DE10149986A1 - Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem - Google Patents

Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem

Info

Publication number
DE10149986A1
DE10149986A1 DE2001149986 DE10149986A DE10149986A1 DE 10149986 A1 DE10149986 A1 DE 10149986A1 DE 2001149986 DE2001149986 DE 2001149986 DE 10149986 A DE10149986 A DE 10149986A DE 10149986 A1 DE10149986 A1 DE 10149986A1
Authority
DE
Germany
Prior art keywords
computer system
computer
preprocessing
computers
arrangement according
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE2001149986
Other languages
English (en)
Other versions
DE10149986C2 (de
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2001149986 priority Critical patent/DE10149986C2/de
Publication of DE10149986A1 publication Critical patent/DE10149986A1/de
Application granted granted Critical
Publication of DE10149986C2 publication Critical patent/DE10149986C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft eine Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem (a1, a2) und einem Vorverarbeitungsrechnersystem (c1, c2). Um die Verfügbarkeit einer derartigen Rechneranordnung zu erhöhen, ist vorgesehen, dass das Vorverarbeitungsrechnersystem (c1, c2) mindestens zwei redundante Rechner (1, 2, 3) aufweist, wobei zwei Rechner (A und B) des signaltechnisch sicheren Mehrrechnersystems (a1, a2) jeweils mit jedem Rechner (1, 2, 3) des Vorverarbeitungsrechnersystems (c1, c2) redundant gekoppelt sind.

Description

  • Die Erfindung betrifft eine Rechneranordnung gemäß dem Oberbegriff des Anspruchs 1.
  • Für sicherheitsrelevante Anwendungen, insbesondere in der Eisenbahn-Signaltechnik werden oft sichere Mehrrechnersysteme eingesetzt. Diese bestehen aus 2 oder 3 Rechnern, die miteinander gekoppelt sind und ihre Ausgaben vergleichen und bewerten, sogenannte 2 von 2 oder 2 von 3 Rechnersysteme. Ein Mehrrechnersystem sichert, dass an der Ausgabe von sicherheitsrelevanten Daten 2 unabhängige Rechnerkanäle beteiligt sind. Ein dritter Rechnerkanal ist ggf. aus Gründen der Verfügbarkeit vorhanden. Damit kann das signaltechnische System auch bei Ausfall eines Rechnerkanals weiterhin sicher arbeiten.
  • Vielfach werden für die Verarbeitung von Prozessdaten auch Vorverarbeitungsrechner eingesetzt, die das sichere Mehrrechnersystem entlasten, indem Kommunikations- und Vorverarbeitungsaufgaben in Vorverarbeitungsrechner ausgelagert werden. Ein Vorverarbeitungsrechner besitzt in der Regel keine oder nur geringe Sicherheitsrelevanz und ist deswegen oft einkanalig aufgebaut. Ein Problem bei der Verwendung von einkanaligen Vorverarbeitungsrechnern besteht in der verminderten Systemverfügbarkeit, da der Ausfall des Vorverarbeitungsrechners meist die Gesamtsystemfunktion blockiert oder einschränkt.
  • Bisher wurden Vorverarbeitungsrechner nichtredundant an ein sicheres Mehrrechnersystem angekoppelt. Um eine akzeptable Gesamtsystemverfügbarkeit zu erreichen, mussten hohe Anforderungen an die Hardware des Vorverarbeitungsrechners gestellt werden, z. B. Auswahl von Spezialsystemen oder Bauteilselektion, Eignungstests, Schutz vor thermischen, mechanischen und elektromagnetischen Umwelteinflüssen. Oft wurde die Verfügbarkeit des Vorverarbeitungsrechners dabei zur systembestimmenden Größe für die Gesamtsystemverfügbarkeit.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Rechneranordnung anzugeben, die sich durch verbesserte Verfügbarkeit auszeichnet.
  • Erfindungsgemäß wird die Aufgabe durch die kennzeichnenden Merkmale des Anspruchs 1 gelöst. Die Rechneranordnung dient der redundanten Ankopplung von mehreren redundant betriebenen Vorverarbeitungsrechnern an ein sicheres Mehrrechnersystem. Die Anzahl der redundanten Vorverarbeitungsrechner ist dabei skalierbar.
  • Die vorgeschlagene Rechneranordnung weist insbesondere folgende Vorteile auf:
    • - n parallele Vorverarbeitungsrechner können mit einem sichern Mehrrechnersystem gekoppelt werden; die Systemverfügbarkeit wird dadurch erhöht,
    • - der Ausfall von n-1 Vorverarbeitungsrechnern kann toleriert werden,
    • - der Ausfall eines Rechner im sicheren 2 von 3 Mehrrechnersystem kann toleriert werden,
    • - der Ausfall einer Kopplung zwischen dem sicheren Mehrrechnersystem und den Vorverarbeitungsrechnern kann toleriert werden,
    • - der gleichzeitige Ausfall von einem Rechner des sicheren Mehrrechnersystems und n-1 Vorverarbeitungsrechnern kann toleriert werden,
    • - die beim Ausfall eines Vorverarbeitungsrechners abgebrochenen Verbindungen können über einen anderen Vorverarbeitungsrechner neu eingerichtet werden,
    • - Ausfälle bei Vorverarbeitungsrechnern oder ausgefallene Kopplungen können erkannt werden,
    • - ausgefallene Vorverarbeitungsrechner oder ausgefallene Kopplungen werden automatisch von der weiteren Datenübertragung suspendiert,
    • - neue Kommunikationsverbindungen zwischen dem sicheren Mehrrechnersystem und Vorverarbeitungsrechnern können in der Setup-Phase einer Verbindung optimiert werden, z. B. hinsichtlich Lastverteilung zwischen den Vorverarbeitungsrechnern oder Mitbenutzung von physikalischen Links durch virtuelle Nutzkanäle,
    • - ein Optimierungskriterium für neue Kommunikationsverbindungen zwischen dem sicherem Mehrrechnersystem und Vorverarbeitungsrechnern kann nach den Bedürfnissen des jeweiligen Systems definiert und berechnet werden,
    • - das physikalische Kommunikationsmedium zwischen dem sicheren Mehrrechnersystem und den Vorverarbeitungsrechnern ist frei wählbar, z. B. serielle Verbindungen oder Bussysteme.
  • Zur redundanten Kopplung des sicheren Mehrrechnersystems mit den Vorverarbeitungsrechnern werden zwei Rechner des sicheren Mehrrechnersystems mit jedem Vorverarbeitungsrechner derart gekoppelt, dass je ein Rechner des sicheren Mehrrechnersystems eine logische Verbindung zu allen angekoppelten Vorverarbeitungsrechnern besitzt.
  • Die Erfindung wird nachfolgend anhand zweier Ausführungsbeispiele näher erläutert.
  • Es zeigen
  • Fig. 1 eine schematische Darstellung der Kopplung eines sicheren redundanten 2 von 3 Mehrrechnersystems mit zwei redundanten Vorverarbeitungsrechnern und
  • Fig. 2 eine schematische Darstellung der Kopplung eines sicheren nichtredundanten 2 von 2 Mehrrechnersystems mit drei redundanten Vorverarbeitungsrechnern.
  • Die Rechner des Mehrrechnersystems a1 bzw. a2 sind mit A, B und C (Fig. 1) bzw. A und B (Fig. 2) und die Vorverarbeitungsrechner sind mit 1 und 2 (Fig. 1) bzw. 1, 2 und 3 ( Fig. 2) bezeichnet.
  • Die logische Kopplung erfolgt von zwei Rechnern A und B des sicheren Mehrrechnersystems a1 bzw. a2 zu jedem Vorverarbeitungsrechner 1 und 2 bzw. 1, 2 und 3. Als physikalisches Koppelmedium b eignen sich Punkt-zu-Punkt Verbindungen, z. B. V.24, und Busverbindungen, z. B. LAN. Soll der Ausfall eines physikalischen Koppelmediums b tolerierbar sein, muss bei Verwendung von Bussystemen jeder der beiden angekoppelten sicheren Rechner A und B mit einem separaten physikalischen Koppelmedium b, z. B. LAN-Ring, an die Vorverarbeitungsrechner 1 und 2 des Vorverarbeitungsrechnersystems c1 (Fig. 1) bzw. 1, 2 und 3 des Vorverarbeitungsrechnersystems c2 (Fig. 2) angekoppelt werden. Bedingt durch die Eigenschaften des sicheren Mehrrechnersystems a1 bzw. a2 - Kanalvergleich - existieren in jedem Rechner A und B des sicheren Mehrrechnersystems a1 bzw. a2 doppelt so viele logische Verbindungen wie angekoppelte Vorverarbeitungsrechner 1 und 2 bzw. 1, 2 und 3.
  • Die Art der Kopplung garantiert die Erreichbarkeit jedes Vorverarbeitungsrechners 1 und 2 bzw. 1, 2 und 3 durch die Rechner A und B des sicheren Mehrrechnersystems a1 bzw. a2. Für die Funktion des Systems müssen mindestens zwei Rechner A und B des sicheren Mehrrechnersystems a1 bzw. b1 und ein Vorverarbeitungsrechner 1 und/oder 2 und/oder 3 einschließlich eines zugehörigen physikalischen Koppelmediums b in Betrieb sein.
  • Zwecks Datenkommunikation zwischen dem sicheren Mehrrechnersystem a1 bzw. a2 und den Vorverarbeitungsrechnern 1, 2, 3 wird in jedem Rechner A, B, C mindestens ein Übertragungsprotokoll benötigt, welches die Auswahl und Einrichtung eines Nutzkanals aus den vorhandenen redundante Kanälen bewirkt.
  • Dieses Übertragungsprotokoll entspricht in seiner Ausprägung grundsätzlich einem Tunnelprotokoll. Das heißt, dass die Verbindungsrelationen zwischen sicherem Mehrrechnersystem a1 bzw. a2 und Vorverarbeitungsrechnern 1, 2, 3 fest vorgegeben sind und keine Vermittlung stattfindet.
  • Das Übertragungsprotokoll zur Auswahl und Einrichtung von Nutzkanälen zwischen dem sicheren Mehrrechnersystem a1 bzw. a2 und n Vorverarbeitungsrechnern 1, 2, 3 kann sowohl als separate Protokollschicht entwickelt werden, als auch in ein bestehendes Protokoll der Layer eines Protokollstacks integriert werden. Dieses hängt vom konkreten Anwendungsfall ab. Soll beispielsweise nur ein einzelner Nutzkanal zwischen einem sicheren Mehrrechnersystem a1 bzw. a2 und einem Vorverarbeitungsrechner 1, 2, 3 verwaltet werden, kann eine Integration in die Linkebene des Protokollstacks erfolgen. Sollen zwischen einem sicheren Mehrrechnersystem a1 bzw. a2 und einem Vorverarbeitungsrechner 1, 2, 3 mehrere Bündel von Nutzkanälen verwaltet werden, kann dagegen eine Integration in die virtuelle Linkebene des Protokollstacks erfolgen.
  • Das Übertragungsprotokoll zur Auswahl und Einrichtung von Nutzkanälen zwischen einem sicheren Mehrrechnersystem a1 bzw. a2 und n Vorverarbeitungsrechnern 1, 2, 2 besteht aus einer Abfolge von Primitiven, die in Schritten über die Kopplungen zwischen dem sicheren Mehrrechnersystem a.1 bzw. a2 und den Vorverarbeitungsrechnern 1, 2, 3 ausgetauscht werden.
  • Die Erfindung beschränkt sich nicht auf die vorstehend angegebenen Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.

Claims (7)

1. Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem (a1, a2) und einem Vorverarbeitungsrechnersystem (c1, c2), dadurch gekennzeichnet, dass das Vorverarbeitungsrechnersystem (c1, c2) mindestens zwei redundante Rechner (1, 2, 3) aufweist, wobei zwei Rechner (A und B) des signaltechnisch sicheren Mehrrechnersystems (a1, a2) jeweils mit jedem Rechner (1, 2, 3) des Vorverarbeitungsrechnersystems (c1, c2) redundant gekoppelt sind.
2. Rechneranordnung nach Anspruch 1, dadurch gekennzeichnet, dass als Koppelmedium (b) serielle Punkt-zu-Punkt Verbindungen und/oder Busverbindungen vorgesehen sind.
3. Rechneranordnung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zwischen dem signaltechnisch sicheren Mehrrechnersystem (a1, a2) und dem Vorverarbeitungsrechnersystem (c1, c2) erste Mittel zur Einrichtung von verbindungsorientierten Nutzdatenkanälen vorgesehen sind, wobei jeder Rechner (A, B, C) in der Verbindungsaufbauphase eines Nutzdatenkanals zweite Mittel zur Auswahl aus den verfügbaren Verbindungen aufweist.
4. Rechneranordnung nach Anspruch 3, dadurch gekennzeichnet, dass die ersten Mittel bei der Einrichtung vom verbindungsorientierten Nutzdatenkanälen ein Kriterium ermitteln, welches die zweiten Mittel bei der Auswahl eines Nutzdatenkanals aus den verfügbaren Verbindungen unterstützt, und dass das Kriterium zwischen dem signaltechnisch sicheren Mehrrechnersystem (a1, a2) und den redundanten Vorverarbeitungsrechnern (1, 2, 3) übertragen wird.
5. Rechneranordnung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass zur Redundanzkoordination in der Verbindungsaufbauphase eines Nutzdatenkanals eine Primitivenabfolge zwischen dem signaltechnisch sicheren Mehrrechnersystem (a1, a2) und den redundanten Vorverarbeitungsrechnern (1, 2, 3) protokolltechnisch realisiert wird.
6. Rechneranordnung nach Anspruch 5, dadurch gekennzeichnet, dass das Verfahren zur Redundanzkoordination sowohl in verbindungsorientierte Datenübertragungsprotokolle integriert werden kann, als auch als eigenständige Übertragungsprotokollschicht verwendet werden kann.
7. Rechneranordnung nach einem der vorangehenden Ansprüche, gekennzeichnet durch die Verwendung für sicherheitsrelevante Zwecke in der Eisenbahn-Signaltechnik.
DE2001149986 2001-10-11 2001-10-11 Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem Expired - Fee Related DE10149986C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001149986 DE10149986C2 (de) 2001-10-11 2001-10-11 Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001149986 DE10149986C2 (de) 2001-10-11 2001-10-11 Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem

Publications (2)

Publication Number Publication Date
DE10149986A1 true DE10149986A1 (de) 2003-04-24
DE10149986C2 DE10149986C2 (de) 2003-11-13

Family

ID=7702046

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001149986 Expired - Fee Related DE10149986C2 (de) 2001-10-11 2001-10-11 Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem

Country Status (1)

Country Link
DE (1) DE10149986C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2098959A2 (de) * 2008-03-06 2009-09-09 Siemens Aktiengesellschaft Rechnerkonfiguration zur Hardware-Kopplung von drei Vorverarbeitungsbaugruppen mit zwei Rechnerkanälen eines sicheren Rechners
EP2157487A3 (de) * 2008-08-18 2010-05-12 EAE Ewert Ahrensburg Electronic GmbH Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0478290A2 (de) * 1990-09-26 1992-04-01 Honeywell Inc. Verfahren zur Haltung der Synchronisation eines freilaufenden Sekundärprozessors

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0478290A2 (de) * 1990-09-26 1992-04-01 Honeywell Inc. Verfahren zur Haltung der Synchronisation eines freilaufenden Sekundärprozessors

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NIKOLAIZIK, Jürgen u.a.: Fehlertolerante Mikrocomputersysteme, 1. Aufl., Berlin: Verlag Technik, 1990, S. 73, 74, 89-92 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2098959A2 (de) * 2008-03-06 2009-09-09 Siemens Aktiengesellschaft Rechnerkonfiguration zur Hardware-Kopplung von drei Vorverarbeitungsbaugruppen mit zwei Rechnerkanälen eines sicheren Rechners
EP2098959A3 (de) * 2008-03-06 2009-10-14 Siemens Aktiengesellschaft Rechnerkonfiguration zur Hardware-Kopplung von drei Vorverarbeitungsbaugruppen mit zwei Rechnerkanälen eines sicheren Rechners
EP2157487A3 (de) * 2008-08-18 2010-05-12 EAE Ewert Ahrensburg Electronic GmbH Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren

Also Published As

Publication number Publication date
DE10149986C2 (de) 2003-11-13

Similar Documents

Publication Publication Date Title
DE102006056420B4 (de) Sicherheitsmodul und Automatisierungssystem
EP1631014B1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP1349024A2 (de) Kopplungsvorrichtung zum Ankoppeln von Geräten an ein Bussystem
EP1701270A1 (de) Kopplung von sicheren Feldbussystemen
EP1589386A1 (de) Prozesssteuerung
EP2053476A2 (de) System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
EP1028360B1 (de) Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten
EP1646919B1 (de) Kopplungsvorrichtung für drei bussysteme
DE10149986A1 (de) Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem
EP1231121A2 (de) Bremssystem zur Bremskraftsteuerung
EP1366416B1 (de) Fehlertolerante Rechneranordnung und Verfahren zum Betrieb einer derartigen Anordnung
WO2008090130A1 (de) Verfahren und anordnung zur ansteuerung und überwachung von feldelementen
EP1050814A2 (de) Fehlertolerantes System nach byzantinem Algorithmus
EP0182134A2 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE3840570C2 (de)
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
EP2090947A1 (de) Verfahren zum Einstellen von Feldgeräte-Adressen
EP1972107A1 (de) Schutz- oder leittechnikgerät
EP1493067B1 (de) Verfahren zum projektieren und/oder betreiben einer automatisierungseinrichtung
DE10025283B4 (de) Vorrichtung zur dynamischen Verbindung von mindestens zwei Datenringzellen
DE10357797A1 (de) Peripherieeinheit für ein redundantes Steuersystem
DE102006042131B4 (de) Rechnersystem
DE19751094B4 (de) Schnittstelle
EP0601424A2 (de) Rechnersystem
EP3591478A1 (de) Sicherheitsschalteranordnung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8304 Grant after examination procedure
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110502