DD240457A1 - INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY - Google Patents

INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY Download PDF

Info

Publication number
DD240457A1
DD240457A1 DD27993485A DD27993485A DD240457A1 DD 240457 A1 DD240457 A1 DD 240457A1 DD 27993485 A DD27993485 A DD 27993485A DD 27993485 A DD27993485 A DD 27993485A DD 240457 A1 DD240457 A1 DD 240457A1
Authority
DD
German Democratic Republic
Prior art keywords
computer
module
switching
modules
information
Prior art date
Application number
DD27993485A
Other languages
German (de)
Inventor
Hans-Joachim Stoll
Norbert Kucharzyk
Juergen Nikolaizik
Udo Kretzschmann
Ulrich Saffert
Original Assignee
Verkehrswesen Forsch Inst
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Verkehrswesen Forsch Inst filed Critical Verkehrswesen Forsch Inst
Priority to DD27993485A priority Critical patent/DD240457A1/en
Publication of DD240457A1 publication Critical patent/DD240457A1/en

Links

Landscapes

  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft eine Schaltungsanordnung zur Prozessautomatisierung auf der Basis von (m v n)-Rechnermodulen. Ausgehend von dem Ziel, eine weitere Erhoehung der Zuverlaessigkeit von komplexen Automatisierungssystemen zu erreichen, stellt sich die Erfindung die Aufgabe, mit Hilfe einer Schaltungsanordnung eine bestimmte Klasse von Mehrfachfehlern in diesem Automatisierungssystem zu vermeiden, d. h. dass diese bestimmte Klasse von Mehrfachfehlern toleriert wird. Erfindungsgemaess wird die Aufgabe durch eine direkte Kopplung zwischen den Rechnern Rj (j1 bis n) der beteiligten (m v n)-Module mit zusaetzlichen Umschalteinrichtungen Sj an jeden der Ein-Ausgabeeinheiten E/A2 der Rechner Rj der Module geloest, wobei die Schaltstellung 1 der Umschalteinrichtungen Sj jeweils zyklisch vertauscht mit den Rechnern Rj des Moduls so verbunden sind, dass gilt, dass die Ein-Ausgabeeinheit E/A2 des Rechners Ri (i1 bis n-1) auch mit der Schalterstellung 1 der Umschalteinrichtung Si1 und letztlich der Rechner Rn ueber seine Ein-Ausgabeeinheit E/A2 mit der Schalterstellung 1 der Umschalteinrichtung S1 verbunden ist. Dabei wird die Umschaltung der Umschalteinrichtungen Sj auf die Schalterstellungen 0; 1; 2 durch die den Rechnern Rj zugeordneten Steuereinrichtungen SEj vorgenommen, in den ein (m v n)-Vergleich der als Stellbefehl ausgegebenen Adressen erfolgt. Fig. 1The invention relates to a circuit arrangement for process automation based on (m v n) computer modules. Based on the goal of achieving a further increase in the reliability of complex automation systems, the invention has the object to avoid with the help of a circuit arrangement a certain class of multiple errors in this automation system, d. H. that this particular class is tolerated by multiple errors. According to the invention, the object is achieved by a direct coupling between the computers Rj (j1 to n) of the participating (mvn) modules with additional switching devices Sj to each of the input / output units E / A2 of the computers Rj of the modules, wherein the switching position 1 of the switching devices Sj are each cyclically interchanged with the computers Rj of the module are connected so that it holds that the input-output unit E / A2 of the computer Ri (i1 to n-1) with the switch position 1 of the switching device Si1 and ultimately the computer Rn on his Input-output unit E / A2 is connected to the switch position 1 of the switching device S1. In this case, the switching of the switching devices Sj to the switch positions 0; 1; 2 by the computers Rj associated control devices SEj made in a (m v n) comparison of the output as a control command addresses. Fig. 1

Description

werden darf, da keine Unabhängigkeit der Informationsbereitstellung für den notwendigen Vergleich gewährleistet ist. Zu den gleichen Wirkungen, wie eben dargestellt, führen z. B. die Ausfallkombinationen R1 (Modul I) und R2 (Modul II), Ri (Modul I) und R3 (Modul II) oder R2 (Modul II) und Ll1. In den dargestellten Ausfällen tritt die Auswirkung eines Zweifachfehlers besonders drastisch in Erscheinung, denn obwohl der Modul Il funktionsfähig und der Modul I im (2 ν 2)-Betrieb weiter arbeitsfähig ist, kann eine Kommunikation nicht erfolgen und das Automatisierungssystem müßte in einen definiert sicheren Zustand überführt werden. ...be allowed, since no independence of information provision is ensured for the necessary comparison. To the same effects, as just shown, z. B. the failure combinations R 1 (module I) and R 2 (module II), Ri (module I) and R 3 (module II) or R 2 (module II) and Ll. 1 In the illustrated failures, the effect of a double error occurs particularly drastically, because although the module II is functional and the module I in (2 ν 2) operation is still working, communication can not be made and the automation system would have to be in a defined safe state be transferred. ...

Die angenommenen Fehlerkombinationen beeinträchtigen sowohl das Zuverlässigkeits- als auch das Sicherheitsniveau einer derartig realisierten Automatisierungsanlage.The assumed error combinations affect both the reliability and the security level of such a realized automation system.

Ziel der ErfindungObject of the invention

Das Ziel der Erfindung ist die Beseitigung der vorgenannten technischen Nachteile und somit eine weitere Erhöhung der Zuverlässikeit von komplexen Automatisierungssystemen, die auf der Basis von (m ν n)-Rechnermodulen (mit m < n) aufgebaut sind. .The object of the invention is the elimination of the aforementioned technical disadvantages and thus a further increase in the reliability of complex automation systems which are constructed on the basis of (m ν n) computer modules (with m <n). ,

Darlegung des Wesens der ErfindungExplanation of the essence of the invention

Der Erfindung liegt die Aufgabe zugrunde, eine Schaltungsanordnung zu schaffen, mit deren Hilfe eine bestimmte Klasse von Mehrfachfehlern in komplexer Automatisierungsanlagen vermieden werden können, d.h. das diese bestimmte Klasse von Mehrfachfehlern toleriert wird.The invention has for its object to provide a circuit arrangement with which a certain class of multiple errors can be avoided in complex automation systems, i. that this particular class of multiple errors is tolerated.

Erfindungsgemäß wird die Aufgabe durch eine direkte Kopplung zwischen den Rechnern R,(j = 1 bis n) der beteiligten (m ν n)-Module mit zusätzlichen Umschalteinrichtungen S, an jedem der Ein-Ausgabe-Einheiten E/A2 der Rechner R, der Module gelöst. Die erfindungsgemäße Schaltungsanordnung besteht aus mindestens zwei (m ν n)-Modulen, wobei jedem Rechner der Module eine Zentrale Vergleichereinheit ZVGLE und zwei Ein-Ausgabe-Einheiten E/Ai und E/A2 zugeordnet sind. Über die Ein-Ausgabe-Einheiten EM1 wird die Modul-Interne-Kopplung MIKzwischen den Einzelrechnern realisiert, d. h. auf diesem Weg geschieht der Informationsaustausch zwischen den „n"-Rechnern eines (m ν n)-Moduls. Die Ein-Ausgabe-Einheit E/A2 dient zum Empfangen bzw. Ausgeben der in den Zentralen Vergleichereinheiten ZVGLE, unter Nutzung der Ein-Ausgabeeinheiten EM1 und der Modul-Internen Kopplung MlK, nach dem (m ν n)-Prinzip zu vergleichenden bzw. verglichenen Informationen. Die Informationen der Rechner R,- werden über der an der Ein-Ausgabe-Einheit E/A2 angeschlossenen Umschalteinrichtung Sj und der dazugehörigen Übertragungsstrecke Üj ausgegeben und empfangen. Die Umschalteinrichtungen Sj können in Form von Multiplexern ausgebildet oder aus Schaltern aufgebaut sein. Die Umschalteinrichtungen S, besitzen drei Schalterstellungen, können aber auch aus zwei in Reihe geschalteten Schaltern mit zwei Schaltstellungen bestehen. Die erfindungsgemäße Schaltungsanordnung besteht aus mindestens zwei (m ν n)-Module, wobei in jedem Rechner Rj eines Models ein (m ν η)-Vergleich, hard- bzw. softwaremäßig realisiert, durchgeführt wird. Die Steuereinrichtungen SEj der Umschalteinrichtungen Sj werden über einen (m ν n)-Vergleich durch die Rechner des zugeordneten (m ν n)-Moduls mit Schaltbefehlen betätigt. An den Schaltstellungen 1 und 2 der Umschalteinrichtungen Sj werden zwei der „n "-Ein-Ausgabe-Einheiten E/A2 der jeweiligen Rechner Rj so angeschlossen, daß an jeder Umschalteinrichtung Sj zwei voneinander unabhängige, durch die Zentrale Vergleichereinheit ZVGLE der Rechner Rj verglichene. Informationen anliegen, die dann entsprechend der Schalterstellung über die Übertragungsstrecke Uj zu den anderen (m vn)-Modul übertragen werden. Für den intakten Zustand der Rechner im Sendemodul gilt, daß die Rechner Rj des Sendemoduls über die Übertragungsstrecken Uj und den Rechnern Rj des Empfängermoduls verbunden sind. Im Fehlerfall d. h. beim Vorliegen einer bestimmten Klasse von Mehrfachfehlern erfolgt in beiden beteiligten Modulen eine entsprechende Betätigung der Umschalteinrichtungen Sj in der Art, daß mindestens „m" voneinander unabhängige Informationen vom Sendemodul zum Empfängermodul gelangen, wodurch der (m ν n)-Vergleich im Empfängermodul ermöglicht wird. Erfindungsgemäß werden die Schaltstellungen 1 der Umschalteinrichtungen Sj jeweils zyklisch vertauscht mit den Rechnern Rj des Moduls so verbunden, daß gilt, daß die Ein-Ausgabe-Einheit E/A2 des Rechners Rj (i = 1 bis n-1) auch mit der Schaltestellung der Umschalteinrichtung Si+1 und letztlich der Rechner Rn über seine Ein-Ausgabe-Einheit E/A2 mit der Schalterstellung 1 der Umschalteinrichtung S1 verbunden ist. Dabei wird die Umschaltung der Umschalteinrichtung Sj auf die Schalterstellungen 0; 1; 2 durch die den Rechnern R1 zugeordneten Steuereinrichtungen SEj vorgenommen, in den ein (m ν n)-Vergleich der als Stellbefehl ausgegebenen Adressen erfolgt.According to the invention, the object is achieved by a direct coupling between the computers R, (j = 1 to n) of the participating (m ν n) modules with additional switching devices S, at each of the input-output units I / O 2 of the computer R, the modules solved. The circuit arrangement according to the invention consists of at least two (m ν n) modules, wherein each computer of the modules a central comparator unit ZVGLE and two input-output units E / Ai and I / O 2 are assigned. By means of the input / output units EM 1 , the module internal coupling MIK is realized between the individual computers, ie in this way the information exchange between the "n" computers of a (m ν n) module takes place The input / output unit I / O 2 is used to receive or output the information to be compared or compared in the central comparator units ZVGLE, using the input / output units EM 1 and the module internal coupling MlK, according to the (mνn) principle Information of the computers R 1 and R 2 are output and received via the switching device Sj connected to the input / output unit I / 2 and the associated transmission link Uj The switching devices Sj can be in the form of multiplexers or constructed from switches , have three switch positions, but can also consist of two switches connected in series with two switching positions ht from at least two (m ν n) modules, wherein in each computer Rj of a model a (m ν η) -Vergleich, hardware or software implemented, is performed. The control devices SEj of the switching devices Sj are actuated via a (m ν n) comparison by the computers of the associated (m ν n) module with switching commands. At the switch positions 1 and 2 of the switching devices Sj, two of the "n" input / output units I / O 2 of the respective computers Rj are connected so that at each switching device Sj two independent, compared by the central comparator unit ZVGLE computer Rj Information which is then transmitted to the other (m vn) module via the transmission path Uj in accordance with the switch position is valid for the intact state of the computers in the transmission module that the computers Rj of the transmission module via the transmission links Uj and the computers Rj des In the case of an error, ie when a particular class of multiple errors is present, a corresponding actuation of the switching devices Sj takes place in both participating modules in such a way that at least "m" independent information reaches from the transmitter module to the receiver module, whereby the (m ν n) -Comparison in the receiver module is enabled. According to the invention, the switch positions 1 of the switching devices Sj are cyclically interchanged with the computers Rj of the module in such a way that the input-output unit I / O 2 of the computer Rj (i = 1 to n-1) is also connected to the switching position the switching device S i + 1 and ultimately the computer R n is connected via its input-output unit I / O 2 with the switch position 1 of the switching device S 1 . In this case, the switching of the switching device Sj to the switch positions 0; 1; 2 by the computers R 1 associated control devices SEj made in the one (m ν n) comparison of the output as a control command addresses.

Ausführungsbeispielembodiment

Nachstehend soll die Erfindung anhand eines Ausführungsbeispiels für (1 ν 3)-Rechnermodule erläutert werden.The invention will be explained below with reference to an exemplary embodiment of (1 ν 3) computer modules.

Fig. 1: zeigt das Prinzip einer rechnergesteuerten direkten mehrkanaligen Verbindung von (2 ν 3)-Modulen.Fig. 1: shows the principle of a computer-controlled direct multi-channel connection of (2 ν 3) modules.

Fig. 2: zeigt zwei Realisierungsvarianten (a und b).der Umschalteinrichtung Sj.2 shows two implementation variants (a and b) of the switching device Sj.

Fig.3: zeigt die Schaltungsanordnung zur Steuerung der Steuereinrichtungen SEj der Umschalteinrichtungen Sj. (In Fig. 1 sind3 shows the circuit arrangement for controlling the control devices SEj of the switching devices Sj. (In Fig. 1 are

die aus Fig.3 ersichtlichen Verbindungen weggelassen) Fig.4: zeigt die Tabelle der zu tolerierenden Klasse von Zweifachfehlern.the connections shown in FIG. 3 have been omitted) FIG. 4: shows the table of the class of double errors to be tolerated.

Fig. 5 zeigt eine andere Ausführungsvariante der Zusammenschaltung der (2 ν 3)-Module.Fig. 5 shows another embodiment of the interconnection of the (2 ν 3) modules.

Wie aus Fig. 1 zu entnehmen ist, sind in den Modulen die Ein-Ausgabe-Einheiten E/A2des Rechners Rj am Eingang 2 der Umschalteinrichtung S1 und an Eingang 1 der Umschalteinrichtung S2, die Ein-Ausgabe-Einheiten EZa2 des Rechners R2 am Eingang 2 der Umschalteinrichtung S2 und am Eingang 1 der Umschalteinrichtung S3 und die Ein-Ausgabe-Einheiten E/A2 des Rechners R3 am Eingang 2 der Umschalteinrichtung S1 angeschlossen. Die Umschalteinrichtungen Sj besitzen drei Schalterstellungen 1,2 und 0 (Fig.2). Im intakten Zustand der Rechner Rj des Sendemoduls erfolgt die Übertragung der verglichenen Informationen über die Schaltstellung 2 der Umschalteinrichtung Sj zum Empfängermodul in der Art„daß der Rechner R1 des Sendemoduls mit dem Rechner Ri des Emofänaermoduls über die Übertragungsstrecke U1 verbunden ist. (Fig. 1)As can be seen from Fig. 1, are in the modules, the input-output units I / O 2 of the computer Rj at the input 2 of the switching device S 1 and input 1 of the switching device S 2 , the input-output units EZa second of the computer R 2 at the input 2 of the switching device S 2 and the input 1 of the switching device S 3 and the input-output units I / O 2 of the computer R 3 at the input 2 of the switching device S 1 connected. The switching devices Sj have three switch positions 1,2 and 0 (Fig.2). In the intact state of the computer Rj of the transmitting module, the transmission of the compared information on the switching position 2 of the switching device Sj to the receiver module in the manner "that the computer R 1 of the transmitting module is connected to the computer Ri of Emofänaermoduls over the transmission path U 1 . (Fig. 1)

Es wird angenommen, daß beim Vergleich mittels der Zentralen Vergleichereinheit ZVGLE vorder Datenübertragung im (2 ν 3)-Sendemodul festgestellt wurde, daß der Rechner R-, ausgefallen ist. Damit arbeitet dieses (2 ν 3)-Modul im (2 ν 2)-Betrieb weiterund die Datenübertragung über die Übertragungsstrecken U2 und L)2 wird freigegeben, nachdem zunächst die Umschalteinrichtung'Si in die Schaltstellung 0 gebracht wurde. An jedem Datenübertragungstelegramm wird das Vergleichsergebnis in Form eines Summenfehlerwortes SFW angehängt, wodurch die Empfänger R2 und R3 im Empfängermodul über den Modulstatus der Sendemoduls (in diesem Fall Ri ausgefallen) informiert werden. Zusätzlich zum Ausfall des Rechners Ri wird jetzt als weiterer Fehler die Unterbrechung der Übertragungsstrecke U2 angenommen, d. h., die Kombination dieser beiden Fehler ist Bestandteil der zu tolerierenden Teilmenge von Zweifachfehlern. Dieser Zweifachfehler wird von dem Informationsverarbeituangssystem auf zweierlei Wegen erkannt, die in ihrem Zusammenwirken die Fehlertoleranz erreichen und das Informationsverarbeitungssystem arbeitsfähig erhalten.It is assumed that, in the comparison by means of the central comparator unit ZVGLE, before data transmission in the (2 ν 3) transmission module, it was determined that the computer R-, has failed. Thus, this (2 ν 3) module continues to operate in (2 ν 2) mode and the data transmission over the transmission links U 2 and L) 2 is released after first the switching device 'Si has been brought into the switching position 0. The comparison result is appended to each data transmission telegram in the form of a sum error word SFW, whereby the receivers R 2 and R 3 in the receiver module are informed about the module status of the transmission module (in this case Ri failed). In addition to the failure of the computer Ri the interruption of the transmission path U 2 is now assumed as another error, ie, the combination of these two errors is part of the tolerable subset of double errors. This double error is recognized by the information processing system in two ways, which in their interaction achieve fault tolerance and keep the information processing system operational.

I.Weg: Der Rechner R2 des Sendemoduls erhält kein Quittungssignal von seinem zugeordneten Rechner R2 im Empfängermodul. Über diesen Sachverhalt wird der funktionsfähige Rechner R3 im Sendemodul über die Modul-Interne Kopplung MIK vom Rechner R2 informiert und es erfolgt in diesem Fall eine Umschaltung in die Schalterstellung 1 durch die Umschalteiririchtung S1 und S3 im Sendemodul, wenn zusätzliche Informationen zum Zweifachfehler über den 2. Weg vorliegen. Das Umschaltesignal ist das Ergebnis eines Mehrheitsentscheides im Sendemodul. Der Umschaltbefehl wird pro Rechner Rj in Form einer Adresse (Fig. 3) ausgegeben, die in einem jeweils den Rechner Rj zugeordneten Dekodierer entschlüsselt wird und nach Vergleich dieserlnformationen die jeweilige Umschaltung durch die Steuereinrichtung SEj bewirkt. Im vorliegenden Fall arbeiten die beiden intakten Rechner R2 und R3 zusammen, wobei die jeweiligen Adressen für die Umschaltung in jedem der Rechner Rj abgespeichert sind. Die Adressenausgabe der Rechner R2 und R3 wird durch fehlende Quittungsinformation im Rechner R2 des Sendemoduls und durch das vom Empfängermodul (2. Weg) übertragene Summenfehlerwort SFWzum Rechner R3 des Sendemoduls initialisiert. Die ausgegebenen drei Adressen werden in den zugeordneten Festwertspeichern ADRVGL nach dem (2 ν 3)-Prinzip auf Übereinstimmung geprüft und führen somit zur Umschaltung auf die Schaltstellung 1 in den Umschalteinrichtungen Si und S3. Es erfolgt die Ausgabe der Information des Rechners R2 des Sendemoduls über die Umschalteinrichtung S3 zur Übertragungsstrecke U3 und die des Rechners R3 über Umschalteinrichtung Si zur Übertragungsstrecke Üi zum Empfängermodul.I.Weg: The computer R 2 of the transmission module receives no acknowledgment signal from its associated computer R 2 in the receiver module. About this fact, the functioning computer R 3 is informed in the transmission module on the module internal coupling MIK from the computer R 2 and it takes place in this case, a switch to the switch position 1 by Umschalteiririchtung S 1 and S 3 in the transmission module, if additional information on There are two mistakes via the 2nd way. The switching signal is the result of a majority decision in the transmitter module. The switching command is output per computer Rj in the form of an address (FIG. 3), which is decrypted in a respective decoder assigned to the computer Rj and effects the respective switching by the control device SEj after comparison of these information. In the present case, the two intact computers R 2 and R 3 work together, the respective addresses for switching in each of the computer Rj are stored. The address output of the computers R 2 and R 3 is initialized by missing acknowledgment information in the computer R 2 of the transmitting module and by the transmitted by the receiver module (2nd way) sum error word SFW to the computer R3 of the transmission module. The output three addresses are checked in the associated read-only memory ADRVGL according to the (2 ν 3) principle to match and thus lead to switching to the switch position 1 in the switching devices Si and S 3rd There is the output of the information of the computer R 2 of the transmission module via the switching device S 3 to the transmission path U 3 and the computer R 3 via switching device Si to the transmission line Üi to the receiver module.

Auf der Grundlage des empfangenden Summenfehlerwortes SFW und der ausgebliebenen Quittungsinformation für den Rechner R2 im Sendemodul erfolgt durch die Rechner R2 und R3 eine solche Adressenausgabe für die Umschalteinrichtung S2 im Sendemodul, daß die Steuereinrichtung SE2 die Schalterstellung 0 bewirkt. Damit wird trotz der angenommenen Fehlersituation dem Empfängermodul auf zwei voneinander unabhängigen Übertragungsstrecken die Informationen übermittelt. 2. Weg: Im angenommenen Fehlerfall empfängt der Rechner R3 des Empfängermöduls als einzigen Rechner die Information mit dem Summenfehlerwort SFW vom Sendemodul, so daß er informiert ist, daß die zu vergleichende Information, die zur Signatur zusammengefaßt ist, vom Rechner R1 des Empfängermoduls übergibt auf dem Wege der Modul-Internen Kopplung MIK dem Rechner R2 des Empfängermoduls die auf der Basis des Inhalts der Information in der Zentralen Vergleichereinheit ZVGLE gebildete Signatur zum Vergleich in der Zentralen Vergleichereinheit ZVGLE des Rechners R2 des Empfängermoduls. Der Rechner R3 des Empfängermoduls erwartet die Signatur des Rechners R2 (Empfängermodul) zum Vergleich in seiner Zentralen Vergleichereinheit ZVGLE. Da wegen der Unterbrechung der Übertragungsstrecke U2 der Rechner R2 des Empfängermoduls keine Informationen erhalten kann, wird die festgelegte Wartezeit überschritten. Diese Überschreitung führt zur Bildung des Summenfehlerwortes SFW, das vom Rechner R3 des Empfängermoduls dem Rechner des Sendemoduls übergeben wird. (Quittungsinformation) Diese Quittungsinformation führt im Sendemodul, ausgelöst durch den Rechner R3 und durch die fehlende Quittungsinformation im Rechner R2 sowie durch den Modulstatus zur Umschaltung der Umschalteinrichtung Sj, wie im I.Weg beschrieben. Im Empfängermodul erfolgt über die Modul-Interne Kopplung MIK, vom Rechner R3 aktiviert, die Information über die konkrete Fehlersituation an die zwei Rechner Ri und R2. Für den Rechner R2 des Empfängermoduls erfolgt auf der Basis des übertragenden Summenfehlerwortes SFW des Sendemoduls und des im Empfängermodul gebildeten Summenfehlerwortes SFW eine Umschaltung der zugehörigen Umschalteinrichtung auf die Schalterstellung 0. Die Informationsübertragung erfolgt nach der beiderseitigen Umschaltung in den Modulen erneut, wobei die Informationen des Rechners R2 des Sendemoduls über die Schalterstellung 1 der Umschalteinrichtung S3 zur Übertragungsstrecke U3 und über die Schalterstellung 2 der Umschalteinrichtung S3 zum Rechner R3 des Empfängermoduls gelangen. Die Informationen des Rechners R3 des Sendemöduls werden über die Schaltstellung 1 der Umschalteinrichtung Si zur Übertragungsstrecke Üi und über die Schaltstellung 2 der Umschalteinrichtung Si zum Rechner R1 des Empfängermoduls übertragen. Somit liegen die zu vergleichenden Informationen des Sendemoduls (R2 und R3) an den Eingängen der Rechner R1 und R3 des Empfängermoduls unabhängig von einander an. Damit Unabhängigkeit gewährleistet ist, müssen die Umschalteinrichtungen S, und die zugehörigen Steuereinrichtungen SEj jeweils eine separate, von den Rechnern Rj unabhängige Stromversorgung besitzen. Analog zu dem dargestellten Fehlerfall wird bei der in Fig. 4 aufgelisteten Klasse von Zweifachfehlern verfahren. Verallgemeinert erfolgt in den Modulen stets dann eine Umschaltung der Umschalteinrichtungen, wenn im Empfängermodul nur eine Sendeinformation einschließlich des Summenfehlerwortes SFW eingetroffen ist und der Sendemodul vom Empfängermodul nur eine Quittungsinformation mit dem Summenfehlerwort SFW erhalten hat. Die einzunehmende Schalterstellung der Umschalteinrichtungen Sj ergibt sich jeweils aus der kokreten Fehlersituation. Jeder der genannten Module kann sowohl Sender als auch Empfänger sein. Ein weiteres Ausführuhgsbeispiel der Zusammenschaltung von Sende- und Empfängermodul ist in Fig. 5 dargestellt.On the basis of the receiving sum error word SFW and the missing acknowledgment information for the computer R 2 in the transmission module is carried out by the computer R 2 and R 3 such an address output for the switching device S 2 in the transmission module that the control device SE 2 causes the switch position 0. Thus, despite the assumed error situation, the information is transmitted to the receiver module on two independent transmission links. 2nd way: In the assumed error case receives the computer R 3 of the receiver module as the only one the information with the sum error word SFW from the transmitter module, so that it is informed that the information to be compared, which is summarized to the signature of the computer R 1 of the receiver module transfers on the way of the module internal coupling MIK the computer R 2 of the receiver module formed on the basis of the content of the information in the central comparator unit ZVGLE signature for comparison in the central comparator unit ZVGLE the computer R 2 of the receiver module. The computer R 3 of the receiver module expects the signature of the computer R 2 (receiver module) for comparison in its central comparator unit ZVGLE. Since due to the interruption of the transmission path U 2 of the computer R 2 of the receiver module can not receive information, the specified waiting time is exceeded. This excess leads to the formation of the sum error word SFW, which is transferred from the computer R 3 of the receiver module to the computer of the transmission module. (Acknowledgment information) This acknowledgment information leads in the transmission module, triggered by the computer R 3 and by the missing acknowledgment information in the computer R 2 and by the module status for switching the switching device Sj, as described in the I.Weg. In the receiver module via the module-internal coupling MIK, activated by the computer R 3 , the information about the specific error situation to the two computers Ri and R 2 . For the computer R 2 of the receiver module takes place on the basis of the transmitted sum error word SFW of the transmitting module and formed in the receiver module sum error word SFW switching the associated switching device to the switch position 0. The information is transmitted after mutual switching in the modules again, the information of the Calculator R 2 of the transmission module via the switch position 1 of the switching device S 3 to the transmission path U 3 and the switch position 2 of the switching device S 3 to the computer R 3 of the receiver module. The information of the computer R 3 of the Sendemöduls be transmitted via the switch position 1 of the switching device Si to the transmission line Üi and the switch position 2 of the switching device Si to the computer R 1 of the receiver module. Thus, the information to be compared of the transmission module (R 2 and R 3 ) at the inputs of the computer R 1 and R 3 of the receiver module are independent of each other. To ensure independence, the switching devices S, and the associated control devices SEj each have a separate, independent of the computers Rj have power supply. Analogous to the illustrated error case, the method of the double fault class listed in FIG. 4 is used. In general, switching of the switching devices always takes place in the modules when only one transmission information including the sum error word SFW has arrived in the receiver module and the transmission module has only received acknowledgment information with the sum error word SFW from the receiver module. The switch position of the switching devices Sj to be adopted results in each case from the flawed error situation. Each of the mentioned modules can be both transmitter and receiver. Another Ausführuhgsbeispiel the interconnection of the transmitter and receiver module is shown in Fig. 5.

Claims (4)

Erfindungsanspruch:Invention claim: 1. Informationsverarbeitungssystem mit hohem Zuverlässigkeits- und Sicherheitsniveau auf der Basis von (m ν η)-Rechnermodulen (m < ^,gekennzeichnet dadurch, daß jeder Rechner (R1) (j = 1 bis n) der Module einen (m ν n)-Vergleich realisiert und über zwei Ein-Ausgabe-Einheiten (EZA1 und E/A2) verfügt, wobei die Ein-Ausgabe-Einheit (E/Ai) eines Rechners (Rj) zur jeweils Modul-Internen Kopplung (MIK) dient und über die Ein-Ausgabe-Einheiten (E/A2) der Rechner (Rj) eine Verbindung zwischen den Rechnern (R1-) der (m ν n)-Module derart aufgebaut sit, daß jeweils die Rechner (Rj bis Rn) in den Modulen eine Umschalteinrichtung (S,) mit den Schalterstellungen 1,2 und 0 aufweisen, wobei über die Schaltstellung 2 und über die jeweils zugeordnete Übertragungsstrecke (Uj) eine direkte Verbindung zwischen den Rechnern (Rj) der (m ν η) Module besteht und zusätzlich eine Verbindung zwischen den Umschalteinrichtungen (Sj), die jeweils direkt mit einer Steuereinrichtung (SEj) gekoppelt sind, der Rechner (Rj) eines (m ν n)-Moduls so geschaltet ist, daß eine zyklisch vertauschte Verbindung zwischen den Schaltstellungen 1 und 2 verschiedener Umschalteinrichtungen (Sj) besteht, daß die Ein-Ausgabe-Einheit (E/A2) der Rechner (Rj) (i = T bis n—1) gleichzeitig mit der Schalterstellung 2 in der dem Rechner (RJ zugeordneten Umschalteinrichtung (S1), mit der Schalterstellung 1 der Umschalteinrichtung (Sj+1)1 und der Rechner (Rn) über seine EinAusgabe-Einheit (E/A2) mit der Schalterstellung 1 derUmschalteinrichtung (S1) verbunden ist, wobei im Fall des zusätzlichen Ausfalls einer Übertragungsstrecke (Uj) bzw. eines Rechners (Rj) in dem einen (m ν n)-Modul zu einem bereits eingetretenen Ausfall eines der Rechner (Rj) in dem andern (m ν n)-Modul bzw. einer Übertragungsstrecke (Üj) eine Umschaltung der Umschalteinreichtungen (Sj) über die Steuereinrichtungen (SE,) derart erfolgt, daß durch die Schaltstellung 2,1 und 0 in den Umschalteinrichtungen (Sj) in Abhängigkeit der Art des Mehrfachfehlers mindestens m voneinander unabhängige Informationen gesendet und empfangen werden und die als ausgefallen erkannten Rechner (Rj) bzw. die Übertragungsstrecke (Üj) bezüglich der Informationsein- und -ausgabe, durch die Schalterstellung 0, die den potentialfreien Zustand darstellt, gesperrt werden.1. Information processing system with high reliability and security level based on (m ν η) computer modules (m <^, characterized in that each computer (R 1 ) (j = 1 to n) of the modules has a (m ν n) -Vergleich realized and has two input-output units (EZA 1 and I / O 2 ), wherein the input-output unit (I / Oi) of a computer (Rj) is used for each module internal coupling (MIK) and via the input / output units (I / O 2 ) of the computer (Rj) a connection between the computers (R 1 -) of the (m ν n) modules sit constructed so that in each case the computer (Rj to R n ) in the modules have a switching device (S,) with the switch positions 1,2 and 0, wherein via the switch position 2 and via the respectively associated transmission path (Uj) a direct connection between the computers (Rj) of the (m ν η) modules consists and in addition a connection between the switching means (Sj), each directly to a control device (SEj) g are coupled, the computer (Rj) of a (m ν n) module is switched so that a cyclically reversed connection between the switch positions 1 and 2 different switching devices (Sj) is that the input-output unit (I / O 2 ) the computer (Rj) (i = T to n-1) simultaneously with the switch position 2 in the computer (RJ associated switching device (S 1 ), with the switch position 1 of the switching device (Sj +1 ) 1 and the computer (R n ) is connected via its EinEusgabe unit (I / O 2 ) to the switch position 1 of the Umschalteinrichtung (S 1 ), wherein in the case of the additional failure of a transmission line (Uj) or a computer (Rj) in the one (m ν n ) Module to an already occurred failure of one of the computers (Rj) in the other (m ν n) module or a transmission path (Üj) switching the Umschalteinreichtungen (Sj) via the control means (SE,) is such that the switching position 2.1 and 0 in the switching devices n (Sj) depending on the nature of the multiple error at least m mutually independent information is sent and received and recognized as failed computer (Rj) or the transmission path (Üj) with respect to the information input and output, by the switch position 0, the potential-free state, be blocked. 2. Informationsverarbeitungssystem nach Punkt 1, gekennzeichnet dadurch, daß die Steuereinrichtung (SEj) aus mindestens einem Dekoder und einem Festwertspeicher (ADRVGL) besteht, wobei der Dekoder direkt mit dem Festwertspeicher (ADRVGL) verbunden ist und der Festwertspeicher (ADRVGL) gleichzeitig mit den Festwertspeicher (ADRVGL) der anderen η-Steuereinrichtungen (SEj) so gekoppelt ist, daß jeder Festwertspeicher (ADRVGL) über η-Eingänge und über drei Ausgangsleitungen verfügt, über die die zugehörige Umschalteinrichtung (Sj) an den Restwertspeicher (ADRVGL) angeschlossen ist, wobei in der Umschaiteinrichtung (Sj) die durch die Rechner (Rj) ausgegebene Adresse und in der Steuereinrichtung (SEj) verglichene Adresse als Stellbefehl für die Umschalteinrichtung (Sj) bereitgestellt wird und somit die Umschaltung in der Schalterstellung 0; 1 oder 2 veranlaßt, und wo in den Festwertspeicher (ADRVGL) ein Vergleich mach dem (m ν n)-Prinzip der von den Rechnern (Rj) ausgegebenen Adressen als Stellbefehle für alle Umschalteinrichtungen (Sj) bis (Sn) erfolgt.2. Information processing system according to item 1, characterized in that the control device (SEj) consists of at least one decoder and a read only memory (ADRVGL), wherein the decoder is connected directly to the read only memory (ADRVGL) and the read only memory (ADRVGL) simultaneously with the read only memory (ADRVGL) of the other η control devices (SEj) is coupled such that each read-only memory (ADRVGL) has η inputs and three output lines via which the associated switching device (Sj) is connected to the remainder memory (ADRVGL), wherein the Umschaiteinrichtung (Sj) by the computer (Rj) output address and in the control device (SEj) compared address is provided as a control command for the switching device (Sj) and thus the switch in the switch position 0; 1 or 2 causes and where in the read-only memory (ADRVGL) a comparison of the (m ν n) principle of the output from the computers (Rj) addresses as setting commands for all switching means (Sj) to (S n ). 3. Informationsverarbeitungssystem nach Punkt 1, gekennzeichnet dadurch, daß der Informationsvergleich mit einer intelligenten Zentralen Vergleichereinheit (ZVGLE), die über zwei Ein-Ausgabe-Kanäle (EM1) und (E/A2) verfügt, durchgeführt wird.3. Information processing system according to item 1, characterized in that the information comparison is performed with an intelligent central comparator unit (ZVGLE) having two input-output channels (EM 1 ) and (I / O 2 ). HierzuFor this 4 Seiten Zeichnungen .4 pages drawings. Anwendungsgebiet der ErfindungField of application of the invention Die Erfindung betrifft eine Schaltungsanordnung zur Prozeßautomatisierung auf der Basis von (m ν n)-Rechnermodulen. Eine derartige Schaltungsanordnung ist überall dort einsetzbar, wo hohe Zuverlässigkeits- uns Sicherheitsforderungen existieren, wie bei der Prozeßsteuerung von Kraftwerken, Anlagen der Chemie und für sicherüngstechnische Abhängigkeiten beim schienengebundenen Verkehr.The invention relates to a circuit arrangement for process automation on the basis of (m ν n) -Rerchnermodulen. Such a circuit arrangement can be used wherever high reliability and safety requirements exist, such as in the process control of power plants, chemical plants and for security-related dependencies in rail-bound traffic. Charakteristik der bekannten technischen LösungenCharacteristic of the known technical solutions Bei komplexen Automatisierungssystemen werden die Aufgaben im allgemeinen hierarchisch auf mehrere Rechnersysteme verteilt, die über Übertragungssysteme Daten zur gegenseitigen Kommunikation austauschen. Für hohe Zuverlässigkeits- und Sicherheitsforderungen sind die Rechnersysteme jeweils als (m ν n)-Rechnermodule (m < n) realisiert. Ein solch typisches Automatisierungssystem ist aus der DD-PS 160757 bekannt. Diesem hierarchisch aufgebauten Mehrfach-Rechnersystem haftet der Mangel an, daß beim Auftreten einer bestimmten Klasse von Mehrfachfehlern, ohne daß ein beteiligtes (2 ν 3)-Rechnermodul ausgefallen ist, das Gesamtsystem ausfällt.In complex automation systems, the tasks are generally distributed hierarchically to multiple computer systems that exchange data via communication systems for mutual communication. For high reliability and security demands, the computer systems are each implemented as (mνn) computer modules (m <n). Such a typical automation system is known from DD-PS 160757. This hierarchically constructed multiple computer system has the defect that when a particular class of multiple errors occurs without a participating (2 ν 3) module failure, the overall system fails. Weist z. B. das in der PS 160757 angeführte Leitrechnersystem (2 v3)-Modul einen Einzelfehler auf (Rechner LR1 ist ausgefallen) und fällt zusätzlich die an den Rechner LR 2 bidirektional angeschlossene Leitsammelleitung aus, dann ist eine Datenübertragung nur noch über einen Weg zum (2 v3)-Modul des Bereichsrechners BR, in diesem Fall zu den E/A-Einheiten 4.7.1.1.1.; 4.7.1.2.1, und 4.7.1.3.1 möglich, d. h. diese E/A-Einheiten erhalten jeweils nur eine (anstatt der mindestens notwendigen zwei) Informationen, so daß der notwendige Vergleich der Information auf Übereinstimmung nicht mehr durchgeführt werden kann. Somit ist das Gesamtsystem (Leitrechnersystem und Bereichsrechnersystem) ausgefallen, da das Bereichsrechnersystem BR nicht mehr arbeitsfähig ist.For example, B. the reference in PS 160757 Leitrechnersystem (2 v3) module to a single error (computer LR1 has failed) and in addition the bidirectionally connected to the computer LR 2 Leitsammelineung, then a data transfer is only a way to (2 v3) module of the area calculator BR, in this case to the I / O units 4.7.1.1.1 .; 4.7.1.2.1, and 4.7.1.3.1 possible, d. H. these I / O units each receive only one (rather than the at least two necessary) information so that the necessary comparison of information for correspondence can no longer be performed. Thus, the entire system (master computer system and area computer system) has failed because the area computer system BR is no longer able to work. Aus der Technik sind weiterhin Lösungen bekannt, bei denen die (2 v3)-Module über eine Modul-Interne-Kopplung MIK verfügen, die es ermöglicht, Informationen an die Nachbarrechner des Moduls zu übertragen. Wird zwischen solchen Modulen eine Kommunikation auf der Grundlage von drei Übertragungsstrecken U1; U2; Ü3 aufgebaut, kommt es beim Eintreten des angenommenen Zweifachfehlers (z. B. Rechner R1 in Modul I und U2 ausgefallen) trotz der MIK zu einem Ausfall des Gesamtsystems (Modul I und Modul II). Dieser Ausfall ergibt sich, weil nur der Rechner R3 (Modul II) im angenommenen Fehlerfall die Information vom Modul I erhält und er zwar diese Informationen Nachbarrechnern (Modul II) über die MIK zur weiteren Verarbeitung übergeben kann, jedoch dies für die Bearbeitung von sicherheitsrelevanten Aufgaben nicht akzeptiertSolutions are still known in the art in which the (2 v3) modules have a module internal coupling MIK, which makes it possible to transmit information to the neighboring computers of the module. Is communication between such modules based on three links U 1 ; U 2 ; Built Ü3, occurs when the assumed double error (eg computer R 1 in module I and U 2 failed) despite the MIK to a failure of the entire system (module I and module II). This failure results because only the computer R 3 (module II) receives the information from the module I in the assumed error case and he can pass this information to neighboring computers (module II) via the MIK for further processing, but this for the processing of security relevant Tasks not accepted
DD27993485A 1985-08-23 1985-08-23 INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY DD240457A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DD27993485A DD240457A1 (en) 1985-08-23 1985-08-23 INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DD27993485A DD240457A1 (en) 1985-08-23 1985-08-23 INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY

Publications (1)

Publication Number Publication Date
DD240457A1 true DD240457A1 (en) 1986-10-29

Family

ID=5570721

Family Applications (1)

Application Number Title Priority Date Filing Date
DD27993485A DD240457A1 (en) 1985-08-23 1985-08-23 INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY

Country Status (1)

Country Link
DD (1) DD240457A1 (en)

Similar Documents

Publication Publication Date Title
EP2098018B1 (en) Communication system having a master/slave structure
EP1869836B1 (en) Master unit communication system and method for operation thereof
EP1297394B1 (en) Redundant control system and control computer and peripheral unit for said control system
DE102006055887A1 (en) Communication system with a master-slave structure
DE19928517A1 (en) Control system for controlling safety-critical processes
EP2014025A1 (en) Interface unit and communication system having a master/slave structure
EP1631014A2 (en) Method and device for coupling critical processes to a bus
EP1622039B1 (en) Method and apparatus for assigning addresses to users of a bus system
WO2010060571A1 (en) Method for transferring data in an automated control system
WO2005003869A1 (en) Device and method for automatically controlling a technical system operation
WO1999011031A1 (en) Communication device for transmitting message signals
EP2297619B1 (en) Monitoring system
WO1999014886A1 (en) Redundancy system with &#39;1:n&#39; and &#39;1:1&#39; redundancy for a asn-system
DD240457A1 (en) INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY
EP3834388B1 (en) Line driver device for data flow control
DE10207527A1 (en) Local network, in particular Ethernet network, with redundancy properties and coupling device for such a network
EP1085691A2 (en) System for processor-controlled transfer of electrical signals and electrical energy within a military vehicle
DE3928998C2 (en) Programmable logic controller
EP1089190A2 (en) Method for operating a coupling system for a bus system and circuit therefore
EP1457399A1 (en) Initialization method for a data bus
DE19543817C2 (en) Method and arrangement for checking and monitoring the operation of at least two data processing devices with a computer structure
DD240456A1 (en) INFORMATION PROCESSING SYSTEM WITH HIGH LEVEL OF RELIABILITY AND SAFETY
DE19856835C2 (en) Method for operating peripheral modules within an ATM communication device
DE3742117C2 (en)
DE19742918A1 (en) Process for the exchange of data packets within a secure multi-computer system

Legal Events

Date Code Title Description
ENJ Ceased due to non-payment of renewal fee