DE2023117B2 - Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer - Google Patents

Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer

Info

Publication number
DE2023117B2
DE2023117B2 DE2023117A DE2023117A DE2023117B2 DE 2023117 B2 DE2023117 B2 DE 2023117B2 DE 2023117 A DE2023117 A DE 2023117A DE 2023117 A DE2023117 A DE 2023117A DE 2023117 B2 DE2023117 B2 DE 2023117B2
Authority
DE
Germany
Prior art keywords
control
input
control system
information
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE2023117A
Other languages
German (de)
Other versions
DE2023117A1 (en
Inventor
Alfred Lotz
Reinhard Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Licentia Patent Verwaltungs GmbH
Original Assignee
Licentia Patent Verwaltungs GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Licentia Patent Verwaltungs GmbH filed Critical Licentia Patent Verwaltungs GmbH
Priority to DE2023117A priority Critical patent/DE2023117B2/en
Priority to DE19702032425 priority patent/DE2032425A1/en
Publication of DE2023117A1 publication Critical patent/DE2023117A1/en
Publication of DE2023117B2 publication Critical patent/DE2023117B2/en
Priority to DE19752554144 priority patent/DE2554144A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components

Abstract

A three channel fail safe supervisory control ensures that digital information transfer between a computer and process is maintained correctly in the event of a malfunction. Error monitoring and majority operation circuitry are located between different sections of the computer. The monitoring circuitry provides a two way check on data to and from the central processing unit and the data processing section containing control circuitry group controls and block control circuitry. The modules provide a majority operation and supervisory fail safe control for data transfer to and from the input/output units. The input/output units are interrupt control, digital input and analogue input. The supervisory control ensures that all necessary criteria for fail safe system operation are met.

Description

schränkung weiterarbeiten und weiterhin voll verfügbar sein.continue to work with the restriction and continue to be fully available.

c) Der Fehler muß dem Bedienungspersonal angezeigt werden, um die Anlage zum frühest möglichen Zeitpunkt — wählend des Betriebes — reparieren zu können.c) The error must be indicated to the operating personnel in order to operate the system as soon as possible Time - at choice of the company - to be able to repair.

Mit dem gleichzeitigen Auftreten von zwei voneinander unabhängigen Fehlern bzw. mit dem Auftreten eines weiteren Fehlers vor der Reparatur des ernten wird nicht gerechnet, da die Wahrscheinlichkeit hierfür ausreichend gering ist. Für diesen Fall werden keine Bedingungen an die Sicherheit gestellt.With the simultaneous appearance of two of each other independent errors or with the occurrence of a further error before the repair of the reaping is not expected as the probability is sufficiently low for this. In this case, no conditions are placed on security.

Aufgabe der vorliegenden Erfindung ist es deshalb, ein ausfallsicheres Steuersystem zur übertragung von digitalen Informationen anzugeben, das die vorgenannten Sicherheitsanforderungen erfüllt. Gemäß der Erfindung wird diese Aufgabe dadurch gelöst, daß jedes der bei den Majoritäts- und Fehleruberwachungsschaltungen verwendete logische Verknüpfungsglied ein Wechselstrombaustein ist und derart ausgebildet ist, daß es bei einem beliebigen eigenen Defekt, unabhängig vom Zustand anliegender Eingangssignale, keine Wechselspannung an seinem Ausgang führt.The object of the present invention is therefore to provide a fail-safe control system for transmission of digital information that meets the aforementioned security requirements. According to The invention, this object is achieved in that each of the majority and error monitoring circuits The logic link used is an alternating current module and is designed in such a way that it is present in the event of any own defect, regardless of the condition Input signals, no AC voltage at its output.

Die gesamte für die Funktion des ausfailsioheren Steuersystems notwendige Signalverarbeitung ist in identischen Kanälen dreifach vorhanden. Jeder Kanal ist für sich allein funktionsfähig, besitzt also neben einer eieenen Stromversorgung auch eine eiuene Peripherie. Ob jeder Kanal an einer eigenen Fin-Ausgabe eines einzigen sicheren Rechners (polymorpher Rechner) oder an jeweils einen von drei vorhandenen Rechnern (Dreifachrechner) angeschlossen wird, ist für das Steuersystem ohne Bedeutung. The whole for the function of the failing The signal processing required by the control system is available in three identical channels. Any channel is functional on its own, so it has a separate power supply as well as its own Periphery. Whether each channel has its own fin output on a single secure computer (polymorphic Computer) or connected to one of three existing computers (triple computer) is irrelevant to the tax system.

Die für den Aufbau der Majoritäts- und Fchlerüberwachungsschaltungen verwendeten cigensicheren Logikbausteine sind bereits vorgeschlagen und beschrieben worden (vgl. die nicht vorveröffentlichte DT-AS 1933 713 und die Patentanmeldungen40 P 19 50 331.2, P 20 14135.9 und P 20 14 100.O)^Es handelt sich dabei um eine Wechselstromlogik, bei der in jedem Baustein abhängig von der Eingangslogik durch einen Oszillator eine Wechselspannung erzeugt wird. Ein zentraler Takt ist somit für das gesamte System nicht erforderlich.The cigen-safe logic modules used for the construction of the majority and student monitoring circuits have already been proposed and described (cf. the not previously published DT-AS 1933 713 and patent applications 40 P 19 50 331.2, P 20 14135.9 and P 20 14 100.O) ^ This is an alternating current logic, in which an alternating voltage is generated in each module by an oscillator, depending on the input logic. A central clock is therefore not required for the entire system.

Die logischen Signale L und 0 sind wie folgt definiert: The logic signals L and 0 are defined as follows:

a) Das L-Signal wird durch die Umhüllende einer Wechselspannung dargestellt.a) The L signal becomes through the envelope of a AC voltage shown.

b) Das 0-Signal bedeutet keinr Wechselspannung.b) The 0 signal means no alternating voltage.

An das eigensichere Bausteinsystem sind folgende Bedingungen gestellt:The following conditions apply to the intrinsically safe modular system:

1. Führt ein Logikbaustein nach seiner logischen Funktion und den anliegenden Eingangssignalen am Ausgang ein 0-Signal, so darf beim Auftreten eines internen Fehlers (Bauelementeausfall usw.) kein L-Signal am Ausgang erscheinen. 1. Executes a logic module according to its logical function and the applied input signals a 0 signal at the output, if an internal error occurs (component failure etc.) no L-signal appears at the output.

2. Führt der Baustein am Ausgang ein 1 -Signal nach seiner logischen Funktion und den anliegenden Eingangssignalen, so muß der Ausgang beim Auftreten eines internen Fehlers nach f>5 0-Signal wechseln und auch, wenn die Eingangssignale erneut wechseln, weiterhin 0-Signal ausgeben. 2. If the module has a 1 signal at the output according to its logical function and the existing ones Input signals, the output must be f> 5 if an internal error occurs Change 0-signal and also, if the input signals change again, continue to output 0-signal.

3535

5555

3. Bei einer Leitungsunterbrechung oder einem Kurzschluß der Ausgangsleitung eines sicheren Logikbausteines sollen alle angeschlossenen Eingänge 0-Signal (keine Wechselspannung) erhalten. 3. In the event of a line interruption or a short circuit in the output line of a safe All connected inputs of the logic module should receive a 0 signal (no AC voltage).

Jeder Eingang der sicheren Wechselstrombausteine besteht aus einer potentialfreien Primärwicklung eines Wechselstromübertragers. Die Ausgangsleitung einer Einheit wird durch alle zu verknüpfenden Eingangswicklungen geschleift, das Ende der letzten Eingangswicklung muß an + UB (Betriebsspannung) gelegt werden. Diese Art der Verdrahtung gilt tür logische Wechselstrom-Bausteine (dynamische Schaltkreise). Sie hat den Vorteil, daß bei einem Drahtbruch der hintereinandergeschalteten Eingangskreise kein Eingang ein L-Signal zur Ansteuerung erhält.Each input of the safe AC modules consists of a potential-free primary winding of an AC transformer. The output line of a unit is looped through all input windings to be linked, the end of the last input winding must be connected to + UB (operating voltage). This type of wiring applies to logical alternating current components (dynamic circuits). It has the advantage that in the event of a wire break in the input circuits connected in series, no input receives an L signal for control.

Die Erfindung sei nachstehend an Hand der in den Fig. 1 bis 3 dargestellten Prinzipschaltbiider näher erläutert. Dabei zeigt dieThe invention will be explained in more detail below with reference to the principle circuit diagrams shown in FIGS explained. The

Fig. 1 ein Blockschaltbild des gesamten Steuersystems, Fig. 1 is a block diagram of the entire control system,

F i g. 2 ein Blockschaltbild der Majoritätslogikanordnung undF i g. 2 is a block diagram of the majority logic arrangement and

F i g. 3 ein Blockschaltbild der Fehlerübenvachungsschaltungen. F i g. 3 is a block diagram of the fault monitoring circuits.

Das Blockschaltbild der Fig. 1 zeigt den Gesamtaufbau des Steuersystems, das gerätetechnisch aus drei in konventioneller, integrierter Schaltkreistechnik aufgebauten Datenvcrarbeilungsebenen DI, DII und DlII und aus zwei dazwischen angeordneten Majoritäts- und Fehlerüberwachungsebenen UI und i.'II, die aus eigensicheren Logikbausteinen aufgebaut sind, besteht.The block diagram of FIG. 1 shows the overall structure of the control system, which in terms of equipment is made up of three data display distribution levels DI, DII and DlII constructed in conventional, integrated circuit technology and of two intervening majority and error monitoring levels U I and i.'II, which are made up of intrinsically safe logic modules are, exists.

Die Baugruppen 11 bis 16 der Überwachungsebene V 1 regenerieren und überwachen den Datenverkehr auf den programmgesteuerten Ein- und Ausgabekanälen in beiden Richtungen zwischen der Zentraleinheit 10 des Prozeßrechners, die die Datenverarbeitungsebene DI bildet, und der Datenverarbeitungsebene D II. Die Datenverarbeitungsebene D II umfaßt dabei in Steuerwerke 20, 21 und 22, Gruppenstcueruneen 23, 24 und 25 und Blocksteuerungen 26, 27 und 28 jeweils für die Kanäle K 1 bis K 3, die die in der Beschreibungseinleitung genannten Aufgaben erfüllen. Auf deren Arbeitsweise wird jedoch hier nicht näher eingegangen, da dies für das Verständnis des erfindungsgemäßen Steuersystems nicht erforderlich ist.The modules 11 to 16 of the monitoring level V 1 regenerate and monitor the data traffic on the program-controlled input and output channels in both directions between the central unit 10 of the process computer, which forms the data processing level DI, and the data processing level D II. The data processing level D II includes in Control units 20, 21 and 22, group control units 23, 24 and 25 and block controls 26, 27 and 28 each for channels K 1 to K 3, which fulfill the tasks mentioned in the introduction to the description. However, their mode of operation is not discussed in more detail here, since this is not necessary for an understanding of the control system according to the invention.

Die Baugruppen 30 bis 35, 40 bis 45 und 50 bis 55 der Majoritäts- und Fehlerüberwachungsebenc Uli regenerieren und überwachen den Datenverkehi in beiden Richtungen zwischen der Datenverarbeitungsebene DlI und der Datenverarbeitungsebene DlII, die die EnWAusgabe-Blöcke 60, 70 und 8C umfaßt. 7u dieser· E/A-Blöcken gehören der Unterbrcchungseingabeblock 60, der Digitaleingabeblocl 70 (Spontancingabe) und der Analogeingabebloek 80 Die jeweils zugehörigen Ausgabeblöcke sind in dei Fig. ! nicht dargestellt.The modules 30 to 35, 40 to 45 and 50 to 55 of the majority and error monitoring level Uli regenerate and monitor the data traffic in both directions between the data processing level DlI and the data processing level DIII, which comprises output blocks 60, 70 and 8C. 7 of these I / O blocks belong to the interrupt input block 60, the digital input block 70 (spontaneous input) and the analog input block 80 The respective output blocks are shown in the Fig.! not shown.

Der lircikanalig aufgebaute L'nterbrechungseingabeblock 60 (Interrupteingabeblock) hat die Auf· gäbe, Signaländerungen, die an einem oder mehrerer Eingängen auftielen, dem Prozeßrechner 10 über eir Sammclunterbrechungssignal auf den Leitungen 61 62 und 63 unabhängig vom laufenden Programm mitzuteilen. The Lirc-channel structured L'interruption input block 60 (interrupt input block) has the task of signal changes that occur on one or more Inputs, the process computer 10 via eir Collective interrupt signal on lines 61, 62 and 63 regardless of the current program.

■r■ r

Durch den dreikanalig aufgebauten Digitaleingabe- tere dreikanalig ausgeführte Datenverarbeitungsebene block 70 sollen digitale Informationen, die an vielen D III, hier durch den Analogeingabeblock 80 gebil-Eingabepunkten als elektronische Signale oder als det, weiterzugeben. Die gesamte Majoritätsschaltung Kontaktstellungen anliegen, in den Prozeßrechner der Überwachungsebene ÜII ist, wie alle Baueinheieingelesen werden. Mehrere Eingabepunkte sind zu 5 ten des erfindungsgemäßen Steuersystems, aus drei einem Eingabewort zusammengefaßt, das innerhalb identischen Schaltungen in den Blöcken 50, 52 und einer Digitaleingabeoperation vom Rechner adres- 54 aufgebaut und gibt aus jeder dieser Schaltungen siert werden muß und dessen Information dann als Ausgangssignale λΙ-λ/j, /Jl-/in, γΐ-γη ab, die der Rechner-Doppelwort in den Rechner gebracht wird. Mehrheit ihrer zugehörigen Eingangssignale α 1-o/j, Der Digitaleingabeblock enthält also Einrichtungen io bl-bn, ci-cn entsprechen (z.B. zwei von jeweils zur Adreßdecodierung, zur konjunktiven Verknüp- drei Kanalsignalen der Datenverarbeitungsebene fung eines jeden Eingabewortes mit dem zugehörigen D II). Mit den Ausgangssignalen jeder der drei be-Adreßsignal und zur disjunktiven Zusammenfassung treffenden Majoritätsschaltungen 50, 52 und 54 wird der von verschiedenen Eingabeworten kommenden je ein Kanal Kl, Kl, K3 der Datenvcrarbcitungs-Informationssignale. >5 ebene D III angesteuert. Die einzelnen SchaltungenThe three-channel digital input block 70, which is designed as a three-channel data processing level, is intended to pass on digital information that is generated at many D III, here by the analog input block 80, as electronic signals or as det. The entire majority circuit contact positions are present, in the process computer of the monitoring level Ü II is how all components are read. Several input points are summarized to 5 th of the control system according to the invention, from three one input word, which is built up within identical circuits in blocks 50, 52 and a digital input operation from the computer address 54 and outputs from each of these circuits must be siert and its information then as output signals λΙ-λ / j, / Jl- / in, γΐ-γη from which the computer double word is brought into the computer. Majority of their associated input signals α 1-o / j, The digital input block thus contains devices io bl-bn, ci-cn correspond (e.g. two of each for address decoding, for conjunctive linking three channel signals of the data processing level function of each input word with the associated D II ). The output signals of each of the three be-address signal and disjunctive Summary taken majority circuits 50, 52 and 54 of coming from different input words per one channel Kl, Kl, K 3 is the Datenvcrarbcitungs information signals. > 5 level D III controlled. The individual circuits

Der ebenfalls dreikanalig aufgebaute Analogein- sind aus eigensicheren Logikbausteinen auf der Basis gabeblock 80 dient zur Eingabe analoger Meßgrößen, einer Wechselstromlogik aufgebaut und benötigen die als elektrische Spannungen oder Ströme vorlie- an ihren Eingängen Signalumsetzer, die statische Sigen, in den Prozeßrechner 10. Er besteht aus einem gnale in dynamische Signale umsetzen, Umsetzer Analog-Digital-Wandler, der eine dem analogen 20 PD 561 bis 566, und an ihren Ausgängen Umsetzer, Meßwert entsprechende Binärzahl erzeugt, einem die die Signale in umgekehrter Richtung umsetzen, Vorverstärker, der kleine Analogspannungen in den Umsetzer PS 571 bis 576.The analogue modules, which are also three-channel, are based on intrinsically safe logic modules gabeblock 80 is used to input analog measured variables, an alternating current logic built up and required which are present as electrical voltages or currents at their inputs signal converters, the static signals, in the process computer 10. It consists of converting signals into dynamic signals, converter Analog-to-digital converter, which is one of the analog 20 PD 561 to 566, and at its outputs converter, A binary number corresponding to the measured value is generated, one which converts the signals in the opposite direction, Preamplifier, the small analog voltages in the converter PS 571 to 576.

für den Analog-Digital-Wandler erforderlichen Wert Die mit einem Stern gekennzeichneten Umsetzervalue required for the analog-to-digital converter The converters marked with an asterisk

verstärkt, einem oder mehreren Eingabeblöcken, die PD 561 bis 566 sind für die Majoritätsschaltungt/i Meßstellenschalter zum Durchschalten der gewünsch- 25 ML und für die Fehlerüberwachungsschaltungen ten Analogeingabepunkte enthalten, und einer Steuer- gemeinsame Umsetzer (s. auch F i g. 3). Alle eigeneinheit, die den zeitlichen Ablauf der Analogeingabe- sicheren Logikbausteine sind durch ein schwarzes vorgänge bestimmt, die Adressierung der Eingabe- Dreieck an der rechten unteren Kante des Bausteinblöcke vornimmt und den Informationstransport vom symbols dargestellt.
Analog-Digital-Wandler steuert. 3° Die Bedingungen für die Ausgangssignale λ 1, β 1,amplified, one or more input blocks, the PD 561 to 566 are included for the Majoritätsschaltungt / i Meßstellenschalter for switching through the desired 25 ML and for error monitoring circuits th analog input points, and a control common converter (s. also F i g. 3 ). All separate units that determine the timing of the analog input-safe logic modules are determined by a black process, the addressing of the input triangle on the lower right edge of the module blocks and the information transport represented by the symbols.
Analog-to-digital converter controls. 3 ° The conditions for the output signals λ 1, β 1,

Der Aufbau des gesamten Steuersystems erfolgt γ I der Maioritätsschaltungen 50, 52und 54 sind durch Baugruppen derart, daß drei unabhängige Ka- identisch und entsprechen in ihrer Form den Bedinnäle Kl, K 2 und K 3 entstehen. Majoritätsschaltun- gungen für
gen ML und Fehlerüberwachungsschaltungen Fi'Takes place, the construction of the entire control system of the γ I Maioritätsschaltungen 50, 54 are 52und by modules such that three independent Ka and correspond in shape to the Bedinnäle Kl, K 2 and K 3 are formed identical. Majority switching for
gen ML and fault monitoring circuits Fi '

sind innerhalb der Uberwachungsebenen Vl und 35 &2, ß2,y2b\s can, βη,γη . are within the monitoring levels Vl and 35 & 2, ß2, y2b \ s can, βη, γη.

ί/ΙΙ für jeden Kanal Kl, K2 und K3 und für jede al = ßl = γΐ = alfol + alcl + McI.ί / ΙΙ for each channel Kl, K2 and K3 and for each al = ßl = γΐ = alfol + alcl + McI.

Datenrichtung (Ein-/Ausgabe) getrennt vorhanden.Data direction (input / output) available separately.

So z.B. in der Überwachungsebene Ül für den Ka- Realisiert wird diese Bedingung durch eigensichcreFor example, in the monitoring level Ül for the Ka- This condition is implemented by intrinsically safe

nal Al die Blöcke 11, 12, für den Kanal Kl die ODER/UND-Gattcr. Jeweils zwei dieser Gatter, Blöcke 13, 14 und für den Kanal K3 die Blöcke 40 z.B. 501 und 502 im Kanal Kl, 521 und 522 im 15, 16. In der Überwachungsebene Ü\l die Blöcke Kanal Kl und 541 und 542 im Kanal K3, bilden 30 bis 35, 40 bis 45 und 50 bis 55. Jeder Block ent- ein Majoritätselement. Jede Majoritätsschaltung 50, hält Majoritäts- und Fehlerüberwachungsschaltun- 52 und 54 enthält entsprechend ihren Eingangssignagen ML und FÜ. Ihr Aufbau ist in den F i g. 2 und 3 len α 1-an, b 1-bn, c 1-cn n-Majoritätselemcntc.
näher beschrieben. Die Ausgangsleitungen der Feh- 45 Bei einem Fehler in der Datenverarbeitungsebene leriiberwachungsschaltungen sind zwecks besserer D II arbeiten die drei Kanäle der Datenverarbei-Übersicht nicht in das Blockschaltbild der Fig. 1 tungsebene DIII ohne Einschränkung. Ein weiterei eingezeichnet worden. Fehler, diesmal in der Ebene DIII, führt daher niehlnal Al the blocks 11, 12, for the channel Kl the OR / AND gate. Two of these gates, blocks 13, 14 and, for channel K 3, blocks 40, e.g. 501 and 502 in channel Kl, 521 and 522 in 15, 16. In the monitoring level Ü \ l, blocks channel Kl and 541 and 542 in the channel K3, form 30 to 35, 40 to 45 and 50 to 55. Each block corresponds to a majority element. Each majority circuit 50, holds majority and error monitoring circuits 52 and 54, contains ML and FÜ according to its input signals. Their structure is shown in FIGS. 2 and 3 len α 1-an, b 1-bn, c 1-cn n-majority elements.
described in more detail. The output lines of the fault 45 leriiberwachungsschaltungen If an error occurs in the data processing plane are for better D II, the three channels of the Datenverarbei guide does not work in the block diagram of FIG. 1 processing plane DIII without restriction. Another one has been drawn in. Error, this time in the DIII level, therefore never leads to

Eine Fehlermeldung durch eine Fehlerüberwa- zum Ausfall des Steuersystems. Durch relativ klein« chungsschaltung erfolgt so, daß auf eine bestimmte 5° Ebenen und häufige Einschaltung der' Majoritätsauswechselbare Baugruppe hingewiesen wird. Diese schaltungen wird die Zuverlässigkeit des Steuer-Baugruppe kann dann während des Betriebes der systems insgesamt erhöht, bei gleichbleibender Zu Anlage durch in der F i g. 1 nicht dargestellte Schal- verlässigkeit der Einzelelemente,
ter überbrückt und ausgewechselt werden, ohne daß Unabhängig von den in der F i g. 2 dargestellterAn error message through an error monitor to the failure of the control system. By means of a relatively small-scale circuit, reference is made to a certain level and frequent activation of the majority-replaceable assembly. These circuits can then increase the reliability of the control assembly as a whole during the operation of the system, while maintaining the same system as shown in FIG. 1 not shown sound reliability of the individual elements,
ter bridged and replaced without that, regardless of the in the F i g. 2 shown

der Signalfluß bei abgetrennter Baugruppe unter- 55 Majoritätsschaltungcn AiL, die das Weitcrarbeitei brachen wird. des Steuersystems auch nach dem Auftreten eine:the signal flow in the case of a separated assembly under 55 majority circuits AiL that the continuation of work will break. of the tax system even after the occurrence of a:

Die Fig.2 zeigt den Aufbau und die Anordnung Fehlers gewährleisten, sind Fehleriiberwachungs der Majoritätsschaltungen ML innerhalb der Über- schaltungen FÜ notwendig. Diese werden ebenfall: wachungsebene E/II, die zwischen der Datenver- wie die Majoritätsschaltungen ML jeder datenver arbeitungsebene DII und der Datenverarbeitungs- 60 arbeitenden Ebene nachgeschaltet und sollen eini ebene DIII angeordnet ist, am Beispiel des Analog- fehlerhafte Verarbeitung durch den Vergleich jede eingabeblocks 80 der F i g. 1 für eine Datenrichtung. einzelnen Kanalausgangssignals mit den entsprechenFIG. 2 shows the structure and the arrangement to ensure errors, error monitoring of the majority circuits ML within the interconnections FÜ are necessary. These are also: monitoring level E / II, which is connected downstream between the data processing and the majority circuits ML of each data processing level DII and the data processing level 60 and should be a level D III, using the example of analog erroneous processing by comparing each input blocks 80 of FIG. 1 for one data direction. individual channel output signal with the correspond

Aufgabe der Majoritätsschaltung ist es, die aus den der beiden anderen Kanäle erkennen und zu drei parallelen Datenverarbeitungskanälen K 1 bis Anzeige bringen. Je nach dem logischen Zusammen K 3 der Datenverarbeitungsebene DII (sie entsprc- 65 fassungsgrad der einzelnen Fi;hlersignale ist eine ge chen den Blocksteuerungen 26, 27 und 28 der nauere oder weniger genaue Lokalisierung des Feh Fig. 1) ausgegebenen Signale al-an, bl-bn, cl-cn lers aus der Anzeige möglich. Im allgemeinen win auch bei Ausfall eines Kanals dreikanalig an die wei- es genügen, so viel Fehlersignalc zu haben, wiThe task of the majority circuit is to recognize those from the other two channels and to bring them to three parallel data processing channels K 1 to display. Depending on the logical combination K 3 of the data processing level D II (it corresponds to the degree of comprehension of the individual detector signals is a corresponding to the block controls 26, 27 and 28 of the more precise or less precise localization of the error Fig. 1) output signals al-an , bl-bn, cl-cn lers possible from the display. In general, even if one channel fails, three-channel wi are enough to have as many error signals as wi

steckbare und damit leicht auswechselbare Baugruppen vorhanden sind.Pluggable and thus easily interchangeable assemblies are available.

In der Fig. 3 sind die Signale al, bl, el usw. mit denen in der F i g. 2 identisch, da die Fehlerüberwachungsschaltung FÜ mit der Majoritätsschaltung ML immer parallel an gleiche Ausgangsleitungen angeschaltet werden. Zusätzlich werden negierte Ausgangssignale öl, FT, FT usw. benötigt, die durch Umsetzer PD 581 bis 586 erzeugt werden.In FIG. 3, the signals a1, b1, e1, etc. correspond to those in FIG. 2, since the fault monitoring circuit FÜ and the majority circuit ML are always connected in parallel to the same output lines. In addition, negated output signals oil, FT, FT etc. are required, which are generated by converters PD 581 to 586.

Für die Fehlersignale FKH, d.h. Fehler der Ausgangslcitung 1 (al) im Kanal 1, FK2.1, d.h. Fehler der Ausgangsleitung 1 (bl) im Kanal 2 und FK3.1, d.h. Fehler der Ausgangsleitung 1 (el) im Kanal 3 erhält man für die beteiligten Signalleitungen al, b 1, el aus den drei Datenverarbeitungskanälen, die im ungestörten Betrieb identische Signale führen, folgende Wahrheitstabelle:For the error signals FKH, ie errors in output line 1 (al) in channel 1, FK 2.1, ie errors in output line 1 (bl) in channel 2 and FK 3.1, ie errors in output line 1 (el) in channel 3, one obtains for the involved signal lines al, b 1, el from the three data processing channels, which carry identical signals in undisturbed operation, the following truth table:

SignalzuständeSignal states blbl elel 0 ^ Fehler0 ^ error L FK 2.1L FK 2.1 FK 3.1 FK 3.1 alal LL. LL. FK 1.1 FK 1.1 LL. LL. LL. LL. 00 LL. LL. 00 LL. 00 LL. LL. 00 LL. LL. 00 00 LL. LL. LL. LL. LL. LL. 00 LL. LL. 00 LL. 00 00 00 LL. 00 00 LL. LL. LL. 00 00 00 00 LL. LL. LL. 00 LL.

Man erhält in der zweckmäßigen MaxtermformIt is obtained in the appropriate Maxterm form

FK 1.1 = (öl + bl + el) (al + EI + el)
FX 2.1 = (al + FI + el) (öl + fcl + el)
FK3.1 = (al + bl + el) (öl + FI + el).FK 1.1 = (oil + bl + el) (al + EI + el)
FX 2.1 = (al + FI + el) (oil + fcl + el)
FK3.1 = (al + bl + el) (oil + FI + el).

Für die funktionell zusammengehörigen Signalausgänge α2, bl, d bis zu an, bn, cn lassen sich entsprechende logische Funktionen ableiten. Die aus den vorgenannten Bedingungen abgeleitete SchaltungCorresponding logical functions can be derived for the functionally related signal outputs α2, bl, d up to an, bn, cn. The circuit derived from the aforementioned conditions

ίο kann also im Vielfach verwendet werden und bildet daher das aus einem ODER/UND-Gatter, z. B. 503, 523, 543, bestehende Grundelement für den Aufbau der Fehlerübenvachungsschaltungen in den Blöcken 50, 52 und 54. Entsprechend der Signalanzahl η sind n-FÜ-Elcmcnte in jeder der FÜ-Schaltungen 50, 52 und 54 für jeden Kanal vorhanden.ίο can therefore be used in multiple ways and therefore forms the one from an OR / AND gate, z. B. 503, 523, 543, existing basic element for the construction of the error monitoring circuits in blocks 50, 52 and 54. According to the number of signals η , n-FÜ-Elcmcnte are in each of the FÜ-circuits 50, 52 and 54 for each channel.

Die einzelnen Fehlersignale FK 1.1 bis FKl.n; FK2.1 bis FKl.n und FK3.1 bis FK3.n sind zu Gesamtfehlersignalen FK1, FK 2 und FK 3 disjunk-The individual error signals FK 1.1 to FKl.n; FK 2.1 to FKl.n and FK 3.1 to FK3.n are disjunctive to total error signals FK 1, FK 2 and FK 3

ao tiv mit sicheren Logikbausteinen zusammengefaßt. Da ein Fehlersignal mit 0-Signal erscheint, werden für die Zusammenfassung UND-Gatter 504, 524 und 544 benutzt, die für O-Signale die Disjunktion liefern. ao tively combined with safe logic modules. Since an error signal with a 0 signal appears, used for combining AND gates 504, 524 and 544, which provide the disjunction for 0 signals.

Für die optische Anzeige sind ruhestrombetriebene Signalleuchten vorgesehen. Eine disjunktive Verknüpfung aller Fehlersignale kann eine akustische Meldung auslösen. Außerdem ist es über einen Interrupt möglich, einen Fehler im Betriebsprotokoll ausdrucken zu lassen.Quiescent current operated signal lights are provided for the visual display. A disjunctive link of all error signals can trigger an acoustic message. Also, it's via an interrupt possible to have an error in the operating log printed out.

Hierzu 3 Blatt ZeichnungenFor this purpose 3 sheets of drawings

509 544/1;509 544/1;

Claims (2)

die Art und Anzahl der verwendeten Baugruppe! Patentansprüche: müssen beliebig kombinierbar sein. Dabei muß de Aufwand für Ansteuerung und Adressierung bei kleithe type and number of modules used! Patent claims: must be freely combinable. The effort for control and addressing must be done with klei 1. Modular aufgebautes ausfallsicheres Steuer- nen Ausbaustufen klein sein und darf erst bei größe system zur Übertragung von digitalen Informa- 5 ren Ausbaustufen entsprechend zunehmen, tionen, wobei das Steuersystem aus drei iden- Das Steuersystem ist mit dem Prozeßrechner übe,1. Modularly structured, fail-safe control system for the transmission of digital information 5 expansion stages increase accordingly, functions, whereby the control system consists of three iden- The control system is practiced with the process computer, tischen Informationsverarbeitungskanälen aufge- einen programmgesteuerten E.n-/Ausgabekanal ver baut ist, in denen gleiche Daten taktsynchron bunden; daher bestimmt der Rechner die Art um verarbeitet werden und zwischen den Kanälen Richtung der Informationstransporte des Steuer-Majoritätsschaltungen mit Maßnahmen zu deren io systems durch Ein-Ausgabebefehle, die er in semerr Fehlersicherung und zur Regenerierung und An- laufenden Programm vorfindet, zeige von fehlerbehafteten Signalen vorgesehen Eine Ein-Ausgabeoperation über das Steuersind, dadurch gekennzeichnet, daß system erfordert die Bearbeitung einer Folge u..r jedes der bei den Majoritäts- und Fehlerüber- mehreren E/A-Befehlen des Rechners, wobei jede. wachungsschaltungen verwendete logische Ver- 15 Befehl eine bestmimte MikroOperation durchfuhrt. knüpfungsglied ein Wechselstrombaustein ist und wie z. B. Informationseingabe, -ausgabe, Test de? derart ausgebildet ist, daß es bei einem beliebi- Zustandes einer adressierten Steuersystem-Baugruppe gen eigenen Defekt, unabhängig vom Zustand und Fehlertest.table information processing channels - a program-controlled E.n- / output channel ver is built in which the same data is linked isochronously; therefore the computer redetermines the type are processed and between the channels direction of the information transports of the controlling majority circuits with measures to their io systems through input-output commands, which he in semerr Error protection and for the regeneration and starting program is found, show faulty signals provided An input / output operation via the control are, characterized in that the system requires the processing of a sequence u..r each of the majority and error over several I / O commands of the computer, each. monitoring circuits used logic control 15 command carries out a certain micro-operation. Linking element is an alternating current module and how z. B. Information input, output, test de? is designed such that it is in an arbitrary state of an addressed control system module gen own defect, regardless of the condition and error test. anliegender Eingangssignale, keine Wechselspan- Das Steuersystem, das die E/A-Befehle empfängt.pending input signals, no AC voltage. The control system that receives the I / O commands. nung an seinem Ausgang führt. 20 decodiert sie und verwendet sie zur Steuerung derat its exit. 20 decodes them and uses them to control the 2. Steuersystem nach Anspruch 1, sekenn- internen Informations- und Steuersignaltranspone. zeichnet durch die Anordnung getrennter Majo- Außerdem werden dort Ausgabeinformationen und ritäts- und Fehlerüberwachuncsschaltungen in- Adresse gespeichert und die Eingabeinformation für nerhalb von Überwachenesebenen für jeden Ka- die Eingabe in den Rechner bereitgehalten. Es sind nal und für jede Datenrichtune. 25 Steuersysteme bekannt (Richards, »Electronic2. Control system according to claim 1, sekenn- internal information and control signal transpone. is characterized by the arrangement of separate majo- In addition, output information and rity and error monitoring circuits are stored in the address and the input information for The input in the computer is kept ready for each cable within the monitoring levels. There are nal and for every data direction. 25 tax systems known (Richards, »Electronic Digital Systems«, John Wiley & Sons Inc., New York 1966, S. 596 bis 607), bei denen zur Erhöhung der Verfügbarkeit der Anlage eine redundante Technik.Digital Systems ", John Wiley & Sons Inc., New York 1966, pp. 596 to 607), in which to increase the Availability of the system a redundant technology. wie beispielsweise ein Systemaufbau aus drei iden-such as a system structure made up of three identical 30 tischen Kanälen mit ebenfalls redunaant aufgebauten Majoritätsschaltungen zur Fehlerregenerierung, vorgesehen ist. Nachteilig bei einem derartigen Steuer-30 table channels with also redunaant Majority circuits for error recovery, is provided. A disadvantage of such a tax Die Erfindung bezieht sich auf ein modular aufge- system ist es, daß trotz der redundanten Technik bautes ausfallsicheres Steuersystem zur Übertragung prinzipiell nicht ausgeschlossen werden kann, daß von digitalen Informationen, wobei das Steuersystem 35 fehlerhafte Signale gefährliche Bctriebszustände heraus drei identischen Informationsverarbeitungskanä- vorrufen können. Letztere können insbesondere dann gen aufgebaut ist, in denen gleiche Daten taktsyn- entstehen, wenn infolge eines fehlerhaften L-wertigcn chron verarbeitet werden und zwischen den Kanälen Ausgangssignals der Majoritätslogik nachgeschaltete Majoritätsschaltungen mit Maßnahmen zu deren Einrichtungen wie Relais, Signale u. dgl. betätigt Fehlersicherung und zur Regenerierung und Anzeige 4° werden. Es ist zwar eine Schaltungsanordnung zur von fehlerbehafteten Signalen vorgesehen sind. Fehlererkennung bekannt (DT-AS 12 92 892), dieThe invention relates to a modular system that is in spite of the redundant technology built fail-safe control system for transmission can in principle not be ruled out that of digital information, the control system 35 erroneous signals dangerous operating conditions out can call three identical information processing channels. The latter can in particular then gen is constructed in which the same data is generated synchronously if as a result of an incorrect L-valued chronologically processed and between the channels output signal of the majority logic connected downstream Majority circuits with measures for their facilities such as relays, signals and the like Error protection and for regeneration and display 4 °. Although there is a circuit arrangement for of faulty signals are provided. Fault detection known (DT-AS 12 92 892), the Ein derartiges Steuersystem ist erforderlich für die sich auf Schaltkreistechniken bezieht, bei denen es Anwendung in einem Automatisierungssystem zur wahrscheinlicher ist, daß »L-Bits« in »O-Bits« ver-Steuerung und Überwachung von industriellen Pro- fälscht werden als umgekehrt, jedoch ist eine derzessen, Fertigungs- und Bewegungsvorgängen aller 45 artige Anordnung nicht geeignet, fehlerhafte L-Si-Art. Bei allen Anwendungen besteht eine direkte (on- gnale grundsätzlich zu verhindern. Werden derartige line) Verbindung zwischen Automatisierungssystem Steuersysteme in einem sicheren Automatisierungsund zu automatisierender Anlage, so daß Änderun- system eingesetzt, das beispielsweise zur Steuerung gen des Betriebszustandes oder der Anforderungen und Überwachung von Kernenergieanlage!!, chemian die Anlage schnell erfaßt, ausgewertet und in 5° sehen Industrieanlagen, Fahrzeugen und deren Si-Stcuerhandlungcn umgewandelt werden können. cherungseinrichtungen im Verkehrswesen dient, bei Das Steuersystem, auch Verkehrsvertciler genannt, denen ein Fehler zu katastrophalen Folgen führt, hat dabei d\· Aufgabe, Informationen zwischen dem wobei Menschenleben gefährdet oder große Sach-Pro/cßreehnor und den Peripheriegeräten wortweise schaden verursacht weiden können, so werden erin beiden Richtungen zu transportieren. Zu den Pe- 55 höhte Anforderungen an die Sicherheit und Verfügriphcricgciätei; werden hierbei alle Einrichtungen barkeit gestellt.Such a control system is required for those relating to circuit technology where, when used in an automation system, it is more likely that "L-bits" will be forged into "O-bits" for control and monitoring by industrial professionals than vice versa, however one of the processes, manufacturing and movement processes of all 45 types of arrangement is not suitable, faulty L-Si type. In all applications there is a direct (on- gnals to be prevented. If such a line) connection exists between the automation system and control systems in a safe automation system and system to be automated, so that change systems are used, for example to control the operating status or the requirements and monitoring of Nuclear power plant !!, chemian the plant can be quickly recorded, evaluated and converted into 5 ° see industrial plants, vehicles and their Si control actions. cherungseinrichtungen in transport is used in the control system, also called Verkehrsvertciler, which introduces errors to disastrous consequences, has this d \ · task information can graze caused by words hurt between where human lives at risk or major property-Pro / cßreehnor and peripherals, so it will transport in both directions. To the pe- 55 heightened requirements for security and availability; all facilities are provided. gerechnet, die Daten und Meßwerte in einem Prozeß Die Bedingungen sind dabei folgendermaßen lest·calculated, the data and measured values in one process The conditions are read as follows: erfassen und u\c. Informationen und Steuerbefehle gelegt:
an den Prozeß bzw. an dessen Überwachungsorganecapture and u \ c. Information and control commands placed:
to the process or to its supervisory bodies ausgeben. Ebenfalls Peripheriegeräte sind in diesem 6° a) Durch einen einzigen Fehler eines Bauelemen-Zusammenhang alle Einrichtungen, die innerhalb des tes, einer Signalverbindung oder eines Periphe-output. Peripheral devices are also included in this 6 ° a) Due to a single error in a component connection all facilities within the tes, a signal connection or a peripheral Prozesses den Informationsaustausch zwischen riegerätes (z. B. defekter Meßfühler) dürfenProcess the exchange of information between devices (e.g. defective sensor) Mensch und Prozeßrechner erlauben, wie z. B. keine fehlerhaften Daten-Ausgaben oder Steuer-Allow human and process computer, such. B. no incorrect data outputs or tax Leuchtanzeigen, Tastaturen, Fernschreibmaschinen befehle verursacht werden. Insbesondere dürfenIlluminated displays, keyboards, teletypewriters commands. In particular, may und Protokollschreibmaschinen. 65 auch bei defekten Majorilätsschaltungen imand protocol typewriters. 65 even with defective majority circuits in the Durch seinen Ausbau muß das Steuersystem Fehlerfall keine nachgeschaltcten Bausteine an-Due to its expansion, the control system does not have to connect any downstream modules in the event of a fault. lcicht einer speziellen Aufgabe angepaßt werden gesteuert werden,lcot be adapted to a special task can be controlled, können; d. h., es muß modular aufgebaut sein, und b) Das Automatisierungssystem muß ohne Ein-can; d. that is, it must have a modular structure, and b) the automation system must be
DE2023117A 1970-05-05 1970-05-05 Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer Ceased DE2023117B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE2023117A DE2023117B2 (en) 1970-05-05 1970-05-05 Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer
DE19702032425 DE2032425A1 (en) 1970-05-05 1970-06-24 Fail-safe control system for the transmission of digital information
DE19752554144 DE2554144A1 (en) 1970-05-05 1975-11-28 Fail safe control for digital information transmission - with majority logic plug-in modules operating on triplicate channel transmission

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2023117A DE2023117B2 (en) 1970-05-05 1970-05-05 Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer

Publications (2)

Publication Number Publication Date
DE2023117A1 DE2023117A1 (en) 1971-11-18
DE2023117B2 true DE2023117B2 (en) 1975-10-30

Family

ID=5770877

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2023117A Ceased DE2023117B2 (en) 1970-05-05 1970-05-05 Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer

Country Status (1)

Country Link
DE (1) DE2023117B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2647367A1 (en) * 1976-10-20 1978-04-27 Siemens Ag Multiple redundant process controller - has detector stages to continuously monitor performance of each unit to indicate single or double malfunction
EP0037362A1 (en) * 1980-03-26 1981-10-07 Licentia Patent-Verwaltungs-GmbH Arrangement for protected data output

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2255031C3 (en) * 1972-11-10 1985-06-27 Brown, Boveri & Cie Ag, 6800 Mannheim Circuit arrangement for a module for building fail-safe protective circuits
DE2912928C2 (en) * 1979-03-31 1986-10-23 Standard Elektrik Lorenz Ag, 7000 Stuttgart Device for the transmission of binary coded information for the remote control of railway signal systems
DD160757A3 (en) * 1981-03-26 1984-02-29 Juergen Nikolaizik HIERARCHIC CONSTRUCTION INFORMATION PROCESSING SYSTEM
ZA825823B (en) * 1981-08-20 1983-07-27 Westinghouse Brake & Signal Combining replicated sub-system outputs

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2647367A1 (en) * 1976-10-20 1978-04-27 Siemens Ag Multiple redundant process controller - has detector stages to continuously monitor performance of each unit to indicate single or double malfunction
EP0037362A1 (en) * 1980-03-26 1981-10-07 Licentia Patent-Verwaltungs-GmbH Arrangement for protected data output

Also Published As

Publication number Publication date
DE2023117A1 (en) 1971-11-18

Similar Documents

Publication Publication Date Title
DE2749888A1 (en) DEVICE FOR REPORTING ERRORS
DE19847986C2 (en) Single processor system
DE2651314C2 (en) Safety output circuit for a data processing system that emits binary signals
DE2441351C2 (en) Self-checking fault checking circuit
DE2023117B2 (en) Fail safe control for digital information - three channel supervisory control built into processing unit provides full transfer
DE2647367C3 (en) Redundant process control arrangement
DE3238692A1 (en) Data transmission system
EP0077450B1 (en) Security output circuit for a data processing equipment emitting binary signal pairs
DE4303048A1 (en) Alarm recognition apparatus for redundant layout circuit in radio equipment - has input circuits delaying alarm recognition signals when circuits are switched to be operational systems
DE19531923B4 (en) Device for realizing safe-life functions
DE1513297B2 (en) CIRCUIT ARRANGEMENT FOR DETECTION OF L OR O SIGNAL ERRORS FOR AT LEAST ONE TWO-CHANNEL CONTROL CIRCUIT
DE4007460C2 (en) Method and circuit arrangement for quick decommissioning of modules in the event of a fault
DE2449634A1 (en) INFORMATION COLLECTION SYSTEM
DE2460245A1 (en) Function supervision for switching circuits - current indicator is inserted into supply circuit for low current operation
DE2148644C3 (en) Arrangement for localizing certain events and operations in centrally controlled and / or monitored systems
DE1762905C (en) Circuit arrangement for monitoring the switching function of a distribution switch
DE2148981C3 (en) Method for recording and controlling the functional states of individual system units of a program-controlled processing system
DE1513297C (en)
DE1474084C3 (en) Test and control circuit for a document sorting machine that works together with a device for mono testing
DE2554144A1 (en) Fail safe control for digital information transmission - with majority logic plug-in modules operating on triplicate channel transmission
DE3315269C2 (en) Circuit arrangement for increasing operational safety when exchanging information between control devices of telecommunications, in particular telephone switching systems
DD261728A3 (en) Noise protection circuit for electronic devices
DE2534759A1 (en) Crossbar distribution switch for telephone exchanges etc. - has coupling elements supplied with switching signals via blocking elements
DE2034869A1 (en) Fail-safe control system for the transmission of digital information
DD135006B1 (en) SHIFT ASSEMBLY FOR ERROR IDENTIFICATION AND PROCESSING FOR TOOLING MACHINES

Legal Events

Date Code Title Description
8220 Willingness to grant licences (paragraph 23)
8235 Patent refused