wird der Überwachungsimpuls als Fehlerfreimeldung zum Auslösen der für den nächsten Verarbeitungsschritt erforderlichen Steuersignale und ein weiterer Überwachungsimpuls an die Taktstromversorgung ausgegeben. 'Nach*- teilig ist hierbei, daß diese Schaltungsanordnung für bestimmte Anwendungen nicht das erforderliche Zuverlässigkeitsniveau erreicht. ' '
Weiterhin ist ein Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln bekannt (DE-AS 27 25 922), bei dem alle Rechner die gleiche Information asynchron verarbeiten, wobei die Ergebnisinformation zur Prüfung auf Fehler erst am Ende eines Rechenzyklus miteinander verglichen werden. Zur Sicherstellung der asynchronen Arbeitsweise werden die. Informationen den einzelnen Rechnern zeitlich versetzt züge-)leitet. Die ausgegebenen Date'n der einzelnen Rechner werden mittels einer Vergleichs- und Durchschalteinrichtung überprüft. Der Vergleich wird erst durchgeführt, wenn die Mehrheit der Rechner zu einem Ergebnis gelangt ist. Dieses wird durch eine logische Schaltung durchgeführt, welche nicht redundant aufgebaut ist, so daß Fehler, die innerhalb der logischen Schaltung auftreten, nicht erfaßt werden und somit zu fehlerhaften ,Ausgangssignalen führen können. ' ,
Ziel der Erfindung
Ziel der Erfindung ist eine Schaltungsanordnung mit einem hohen Zuverlässigkeits- und Sicherheitsniveau zur Informationsverarbeitung. ,
Darlegung des Wesens der Erfindung
Der Erfindung liegt die Aufgabe zugrunde, eine Schaltungsanordnung zu- entwickeln, welche hohen Zuverlässigkeitsund Sicherheitsanforderungen genügt und deren Struktur nach
Λ v
einem "2 von 3" Prinzip mii außerhalb des Datenflusses an-
\ '.
geordneten Vergleichern aufgebaut ist.
Erfindungsgemäß wird die Aufgabe dadurch gelöst/ daß ein' mit einem Prüf- und Diagnoserechner, mit einer Buskoppeleinrichtung und mit Ferndiagnoseanschlußsteuerungen gekoppelter Diagnosebus jeweils bidirektional" über einen zugeordneten ersten Diagnosebuskoppler mit einem ersten Rechner, einem zweiten Diagnosebuskoppler mit einem zweiten Rechner und einem dritten Diagnosebuskoppler mit einem dritten Rechner verbunden ist, wobei dem ersten R'echner eine erste Ein-/Ausgabe-Einheit und eine zweite Ein-/Ausgabe-Einheit, dem zweiten Rechner eine, dritte Ein-/Ausgabe-Einheit und eine vierte Ein-/Ausgabe-Einheit, dem dritten Rechner 'eine fünfte Ein-/Ausgabe-Einheit und eine sechste Ein-/Ausgabe-Einheit sowie dem Prüf- und Diagnoserechner eine siebte Ein-/ , · Ausgabe-Einheit zugeordnet ist und die zweite Ein-/Ausgabe-Einheit bidirektional mit einem ersten Tor, die vierte Ein-/Ausgabe-Einheit bidirektional mit einem zweiten Tor und die sechste Ein-/Ausgabe-Einheit bidirektional mit einem dritten .. . Tor verbunden ist, wobei zwischen dem ersten, zweiten und
"dritten Tor und einem ersten externen Bus jeweils eine bidirektionale Verbindung besteht sowie von jeder der drei Verbindungen zwischen der zweiten, vierten und sechsten Ein-/Ausgabe-Einheit und 'dem ersten, zweiten und dritten Tor jeweils eine , Signalleitung, eine erste Signalleitung, eine zweite Signalleitung und eine dritte 'Signalleitung zu einem ersten Vergleicher, welcher über ein viertes Tor mit dem ersten externen Bus gekoppelt ist, abzweigt und bidirektional ein erster Ein-/Ausgabe-V Buskoppler mit-der ersten Signalleitung, -ein zweiter Ein-/Ausgabe-Buskoppler mit der zweiten Signalleitüng und ein
'.-. - ; /4' -
dritter Ein-/Ausgabe-Buskoppler mit der dritten Signalleitung verbunden ist sowie zwischen dem ersten, zweiten und dritten Eih-/Ausgabe-Buskoppler und dem Diagnosebus wie auch zwischen einem ersten externen Buskoppler und dem Diagnosebus jeweils bidirektionale Verbindungen bestehen und der erste externe Buskoppler bidirektional mit dem ersten externen Bus gekoppelt ist, an welchen bidirektional, mit einem technologischen Prozeß bidirectional verbundene Prozeßanschlußsteuerungen angeschlossen' sind und weiterhin eine vom ersten Vergleicher abgehende"-erste Steuerleitung mit dem ers,ten, zweiten und dritten Tor und der zweiten, vierten,sechsten und siebten Ein-/Ausgabe-Einheit gekoppelt ist sowie weiterhin bidirektional die erste Ein-/Ausgabe-Einheit mit einem fünften Tor, die dritte Ein-/Ausgabe-Einheit mit einem sechsten Tor und die fünfte Ein-Ausgabe-Einheit mit1einem siebten Tor verbunden ist, wobei das fünfte, sechste und si'ebte Tor jeweils bidirektional an einen zweiten externen Bus angekoppelt sind sowie von jeder der drei Verbindungen zwischen der ersten, dritten und fünften Ein-/Ausgabe-Einheit und dem fünften,, sechsteh und siebten Tor jeweils eine weitere Signalleitung, eine vierte Signalleitung, eine fünfte Signalleitung und eine sechste Signalleitung zu einem zweiten Vergleicher, welcher über ein achtes Tor mit dem zweiten externen Bus gekoppelt ist, abzweigt und bidirektional ein vierter Ein-/ Ausgabe-Buskoppler mit der vierten Signalleitung, ein fünfter Ein-/Ausgabe-Buskoppler mit der fünften Signalleitung und ein- sechster Ein-/Ausgabe-Buskoppler mit der sechsten Signalleitung verbunden ist sowie der vierte, fünfte und sechste Ein-/Ausgabe-Buskoppler und ein zweiter externer Buskoppler jeweils bidirektional an den Diagnosebus angekoppelt sind und der zweite externe Buskoppler bidirektional mit dem zweiten externen Bus verbunden ist, an welchen bidirektional, eine mit einem .VieIdedisplay
'! " . . ' - · ' ' /5 ,
verbundene iVleldedisplayanschlußsteuerung angeschlossen ist und weiterhin eine vom zweiten Vergleicher abgehende zweite Steuerleitung mit dem fünften, sechsten und siebten Tor und der ersten, dritten, fünften und siebten Ein-/Ausgabe-Einheit gekoppelt ist."
Weiterhin wird erfindungsgemäß die Aufgabe dadurch gelöst, daß die Ferndiägnoseanschlußsteuerungen mit ihnen zugeordneten zu testenden,Einrichtungen gekoppelt sind und die Buskoppeleinrichtung weiterhin mit einer Diagnoseeinrichtung verbunden ist.
Eine weitere Ausführung der erfindungsgemäßen Lösung der Aufgabe sieht bei Einsatz von Ein-/Ausgabe-Einheiten mit Ein-ZAusgabe-Schaltkreisen, die mehrere Ports besitzen, direkte bidirektionale Verbindungen zwischen der ersten, ' dritten und 'fünften Ein-/Ausgabe-Einheit und dem zweiten externen Bus sowie der zweiten, vierten und sechsten Ein-/ Ausgaber-Einheit und dem ersten externen Bus vor, so daß das erste bis dritte und fünfte bis siebte Tor entfällt, wobei die erste bis dritte Signalleitung zum ersten Vergleicher jeweils direkt von der zweiten, vierten und sechsten Ein-/Ausgabe-Einheit und die vierte bis sechste Signalleitung zum zweiten Vergleicher, jeweils direkt von der ersten, dritten und fünften Ein-/Ausgabe-Einheit abgeht. Die erfindungsgemäße Schaltungsanordnung ermöglicht im wesentlichen eine datenflußabhängige als auch eine datenflußunabhängige Fehlerdiagnose, einen inneren und äußeren Vergleich rechnerintern .gespeicherter Informationen und zur Peripherie auszugebende Informationen, eine Datenübertragung zwischen den Rechnern und dem Prüf- und_Diagnose- rechner, einen gegenseitigen Rechnertest, eine Ferndiagnose, eine Diagnose durch externe Diagnoseeinr.ichtungen sowie eine FehlerprotokolÜerung und Fehlerauswertung.'" Die Fehlerortung und Fehlertestung erfolgt durch Aufschaltung des Prüf- und Diagnoserechners über den Diagnosebus
/6
und den jeweiligen Diagnosebuskoppler auf den zugeordneten internen Bus des als fehlerhaft ausgewiesenen ersten, zweiten und/oder dritten Rechners mit darauffolgender Testung der einzelnen Einrichtungen des Rechners. Die Aufschaltung kann dabei noch von der Zustimmung der anderen- Rechner abhängig sein. Zur Überprüfung der Ein-/ Ausgabe-Einheiten wird der entsprechende Ein-/Ausgabe-Buskoppler aktiviert. Ein Test der Vergleicher und der Tore erfolgt durch den Prüf- und Diagnoserechner über den Diagnosebus, die Ein-/Ausgabe-Buskoppler und den jeweiligen externen· Bus oder mittels der Rechner über den jeweiligen externen Bus. . <
Der innere Vergleich erfolgt durch ein Anlegen von Informationen an die Vergleicher durch die Rechner. Die Vergleieherergebnisse werden mittels Register in dem jeweiligen Tor, das dem Vergleicher nachgeschaltet ist, zwischengespeichert und unmittelbar danach von den Rechnern über den externen Bus und Ein-/Ausgabe-Einheiten wieder eingelesen. Dabei bleiben die Prozeßanschlußsteuerungen bzw. iDisplayansteuerung im inaktiven Zustand. Eine über die Diaghoseaufgaben hinausgehende Datenübertragung zwischen den Rechnern und dem Prüf- und Diagnose-· rechner erfolgt unter Nutzung der Diagnosebuskoppler und des Diagnosebusses beispielsweise unter Anwendung des DMA-Prinzips .
Der gegenseitige Rechnertest wird über den Diagnosebus und die zugehörigen Diagnosebuskoppler realisiert. Die Ferndiagnose von Einrichtungen ist durch die Buskoppeleinrichtung analog der Fehlerortung und Fehlertestung möglich.
Die Fehlerprotokollierung und Auswertung erfolgt durch den Prüf- und Diagnoserechner derart, daß alle auftretenden Fehler dem Prüf- und Diagnoserechner mitgeteilt und von ihm
/7
nach bestimmten Kriterien ausgewertet werden.
Ausführungsbeispiel \
Die Erfindung soll nachstehend an einem Ausführungsbeispiel
erläutert werden. .
Die beiliegenden Zeichnungen zeigen:
Fig. 1: Schaltungsanordnung mit Diagnoserechner und außerhalb des Datenflusses angeordnetem Vergleicher in Richtung technologischer Prozeß
Fig. 2: Schaltungsanordnung mit Diagnoserechner und außerhalb des Datenflusses angeordnetem Vergleicher in Richtung Meldedisplay
Fig. 3: Schaltungsanordnung für den Anschluß von Ferndiagnoseanschlußsteuerungen und einer weiteren Diagnoseeinrichtung
Fig. 4: Schaltungsanordnung mit Diagnoserechner und außerhalb des Datenflusses angeordneten Vergleichern in Richtung technologischer Prozeß und Meldedisplay bei Einbeziehung der Torfunktionen in die Ein-/Ausgabe-Einheiten.
Die erfindungsgemäße Schaltungsanordnung realisiert eine "2 von S'-Mikrorechner-Grundstruktur. mit außerhalb des Datenflusses angeordneten Vergleichern und Diagnoserechner. Sie gewährleistet durch die Strukturierung mit relativ geringem Aufwand ein für viele Anwendungsfälle ausreichendes Zuverlässigkeits- und Sicherheitsniveau. Die Schaltungsanordnung soll im weiteren an dem in Richtung technologischer Prozeß arbeitenden Teil (Fig. 1) erläutert werden, da Aufbau und Wirkungsweise in Richtung Meldedisplay analog sind. Die von den Rechnern 3.1; 3.2; 3.3 in Richtung zum technologischen Prozeß ausgegebenen Informationen gelangen über ihnen zugeordnete Ein-/Ausgabe-Einheiten 5.2.1, 5.2.2, 5.2.3 zu ihnen jeweils nachgeschalteten Toren 9.1, 9.2, 9.3 und zum Vergleicher 8.1
/S
Durch den Vergleicher 8.1 erfolgt zum einen die Synchronisation zeitlich versetzt einlaufender Informationen von den Rechnern 3.1, 3.2Λ3.3 und zum anderen der Vergleich der zürn technologischen Prozeß auszugehenden Informationen/ Der Vergleich findet nach dem "2 von 3"-Prinzip statt und im Falle eines Einfachfehlers arbeitet das Rechnersystem als "2 von 2"-System weiter. Entsprechend dem Ergebnis der Vergleiche werden an dem Ausgang des Vergleichers 8.1 Steuersignale aktiviert und zu d-en,Toren 9.1, 9.2, 9,3, den Rechnern 3.1, 3.2, 3.3 sowie zum Prüf- und Diagnoserechner 2 über die Steuerleitung StL1 geführt. Die Steuersignale bewirken, daß die normalerweise gesperrten Tore 9.1, 9.2, 9.3 geöffnet werden und damit die von Rechnern 3.1, 3.2, 3.3 ausgegebenen Informationen auf den externen Bus ExB. gelangen. Die öffnung der obengenannten Tore erfolgt aber nur dann, wenn die verglichenen Informationen keinen Fehler in den jeweils vorgelagerten Leitungen und Rechnern ausweisen. Der externe Bus ExB1 sowie auch ExB2 (siehe Fig./2) kann bei hohen Sicherheitsanforderungen in der bekannten Ausführungsform des Open-Collector-Busses (wired or) realisiert werden. - ' Die auf dem externen Bus ExB. liegenden Informationen gelangen über die Anschlußsteuerung 1Oi (i = 1; ...; n) zu dem adressierten technologischen Aggregat. Die Rückmelde-. --signale vom technologischen Prozeß 1 werden über die bidirektional gesteuerten Tore 9.1, 9.2, 9.3 den Rechnern 3.1, 3.2, 3.3 zugeführt. Auf. dem Wege dorthin werden die Rückmeldesignale durch den Vergleicher 8.1 auf Übereinstimmung geprüft. Im Falle, daß nicht alle Signale übereinstimmen, erfolgt eine Registrierung und Auswertung dieses Sachverhaltes in jedem der Rechner 3.1, 3.2, 3.3 und im Prüf- und Diagnoserechner 2. Zu diesem Zweck erhalten die vorher genannten Rechner Steuersignale (Vergleichsergebnis) vom Vergleicher 8.1 über die Ein-/Ausgabe-Einheiten 5.2.1, 5.2.2, 5 .2.3 und 5.3. -
. '/9 '· '
Mit den als fehlerfrei gekennzeichneten Rückmeldesignalen wird innerhalb der Rechner ein softwaremäßiger Vergleich zwischen Soll- und Istwert (ausgegebene Informationen und korrespondierende Rückmeldeinformationen) vorgenommen. Das " Resultat des Softwarevergleichs wird ebenfalls jedem anderen Rechner und dem Prüf- und Diagnoserechner beispielsweise über den inneren Vergleich mitgeteilt. Damit liegt in jedem Rechner die Information vor, ob die gewollte Reaktion beim technologischen Prozeß erreicht wurde. Ist das nach einer* vorher festgelegten Anzahl von Wiederholungen nicht der Fall, muß vom Prüf- und Diagnoserechner 2 unter Beachtung eines Zustimmungssignals von den anderen Rech- , pern1 3.1, 3.2, 3.3 beispielsweise auf einem Display eiYie Anzeige veranlaßt und automatisch die Fehlersuche durchgeführt werden. Grundsätzlich verfügen die Rechner 3.1, 3.2, 3.3 sowie der Prüf- und Diagnoserechner 2 über alle notwendigen Informationen, um die Lokalisierung von fehlerhaften Einheiten in ausgefallenen Rechnern, Defekten am Bussystem und nicht korrekt arbeitenden Vergleichern unmittelbar einzuleiten. Im Regelfall vollzieht sich der Diagnosevorgang so, daß sich der Prüf- und Diagnoserechner unter Berücksichtigung des Zustimmungssignals von zwei der anderen Rechner 3-..1, 3.2, 3.3 über den Diagnosebus DB und dem entsprechenden Diagnosebuskoppler 4.1, 4.2, 4.3 auf den internen, nicht dargestellten Bus des ausgefallenen und in einen definierten Zustand versetzten Rechners 3.i schaltet. Damit beginnt der Text des ausgefallenen Rechners 3.1 mit dem Ziel, die fehlerhafte kleinste auswechselbare Einheit zu ermitteln und dem Bedienungspersonal auf einem hier nicht dargestellten Display genaue Informationen darüber bereitzustellen, wodurch der Austausch der als fehlerhaft gekennzeichneten Einheit in kürzester Zeit vorgenommen werden kann. Zum Zwecke des Tests der Ein-/Ausgabe-Einheiten 5.2.1, 5.2.2, 5.2.3 der Rechner 3.1, 3.2, 3.3 ist zwischen ihnen und ,dem Diagnosebus DB eine Verbindung über Ein-/Ausgabe-
/10
Buskoppier 6.1, 6.2, 6.3 herzustellen. Die Prüfung der Funktionstüchtigkeit des Vergleichers 8.1 kann entweder durch die Rechner 3.1, 3.2, 3.3, über die Ein-/Aus'gabe- ' * Einheiten 5.2.1, 5.2.2, 5.2.3 oder durch den Prüf- und Diagnoserechner 2 über die Ein-/Ausgabe-Buskoppler 6.1, 6.2, 6.3 vorgenommen werden. Dabei besteht die Möglichkeit, die Reaktion des Vergleichers nur anhand der auf
-der Steuerleitung StL1 anliegenden Steuersignale oder nur .anhand der auf der Basis eines Mehrheitsentscheids gebil-
, deten Ausgangssignale oder mittels, beider Signalgruppen · zu testen. Im ersten Fall werden die Reaktionen des Vergleichers 8.1 auf die Testdaten den Rechnern 2, 3.1, 3.2, 3.3 über die Ein-/Ausgabe-Einheiten 5.2.1, ..., 5.3 züge-: führt. Im zweiten Fall wird dafür derWeg über die Tore
9.1, ..., 9.4 und für den Prüf- und Diagnoserechner 2 über das Tor 9.4 und den externen Buskoppler 7.1 genutzt. Im dritten Fall werden zur Informationsübertragung die in den beiden vorher genannten Fällen beschriebenen Wege gleichzeitig aktiviert. Die Ergebnisse dess Vergleichs als Reaktion auf einen vorgegebenen Testdatensatz werden von den7 Rechnern 3.1, 3.2, 3.3 und dem Prüf- und Diagnoserectiner 2 ausgewertet und^im Fehlerfall wird eine Anzeige veranlaßt^ Bei allen Tests, bei denen Informationen in Richtung technologischer Prozeß 1 ausgegeben werden, sind die Tore 9.1, ..., 9.4 gesperrt, nur in dem Fall nicht, wenn sie
_selbst getestet werden. Dieser Test kann wiederum durch die Rechner 3.1, 3.2, 3.3 oder mittels Prüf- und Diagnoserech'ner 2 geschehen. Dazu werden über die Uen Rechnern 3.1,
3.2, 3.3 zugeordneten Ein-/Ausgabe-Einheiten 5.2.1, 5.2.2, 5.2.3 od'er durch den Prüf- und Diagnoserechner 2 unter Nutzung des Diagnosebusses DB und der Ein-/Ausgab'e-Bus-
' koppler 6.1, 6.2, 6.3 Testdaten an die Eingänge' der Tore 9.1, 9.2/ 9.3 gelegt und in dieser) mittels interner Register gespeichert. In einem nächsten Schritt werden die Daten vom externen Bus ExB' über den externen Buskoppler.7.1 und
Diagnosebus DB in den Prüf- und Diagnoserechner 2 oder unter Aktivierung der Diagnosebuskoppler 4.1, 4.2, 4.3 in die Rechner 3.1, 3.2, 3.3 eingelesen und ausgewertet. ' Zur Gewährleistung eines bestimmten Sicherheitsniveaus muß der Vergleicher 8.1 Fail-Safe-Eigenschaften besitzen. Weist er diese Eigenschaften nicht auf, müßte entweder vor sicherheitskritischen Ausgaben ein Funktionstest des Vergleichers 8.1 eingeleitet werden oder durch die Rechner 3.1, 3.2, werden die Ausgänge beider Vergleicher 8.1 und 8.2 (Fig. 1 und 2) auf Übereinstimmung geprüft und nach dem Mehrheitsprinzip von 3 Rechnern Steuersignale zum Durchschalten, im fehlerfreien Fall, der Daten zujn technologischen Prozeß 1 gebildet, ansonsten wird ein Funktionstest der Vergleicher
8.1 und 8.2 in der bereits vorher beschriebenen Weise abge-; arbeitet. Für die Übereinstimmungsprüfung der Ausgangsdaten beider Vergleicher werden von den Rechnern 3.1, 3.2, 3.3 gleichzeitig Signale in Richtung Meldedisplay '14 und technologischen Prozeß 1 über die Ein-/Ausgabe-Einheiten 5.1.1, ..., 5.2.3 (Fig.,1 und 2) an die Vergleicher 8.1 und
8.2 gelegt und das Ergebnis des Vergleichs in Form der Steuersignale über die Steuerleitungen StL1 und StL2 zu den Rechnern zurückgeführt und auf der Basis dieser I,nfOr7- ' mationen wird entschieden, ob und welche Tore geöffnet werden. Dem Prüf- und Diagnoserechner/2 obliegen neben den Prüf- und Diagnoseauf-gaben auch die Protokollierung und weitestgehende Auswertung von Fehler- und Ausfallereignisseh. Er ' braucht nur als*Einzelrechner vorhanden zu sein, da jeder der Rechner sich selbst und die anderen testen kann. So ist beispielsweise der Reebner.3.2 in der Lage, die Rechner 3.1, 3.3, aber auch den Prüf- und Diagnoserechner 2 zu diagnostizieren. Die erforderlichen Verbindungen dafür werden unter Nutzung des Diagnosebusses DB und der entsprechenden Diagnosebuskoppler 4.1, 4.2, 4.3 hergestellt. Um eine Verschleppung von Fehlern zu vermeiden, können mit der dargestellten. Schaltungsanordnung nicht nur End-, sondern auch
Zwischenergebnisse von den Rechnern 3.1/3.2, 3.3 verglichen werden, ohne negative Wirkungen auf den technologischen Prozeß 1 hervorzurufen (sogenannter innerer Vergleich). Zu diesem Zweck werden die nach dem durchgeführten' Vergleich \der Zwischenergebnisse am Ausgang des Vergleichers 8.1 anliegenden Informationen in dem unidirektional gesteuerten Tor 9.4 mittels interner Register gespeichert und in einem nächsten Schritt über die(Tore 9.1, 9.2, 9.3 wieder in die Rechner 3.1, 3.2, 3.3 eingelesen. Die selbe Prozedur vollzieht sich, wenn es um den Wiederangleich (Wiederinbetriebnahme) eines reparierten Rechners geht. Dafür ist jedoch auch die Möglichkeit vorgesehen, die entsprechenden Informationen von einem intakten Rechner mittels DMA-Schaltkreis (nach dem Direct-Memory-Access-Prinzip) und unter . Benutzung des Diagnosebusses DB zu übertragen. .Für sicherheitsrelevante Anwendungen sind neben den daten-· flußabhängigen Maßnahmen zur Fehlererkennung in bestimmten Zeitabständen Selbsttestprogramme in den Rechnern 3.1, 3.2, 3.3 und Prüf- und Diagnoserechner 2 zu aktivieren. Bei solchen Vorgängen wie dem inneren Vergleich, dem Wiederangleich und Test wird durch Steuersignale und/oder durch fehlende Adressen gewährleistet, daß die Prozeßanschlußsteuerungen 10.i (i = 1, ..., n) einen inaktiven Zustand einnehmen. Die Diagnosebuskoppler 4.1, 4.2, 4.3, die Ein-/Ausgabe-Einheiten 5.2.1, ...,5.3) und die Prozeßanschlußsteuerungen 10.i sind so konzipiert, daß sie eine rückwirkungsfreie Verbindung gewährleisten.
Mit der in Fig. 1 dargestellten Schaltungsanordnung werden Einfachfehler toleriert und im Vergleicher 8.1 gespeichert. Dabei ist es gleichgültig, ob in einem Wort nur ein einziges, mehrere oder alle Bit verfälscht sind. Ein weiterer einlaufender Fehler aktivierfein Doppelfehlersignal im Vergleicher 8.1, das einen kritischen Zustand anzeigt. Dafür sind entsprechende Maßnahmen vorzuschreiben, beispielsweise Wiederholung der Programmabarbeitung in allen drei Rechnern 3.1, 3.2, 3.3 von einer festgelegten Stelle aus und
/13
, 13
falls sich dann der Doppelfehler wiederholt, wird der technologische Prozeß 1 in einen sicheren Zustand überführt (Fail-safe-Verhalten). Analog hierzu laufen die Vorgänge in Richtung Meldedisplay 14 (Fig. 2) ab. Die Schaltungsanordnung bietet in den weiteren Ausgestaltung über Ferndiagnoseanschlußsteuerungen 12.1, ..., 12.m (Fig. 1 und 3) die Möglichkeit, weitere Einrichtungen 16.1, ..., 16.m (Fig. 3) zu testen. Über die Buskoppeleinrichtung 11 ist die Möglichkeit der Anschaltung einer weiteren Diagnoseeiririchtung 15 (Fig. 3), beispielsweise einer zentralen Diagnosestation, auf den Diagnoäebus DB gegeben, welche zum Beispiel die Funktion des Prüf- und Diagnoserechners 2 übernimmt und gegebenenfalls eine Prüfung desselben vornimmt.
Die Tore 9.1, ..., 9.3 und 9.5, ..., 9.7 (Fig. 1 und 2) können in weiterer Ausgestaltung der erfindungsgemäßen Schaltungsanordnung als selbständige Hardwareeinheiten entfallen, falls auf den Ein-/Ausgabe-Einheiten 5.U., ..., 5.3 der Rechner 3.1, 3.2, 3.3 und des Prüf- und Diagnoserechners eine solche Funktion realisiert ist. Eine Schaltungsanordnung hierzu ist in Fig. 4 dargestellt.

Claims (5)

14 Erfiηdungsanspruch
1. Schaltungsanordnung mit Diagnoserechner und außerhalb des Datenflusses angeordneten Vergleichern dadurch gekennzeichnet, daß ein mit einem Prüf- und Diagnoserechner (2), mit einer Buskoppeleinrichtung (11) und mit Ferndiagnose- ' anschlußsteuerungen (12.1; ...; 12m) gekoppelter DiagnosebUjS (DB) jeweils bidirektional über einen zugeordneten Diagnosebuskoppler (4.1) mit einem Rechner (3.1), einen Diagnosebuskoppler (4.2) mit einem Rechner (3.2) und einen Diagnosebuskoppler (4.3) mit einem Rechner (3.3) verbunden ist, wobei dem Rechner (3.1) eine Ein-/Ausgabe-Einheit (5.1.1) und eine Ein-/Ausgabe-Einheit (5.2.1), dem Rechner (3.2) eine Ein-/Ausgabe-Einheit (5,1.2) und eine Ein-/Aus>gabe-Einheit (5.2.2), dem Rechner (3.3) eine Ein-/Ausgabe-Einheit (5.1.3) und eine Ein-/Ausgabe-Einheit (5.2;3) sowie dem Prüf- und Diagnoserechner (2.) eine Ein-/Ausgabe-Einheit (5.3)^zugeordnet ist und die Ein-/Ausgabe-Einheit (5.2.1) bidirektional r mit einem Tor (9.1), die Ein-/Ausgabe-Einheit (5.2.2) bidirektional mit einem Tor (9.2) und die Ein-/Ausgabe-Einheit (5.2.3) bidirektional mit einem Tor (9.3) verbunden ist, wobei zwischen den Toren (9.1; 9.2; 9.3) und einem externen Bus (ExB1) jeweils eine bidirektionale Verbindung besteht sowie von jeder der drei Verbindungen zwischen den Ein-/Ausgabe-Einheiten (5.2.1; 5.2.2; 5.2.3) und den Toren (9.1; 9.2; 9.3) jeweils eine Signalleitung, eine Signalleitung (SL1), eine Signalleitung (SL9) und eine Signalleitung (SL„) zu einem Vergleicher (8.1), welcher.über ein Tor (9.4) mit dem externen Bus (ExB-)-.gekoppelt ist, abzweigt und bidirektional ein Ein-/Ausgabe-Buskoppler (6.1) mit der SignaH.eitung (SL1), ein Ein-/Ausgabe-Buskoppler (6.2) mit der Signalleitung (SL2) und ein Ein-/Ausgabe-Buskoppler (6.3) mit der Signalleitung (SL9) und
ein Ein-/Ausgabe-Buskoppler (6.3) mit der Signalleitung (SL3) verbunden ist sowie zwischen den Ein-/Ausgabe-Buskopplern (6.1; 6.2; 6.3) und dem Diagnosebus (DB) wie auch zwischen einem externen Buskoppler (7.1) und dem Diagnosebus (DB) jeweils bidirektionale Verbindungen bestehen und der externe Buskoppler (7.1) bidirektional mit dem externen Bus (ExB1) gekoppelt ist, an welchen bidirektional, mit einem technologischen Prozeß (l) bidirektional verbundene Prozeßanschiußsteuerungen (10.1; ...; 10.n) angeschlossen sind und weiterhin eine vom Vergleicher (8.1) abgehende Steuerleitung (StL1) mit den Toren (9.1; 9.2; 9.3) und den Ein-/Ausgabe-Einheiten (5.2.1; 5.2.2; 5.2.3; 5.3) gekoppelt ist sowie weiterhin bidirektional die Ein-/Ausgabe-Einheit (5.1.1) mit einem Tor (9.5), die Ein-/Ausgabe-Einheit (5.1.2) mit einem Tor (9.6) und die Ein-/Ausgabe-Einheit (5.1.3) · mit einem Tor (9.7) verbunden ist, wobei die Tore (9.5; 9.6; 9.7) jeweils bidirektional an einen externen Bus (ExB-) angekoppelt sind sowie von jeder der drei Verbindungen zwischen den Ein-/Ausgabe-Einheiten (5.1.1; 5.1.2; 5.1.3) und den Toren (9.5; 9.6; 9.7) jeweils eine Si'gnalleitung, eine Signalleitüng (SL4), eine Signalleitung (SL,-) und eine Signalleitung (SL~) zu einem Vergleicher (8.2), welcher über ein Tor (9.8) mit dem externen Bus (ExB?) gekoppelt ist, abzweigt und bidirektional ein Ein-/Ausgabe-Buskoppler (6.4) mit der Signalleitung (SL4), ein Ein-/Ausgabe-Buskoppler (6.5) mit der Signalleitung (SL5) und ein Ein-/Ausgabe-Buskoppler (6.6) mit der Signalleitung (SLß) verbunden ist sowie die Ein-/ Ausgabe-Buskoppler (6.4; V6.5; 6.6) und ein externer Buskoppler (7.2) jeweils bidirektional an den Diagnosebus (DB) angekoppelt sind und der externe Buskoppler (7.2) bidirektional mit den externen Bus (ExBp) verbunden ist, an welchem eine, mit einem Meldedisplay (14) verbundene
/16
Meldedisplyanschlußsteuerung (13) angeschlossen i/st und weiterhin eine vom Vergleicher (8.2) abgehende Steuerleitung (StLp) mit den Toren (9.5; 9.6; 9.7) und den Ein-/Ausgabe-Einheiten (5.1.1;.5.1.2; 5.1.3; 5.3) gekoppelt ist.
2. Schaltungsanordnung nach Punkt 1 dadurch gekennzeichnet; daß die Buskoppeleihrichtung (11) weiterhin mit einer Diagnoseeinrichtung (15) verbunden ist.
3. Schaltungsanordnung nach Punkt !dadurch gekennzeichnet;
, daß die Ferndiagnoseanschlußsteuerungen (12,1; ...; 12.m) . mit ihnen zugeordneten zu testenden Einrichtungen (16.1; ...; 16.m) gekoppelt sind.
4. Schaltungsanordnung nach Punkt 1 dadurch gekennzeichnet., daß die Ein-/Ausgabe-Einheiten (5.1.1; ···; 5.3) mit Ein-ZAusgabe-Schaltkreisen, die mehrere Ports besitzen, realisiert sind.
5. Schaltungsanordnung nach Punkt 1 und 4 dadurch gekennzeichnet; daß die: Ein-/Ausgabe-Einheiten (5.2.1; 5.2.2; 5.2.3) bei Wegfall der Tore (9.1; 9.2; 9.3) jeweils direkt bidirektional mit dem externen Bus (ExB1) ge koppelt sind sowie die Signalleitungen (SL1; SL2; SL„) zum Vergleicher (8.1)' jeweils von den Ein-/Ausgabe-
/ Einheiten (5.2.1; 5.2.2; 5».2.3) ,abgehen sowie die Ein-/ Ausgabe-Einheiten (5.1.1; 5.1.2; 5.1.3) bei Wegfall der Tore (9.5; 9.6; 9.7) jeweils direkt.bidirektional mit dem externen Bus--(ExB2) gekoppelt sind und die Signalleitungen (SL4; SL_; SLg) zum Vergleicher (8.2) jeweils von den Ein-/Ausgabe-Einheiten (5.1.1; 5.1.2; 5.1.3) abgehen.
Zeidinungeo
DD24926083A 1983-03-28 1983-03-28 Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern DD217054A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DD24926083A DD217054A1 (de) 1983-03-28 1983-03-28 Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DD24926083A DD217054A1 (de) 1983-03-28 1983-03-28 Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern

Publications (1)

Publication Number Publication Date
DD217054A1 true DD217054A1 (de) 1985-01-02

Family

ID=5545973

Family Applications (1)

Application Number Title Priority Date Filing Date
DD24926083A DD217054A1 (de) 1983-03-28 1983-03-28 Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern

Country Status (1)

Country Link
DD (1) DD217054A1 (de)

Similar Documents

Publication Publication Date Title
EP0503117B1 (de) Prozessorschaltung
DE3700986A1 (de) Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug
EP2210151A1 (de) FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
DE3024370C2 (de) Redundantes Steuersystem
EP0766092B1 (de) Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken
DE2442847A1 (de) Test- und diagnoseanordnung fuer eine datenverarbeitungseinheit
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
DE10302456A1 (de) Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
DE4005321C2 (de)
DD217054A1 (de) Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern
EP1224547B1 (de) Integrierter elektronischer baustein mit duplizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE10303654A1 (de) Integrierte Halbleiterschaltung mit eingebauter Selbsttestfunktion und zugehöriges System
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
EP0961973B1 (de) Redundant aufgebautes elektronisches geraet mit zertifizierten und nicht zertifizierten kanaelen und verfahren dafür
DE102004043063A1 (de) Halbleiter-Bauelement mit Test-Schnittstellen-Einrichtung
DD217055A1 (de) Schaltungsanordnung mit diagnoserechner und vergleicher
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE102009000698A1 (de) Prüfschaltung zur Prüfung einer Durchführung eines Handshake-Protokolls und Verfahren zur Prüfung einer Durchführung eines Handshake-Protokolls
DE3918962C2 (de) System mit mehreren asynchron arbeitenden Rechnern
DE2025916C3 (de) Dekodiernetzwerk mit Fehlersicherung und Fehleranzeige
DD234510A1 (de) Anordnung zum testen und zur isolierung defekter rechnerknoten

Legal Events

Date Code Title Description
ENJ Ceased due to non-payment of renewal fee