DE10149986A1 - Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem - Google Patents
Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem VorverarbeitungsrechnersystemInfo
- Publication number
- DE10149986A1 DE10149986A1 DE2001149986 DE10149986A DE10149986A1 DE 10149986 A1 DE10149986 A1 DE 10149986A1 DE 2001149986 DE2001149986 DE 2001149986 DE 10149986 A DE10149986 A DE 10149986A DE 10149986 A1 DE10149986 A1 DE 10149986A1
- Authority
- DE
- Germany
- Prior art keywords
- computer system
- computer
- preprocessing
- computers
- arrangement according
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2002—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
- G06F11/2007—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
Abstract
Die Erfindung betrifft eine Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem (a1, a2) und einem Vorverarbeitungsrechnersystem (c1, c2). Um die Verfügbarkeit einer derartigen Rechneranordnung zu erhöhen, ist vorgesehen, dass das Vorverarbeitungsrechnersystem (c1, c2) mindestens zwei redundante Rechner (1, 2, 3) aufweist, wobei zwei Rechner (A und B) des signaltechnisch sicheren Mehrrechnersystems (a1, a2) jeweils mit jedem Rechner (1, 2, 3) des Vorverarbeitungsrechnersystems (c1, c2) redundant gekoppelt sind.
Description
- Die Erfindung betrifft eine Rechneranordnung gemäß dem Oberbegriff des Anspruchs 1.
- Für sicherheitsrelevante Anwendungen, insbesondere in der Eisenbahn-Signaltechnik werden oft sichere Mehrrechnersysteme eingesetzt. Diese bestehen aus 2 oder 3 Rechnern, die miteinander gekoppelt sind und ihre Ausgaben vergleichen und bewerten, sogenannte 2 von 2 oder 2 von 3 Rechnersysteme. Ein Mehrrechnersystem sichert, dass an der Ausgabe von sicherheitsrelevanten Daten 2 unabhängige Rechnerkanäle beteiligt sind. Ein dritter Rechnerkanal ist ggf. aus Gründen der Verfügbarkeit vorhanden. Damit kann das signaltechnische System auch bei Ausfall eines Rechnerkanals weiterhin sicher arbeiten.
- Vielfach werden für die Verarbeitung von Prozessdaten auch Vorverarbeitungsrechner eingesetzt, die das sichere Mehrrechnersystem entlasten, indem Kommunikations- und Vorverarbeitungsaufgaben in Vorverarbeitungsrechner ausgelagert werden. Ein Vorverarbeitungsrechner besitzt in der Regel keine oder nur geringe Sicherheitsrelevanz und ist deswegen oft einkanalig aufgebaut. Ein Problem bei der Verwendung von einkanaligen Vorverarbeitungsrechnern besteht in der verminderten Systemverfügbarkeit, da der Ausfall des Vorverarbeitungsrechners meist die Gesamtsystemfunktion blockiert oder einschränkt.
- Bisher wurden Vorverarbeitungsrechner nichtredundant an ein sicheres Mehrrechnersystem angekoppelt. Um eine akzeptable Gesamtsystemverfügbarkeit zu erreichen, mussten hohe Anforderungen an die Hardware des Vorverarbeitungsrechners gestellt werden, z. B. Auswahl von Spezialsystemen oder Bauteilselektion, Eignungstests, Schutz vor thermischen, mechanischen und elektromagnetischen Umwelteinflüssen. Oft wurde die Verfügbarkeit des Vorverarbeitungsrechners dabei zur systembestimmenden Größe für die Gesamtsystemverfügbarkeit.
- Der Erfindung liegt die Aufgabe zugrunde, eine Rechneranordnung anzugeben, die sich durch verbesserte Verfügbarkeit auszeichnet.
- Erfindungsgemäß wird die Aufgabe durch die kennzeichnenden Merkmale des Anspruchs 1 gelöst. Die Rechneranordnung dient der redundanten Ankopplung von mehreren redundant betriebenen Vorverarbeitungsrechnern an ein sicheres Mehrrechnersystem. Die Anzahl der redundanten Vorverarbeitungsrechner ist dabei skalierbar.
- Die vorgeschlagene Rechneranordnung weist insbesondere folgende Vorteile auf:
- - n parallele Vorverarbeitungsrechner können mit einem sichern Mehrrechnersystem gekoppelt werden; die Systemverfügbarkeit wird dadurch erhöht,
- - der Ausfall von n-1 Vorverarbeitungsrechnern kann toleriert werden,
- - der Ausfall eines Rechner im sicheren 2 von 3 Mehrrechnersystem kann toleriert werden,
- - der Ausfall einer Kopplung zwischen dem sicheren Mehrrechnersystem und den Vorverarbeitungsrechnern kann toleriert werden,
- - der gleichzeitige Ausfall von einem Rechner des sicheren Mehrrechnersystems und n-1 Vorverarbeitungsrechnern kann toleriert werden,
- - die beim Ausfall eines Vorverarbeitungsrechners abgebrochenen Verbindungen können über einen anderen Vorverarbeitungsrechner neu eingerichtet werden,
- - Ausfälle bei Vorverarbeitungsrechnern oder ausgefallene Kopplungen können erkannt werden,
- - ausgefallene Vorverarbeitungsrechner oder ausgefallene Kopplungen werden automatisch von der weiteren Datenübertragung suspendiert,
- - neue Kommunikationsverbindungen zwischen dem sicheren Mehrrechnersystem und Vorverarbeitungsrechnern können in der Setup-Phase einer Verbindung optimiert werden, z. B. hinsichtlich Lastverteilung zwischen den Vorverarbeitungsrechnern oder Mitbenutzung von physikalischen Links durch virtuelle Nutzkanäle,
- - ein Optimierungskriterium für neue Kommunikationsverbindungen zwischen dem sicherem Mehrrechnersystem und Vorverarbeitungsrechnern kann nach den Bedürfnissen des jeweiligen Systems definiert und berechnet werden,
- - das physikalische Kommunikationsmedium zwischen dem sicheren Mehrrechnersystem und den Vorverarbeitungsrechnern ist frei wählbar, z. B. serielle Verbindungen oder Bussysteme.
- Zur redundanten Kopplung des sicheren Mehrrechnersystems mit den Vorverarbeitungsrechnern werden zwei Rechner des sicheren Mehrrechnersystems mit jedem Vorverarbeitungsrechner derart gekoppelt, dass je ein Rechner des sicheren Mehrrechnersystems eine logische Verbindung zu allen angekoppelten Vorverarbeitungsrechnern besitzt.
- Die Erfindung wird nachfolgend anhand zweier Ausführungsbeispiele näher erläutert.
- Es zeigen
- Fig. 1 eine schematische Darstellung der Kopplung eines sicheren redundanten 2 von 3 Mehrrechnersystems mit zwei redundanten Vorverarbeitungsrechnern und
- Fig. 2 eine schematische Darstellung der Kopplung eines sicheren nichtredundanten 2 von 2 Mehrrechnersystems mit drei redundanten Vorverarbeitungsrechnern.
- Die Rechner des Mehrrechnersystems a1 bzw. a2 sind mit A, B und C (Fig. 1) bzw. A und B (Fig. 2) und die Vorverarbeitungsrechner sind mit 1 und 2 (Fig. 1) bzw. 1, 2 und 3 ( Fig. 2) bezeichnet.
- Die logische Kopplung erfolgt von zwei Rechnern A und B des sicheren Mehrrechnersystems a1 bzw. a2 zu jedem Vorverarbeitungsrechner 1 und 2 bzw. 1, 2 und 3. Als physikalisches Koppelmedium b eignen sich Punkt-zu-Punkt Verbindungen, z. B. V.24, und Busverbindungen, z. B. LAN. Soll der Ausfall eines physikalischen Koppelmediums b tolerierbar sein, muss bei Verwendung von Bussystemen jeder der beiden angekoppelten sicheren Rechner A und B mit einem separaten physikalischen Koppelmedium b, z. B. LAN-Ring, an die Vorverarbeitungsrechner 1 und 2 des Vorverarbeitungsrechnersystems c1 (Fig. 1) bzw. 1, 2 und 3 des Vorverarbeitungsrechnersystems c2 (Fig. 2) angekoppelt werden. Bedingt durch die Eigenschaften des sicheren Mehrrechnersystems a1 bzw. a2 - Kanalvergleich - existieren in jedem Rechner A und B des sicheren Mehrrechnersystems a1 bzw. a2 doppelt so viele logische Verbindungen wie angekoppelte Vorverarbeitungsrechner 1 und 2 bzw. 1, 2 und 3.
- Die Art der Kopplung garantiert die Erreichbarkeit jedes Vorverarbeitungsrechners 1 und 2 bzw. 1, 2 und 3 durch die Rechner A und B des sicheren Mehrrechnersystems a1 bzw. a2. Für die Funktion des Systems müssen mindestens zwei Rechner A und B des sicheren Mehrrechnersystems a1 bzw. b1 und ein Vorverarbeitungsrechner 1 und/oder 2 und/oder 3 einschließlich eines zugehörigen physikalischen Koppelmediums b in Betrieb sein.
- Zwecks Datenkommunikation zwischen dem sicheren Mehrrechnersystem a1 bzw. a2 und den Vorverarbeitungsrechnern 1, 2, 3 wird in jedem Rechner A, B, C mindestens ein Übertragungsprotokoll benötigt, welches die Auswahl und Einrichtung eines Nutzkanals aus den vorhandenen redundante Kanälen bewirkt.
- Dieses Übertragungsprotokoll entspricht in seiner Ausprägung grundsätzlich einem Tunnelprotokoll. Das heißt, dass die Verbindungsrelationen zwischen sicherem Mehrrechnersystem a1 bzw. a2 und Vorverarbeitungsrechnern 1, 2, 3 fest vorgegeben sind und keine Vermittlung stattfindet.
- Das Übertragungsprotokoll zur Auswahl und Einrichtung von Nutzkanälen zwischen dem sicheren Mehrrechnersystem a1 bzw. a2 und n Vorverarbeitungsrechnern 1, 2, 3 kann sowohl als separate Protokollschicht entwickelt werden, als auch in ein bestehendes Protokoll der Layer eines Protokollstacks integriert werden. Dieses hängt vom konkreten Anwendungsfall ab. Soll beispielsweise nur ein einzelner Nutzkanal zwischen einem sicheren Mehrrechnersystem a1 bzw. a2 und einem Vorverarbeitungsrechner 1, 2, 3 verwaltet werden, kann eine Integration in die Linkebene des Protokollstacks erfolgen. Sollen zwischen einem sicheren Mehrrechnersystem a1 bzw. a2 und einem Vorverarbeitungsrechner 1, 2, 3 mehrere Bündel von Nutzkanälen verwaltet werden, kann dagegen eine Integration in die virtuelle Linkebene des Protokollstacks erfolgen.
- Das Übertragungsprotokoll zur Auswahl und Einrichtung von Nutzkanälen zwischen einem sicheren Mehrrechnersystem a1 bzw. a2 und n Vorverarbeitungsrechnern 1, 2, 2 besteht aus einer Abfolge von Primitiven, die in Schritten über die Kopplungen zwischen dem sicheren Mehrrechnersystem a.1 bzw. a2 und den Vorverarbeitungsrechnern 1, 2, 3 ausgetauscht werden.
- Die Erfindung beschränkt sich nicht auf die vorstehend angegebenen Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.
Claims (7)
1. Rechneranordnung mit einem signaltechnisch sicheren
Mehrrechnersystem (a1, a2) und einem
Vorverarbeitungsrechnersystem (c1, c2),
dadurch gekennzeichnet, dass
das Vorverarbeitungsrechnersystem (c1, c2) mindestens zwei
redundante Rechner (1, 2, 3) aufweist, wobei zwei Rechner (A
und B) des signaltechnisch sicheren Mehrrechnersystems (a1,
a2) jeweils mit jedem Rechner (1, 2, 3) des
Vorverarbeitungsrechnersystems (c1, c2) redundant gekoppelt sind.
2. Rechneranordnung nach Anspruch 1,
dadurch gekennzeichnet, dass
als Koppelmedium (b) serielle Punkt-zu-Punkt Verbindungen
und/oder Busverbindungen vorgesehen sind.
3. Rechneranordnung nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass
zwischen dem signaltechnisch sicheren Mehrrechnersystem (a1,
a2) und dem Vorverarbeitungsrechnersystem (c1, c2) erste
Mittel zur Einrichtung von verbindungsorientierten
Nutzdatenkanälen vorgesehen sind, wobei jeder Rechner (A, B, C) in
der Verbindungsaufbauphase eines Nutzdatenkanals zweite
Mittel zur Auswahl aus den verfügbaren Verbindungen aufweist.
4. Rechneranordnung nach Anspruch 3,
dadurch gekennzeichnet, dass
die ersten Mittel bei der Einrichtung vom
verbindungsorientierten Nutzdatenkanälen ein Kriterium ermitteln, welches die
zweiten Mittel bei der Auswahl eines Nutzdatenkanals aus den
verfügbaren Verbindungen unterstützt, und dass das Kriterium
zwischen dem signaltechnisch sicheren Mehrrechnersystem (a1,
a2) und den redundanten Vorverarbeitungsrechnern (1, 2, 3)
übertragen wird.
5. Rechneranordnung nach Anspruch 3 oder 4,
dadurch gekennzeichnet, dass
zur Redundanzkoordination in der Verbindungsaufbauphase eines
Nutzdatenkanals eine Primitivenabfolge zwischen dem
signaltechnisch sicheren Mehrrechnersystem (a1, a2) und den
redundanten Vorverarbeitungsrechnern (1, 2, 3)
protokolltechnisch realisiert wird.
6. Rechneranordnung nach Anspruch 5,
dadurch gekennzeichnet, dass
das Verfahren zur Redundanzkoordination sowohl in
verbindungsorientierte Datenübertragungsprotokolle integriert
werden kann, als auch als eigenständige
Übertragungsprotokollschicht verwendet werden kann.
7. Rechneranordnung nach einem der vorangehenden Ansprüche,
gekennzeichnet durch
die Verwendung für sicherheitsrelevante Zwecke in der
Eisenbahn-Signaltechnik.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001149986 DE10149986C2 (de) | 2001-10-11 | 2001-10-11 | Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2001149986 DE10149986C2 (de) | 2001-10-11 | 2001-10-11 | Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10149986A1 true DE10149986A1 (de) | 2003-04-24 |
DE10149986C2 DE10149986C2 (de) | 2003-11-13 |
Family
ID=7702046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2001149986 Expired - Fee Related DE10149986C2 (de) | 2001-10-11 | 2001-10-11 | Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10149986C2 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2098959A2 (de) * | 2008-03-06 | 2009-09-09 | Siemens Aktiengesellschaft | Rechnerkonfiguration zur Hardware-Kopplung von drei Vorverarbeitungsbaugruppen mit zwei Rechnerkanälen eines sicheren Rechners |
EP2157487A3 (de) * | 2008-08-18 | 2010-05-12 | EAE Ewert Ahrensburg Electronic GmbH | Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0478290A2 (de) * | 1990-09-26 | 1992-04-01 | Honeywell Inc. | Verfahren zur Haltung der Synchronisation eines freilaufenden Sekundärprozessors |
-
2001
- 2001-10-11 DE DE2001149986 patent/DE10149986C2/de not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0478290A2 (de) * | 1990-09-26 | 1992-04-01 | Honeywell Inc. | Verfahren zur Haltung der Synchronisation eines freilaufenden Sekundärprozessors |
Non-Patent Citations (1)
Title |
---|
NIKOLAIZIK, Jürgen u.a.: Fehlertolerante Mikrocomputersysteme, 1. Aufl., Berlin: Verlag Technik, 1990, S. 73, 74, 89-92 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2098959A2 (de) * | 2008-03-06 | 2009-09-09 | Siemens Aktiengesellschaft | Rechnerkonfiguration zur Hardware-Kopplung von drei Vorverarbeitungsbaugruppen mit zwei Rechnerkanälen eines sicheren Rechners |
EP2098959A3 (de) * | 2008-03-06 | 2009-10-14 | Siemens Aktiengesellschaft | Rechnerkonfiguration zur Hardware-Kopplung von drei Vorverarbeitungsbaugruppen mit zwei Rechnerkanälen eines sicheren Rechners |
EP2157487A3 (de) * | 2008-08-18 | 2010-05-12 | EAE Ewert Ahrensburg Electronic GmbH | Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren |
Also Published As
Publication number | Publication date |
---|---|
DE10149986C2 (de) | 2003-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102006056420B4 (de) | Sicherheitsmodul und Automatisierungssystem | |
EP1631014B1 (de) | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse | |
EP1349024A2 (de) | Kopplungsvorrichtung zum Ankoppeln von Geräten an ein Bussystem | |
EP1701270A1 (de) | Kopplung von sicheren Feldbussystemen | |
EP1589386A1 (de) | Prozesssteuerung | |
EP2053476A2 (de) | System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses | |
EP1028360B1 (de) | Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten | |
EP1646919B1 (de) | Kopplungsvorrichtung für drei bussysteme | |
DE10149986A1 (de) | Rechneranordnung mit einem signaltechnisch sicheren Mehrrechnersystem und einem Vorverarbeitungsrechnersystem | |
EP1231121A2 (de) | Bremssystem zur Bremskraftsteuerung | |
EP1366416B1 (de) | Fehlertolerante Rechneranordnung und Verfahren zum Betrieb einer derartigen Anordnung | |
WO2008090130A1 (de) | Verfahren und anordnung zur ansteuerung und überwachung von feldelementen | |
EP1050814A2 (de) | Fehlertolerantes System nach byzantinem Algorithmus | |
EP0182134A2 (de) | Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen | |
DE3840570C2 (de) | ||
DE102016113322A1 (de) | Slave-Steuerung für Ethernet-Netzwerk | |
EP2090947A1 (de) | Verfahren zum Einstellen von Feldgeräte-Adressen | |
EP1972107A1 (de) | Schutz- oder leittechnikgerät | |
EP1493067B1 (de) | Verfahren zum projektieren und/oder betreiben einer automatisierungseinrichtung | |
DE10025283B4 (de) | Vorrichtung zur dynamischen Verbindung von mindestens zwei Datenringzellen | |
DE10357797A1 (de) | Peripherieeinheit für ein redundantes Steuersystem | |
DE102006042131B4 (de) | Rechnersystem | |
DE19751094B4 (de) | Schnittstelle | |
EP0601424A2 (de) | Rechnersystem | |
EP3591478A1 (de) | Sicherheitsschalteranordnung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8304 | Grant after examination procedure | ||
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20110502 |