DE3024370C2 - Redundantes Steuersystem - Google Patents

Redundantes Steuersystem

Info

Publication number
DE3024370C2
DE3024370C2 DE19803024370 DE3024370A DE3024370C2 DE 3024370 C2 DE3024370 C2 DE 3024370C2 DE 19803024370 DE19803024370 DE 19803024370 DE 3024370 A DE3024370 A DE 3024370A DE 3024370 C2 DE3024370 C2 DE 3024370C2
Authority
DE
Germany
Prior art keywords
peripheral
units
signals
output
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19803024370
Other languages
English (en)
Other versions
DE3024370A1 (de
Inventor
Manfred Dipl.-Ing. 7500 Karlsruhe Euringer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19803024370 priority Critical patent/DE3024370C2/de
Priority to CH387681A priority patent/CH654425A5/de
Priority to AT283081A priority patent/AT385364B/de
Publication of DE3024370A1 publication Critical patent/DE3024370A1/de
Application granted granted Critical
Publication of DE3024370C2 publication Critical patent/DE3024370C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung betrifft ein redundantes Steuersystem gemäß dem Oberbegriff des Anspruchs 1.
Derartige Steuersysteme sind bekannt. Beispielsweise ist in der DE-AS 21 08 496 beschrieben, die Ausgabetelegramme von drei Rechnern nach einer Mehrheitsentscheidung zu prüfen und dadurch einen etwaigen defekten Rechner festzustellen. Zur Funktionskontrolle werden der Vergleichseinrichtung absichtlich gefälschte Telegramme zugeführt.
Aus der DE-AS 26 47 367 ist es bekannt, die Ausgangssignale von drei parallel arbeitenden Zentraleinheiten über drei Busleitungen zu übertra-gen und an diese periphere Einheiten über Mehrheitsschaltungen anzuschließen. Für die Übertragung der Signale von den peripheren Einheiten zu den Zentraleinheiten sind drei v/eitere Busleitungen vorgesehen. Mit dieser bekannten Steueranordnung können auf Stellglieder, z.B. ein Magnetventil, Stellbefehle gegeben werden, die über die peripheren Einheiten und die Eingangs-Busleitungen auf die Rechner rückgeführt sind. Es kann somit die richtige Ausführung der Befehle überwacht werden. Eine weitere Funktionskontrolle wird nicht durchgeführt Die peripheren Einheiten können wahlv/eise redundant oder nicht-redundant betrieben werden.
In der deutschen Patentanmeldung P 29 31 280.3 (DE-OS 29 31 280) ist eine weitere redundante Steueranordnung mit mehreren programmierbaren Rechnern vorgeschlagen, in welcher die über Ausgangs-Busleitungen übertragenen Signale in den peripheren Einheiten verknüpft werde;: und die verknüpften Signale parallel über mehrere Eingangs-Busleitungen zu den Zentraleinheiten rückgeführt werden. Dort werden die rückgeführten Signale mit Sollsignalen verglichen, und im Falle einer Abweichung wird ein Fehlersignal abgegeben.
Die bekannten Anordnungen arbeiten entweder in der Weise, daß getaktete Vergleichseinrichtungen bei einer Antivalenz der überprüften Signale oder auch bei einem Ausfall der Vergleichseinrichtung einen Prüftakt sperren. Beim Ausbleiben von Prüftaktimpulsen werden dann Sicherheitsreaktionen ausgelöst. Andere Anordnungen enthalten Register, in welche die Signale auf den
■to Busleitungen bei jedem Bearb'.'itungsschritt parallel übernommen werden und deren Inhalte verglichen werden. Die bekannten Anoidnungen haben den Nachteil, daß Schaltungen zur Erzeugung des Prüftaktes und zur Auswertung des Prüftaktes notwendig sind.
Außerdem werden bei einigen bekannten Anordnungen die Zentraleinheiten und die Verbindungsleitungen durch den Vergleich und die Übertragung des Vergleichsergebnisses belastet.
Der vorliegenden Erfindung hegt die Aufgabe zugrunde, eine Steueranordnung der im Oberbegriff des Anspruchs 1 angegebenen Art zu schaffen, die eine Vergleichseinrichtung enthält, die sich durch Fehlersicherheit sowie einfachen Aufbau auszeichnet, und bei der die Vergleichsergebnisse zu gewünschten Zeitpunkten zu den Zentraleinheiten übertragen werden.
Erfindungsgemäß wird diese Aufgabe mit den im kennzeichnenden Teil des Anspruchs 1 angegebenen Maßnahmen gelöst.
Die Vergleichseinrichtung enthält demnach außer dem oder den eigentlichen Vergleichern, die mit Antivalenzgliedern gebildet sein können, einen Speicher, in den Fehlersignale eingetragen werden, wenn Unterschiede zwischen den einander entsprechenden Signalen in den Teilsystemen festgestellt werden. Diese Fehlersignale bleiben zunächst gespeichert, bis sie von den Zentraleinheiten abgerufen werden. Auf diese Weise werden zwar bei jedem Programmbearbeitungsschritt der Zentraleinheiten deren Ein- und Ausgabe-
signale auf Antivalenz überprüft, es wird aber nur zu bestimmten, im allgemeinen durch die Bearbeitungsprogramme vorgegebenen Zeitpunkten das Vergleichsergebnis abgerufen, so daß die Zentraleinheiten und die Übertragungsleitungen nicht mehr als notwendig belastet sind. Je nach geforderter Sicherheit des Steuersystems und notwendiger Reaktionsgeschwindigkeit auf Antivalenzen der ein- und ausgegebenen Signale können die Vergleichsergebnisse nach jedem BearbeitungsEchritt oder nach einer Folge ven Bearbeitungsschritten abgerufen werden. Es ist auch möglich, daß, wenn für bestimmte Bearbeitungsschritte keine Redundanz erforderlich ist, die Teilsysteme unabhängig voneinander verschiedene Programme bearbeiten und periphere Einheiten ansteuern. Die dabei auftretenden Antivalenzen werden zwar von der Vergleichseinrichtung festgestellt und im Fehlersignalspeicher gespeichert, dessen Inhalt wird aber nicht abgerufen. Erst wenn eine redundante Signalübertragung erfolgt, wird der Speicher zurückgesetzt, und während oder auch erst nach der redundanten Übertragung wird er abgefragt, ob eirie Antivalenz aufgetreten ist. Die Zentraleinheiten des Steuersystems werden daher zur Auswertung der Vergleichsergebnisse mitbenutzt, wobei die Reaktion auf Fehlermeldungen programmierbar ist. Spezielle Abschalteinrichtungen sind nicht notwendig, da die Zentraleinheiten Sicherheitsreaktionen redundant und damit fehlersicher ausführen können.
Vorteilhaft ist das neue Steuersystem in der Weise ausgebildet, daß je Teilsystem eine Daten- Adressen- und Steuersignale übertragende Peripherie-Busleitung vorgesehen ist, an welche die Zentraleinheit und die peripheren Einheiten angeschlossen sind, und daß die Vergleichseinrichtung zwischen die Peripherie-Busleitungen geschaltet ist und die auf diesen übertragenen Signale miteinander vergleicht. In derartigen Anordnungen sind den peripheren Einheiten Adressen zugeordnet. Zum Aufrufen einer peripheren Einheit und zur Durchführung eines Befehls werden auf die Busleitungen eine Adresse und ein Datum geschaltet, welche di" periphere Einheit und den durchzuführenden Befehl angeben. In einem solchen System kann die Vergleichseinrichtung wie jede andere periphere Einheit behandelt werden. Es ist ihr also mindestens eine Adresse zugeordnet. Wird diese auf die Busleitungen geschaltet, wird der Inhalt des Fehlersignalspeichers über die Busleitungen redundant zur Auswertung den Zentraleinheiten zugeführt.
In der Vergleichseinrichtung können, von den Zentraleinheiten gesteuert, weitere Funktionen ausgeführt werden. Vorteilhaft wird von Zeit zu Zeit eine Testfunktion ausgeübt. Auch hierzu geben die Zentraleinheiten mit einer Adiesse Befehle aus, die von der Vergleichseinrichtung decodiert und als Befehle zur Durchführung von Tests erkannt werden. Aus den decodierten Befehlen werden Testsignale gebildet, mit denen ein oder mehrere steuerbare Inverter, die jeweils dem einen Eingang eines Antivalenzgliedes vorgeschaltet sind, in den invertierenden Betriebszustand geschaltet werden. Darauf werden wie üblich über die Busleitungen gleiche Daten übertragen, auf die nun, da die Daten der einen Busleitung dem Antivalenzglied invertiert zugeführt werden, die Vergleichseinrichtung anspricht und ein Fehlersignal erzeugt, sofern sie ordnungsgemäß arbeitet. Die Zentraleinheiten rufen den inhalt des Fehlersignalspeichers ab und prüfen, ob ein Fehlersignal gespeichert wan Da die Adresse und das Datum, aus welchen die Testsignale abgeleitet sind, auf den Busleitungen im allgemeinen nicht so lange zur Verfügung stehen, bis der Test abgeschlossen ist, ist zweckmäßig ein Testsignalspeicher vergesehen, in dem die aus der Adresse und dem Datum abgeleiteten Testsignale gespeichert werden. Das Rücksetzen des Testsignalspeichers erfolgt zweckmäßig mittels eines von den Zentraleinheiten abgegebenen Befehls. Von der Rückflanke des Testsignals kann, α Β. durch Differenzieren, ein Rücksetzimpuls für den Fehlersignalspeicher gebildet werden.
Mit der neuen Anordnung können nicht nur die Ein- und Ausgangssignale der Zentraleinheiten und der Speicher überwacht werden, sondern indirekt auch die peripheren Einheiten, indem die Ausgangssignale von peripheren Ausgabeeinheiten jedes Teilsystems auf Eingänge von peripheren Eingabeeinheilen des jeweils anderen Teilsystems rückgeführt sind. Diese Signale werden von den peripheren Eingr.beeinheiten über die Busleitungen zur Zentraleinheit übertragen, wobei sie von der Vergleichseinrichtung auf Gleichheit überwacht werden. Mit einer solchen Anordung werden Einfachfehler in den penpheren Einheiten r-kannt.
Anhand der Zeichnung werden im folgenden die Erfindung sowie weitere Ausgestaltungen und Ergänzungen näher beschrieben und erläutert Es ze%:
F i g. 1 das Prinzipschaltbild eines Ausführungsbeispiels,
F i g. 2 das Schaltbild einer in dem System nach F i g. 1 eingesetzten Vergleichseinrichtung und
F i g. 3 Diagramme von in der 7ergleichseinrichtung nach F i g. 2 auftretenden Impulsen.
In F i g. 1 ist ein Steuersystem gezeigt, das aus zwei Teilsystemen K 1, K.2 besteht. Jedes von ihnen enthält eine Zentraleinheil ZEl, ZE2, welche Anweisungen bearbeitet, die in einem ihr zugeordneten, nicht dargestellten Programmspeicher enthalten sind, wobei Daten, die in einem Arbeitsspeicher ASi, AS2 abgelegt sind, ausgewertet werden. Die Zentraleinheiten ZEi, ZE2 sind mit den Arbeitsspeichern ASi, AS2 über Peripherie-Busleitungen PB 1, PS 2 verbunden. An diese Busleitungen sind weitere periphere Einheiten, im /•usführungsbeispiel nach Fig. 1 je ein Zeitzähler ZZl, ZZ2, eine Ausgabeeinheit AEi, AE2 und eine Eingabeeinheit £"£"1, EE 2 angeschlossen. Die Ausgabeeinheiten dienen dazu, binäre Signale nach außen abzugeben. Beispielsweise ist an Ausgänge A 2, A'2 über Ansteuerglieder 571. ST2 ein Relais RL angeschlossen. Über die Eingabeeinheiten EEi. EE2 werden von außen kommende binäre Signale auf die Busleitungen PB 1, PB 2 geschaltet und den Zentraleinheiten Z£l, ZE2 oder auch unmittelbar den Arbeitsspeichern ASi, AS2 zugeführt. Jedem Zeitzähler ZZl. jeder Zelle des Arbeitsspeichers ASi, jedem Ausgang At A 2... der Ausgabeeinheit AE1 und jedem Eingang El, E2 ... der Eingabe EEi ist eine Adresse zugeordnet. Soil ?.. B. das Relais RL angesteuert werden, dann geben die Zentraleinheiten ZEl. ZE2 die Adressen der Ausgänge A 2, A'2 der Ausgabeeinheiten AE1, AE2 auf die Busleitungen PB I, PB 2. Die Adresse kann durch B fehle, wie Lesen, Schreiben, Öffnen, Schließen, ergänzt sein. Entsprechend werden Signale von außen nur dann von der Eingabeeinheit EEi duichgeschaltet, wenn die Einheit adressiert ist
Die beiden Zentraleinheiten ZEi, ZE2 sind identisch aufgebaut und arbeiten synchron, wobei im allgemeinen nach übereinstimmenden Programmen gleiche Daten verarbeitet werden. Demgemäß haben die Zellen des Arbeitsspeichers AS 2 dieselben Adressen wie die des
Arbeitsspeichers ASi. Ebenso können die Ausgänge A'\, A'2 ... der Ausgabeeinheit AE2 dieselben Adressen wie die Ausgänge A I1 A 2... der Ausgabeeinheit AE1 haben. Entsprechendes gilt für die Eingabeeinheiten und die Zeitzähler.
Damit die Eingangssignale redundant verarbeitet werden, sind den Eingängen £3, E'3 und E4, f'4 gleiche Signale zugeführt. Gegebenenfalls müssen für die Abfrage und Übertragung der Eingangssignale über die Busleiiungen SynchronisiermaOnahmen S'orgesehen werden. Unter dieser Voraussetzung werden bei störungsfreiem Betrieb an den Ausgängen A 2, A'2 der Ausgabeeinheiten AEi, AE2 übereinstimmende Signale abgegeben, so daß bei geeigneter Ausbildung der Ansteuereinheiten 571, ST2 das Relais RL nur dann anzieht, wenn z. B. an beiden Ausgängen A 2, A'2 log »1 «-Signal auftritt. Das Relais fällt ab, wenn an einem dieser beiden Ausgänge »O«-Signal auftritt. Eine solche Betriebsweise wird man nur dann wählen, wenn die gesteuerte Anlage bei angezogenem Relais in einen gefährlichen Zustand gelangen kann, ein abgefallenes Relais dagegen die Anlage in einen sicheren Zustand bringt. Dementsprechend wird man entsprechende Ausgänge der beiden Teilsysteme so verknüpfen, daß bei einer Antivalenz der Ausgangssignale, d. h. bei einer Störung eines Teilsystems, die Anlage in den sicheren Zustand gesteuert wird. Fällt ein Teilsystem aus, so kann Vorsorge dafür getroffen werden, daß die Anlage mit dem anderen Teilsystem weiterbetrieben oder zumindest in den sicheren Zustand gebracht werden kann.
Weniger wichtige Daten werden jeweils nur einem Eingang E1. E 2. E' i zugeführt und nur vom Teilsystem K 1 bzw. K 2 bearbeitet. Ebenso können über die Ausgänge A 1. A'\ Daten nicht redundant ausgegeben werden. In diesen Fällen treten auf den Peripherie-Bus- -leitungen PBi. PB 2 auch bei ordnungsgemäßem Betrieb unterschiedliche Signale auf.
Eine andere Betriebsart besteht darin, daß Eingangssignale nicht-redundant nur einer Eingabeeinehit FfI. ff 2 zugeführt werden, daß aber die auf die Abfrage dieser Eingabeeinheit auf die zugehörige Peripherie-Busleitung geschalteten Signale mittels eines Koppelver>tärkers KVi, KV2 auf die jeweils andere Busleitung gegeben werden, so daß auf beiden Busleitungen gleiche Signale liegen. Die Koppelverstärker sind ein- und ausschaltbar und erhalten von der zugehörigen Eingabeeinheit, die einen Adressendecodierer enthält, dann ein Freigabesignal, wenn das von einem Eingang abgefragte Signal beiden Zentraleinheiten ZfI. Zf 2 zugeführt werden soll. Entsprechend kann verfahren werden, wenn ein Eingangssignal redundant zwei einander entsprechenden Eingabeeinheiten, z. B. den Eingängen f 3, f'3 der Eingabeeinheiten ff 1. ff 2 zugeführt wird, indem in zwei Schritten, die nicht unbedingt aufeinanderfolgen müssen, zunächst der Eingang f 3 der Eingabeeinheit ff 1 und dann der Eingang f'3 der Eingabeeinheit ff 2 abgefragt wird. Bei ungestörtem Betrieb werden dann auf jeder Peripherie-Busleitung zwei übereinstimmende Signalkombinationen übertragen. Im Falle einer Störung eines Koppelverstärkers oder einer Peripherie-Busleitung sind jedoch die über die Busleitungen gleichzeitig übertragenen Signalkombinationen unterschiedlich, im Falle einer Störung einer Eingabeeinheit die auf den Busleitungen nacheinander übertragenen Signalkombinationen. Im letzteren Falle werden die Zentraleinheiten ZEi. ZE2 unterschiedlich reagieren, so daß deren Ausgangssignale voneinander abweichen.
Ähnlich wie die Eingangssignale können auch über die Ausgänge Ai, Ai, ... A'i, A'2 Ausgangssignale seriell abgegeben werden, indem einander entsprechenden Ausgängen, z. B; den Ausgängen A 2, A'2, unterschiedliche Adressen zugeordnet sind. In einem ersten Schritt geben die Zentraleinheiten ZfI, Zf 2 einen Befehl zur Steuerung des Relais RL mit der Adresse des Ausganges A 2 ab und in einem zweiten Schritt, der nicht unmittelbar auf den ersten Schritt
ίο folgen muß, denselben Befehl mit der Adresse des Ausganges A'2. Nach dem ersten Schritt erscheint am Ausgang A 2 ein Steuersignal und nach dem zweiten Schritt am Ausgang A'2. Da die Ausgangssignale nach einer UND-Funktion verknüpft sind, wird das Relais RL erst nach dem zweiten Schritt angesteuert. Bei jedem Schritt werden über die Peripherie-Busleitungen gleiche Signalkombinationen übertragen.
Bei dem Normalfall des radundanten Betriebs stehen auf sich entsprechenden Signalleitungen der Busleitunfen PBi. PB2 immer gleiche Signale an. Zur Überwachung dieser Äquivalenz ist eine Vergleichseinrichtung VGL vorgesehen.
Die Vergleichsergebnisse werden in einem Fehlersig· halspeicher, der in der Vergleichseinrichtung enthalten ist, gespeichert. Dieser wird von den Zentraleinheiten Zf i, Zf 2 in gleicher Weise wie die anderen peripheren Einheiten ASi. 452; AEi, AE2;... abgefragt und der Inhalt ausgewertet. Damit ist die Reaktion der Zentraleinheiten auf von der Vergleichseinrichtung gemeldete Fehlersignale programmierbar, d. h. es kann je nach den Erfordernissen in kürzeren oder längeren Abständen in bestimmten Programmphasen die Vergleichseinrichtung abgefragt werden. Bei nicht-redundantem Betrieb erfolgt keine Abfragung.
Die Vergleichseinrichtung nach Fig.2 enthält als Vergleichsschaltungen Antivalenzglieder AK 1... AKn. Die Adern der Peripherie-Busleitungen PB1. über welche Daten übertragen werden, sind über Leitungen DA 1 ... DAn und steuerbare Inverter /Vl ... IVn mit den einen Eingängen der Antivalenzglieder AKi ... AKn verbunden. Deren andere Eingänge sind über Leitungen DA'i... DA '/»jeweils an die entsprechenden Adern der Busleitung PB 2 des zweiten Teilsystems K 2 angeschlossen. Den Invertern /VI ... IVn werden von
•»5 einem weiter unten erläuterten Testsignalspeicher, bestehend aus Kippstufen TSi... TSn, log. »0«-SignaIe zugeführt, so daß sie die Signale von den Leitungen DA 1 ... DAn unverändert zu den Antivalenzgliedern AKi ... AKn durchschalten. An diese ist ein Fehlersignalspeicher mit den Kippstufen FS 1 ... FSn angeschlossen, und zwar werden im Ausführungsbeispiel die Ausgangssignale der Antivalenzglieder den Vorbereitungseingängen / zugeführt Die Taktimpulse für die Kippstufen FSl ... FSn sind von den Steuersignalen »Schreiben« und »Lesen« abgeleitet, die über die Busleitung PB1 zu den peripheren Einheiten übertragen werden. Hierzu sind diese über Leitungen DS. DL einem UND-Glied OR mit ODER-Funktion zugeführt, an dessen Ausgänge die Takteingänge der Kippstufen FS 1 ... FSn angeschlossen sind. Mit der positiven Flanke der Lese- und Schreibimpulse werden daher die Ausgangssignale der Antivalenzglieder AK 1 ... AKn in die Kippstufen FS 1 ... FSn übernommen, wobei die Ausgangssignale log. »0« sind, wenn die Signale auf den Busleitungen PBi, PB 2 übereinstimmen. Im Falle einer Antivalenz ist das Ausgangssignal "des die Antivalenz feststellenden Antivalenzgliedes log. »1«.
In F i g. 3 ist die Ansteuerung des Fehlersignalspeichers veranschaulicht. In einem Diagramm da sind zwei Daten DTA 1, DTA 2 eingetragen, welche über die Busleitungen PB1, PB 2 übertragen werden. Das Datum DTA 2 soll in eine periphere Einheit übernommen und das Datum DTA'i von einer peripheren Einheil über die Busleitungen in die Zentraleinheiten ZEi, ZE2 eingelesen werden. Die Übernahme des Datums DTA 2 ist dur-ß die Rückflanke eines Schfeibirtlpulses bestimmt, dir in einem Diagramm ds dargestellt ist. Der Zeitpunkt der Übernahme des Datums DTA 1 in die Zentraleinheiten ZEi, ZE2 ist durch die Rückflanke eines in einem Diagramm (//dargestellten Leseimpulses bestimmt. Da die Schreib- und Leseimpulse nach einer ODFR-Funktion verknüpft werden, gelangt an die (5 Takieingänge des Fehlersignalspeichers FSi ... FSn eine Impulsfolge or, die je übertragenem Datum DTA I1 DTA 2 eine positive Flanke aufweist, d. h. es wird bei jeder Oüitigerklärung der übertragenen Daten ein Vergleich durchgeführt und das Vergleichsergeonis in den Fehlersignalspeicher eingetragen. Stimmer z. B. die Signale, die dem Antivalenzglied AK 1 zugeführt sind, überein, so bleibt die Kippstufe FSi im in Fig.2 eingezeichneten Zustand, und die Anzeigelampe AL 1 bleibt dunkel. Besteht dagegen eine Antivalenz der beiden signale, so wird die Kippstufe FS 1 gesetzt, und die Anzeigelampe Al 1 leuchtet auf.
Zur -<eroesserung der Störsicherheit werden häufig Signale oei zweikanaiiger Übertragung nicht, wie in der bisherigen DKSchreibung vorausgesetzt, äquivalent, sondern antivaient übertragen. Ein in die beiden Leitungen eingestreuter Mörimpuls erscheint dann im Gegensau zu uen Nutzimpulsen als äquivalentes Signal und kann erkannt werden. Für diese Übertragungsart kann we vergieicnseinnchtung nach Fig.2 ohne Änderung eingesetzt werden, indem die Inverter /V1... IVn von den Kippstufen TS 1... TSn des Testsignalspeichers ment »0«-. sondern »1 «-Signal erhalten, also an den anderen Ausgang der Kippstufen angeschlossen sind.
Zum Abrufen des Inhalts des Fehlersignalspeichers FS 1 ... l·Sn geben die Zentraleinheiten über die peripheren ousieitungen PBX. PB2 Adressen und Leseimpulse aus. weiche von mit den Adressenleitungen der Busieitungen HBX. PB 2 verbundenen Adreßdecodierern LOC LDC decodiert und als Freigabesignale Ausgabeverstarkern AVi ... A Vn bzw. AVi ...A Vn zugeführt werden, so oaß diese die von den Kippstufen FSl ... rjr» erhaltenen Signale auf die beiden Busleitungen PBX, PB2 schalten. Vorteilhaft sind die so AusgaDeverstarser invertierend. Im Ausführungsoeispiel ist angenommen, aaß nur die Daten üDerprurt werden, was in vielen Fällen genügt Sollen auch aie Adressen und Steuersignale überprüft werden, dann müssen die Inverter, der Testsignal- und der Fehiersignalspeicher entsprecnend erweiten und die Fehlersigna-Ie zeitmulitDiex zu üen Zentraleinheiten übertragen werden, ebenso wie die Adresse für die Decodierer LDC, ULiC wird auch aas Abfrageergebnis des FehlersignaiSDeicners zweitacn redunaant übertragen. damit ein renter in den für die Übertragung verantworthcnen Komponenten erkannt werden kann.
Die Uöerwachung der Schreib- und Leseimpulse kann dadurch verbessert werden, daß diese Impulse nicht über zwei cer Leitungen DA X ... OAn bzw. DA. ... öS DA η 2Λύηπ weraen. sondern daß die Schreib- und Leseimpuse von der penpneren ßasieiinng PS 1, PS 2 jeweils zw ein cerr uDfcR-Güed OR entsprechendes ODER-Glied geführt sind und daß an jedes ODER-Glied der Takteingang einer bistabilen Kippstufe angeschlossen ist. Die beiden Kippstufen werden dann bei ungestörtem Betrieb synchron geschaltet, je nach Ausgangszustand, der bei Einschalten der Vergleichseinrichtung gewählt werden kann, sind die Ausgangssignale der Kippstufen stets äquivalent oder antivaient. Durch Überprüfen der Schaltzustände dieser Kippstufen mit einer zusätzlichen Vergleichefstufe können daher die Schreib- und Leseimpulse überwacht werden.
Es wird vorausgesetzt, daß der Testsignalspeicher TSi ... TSn den Invertern IVi ... IVn »O«-Signal zuführt, damit die auf den Leitungen DA 1 ... DAn liegenden Signale unverändert zu den Antivalenzgliedern AKi ...AKn gelangen. Der Testsignalspeicher ist von einem Testsignaldecodierer TDCangesteuert, dem. wenn die Vergleichseinrichtung getestet werden soll, von der Zentraleinheit ZEi des ersten Teilsystems Adressen und Daten und außerdem über die Leitung DS ein Schreibsignal zugeführt werden, leweils eine oder mehrere der Kippstufen TSi... TSn des Testsignalspeichers werden dadurch in einen Schaltzustand gebracht, bei dem den diesen nachgeschalteten Invertern /Vl ... IVn log. »1 «-Signal zugeführt wird, so daß die Signale von den Leitungen DA I... DAn invertiert werden und, wenn, wie es bei ungestörtem Betrieb der Fall ist, auf den Busleitungen PB 1. PB2 gleiche Signalkombinationen liegen, die Antivalenzbedingung an den Eingängen derjenigen Anlivalenzglieder AK i ... AKn erfüllt ist, welche durch die dem Testsignaldecodierer TDC zugeführten Daten ausgewählt sind. Es werden daher, wieder unter der Voraussetzung des fehlerfreien Betriebs, die zugehörigen Kippstufen FSi ... FSn des Fehlersignalspeichers gesetzt, von den invertierenden Ausgabeverstärkern AVi ... AVn bzw. AV... AV'n log. »O«-Signale auf die Busleitungen PBi, PB 2 geschaltet und von den Zentraleinheiten der beiden Teilsysteme empfangen. Liegt irgend ein Fehler im Vergleicher vor, empfängt eine oder beide Zentraleinheiten über eine Ader, auf der bei Fehlerfreiheit ein log. »O«-Signal auftreten sollte, log. »1 «-Signal, und der Fehler ist erkannt Der Test wird durch Zurücksetzen des Testsignalspeichers beendet, wozu die Zentraleinheit ZfI des ersten Teilsystems wiederum den Testdecodierer TDCmit den Adressen der zurückzusetzenden Kippstufen des Testsignalspeichers ansteuert Die Testsignale werden von Differenziergliedern R I1 Ci;... Rn, Cn differenziert und auf die Rücksetzeingänge der Kippstufen FSX... FSn gegeben, derart, daß mit der Rückflanke der Testimpulse die Kippstufen in den Fehlerfreiheit anzeigenden Zustand geschaltet werden. Im allgemeinen wird die Vergleichseinrichtung in mehreren Schritten getestet wobei die Kombination der gesetzten Kippstufen TS1 ... TSn des Testsignalspeichers von Schritt zu Schritt geändert wird, bis alle für die Fehlererkennung notwendigen Kombinationen geprüft sind. Der Testsignal-Adressendecodierer ist nur mit der Busleitung PBX verbunden, da ein etwaiger Decodierfehler beim Auswerten der Testergebnisse erkennbar ist Selbstverständlich kann auch ein zweiter Testsignal-Adressendecodierer vorgesehen werden, der an die zweite Busleitung PB 2 angeschlossen ist und dessen Ausgangssignal mit dem des ersten verknüpft wird.
Für das Auswerten <ler Vergleichsergebnisse und für das vollständige Testen der Vergleichseinrichtung sind nor -wenige Schreib-, Lese- und Vergieichsoperationen notwendig. Die für die Fehlererkennung notwendigen
Programme laufen synchron in beiden Zentraleinheiten ab, wobei die richtige Bearbeitung wiederum von der Vergleichseinrichtung überwacht wird. Dadurch ergibt sich eine in sich geschlossene Prüfkette, bei der die Fehlererkennungszeit und die Reaktion auf falsche Vergleichs- und Testergebnisse programmierbar ist. Neben der Anzeige der Fehlerart und des Zeitpunkts des Fehlereintritts, z. B. Programmspeicheradresse, können Fehlermeldungen zweikanalig und damit fehlersicher über die beiden Teilsysteme und daran angeschlossene periphere Einheiten ausgegeben werien.
Die Vergleichseinrichtung ist nicht-redundant aufgekaut, trotzdem arbeitet sie weitgehend fehlersicher. Um Äe Verfügbarkeit Und die Fehlersicherheit der Ver-■jeichseinrichtung zu erhöhen, kann eine zweite Vergleichseinrichtung VGL'(Fig. 1) vorgesehen wer- <en< die zweckmäßig derart geschaltet ist, daß die
10
Inverter und der Testsignal-Adressendecodierer an die Busleitung PB2 angeschlossen sind.
In der Praxis wird man die Vergleichseinrichtung zur Entlastung der Zentraleinheiten so betreiben, daß zunächst innerhalb einer kurzen Testphase alle Schaltungskomponenten der Vergleichseinrichtung geprüft werden. Anschließend folgt eine relativ lange Vergleichsphase zur Überwachung des redundanten Steuersystems. Da alle Fehler in der Vergleichseinrichtung gespeichert werden, genügt es, wenn die Vergleichsergebnisse einmal am Ende der Vergleichsphase abgefragt werden; Die Fehlererkennungszeit kann verkleinert werden, indem man innerhalb der Vergleichsphase die Abfragen mehrmals durchführt öder indem man die Vefgleichseinrichtung so modifiziert, daß eine gesetzte Kippstufe des Fehiersignalspeichers eine Programmunterbrechung auslöst.
Hierzu 3 Blatt Zeichnungen

Claims (7)

Patentansprüche:
1. Redundantes Steuersystem mit mehreren parallel arbeitenden, gleiche Daten nach übereinstimmenden Programmen verarbeitenden Teilsystemen, die je eine Zentraleinhai ι, Speicher sowie periphere Einheiten enthalten, wobei die Zentraleinheiten, die Speicher und die peripheren Einheiten verschiedener Teilsysteme einander entsprechen, und mit mindestens einer Vergleichseinrichtung, welche die in den Teilsystemen auftretenden Signale vergleicht und bei Ungleichheit ein Fehlersignal abgibt, dadurch gekennzeichnet, daß die Vergleichseinrichtung einen Fehlersignalspeicher (FSi ... FSn) enthält, dessen Inhalt von den Zentraleinheiten (ZEi, ZE2) wahlweise abrufbar ist.
2. Steuersystem nach Anspruch I1 dadurch gekennzeichnet, daß je Teilsystem eine Daten, Adressen und Steuersignale übertragende Peripherie-Busleitung (PB 1, PB 2) vorhanden ist, an welche die Zentraleinheit (ZEi, ZE2) und die peripheren Einheiten (ZZi, ASi, AEi, EE\;ZZ2, .452. AE2, EE2) angeschlossen sind und daß die Vergleichseinrichtung (VGL) Signale auf den Peripherie-Busleitungen miteinander vergleicht
3. Steuersystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Vergleichseinrichtung mindestens ein Antivalenzglied AK 1 ... AKn) enthält, an das der Fehlersignalspeicher (FSi ... FSn) angeschlossen ist, dessen Ausgang auf die Eingänge von je einem Teilsystem zugeordneten, schaltbaren Ausgabevratärkem (AVi, AVi; ... AVn, AVn) geführt sind, welche von Adressendecodierern (LDC. LDC) gesteuert sind, die an die Peripherie-Busleitungen (PB 1, Po 2) angeschlossen sind.
4. Steuersystem nach /.nspruch 3, dadurch gekennzeichnet, daß dem einen Eingang des Antivalenzgliedes (AKi ... AKn) ein ein- und ausschaltbarer Inverter (IV \ ... IVn) vorgeschaltet ist. der von einem Testsignal umschaltbar ist, das aus dem Ausgangssignal eines mit der Peripherie-Busleitung (PB 1) eines Teilsystems verbundenen Testsignal-Adreßdecodierers (TDC)abgeleitet ist.
5. Steuersystem nach Anspruch 4, dadurch gekennzeichnet, daß an den Testsignal-Adreßdecodierer (TDC) ein den Inverter (IVi ... IVn) steuernder Testsignalspeicher (TS 1 ... TSn) angeschlossen ist.
6. Steuersystem nach Anspruch 4 oder 5, dadurch gekennzeichnet, daß der Rücksetzeingang des Fehlersignalspeichers (FS 1 ... FSn) mit dem Testsignal derart angesteuert ist. daß er mit der Rückflanke des Testsignals gelöscht wird.
7. Steuersystem nach einem der Ansprüche I bis 6, dadurch gekennzeichnet, daß zwei Teilsysteme (K 1. K 2) vorhanden sind, daß jedes Teilsystem eine periphere Ausgabeeinheit (AEl, AE2) und eine periphere Eingabeeinheit (EEi. EE2) aufweist und daß einander entsprechende Ausgänge (A 1, A'\) der peripheren Ausgabeeinheiten (AE \, AE2) auf einander entsprechende Eingänge (E'5, E5) der peripheren Eingabeeinheiten (EE2, EEi) des jeweils anderen Teilsystems rückgeführt sind,
DE19803024370 1980-06-27 1980-06-27 Redundantes Steuersystem Expired DE3024370C2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE19803024370 DE3024370C2 (de) 1980-06-27 1980-06-27 Redundantes Steuersystem
CH387681A CH654425A5 (en) 1980-06-27 1981-06-12 Redundant control arrangement
AT283081A AT385364B (de) 1980-06-27 1981-06-25 Redundantes steuersystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19803024370 DE3024370C2 (de) 1980-06-27 1980-06-27 Redundantes Steuersystem

Publications (2)

Publication Number Publication Date
DE3024370A1 DE3024370A1 (de) 1982-01-28
DE3024370C2 true DE3024370C2 (de) 1987-01-02

Family

ID=6105762

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19803024370 Expired DE3024370C2 (de) 1980-06-27 1980-06-27 Redundantes Steuersystem

Country Status (3)

Country Link
AT (1) AT385364B (de)
CH (1) CH654425A5 (de)
DE (1) DE3024370C2 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4341082A1 (de) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Schaltungsanordnung für sicherheitskritische Regelungssysteme
DE4441070A1 (de) * 1994-11-18 1996-05-30 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19508841A1 (de) * 1994-11-18 1996-09-12 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
DE4009521B4 (de) * 1989-06-29 2007-03-15 Linde Ag Verfahren zum zwei-kanaligen sicheren Regeln eines Prozesses

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0231452B2 (de) * 1982-01-29 2002-01-16 Pitney Bowes Inc. Mikroprozessorsysteme für elektronische Frankiereinrichtungen
US5109507A (en) * 1982-01-29 1992-04-28 Pitney Bowes Inc. Electronic postage meter having redundant memory
CA1206619A (en) * 1982-01-29 1986-06-24 Frank T. Check, Jr. Electronic postage meter having redundant memory
US4566106A (en) * 1982-01-29 1986-01-21 Pitney Bowes Inc. Electronic postage meter having redundant memory
US4916623A (en) * 1982-01-29 1990-04-10 Pitney Bowes Inc. Electronic postage meter having redundant memory
DE3225455C2 (de) * 1982-07-07 1986-07-17 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren Betrieb eines redundanten Steuersystems
US4665522A (en) * 1985-01-28 1987-05-12 The Charles Stark Draper Laboratory, Inc. Multi-channel redundant processing systems
DE3819994A1 (de) * 1988-06-11 1989-12-14 Dirar Najib Schaltungsanmeldung zur ueberwachung wenigstens eines parameters eines betriebsmittels
US5777834A (en) * 1995-03-11 1998-07-07 Leuze Electronic Gmbh+Co. Safety switch arrangement
DE19529434B4 (de) 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19717686A1 (de) 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem
DE19800311A1 (de) 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
DE19801137A1 (de) 1998-01-14 1999-07-22 Siemens Ag Fehlersichere Prozesseingabe und Prozessausgabe
DE19802728A1 (de) 1998-01-24 1999-07-29 Heidenhain Gmbh Dr Johannes Verfahren und Schaltungsanordnung zur Überwachung von Maschinenparametern

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2108496C3 (de) * 1971-02-23 1978-12-14 Standard Elektrik Lorenz Ag, 7000 Stuttgart Schaltungsanordnung zur ständigen Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen, insbesondere für prozeßrechnergesteuerte Eisenbahnsignalanlagen
US4049957A (en) * 1971-06-23 1977-09-20 Hitachi, Ltd. Dual computer system
DE2647367C3 (de) * 1976-10-20 1982-12-09 Siemens AG, 1000 Berlin und 8000 München Redundante Prozeßsteueranordnung
DE2931280A1 (de) * 1979-08-01 1981-02-19 Siemens Ag Redundante steueranordnung

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4009521B4 (de) * 1989-06-29 2007-03-15 Linde Ag Verfahren zum zwei-kanaligen sicheren Regeln eines Prozesses
DE4341082A1 (de) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Schaltungsanordnung für sicherheitskritische Regelungssysteme
DE4441070A1 (de) * 1994-11-18 1996-05-30 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19508841A1 (de) * 1994-11-18 1996-09-12 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19508841C2 (de) * 1994-11-18 2002-03-28 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen

Also Published As

Publication number Publication date
ATA283081A (de) 1987-08-15
CH654425A5 (en) 1986-02-14
DE3024370A1 (de) 1982-01-28
AT385364B (de) 1988-03-25

Similar Documents

Publication Publication Date Title
DE3024370C2 (de) Redundantes Steuersystem
DE3206891C2 (de)
DE1279980C2 (de) Aus mehreren miteinander gekoppelten Datenverarbeitungseinheiten bestehendes Datenverarbeitungssystem
DE2735397C2 (de) Überwachungseinrichtung für eine programmgesteuerte Maschine
DE1524239B2 (de) Schaltungsanordnung zur aufrechterhaltung eines fehler freien betriebes bei einer rechenanlage mit mindestens zwei parallel arbeitenden rechengeraeten
DE2030760A1 (de) Speicherschaltung
EP0742505A2 (de) Einrichtung zum sicherheitsgerichteten Überwachen einer Maschine
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE2741886A1 (de) Datenuebertragungseinrichtung
DE2225841B2 (de) Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers
DE2461592C3 (de) Anordnung zur Durchführung von Wartungsoperationen bei einem Datenverarbeitungssystem
DE19847986C2 (de) Einzelprozessorsystem
DE68926677T2 (de) Datenaufnahmeschaltung für serielle kontrolleinheit
DE2647367B2 (de) Redundante Prozeßsteueranordnung
EP0009600B1 (de) Verfahren und Schnittstellenadapter zum Durchführen von Wartungsoperationen über eine Schnittstelle zwischen einem Wartungsprozessor und einer Mehrzahl einzeln zu prüfender Funktionseinheiten eines datenverarbeitenden Systems
DE19814096A1 (de) Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen
DE2530887C3 (de) Steuereinrichtung zum Informationsaustausch
DE102010041437A1 (de) Überprüfung von Funktionen eines Steuersystems mit Komponenten
DE3413330C2 (de)
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
DE2846890A1 (de) Verfahren zur ueberpruefung von speichern mit wahlfreiem zugriff
DE4303048C2 (de) Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen
DE102004043063A1 (de) Halbleiter-Bauelement mit Test-Schnittstellen-Einrichtung
EP0246556B1 (de) Schaltungsanordnung zum Überwachen einer Steuereinheit
EP0012794B1 (de) Verfahren und Einrichtung für eine elektronische Datenverarbeitungsanlage zur Prüfung der aus einer Instruktion abgeleiteten Steuersignale

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8363 Opposition against the patent
8366 Restricted maintained after opposition proceedings
8305 Restricted maintenance of patent after opposition
D4 Patent maintained restricted
8339 Ceased/non-payment of the annual fee