DD231869A5 - SIGNAL TECHNOLOGY SAFE DATA PROCESSING DEVICE - Google Patents

SIGNAL TECHNOLOGY SAFE DATA PROCESSING DEVICE Download PDF

Info

Publication number
DD231869A5
DD231869A5 DD85274552A DD27455285A DD231869A5 DD 231869 A5 DD231869 A5 DD 231869A5 DD 85274552 A DD85274552 A DD 85274552A DD 27455285 A DD27455285 A DD 27455285A DD 231869 A5 DD231869 A5 DD 231869A5
Authority
DD
German Democratic Republic
Prior art keywords
computer
output
channel
input
channels
Prior art date
Application number
DD85274552A
Other languages
German (de)
Inventor
Tjabbe Kloppenburg
Harri Brauer
Burkhardt Kraffel
Eberhard Bergmann
Dietmar Czech
Wolfgang Prehn
Original Assignee
Licentia Patent-Verwaltungs-Gmbh,De
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Licentia Patent-Verwaltungs-Gmbh,De filed Critical Licentia Patent-Verwaltungs-Gmbh,De
Publication of DD231869A5 publication Critical patent/DD231869A5/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level

Abstract

Fuer ein signaltechnisch sicheres Datenverarbeitungssystem mit mindestens zwei Kanaelen und Ausgabevergleichern besteht die Aufgabe, gesicherte Daten sicher zu verarbeiten. Dies wird dadurch geloest, dass die Kanaele zu definierten Zeitpunkten oder Ereignissen ueber eine Rechnerkopplung bei unabhaengiger Arbeitsweise kommunizieren, und eine dynamisiert gesteuerte signaltechnisch sichere Spannungsversorgung fuer die Ausgabevergleicher vorhanden ist, die bei einem ausfallbedingten Fehler sicher abgeschaltet wird. Fig. 1For a fail-safe data processing system with at least two channels and output comparators, the task is to process secure data securely. This is achieved by the fact that the channels communicate at defined times or events via a computer link in independent mode of operation, and a dynamically controlled signal-technically safe power supply for the output comparator is present, which is safely switched off in the event of a failure due to failure. Fig. 1

Description

Berlin, den 15. 7. 1985 64 977/13Berlin, July 15, 1985 64 977/13

Signaltechnisch sichere DatenverarbeitungseinrichtungSignal-technically secure data processing device

Anwendungsgebiet der ErfindungField of application of the invention

Die Erfindung bezieht sich auf eine signaltechnisch sichere Datenverarbeitungsein richtung.The invention relates to a fail-safe Datenverarbeitungsein direction.

Charakteristik der bekannten technischen LösungenCharacteristic of the known technical solutions

Bei der Steuerung von technischen Prozessen werden iraraer ziahr elektronische Einrichtungen eingesetzt, insbesondere ProzeSrechner und Mikrocomputer. Das geschieht auch auf den Gebieten der Sicherungstechnik, wie z. 8. der Eisenbahnsignaltechnik, bei Verkehrsampelsteuerungen, Pipelineüberwachung, Pressensteuerungen, Kraftvverküberwachung usw. Dabei ist es besonders wichtig, daß keine Menschenleben gefährdet werden. In allen diesen Fällen ist daher das fail-safe Prinzip anzuwenden, d. h., daß auch bei Störungen oder Fehlern in den Steuerungswerken keine Signale abgegeben werden dürfen, welche für Menschen oder Maschinen schädliche Folgen haben könnten. Trotzdem soll ein zu großer Aufwand vermieden werden, und es sollen daher weitgehend handelsübliche Bauteile verwendet werden.In the control of technical processes, electronic devices are used iraraer ziahr , in particular process computers and microcomputers. This also happens in the fields of security technology, such. 8. railway signaling, traffic light control, pipeline monitoring, press control, power monitoring, etc. It is particularly important that no human lives are endangered. In all these cases, therefore, the fail-safe principle is to be applied, that is, even in case of faults or errors in the control units no signals may be delivered, which could have harmful consequences for people or machines. Nevertheless, too much effort should be avoided, and it should therefore be largely used commercially available components.

Es sind bereits mehrere Einrichtungen bekannt, die zur Gewährleistung der Sicherheit aus zwei bzw. drei redundanten Rechnern bestehen.There are already several devices known that consist of two or three redundant computers to ensure security.

H 7 7 a ς. 9 fi P H 3H 7 7 a ς. 9 fi P H 3

In der DE-OS 26 12 100 ist eine digitale Datenverarbeitungsanordnung beschrieben, die zwei identische Rechner aufweist, welche mit einer für beide Rechner gemeinsamen Taktstromversorgung taktsynchron betrieben werden. Diese Taktstroravarsorgung gibt nur dann den nächsten Prcgrarsrnschritt für die Datenverarbeitungsanordnung frei, wenn ein Überwachungsimpuls die Kette von Vergleichern für Adressen, Daten und Steuersignalen, die von beiden Rechnern gleichzeitig zu vergleichen sind, ordnungsgerecht durchläuft. Bei einem negativen Vergleichsergebnis in einem Vergleicher dieser Kette werden die Steuertakte für beide Rechner gesperrt und die Stromversorgung für die Rechner abgeschaltet. Damit führt bereits ein Fehler, z. B. an einem dezentralen Ergänzungsbaustein zur.Abschaltung der gesamten Datenverarbeitungsanlage, d. h. eine Fehlertolerierung ist nicht möglich. Damit sind auch einkanalige Prozeßausgaben, z. B. für Diagnosezwecke, gesperrt»In DE-OS 26 12 100 a digital data processing arrangement is described, which has two identical computers, which are operated isochronous with a common clock power supply for both computers. This clock streaming enables the next data processing device next step only if a monitor pulse properly passes through the chain of comparators for addresses, data, and control signals to be simultaneously compared by both computers. In the case of a negative comparison result in a comparator of this chain, the control clocks for both computers are blocked and the power supply for the computers is switched off. This already leads to an error, eg. B. at a decentralized supplementary module zur.Abschaltung the entire data processing system, d. H. fault tolerance is not possible. This also single-channel process outputs, z. Eg for diagnostic purposes, locked »

In der Patentschrift DE 30 03 291 ist eine zweikanalige Datenverarbeitungsanordnung beschrieben, bei der in Abänderung zur DE-OS 26 12 100 jedem Mikrocomputer eine Vergleichereinrichtung und ein UND-Glied zugeordnet sind. Die Ausgabe von Signalen an den Prozeß ist nur möglich, wenn die beiden Mikrocomputer fehlerfrei arbeiten, d. h. in den zentralen Vergleichern der Vergleich der Informationen beider Mikrocomputer positiv ist.In the patent DE 30 03 291 a two-channel data processing device is described in which, in amendment to DE-OS 26 12 100 each microcomputer is associated with a comparator device and an AND gate. The output of signals to the process is possible only if the two microcomputers operate without errors, ie in the central comparators, the comparison of the information of both microcomputers is positive.

Alle dezentralen Impulsverstärker für die einzelnen Prozeßausgaben werden gesperrt, wenn der Vergleich einer Date bei mehreren gleichzeitig zum Vergleich anstehenden Daten in der Vergleichseinrichtung eines Mikrocomputers negativ ausfällt.All decentralized pulse amplifiers for the individual process outputs are disabled if the comparison of a date with several simultaneously pending for comparison in the comparison device of a microcomputer negative.

In der DE-OS 32 11 265 ist ein zweikanaliges Fail-safe-Mikrocomputerschaltwerk beschrieben, das in Ergänzung zur DE-OS 26 12 100 in der Lage ist, Eingabedaten der redundanten Eingangssignalumsetzer über beide Mikrocomputer in dem zentralen Vergleicher vergleichen zu können. Hierzu werden über zusätzliche Koppelschaltungen die Eingabedaten der Eingangssignalumsetzer nacheinander von beiden Mikrocomputern gelesen. Die vorher beschriebenen Nachteile des zentralen Vergleichers und der gemeinsamen Taktstromversorgung gelten auch hierbei.In DE-OS 32 11 265 a two-channel fail-safe microcomputer control unit is described, which is in addition to DE-OS 26 12 100 capable of input data of the redundant input signal converter via both microcomputers in the central comparator to compare. For this purpose, the input data of the input signal converter are successively read by two microcomputers via additional coupling circuits. The previously described disadvantages of the central comparator and the common clock power supply also apply here.

In der Dc-OS 32 25 455 ist ein redundantes Steuersystem mit zwei parallelgeschalteten Rechnereinheiten, die taktsynchron betrieben werden» beschrieben. In einem Überwachungssystem werden die Datensignale der redundanten Rechnereinheiten verglichen, der Fehler in der Rechnereinheit lokalisiert und auf den Ausgang der fehlerfreien Rechnereinheit umgeschaltet. Während dieser Zeit ist ein Vergleich der Datensignale nicht mehr möglich. Außerdem können Fehler in der Ausgabeeinheit der aktiven Rechnereinheit nicht direkt erkannt werden.In the Dc-OS 32 25 455 a redundant control system with two parallel computer units, which are operated isochronous »described. In a monitoring system, the data signals of the redundant computer units are compared, the errors are localized in the computer unit and switched to the output of the error-free computer unit. During this time, a comparison of the data signals is no longer possible. In addition, errors in the output unit of the active computer unit can not be detected directly.

In der DE-OS 29 31 280 ist eine redundante Steueranordnung mit zwei asynchron arbeitenden Rechnern beschrieben, deren Ausgabedaten in Koinzidenzgliedern verglichen werden und bei Ungleichheit ein Fehlersignal abgeben. Ober Rückmeldesignale der Koinzidenzglieder werden die Steueranordnungen synchronisiert.In DE-OS 29 31 280 a redundant control arrangement with two asynchronously operating computers is described, the output data are compared in coincidence elements and deliver an error signal inequality. Upper feedback signals of the coincidence elements, the control arrangements are synchronized.

In "Elektrisches Nachrichtenwesen1* Band 52 (1977) Nr. 4, Seiten 322 bis 326 ist ein zweikanaliges Rechnersystera mit Synchronisation durch eine zentrale Interruptsteuerung beschrieben.In "Electrical Communications 1 * Volume 52 (1977) No. 4, pages 322-326, a two-channel computer system is described with synchronization by a central interrupt control.

Es ist ferner ein Aufsatz über ein "Sicheres Mikrorechnersystem LOGISIRE", Verfasser H. Brauer aus der Zeitschrift "Signal und Draht44 76 (1984) Heft 3, Seiten 35 bis 41 bekannt. Hier ist auf Seite 37, Abschnitt 3*1 angegeben, daß bei Ausfall eines sogenannten Polling-Perioden-Signals oder zeitlichem Versatz dieser Signale beider Rechnerkanäle die Versorgungsspannung für alle sicheren Ausgaben sicher ausgeschaltet wird.Furthermore, an article on a "Secure Microcomputer System LOGISIRE", author H. Brauer from the journal "Signal and Wire 44 76 (1984) Issue 3, pages 35 to 41. It is stated here on page 37, section 3 * 1, that in case of failure of a so-called polling period signal or time offset of these signals of both computer channels, the supply voltage for all safe outputs is turned off safely.

Ziel der ErfindungObject of the invention

Ziel der Erfindung ist es, die Nachteile des Standes der Technik zu vermeiden.The aim of the invention is to avoid the disadvantages of the prior art.

Darlegung des Wesens der ErfindungExplanation of the essence of the invention

Der Erfindung liegt die Aufgabe zugrunde, gesicherte Daten signaltechnisch sicher zu verarbeiten, wobei fehlerhafte Teilfunktionen isoliert werden, ohne daß intakte Teilfunktionen hiervon beeinträchtigt werden, so daß auch nach Ausfällen noch ein gegebenenfalls eingeschränkter Betrieb durchgeführt werden kann. Kann eine korrekte Verarbeitung nicht mehr gewährleistet werden, sollen die Ausgänge der Einrichtung stromlos geschaltet werden.The invention has for its object to process secure data safe signaling, with faulty sub-functions are isolated without intact sub-functions thereof are affected, so that even after failures still a possibly limited operation can be performed. If correct processing can no longer be guaranteed, the outputs of the device should be de-energized.

Die Aufgabe wird dadurch gelöst, daß die Datenverarbeitungseinrichtung folgende Merkmale enthält:The object is achieved in that the data processing device contains the following features:

- die Rechnerkanäle, jeweils bestehend aus einer Zentraleinheit mit Programm- und Arbeitsspeicher, Ein- und Ausgabeeinheiten mit zugehörigem E/A-3us sowie einer zweikanaligen Rechnerkanalkopplung, die entweder über den E/A-Bus oder den internen Bus betrieben wird, kommunizieren zu- The computer channels, each consisting of a central unit with program and memory, input and output units with associated I / O-3us and a two-channel computer channel coupling, which is operated either via the I / O bus or the internal bus communicate to

definierten Zeitpunkten oder Ereignissen über die zweikanalige Rechnerkanalkopplung mit angeschlossenem programmgesteuertem Datenvergleich in jedem Rechnerkanal miteinander zurdefined points in time or events via the two-channel computer channel coupling with connected program-controlled data comparison in each computer channel with each other

Prüfung auf fehlerfreie Dateneingabe und Verarbeitung, wobei nach Feststellung eines ausfallbedingten Fehlers die betroffene Einrichtung isoliert bzw, die Spannungsversorgung des Ausgabevergleicher sicher abgeschaltet wird, Gewährleistung gleichartiger Verarbeitung trotz unterschiedlicher Eingangsdaten der Rechner,Checking for error-free data input and processing, whereby the affected device is isolated or the power supply of the output comparator is reliably switched off after detection of a failure due to failure, guaranteeing similar processing despite different input data of the computers,

Gewährleistung der blocksynchronen Arbeitsweise bei Beginn eines jeden logisch neuen Verarbeitungsschrittes und arbeiten trotz Kommunikation unabhängig voneinander, eine oder mehrere zweikanalig, dynamisiert gesteuerte signaltechnisch sichere Spannungsversorgungen versorgen jeweils einen oder eine Gruppe von Ausgabevergleichern, von denen jeder ein bestimmtes Ausfallverhalten besitzt und entweder selbst oder innerhalb der zugehörigen Gruppe in Verbindung mit ihrer Spannungsversorgung signaltechnisch sicher ist. Von einem durch Vervielfachung der Nutzinformation gesicherten parallel anstehenden Eingabewert wird jeweils eine vollständige Nutzin format ion auf je eine Eingabeeinheit eines jeden Rechnerkanals geführt* Bei anders gesicherten, parallel anstehenden, Eingabewerten ist sowohl die Nutzinformation als auch die Sicherungsinforraation auf je eine Eingabeeinheit eines jeden Rechnerkanals geführt. Eingabewerte, die beiden Rechnerkanälen zugeführt werden, werden durch eine an sich bekannte Eingabesteuereinrichtung für die Zeit des Einlesens fixiert. Für parallele Ausgaben sind Ausgabevergleicher redundant aufgebaut, so daß sie dadurch ein bestimmtes Ausfallverhalten zeigen und bei Kurzschluß von Schaltern im Ausgabevergleicher AusfallEnsuring the block-synchronous operation at the beginning of each logically new processing step and operate independently of communication, one or more two-channel, dynamically controlled fail-safe power supplies each one or a group of output comparators, each of which has a specific failure behavior and either itself or within the associated group in connection with their power supply is technically safe. From one by multiplying the payload secured parallel pending input value is a complete Nutzin ion each guided to an input unit of each computer channel * With differently secured, parallel pending input values, both the payload and the backup information on each input unit of each computer channel , Input values that are supplied to both computer channels are fixed by a known input control device for the time of reading. For parallel outputs, output comparators are redundantly constructed so that they show a certain failure behavior and in case of short circuit of switches in the output comparator failure

von Ausgabeeinheiten oder deren Rückmeldeeingaben solange aktiv bleiben können,bis die Sicherheit bei Hinzutreten eines weiteren Ausfalls nicht mehr gewährleistet werden kann und deren Spannungsversorgung vor diesem Ausfall sicher abgeschaltet wird.of output units or their feedback inputs can remain active until the safety can no longer be guaranteed if a further failure occurs and their power supply is safely switched off before this failure.

Die erfindungsgemäße Datenverarbeitungseinrichtung besteht aus zwei voneinander unabhängigen Rechnerkanälen, deren übereinstimmende Programme blocksynchron ablaufen. Ergänzt sind die Rechnerkanäle durch Ausgabevergleicher und eine oder mehrere zweikanalig, dynamisiert gesteuerte, signaltechnisch sichere Spannungsversorgungen, die jeweils eine Gruppe von Ausgabevergleichern versorgen, von denen jeder die ihm angebotenen Signale nur dann passieren lassen, wenn diese übereinstimmen.The data processing device according to the invention consists of two independent computer channels whose matching programs run in block synchrony. The computer channels are supplemented by output comparators and one or more two-channel, dynamically controlled, fail-safe power supplies, each supplying a group of output comparators, each of which can only pass the signals offered to him, if they match.

Zur blocksynchronen Arbeitsweise kommunizieren die Rechnerkanäle zu bestimmten Zeitpunkten und Ereignissen miteinander über die Rechnerkanalkopplung mit angeschlossenem Datenvergleich in jedem Rechnerkanal«For block-synchronous operation, the computer channels communicate at certain times and events with each other via the computer channel coupling with connected data comparison in each computer channel. "

Die Kommunikation erfolgt mindestensThe communication takes place at least

- nach Übernahme eines Eingabewertes oder mehrerer Eingabewerte- after taking over an input value or several input values

- zur Prüfung auf Fehlerfreiheit des Eingebens, wobei nach Feststellung eines ausfallbedingten Fehlers weitere Werte der betroffenen Eingabeeinheit und der entsprechenden des anderen Rechnerkanals ignoriert werden;- to check for accuracy of input, after further detection of a failure due to failure, further values of the affected input unit and the corresponding of the other computer channel are ignored;

- zur Gewährleistung der Verarbeitung gleicher Werte trotz unterschiedlicher Eingangsdaten der Rechner, indem bei unterschiedlichen Werten die zuletzt in beiden Rechnerkanälen übereinstimmenden Werte verarbeitet werden j- to ensure the processing of the same values despite different input data of the computers, by processing at different values the most recent values in both computer channels j

- vor Ausgaben eines neuen Wertes- before spending a new value

- zur Prüfung auf Fehlerfreiheit der Verarbeitung, wobei nach Feststellung eines Fehlers die Spannungsversorgungen der Ausgabevergleicher von mindestens einem Rechnerkanal sicher abgeschaltet werden, indem die Ausgabe des als fehlerfrei angenommenen dynamisierten Steuersignals für die sichere Spannungsversorgung bewußt unterlassen wird;- To check for accuracy of the processing, wherein after detection of a fault, the power supplies of the output comparator of at least one computer channel safely be turned off by the output of the assumed as error-free dynamic control signal for the safe power supply is deliberately omitted;

- vor jedem programmgesteuerten Setzen einer Interruptsperre bzw. im regulären Betrieb nach jeder Unterbrechung eines laufenden Programms durch ein anderes- before each program-controlled setting of an interrupt inhibit or in regular operation after each interruption of a running program by another

- zur Gewährleistung des logisch gleichartigen Ablaufs der parallelredundant arbeitenden Rechnerkanäle,to ensure the logically similar sequence of parallel redundant computer channels,

wobei nach einer Kommunikation aus unterschiedlichen Anlässen in den Rechnerkanälen durch eine geeignete Prioritätsregelung beide Rechnerkanäle an einander entsprechenden Punkten weiterarbeiten.wherein after a communication from different occasions in the computer channels by a suitable priority control both computer channels continue to work on corresponding points.

Die Kommunikation geschieht über eine zweikanalige Rechnerkanalkopplung pro Rechnerkanal, bei der jeder Kanal der Rechnerkanalkopplung einer Übertragungsrichtung zugeordnet ist und aus raehrbitbreiten FIFO-Speichern besteht, die von dem zugehörigen Rechnerkanal entweder nur beschrieben oder nur gelesen werden können« Die Rechnerkanalkopplungen sind so miteinander verbunden, daS die von einem ^Rechnerkanal geschriebenen Daten nach automatischer übertragung in die Rechnerkanalkopplung des anderen Rechnerkanals nur von diesem dort gelesen werden können» Die Rechnerkanalkopplung wird in vorteilhafter Weise ergänzt durch einen programmgesteuerten Datenvergleich in jedem Rechnerkanal, der bei Vergleich die Daten des anderen Rechnerkanals zerstört, so daß die Daten der Rechnerkanäle physikalisch voneinander getrennt gehalten werden« Bei jeder Kommunikation wird - wenn notwendig - einThe communication takes place via a two-channel computer channel coupling per computer channel, in which each channel of the computer channel coupling is associated with a transmission direction and raehrbitbreiten FIFO memories that can be either only described by the associated computer channel or only read "The computer channel couplings are interconnected so the data written by a computer channel after automatic transmission in the computer channel coupling of the other computer channel can only be read there by the computer »The computer channel coupling is advantageously supplemented by a program-controlled data comparison in each computer channel, which destroys the data of the other computer channel in comparison, so that the data of the computer channels are kept physically separate from each other «With each communication becomes - if necessary - one

Organisationskennzeichen übertragen, aus dem ersichtlich ist, aus welchem Anlaß kommuniziert wird. Bei unterschiedlichen Anlässen, erkennbar an den unterschiedlichen Organisationskennzeichen» wird durch eine Prioritätsregelung dafür gesorgt, daß nach der Kommunikation beide Rechnerkanäle an einander entsprechenden Programmpunkten weiterarbeiten. Bei einem Komraunikationsversuch von nur einem Rechnerkanal, bei dem der andere Rechnerkanal nicht innerhalb einer bestimmten Zeitdauer seine Bereitschaft zur Kommunikation gezeigt hat, werden die Spannungsversorgungen der Ausgabevergleicher von dem Rechnerkanal sicher abgeschaltet, dessen Kommunikationsversuch gescheitert war. So ist es möglich, zeitliche Abweichungen im Programmlauf der Rechnerkanäle zu erkennen, innerhalb vorgegebener Grenzen zu tolerieren und auszugleichen bzw. bei nicht tolerierbaren zeitlichen Abweichungen die Spannungsversorgungen der Ausgabevergleicher abzuschalten.Organizational indicator transmitted from which it is apparent on what occasion is communicated. On different occasions, recognizable by the different organization marks ", priority is given to ensure that both computer channels continue to work on corresponding program points after the communication. In a Komraunikationsversuch of only one computer channel, in which the other computer channel has not shown its willingness to communicate within a certain period of time, the power supplies of the output comparator safely shut down from the computer channel, the communication attempt was failed. Thus, it is possible to detect deviations in the program run of the computer channels, to tolerate and compensate within predetermined limits or to switch off the power supplies of the output comparators in the case of intolerable time deviations.

Diese Art der Rechnerkanalkopplung und Kommunikation der Rechnerkanäle ist nicht auf zweikanalige Systeme beschränkt, sondern kann auf mehrkanalige Systeme, insbesondere adaptive zwei-aus-drei-Systeme übertragen werden.This type of computer channel coupling and communication of the computer channels is not limited to two-channel systems, but can be transferred to multi-channel systems, in particular adaptive two-out-of-three systems.

Ausführungsbeispielembodiment

Die Einrichtung gemäß der Erfindung wird im folgend beschriebenen Ausführungsbeispiel an Hand der Zeichnung näher erläutert. In dem dargestellten Ausführungsbeispiel besteht die Einrichtung nach der Erfindung aus zwei Kanälen, jedoch können aus Verfügbarkeitsgründen auch drei Kanäle vorgesehen werden. Ebenso ist es möglich, eine solche Einrichtung mitThe device according to the invention will be explained in more detail in the following described embodiment with reference to the drawing. In the illustrated embodiment, the device according to the invention consists of two channels, however, three channels can be provided for availability reasons. Likewise, it is possible to use such a device

einer weiteren oder mehreren zu einem Multiprocessingsystern zu verbinden«one or more to connect to a multiprocessing system «

In der Fig. 1 sind mit A und B zwei Rechnerkanäle durch gestrichelte Umrandung bezeichnet, die in ihrer Struktur vollkommen gleich aufgebaut sind. Der Rechnerkanal A hat folgende Struktur:In Fig. 1, A and B are two computer channels indicated by dashed border, which are constructed in its structure completely the same. The computer channel A has the following structure:

an einem Bus 15 liegen die Zentraleinheit 11 mit Arbeitsund Programmspeicher und eine Rechnerkanalkopplung 13. Die Arbeits- und Programmspeicher lassen sich im Bedarfsfall durch zusätzliche Baugruppen erweitern.on a bus 15 are the central unit 11 with work and program memory and a computer channel coupling 13. The work and program memory can be expanded if necessary by additional modules.

Die Zentraleinheit 11 steuert über den Ein- und Ausgabebus 16 die Eingabeeinheiten 18a; 18b; 19, die Ausgabeeinheiten 17; 12. Die Ein- und Ausgabeeinheiten unterscheiden sich bezüglich bitparalleler oder bitserieller Ein- oder Ausgabe. Im zweiten Rechnerkanal S sind die Zentraleinheit (mit Arbeitsund Programmspeicher) mit 21, der interne Bus mit 25, die Rechnerkanalkopplung mit 23, der Ein-Ausgabe-8us mit 25, die Eingabeeinheiten mit 28a; 28b; 29, die Ausgabeeinheit mit 27 und 22 bezeichnet.The central unit 11 controls the input units 18a via the input and output bus 16; 18b; 19, the output units 17; 12. The input and output units differ with regard to bit-parallel or bit-serial input or output. In the second computer channel S, the central unit (with working and program memory) with 21, the internal bus with 25, the computer channel coupling with 23, the input-output 8us with 25, the input units with 28a ; 28b; 29, the output unit denoted by 27 and 22.

Für gesicherte Eingabe- und Ausgabewerte sind die Ein- und Ausgabeeinheiten in beiden Rechnerkanälen identisch vorhanden. Hierdurch lassen sich Einfachfehler und Leitungsunterbrechungen erkennen. Diese können somit nicht zu einem falschen Ergebnis führen.For secure input and output values, the input and output units are identical in both computer channels. As a result, single errors and line breaks can be detected. These can not lead to a wrong result.

In Fig. 1 sind zwei Eingabetypen dargestellt: Bei dem einen Eingabetyp wird von einem durch Verdoppelung der Nutzinformation gesichertem, parallel anstehenden Eingabewert je eine vollständige Nutzinformation von den Rechner-In FIG. 1, two types of input are shown: In the one input type, a complete payload from the computation is provided by a parallel input value saved by doubling the payload.

kanälen A und B rait den Singabeeinheiten 19 bzw. 29 eingelesen. Bei einem zweikanaligen System können die beiden Nutzinformationen zueinander äquivalent oder antivalent sein.Channels A and B have been read in by the variable units 19 and 29, respectively. In a two-channel system, the two payloads may be equivalent or complementary to each other.

Unterschiede, die beim Einlesen Qer Eingabewerte auftreten, werden mittels Datenvergleich in beiden Rechnerkanälen erkannt. Hierzu werden die zu vergleichenden Daten über die Rechnerkanalkopplungen ausgetauscht. Beim anschließenden Datenvergleich werden die Daten des korrespondierenden Rechnerkanals vernichtet«Differences that occur when reading Qer input values are detected by means of data comparison in both computer channels . For this purpose, the data to be compared is exchanged via the computer channel couplings. During the subsequent data comparison, the data of the corresponding computer channel are destroyed «

Wegen der Identität der Vergleichserzeugnisse erkennen beide Rechnerkanäle in gleicher W/eise, ob die verglichenen Daten übereinstimmten. In beiden Rechnerkanälen v/erden nach dem Vergleich die zuletzt in beiden Rechnerkanälen übereinstimmenden Werte von den übereinstimmenden Programmen verarbeitet.Because of the identity of the comparison products, both computer channels recognize in the same way whether the compared data match. In both computer channels, after the comparison, the values last matched in both computer channels are processed by the matching programs.

Bei dem anderen Eingabetyp wird von einem aus Nutz- und Sicherungsinformation bestehenden, parallel anstehenden Eingabewert sowohl die Nutzinformation als auch die Sicherheitsinformation den Eingabeeinheiten 18a und 18b des Rechnerkanals A und .den Eingabeeinheiten 28a und 28b des Rechnerkanals B zugeführt. In vorteilhafter Weise kann durch eine schon bekannte Eingabesteuerung erreicht werden, daß zum Zeitpunkt des Einlesens der Daten, diese fixiert sind und damit einander entsprechende Eingabeeinheiten übereinstimmende Werte erfassen. In jedem Rechnerkanal wird geprüft, ob die aus der Nutzinformation ableitbare Sicherungsinformation mit der eingelesenen Sicherungsinformation übereinstimmt.In the other input type, both the payload information and the security information are supplied to the input units 18a and 18b of the computer channel A and to the input units 28a and 28b of the computer channel B by a parallel pending input value consisting of payload and backup information. Advantageously, it can be achieved by an already known input control that at the time of reading in the data, these are fixed and thus capture mutually corresponding input units matching values. In each computer channel is checked whether the derivable from the payload backup information matches the read backup information.

Die Ausgabe an den Prozeß erfolgt über getrennte Ausgabeeinheiten pro Rechnerkanal. In der Fig. 1 ist eine Ausgabe dar-The output to the process via separate output units per computer channel. In FIG. 1, an output is shown.

gestellt, bei der die Daten der beiden Ausgabeeinheiten 17; 27 in einem Ausgabe-Vergleicher 2 fail-safe verglichen werden. Nur bei zeitlicher und inhaltlicher Übereinstimmung der Daten werden diese an den Prozeß ausgegeben. Anderenfalls sperrt dar Ausgsbe-Vergleicher 2 die Ausgabe. Die Sperrung erfolgt auch bei einem Fehler im Vergleicher. Die Sperrung kann nur gezielt rückgängig gemacht werden. Die Ausgabevergleicher werden durch die zweikanalig, dynamisiert angesteuerte signaltechnisch sichere Spannungsversorgung mit Spannung versorgt. Bei sicherer Abschaltung der Spannungsversorgung wird die· Ausgabe gesperrt.provided in which the data of the two output units 17; 27 are compared in an output comparator 2 fail-safe. Only if the data matches in terms of time and content will these be output to the process. Otherwise, the output comparator 2 blocks the output. The blockage also occurs in the event of a fault in the comparator. The blocking can only be undone specifically. The output comparators are supplied with voltage by the two-channel, dynamically controlled signal-technically safe power supply. If the power supply is switched off safely, the output is disabled.

Die Verarbeitung in den Rechnerkanälen erfolgt zyklisch. Hierzu wird von jedem Rechnerkanal ein Zeitinterrupt gebildet. In der Zeit zwischen zwei Zeitinterrupten werden die Prozeßeingaben eingelesen, findet die Programmverarbeitung statt und werden die Ausgaben an den Prozeß durchgeführt. In den Rechnet=· kanälen werden hierbei periodisch Steuersignale Ll; L2 gebildet, die mit jedem Zeitinterrupt zwischen "H" und "L" wechseln und der sicheren Spannungsversorgung 1 über die Ausgabeeinheiten 12; 22 zugeführt. In der sicheren Spannungsversorgung 1 werden diese Steuersignale fail-safe auf Polarität und Gleichzeitigkeit überwacht. Die Zeiten sind sowohl von den Rechnerkanälen aus auch auf der sicheren Spannungsversorgung 1 einstellbar. Stimmen die Zeiten nicht überein, so wird die Versorgungsspannung für die Ausgabevergleicher 2 sicher abgeschaltet.The processing in the computer channels takes place cyclically. For this purpose, a time interrupt is formed by each computer channel. In the time between two time interrupts, the process inputs are read in, the program processing takes place, and the outputs to the process are executed. In the computation channels, control signals Ll are periodically interpolated; L2 formed, which change with each time interrupt between "H" and "L" and the secure power supply 1 via the output units 12; 22 supplied. In the safe power supply 1, these control signals are fail-safe monitored for polarity and simultaneity. The times can be set from the computer channels to the safe power supply 1 as well. If the times do not match, the supply voltage for the output comparator 2 is safely switched off.

Der Start der Datenverarbeitungseinrichtung wird automatisch mit Einschalten der Spannungsversorgung für die Rechnerkanäle und für die sichere Spannungsversorgung 1 vorgenommen. Im Rahmen einer Initialisierung wird die einwandfreie Funktion der Datenverarbeitungseinrichtung festgestellt« DanachThe start of the data processing device is automatically made when switching on the power supply for the computer channels and for the safe power supply 1. As part of an initialization, the proper functioning of the data processing device is determined «Thereafter

wird von beiden Rechnerkanälen gleichzeitig ein Startsignal STl; ST2 ausgegeben, das in der sicheren Spannungsversorgung 1 fail-safe geprüft wird. Damit wird die Versorgungsspannung für die Ausgabevergleicher freigegeben.is from both computer channels simultaneously a start signal STl; ST2, which is tested fail-safe in the safe power supply 1. This releases the supply voltage for the output comparators.

Im Fehlerfall und bei bewußter Unterdrückung des Steuersignals durch mindestens einen der Rechnerkanäle wird die Versorgungsspannung der Ausgabevergleicher abgeschaltet. Eine Wiedereinschaltung ist nur bei Fehlerfreiheit der sicheren Spannungsversorgung durch fehlerfreien automatischen Einschaltvorgang möglich.In case of error and deliberate suppression of the control signal by at least one of the computer channels, the supply voltage of the output comparator is turned off. Reclosing is only possible with fault-free operation of the safe power supply by a fault-free automatic switch-on process.

Die Fig. 2 zeigt eine Ausgabe mit einem redundant aufgebauten Ausgabevergleicher, der in Fig. 1 mit 2 bezeichnet ist. Dieser umfaßt je Rechnerkanal zwei elektronische Leistungsschalter 2a; 2b; 2c; 2d, die über die Ausgabeeinheiten 17a; 17b; 27a; 27b gleichartig angesteuert werden, so daß im ausfallfreien Fall alle vier Schalter die gleiche Stellung haben. Um die Schaltstellung von den Rechnerkanälen erfassen zu können, gibt es zu jedem Schalter eine Rückmeldung 17c; 17d; 27c; 27d in den zugehörigen Rechnerkanal. Die Leistungsschalter können wie in Fig. 2 so verschaltet werden, daß zwei Schalter, die nicht von demselben Rechnerkanal angesteuert werden, zueinander parallel liegen und beide in Serie zu den beiden anderen in Serie liegenden Schaltern. Wie leicht erkennbar, läSt sich durch Modifikation der Verschaltung auch ein rein zweikanalig aufgebauter Ausgabevergleicher als auch ein einkanalig aufgebauter Ausgabevergleicher (Serienschaltung der vier Leistungsschalter) hieraus ableiten.FIG. 2 shows an output with a redundantly constructed output comparator, which is designated 2 in FIG. This includes per computer channel two electronic circuit breaker 2a; 2 B; 2c; 2d, via the output units 17a; 17b; 27a; 27b are driven similarly, so that all four switches have the same position in the failure-free case. In order to detect the switching position of the computer channels, there is a feedback 17c to each switch; 17d; 27c; 27d in the associated computer channel. The circuit breakers can be connected as shown in Fig. 2 so that two switches, which are not driven by the same computer channel, are parallel to each other and both in series with the other two in series switches. As can easily be seen, a purely dual-channel output comparator as well as a single-channel output comparator (series connection of the four circuit breakers) can be derived from this by modification of the interconnection.

Durch zyklische Oberprüfung der einzelnen Elemente des Ausgabe-Vergleichers 2 lassen sich Ausfälle rechtzeitig offen-By cyclically checking the individual elements of the output comparator 2, failures can be opened in good time.

baren. Hierbei werden die Ergebnisse der Prüfung von beiden Rechnerkanälen verglichen. Einzelne Fehler in den Ein- oder Ausgabeeinheiten oder in den Ausgabeschaltern lassen sich tolerieren, ohne die Sicherheit zu beeinflussen. Kann bei Eintreten eines weiteren Ausfalls die Sicherheit nicht mehr gewährleistet werden, so wird die Versorgungsspannung der Ausgabevergleicher sicher abgeschaltet, indem die Ausgabe des als fehlerfrei angenommenen dynamisierten Steuersignals für die sichere Spannungsversorgung 1 von mindestens einem Rechnerkanal unterlassen wird.cash. Here, the results of the test are compared by both computer channels. Individual errors in the input or output units or in the output switches can be tolerated without affecting the safety. If safety can no longer be guaranteed if another failure occurs, the supply voltage of the output comparator is safely switched off by omitting the output of the dynamic safe voltage supply control signal 1 accepted as faultless from at least one computer channel.

Claims (4)

Erfindungsanspruchinvention claim 1. Signaltechnisch sichere Datenverarbeitungseinrichtung mit mindestens zwei Kanälen, die jeweils einen Rechner enthalten» welche Eingangsdaten nach übereinstimmenden Programmen blocksynchron verarbeiten, wobei die Ausgangssignale der Kanäle, die die Ausgangssignale der Datenverarbeitungseinrichtung erzeugen sollen, Ausgabevergleichern zugeführt werden, die diese Signale nur bei Übereinstimmung passieren lassen und sonst ein ungefährliches Standardsignal abgeben}
gekennzeichnet durch folgende Merkmale:1. Signal-technically secure data processing device with at least two channels, each containing a computer »which process input data for matching programs block synchronous, the output signals of the channels that are to produce the output signals of the data processing device, output comparators are supplied, which can pass these signals only if they match and otherwise deliver a harmless standard signal }
characterized by the following features: - die Rechnerkanäle (A; 3), jeweils bestehend aus einer Zentraleinheit (11 bzw. 21) mit Programm- und Arbeitsspeicher, Ein- und Ausgabeeinheiten (18a; 18b; 19; 12; 17 bzw. 28a; 28b; 29; 22; 27) mit zugehörigem E/A-Bus (16 bzw. 26) sowie einer zweikanaligen Rechnerkanalkopplung (13 bzw. 23), die entweder über den E/A-Bus (16 bzw. 26) oder den internen Bus (15 bzw. 25) betrieben wird, kommunizieren zu definierten Zeitpunkten oder Ereignissen über die zweikanalige Rechnerkanalkopplung mit angeschlossener programmgesteuerten Datenvergleich in jedem Rechnerkanal miteinander zur- The computer channels (A; 3), each consisting of a central unit (11 or 21) with program and memory, input and output units (18a; 18b; 19; 12; 17 or 28a; 28b; 29; 22; 27) with associated I / O bus (16 or 26) as well as a two-channel computer channel coupling (13 or 23), either via the I / O bus (16 or 26) or the internal bus (15 or 25 ) is operated at defined times or events via the two-channel computer channel coupling with connected program-controlled data comparison in each computer channel with each other for - Prüfung auf fehlerfreie Dateneingabe und Verarbeitung, wobei nach Feststellung eines ausfallbedingten Fehlers die betroffene Einrichtung isoliert bzw. die Spannungsversorgung des Ausgabevergleicher (2) sicher abgeschaltet wird,Checking for error-free data input and processing, whereby the affected device is isolated or the power supply of the output comparator (2) is safely switched off after a failure-related fault has been detected, - Gewährleistung gleichartiger Verarbeitung trotz unterschiedlicher Eingangsdaten der Rechner,- guaranteeing similar processing despite different input data of the computers, - Gewährleistung der blocksynchronen Arbeitsweise bei Beginn eines jeden logisch neuen Verarbeitungsschrittes Ensuring the block-synchronous operation at the beginning of each logically new processing step und arbeiten trotz Kommunikation unabhängig vonein-3Πυ3Γj and work despite communication independently vonein-3Πυ3Γj - eine oder mehrere zweikanalig, dynamisiert gesteuerte signaltechnisch sichere Spannungsversorgungen (1) versorgen jeweils einen oder eine Gruppe von Ausgabevergleichern (2), von denen jeder ein bestimmtes Ausfallverhalten besitzt und entweder selbst oder innerhalb der zugehörigen Gruppe in Verbindung mit ihrer Spannungsversorgung signaltechnisch sicher ist.- One or more two-channel, dynamically controlled fail-safe power supplies (1) provide each one or a group of output comparators (2), each of which has a specific failure behavior and either itself or within the associated group in connection with their power supply signal technically safe. 2. Datenverarbeitungseinrichtung nach Punkt 1, gekennzeichnet dadurch, daß von einem durch Vervielfachung der Nutzinforraation gesicherten parallel anstehenden Eingabewert jeweils eine vollständige Nutzinformation auf je eine Eingabeeinheit (19 bzw. 29} eines jeden Rechnerkanals geführt wird und daß bei anders gesicherten parallel anstehenden Eingabewerten sowohl die Nutzinformation als auch die Sicherungsinformation auf je eine Eingabeeinheit (18a; 18b; bzw« 28a; 28b) eines jeden Rechnerkanals geführt ist.2. Data processing device according to item 1, characterized in that from one by multiplying the Nutzinforraation secured parallel pending input value each a complete payload on each input unit (19 or 29} of each computer channel is performed and that in otherwise secured parallel pending input values both the Payload as well as the backup information on each input unit (18a, 18b, or "28a; 28b) is guided by each computer channel. 3. Datenverarbeitungseinrichtung nach Punkt 2., gekennzeichnet dadurch, daß Eingabewerte, die beiden Rechnerkanälen zugeführt werden, durch eine an sich bekannte Eingabesteuereinrichtung für die Zeit des Einlesens fixiert werden.3. Data processing device according to item 2, characterized in that input values which are supplied to both computer channels are fixed by a known input control device for the time of reading. 4. Datenverarbeitungseinrichtung nach Punkt 1, gekennzeichnet dadurch, daß Ausgabevergleiche (2) für parallele4. Data processing device according to item 1, characterized in that output comparisons (2) for parallel Ausgaben redundant aufgebaut sind, so daß sie dadurch ein bestimmtes Ausfallverhalten zeigen und bei Kurzschluß von Schaltern im Ausgabevergleicher Ausfall von Ausgabeeinheiten oder deren Rückraeldeeingaben solange aktiv bleiben können, bis die Sicherheit bei Hinzutreten eines weiteren Ausfalls nicht mehr gewährleistet werden kann und deren Spannungsversorgung vor diesem Ausfall sicher abgeschaltet wird.Issues are redundant, so that they show a certain failure behavior and short circuit of switches in the output comparator failure of output units or their Rückraeldeeingaben can remain active until the safety can not be guaranteed in case of further failure and their power supply before this failure safely shut off. Hierzu 2 Seiten Zeichnungen ,·2 pages drawings, ·
DD85274552A 1984-03-30 1985-03-28 SIGNAL TECHNOLOGY SAFE DATA PROCESSING DEVICE DD231869A5 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19843412049 DE3412049A1 (en) 1984-03-30 1984-03-30 SIGNAL-SAFE DATA PROCESSING DEVICE

Publications (1)

Publication Number Publication Date
DD231869A5 true DD231869A5 (en) 1986-01-08

Family

ID=6232226

Family Applications (1)

Application Number Title Priority Date Filing Date
DD85274552A DD231869A5 (en) 1984-03-30 1985-03-28 SIGNAL TECHNOLOGY SAFE DATA PROCESSING DEVICE

Country Status (12)

Country Link
EP (1) EP0156388A3 (en)
JP (1) JPS60214048A (en)
AU (1) AU572975B2 (en)
CA (1) CA1226069A (en)
DD (1) DD231869A5 (en)
DE (1) DE3412049A1 (en)
DK (1) DK128085A (en)
ES (1) ES8607583A1 (en)
FI (1) FI850869L (en)
HU (1) HU193090B (en)
YU (1) YU22685A (en)
ZA (1) ZA852137B (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4959836A (en) * 1987-12-09 1990-09-25 Siemens Transmission Systems, Inc. Register robustness improvement circuit and method
DE4107639A1 (en) * 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag DEVICE FOR SIGNAL-SAFE REMOTE CONTROL OF A SUBSTATION IN A RAILWAY SYSTEM
JP3216996B2 (en) * 1996-07-19 2001-10-09 三菱電機株式会社 Dual electronic interlocking device
GB0602641D0 (en) 2006-02-09 2006-03-22 Eads Defence And Security Syst High speed data processing system

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2182259A5 (en) * 1972-04-24 1973-12-07 Cii
DE2939935A1 (en) * 1979-09-28 1981-04-09 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt SECURE DATA PROCESSING DEVICE
DE3003291C2 (en) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Two-channel data processing arrangement for railway safety purposes
JPS57164636A (en) * 1981-04-03 1982-10-09 Hitachi Ltd Control method for transmission system
DE3211265C2 (en) * 1982-03-26 1984-06-20 Siemens AG, 1000 Berlin und 8000 München Two-channel fail-safe microcomputer switchgear, especially for railway safety systems
DE3279929D1 (en) * 1982-06-16 1989-10-12 Boeing Co Autopilot flight director system
AU3746585A (en) * 1983-12-12 1985-06-26 Parallel Computers Inc. Computer processor controller

Also Published As

Publication number Publication date
DK128085A (en) 1985-10-01
YU22685A (en) 1987-10-31
ZA852137B (en) 1985-11-27
DE3412049A1 (en) 1985-10-17
CA1226069A (en) 1987-08-25
EP0156388A2 (en) 1985-10-02
ES8607583A1 (en) 1986-06-01
HUT37517A (en) 1985-12-28
JPS60214048A (en) 1985-10-26
DK128085D0 (en) 1985-03-21
ES541268A0 (en) 1986-06-01
AU572975B2 (en) 1988-05-19
AU4006685A (en) 1985-10-03
FI850869L (en) 1985-10-01
FI850869A0 (en) 1985-03-04
HU193090B (en) 1987-08-28
EP0156388A3 (en) 1988-07-27

Similar Documents

Publication Publication Date Title
EP0972389B1 (en) Security control system, method for the operation thereof
DE19643092C2 (en) Field data bus system
EP0092719B1 (en) Arrangement for the coupling of digital processing units
EP1743225B1 (en) Redundant computerizing system comprising a master programmable automaton and a standby programmable automaton
DE4032033C2 (en)
DE2612100A1 (en) DIGITAL DATA PROCESSING ARRANGEMENT, IN PARTICULAR FOR RAILWAY SAFETY TECHNOLOGY
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
EP0543821B1 (en) Device for monitoring the functions of external synchronisation units in a multi-computer system
DE2729362B1 (en) Digital data processing arrangement, in particular for railway safety technology, with switchgear processing the same information in two channels
DE2651314C2 (en) Safety output circuit for a data processing system that emits binary signals
EP0996060A2 (en) Single processor system
EP0770942A2 (en) Arrangement to record and/or process signals from electrical components which fulfil technical security purposes or conditions for the apparatus of the installation
DE2647367C3 (en) Redundant process control arrangement
DE10302456A1 (en) Computer device for safety-critical applications has at least a processor unit and memory unit with both units situated on the same chip surface
DD231869A5 (en) SIGNAL TECHNOLOGY SAFE DATA PROCESSING DEVICE
DE2134079B2 (en) Arrangement for redundant process computer control
EP0059789B1 (en) Device for testing the functions of a multi-computer system
DE2939935A1 (en) SECURE DATA PROCESSING DEVICE
WO1992003787A1 (en) Highly safe multi-computer system with three computers
EP0077450B1 (en) Security output circuit for a data processing equipment emitting binary signal pairs
EP0404992B1 (en) Method for operating with a high availability redundant data-processing units
EP0271807A2 (en) Fault-tolerant computing system and method for detecting, localising and eliminating failing units in such a system
EP0090162B1 (en) Two-channels fail-safe microcomputer switching network, in particular for railway security systems
DE19543817C2 (en) Method and arrangement for checking and monitoring the operation of at least two data processing devices with a computer structure
DE19619886C2 (en) Control and data transmission system with partially redundant bus system