DE2725922C2 - Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln - Google Patents

Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Info

Publication number
DE2725922C2
DE2725922C2 DE19772725922 DE2725922A DE2725922C2 DE 2725922 C2 DE2725922 C2 DE 2725922C2 DE 19772725922 DE19772725922 DE 19772725922 DE 2725922 A DE2725922 A DE 2725922A DE 2725922 C2 DE2725922 C2 DE 2725922C2
Authority
DE
Germany
Prior art keywords
computers
results
comparison
result
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19772725922
Other languages
English (en)
Other versions
DE2725922B1 (de
Inventor
Heiner H. Dipl.-Ing. 7141 Schwieberdingen Mayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent Deutschland AG
Original Assignee
Standard Elektrik Lorenz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Standard Elektrik Lorenz AG filed Critical Standard Elektrik Lorenz AG
Priority to DE19772725922 priority Critical patent/DE2725922C2/de
Publication of DE2725922B1 publication Critical patent/DE2725922B1/de
Application granted granted Critical
Publication of DE2725922C2 publication Critical patent/DE2725922C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung betrifft ein Mehrrechnersystem hoher Sicherheit gemäß Oberbegriff des Anspruches 1.
Ein solches Mehrrechnersystem ist in der älteren Anmeldung gemäß DE-AS 27 Öl 924 vorgeschlagen worden.
Aber auch bei dem so entstehenden sicheren und betriebszuverlässigen Rechnersystem sind Einflüsse denkbar, die mit einer gewissen Wahrscheinlichkeit zu Fehlern in der Informationsverarbeitung führen können. So läßt sich beispielsweise der Einfluß starker induktiver Einstreuungen auf die Rechner, wie sie durch Blitzeinschlag oder eine abrupte Unterbrechung des Fahrstromes eines Zuges hervorgerufen werden können, nicht immer ganz unterbinden, wenn man nicht eine extrem niedrige Verarbeitungsgeschwindigkeit in Kauf nehmen möchte. Da alle Rechner gleichzeitig dasselbe Programm abarbeiten, tritt ein solcher Fehler bei allen Rechnern an der selben Stelle des Programms auf und kann später durch Vergleich nicht erkannt werden.
Eine Möglichkeit, auch solche Störungen zu erkennen, besteht darin (siehe z. B. »IEEE Transactions on Reliability«, ]uni 1964, Seiten 54 und 55), alle Rechenvörgänge zu wiederholen und die abgespeicherten Ergebnisse zu vergleichen. Dieser Einbau von Zeitredundanz erfordert jedoch, abhängig von der Zahl der vorgesehenen Wiederholungen, ein Mehrfaches an Rechenzeit.
Schließlich ist es aus der LU-PS 75 934 für ein mit einer gemeinsamen Taktstromversorgung und synchron arbeitenden Rechnern ausgestattetes Zwei-Rechner-System, bei dem nach jedem Taktschritt ein Vergleich sämtlicher Ausgänge durchgeführt und erst bei Übereinstimmung der nächste Taktschritt ausgelöst wird, bekannt, die Steuertakte für die beiden Rechner zeitlich gegeneinander versetzt auszugeben. Zum Vergleich müssen beide Rechner dann aufeinander warten. Da diese Wartezeit nach jedem Verarbeitungsschritt auftritt, erhöht sich die Rechenzeit erheblich.
Aufgabe der Erfindung ist es, bei einem Mehrrechnersystem der eingangs genannten Art gleichzeitig eintretende Störungen durch Sicherstellung der asynchronen Arbeitsweise der Einzelrechner zu erkennen, ohne die Rechenzeit wesentlich zu erhöhen.
Diese Aufgabe wird nach der Erfindung auf die im Anspruch 1 angegebene Weise gelöst. Die Merkmale, die sich auf die Synchronisation der Rechner zum Vergleich der Ergebnisse und von deren Ausgabe beziehen, sind bereits aus der DE-AS 12 69 827 und der DE-OS 24 15 307 für sich bekannt.
Weiterbildungen des Mehrrechnersystems nach der
Erfindung sind in den Unteransprüchen angegebea
Die Einzelrechner arbeiten also zeitlich versetzt und voneinander unabhängig. Sie werden nur zum Vergleich der Ergebnisse kurzzeitig synchronisiert Die o. g. Fehlerursachen, z. B. starke Einstreuungen, treffen damit die Einzelrechner an verschiedenen Stellen des Programms an. Dadurch entstehen in den Einzelrechnern unterschiedliche Fehler, die beim Vergleich der Ergebnisse bemerkt werden und, im Falle der Verwendung von drei oder mehr Rechnern, mittels eines Mehrheitsentscheides unterdrückt werden können.
Durch die im Anspruch 2 angegebene Weiterbildung wird es möglich, nicht erst am Ende eines Programms, sondern auch während des Programms mehrfach auf Verarbeiningsfehler zu prüfen. Es wird so die Wahrscheinlichkeit zufälliger Doppelfehler, die mit der Vergrößerung der Abstände zwischen den einzelnen Vergleichszeitpunkten wächst, niedrig gehalten.
Durch die in den Ansprüchen 4 bis 6 angegebenen Weiterbildungen wird erreicht, daß der Vergleich und der Mehrheitsentscheid im normalen Betrieb zwischen den Ergebnissen aller Rechner, bei Ausfall eines Rechners oder einer Minderheit der Rechner jedoch auch nur zwischen den Ergebnissen einer Mehrheit der Rechner vorgenommen werden kann.
Anhand einer Figur soll nun ein Ausführungsbeispiel des Mehrrechnersystems nach der Erfindung ausführlich beschrieben werden.
Die Figur zeigt ein Mehrrechnersystem mit drei Rechnern R\,R2 und R3. Jedem Rechner ist ein Taktgeber 7*1, T2, 7*3 zugeordnet Ein Startsignal, welches über einen Eingang E und ein Oder-Glied OG 2 zum Rechner R 1 gelangt, veranlaßt diesen, mit der Abarbeitung seines Programms zu beginnen. Gleichzeitig wird das Startsignal in eine erste Verzögerungsschaltung V1 gegeben, in der es um eine gewisse Zeitspanne verzögert wird. Vom Ausgang der Verzögerungsschaltung V1 gelangt das Startsignal dann zum Rechner R 2 und über eine zweite Verzögerungsschaltung V2 schließlich auch zum Rechner R 3.
Damit starten alle drei Rechner zu verschiedenen Zeiten mit der Abarbeitung ihrer Programme. Ist ein bestimmter Programmabschnitt gerechnet, so gibt jeder Rechner sein Ergebnis auf ein Ausgaberegister DA 1, DA 2, DA 3. Zugleich wird von jedem Rechner ein Ab-Schlußsignal ausgegeben, welches eine Vergleichs- und Durchschalteeinrichtung VD dazu veranlassen soll, einen Vergleich der Ergebnisse in den Ausgaberegistern vorzunehmen. Diese Ergebnisse dürfen jedoch erst dann zur Vergleichs- und Durchschalteeinrichtung gelangen, wenn die Mehrheit der Rechner, in diesem Fall 2 von 3 Rechnern, zu einem Ergebnis gelangt sind. Dies wird durch 3 Und-Glieder UG 1, UG 2, UG 3 er.-eicbt, deren Eingänge an die Abschlußsignalausgänge jeweils zweier Rechner angeschlossen sind.
Die Ausgänge der Und-Glieder sind durch ein Oder-Glied OG 1 zusammengefaßt und über eine zusätzliche Verzögerungsschaltung V3 mit der Vergleichs- und Abschlußsignale von zwei Rechnern vor, so gibt das Und-Glied, dessen Eingänge mit diesen beiden Rechnern verbunden sind, ein Signal über das Oder-Glied OG1 an die Verzögerungsschaltung V3 aus. Dort wird das Signal so lange verzögert, daß in der Zwischenzeit auch der dritte Rechner zu eiüem Ergebnis gelangt ist. Der Vergleich kann also zwischen den Ergebnissen aller drei Rechner durchgeführt herden. Nur wenn einer der Rechner ausgefallen ist, erfolgt der Vergleich nach Ablauf der Verzögerungsz«-it zwischen zwei Ergebnissen.
Würde die Vergleichs- und Durchschalteemrichtung über ein einfaches Und-Güed mit den Rechnerausgängen verbunden, was bedeuten würde, daß mit dem Vergleich zwingend so lange gewartet werden müßte, bis alle drei Ergebnisse vorlägen, so könnte das System bei Ausfall eines der Rechner nicht mehr weiterarbeiten. Nach Beendigung des Vergleichs erfolgt die Ausgabe eines erneuten Startimpulses durch die Vergleichs- und Durchschalteeinrichtung an das Oder-Glied OG 2. Damit wird die Abarbeitung des nächsten Programmabschnittes eingeleitet Ist das gesamte Programm abgearbeitet so teilen die Rechner dies der Vergleichs- und Durchschalteeinrichtung über eine nicht dargestellte Datenleitung mit Die Vergleichs- und Durchschalteeinrichtung gibt dann keinen neuen Startimpuls mehr aus, sondern schaltet eines der Ergebnisse auf eine abgehende Datenleitung D durch. Soll die Vergleichs- und Durchschalteeinrichtung zusätzlich einen Mehrheitsentscheid durchführen, so müssen zwischen ihr und allen drei Rechnern in der Figur nicht dargestellte Verbindungen bestehen, über die die Vergleichs- und Durchschalteeinrichtung, wenn sie ein Abweichen des Ergebnisses eines Rechners von den Ergebnissen der anderen beiden Rechner feststellt diesen Rechner auffordern kann, das Ergebnis eines anderen Rechners zu übernehmen und dem weiteren Rechengang zugrundezulegen.
Bezugszeichenliste Hierzu Rechner
Ri,R2,R3 Taktgeber
Ti, Γ2, T3 Eingang
E Oder-Glied
OG\,OG2 Verzögerungsschaltungen
Vl, V2, V3 Ausgaberegister
DA 1, DA 2, D3 Vergleichs- und
VD Durchschalteeinrichtung
Und-Glied
UGi, UG 2, UG 3 Datenleitung
D 1 Blatt Zeichnungen

Claims (7)

Patentansprüche:
1. Mehrrechnersystem hoher Sicherheit für die Steuerung von trassengebundenen Verkehrsmitteln, in dem jedem Rechner ein unabhängiger Taktgeber zugeordnet und jeder Rechner zur Abgabe eines Abschlußsignals nach Erreichen eines Ergebnisses eingerichtet ist, alle η Rechner die gleichen Informationen asynchron erarbeiten und die erarbeiteten Informationen zur Prüfung auf Verarbeilungsfehlsr erst am Ende eines Rechenzyklus miteinander verglichen werden, wenn alle Rechner oder eine Mehrheit der Rechner zu einem Ergebnis gelangt sind, gekennzeichnet durch n— 1 Verzögerungsschaltungen (V 1, V 2), über die ein gegebenes Startsignal den einzelnen Rechnern (RX, Rl, R3) zur Sicherstellung der asynchronen Arbeitsweise zeitlich versetzt zugeleitet wird.
2. Mehrrechnersystem nach Anspruch 1, dadurch gekennzeichnet, daß zum Vergleich der Ergebnisse der Einzelrechner (R I, R 2, R 3) und zur Durchschaltung dieser Ergebnisse auf eine Datenleitung (D) oder mehrere Datenleitungen eine Vergleichsund Durchschalteeinrichtung (VD) vorhanden, ist, daß von den Rechnern (R I, R 2, R 3) abzuarbeitende Programme in kurze Programmabschnitte mit jeweils mehreren Programmschritten aufgeteilt sind und daß die Vergleichs- und Durchschalteeinrichtung (VD) an die Rechner (R 1, R 2, R 3) ein Startsignal zur Abarbeitung des jeweils folgenden Programmabschnittes ausgibt, sobald der Vergleich der Ergebnisse des vorausgegangenen Programmabschnittes abgeschlossen ist.
3. Mehrrechnersystem nach Anspruch 2, dadurch gekennzeichnet, daß bei Verwendung von mindestens 3 Rechnern die Vergleichs- und Durchschalteeinrichtung (VD) zusätzlich einen Mehrheitsentscheid durchführt, wςnn ein Rechner ein mit den Ergebnissen der anderen Rechner nicht übereinstimmendes Ergebnis ermittelt hat, daß dazu, wenn das Programmende erreicht ist, einer derjenigen Rechner zur Ausgabe seines Ergebnisses durchgeschaltet wird, deren Ergebnisse unter den Ergebnissen aller verwendeten Rechner die Mehrheit bilden, und daß dazu, wenn das Programmende noch nicht erreicht ist, die Vergleichs- und Durchschalteeinrichtung (VD) einen Rechner, der ein von der Mehrheit der Ergebnisse abweichendes Ergebnis errechnet hat, auffordern kann, das der Mehrheit der Ergebnisse entsprechende Ergebnis eines anderen Rechners zu übernehmen und der weiteren Rechnung zugrundezulegen.
4. Mehrrechnersystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß bei Verwendung von mindestens 3 Rechnern zur Feststellung, ob eine Mehrheit der Rechner zu einem Ergebnis gelangt ist, ein Zähler verwendet wird, der die Abschlußsignale zählt, die von den Rechnern nach Erreichen eines Ergebnisses ausgegeben werden.
5. Mehrrechnersystem nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, daß bei Verwendung von 3 Rechnern zur Feststellung, ob die Mehrheit der Rechner zu einem Ergebnis gelangt ist, drei Und-Glieder (UG 1. UG 2, UG 3) und ein nachgeschaltetes Oder-Glied (OG 1) verwendet werden.
6. Mchrrechnersystem nach Anspruch 4 oder 5,
dadurch gekennzeichnet, daß eine zusätzliche Verzögerungsschaltung (VZ) vorgesehen ist, die ein von dem Zähler bzw. von dem Oder-Glied (OG1) ausgegebenes Signal, welches die Vergleichs- und Durchschalteeinrichtung (VD) zum Vergleich der Ergebnisse der Rechner veranlaßt, so lange verzögert, bis alle Rechner bei fehlerfreiem Arbeiten mit Sicherheit zu einem Ergebnis gelangt sind.
7. Mehrrechnersystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß der Vergleich und der Mehrheitsentscheid anstatt von einer separaten Vergleichs- und Durchschalteeinrichtung von einem der Rechner durchgeführt wird, der dazu in geeigneter Weise programmiert ist
DE19772725922 1977-06-08 1977-06-08 Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln Expired DE2725922C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19772725922 DE2725922C2 (de) 1977-06-08 1977-06-08 Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19772725922 DE2725922C2 (de) 1977-06-08 1977-06-08 Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Publications (2)

Publication Number Publication Date
DE2725922B1 DE2725922B1 (de) 1978-12-21
DE2725922C2 true DE2725922C2 (de) 1984-08-23

Family

ID=6011077

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19772725922 Expired DE2725922C2 (de) 1977-06-08 1977-06-08 Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Country Status (1)

Country Link
DE (1) DE2725922C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4318087C1 (de) * 1993-06-01 1994-12-01 Gsf Forschungszentrum Umwelt Fehlertolerante Datenverarbeitungsmaschine
DE19543817C2 (de) * 1995-11-24 2000-01-05 Magnetbahn Gmbh Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3037150C2 (de) * 1980-09-27 1984-03-15 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Sichere Datenverarbeitungseinrichtung
JPS5829600A (ja) * 1981-08-12 1983-02-21 株式会社 アマダ マイクロコンピユ−タによるプレスの制御装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
LU75934A1 (de) * 1976-03-22 1977-05-06

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
LU75934A1 (de) * 1976-03-22 1977-05-06

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEEE Transactions on Reliability, Juni 1964, S.54 u. 55 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4318087C1 (de) * 1993-06-01 1994-12-01 Gsf Forschungszentrum Umwelt Fehlertolerante Datenverarbeitungsmaschine
DE19543817C2 (de) * 1995-11-24 2000-01-05 Magnetbahn Gmbh Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Also Published As

Publication number Publication date
DE2725922B1 (de) 1978-12-21

Similar Documents

Publication Publication Date Title
DE3639055C2 (de) Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
DE2413401B2 (de) Einrichtung zum Synchronisieren dreier Rechner
DE2534141A1 (de) Computer-schnittstellensystem
CH637255A5 (de) Verfahren und vorrichtung zur extrahierung von taktsignalen aus einem synchronisierzeichen eines pcm-signals.
DE2526708C2 (de) Schaltungsanordnung zur Kompensation der Zeitverzerrung von über zwei Übertragungsstrecken ankommenden Bits
EP0325318B1 (de) Vermittlungsanlage
DE2641700C2 (de)
DE2725922C2 (de) Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln
CH634672A5 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik.
DE1269827B (de) Verfahren und Zusatzeinrichtung zur Synchronisierung von parallel arbeitenden Datenverarbeitungsanlagen
EP0907919B1 (de) Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren
DE2655443A1 (de) Vervielfachte zeitsteuerung zum erzeugen von zeitsignalen fuer installationen mit signalverarbeitenden schaltungen
DE2733921B2 (de) Schaltungsanordnung für eine indirekt gesteuerte Vermittlungsanlage, insbesondere Fernsprechvermittlungs anlage
DE3238692A1 (de) Datenuebertragungssystem
DE2727983C2 (de) Schaltungsanordnung mit mindestens doppelt vorgesehenen zentralen Steuerungen, insbesondere für Fernsprechvermittlungsanlagen
EP0172569A2 (de) Verfahren zur Synchronisation mehrerer parallelarbeitender Rechner
DE2217665C3 (de) Schaltungsanordung für Fernmelde-, insbesondere Fernsprechvermittlungsanlagen mit mindestens zwei Rechnrn zum abwechselnden Steuern von Vermittlungsvorgängen
EP0062768B1 (de) Schaltungsanordnung zur Überwachung von Schaltwerken
DE19914742A1 (de) Verfahren zum Übertragen von Daten
DE2737133C2 (de) Schaltungsanordnung zum Verhindern von Doppelfehlern in einer Datenverarbeitungsanlage
EP0896281B1 (de) Datenbus in einem Rechnersystem
EP1157468B1 (de) Anordnung und verfahren zum ermitteln, ob der zählstand eines zählers einen vorbestimmten zählstand erreicht hat oder nicht
DE2248334A1 (de) Verfahren und vorrichtung zur informationsuebertragung
DE2415505C3 (de) Schaltungsanordnung zur Signalisierung des Endes einer Datenbitfolge
DE2842370A1 (de) Schaltungsanordnung zur ueberwachung des arbeitsablaufes einer signale verarbeitenden einheit

Legal Events

Date Code Title Description
8225 Change of the main classification

Ipc: G06F 11/00

8281 Inventor (new situation)

Free format text: UEBEL, HELMUT, DIPL.-ING., 7000 STUTTGART, DE MAYER, HEINER H., DIPL.-ING., 7141 SCHWIEBERDINGEN, DE FRIEDRICH, STEPHAN, ING.(GRAD.), 7143 VAIHINGEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: ALCATEL SEL AKTIENGESELLSCHAFT, 7000 STUTTGART, DE

8339 Ceased/non-payment of the annual fee