DE19543817A1 - Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur - Google Patents

Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Info

Publication number
DE19543817A1
DE19543817A1 DE1995143817 DE19543817A DE19543817A1 DE 19543817 A1 DE19543817 A1 DE 19543817A1 DE 1995143817 DE1995143817 DE 1995143817 DE 19543817 A DE19543817 A DE 19543817A DE 19543817 A1 DE19543817 A1 DE 19543817A1
Authority
DE
Germany
Prior art keywords
data
computer
comparator
channel
evaluator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1995143817
Other languages
English (en)
Other versions
DE19543817C2 (de
Inventor
Rolf Knop
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Knop Rolf 84107 Weihmichl De
Original Assignee
Magnetbahn GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Magnetbahn GmbH filed Critical Magnetbahn GmbH
Priority to DE1995143817 priority Critical patent/DE19543817C2/de
Publication of DE19543817A1 publication Critical patent/DE19543817A1/de
Application granted granted Critical
Publication of DE19543817C2 publication Critical patent/DE19543817C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1691Temporal synchronisation or re-synchronisation of redundant processing components using a quantum
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung bezieht sich auf ein Verfahren und eine Anordnung zum Prüfen und Überwa­ chen der sicheren Arbeitsweise eines Rechnersystems mit wenigstens zweier Datenverarbei­ tungsanlagen als Rechnerkanäle, die je über einen externen Bus verfügen und parallel auf einen Prozeß mit hohen sicherheitstechnischen Anforderungen einwirken. Weiterhin betrifft die Erfindung die Anwendung des Verfahrens und der Anordnung in sicher­ heitsrelevanten mehrkanaligen Datenverarbeitungssystemen.
Bei einer Reihe von sicherheitsrelevanten technischen Prozessen werden zum Steuern und/oder Regeln zwei oder mehr als zwei Datenverarbeitungseinrichtungen, welche als Rechnerkanäle bezeichnet werden, in einem Datenverarbeitungssystem eingesetzt. Im allgemeinen arbeitet ein Datenverarbeitungssystem nach dem 2-aus2-Prinzip oder 2-aus3-Prinzip.
Aus Gründen der Verfügbarkeit werden die am Prozeß betriebenen Datenverarbeitungssysteme häufig redundant ausgeführt. Ein Datenverarbeitungssystem arbeitet dann aktiv am Prozeß während das redundante System oder mindestens ein dritter Rechnerkanal parallel zugeschaltet ist, jedoch nicht aktiv in den Prozeß eingreifen kann.
Nach dem zwei-aus zwei-Prinzip arbeitet ein Rechnersystem mit zwei Rechnerkanälen parallel am Prozeß. Beide Rechnerkanäle sind gleichwertig aktiv an den Prozeß angeschaltet. Zwischen den beiden Rechnerkanälen muß Datengleichheit der Prozeßdaten, Gleichheit der Prozeßda­ tenausgabe und bei den Eingabedaten während des Programmlaufes bestehen.
Die richtige Funktionsweise der Rechnerkanäle wird durch Datenvergleich zwischen den Rechnerkanälen, im Zusammenhang mit internen Prüf- und Testläufen, vor und während des Betriebes, in vorgegebenen Zeitabständen überwacht. Aus Gründen der Verfügbarkeit wird im allgemeinen ein redundantes Rechnersystem bereitgehalten, welches im Fehlerfalle möglichst unverzüglich die Prozeßführung übernehmen kann.
Nach dem zwei-aus-drei-Prinzip arbeitet ein Rechnersystem mit drei Rechnerkanälen am Pro­ zeß. Alle drei Kanäle sind parallel mit dem Prozeß verbunden. Zwei der Rechnerkanäle sind am. Prozeß aktiv geschaltet, der dritte Kanal arbeitet mit, gibt jedoch keine Prozeßdaten aus, das heißt, der dritte Kanal kann den Prozeßablauf nicht beeinflussen. Die richtige Funktionsweise der drei Rechnerkanäle wird durch Datenvergleich zwischen den drei Rechnerkanälen im Zusammenhang mit internen Prüfungen und Testläufen, vor und wäh­ rend des Betriebes in vorgegebenen Zeitabständen überwacht. Fällt einer der beiden prozeßfüh­ renden Rechnerkanäle aus, so wird dieser abgeschaltet, und der dritte Rechnerkanal übernimmt seine Aufgaben.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Anordnung mit ihrer An­ wendung bereitzustellen, womit es möglich ist, die richtige Funktionsweise mehrkanaliger Rechnersysteme sicher zu überwachen und im Fehlerfall das Rechnersystem abzuschalten und mit der Möglichkeit ein redundantes Rechnersystem oder einen Rechnerkanal über Steuer­ signale zu aktivieren.
Das Verfahren soll eine Optimierung/Reduzierung der Software für interne Testläufe und Funktionsprüfungen ermöglichen und dadurch die Rechnerleistung für die Prozeßbearbeitung erhöhen. Die Anordnung soll als Standardbaugruppe im mehrkanaligen Rechnersystem mit externen Bussystemen und unterschiedlichen Hardware und Softwarestrukturen einsetzbar sein.
Die Aufgabe wird bei einem Verfahren der eingangs beschriebenen Art erfindungsgemäß da­ durch gelöst, daß jeder Rechnerkanal mit einer Vergleicher/Auswerter-Baugruppe verbunden wird, die als Ein-, Ausgabebaugruppe betrieben wird, daß Vergleicher/Auswerter-Baugruppen die Daten nach den Anforderungen der Sicherheitstechnik vergleichen und auswerten und daß ein Programmzyklusvergleich und eine Synchronlaufüberwachung der beiden Rechnerkanäle durchgeführt wird.
Die Ergebnisse aus dem Datenvergleich, dem Programmzyklusvergleich und den Überwa­ chungsfunktionen werden ausgewertet. In einer Abschalteinheit werden die Ergebnisse der Auswertung in Schaltfunktionen umgesetzt werden.
Durch die Schaltfunktionen wird die Anschaltung der Prozeßspannungen für die Versorgung der parallelen Datenausgaben, die Erzeugung von Kontrollsignalen für die Anschaltung redun­ danter Systeme oder Rechnerkanäle und die Erzeugung von Überwachungssignalen ermöglicht. Die erfindungsmäßige Lösung der gesamten Anordnung wird als Hardware- Datenauswerter bezeichnet.
Kurze Beschreibung der Erfindung
Das Prinzip der Erfindung besteht darin, aus zwei oder mehr als zwei Rechnerkanälen eines sicheren Rechnersystems Vergleichsdaten aufzunehmen und diese nach den Anforderungen der Sicherheitstechnik auf Datengleichheit auszuwerten.
Zusätzlich wird die Zyklusgleichheit der Programmzyklen zwischen den Rechnerkanälen und der Synchronlauf der Hardware innerhalb eines Zeitfensters der Rechnerkanäle erfaßt und aus­ gewertet.
Unterschiedliche Ergebnisse im Datenvergleich, in der Zyklusauswertung oder mangelnder Synchronlauf der Hardware zwischen den Rechnerkanälen werden als Fehler interpretiert und führen beim 2-aus2-Rechnersystem zur Abschaltung des Rechnersystems, bei gleichzeitiger Generierung von Steuersignalen für die Umschaltung auf ein redundantes Rechnersystem.
Bei 2-aus 3-Rechnersystemen wird der fehlerhafte Rechnerkanal abgezuschaltet, bei gleichzeitiger Generierung von Steuersignalen für die Prozeßumschaltung auf den dritten Rechnerkanal des Rechnersystemes.
Der Aufbau der Anordnung läßt den mehrkanaligen Betrieb an den Bussystemen der Rechner­ kanäle zu. Die Rechnerkanäle selbst können dabei unterschiedliche Hardwarestrukturen auf­ weisen.
Zur Erfüllung der Sicherheitsforderungen wird die richtige und fehlerfreie Funktionsweise der Anordnung überwacht. Fehlfunktionen werden erkannt und führen zur Abschaltung des Rech­ nersystems.
Die erfindungsgemäße Anordnung für den Datenvergleich mit Vergleichsauswertung ist mehr­ kanalig aufgebaut und enthält Prüfschaltungen für die Anwendung in Rechnersystemen, welche nach dem zwei-aus-zwei-Prinzip oder zwei-aus-drei-Prinzip arbeiten.
Die mehrkanalige Anordnung in ihrer Gesamtheit trägt die Bezeichnung Sicherer Hardware- Datenauswerter. Die erfindungsmäßige Lösung sieht in der Anwendung Rechnerbaugruppen mit Busanschluß und Potentialtrennung für den Datenvergleich mit Auswertung und Funkti­ onsprüfungen als Ein-/Ausgabebaugruppen der Rechnerkanäle in zwei-aus-zwei-Rechner­ systemen oder zwei-aus-drei-Rechnersystemen und eine gemeinsame mehrkanalige Baugruppe für die Prozeßanschaltung mit Erzeugung von Umschaltsignalen für die Redundanzumschal­ tung und Kontrollsignalen vor.
Der sichere Hardware-Datenauswerter besteht vorzugsweise aus den Baugruppen
  • - Datenvergleicher/Auswerter als Ein/Ausgabebaugruppen der Rechnerkanäle
  • - Abschalteinheit als gemeinsame Baugruppe, angesteuert von den Datenvergleicher/Auswerter-Baugruppen der Rechnerkanäle.
Über Testfunktionen findet eine Fehlerüberwachung statt.
Prinzipieller Aufbau und Anwendung
Nachfolgend wird der erfindungsmäßige prinzipielle Aufbau und die Anwendung des sicheren Hardware-Datenauswerters beschrieben.
Der Hardware-Datenauswerter ist zweikanalig aufgebaut. In einem zwei-aus-zwei-Rechner­ system ist jedem Rechnerkanal eine Vergleicher-/Auswerter-Baugruppe zugeordnet (Fig. 5). Zwei-aus-drei-Rechnersysteme benötigen zur Aufrechterhaltung der Zweikanaligkeit je Rech­ nerkanal zwei Hardware-Datenauswerter (Fig. 6).
Die Datenvergleicher/Auswerter-Baugruppen sind über das externe Bussystem mit der CPU- Baugruppe des zugehörigen Rechnerkanals verbunden (Fig. 1).
Die Baugruppen arbeiten aus der Sicht der CPU-Baugruppe des jeweiligen Rechnerkanals als Ein-/Ausgabe Baugruppe mit einem 16 Bit Datenbus und 16 Bit Adressenbus plus Steuersi­ gnale. Zwischen dem jeweiligen Rechnerkanal und dem Kern der Datenvergleicher/Aus­ werter-Baugruppe besteht eine Potentialtrennung, ebenso ist zwischen den Vergleicherbau­ gruppen des Rechnersystems zur Aufrechterhaltung der Kanalunabhängigkeit das Potential getrennt. Jede Baugruppe verfügt über eine eigenständige Stromversorgung mit 2 k-Volt Trennung zum Netz. Die Stromversorgung selbst wird nicht näher beschrieben.
Die Aufgabe der Datenvergleicher/Auswerter-Baugruppe ist:
  • a) Datensteuerung über das Rechnerkanal-Bussystem
  • b) Der Datenvergleich zwischen den Rechnerkanälen mit Ergebnisauswertung
  • c) Hardware Synchronlaufüberwachung der Rechnerkanäle mit Ergebnisauswertung
  • d) Programmzyklusvergleich der Datenvergleichszyklen zwischen den Kanälen mit Ergeb­ nisauswertung
  • e) Dateneingabe für den Gleichlaufstand der Rechnerkanäle
  • f) Fehlerüberwachung und Testfunktion
  • g) Resetfunktion
Im Fehlerfall werden mehrkanalige Abschaltsignale erzeugt. Diese werden der Abschalteinheit zugeführt und führen dort zur Abschaltung der Prozeßspannung für die Datenausgaben der Rechnerkanäle.
Die Aufgabe der Abschalteinheit ist:
  • - An-/Abschaltung der Prozeßspannungen der Rechnerkanäle
  • - Generierung von Kontrollsignalen für die Überwachung der Abschalteinheit
  • - Generierung von Kontrollsignalen für die Anschaltung redundanter Rechnersysteme.
Die Funktionsfähigkeit der Datenvergleicher-/Auswerter-Baugruppe wird, durch von der CPU- Baugruppe gesteuerten Testfunktionen, überwacht.
Aufbau und Anwendung
Die Erfindung wird nachfolgend in ihrem Aufbau der Funktionsweise und Anwendung an Hand von Zeichnungen beschrieben. Die Zeichnungen Fig. 1 bis Fig. 6 erklären den Aufbau, die Funktionsweise und die Anwendung des Hardware-Datenauswerters.
Es zeigen:
Fig. 1 eine zweikanalige Anordnung für Hardware-Daten, der zu den Rechnerkanälen gehörenden Vergleicher/Auswerter Baugruppen mit Datenübertragung der Vergleichsdaten zwischen den Baugruppen und die Ansteuerung der Abschalteinheit,
Fig. 2 ein Blockschaltbild zur Erläuterung der Arbeitsweise der Vergleicher/Auswerter Baugruppe,
Fig. 3 die Abschalteinheit im zweikanaligen Aufbau,
Fig. 4 funktionale Zusammenhänge der Abschalteinheit im Detail,
Fig. 5 Anwendung des Hardware-Datenauswerters in Rechnersystemen nach dem zwei-aus- zwei-Prinzip,
Fig. 6 Anwendung des Hardware-Datenauswerters im Rechnersystem nach dem zwei-aus- drei-Prinzip.
Zweikanalige Anordnung des Hardware-Datenauswerters (Fig. 1)
Die Anordnung zur Prüfung und Überwachung der Funktionsfähigkeit mindestens zweier Rechnerkanäle eines mehrkanaligen Rechnersystemes ist in der Funktionsweise zweikanalig aufgebaut. Fig. 1 zeigt das Prinzip der Verschaltung der Anordnung.
Jedem Rechnerkanal ist eine Datenvergleicher/Auswerter-Baugruppe mit Busanschluß 1, 2 zugeordnet (Vergleicher/Auswerter-Baugruppe 3, Kanal 1), (Vergleicher/Auswerter- Baugruppe 4, Kanal 2). Zwischen den Baugruppen 3, 4 der Rechnerkanäle besteht eine Datenkopplung 5, 6 mit Potentialtrennung für die Übertragung der Vergleichsdaten zwischen Rechnerkanälen. Es werden jeweils die höherwertigen Daten des Rechnerkanals 37 über den angeschlossenen Datenvergleicher/Auswerter für den Datenvergleich mit dem zweiten Kanal übertragen.
Die Abschalteinheit ist zweikanalig aufgebaut. Zu jedem Rechnerkanal gehört eine Baugruppe 8/9. Sie empfängt die Abschaltsignale a und b zweikanalig 68 über Potentialtrennungen als Steuersignale von den Datenvergleicher/Auswerter-Baugruppen 3, 4 der beiden Rechnerkanäle.
Es werden die Prozeßspannung 80, 81 der parallelen Ausgaben beider Rechnerkanäle in den aktiven Zustand durch zwangsgeführte Relais 91/93 geschaltet. Der Schaltzustand wird von den Rechnerkanälen durch Auswertung der Überwachungssignale RM 1/2 10/11 überwacht. Die Signale (Redundanz Ein 1 und 2) 88, 89 werden für die Redundanzumschaltung auf ein anderes Rechnersystem verwendet. Die Schalter (S1) oder (S2) 42, 43 dienen der Kanalsyn­ chronisation. Sie wirken auf die jeweilige Dateneingabe der Datenvergleicher/Auswerter-Bau­ gruppen 3, 4 der beiden Rechnerkanäle. Die Schalter (S3) und (S4) 17, 18 bringen bei Handbe­ tätigung die Relais der Abschalteinheit in den aktiven Zustand. Die Rückwirkungsfreiheit wird über Potentialtrennungen und Trennung der Stromversorgung erreicht. Die Potentialtrennungen werden später im Detail behandelt.
Aufbau einer der beiden Datenvergleicher/Auswerter Baugruppen (Fig. 2)
Die Fig. 2 zeigt den Aufbau einer der beiden Datenvergleicher/Auswender-Einheiten, nämlich die Datenvergleicher-Einheit 3. Der Bus 1 setzt sich aus einem Datenbus 19, einem Adreßbus 20 und einem Steuerbus 21 zusammen. Der Datenbus 19 weist wiederum zwei Hälften auf, die jeweils wegen der Zuordnung zu je einer Wertigkeit als High-Order-Bits und LOW-Order-Bits bezeichnet werden. Im folgenden werden diese Wörter mit HOB und LOB abgekürzt. Es han­ delt sich jeweils um eine Gruppe von 8 Bits. Die HOB des Datenbusses 19 beaufschlagen in der Einheit 3 eine Treiberschaltung 22. In entsprechender Weise beaufschlagen die LOB des Datenbusses 19 in der Einheit 3 eine Treiberschaltung 23. Während die Treiberschaltung 23 unidirektionale Dateninformationen zu einem nachgeschalteten Speicher 24 überträgt, ist die Treiberschaltung 22 für die bidirektionale ausgebildet. Der Speicher 24 ist über Optokoppler 25 mit einem Datenvergleicher 26 verbunden, der wiederum mit seinen zweiten Eingängen an einen Kanal 27 angeschlossen ist, der einerseits von einer Treiberschaltung 28 und andererseits von einer Testkreistreiberschaltung 29 gespeist werden kann. Die Treiberschaltung 28 steht mit einem Optokoppler in der Einheit 4 in Verbindung, worauf unten noch näher eingegangen wird.
Die Treiberschaltung 22 ist an einen Kanal 30 angeschlossen, an den ein Speicher 31 und eine Dateneingabeschaltung 33 angeschlossen ist. Es wird darauf hingewiesen, daß mit den Begrif­ fen Speicher, Datenvergleicher, Treiberschaltung und Dateneingabeschaltung und Kanal immer Einheiten für die Verarbeitung von 8 parallelen Bits gemeint sind, d. h. diese Bausteine enthalten je ein Element pro Bit. Der Ausgang des Speichers 21 ist über einen Optokoppler 32 mit einer Treiberschaltung 34 verbunden, an die ein Kanal 35 angeschlossen ist, der einerseits mit der Testkreistreiberschaltung 29 und andererseits mit einem Optokoppler 36 verbunden ist. Dem Optokoppler 36 ist ein Kanal 37 nachgeschaltet, der mit der Einheit 4 verbunden ist, und zwar ist in der Einheit 4 eine der Treiberschaltung 28 entsprechende Treiberschaltung an den Kanal 39 angeschlossen. In gleicher Weise speist in der Einheit 4 ein den Optokoppler 36 ent­ sprechender Optokoppler einen Kanal 39, an den die Eingänge der Treiberschaltung 28 gelegt sind. Die Ausgänge des Datenvergleichers 26 sind an Eingänge eines Zwischenspeichers 38 angeschlossen, der mit seinen Ausgängen an einen Auswerter 40 gelegt ist.
Die Dateneingabeschaltung weist weitere Eingänge auf, die vom ODER-Glied 41 gespeist wer­ den, vom Zwischenspeicher 38 und vom Auswerter 40 angesteuert werden. Das ODER-Glied 41 wird vom Taster 42 für die Synchronisation der Kanäle 42 angesteuert. Das ODER-Glied 41 erhält das gleichwertige Signal als "Taster Kanal zwei" 43 von der Baugruppe 4 des zweiten Kanales. Die Eingänge 44 werden von der Abschalteinheit des redundanten Rechners mit den Signalen Redundanzkontrolle angesteuert. Diese Eingänge werden in Verbindung mit der Abschalteinheit naher erläutert.
An den Adreßbus 20 sind Treiber 45, 46 angeschlossen, denen ein Adreßdekoder 47 nachge­ schaltet ist. Mit dem Steuerbus 21 ist eine Treiberschaltung 48 verbunden, an deren Ausgängen ein Reset-Signal und System-Takt, ein Lesesignal und Schreibsignale für die beiden Datenhälf­ ten zur Verfügung stehen. Die beiden Ausgangssignale des Adreßdekoders 47 werden mit dem Lese- und den Schreibsignalen des Busses in vier Torschaltungen 49, 50, 51, 52 verknüpft. Die Torschaltung 49 erzeugt aus einem Schreib- und einem Ausgangssignal des Adreßdekoders 47 ein Testauswählsignal. Die Torschaltung 50 erzeugt aus den beiden Schreibsignalen und einem Ausgangssignal des Adreßdekoders 50 zwei Auswahlsignale. Die Torschaltung 51 erzeugt aus dem Lesesignal und einem der Schreibersignale ein Leseauswahlsignal. Die Torschaltung 52 erzeugt aus einem Schreibsignal und einem Ausgangssignal des Adreßdekoders ein Reset- Signal. Die von den Torschaltungen 51 und 50 ausgehenden Steuersignale sind in Fig. 2 je­ weils mit Selekt 1, 2 und 3 bezeichnet.
Das Ausgangssignal der Torschaltung 49 ist mit einem Testpulserzeuger 54 in UND-Verknüp­ fung mit dem Ausgangssignal Selekt 1 verbunden. Dem Testpulserzeuger ist eine Zeittorschal­ tung 55 nachgeschaltet, die einen zweiten Eingang hat, der von einem Optokoppler 56 gespeist wird, der eingangsseitig durch einen Zeittorpulserzeuger 57 gespeist wird. Der Zeittorpulser­ zeuger wird vom Systemtakt beaufschlagt.
Der Ausgang der Zeittorschaltung 55 speist einen Taktimpuls in eine Teststeuerschaltung 58, der ein Zeittorpuls als Testreset zugeführt wird. Weiterhin wird die Teststeuerschaltung 58 von einem Ausgangssignal des Testpulserzeugers 54 beaufschlagt. Die Teststeuerschaltung 58 gibt ein Teststeuersignal und ein davon invertiertes Steuersignal aus.
Der Systemtakt wird einem Frequenzteiler 59 zugeführt, dessen Ausgang über einen Opto­ koppler 60 Taktsignale für die Einheit 3 erzeugt. Das von der Steuersignaltreiberschaltung 48 ausgegebene Reset-Signal ist an eine Torschaltung 61 gelegt, der zwei weitere Signale, je aus der Torschaltung 51 und 52 zugeführt werden. Die Torschaltung 61 gibt über einen Optokopp­ ler 62 ein Reset-Signal für die Einheit 3 aus.
Das Ausgangssignal der Torschaltung Testselekt 49 ist für die Testpulserzeugung 54 in Verbindung mit dem Ausgangssignal Selekt 1 (51) notwendig. Dem Testpulserzeuger ist die Zeittorschaltung 56 nachgeschaltet, die einen zweiten Eingang hat, der von einem Optokoppler 56 gespeist wird, der eingangsseitig an einen Zeittorimpulserzeuger 57 gespeist wird. Der Zeittorpulserzeuger 57 wird vom Systemtakt und Selekt 3 beaufschlagt.
Der Ausgang der Zeittorschaltung 55 speist einen Taktimpuls in die Teststeuerschaltung 58, der ein Resetsignal vom Steuersignaltreiber 48 zugeführt wird. Weiterhin wird die Teststeuer­ schaltung 58 von einem Ausgangssignal des Testpulserzeugers 54 beaufschlagt. Die Teststeu­ erschaltung 58 gibt ein Teststeuersignal und ein davon invertiertes Steuersignal aus.
Der Systemtakt wird dem Frequenzteiler 59 zugeführt, dessen Ausgang über einen Opto­ koppler 60 Taktsignale für die Einheit 3 erzeugt. Das von der Steuersignaltreiberschaltung 48 ausgegebene CPU-Reset-Signal ist an die Torschaltung 61 gelegt, der zwei weitere Signale, je aus der Torschaltung 51 und 52 zugeführt werden. Die Torschaltung 61 gibt über einen Opto­ koppler 62 ein Reset-Signal für die Einheit 3 aus.
Der Ausgang der Zeittorschaltung 55 ist mit dem Zahlereingang eines vom Reset-Signal zu­ rücksetzbaren Ringzahlers 63 verbunden, der ausgangsseitig jeweils an einen Vergleicher 64 und an eine Treiberschaltung 65 angeschlossen ist. An die Treiberschaltung 65 ist ein Opto­ koppler 66 angeschlossen, der ausgangsseitig mit der Einheit 4 verbunden ist. Die zweiten Ein­ gange des Vergleichers 64 sind mit einer Treiberschaltung 67 verbunden, die von Optokopplern 66 aus der Einheit 4 angesteuert werden.
Der Auswerter 40 wird angesteuert vom Zwischenspeicher 38 und beaufschlagt mit dem Zeit­ tor aus der Zeittorschaltung 55. Der Auswerter 40 überträgt seine Ausgangsinformation 68 zweikanalig an die Abschalteinheit über eine Potentialtrennung 69. Die Ausgangsinformation 68 wird auch der Dateneingabe zugeführt.
Aufbau der Abschalteinheit Fig. 3 und 4
Die Abschalteinheit besteht aus zwei Baugruppen 8, 9. Das Prinzip der Verschaltung zeigt Fig. 3, Details werden in Fig. 4 dargestellt. Jeweils eine Baugruppe ist über die Abschalt­ signale 68 mit einer Vergleicher/Auswerter Baugruppe 3, 4 eines Rechnerkanales verbunden. Baugruppe 8 ist baugleich zur Baugruppe 9 ausgeführt.
Die Prozeßspannungen 80, 81 für die beiden Rechnerkanäle 3, 4 werden über die Relaiskon­ takte 76, 77, 78, 79 der Relais 93, 91 der beiden Abschaltbaugruppen 8, 9 geführt. Die Taster (S3/S4) 17, 18 sind mit den Relais (K1/K2) 93, 91 verbunden und bringen die Relais in den geschalteten Zustand.
Die Relaiskontakte 76, 77, 78, 79 bilden mit ihrer Verschaltung den Haltekreis, über Dioden 80/81 werden auch die Optokoppler 82/83 mit angesteuert. Die Rückmeldungen RM1, 10, 11 sind mit der parallelen Dateneingabe der Rechnerkanäle, die nicht näher beschrieben werden, verbunden.
Die Kontrollsignale für das Anschalten redundanter Rechnersysteme werden über die Relais- Kontakte 86, 87 geschaltet. Es ergeben sich die Schaltsignale (Red Ein 1) 88 und (Red. Ein 2) 89. Die Optokoppler 82/83 werden über (SpH Rück 1/SpH Rück 2) 83, 85 versorgt.
Nicht näher bezeichnete Leitungen dienen der Stromversorgung.
Funktionsweise der Vergleicher/Auswerter Baugruppe
Die Baugruppe ist eine Ein/Ausgabe-Baugruppe. Die Arbeitsweise und der Aufbau ist erfin­ dungsmäßig durch das Zusammenwirken der Einheiten:
  • - Datensteuerung über das Rechnerkanal-Bussystem (Funktion A gemäß Fig. 2)
  • - Datenvergleich zwischen den Rechnerkanälen mit Ergebnisauswertung (Funktion B ge­ mäß Fig. 2)
  • - Ergebnisauswertung zum Datenvergleich (Funktion B gemäß Fig. 2)
  • - Synchronlaufüberwachung der Rechnerkanäle (Funktion C gemäß Fig. 2)
  • - Programmzyklusvergleich (Funktion D gemäß Fig. 2)
  • - Dateneingabe (Funktion E gemäß Fig. 2)
  • - Fehlerüberwachung durch Testfunktion (Funktion F gemäß Fig. 2)
gelöst.
Datenvergleicher/Auswerter (Fig. 1 und 2) Datensteuerung über das Rechnerkanal-Bussystem (Funktion A)
Zur Datensteuerung über das Rechnerkanal-Bussystem gehören:
  • - Der externe Busanschluß der Baugruppe mit Datenbus, Adressenbus und Steuersignale
  • - Datentreiber und Zwischenspeicher
  • - Adressentreiber und Adressendekoder
  • - Auswahl der Einzelfunktionen mit der Bildung der Selektsignale
Die Vergleicher/Auswerter-Baugruppen sind Ein-/Ausgabe-Baugruppen der Rechnerkanäle mit Potentialtrennungen.
Die Vergleicher/Auswerter-Baugruppen sind Ein-/Ausgabe-Baugruppen der Rechnerkanäle mit Potentialtrennung. Sie tauschen ihre Daten über das externe Bussystem der Rechnerkanäle mit der CPU-Baugruppe aus. Der Datenbus ist 16 Bit breit.
Das niederwertige Datenbyte (LOB) wird über Datentreiber empfangen und für den Datenver­ gleich zwischengespeichert (Speicher-LOB). Vor dem Datenvergleicher befindet sich die Po­ tentialtrennung. Das höherwertige Datenbyte (HOB) wird über Datentreiber (Treiber-HOB) empfangen, im Zwischenspeicher (Speicher-HOB) zwischengespeichert, im Potential getrennt und über eine weitere separate Potentialtrennung der Vergleicher-/Auswerter-Baugruppe des zweiten Kanals übertragen.
Für Testzwecke wird das HOB in der "Testloop" über den Testloop-Treiber dem Datenver­ gleicher zugeführt. Die Dateneingabe der Vergleichsdaten aus dem zweiten Kanal ist dann ge­ sperrt. Treiber-K2 ist hochohmig geschaltet. Für die Adressierung der Baugruppe wird ein 16-Bit-Adressenbus benötigt. Die Baugruppe wird auf eine von 16 möglichen Adressen eingestellt.
Die Steuersignale werden über den Steuersignaltreiber empfangen. Für das Aufrufen der Ein­ zelfunktionen werden durch die Verknüpfung von Steuersignalen mit selektierten Adressen Selektsignale erzeugt und verteilt.
Der Datenvergleicher/Auswerter (Fig. 2) Datenvergleich zwischen den Rechnerkanälen mit Ergebnisauswertung (Funktion B)
Zwischen den Rechnerkanälen werden 8 Bit Datenworte verglichen und ausgewertet. Dabei wird das niederwertige Datenbyte (LOB) mit dem höherwertigen Datenbyte (HOB) des zwei­ ten Rechnerkanals verglichen und ausgewertet.
In der Softwareroutine für die Ausgabe der Vergleichsdaten an die Datenvergleicher/Auswer­ ter Baugruppen ist die 8 BIT Vergleichsinformation als niederwertiges Datenbyte (LOB) und höherwertiges Datenbyte (HOB) programmiert. Es wird ein 18 BIT Datenwert, in dem das HOB dem LOB entspricht, ausgegeben. Das Programm für die Datenausgabe wird noch näher beschrieben.
Der Datenvergleich findet in einem Vergleichsfenster statt. Das Zeitfenster ist einstellbar, es bildet ein Maß für den Hardware-Synchronlauf der Rechnerkanäle.
Das Zeitfenster wird mit der LOB-Datenausgabe der CPU-Baugruppe an den Datenverglei­ cher/-Auswerter gestartet. Maßgeblich für den Zeitfensteraufbau zum Datenvergleich ist der für den Datenvergleich zuerst aktive Rechnerkanal.
Bei Datenungleichheit zwischen den Rechnerkanälen oder mangelnder Hardware-Synchroni­ sation zwischen den Rechnerkanälen z. B. Datenvergleich außerhalb des Zeitfensters, werden nach Zwischenspeicherung der Vergleichsergebnisse in der Auswerteschaltung mehrkanalige Fehlersignale erzeugt. Diese führen über die Abschalteinheit zur Abschaltung der Prozeßspan­ nungen für die Datenausgaben der Rechnerkanäle.
Datenvergleicher/Auswerter (Fig. 2) Ergebnisauswertung zum Datenvergleich (Funktion B)
Die Auswertung zum Datenvergleich (Variable A) berücksichtigt das Ergebnis aus dem Pro­ grammzyklusvergleich (Variable B) sowie der Zeitfenstersteuerung (Variable C).
Für die Ausgabe von Fehlersignaien sind nach der Funktionstabelle folgende Kriterien maßgeb­ lich:
Die Ergebnisse der Auswertung werden mit dem Ende des Zeitfensters gespeichert und in mehrkanalige Fehlersignale umgesetzt. Diese werden, wie bereits beschrieben, der Abschalt­ einheit zugeführt. Dort wird in einer mehrkanaligen Relais-Schaltung über zwangsgeführte Kontakte die Prozeßspannung der Datenausgabe der Rechnerkanäle abgeschaltet.
Datenvergleicher/Auswerter (Fig. 2) Synchronlaufüberwachung der Rechnerkanäle (Funktion C)
Zwischen den Rechnerkanälen ist der Hardware-Synchronlauf notwendig und zu überwachen.
Der zuerst für den Datenvergleich aktive Rechnerkanal öffnet mit der LOB Datenausgabe an die Vergleicher/Auswerter-Baugruppe das Zeittor. Das Zeittor gibt den Datenvergleich und den Programmzyklusvergleich frei.
Der zweite Rechnerkanal muß seine Vergleichsdaten und den Zahlerstand zur Programmzy­ kluserfassung innerhalb des geöffneten Zeittores an die Vergleicher-Baugruppe übertragen. Innerhalb des Zeittores findet eine kontinuierliche Ergebnisübernahme aus den beiden Daten­ vergleichern in den jeweiligen Zwischenspeicher statt.
Mit dem Zeittorende werden die Vergleicher-Ergebnisse in den jeweiligen Auswerter einge­ schrieben. Der Auswerter erzeugt Steuersignaie zur Ansteuerung der Relais in der Abschalt­ einheit. Das Zeittor ist gemäß den Anforderungen an den Synchronlauf der Rechnerkanäle ein­ zustellen.
Datenvergleicher/Auswerter (Fig. 2) Programmzyklus-Vergleich (Funktion D)
Im Datenvergleich zwischen den Rechnerkanälen werden nur Vergleichsdaten in gleichen Pro­ grammzyklen zwischen den Rechnerkanälen anerkannt.
Unterschiedliche Programmzyklen während des Datenvergleiches werden durch Programm­ zyklusvergleich zwischen den Rechnerkanälen erkannt und führen über die Abschalteinheit zur Prozeßabschaltung.
Die Vergleichsdatenausgaben der CPU-Baugruppe des jeweiligen Rechnerkanals an den Da­ tenvergleicher/Auswerter (an die Datenvergleicher/Auswerter bei zwei-aus-drei-Systemen) werden in einer Zahlschaltung mitgezahlt und zwischen den Rechnerkanälen miteinander ver­ glichen und ausgewertet.
Unterschiedliche Zahlerstände bedeuten unterschiedliche Programmzyklen zum Datenver­ gleich. In der Auswerteschaltung werden zweikanalig Fehlerabschaltsignale erzeugt. Diese führen über die Abschalteinheit zur Abschaltung der Prozeßspannungen für die Datenausgabe der Rechnerkanäle.
Datenvergleicher/Auswerter (Fig. 2) Dateneingabe Funktion E)
Die Dateneingabe übernimmt Eingabeinformationen für die:
  • - Steuerung des Hardware-Synchronlaufs der Rechnerkanäle
  • - Funktionskontrolle im Testbetrieb
  • - Kontrollsignale für die Redundanzsteuerung.
Resetfunktion (Funktion G)
Die Resetfunktion kann über zwei Wege ausgelöst werden:
  • - CPU-Reset
  • - Software-Reset
CPU-Reset
Mit dem Reset der CPU-Baugruppe wird auch die Vergleicher/Auswerter-Baugruppe in den Resetzustand gebracht.
Software-Reset
Über die Baugruppenadressierung und Erzeugung von Selektsignalen wird ein programmge­ steuertes Resetsignal erzeugt. Jedes der Resetsignale wirkt durch ODER-Verknüpfung auf die Ausgabe der Abschaltsignale an die Abschalteinheit.
Fehlerüberwachung durch Testfunktion (Fig. 2 Funktion F)
Die Überwachung der Funktionsfähigkeit und rechtzeitige Fehlererkennung wird durch Test­ funktionen gewährleistet. Die Funktionsfähigkeit wird durch:
  • - Fehlersimulation und
  • - Vergleichsdatenauswertung
geprüft.
Die Prüfung der Funktionsfähigkeit und Fehlererkennung wird durch die CPU-Baugruppe durch die Ausgabe von Prüfworten und Zurücklesen von Schlüsselinformationen vorgenom­ men.
Jeder Rechnerkanal prüft die ihm zugeordnete Vergleicher-/Auswerter-Baugruppe. Wurde ein Fehler erkannt, so ist von der CPU-Baugruppe über RESET-Funktionen der Daten­ vergleicher in den Grundzustand zu bringen. Dieses bedeutet, die Abschalteinheit wird nicht mehr angesteuert und somit die Prozeßspannung abgeschaltet.
Über die Teststeuerung wird die Dateneingabe aus dem zweiten Rechnerkanal geschlossen. In einer Datenschleife wird das HOB und LOB des Rechnerkanals dem Datenvergleicher zuge­ führt. Die Teststeuerung erzeugt ein Zeitfenster und es findet ein Datenvergleich statt.
Prüfbitmuster im HOB und LOB ermöglichen die Überprüfung auf Fehlfunktion im Datenver­ gleich und der Auswertung. Der Zyklusvergleich wird durch Fehlersimulation überprüft. Dieses geschieht durch Abschalten des Dateneingabetreibers für den zweiten Rechnerkanal. Die Feh­ lersimulation wird ausgewertet.
Die Abschalteinheit (Fig. 3) Allgemeines
Das Übersichtsbild zeigt die Verschaltung der den Rechnerkanälen zugeordneten Abschalt­ baugruppen zu einer Abschalteinheit. Die Prozeßspannungen der Rechnerkanäle werden über Relaiskontakte den Rechnerkanälen als Betriebsspannung für die parallelen Datenausgaben der Rechnerkanäle zugeführt.
Die Relaisverschaltung ist zweikanalig ausgeführt. Durch Rückmeldesignale, geschaltet über Rückmeldekontakte, wird den CPU-Baugruppen der Rechnerkanäle der Schaltzustand der Relais gemeldet.
Im Einschaltvorgang des Rechnersystems werden über Taster die Relais-Schaltkreise zunächst geschlossen. Mit dem ersten Datenvergleich zwischen den Rechnerkanälen im Einschaltvor­ gang werden die Relais dann von den Vergleicher-Baugruppen angesteuert und bleiben über Haltekreise im geschalteten Zustand.
In der Anwendung sind oftmals redundante Rechnersysteme zur Erhöhung der Verfügbarkeit notwendig.
Zweikanalige Meldesignale der Abschalt-Baugruppen geben Auskunft über das Ergebnis aus dem Datenvergleich zwischen den Rechnerkanälen. Diese Meldesignale dienen den redundan­ ten Rechnerkanälen (im zwei-aus-drei-System) oder den redundanten Rechnersystemen (im zwei-aus-zwei-System) als Kennung für die Übernahme der Prozeßführung.
Einzelfunktionen (Fig. 3 und 4)
Die folgenden Einzelfunktionen beziehen sich auf eine Abschalt-Baugruppe, zwei Abschalt- Baugruppen bilden eine Abschalteinheit.
Handbedienung der Baugruppen
Im Einschaltvorgang der Rechnerkanäle werden über den Zeitraum der Tastenbetätigung der Taster S1 und S2 je Baugruppe die zwangsgeführten Relais geschaltet. Wurde im Datenver­ gleich Datengleichheit zwischen den Rechnerkanälen erkannt, bleiben die Relais nach Lösen der Taster über die Haltekreise der Datenvergleicher/Auswerter im geschalteten Zustand.
Signale:
  • - 24 T1/0 Volt 1 und 24 T2/0 Volt 2
Rückmeldesignale
Jedem Rechnerkanal wird ein Rückmeldesignal zugeführt, es gibt Auskunft über den Schaltzu­ stand der Abschalt-Baugruppen.
Signale:
  • - SPH Rück1/RM1
  • - SPH Rück2/RM2
Relais Haltekreis
Bei Datengleichheit zwischen den Rechnerkanälen werden von den Vergleicher/Auswerter Baugruppen zweikanalig Haltesignale ausgegeben (Fehlersignal bei Datenungleichheit) und den Abschalt-Baugruppen zugeführt. Diese Signale halten die Relais der Abschalt-Baugruppen bei Datengleichheit zwischen den Rechnerkanälen im geschalteten Zustand nach Beendigung der Handeingabe und Taster S1 und S2.
Signale:
  • - 24 Volt Haltekreis 1 und 24 Volt Haltekreis 2
Redundanzaktivierung (Fig. 3, 5 und 6)
Oftmals sind aus Gründen der Verfügbarkeit redundante Rechnersysteme erforderlich. Bei Fehlererkennung im Datenvergleich oder bei Ausfall eines Rechnerkanales ist auf einen Ersatzrechnerkanal (bei zwei-aus-drei-Systemen) oder Ersatzrechnersystem (bei zwei-aus- zwei-Systemen) umzuschalten.
Für die Umschaltfunktion geben die Abschalt-Baugruppen zweikanalig Umschaltsignale aus.
Signale:
  • - Red Ein1/0 V Red1 und Red Ein2/0 V Red 2
  • - Red Sp1/Red Sp2
Ausgabe der Prozeßspannung (Fig. 3, 4, 5 und 6)
Die Ausgabe der Prozeßspannung wird in Reihenschaltung über die Abschalt-Baugruppen der Rechnerkanäle geführt.
Bei zwei-aus-zwei-Rechnersystemen sind die Abschalt-Baugruppen der Rechnerkanäle zu einer Abschalteinheit zusammengefaßt. Bei zwei-aus-drei-Rechnersystemen gehören zu jedem Rech­ nerkanal zwei Abschalt-Baugruppen. Jede der Baugruppen ist mit einem weiteren Rechner­ kanal verbunden. Es werden also pro Rechnerkanal zwei Abschalteinheiten gebildet.
Signale:
  • - Prozeßspannung K1/Prozeß SpK1/Prozeßsp. K1
  • - Prozeßspannung K2/Prozeß SpK2/Prozeßsp. K2
Anwendung der Hardware-Datenauswerter im zwei-aus-zwei-System mit Rechner­ redundanz (Fig. 5)
Zur Erhöhung der Verfügbarkeit sind oft redundante Rechner erforderlich. In dieser Anwen­ dung sind zwei Rechnersysteme für die Prozeßführung vorgesehen.
Ein Rechnersystem ist aktiv geschaltet, das zweite Rechnersystem arbeitet mit, gibt jedoch keine Prozeßdaten aus (Hot Standby Betrieb).
Zu jedem Rechnerkanal 95, 96, 97, 98 gehört eine Vergleicher/Auswerter-Baugruppe. Diese sind zwischen den beiden Rechnerkanälen zu einem Hardware-Datenauswerter 110, 111, 112, 113 zusammengefaßt. Der Datenvergleich zwischen den Rechnerkanälen wirkt somit zwei­ kanalig.
Die Abschaltbaugruppen werden bei der Inbetriebnahme der Rechner durch Handbedienung nach dem ersten Datenvergleich zwischen den Rechnerkanälen in den geschalteten Zustand gebracht und über die Datenvergleicher/Auswerter-Baugruppen durch Haltekreisfunktionen im geschalteten Zustand gehalten.
Die Prozeßspannungen werden an die parallelen Datenausgaben der Rechnerkanäle ausgege­ ben. Wird im Datenvergleich ein Fehler erkannt oder liegt ein Funktionsfehler vor, so wird die Prozeßspannung über die Abschalteinheit abgeschaltet. Das Rechnersystem ist dann am Prozeß inaktiv.
Die Abschaltbaugruppen generieren Steuersignale, diese veranlassen das redundante Rechner­ system zur Prozeßübernahme. Die Abschaltbaugruppen des redundanten Rechnersystems wer­ den geschaltet und bei Datengleichheit zwischen den Rechnerkanälen des redundanten Systems über die Haltekreise im geschalteten Zustand belassen.
Die parallelen Datenausgaben werden wie bereits beschrieben aktiviert. Das redundante Rech­ nersystem übernimmt die Prozeßführung.
Die Verschaltung der Datenausgaben bzw. Dateneingaben redundanter Rechnersysteme wird nicht beschrieben.
Einsatz der Hardware-Datenauswerter in zwei-aus-drei-Rechnersystemen (Fig. 6)
In dieser Anwendung arbeiten drei Rechnerkanäle 100, 101, 102 am Prozeß. Zwei Rechnerkanäle sind aktiv geschaltet, der dritte Kanal arbeitet mit, gibt jedoch keine Daten aus (Hot Standby Betrieb).
Jedem Rechnerkanal sind zwei Hardware-Datenauswerter 103, 104; 105, 106; 107, 108 zugeordnet. Jeder der drei Rechnerkanäle vergleicht seine Daten über den Hardware- Auswerter mit den Nachbarkanälen.
Die prozeßführenden Rechnerkanäle halten über den Datenvergleich an der Vergleicher/Aus­ werter-Baugruppe die Abschalteinheiten im geschalteten Zustand.
Die Prozeßspannungen werden bei Datengleichheit an die parallelen Datenausgaben durchge­ schaltet, die Datenausgabe ist aktiv.
Der dritte Rechnerkanal verhält sich Hot Standby, d. h. der Rechnerkanal empfängt alle Pro­ zeßdaten, wertet diese aus, führt den Datenvergleich mit den Nachbarkanälen aus und bedient die Datenausgaben.
Die Prozeßspannung ist über die Abschalteinheit jedoch nicht zu den Ausgaben zugeschaltet. Das bedeutet, die parallelen Datenausgaben sind inaktiv geschaltet.
Fehlerauswertung und Umschaltung (Fig. 6)
Jeder der drei Rechnerkanäle vergleicht seine Daten über die Hardware-Datenauswerter mit den Daten der Nachbarkanale. Die am Prozeß aktiven Rechnerkanäle halten über die Daten­ vergleicher Baugruppen die Abschalteinheiten im geschalteten Zustand.
Erkennt der Hardware-Datenvergleicher eines Rechnerkanals im Datenvergleich einen Fehler oder stellt sich ein Funktionsfehler ein, so wird die Abschalteinheit inaktiv geschaltet. Sie gibt ein Meldesignal aus, welches der Hot Standby Rechnerkanal (Kanal 3) erkennt. Dieser aktiviert jetzt seine Abschalteinheit zur Ausgabe der Prozeßspannung. Die Datenausgaben werden aktiv.
Das Rechnersystem arbeitet zweikanalig am Prozeß weiter. Die Verschaltung der Rechnerka­ näle ist so aufgebaut, daß ein erneutes Zuschalten des ausgefallenen Rechnerkanales ohne den Eingriff von Bedienungspersonal nicht möglich ist. Dieser Teil des Rechnerkonzeptes wird hier nicht näher beschrieben.
Der Hot Standby Rechnerkanal erkennt seinen Status an der nicht geschalteten Prozeßspan­ nung über die Abschaltbaugruppen.
Einschaltvorgang (Fig. 6)
Nach dem Einschalten werden alle drei Rechnerkanäle durch Bedienerhandlung zum Synchron­ lauf der Hardware veranlaßt. Nach dem ersten Datenvergleich der Rechnerkanäle können durch Bedienerhandlung zwei Rechnerkanäle an den Prozeß zur Prozeßführung angeschlossen werden.
Der dritte Rechnerkanal übernimmt automatisch die "Hot Standby" Funktion, d. h. die Daten­ eingabe ist aktiv, die Datenausgabe ist inaktiv, da die Abschalteinheit durch Handeingabe nicht geschaltet wurde.

Claims (31)

1. Verfahren mittels einer Anordnung zum Prüfen und Überwachen der sicheren Arbeits­ weise von Datenverarbeitungssystemen mit wenigstens zwei Datenverarbeitungsanlagen als Rechnerkanäle mit externen Bussystemen, welche im Parallelbetrieb auf einen Prozeß mit hohen Sicherheitsanforderungen einwirken, dadurch gekennzeichnet, daß jedem Rechnerkanal wenigstens eine Vergleicher/ Auswerterbaugruppe, als Ein-/Ausgabe-Baugruppe betrieben, angeschlossen über das je­ weilige externe Bussystem des Rechnerkanals, zugeordnet ist, daß die Vergleicher/ Auswerter Baugruppen die Daten nach sicherheitstechnischen Anforderungen zwischen den Rechnerkanälen vergleichen und auswerten und einen Programmzyklusvergleich sowie eine Synchronlaufüberwachung zum Hardware-Synchronlauf der Rechnerkanäle ausführen, und daß die ausgewerteten Ergebnisse der Vergleicher/Auswerter-Baugruppe einer Abschalteinheit zugeführt werden, welche das Rechnersystem in den für die Prozeßbearbeitung aktiven oder im Fehlerfall inaktiven Zustand versetzt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß jeweils eine Gruppe niederwer­ tiger Bits eines Rechnerkanals mit einer Gruppe höherwertiger Bits des anderen Rechner­ kanals verglichen wird, und daß die Gruppen als Vergleichsdaten gleichen Ursprungs in der Programm-Ausführung der Software Ausgaberoutine der CPU-Baugruppe des jewei­ ligen Rechnerkanals Gleichwertigkeit aufweisen müssen.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Hardware-Synchron­ laufüberwachung der beiden Rechnerkanäle durch die Einstellung eines Zeitfensters an die zulässigen Toleranzen des Synchronlaufes der Rechnerkanäle bzw. Zeittoleranzen des je­ weiligen Prozesses anpaßbar ist.
4. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß jeweils mit der Datenausgabe der Vergleichsdaten durch die CPU-Baugrup­ pen an mindestens eine Vergleicher/Auswerter-Baugruppe des jeweiligen Rechnerkanales Zählerimpulse erzeugt werden. Daß die Zählerimpulse einer Zählschaltung als Taktsignal dienen, und daß die Ausgangsinformation der Zählschaltung über eine Datenkopplung zwi­ schen den Vergleicher/Auswerter-Baugruppen der Rechnerkanäle innerhalb des Zeitfensters miteinander verglichen und ausgewertet werden.
5. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß mittels einer Dateneingabeschaltung an den Datenvergleicher/Auswerter Baugruppen der Rechnerkanäle durch manuelle Eingabe an eine der Baugruppen alle Rechnerkanäle gleichzeitig Eingabedaten für den Gleichlaufstart der Rechnerkanäle emp­ fangen und daß die Gleichlaufstart selbst unter Programmkontrolle der Rechnerkanäle erfolgt.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß die Dateneingabe auch für andere Zwecke unter Bedienerkontrolle Verwendung findet.
7. Verfahren nach einen oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß in vorgegebenen Zeitabständen durch den jeweiligen Rechnerkanal Bus- Steuersignale ausgegeben werden, welche Testsignale für die Prüfung der richtigen Funk­ tionsweise der Vergleicher/Auswerter-Baugruppe erzeugen und daß die Testsignale ein Zeitfenster generieren und die Datenkoppelung zu anderen Vergleicher/Auswertern- Baugruppen des Rechnersystems auf den internen Vergleich für den Prüfablauf umgeschaltet wird.
8. Verfahren nach einem oder mehreren der vorherigen Ansprüche, dadurch gekennzeichnet, daß für den Prüfablauf mit internen Datenvergleich die jeweilige CPU-Baugruppe Test­ wörter über den höherwertigen Datenbus und niederwertigen Datenbus ausgibt, daß die Testwörter kanalintern verglichen werden und die Ergebnisse von der CPU-Baugruppe für die Auswertung über das Programm zurückgelesen werden und daß durch Wortgleichheit oder Ungleichheit und Wortkombinationen der Testwörter sowohl die richtige oder fehlerhafte Funktionsweise erkannt wird und im Fehlerfall über die CPU-Baugruppe das Rechnersystem abgeschaltet wird.
9. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß mit einem im jeweiligen Rechnerkanal erzeugten Resetsignal die jeweilige Vergleicher/Auswerter-Baugruppe Signale erzeugt die die Abschalteinheit in den inakti­ ven Zustand versetzt und daß der Rechnerkanal bei einem erkannten Fehler ein Resetsignal erzeugt und über die Vergleicher/Auswerter-Baugruppe und Abschalteinheit das Rechnersystem abgeschaltet wird.
10. Verfahren insbesondere nach einem oder mehreren der vorhergehenden Ansprüche, da­ durch gekennzeichnet, daß jeweils eine von der Vergleicher/Auswerter-Baugruppe gesteu­ erte Abschalteinheit bei einem von der Vergleicher/Auswerter-Baugruppe festgestellten Fehler die Abschalteinheit die Prozeßspannungen für die Ausgaben der Rechnerkanäle ab­ schaltet.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß in der Abschalteinheit die Pro­ zeßspannungen über Kontakte von zwangsgeführten Sicherheitsrelais zu den parallelen Ausgaben kanalgetrennt geführt werden.
12. Verfahren nach Anspruch 10 oder 11, dadurch gekennzeichnet, daß über weitere Kontakte der Sicherheitsrelais Kontrollsignale erzeugt werden, die für die Aktivierung redundanter Rechnersysteme bestimmt sind.
13. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, gekennzeichnet durch die Verwendung der sicheren Hardware-Daten-Auswerter in Verbindung mit zwei- aus-zwei-Rechnersystemen.
14. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, gekennzeichnet durch die Verwendung der sicheren Hardware-Daten-Auswerter in Verbindung mit zwei- aus-drei Rechnersystemen.
15. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, gekennzeichnet durch die Verwendung in der Eisenbahnsignaltechnik, Verkehrsleittechnik oder sicher­ heitsrelevanter "Prozeßsteuerungen".
16. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherigen Ansprüche, dadurch gekennzeichnet, daß die Vergleicher/Auswerter Baugruppen (3, 4), welche den Rechnerkanälen (1, 2) als Ein-/Ausgabe-Baugruppen am jeweiligen Rechnerbus zugeordnet sind, zwischen zwei Rechnerkanälen als eine gemeinsame funktionale zweikanalige Anordnung zusammengefaßt sind.
17. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherge­ henden Ansprüche, dadurch gekennzeichnet, daß die jeweilige Vergleicher/Auswerter- Baugruppe mit den Daten-, Adreß- und Steuerbusleitungen (15, 20, 21) des zugehörigen Rechnerkanals (1, 2) verbunden ist und Speicher (24, 31) für die Aufnahme der Daten sowie Treiberschaltungen (34) für die Ausgabe der Daten an die andere mit dem zweiten Bus verbundene Vergleicher/Auswerter-Baugruppe aufweist, und daß Mittel zur Durchführung des Datenvergleiches der Synchronisationskontrolle und Mittel zur Durchführung des Programmzyklusvergleiches vorgesehen sind.
18. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherge­ henden Ansprüche, dadurch gekennzeichnet, daß der aus den Vergleicher/Auswerter Baugruppen (3, 5) der Rechnerkanäle bestehende Hardware Datenauswerter mehrkanalig über Potentialtrennungen (6, 9) mit einer Relaisbaugruppe, als Abschalteinheit (8, 9) verbunden ist, die selbst zweikanalig, als Baugruppe (A u. B) aufgebaut ist und daß die Abschalteinheit (8, 9) Prozeßspannung für die Versorgung der Ausgaben der Rechner­ kanäle schaltet und Kontrollsignale erzeugt zur Überwachung der Schaltzustände der zwangsgeführten Relais der Baugruppe und Steuersignale erzeugt für die Aktivierung redundanter Rechnerkanäle oder Rechnersysteme.
19. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß die Datenvergleicher/Auswerter Baugruppen (3, 4) des jeweiligen Rechner­ kanals das jeweilig höherwertige Datenwort der Vergleicherdaten des Rechnerkanals aus dem Speicher (31) an die jeweilige zweite Baugruppe (3, 4 Baugruppe des anderen Rech­ nerkanals 3 oder 4) über Potentialtrennungen (32, 36) zum Zwecke des Datenvergleiches in der Datenvergleichsschaltung (26) überträgt.
20. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß die Datenvergleichsschaltung (26) durch das Zeittor (55) angesteuert den Datenvergleich zwischen den Rechnerkanälen ausführt und daß zu diesem Zweck das niederwertige Datenwort gespeichert wird, im Speicher (24) mit dem vom zweiten Kanal empfangenen höherwertigen Datenwort auf Datengleichheit überprüft wird und das Ergebnis zum Zwischenspeicher (38) übertragen wird.
21. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche dadurch gekenn­ zeichnet, daß die Vergleicher/Auswerter Baugruppe (3, 4) über einen Programmzyklus­ zähler als Ringzähler (63) verfügt, daß der Ringzähler (63) von der Zeittorschaltung (55) angesteuert wird, und daß bei der Datenausgabe des Rechnerkanals an die Verglei­ cher/Auswerterbaugruppe der Zykluszähler inkrementiert wird, durch Ansteuerung mit einem Zeittorpuls, für dessen Erzeugung die Zeittorpulsschaltung (57) als Steuereinheit zur Verfügung steht.
22. Anordnung nach Anspruch 21, dadurch gekennzeichnet, daß die nachgeschaltete Vergleicherschaltung (64) den Zählerstand des Ringzählers mit dem Zählerstand der Vergleicher/Auswerter Baugruppe des zweiten Rechnerkanals verglichen wird und daß zum Zwecke des Vergleiches die Vergleicher/Auswerter Baugruppen der beiden Rechnerkanäle über Datenkopplungen verfügen, die den jeweiligen zweiten Kanal über diese Datenkopplung mit ihrer Potentialtrennung die Vergleichsinformationen übertragen.
23. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß mittels der Zeitfenstersteuerung (55) ein Datenvergleicher (26) und Programmzyklusvergleicher (64) durch Ansteuerung freigegeben werden und über die Zeitfenstersteuerung der Zeittorschaltung (55) zwischen den Rechnerkanälen der Synchronlauf der Rechnerkanäle in der Hardware überwacht wird.
24. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß die Vergleichschaltungen (26) für den Datenvergleich und Programmzyklus­ vergleich (64) jeweils Datenspeicher (38) für die Zwischenspeicherung der Ergebnisse aus dem Datenvergleich und Zyklusvergleich ansteuern und daß die Zwischenspeicherung zyklisch durch Taktsignale aus der Taktsteuerung erfolgt, wobei die Taktsteuerung aus Frequenzteiler (59) und Potentialtrennung (60) besteht und das Signal Clockp. erzeugt.
25. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherge­ henden Ansprüche, dadurch gekennzeichnet, daß die Ergebnisse aus dem Datenvergleich, Programmzyklusvergleich und der Synchronlaufüberwachung der Hardware der Rechner­ kanäle in der Auswerterschaltung (40) mittels der Zeitfenstersteuerung (Zeittor) und Spei­ cherschaltungen als ausgewertete Schaltsignale und aufbereitet mittels der Treiberschal­ tungen (69) mit Potentialtrennung an die Abschalteinheit (8, 9) mehrkanalig übertragen werden.
26. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherge­ henden Ansprüche, dadurch gekennzeichnet, daß die Datenvergleicher/Auswerter Bau­ gruppe für die Überprüfung der Funktionsfähigkeit mit Testschaltungen ausgerüstet ist, daß die Testpulserzeugung von der Baugruppenadressierung (49, 50) durch die CPU-Bau­ gruppe des jeweiligen Rechnerkanals aktiviert wird und daß die Teststeuerung Schaltsi­ gnale für den Testbetrieb zur Überprüfung der Baugruppen erzeugt.
27. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherge­ henden Ansprüche, dadurch gekennzeichnet, daß für den Test der Vergleicher/Auswerter Baugruppe (34) ein Testloop-Treiber (29) vorgesehen ist, welcher von der Teststeuerung (58) angesteuert wird und daß der Testloop-Treiber (29) über einen internen Datenweg (35) das höherwertige Datenbyte dem Datenvergleicher (26) zuführt.
28. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorherge­ henden Ansprüche, dadurch gekennzeichnet, daß Reset-Funktionen (CPU-Reset) von der CPU-Baugruppe des jeweiligen Rechnerkanales auf den Schaltzustand der Verglei­ cher/Auswerter Baugruppen (3, 4) des jeweiligen Rechnerkanals einwirken und daß die Baugruppe über die Reseteinrichtung der CPU-Baugruppe des Rechnerkanales oder über die Reseteinrichtung (61), aktiviert durch die Betriebs-Software des jeweiligen Rechnerkanales in den kontrollierten Grundzustand versetzt werden kann.
29. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß die Vergleicher/Auswerter-Baugruppe Anzeigeelemente für die Funktion des Zeittores, des Datenvergleichers, der Auswertungsergebnisse und des Synchronisier- und Zyklusvergleiches aufweist.
30. Anordnung nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekenn­ zeichnet, daß die Vergleicher/Auswerter-Baugruppe Potential-Trennungen gegenüber dem zugehörigen Rechnerkanal als auch gegenüber den anderen Vergleicher/Auswerter-Bau­ gruppen zur Gewährleistung der Rückwirkungsfreiheit und Unabhängigkeit aufweist.
31. Anordnung zur Durchführung des Verfahrens, dadurch gekennzeichnet, daß von der Ab­ schalteinheit Steuersignale ausgegeben werden, welche die Anwendung des Hardware Da­ tenauswerters im mehrkanaligen Rechnersystem mit Rechnerredundanz aus Gründen der Verfügbarkeit ermöglicht.
DE1995143817 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur Expired - Fee Related DE19543817C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1995143817 DE19543817C2 (de) 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1995143817 DE19543817C2 (de) 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Publications (2)

Publication Number Publication Date
DE19543817A1 true DE19543817A1 (de) 1997-05-28
DE19543817C2 DE19543817C2 (de) 2000-01-05

Family

ID=7778310

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1995143817 Expired - Fee Related DE19543817C2 (de) 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Country Status (1)

Country Link
DE (1) DE19543817C2 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19826875A1 (de) * 1998-06-17 1999-12-23 Heidenhain Gmbh Dr Johannes Numerische Steuerung mit einem räumlich getrennten Eingabegerät
EP1505503A3 (de) * 2003-07-11 2009-07-01 Siemens Aktiengesellschaft Verfahren und Computersystem zum Betreiben einer sicherungstechnischen Anlage
EP3477483A1 (de) * 2017-05-19 2019-05-01 GE Aviation Systems LLC Verfahren verwaltung von kommunikationen mit einem gleichschrittverarbeitungssystem

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2725922C2 (de) * 1977-06-08 1984-08-23 Standard Elektrik Lorenz Ag, 7000 Stuttgart Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NIKOLAIZIK, J. und andere: Fehlertolerante Mikrocomputersysteme, 1. Aufl., Verlag Technik Berlin, 1990, S. 9, 23-37, 73-88, 166, 167 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19826875A1 (de) * 1998-06-17 1999-12-23 Heidenhain Gmbh Dr Johannes Numerische Steuerung mit einem räumlich getrennten Eingabegerät
US6507760B1 (en) 1998-06-17 2003-01-14 Johannes Heidenhain Gmbh Numerical control unit with a spatially separated input device
EP1505503A3 (de) * 2003-07-11 2009-07-01 Siemens Aktiengesellschaft Verfahren und Computersystem zum Betreiben einer sicherungstechnischen Anlage
EP3477483A1 (de) * 2017-05-19 2019-05-01 GE Aviation Systems LLC Verfahren verwaltung von kommunikationen mit einem gleichschrittverarbeitungssystem
US10474619B2 (en) 2017-05-19 2019-11-12 General Electric Company Methods for managing communications involving a lockstep processing system
US11347676B2 (en) 2017-05-19 2022-05-31 Ge Aviation Systems Llc Methods for managing communications involving a lockstep processing system
EP4227810A1 (de) * 2017-05-19 2023-08-16 GE Aviation Systems LLC Verfahren zur verwaltung von kommunikationen mit einem lockstep-verarbeitungssystem
US11899611B2 (en) 2017-05-19 2024-02-13 Ge Aviation Systems Llc Methods for managing communications involving a lockstep processing system

Also Published As

Publication number Publication date
DE19543817C2 (de) 2000-01-05

Similar Documents

Publication Publication Date Title
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE19744071B4 (de) Eine programmierbare Logiksteuervorrichtung verwendendes Steuerungssystem
WO2005106603A1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
DE3024370A1 (de) Redundantes steuersystem
DE2158433A1 (de) Einrichtung und verfahren zum betrieb der einrichtung zur fehlerpruefung und fehlerlokalisierung in einem modularen datenverarbeitungssystem
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP3214512B1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
DE3780306T2 (de) Adapterbusschalter zur verbesserung der verfuegbarkeit einer steuereinheit.
DE2729362B1 (de) Digitale Datenverarbeitungsanordnung,insbesondere fuer die Eisenbahnsicherungstechnik,mit in zwei Kanaelen dieselben Informationen verarbeitenden Schaltwerken
DE2647367C3 (de) Redundante Prozeßsteueranordnung
CH618029A5 (de)
DE19814096B4 (de) Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE3502387C2 (de)
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE2913371A1 (de) Verfahren und system zur ablaufsteuerung
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
DE3137046A1 (de) "schaltungsanordnung zur erfassung von stoerungen in einem datenverarbeitungssystem"
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DD231869A5 (de) Signaltechnisch sichere datenverarbeitungseinrichtung
WO2004036324A1 (de) Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem
DE69213609T2 (de) Kompakte und fehlertolerante Schnittstelle und deren Verwendung in einer Mehrheitsentscheidungsvorrichtung
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8120 Willingness to grant licenses paragraph 23
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: KNOP, ROLF, 84107 WEIHMICHL, DE

8339 Ceased/non-payment of the annual fee