DE2647367A1 - Redundante prozessteueranordnung - Google Patents

Redundante prozessteueranordnung

Info

Publication number
DE2647367A1
DE2647367A1 DE19762647367 DE2647367A DE2647367A1 DE 2647367 A1 DE2647367 A1 DE 2647367A1 DE 19762647367 DE19762647367 DE 19762647367 DE 2647367 A DE2647367 A DE 2647367A DE 2647367 A1 DE2647367 A1 DE 2647367A1
Authority
DE
Germany
Prior art keywords
output
input
inputs
arrangement according
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19762647367
Other languages
English (en)
Other versions
DE2647367C3 (de
DE2647367B2 (de
Inventor
Manfred Dipl Ing Euringer
Werner Dipl Ing Reichert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19762647367 priority Critical patent/DE2647367C3/de
Priority to JP12636377A priority patent/JPS5352033A/ja
Publication of DE2647367A1 publication Critical patent/DE2647367A1/de
Publication of DE2647367B2 publication Critical patent/DE2647367B2/de
Application granted granted Critical
Publication of DE2647367C3 publication Critical patent/DE2647367C3/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • G06F11/185Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly

Description

  • Redundante Prozeßsteueranordnung
  • Die Erfindung betrifft eine redundante Prozeßsteueranordnung mit mehreren parallel arbeitenden gleichartigen Zentraleinheiten, die mit Übertragungskanälen verbunden sind, und mit Mehrheitsentscheidungen treffenden Verknüpfungsgliedern.
  • Aus dem Buch ~1Prozeßrechner", Oldenburg-Verlag, 1970, Seiten 348 bis 351, ist es bekannt, die Verfügbarkeit und Funktionssicherheit von Prozeßsteueranlagen durch Geräte oder Systemredundanz zu erhöhen, indem zur Ausübung derselben Funktion mehrere gleichartige Geräte vorgesehen und deren Ausgangssignale auf Übereinstimmung überwacht werden. Stimmen sie nicht überein, liegt ein Fehler vor. Man kann zwei oder mehr selbständig betriebsfähige Anlagen parallel arbeiten lassen und so eine hohe Verfügbarkeit und Sicherheit gegen Fehler erzielen. Der mehrfache Aufbau vollständiger Anlagen erfordert einen im allgemeinen zu großen Aufwand. Man beschränkt sich daher meistens darauf, einzelne Anlagenteile mehrfach vorzusehen.
  • Aus der DT-AS 21 08 496 ist demgemäß eine Schaltungsanordnung zur ständigen Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen bekannt, bei der ein Datentelegramm für einen Übertragungskanal in parallel betriebenen, gleichartigen Rechnern parallel erarbeitet und auf getrennten Leitungen einem gemeinsamen Ausgang für diesen Übertragungskanal zugeführt wird. In dieser bekannten Anordnung sind Rechner mehrfach vorhanden; Fehler der Übertragungskanäle oder der peripheren Baueinheiten werden nicht erfaßt.
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine Anordnung der eingangs beschriebenen Art zu schaffen, die bei geringem Aufwand hohe Verfügbarkeit und Funktionssicherheit bietet.
  • Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß an jede Zentraleinheit eine Ausgabe-Sammelleitung angeschlossen ist, daß an die Adern der Ausgabe-Sammelleitungen, die mit einander entsprechenden Ausgängen der Zentraleinheiten verbunden sind, je ein einer Ein-Ausgabebaugruppe zugeordnetes Ausgabe-Verknüpfungsglied angeschlossen ist, das in der Ein-Ausgabebaugruppe enthaltene Eingabeeinheiten und/oder Ausgabeeinheiten ansteuert, und daß mit jeder Ein-Ausgabebaugruppe mehrere Eingabe-Sammelleitungen parallel verbunden sind, an die über Eingabe-Verknüpfungsglieder Eingänge der Zentraleinheiten angeschlossen sind. Es ist somit jeder Zentraleinheit eine in der Regel mehradrige Ausgabe-Sammelleitung zugeordnet, über welche jede Zentraleinheit Adressen von Ein-Ausgabeeinheiten oder auch Daten ausgibt. Die Ein-Ausgabeeinheiten sind zu Gruppen zusammengefaßt; jede Gruppe wird von Ausgabe-Verknüpfungsgliedern, deren Anzahl gleich der Zahl der einer Zentraleinheit zugeordneten Ausgangs-Sammelleitungen ist, angesteuert. Diese Verknüpfungsglieder empfangen die binären Signale, die auf einander entsprechenden, den verschiedenen Zentraleinheiten zugeordneten Ausgabe-Sammelleitungen liegen und stellen fest, ob die Anzahl der log. 1"- oder O-Signale größer als eine vorgegebene Zahl ist. ist dies der Fall, geben sie das mehrheitlich festgestellte Signal auf die Ein-Ausgabeeinheiten. Die redundanten Signale auf den Ausgabe-Sammelleitungen werden daher in nichtredundante Steuersignale umgewandelt. Mit einer solchen Anordnung wird eine hohe Verfügbarkeit der Zentraleinheiten und der Sammelleitungen erzielt, also der Bauteile, bei deren Ausfall die gesamte Steueranordnung gestört und der zu steuernde Prozeß in einer nicht vorhersehbaren Weise beeinflußt werden kann. Einfacafehler in den Zentraleinheiten oder den Übertragungsleitungen können so festgestellt und angezeigt werden.
  • Sie führen nicht zu einer Fehlfunktion des wichtigen informationsverarbeitenden Zentralteils. Auf die Fehleranzeige kann die defekte Baugruppe ohne Beeinträchtigung des Betriebs der gesamten Anlage ausgetauscht werden.
  • Für die Ein-Ausgabeeinheiten kann im allgemeinen eine geringere Verfügbarkeit und Zuverlässigkeit zugelassen werden, da bei Ausfall einer Ein-Ausgabeeinheit oder auch einer ganzen Ein-Ausgabebeugruppe nur ein Teil der Steueranordnung ausfällt. Wird von einer Ein-Ausgabeeinheit eine hohe Verfügbarkeit verlangt, so kann diese dadurch erzielt werden, daß mehrere Ein-Ausgabeeinheiten parallel betrieben werden. Vorzugsweise sind diese Ein-Ausgabeeinheiten in verschiedenen Ein-Ausgabebaugruppen untergebracht, so daß auch bei Ausfall einer ganzen Baugruppe die in den übrigen Baugruppen enthaltenen Ein-Ausgabeeinheiten funktionsfähig bleiben.
  • Die von den Ein-Ausgabebaugruppen zu den Zentraleinheiten zu übertragenden Signale werden parallel auf mehrere Eingabe-Sammelleitungen gegeben. An diese sind Eingabe-Verknüpfungsglieder angeschlossen, die entsprechend den Ausgabe-Verknüpfungsgliedern aufgebaut sind und die eine Mehrheitsentscheidung über die auf den Eingangs-Sammelleitungen liegenden Signale treffen, also z. B. ob im Falle von n Eingabeleitungen die Anzahl der log.
  • "1"- oder O-Signale größer oder gleich als eine vorgegebene Zahl m ist. An diese Eingabe-Verknüpfungsglieder sind die Zentraleinheiten angeschlossen.
  • Die Zentraleinheiten arbeiten zweckmäßig mit je einem Programmspeicher in der Weise zusammen, daß aufgrund des Programmes Ein-Ausgabeeinheiten, Zeitwerke und dergleichen aufgerufen werden, die daraufhin Signale über den Zustand der zu steuernden Anlage rückmelden. Aufgrund dieser Signale und des gespeicherten Programms werden weitere Ein-Ausgabe einheiten angesteuert.
  • Die neue Prozeßsteueranordnung ist besonders zur Verarbeitung von binären Signalen geeignet. Binäre Steuerungsanordnungen sind solche, bei denen die Daten eine Informationsmenge von 1 Bit haben. Die Ein- und Ausgabeeinheiten, Zeitstufen und dergleichen können mit Adressen aufgerufen werden. Die Ausgabeeinheiten geben bei Aufruf ein Signal ab, mit dem z. B. ein Relaiskontakt geöffnet oder geschlossen wird. Die Eingabeeinheiten schalten bei Aufruf das an dem adressierten Eingang liegende Signal auf die Eingabe-Sammelleitung durch und so fort. Sind solche Steueranordnungen eingesetzt, dann werden über die Ausgabe-Sammelleitungen im wesentlichen Adressen von Eingängen, Ausgängen, Zeitstufen und dergleichen übertragen. Bei paralleler Übertragung der Adressen sind an jede Zentraleinheit mehrere, z. B. 10 Ausgabe-Sammelleitungen, angeschlossen. Über weitere Ausgabe-Sammelleitungen können Steuersignale, Taktsignale und dergleichen übertragen werden. Die neue redundante Steueranordnung kann aus Teilen solcher binärer Steueranordnungen aufgebaut werden.
  • Anhand der Zeichnung, in der das Schaltbild eines Ausführungsbeispiels dargestellt ist, werden im folgenden die Erfindung sowie weitere Vorteile und Ergänzungen näher beschrieben und erläutert.
  • Es zeigen Figur 1 ein Übersichtsschaltbild über die neue Anordnung, Figur 2 die Anordnung von Abschaltelementen, Figur 3 redundante Ein- und Ausgaben von Signalen und Figur 4 Einzelheiten der in der Anordnung nach Figur 1 verwendeten Verknüpfungsglieder.
  • In Figur 1 sind mit ZEI, ZE2 und ZE3 drei gleichartige Zentraleinheiten bezeichnet, die mit Daten, die über Eingänge 1, 2 und 3 zugeführt sind, arithmetische und vor allem logische Operationen durchführen. Jede dieser Zentraleinheiten arbeitet mit einem Programmspeicher SP1, SP2, SP3 zusammen, in denen jeweils das gleiche Programm gespeichert ist. Nach diesem Programm werden die arithmetischen und logischen Operationen durchgeführt. Die Zentraleinheiten ZE1, ZE2 und ZE3 führen die einzelnen Programmschritte im Takt von Impulsen aus, die ihnen über Eingänge 4, 5 und 6 von Taktgeneratoren TG1, TG2 und TG3 zugeführt sind, die sich gegenseitig synchronisieren, so daß die einzelnen Programmschritte gleichzeitig von den Zentraleinheiten durchgeführt werden. Damit im Falle eines Kurzschlusses in einem der Taktgeneratoren TG1, TG2 oder TG3 die anderen Taktgeneratoren nicht blokkiert sind, sind die Taktgeneratoren gegenseitig galvanisch mittels Optokopplern OK1, OK2 und OK3 getrennt. Im Ausführungsbeispiel sind die Zentraleinheiten ZEI, ZE2 und ZE3 derart aufgebaut, daß sie Informationen von je 1 Bit verarbeiten. Ihre Ausgangssignale, die im wesentlichen aus Adressen von'Ein- oder Ausgängen, Zeitwerken oder Merkerspeichern bestehen, geben sie auf je eine Ausgabe-Sammelleitung ASLI, ASL2 und ASL3. Da die genannten Aus- gangssignale der Zentraleinheiten Informationen von mehreren Bit sind, haben die Ausgabe-Sammelleitungen jeweils mehrere Adern, damit die Ausgangssignale der Zentraleinheiten parallel übertragen werden können. In die Ausgabe-Sammelleitungen sind Ausgabeverstärker GV1, GV2 und GV3 geschaltet.
  • An die Ausgangs-Sammelleitung ASL1 ist ein Merkerspeicher MS1 angeschlossen, in dem Zwischenergebnisse von logischen Operationen und dergleichen abgespeichert sind. Entsprechende Merkerspeicher MS2 und MS3, die bei ungestörtem Betrieb denselben Inhalt wie der Speicher MS1 haben, sind an die Ausgabe-Sammelleitungen ASL2 und ASL3 angeschlossen. Ihre Speicherzellen haben eine Informationskapazität von 1 Bit. Wird eine Speicherzelle aufgerufen, so wird der Inhalt dieser Zelle auf Eingabe-Sammelleitungen ESL1, ESL2 und ESL3 gegeben. Bei ungestörtem Betrieb werden von den Zentraleinheiten ZEI, ZE2 und ZE3 entsprechende Speicherzellen der Merkerspeicher MS1, MS2 und MS3 aufgerufen und, da deren Inhalte gleich sein sollen, gleiche Signale auf die Eingabe-Sammelleitungen ESL1, ESL2 und ESL3 ausgelesen. Die auf diesen Leitungen befindlichen Signale gelangen auf Optokoppler OP4, OP5 und OP6, die jeweils einer der Zentraleinheiten zugeordnet sind. Sie trennen die Eingabe-Sammelleitungen ESL1, ESL2 und ESL3 von Eingabe-Verknüpfungsgliedern EV1, EV2 und EV3, welche eine (2von3)-Mehrheitsentscheidung treffen, d. h. ihr Ausgangssignal ist gleich dem Signal, das an mindestens zwei ihrer drei Eingänge anliegt. Bei ungestörtem Betrieb sind die drei Eingangssignale gleich. ist ein Signal von den beiden anderen verschieden, liegt ein einfacher Fehler vor, der mit einem auf Fehleranzeigeleitungen FZ1, FZ2 oder FZ3 gegebenen Signal angezeigt wird. Kommt zu einem solchen einfachen Fehler zeitlich versetzt ein zweiter Fehler hinzu, so wird auf Doppelfehler erkannt und ein diesen kennzeichnendes Signal auf Leitungen DF1, DF2 und DF3 gegeben, mit dem einerseits eine nicht dargestellte Anzeigeeinheit angesteuert wird und das andererseits über einen Eingang 13 bzw. 14 bzw. 15 der zugehörigen Zentraleinheit ZEI, ZE2, ZE3 zugeführt wird, die daraufhin den gesteuerten Prozeß abschaltet, indem sie auf einen Ausgang 7 bzw. 8 bzw. 9 ein Abschaltsignal gibt. An diese Ausgänge sind Abschalteinrichtungen angeschlossen, die in Figur 1 als Relais A, B und C gezeichnet sind.
  • In Figur 2 ist die Schaltung der Ivontdkte der Relais A; B und C im einzelnen dargestellt. Mit a1, a2 sind die Kontakte des Relais A, mit b1 und b2 die des Relais B und mit ci, c2 die des Relais C bezeichnet. Bei ungestörtem Betrieb sind sämtliche Kontakte geschlossen und eine Versorgungsspannung UB gelangt über diese Kontakte auf Ausgabekontakte akl, ak2, ak3 ... akn, die mit Verbrauchern L1, L2, L3 ... Ln in Reihe geschaltet sind.
  • Diese Verbraucher sind z. B. Wicklungen von Magnetventilen, Wicklungen von Schützen für Heizungen und dergleichen. Die Ausgabekontakte akyl, ak2, ak3 ... akn sind je nach Zustand des zu steuernden Prozesses geschlossen und geöffnet. Schaltet eine der Zentraleinheiten ZEI, ZE2, ZE3 (Fig. 1) das an sie angeschlossene Relais ab, z. B. die Zentraleinheit ZEI das Relais A, so werden die zugehörigen Kontakte, z. B. al und a2 geöffnet. Über die geschlossenen Kontakte b2 und cl gelangt die Versorgungsspannung UB weiterhin auf die Ausgabekontakte akyl, ak2 ... Schaltet noch eine zweite Zentraleinheit ZE2 oder ZE3 ab, so werden auch die Kontakte b1 und b2 bzw. ci und c2 geöffnet und sämtliche Verbraucher L1, L2 ... Ln sind spannungsfrei, so daß der gesamte zu steuernde Prozeß abgeschaltet ist.
  • Der bisher beschriebene Teil der Anordnung nach Figur 1 ist ein redundantes Informationsverarbeitungssystem, das aus drei unabhängig, aber taktsynchron arbeitenden Teilsystemen mit je einer Zentraleinheit, einem Programmspeicher, einem Taktgenerator, Merkerspeichern, Verknüpfungsgliedern zur Fehlererkennung und Mehrheitsentscheidung sowie notwendigen Verbindungsleitungen besteht.
  • Im Ausführungsbeispiel ist die Mehrheitsentscheidung eine (2von3)-Entscheidung; es sind aber auch andere Entscheidungen möglich, z. B. bei Erweiterung auf vier Teilsysteme eine (2von4)-Entscheidung. Einfache Fehler dieses informationsverarbeitenden Teils der Anordnung nach Figur 1 werden erkannt und können, da die einzelnen Teile unabhängig arbeiten, ohne Unterbrechung der laufenden Prozeß steuerung behoben werden. An den informationsverarbeitenden Teil sind die Teile der Prozeßsteueranordnung angeschlossen, welche die Verbindung zum zu steuernden Prozeß, z. B. die in Figur 2 eingezeichneten Ausgabekontakte aki, ak2, ak3 ... akn, herstellen. Diese Anlagenteile sind im Ausführungsbeispiel in Ein-Ausgabebaugruppen E:AG1, EAG2 untergebracht. Diese Baugruppen weisen u. a. Ausgabeeinheiten AEi bzw. AE2 auf, an deren Ausgänge A1i, A2i die in Figur 2 gezeigten Lastwiderstånde 1, L2, L3 ... Ln angeschlossen sein können. Die Ausgangskontakte akyl, ak2, ak3 akn aknsind Bestandteile der Ausgabeeinheiten AE1 bzw. AE2. In den Ein-Ausgabebaugruppen EAG1 und EAG2 sind ferner Eingabe einheiten EE1 und EE2 enthalten, deren Eingänge E1i und E2i neweils eine Meldung über die Schaltstellung eines Kontaktes, den Schaltzustand eines Grenzwertmelders oder dergleichen zugeführt ist. Weiter enthalten die Ein-Ausgabebaugruppen 13AG1 und EAG2 Zeitwerke ZW1 und ZW2, die jeweils im wesentlichen aus einem Taktgeber und einem voreinstellbaren Zähler bestehen. Sie können mit einem Impuls gestartet werden; ihr Ausgangssignal zeigt an, ob die voreingestellte Zeit seit dem Startimpuls abgelaufen ist oder nicht.
  • Die Ein-Ausgabebaugruppen EAG1 und EAG2 können mittels Stecker an die Ausgabe-Sammelleitungen ASL1, ASL2 und ASL3 angeschlossen sein. Diese sind von den Ein-Ausgabebaugruppen EAG1 und EAG2 durch Optokoppler OK7 bzw. OK9 galvanisch getrennt, damit ein etwaiger Kurzschluß in den Ein-Ausgabebaugruppen die Sammelleitungen nicht blockieren kann. An die Ausgänge der Optokoppler OK7 und OK9 sind Ausgabe-Verknüpfungsglieder AV1, AV2 angeschlossen, welche entsprechend den oben beschriebenen Eingabe-Verknüpfunsgliedern EV1 und EV2 arbeiten. Sie treffen demgemäß eine Mehrheitsentscheidung über die ihnen zugeführten drei Signale. Weicht eines dieser Signale von den beiden anderen ab, liegt ein Einfachfehler vor und es wird eine Fehlermeldung über Leitungen FZ4 bzw.
  • FZ5 gegeben. Doppelfehler werden mit an einem Ausgang DF3 bzw.
  • DF4 auftretenden Signalen den Zentraleinheiten ZEI, ZE2 oder ZE3 rückgemeldet, worauf diese die angeschlossenen Relais A, B, C abschalten können. Die Ausgangssignale der Ausgabe-Verknüpfungsglieder AV1, AV2 werden über Leitungsverstärker LV1, LV2 auf Sammelleitungen BL1, BL2 gegeben, an welche die Ausgabeeinheiten, die Eingabeeinheiten und die Zeitwerke angeschlossen sind. Im Gegensatz zu den informationsverarbeitenden Teilen der Anordnung nach Figur 1 sind die Ein-Ausgabebaugruppen EAG1 und EAG2 nichtredunant aufgebaut. Dies ist damit begründet, daß ein Ausfall des informationsverarbeitenden Teils den Ausfall der gesamten Anlage zur Folge hat, während bei einer Störung in einer Ein-Ausgabebaugruppe die Anlage nur teilweise ausfällt. Wie weiter unten gezeigt werden wird, können trotz des nichtredundanten Auf- baus der Ein-Ausgabebaugruppen Ein- und Ausgänge, an die wichtige Signalgeber oder Stellglieder angeschlossen sind, mit hoher Verfügbarkeit und Zuverlässigkeit betrieben werden.
  • Wie schon erwähnt, ist jedem der Ausgänge A1i, A2i und der Eingänge E1i und E2i eine Adresse zugeordnet. Soll z. B. ein Ausgang auf log. l-Signal gelegt werden, so geben alle drei Zentraleinheiten die Adresse des angewählten Ausganges sowie gegebenenfalls Steuerinformationen wie "Ein" oder "Aus" auf die Sammelleitungen ASL1, ASL2 und ASL3. Im Ausführungsbeispiel besteht die so ausgegebene Information aus 15 Bit, d. h., daß die Ausgabe-Sammelleitungen jeweils 15 Adern haben. Die auf einander entsprechenden Adern liegenden Signale werden je einem Optokoppler OK7 bzw. OK9 zugeführt; es sind also 15 Optokoppler je Ein-Ausgabebaugruppe und 15 Ausgabe-Verknüpfungsglieder AV1 bzw. AV2 in jeder Ein-Ausgabebaugruppe enthalten. Die Ausgabeeinheiten AE1, A192 weisen je einen Adressendecodierer auf, der den von den Zentraleinheiten adressierten Ausgang ansteuert, so daß an diesem die in der Steuerinformation enthaltene Anweisung ausgeführt wird, z. B. ein Ausgabekontakt geschlossen wird. Jedem Ausgang kann ein Speicher zugeordnet sein, der das auf den Ausgang geschaltete Signal aufrechterhält, bis es durch einen Befehl der zentralen Einheiten zurückgenommen wird.
  • Soll das an einem der Eingänge E1i oder E2i anliegende Signal abgefragt werden, geben die Zentraleinheiten ZEI, ZE2 und ZE3 die Adresse dieses Einganges auf die Ausgabe-Sammelleitungen. In den Eingabeeinheiten EE1 und EE2 enthaltene Adressendecodierer schalten das am angewählten Eingang liegende Signal oder ein davon abgeleitetes Signal auf eine Statusleitung STL1 bzw. STL2 durch, ar die drei Adreßdecoder ADC1 bzw. ADC2 angeschlossen sind. Diesen sind ferner die Ausgangssignale der Optokoppler OK7 und OK9 zugeführt. Anhand dieser Signale prüfen sie, ob ein Eingang der Baugruppe, in der sie enthalten sind, adressiert ist. Ist dies der Fall, schalten sie das auf der Statusleitung STL1 bzw. STL2 befindliche Signal auf einen Optokoppler OK8 bzw. OK10 durch, an den die Eingabe-Sammelleitungen ESL1, ESL2 und ESL3 angeschlosse sind. Die Adreßdecoder ADC1 und ADC2 verhindern auf diese Weise, daß im Falle einer Störung der Eingabeeinheiten die Eingabe-Sammelleitungen ESLi, ESL2 und ESL3 blockiert werden können. Ent- sprechend verhindern die Optokoppler OKE und OK10 ein Sperren der Eingabe-Sammelleitungen infolge eines Kurzschlusses im Ausgang einer der Ein-Ausgabebaugruppen EhG1 und EAG2.
  • Den Zeitwerken Z1 und 22 ist ebenfalls je eine Adresse zugeordnet. Durch Zufuhr dieser Adressen sowie entsprechender Steuerinformationen können die Zeitwerke gestartet und abgefragt werden, ob die eingestellte Zeit abgelaufen ist oder nicht. Bei der Abfrage geben die Zeitwerke ZW1, ZW2 ein Zustands signal auf die zugehörige Statusleitung STL1 bzw. STL2.
  • In der Anordnung nach Figur 1 kann eine Vielzahl von Fehlern erkannt werden. Es werden im folgenden einige Beispiele beschrieben. Zeigen alle Ausgabe-Verknüpfungsglieder AV1, AV2 ... einen einfachen Fehler auf einer Ausgabe-Sammelleitung, z. B. der Sammelleitung ASL1, an, ist die Sammelleitung ASL1, die Zentraleinheit ZEI, der Taktgenerator TG1 oder der Programmspeicher SP1 gestört. Mit Hilfe weiterer Verknüpfungsglieder, die gegebenenfalls zwischen die Programmspeicher SP1, SP2, SP) und die zugehörigen Zentraleinheiten ZEI, ZE2, ZE3 geschaltet sind, können die defekten Baugruppen weiter eingegrenzt werden. Beim Auftreten eines Doppelfehlers an allen Ausgabe-Verknüpfungsgliedern AV1, AV2 sind zwei Ausgabe-Sammelleitungen oder Zentraleinheiten gestört, und die Anlage wird abgeschaltet. Tritt nur an einem Ausgabe-Verknüpfungsglied ein Fehler auf, so ist dieser oder der vorgeschaltete Optokoppler gestört. Wird im Falle von n Ausgabe-Verknüpfungsgliedern von den ersten i kein Fehler festgestellt, dagegen aber von den folgenden k bis n, so sind ein bzw. mehrere Ausgabe-Sammelleitungen zwischen der i-ten und der k-ten Ein-Ausgabebaugruppe defekt. Tritt ein Fehler an einem der Eingabe-Verknüpfungsglieder EV1, EV2, EV3 auf, so ist dieses selbst, der ihr vorgeschaltete Optokoppler oder dessen Anschlußleitungen defekt. Bei Auftreten von Doppelfehlern an zwei Eingabe-Verknüpfungsgliedern wird die Anlage abgeschaltet. Zeigen alle drei Eingabe-Verknüpfungsglieder einen einfachen Fehler an einer einzigen Eingabe-Sammelleitung an, ist nur diese gestört; die Anlage kann weiterarbeiten. Stellen alle Eingabe-Verknüpfungsglieder einen Fehler bei Abfrage einer bestimmten Eingabeeinheit fest, so ist diese oder die zugehörige Ein-Ausgabebaugruppe defekt. In einem solchen Falle ist eine Eingabe von Meldungen über diese Eingabebaugruppe nicht mehr möglich.
  • Figur 3 zeigt, wie mit der Anordnung nach Figur 1 Signale mit hoher Funktionssicherheit ein- und ausgegeben werden können.
  • Mit EAG3, EAG4 und EAG5 sind drei Ein-Ausgabebaugruppen bezeichnet, die jeweils eine Eingabeeinheit aufweisen. Das Ausgangssignal eines Signalgebers GB soll mit hoher Zuverlässigkeit eingegeben werden. Hierzu ist der Ausgang des Signalgebers GB mit drei Eingängen verbunden, und zwar mit einem Eingang E31 in einer Eingabeeinheit EED, mit einem Eingang E41 in einer Eingabeeinheit EE4 und mit einem Eingang E51 einer Eingabeeinheit EE5.
  • Die Eingabeeinheiten EE3, EE4 und EE5 sind in verschiedenen Ein-Ausgabebaugruppen untergebracht, damit bei Ausfall einer ganzen Ein-Ausgabebaugruppe das Signal des Gebers GB von den beiden anderen Baugruppen aufgenommen werden kann. Die Anordnung arbeitet in der Weise, daß die Zentraleinheiten die Eingänge E31, E41 und E51 nacheinander abfragen, die Abfrageergebnisse miteinander vergleichen und eine (2von3)-Mehrheitsentscheidung treffen. Selbstverständlich kann das Signal des Gebers GB auch auf mehr als drei Eingänge gegeben und z. B. eine (2von4)-Mehrheitsentscheidung getroffen werden. Eine größere Funktionssicherheit wird erreicht, wenn anstelle eines Gebers GB drei oder mehr Geber vorgesehen sind und diese mit je einem Eingang verbunden werden. Die den Eingängen zugeführten Signale werden wieder abgefragt, und es wird eine Mehrheitsentscheidung getroffen.
  • Zur zusätzlichen Überprüfung der Eingangskanäle in den Eingabeeinheiten EE3, EE4, EE5 ist die P-Versorgungsspannung für den Geber GB über einen Kontakt ak50 am Ausgang A51 der Ausgabeeinheit AE5 geführt. Durch Öffnen des Kontaktes ak50 kann, von den Zentraleinheiten gesteuert, die Versorgungsspannung kurzzeitig unterbrochen werden, so daß sich der logische Zustand an den Eingängen E31, E41, E51 von log. i nach log. "O" ändert, wenn der Geber fehlerfrei arbeitet. Die Zentraleinheiten überprüfen diesen Signalwechsel durch Abfragen der Eingänge E31, E41, E51 und geben eine Meldung ab, wenn die betreffenden Eingabeeinheiten EE3, EE4, EE5 trotz der unterbrochenen Geberversorgungsspannung weiterhin log. 1 melden.
  • Eine Möglichkeit, Signale mit hoher Zuverlässigkeit auszugeben, besteht darin, daß an Ausgänge A32, A42 und A52 von Ausgabeeinheiten AE3, AE4 und AE5, die in verschiedenen Ein-Ausgabebau- gruppen EAG3, EAG4 und EAG5 untergebracht sind, die Eingänge eines (2von3)-Verknüpfungsgliedes VK angeschlossen sind, von dessen Ausgang ein Signal zum Ansteuern eines Stellgliedes oder dergleichen abgenommen werden kann. Über eine Leitung FZ6 werden Fehlermeldesignale ausgegeben, wenn auf den drei Eingangsleitun gen des Verknüpfungsgliedes VK unterschiedliche Signale liegen.
  • Mit einer solchen Anordnung ist zwar die Ausgabe eines Signals gesichert, Fehler, die an Schaltungsteilen auftreten, die dem Verknüpfungsglied VK nachgeordnet sind, werden jedoch nicht erkannt.
  • Figur 3 zeigt ferner eine Anordnung zur zuverlässigen Ausgabe von Signalen, bei der auch Fehler in den Zuleitungen zum Stellglied und in diesem erfaßt werden. Soll z. B. ein Magnetventil MV geschaltet werden, so ist dessen Wicklung zwischen einen Ausgang A31 einer in der Ein-Ausgabebaugruppe EAG3 enthaltenen Ausgabeeinheit AE3 und den Ausgang A41 einer in der Ein-Ausgabebaugruppe EAG4 enthaltenen Ausgabeeinheit AE4 geschaltet. Die Ausgabeeinheit AE3 enthält einen Ausgabekontakt ak30, über den P-Signal an den Ausgang A31 gelegt werden kann. Entsprechend kann M-Signal über einen Ausgabekontakt ak40 auf den Ausgang A41 geschaltet werden. Zum Öffnen bzw. Schließen des Magnetventils MV sind beide Ausgabekontakte ak30 und ak40 geschlossen, so daß über die Wicklung des Magnetventils ein Strom von P nach M fließt. Der sichere Zustand soll dann bestehen, wenn kein Wicklungsstrom fließt. Tritt ein Fehler auf, der verhindert, daß einer der Ausgabekontakte ak3O, ak40 nicht öffnet, so kann der andere Ausgabekontakt den Strom unterbrechen. Zum Prüfen der Funktionsfähigkeit der Ausgabekontakte ak30 und ak40 ist der Ausgang A31 mit einem Eingang E42 der Eingabeeinheit EE4 und der Ausgang A41 mit einem Eingang E32 der Eingabeeinheit EE3 verbunden. Von Zeit zu Zeit wird von den Zentraleinheiten ein Befehl zum kurzzeitigen Öffnen der Kontakte ak30 und ak40 gegeben. Die Kontakte dürfen nur so kurz geöffnet sein, daß das Magnetventil nicht abfällt.
  • Gleichzeitig werden die Eingänge E32 und E42 abgefragt. Aus den an diesen liegenden Signalen kann erkannt werden, ob die Kontakte tatsächlich geöffnet wurden. Zweckmäßig wird der in der Ein-Ausgabebaugruppe EAG3 enthaltene Kontakt ak30 durch Abfragen eines Einganges der Ein-Ausgabebaugruppe EAG4 geprüft. Entsprechend ist der Ausgang AE4 der Baugruppe EAG4 mit einem Eingang der Baugruppe EAG3 verbunden.
  • Figur 4 zeigt Einzelheiten einer bevorzugten Ausführungsform der in Figur 1 eingesetzten Verknüpfungsglieder. Bei dem gewählten Beispiel handelt es sich um ein Ausgabe-Verknüpfungsglied, jedoch ist dieses Beispiel ohne weiteres auch als Eingabe-Verknüpfungsglied einsetzbar. Die Eingangssignale sind drei Eingängen I, II und III zugeführt. Der Eingang I ist mit der Ausgabe-Sammelleitung ASL1 der Anordnung nach Figur 1, der Eingang II mit der Ausgabe-Sammelleitung ASL2 und der Eingang III mit der Leitung ASL3 verbunden. An je zwei der Eingänge I, II und III sind UND-Glieder U1, U2 und U3 angeschlossen, welche somit prüfen, ob zwei der drei Eingangssignale ~1 ~ sind. Sind mindestens zwei Signale log. "O", geben alle UND-Glieder U1, U2, U3 "O"-Signal ab. Sind zwei Eingangssignale log. "1", ist das Ausgangssignal eines UND-Gliedes i. Dieses wird über ein ODER-Glied 01 auf den Eingang eines Leitungsverstärkers LV geschaltet, an den eine Leitung BL angeschlossen ist, die mit den Adressen- und Steuereingängen einer Eingabeeinheit EE, einer Ausgabeeinheit AE und eines Zeitwerkes ZW verbunden ist. An das Ende der Leitung BL sind die einen Eingänge von Antivalenzgliedern A1M1, AN2, AN3 angeschlossen, deren anderen Eingängen je ein Signal von den Eingängen I, II, III zugeführt ist und denen die Vorbereitungseingänge von bistabilen Kippstufen BK1, BK2, BK3 nachgeschaltet sind. Den Takteingängen der bistabilen Kippstufen sind über eine Leitung T Taktimpulse zugeführt. Mittels einer Quittungstaste QT, die an die Rücksetzeingänge der bistabilen Kippstufen angeschlossen ist, können diese rückgesetzt werden. An die Ausgänge der bistabilen Kippstufen BK1, BK2, BK3 sind Lampen AL1, AL2, AL3 zur Anzeige von einfachen Fehlern sowie Leitungen EF1, EF2, EF3 angeschlossen, über die Einfachfehler kennzeichnende Signale abgegeben werden. Drei UND-Glieder U4, U5, U6 verknüpfen die Ausgänge von je zwei bistabilen Kippstufen. Sind mindestens zwei bistabile Kippstufen gesetzt, d. h. liegt ein Doppelfehler vor, gibt eines der UND-Glieder U4, U5, U6 Signal ab, das über ein ODER-Glied 02 auf eine Lampe AL4 zur Anzeige von Doppelfehlern und eine Leitung DF gegeben wird. An die Leitung DF ist gemäß Figur 1 eine Zentraleinheit angeschlossen, die, wenn sie über diese Leitung ein Signal erhält, das von ihr gesteuerte Relais A bzw. B bzw. C (Fig. 1) abschaltet.
  • Es wurde in der Beschreibung der Figur 1 erläutert, daß die Ausgabe-Verknüpfungsglieder AV1 und AV2 mehrfach vorhanden sind.
  • Dies bedeutet, daß auch die UND-Glieder U1, U2, U3, das ODER-Glied 01, der Verstärker LV, die Leitung BL und die Antivalenzglieder AN1, AN2, AN3 mehrfach vorhanden sind. Die Kippstufe BK1 und die ihr nachgeordneten Schaltungsteile brauchen nur einfach vorgesehen sein, wenn die Ausgänge des Antivalenzgliedes AN1 und der diesem entsprechenden, derselben Ausgabe-Sammelleitung ASL1 zugeordneten Antivalenzglieder über ein ODER-Glied verknüpft sind, dessen Ausgang die bistabile Kippstufe BK1 nachgeschaltet ist. In gleicher Weise können die den Ausgabe-Sammelleitungen ASL2 und ASL3 zugeordneten Antivalenzglieder mit den Eingängen der bistabilen Kippstufe BK2 und BK3 verbunden sein. In diesem Falle zeigen die Anzeigelampen ALl, AL2, AL3 nur an, auf welcher Ausgabe-Sammelleitung und nicht auf welcher Ader derselben ein Fehler aufgetreten ist.
  • Zur Erläuterung der Funktion der in Figur 4 gezeigten Anordnung ist zunächst angenommen, daß an allen drei Eingängen I, II, III log. "1"-Signal liegt. Die Koinzidenzbedingungen an den Eingängen der UND-Glieder U1, U2, U3 sind somit erfüllt, und das ODER-Glied 01 gibt Signal ab, das über den Leitungsverstärker LV und die Leitung BL auf die einen Eingänge der Antivalenzglieder AN1, AN2 und AN3 gelangt. Deren zweiten Eingängen ist ebenfalls "1"-Signal unmittelbar von den Eingängen I, II, III zugeführt, so daß die Ausgangssignale aller Antivalenzglieder AN1, AN2, AN3 "O" ist; es wird kein Fehler angezeigt. Wird das Signal am Eingang I "O", ist nur noch an den Eingängen des UND-Gliedes U2 die Koinzidenzbedingung erfüllt; das ODER-Glied 01 gibt daher weiterhin Signal ab, entsprechend der Mehrheit der an den Eingängen I, II, III liegenden Signale. Während den beiden Eingängen der Antivalenzglieder AN2, AN3 Signal zugeführt und ihr Ausgangssignal daher "O" ist, liegt am zweiten Eingang des Antivalenzgliedes AN1 "O"-Signal. Die Antivalenzbedingung ist erfüllt, die Kippstufe BK1 wird mit dem nächsten Taktimpuls auf der Leitung T gesetzt, und es wird auf die Leitung EF1 Signal gegeben, das die Anzeigelampe AL1 zum Aufleuchten bringt, zum Zeichen dafür, daß am Eingang I ein anderes Signal als an den beiden anderen Eingängen II und III liegt und die dem Eingang I zugeordneten Schaltungsteile fehlerhaft sind. Nach Beheben des Fehlers und Betätigen der Quittungstaste QT erlischt die Anzeigelampe ALl.
  • Es wird nun angenommen, daß zusätzlich zum "O"-Signal am Eingang I auch am Eingang III ~0"-Signal erscheint. An keinem der UND-Glieder Ul, U2, U3 ist dann die UND-Bedingung erfüllt, das Ausgangssignal des ODER-Gliedes 01 wird "0", Beiden Eingängen der Antivalenzglieder AN1 und AN2 wird Signal zugeführt, so daß auch ihr Ausgangssignal "O" ist. Die beiden bistabilen Kippstufen BK1 und BK3 ändern ihren Schaltzustand nicht. Dagegen ist die Antivalenzbedingung für das Antivalenzglied AN2 erfüllt, die bistabile Kippstufe BK2 wird gesetzt, so daß außer der Lampe AL1 die Anzeigelampe AL2 aufleuchtet, also die dem ungestörten Eingang zugeordnete Lampe. Bei einem derartigen stufenweise auftretenden Doppelfehler leuchten also zwei Lampen auf. Die nicht aufleuchtende Lampe kennzeichnet den einen Eingang, an dem ein fehlerhaftes Signal auftritt. Von den den beiden aufleuchtenden Lampen zugeordneten Schaltungsteilen sind diejenigen defekt, die der zuerst aufleuchtenden Lampe zugeordnet sind. Das Auftreten eines solchen Doppelfehlers hat zur Folge, daß die UND-Bedingung für eines der UND-Glieder U4, US, U6, im beschriebenen Beispiel für das UND-Glied U4, erfüllt ist. Das ODER-Glied 02 gibt daher auf die Leitung DF "1"-Signal, das die Lampe AL4 als Zeichen für das Vorliegen eines Doppelfehlers zum Aufleuchten bringt und das zu einer Zentraleinheit geleitet wird, damit diese das an sie angeschlossene Relais abschaltet.
  • Liegen an allen drei Eingängen I, II und III Signal, zeigen die Anzeigelampen AL1, AL2, AL3 keine Störung an. Wird ein Eingangssignal "1", leuchten die zugehörige Lampe auf. Wird ein weiteres Eingangssignal "1", leuchtet zusätzlich die Lampe auf, die dem Eingang zugeordnet ist, an dem "O"-Signal liegt, sowie die Anzeigelampe AL4.
  • Bei einer Störung des Leitungsverstärkers LV oder der Leitung BL ist die Antivalenzbedingung an allen Antivalenzgliedern AN1, AN2, AN3 erfüllt. Es werden alle drei bistabilen Kippstufen BK1, BK2 und BK3 gesetzt und die Anzeigelampen AL1, AL2, AL3 für Einfachfehler sowie die Lampe AL4 für Doppelfehlermeldung leuchten auf.
  • In diesem Falle, in dem nur eine Ein-Ausgabebaugruppe gestört ist, muß die Abgabe eines Abschaltsignales für die Zentraleinheiten verhindert werden. Dadurch, daß die Antivalenzglieder AN1, AN2 und AN3 an das Ende der Leitung BL angeschlossen sind, wird somit auch die Leitung BL und der Leitungsverstärker LV überwacht.
  • Das in Figur 4 gezeigte Verknüpfungsglied kann dahingehend vereinfacht werden, daß die UND-Glieder U4, U5 und U6 und die diesen nachgeordneten Schaltelemente fehlen. Eine Anzeige von Doppelfehlern ist dann nicht mehr möglich.
  • 13 Patentansprüche 4 Figuren Leerseite

Claims (13)

  1. Patentansprüche (1. Redundante Prozeßsteueranordnung mit mehreren parallel arbeitenden gleichartigen Zentraleinheiten, die mit Ubertragungskanälen verbunden sind, und mit Nehrheitsentscheidungen treffenden Verknüpfungsgliedern, dadurch gekennzeichnet, daß an jede Zentraleinheit eine Ausgabe-Sammelleitung (ASL1, ASL2, ASL3) angeschlossen ist, daß an die Adern der Ausgabe-Sammelleitungen, die mit einander entsprechenden Ausgängen der Zentraleinheiten verbunden sind, je ein einer Ein-Ausgabebaugruppe (EAG1, EAG2) zugeordnetes Ausgabe-Verknüpfungsglied (AV1, AV2) angeschlossen ist, das in der Ein-Ausgabebaugruppe (EAG1, EAG2) enthaltene Eingabeeinheiten (EE1, EE2) und/oder Ausgabeeinheiten (AE1, AE2) ansteuert, und daß mit jeder Ein-Ausgabebaugruppe (EAG1, EAG2) mehrere Eingabe-Sammelleitungen (ESL1, ESL2, ESL3) parallel verbunden sind, an die über Eingabe-Verknüpfungsglieder (EV1, EV2, EV3) Eingänge (I, II, III) der Zentraleinheiten (ZEl, ZE2, ZE3) angeschlossen sind.
  2. 2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, daß an jede Ausgabe-Sammelleitung (ASL1, ASL2, ASL3) ein Merkerspeicher (MSI, MS2, MS3) angeschlossen ist, in dem Zwischenergebnisse und dergleichen speicherbar sind und dessen Ausgang mit einer Eingabe-Sammelleitung (ESL1, ESL2, ESL3) verbunden ist.
  3. 3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Ein-Ausgabebaugruppen (EAG1, EAG2) von den Sammelleitungen (ASL1, ASL2, ASL3, ESLI, ESL2, ESL3) galvanisch getrennt sind.
  4. 4. Anordnung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Zentraleinheiten (je1, ZE2, ZE3) von den Eingabe-Sammelleitungen 6ESL1, ESL2, ESL3) galvanisch getrennt sind.
  5. 5. Anordnung nach einem der Ansprüche f bis 4, dadurch gekennzeichnet, daß die Eingänge (E31, E41, E5I), insbesondere verschiedener Ein-Ausgabebaugruppen (EAG3, EAG4, EAG5) parallel geschaltet sind (Fig. 3).
  6. 6. Anordnung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Versorgungsspannung (P) eines Signalgebers (GB) an dessen Ausgang ein oder mehrere Eingänge (E31, E41, E51) angeschlossen sind, von einem Ausgang (A51) abgenommen ist, dessen Signal periodisch kurzzeitig unterbrochen wird, und daß die Eingangssignale der an den Signalgeber (GB) angeschlossenen Eingänge (E31, E41, E51) bei unterbundener Versorgungsspannung abgefragt werden.
  7. 7. Anordnung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Ausgänge von zwei Ausgabeeinheiten (AE3, AE4) insbesondere verschiedener Ein-Ausgabebaugruppen (EAG3, EAG4) und die Steuereingänge eines Stellgliedes (MV) in Reihe geschaltet sind.
  8. 8. Anordnung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß mehrere parallel angesteuerte Ausgänge von vorzugsweise verschiedenen Ein-Ausgabebaugruppen mit den Eingängen eines Mehrheitsentscheidungen treffenden Verknüpfungsgliedes verbunden sind.
  9. 9. Anordnung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß zwei Ausgängen (A31, A41) von Ausgabeeinheiten (AE3, AE4) Schalter (ak30, ak40) vorgeordnet sind, die mittels Steuersignalen von den Zentraleinheiten in dieselbe Schaltstellung gesteuert sind und die mit einem Lastwiderstand (MV) in Reihe geschaltet sind.
  10. 10. Anordnung nach Anspruch 9, dadurch gekennzeichnet, daß dem einen Schalter (ak30) P-Signal und dem anderen Schalter (ak40) M-Signal zugeführt ist und daß der Lastwiderstand (MV) zwischen die Schalter (ak30, ak40) schaltbar ist.
  11. 11. Anordnung nach Anspruch 9 oder 10, dadurch gekennzeichnet, daß die Ausgänge (A31, A41) mit je einem zu einer anderen Ein-Ausgabebaugruppe (EAG4, EAG3) gehörenden Eingang (E42 bzw. E32) verbunden sind, daß die Schalter nacheinander kurzzeitig geöffnet sind und während der Öffnungszeiten der Eingang, der mit dem dem geöffneten Schalter zugeordneten Ausgang verbunden ist, abgefragt ist.
  12. 12. Anordnung nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß die (n-von-m).Mehrheitsentscheidungen treffenden Verknüpfungsglieder (AV1 ... EV1 ...) Koinzidenzglieder (U1, U2, U3) enthalten, denen jeweils eine der möglichen Signalkombinationen von n Signalen zugeführt sind und deren Ausgänge mit den Eingängen eines ODER-Gliedes (01) verbunden sind, deren Ausgang die einen Eingänge von Antivalenzgliedern (AN1, AN2, AN3) nachgeschaltet sind, deren anderen Eingängen jeweils eines der m Eingangssignale zugeführt ist, und von deren Ausgängen Einfachfehlermeldesignale abnehmbar sind.
  13. 13. Anordnung nach Anspruch 12, dadurch gekennzeichnet, daß an die Antivalenzglieder (AN1, AN2, AN3) Speicher (BK1, BK2, BK3) angeschlossen sind, deren Ausgänge auf ein (k-von-m)-, insbesondere (2-von-m)-Verknüpfungsglied (U4, U5, U6) geführt sind, an die ein ODER-Glied (02) angeschlossen ist, von dessen Ausgang ein Mehrfachfehlermeldesignal abnehmbar ist.
DE19762647367 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung Expired DE2647367C3 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19762647367 DE2647367C3 (de) 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung
JP12636377A JPS5352033A (en) 1976-10-20 1977-10-20 Redundancy process controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19762647367 DE2647367C3 (de) 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung

Publications (3)

Publication Number Publication Date
DE2647367A1 true DE2647367A1 (de) 1978-04-27
DE2647367B2 DE2647367B2 (de) 1979-10-04
DE2647367C3 DE2647367C3 (de) 1982-12-09

Family

ID=5990926

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19762647367 Expired DE2647367C3 (de) 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung

Country Status (2)

Country Link
JP (1) JPS5352033A (de)
DE (1) DE2647367C3 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0006328A1 (de) * 1978-06-15 1980-01-09 Sperry Corporation Chips in integrierter Schaltung verwendendes System mit Einrichtung zur Fehlererkennung
DE3020884A1 (de) * 1980-06-02 1981-12-10 Siemens AG, 1000 Berlin und 8000 München Anordnung zum uebertragen von signalen
WO1982000065A1 (en) * 1980-06-26 1982-01-07 Elliott G Monitoring systems
EP0150457A2 (de) * 1984-01-26 1985-08-07 Siemens Aktiengesellschaft Schaltungsanordnung zum Anschalten eines Teilnehmers an eine Busleitung
DE2932270C2 (de) * 1979-08-09 1986-06-19 Standard Elektrik Lorenz Ag, 7000 Stuttgart Schaltungsanordnung zur signaltechnisch sicheren Ansteuerung eines Relais
DE3912335A1 (de) * 1989-04-14 1990-10-18 Siemens Ag Verfahren und anordnung zum pruefen von mehradrigen datenuebertragungswegen

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3024370C2 (de) * 1980-06-27 1987-01-02 Siemens AG, 1000 Berlin und 8000 München Redundantes Steuersystem
DE3737445A1 (de) * 1987-11-04 1989-05-18 Siemens Ag Schaltungsanordnung zum ueberwachen eines niederohmigen elektrischen bauelementes auf unterbrechung
DE3918962C2 (de) * 1989-06-09 1998-01-22 Siemens Ag System mit mehreren asynchron arbeitenden Rechnern
JP2682251B2 (ja) * 1991-04-05 1997-11-26 株式会社日立製作所 多重化制御装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2023117B2 (de) * 1970-05-05 1975-10-30 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2023117B2 (de) * 1970-05-05 1975-10-30 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEEE Transactions on Computers, Nov. 1971, 20. Bd., Heft 11, Seiten 1389 bis 1393 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0006328A1 (de) * 1978-06-15 1980-01-09 Sperry Corporation Chips in integrierter Schaltung verwendendes System mit Einrichtung zur Fehlererkennung
DE2932270C2 (de) * 1979-08-09 1986-06-19 Standard Elektrik Lorenz Ag, 7000 Stuttgart Schaltungsanordnung zur signaltechnisch sicheren Ansteuerung eines Relais
DE3020884A1 (de) * 1980-06-02 1981-12-10 Siemens AG, 1000 Berlin und 8000 München Anordnung zum uebertragen von signalen
WO1982000065A1 (en) * 1980-06-26 1982-01-07 Elliott G Monitoring systems
EP0150457A2 (de) * 1984-01-26 1985-08-07 Siemens Aktiengesellschaft Schaltungsanordnung zum Anschalten eines Teilnehmers an eine Busleitung
US4656471A (en) * 1984-01-26 1987-04-07 Siemens Aktiengesellschaft Circuit arrangement for connecting a subscriber to a bus line via switch means under which prevents disabling of the bus line in the event of driver failure
EP0150457A3 (en) * 1984-01-26 1987-08-19 Siemens Aktiengesellschaft Berlin Und Munchen Circuit arrangement for connecting a subscriber to a bus
DE3912335A1 (de) * 1989-04-14 1990-10-18 Siemens Ag Verfahren und anordnung zum pruefen von mehradrigen datenuebertragungswegen

Also Published As

Publication number Publication date
JPS5352033A (en) 1978-05-12
DE2647367C3 (de) 1982-12-09
DE2647367B2 (de) 1979-10-04

Similar Documents

Publication Publication Date Title
EP0038947B1 (de) Programmierbare logische Anordnung
DE1524239A1 (de) Verfahren zur Lokalisierung eines Fehlers in einer Anlage mit mindestens zwei parallel arbeitenden Rechengeraeten
DE2908316A1 (de) Multikonfigurierbares modulares verarbeitungssystem, das mit einem vorverarbeitungssystem integriert ist
DE1279980B (de) Aus mehreren miteinander gekoppelten Datenverarbeitungseinheiten bestehendes Datenverarbeitungssystem
DE2015971A1 (de) Datenverarbeitungssystem zur Verarbeitung eines Stromes mehrfacher Operanden
DE3432165C2 (de)
DE1927549A1 (de) Fehlerpruefeinrichtung in elektronischen Datenverarbeitungsanlagen
DE2647367A1 (de) Redundante prozessteueranordnung
DE3522220C2 (de) Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses
DE3033071A1 (de) Prozessrechenanlage
DE2530887C3 (de) Steuereinrichtung zum Informationsaustausch
DE2106163A1 (de) Verfahren zum Prüfen von Einheiten eines programmgesteuerten Verarbeitungssystems
DE102009015683A1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
DE102004051130A1 (de) Verfahren und Automatisierungssystem zum Bedienen und/oder Beobachten mindestens eines Feldgerätes
DE3238692A1 (de) Datenuebertragungssystem
DE3137450C2 (de) Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE2458224B2 (de) Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen
DE1914575C3 (de) Programmgesteuerte Datenverarbeitungsanlage, insbesondere für die Abwicklung von Vermittlungsvorgängen in einer Fernsprechvermittlung
EP0645710A2 (de) Verfahren zur Funktionsprüfung signaltechnisch nicht sicherer Speicher für mindestens zweikanalig abgespeicherte Nutzdaten und Einrichtung zur Durchführung des Verfahrens
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE2007041A1 (de) Automatisch strukturierbares Datenverarbeitungssystem
DE2217665B2 (de) Schaltungsanordnung für Fernmelde-, insbesondere Fernsprechvermittlungsanlagen mit mindestens zwei Rechnern zum abwechselnden Steuern von Vermittlungsvorgängen

Legal Events

Date Code Title Description
OAP Request for examination filed
OD Request for examination
C3 Grant after two publication steps (3rd publication)
8339 Ceased/non-payment of the annual fee