DE3205217C1 - Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner - Google Patents

Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner

Info

Publication number
DE3205217C1
DE3205217C1 DE19823205217 DE3205217A DE3205217C1 DE 3205217 C1 DE3205217 C1 DE 3205217C1 DE 19823205217 DE19823205217 DE 19823205217 DE 3205217 A DE3205217 A DE 3205217A DE 3205217 C1 DE3205217 C1 DE 3205217C1
Authority
DE
Germany
Prior art keywords
computer
data
bit
inverted
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19823205217
Other languages
English (en)
Inventor
Helmut Dipl.-Ing. 7250 Loenberg Uebel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent Deutschland AG
Original Assignee
Standard Elektrik Lorenz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Standard Elektrik Lorenz AG filed Critical Standard Elektrik Lorenz AG
Priority to DE19823205217 priority Critical patent/DE3205217C1/de
Application granted granted Critical
Publication of DE3205217C1 publication Critical patent/DE3205217C1/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy

Description

  • In Ansprt- ~ 5 ist eine Vergleicheranordnung angegeben, in wo. der ein durch Fehler hervorgerufener systematischer Ilnterschied zwischen aufeinanderfolgenden Datentelegrammen unabhängig von der enthaltenen Information erkannt werden kann.
  • Anspruch 6 betrifft eine Ausgestaltung der in Anspruch 5 beschriebenen Vergleicheranordnung.
  • Die Einrichtung nach der Erfindung soll nun anhand zweier schematischer Zeichnungen ausführlich beschrieben werden.
  • F i g. 1 zeigt ein Blockschaltbild eines Ausführungsbeispiels der erfindungsgemäßen Einrichtung.
  • F i g. 2 zeigt eine Vergleicheranordnung zur Feststellung fehlerbedingter systematischer Unterschiede.
  • In F i g. 1 ist ein Rechner R mit eingangsseitig vorgeschaltetem Serien/Parallel-Wandler S/P dargestellt. Die vom Rechner zu verarbeitende Folge von Datentelegrammen wird einem Eingang SE seriell zugeführt. Bevor die Datentelegramme in den Serien/ Parallel-Wandler gelangen, durchlaufen sie einen steuerbaren Inverter IV1. Dieser invertiert jedes zweite Datentelegramm und wird hierzu von einer Kopferkennungsschaltung Kr; die die Datentelegramme ebenfalls zugeführt erhält und auf eine bestimmte, den Telegrammanfang kennzeichnende Bitkombination anspricht, angesteuert. Die Kopferkennungsschaltung schaltet den Inverter mit jedem Telegrammbeginn ein bzw. aus. (Die Telegrammkopferkennung kann auch vom Rechner selbst wahrgenommen werden. Es entfällt dann die externe Kopferkennungsschaltung und der Inverter wird vom Rechner angesteuert.) Gelangt ein Datentelegramm in den Rechner, so wird es, wenn es zuvor invertiert wurde, rückinvertiert. Da der Rechner hierzu feststellen muß, ob ein Datentelegramm invertiert vorliegt oder nicht, erhält er über eine Leitung 1 ebenfalls die Invertersteuersignale der Kopferkennungsschaltung. Der Rechner verarbeitet anschließend die Datentelegramme (nicht invertiert eingegebene und invertiert eingegebene, rückinvertierte) und gibt das Verarbeitungsergebnis über seinen Ausgang aus. Dies geschieht jedoch nicht direkt, sondern über eine Sperrschaltung AS, welche die Ausgabe von Verarbeitungsergebnissen sperrt, wenn sie vom Rechner selbst über eine Leitung 2 oder von einer externen Vergleichseinrichtung VE über eine Leitung 3 entsprechend angesteuert wird. Letzteres ist dann der Fall, wenn z. B. durch eine Plausibilitätsprüfung im Rechner oder durch einen in der externen Vergleichseinrichtung VE durchgeführten bitweisen Vergleich der aufeinanderfolgenden Datentelegramme ein auf einen Fehler im Parallelteil der Dateneingabe hinweisender systematischer Unterschied zwischen aufeinanderfolgenden Datentelegrammen festgestellt wird.
  • Bei einer Plausibilitätsprüfung wird geprüft, ob sich die in jedem Datentelegramm enthaltene Information von Telegramm zu Telegramm nicht oder nur in einem zulässigen Maße ändert. Sinnlose Änderungen oder Überschreitungen von durch die technischen Gegebenheiten des zu steuernden Prozesses festgelegten Grenzen sind nicht plausibel und führen zur Sperrung des Rechnerausganges. Der Vergleich der Information aufeinanderfolgender Datentelegramme kann hierzu entweder rechnerintern oder in einer externen Vergleichseinrichtung erfolgen.
  • Anstelle eines Vergleichs der in den Datentelegrammen enthaltenen Informationen kann auch durch den Rechner selbst geprüft werden, ob sich der Wert eines bestimmten Bitplatzes über eine größere Anzahl von Datentelegrammen hinweg von Telegramm zu Telegramm ständig ändert. Da einerseits ein gleichzeitiger Ausfall mehrerer Bitplätze als sehr unwahrscheinlich angesehen werden kann, andererseits eine bestimmte Anzahl von verfälschten Bit bei Verwendung eines Datensicherungscode korrigiert werden kann, ist es der Sicherheit kaum abträglich, wenn ein Bauelementefehler, der ein Bit jedes Datentelegrammes verfälscht, erst nach Eingabe mehrerer Datentelegramme entdeckt wird.
  • Schließlich ist die Feststellung eines systematischen Unterschiedes zwischen aufeinanderfolgenden Datentelegrammen auch mittels eines bitweisen Vergleichs# z. B.
  • in einer externen Einrichtung möglich. Hierzu dient die in F i g. 2 dargestellte Schaltung. Vom Rechner R werden sämtliche Datentelegramme einer Speicherkette, bestehend aus vier Stufen SP1, SP2, SP3, 5P4 zugeführt. Jedes in die Stufe SP1 neu eingespeicherte Datentelegramm - der zur Einspeicherung notwendige Arbeitstakt wird vom Rechner her über eine allen Stufen gemeinsame Taktleitung Tzugeführt - bewirkt ein Weiterschieben des zuvor enthaltenen Datentelegramms in die nächste Stufe SP2. Entsprechendes gilt für die Stufen SP2 und SP3. Die in Stufe 5P4 enthaltene Information wird gelöscht, wenn das zuvor in Stufe SP3 enthaltene Datentelegramm in Stufe 5P4 eingespeichert wird. Nach Ausgabe von vier Datentelegrammen durch den Rechner sind alle Speicherstufen durch vier aufeinanderfolgende Datentelegramme belegt. Die in Stufe SP1 und SP3 stehenden Datentelegramme unterscheiden sich von den in den Stufen SP; und SP4 stehenden Datentelegrammen, abgesehen von Unterschieden in ihrem Informationsgehalt, dadurch, daß erstere in invertierter (nicht invertierter) Form, letztere in nicht invertierter (invertierter) Form den Parallelteil der Rechnereingabe durchlaufen haben. War dieser Parallelteil während der Eingabe der Datentelegramme fehlerfrei, so unterscheiden sich die ersteren, in invertierter Form eingegebenen, im Rechner rückinvertierten Datentelegramme nicht von gleichen, in nicht invertierter Form eingegebenen Datentelegrammen.
  • War dagegen der Parallelteil defekt, so unterscheiden sich die Datentelegramme systematisch.
  • Die Vergleicheranordnung nach F i g. 2 enthält Vergleicher V1 ... V3, welche während eines bitweise erfolgenden Vergleichs jeweils Unterschiede der einzelnen logischen Zustände der Bitplätze in verschiedenen Speicherstufen feststellen. So vergleicht der Vergleicher V1 die Speicherstufen SPX und SP3 und damit z. B. die in invertierter Form in den Rechner eingegebenen Datentelegramme. Vergleicher V2 vergleicht die in den Speicherstufen SP2 und 5P4 stehenden, in nicht invertierter Form eingegebenen Datentelegramme. Vergleicher V3 vergleicht die in den Speicherstufen SP3 und SP4 stehenden Datentelegramme, also jeweils ein invertiert eingegebenes mit einem nicht invertiert eingegebenen Datentelegramm.
  • Ein Fehler im Parallelteil der Rechnereingabe, der zu einem statischen Zustand eines bestimmten Bitplatzes führt, bewirkt, daß sich die entsprechenden Bit zweier invertiert eingegebener wie auch zweier nicht invertiert eingegebener Datentelegramme voneinander nicht unterscheiden, daß jedoch in jedem Falle ein Unterschied zwischen den entsprechenden Bit eines invertiert eingegebenen und eines nicht invertiert eingegebenen Telegramms besteht. Dieser Unterschied wird vom Vergleicher V3 festgestellt. In der Vergleicheranordnung nach F i g. 2 gibt ein Und-Glied UG 1 ein entsprechendes Kennzeichen in einen weiteren Speicher SP5, wenn die Vergleicher V1 und V2 keinen, der Vergleicher V3, der über einen Inverter IV2 mit dem Und-Glied UG 1 verbunden ist, aber einen Unterschied feststellt. Da diese durch Fehler erzeugte Konstellation der drei Vergleicher mit geringer Wahrscheinlichkeit auch bei einwandfreier Funktion der Rechnereingabe eintreten kann - es ist hierzu eine dreimalige aufeinanderfolgende Änderung eines bestimmten Bit erforderlich~, wird nicht sofort eine Fehlermeldung ausgegeben, sondern erst dann, wenn auch der nächste oder noch ein weiterer Vergleich die Fehlerkonstellation der drei Vergleicher ergibt Der Inhalt des Speichers SP5 wird hierzu mit dem nächsten Vergleich in einen nachgeschalteten Speicher SP6 geschoben und es wird erst dann eine Fehlermeldung ausgegeben, welche die Sperrung der Rechnerausgabe veranlaßt, wenn ein weiteres Und-Glied UG 2 in beiden Speichern SP5 und SP6 am selben Bitplatz das Kennzeichen für die 0. g. Fehlerkonstellation abgespeichert findet. Bei einem so durchgeführten, zweimaligen Vergleich ist die Wahrscheinlichkeit, daß ein Fehler im Parallelteil der Rechnereingabe und nicht eine zufällige mehrmalige Informationsänderung die entsprechende Fehlermeldung hervorgerufen hat, so groß, daß eine Sperrung der Rechnerausgabe gerechtfertigt ist.

Claims (6)

  1. Patentansprüche: 1. Einrichtung zur gesicherten Eingabe einer einem Prozeß zugeordneten Folge von Datentelegrammen in einen Rechner mit mindestens einem eingangsseitigen Serien/Parallel-Wandler, dem die Datentelegramme nacheinander seriell zugeführt werden, dadurch gekennzeichnet, daß dem Eingang des Serien/Parallel-Wandlers (S/P) ein Inverter (IV1) vorgeschaltet ist, der für die nacheinander eintreffenden Datentelegramme abwechselnd wirksam und unwirksam geschaltet wird und daß eine Sperrschaltung (AS) vorgesehen ist, welche die Ausgabe von Verarbeitungsergebnissen des Rechners (R) verhindert, wenn nach Rückinvertierung der zuvor invertierten Datentelegramme im Rechner ein systematischer Unterschied zwischen invertiert eingegebenen und nicht invertiert eingegebenen Datentelegrammen festgestellt wird.
  2. 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Sperrschaltung (AS) die Ausgabe der Verarbeitungsergebnisse dann verhindert, wenn durch Vergleich festgestellt wird, daß sich in aufeinanderfolgenden Datentelegrammen enthaltene Informationen in unzulässigem Maße voneinander unterscheiden oder vorgegebene Grenzwerte über- oder unterschreiten.
  3. 3. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß der Vergleich vom Rechner (R) selbst durchgeführt wird.
  4. 4. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß der Vergleich in einer externen Vergleichseinrichtung (VE) erfolgt.
  5. 5. Einrichtung nach Anspruch 1 oder Anspruch 4, dadurch gekennzeichnet, daß mindestens ein aus Teilspeichern (SP 1 . . .1....... SP4)bestehender mehrstufiger Speicher vorgesehen ist, dem die nicht invertierten und die vom Rechner rückinvertierten Datentelegramme nacheinander zugeführt werden, daß erste Vergleicher (V1, V2) vorgesehen sind, welche sowohl aufeinanderfolgende nichtinvertierte als auch aufeinanderfolgende invertierte und anschließend rückinvertierte Datentelegramme bitweise miteinander vergleichen, daß ein zweiter Vergleicher (V3) vorgesehen ist, welcher jeweils ein nicht invertiertes mit dem darauffolgenden invertierten und rückinvertierten Datentelegramm bitweise vergleicht und daß die Ausgänge der Vergleicher auf ein erstes Und-Glied (UG 1) geführt sind, welches ein zur Ansteuerung der Sperrschaltung (AS) geeignetes Kennzeichen ausgibt, wenn die beiden ersten Vergleicher an mindestens einem Bitplatz der zu vergleichenden Datentelegramme keinen, der zweite Vergleicher an demselben Bitplatz jedoch einen Unterschied feststellt.
  6. 6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet, daß weitere, einander nachgeschaltete Speicher (SP5, SP6) vorgesehen sind, denen das Kennzeichen zugeführt wird, sowie ein zweites Und-Glied (UG2), dem der Inhalt der weiteren Speicher bitweise zugeführt wird und das ein zur Ansteuerung der Sperrschaltung geeignetes Fehler~ signal ausgibt, wenn am selben Bitplatz aller weiteren Speicher ein gespeichertes Kennzeichen des ersten Und-Gliedes festgestellt wird.
    Die Erfindung betrifft eine Einrichtung nach dem Oberbegriff des Patentanspruchs 1.
    Eine solche Einrichtung wird benötigt, wenn Prozesse mit Sicherheitsverantwortung von Rechnern gesteuert werden sollen, wie dies z. B. bei der automatischen Steuerung eines Zuges durch eine Rechnerzentrale der Fall ist.
    Die zwischen Prozeß und Rechner auszutauschenden Daten können (siehe z. B. DE-OS 26 40 756) durch Codesicherungsverfahren (Redundanzbits) und durch Vergleich der nacheinander übertragenen Datentelegramme in Verbindung mit einer Prüfung der enthaltenen Information auf Plausibilität gesichert werden. Dennoch sind Fehler denkbar, die, wenn sie gehäuft auftreten, zu einer Verfälschung der übertragenen Daten führen können, ohne bemerkt zu werden. Als solche Fehler kommen z. B. Ausfälle einzelner Ausgänge im Parallelteil des dem Rechner vorgeschalteten Serien/Parallel-Wandlers infrage. Auch im Rechnereingang selbst oder an zwischen Serien/Parallel-Wandler und Rechnereingang liegenden Bauelementen (z. B.
    Zwischenspeicher) können Fehler auftreten, die bewirken, daß sich einzelne Bit des parallelen Dateneingangskanals nicht mehr ändern lassen und so in jedem Datenwort an bestimmten Bitplätzen stets das gleiche Bit in den Rechner gelangt. Übersteigt die Zahl der »ausgefallenen« Bitplätze die aufgrund des Datensicherungscode maximal zu korrigierende Bitzahl, so kann verfälschte und damit möglicherweise den Prozeß gefährdende Information zur Auswertung gelangen.
    Eine Sicherung der Datentelegramme durch Vergleich und Plausibilitätsprüfung kann in diesem Falle versagen, da sich die fehlerhaften Bit von Datentelegramm zu Datentelegramm unverändert wiederholen und damit meist keine unzulässig starken Veränderungen der übertragenen Information bewirken.
    Die Einrichtung nach der Erfindung soll solche, bei der parallelen Eingabe von Daten in den Rechner auftretende Bitfehler erkennbar machen und damit ermöglichen, die Ausgabe und/oder Weiterverwertung von durch solche Fehler verfälschten Verarbeitungsergebnissen zu verhindern. Sie wird durch die Merkmale des Anspruchs 1 beschrieben.
    Durch Invertierung z. B. jedes zweiten Datentelegrammes (es kann im Prinzip auch nur jedes dritte, vierte usw. Datentelegramm invertiert sein) vor Eingabe in den Serien/Parallel-Wandler wird der Rechner in die Lage versetzt, nach Rückinvertierung zu prüfen, ob sich aufeinanderfolgende, in unterschiedlicher Potentiallage (invertiert, nicht invertiert) eingegebene Datentelegramme systematisch, d.h. aufgrund eines systematischen Fehlers unterscheiden, was bei Ausfall eines oder mehrerer Bit im Parallelteil der Dateneingabe gegeben ist.
    Ein solcher systematischer Unterschied kann, wie in Anspruch 2 angegeben, durch eine Plausibilitätsprüfung erkannt werden, denn es darf als unwahrscheinlich angesehen werden, daß sich durch Fehler hervorgerufene systematische Änderungen zwischen aufeinanderfolgenden Datentelegrammen über längere Zeit hinweg immer nur durch in zulässigem Maße und zwischen vorgegebenen Grenzwerten erfolgende Änderungen der enthaltenen Information bemerkbar machen. Die Plausibilitätsprüfung kann, wie in Anspruch 3 angegeben rechnerintern oder wie in Anspruch 4 vorgesehen, in einer externen Vergleichseinrichtung erfolgen.
DE19823205217 1982-02-13 1982-02-13 Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner Expired DE3205217C1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19823205217 DE3205217C1 (de) 1982-02-13 1982-02-13 Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19823205217 DE3205217C1 (de) 1982-02-13 1982-02-13 Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner

Publications (1)

Publication Number Publication Date
DE3205217C1 true DE3205217C1 (de) 1983-06-09

Family

ID=6155682

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19823205217 Expired DE3205217C1 (de) 1982-02-13 1982-02-13 Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner

Country Status (1)

Country Link
DE (1) DE3205217C1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3509633A1 (de) * 1984-04-26 1986-01-09 Heidelberger Druckmaschinen Ag, 6900 Heidelberg Verfahren und speichersystem zum speichern von einstellwerten fuer stellvorrichtungen an druckmaschinen
EP0625751A1 (de) * 1993-05-14 1994-11-23 Siemens Aktiengesellschaft Sicheres Informationsübertragungsverfahren für einen Bus

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2640756A1 (de) * 1976-09-10 1978-03-16 Standard Elektrik Lorenz Ag Einrichtung zur gesicherten datenuebertragung bei spurgebundenen fahrzeugen

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2640756A1 (de) * 1976-09-10 1978-03-16 Standard Elektrik Lorenz Ag Einrichtung zur gesicherten datenuebertragung bei spurgebundenen fahrzeugen

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3509633A1 (de) * 1984-04-26 1986-01-09 Heidelberger Druckmaschinen Ag, 6900 Heidelberg Verfahren und speichersystem zum speichern von einstellwerten fuer stellvorrichtungen an druckmaschinen
EP0625751A1 (de) * 1993-05-14 1994-11-23 Siemens Aktiengesellschaft Sicheres Informationsübertragungsverfahren für einen Bus

Similar Documents

Publication Publication Date Title
DE69531817T2 (de) Steuereinrichtung mit Fehlersicherheitsfunktion
EP1352326B1 (de) Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung
DE2640756C2 (de) Einrichtung zur gesicherten Datenübertragung bei spurgebundenen Fahrzeugen
DE2724409A1 (de) Datenverarbeitungssystem
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE3639055A1 (de) Verfahren zur betriebsueberwachung und fehlerkorrektur von rechnern eines mehrrechnersystems und mehrrechnersystem
DE2157829C2 (de) Anordnung zum Erkennen und Korrigieren von Fehlern in Binärdatenmustern
EP1009122A2 (de) Verfahren zur Datenübertragung
EP1811722A2 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP0325318B1 (de) Vermittlungsanlage
DE3514079A1 (de) Ausfallsicherungskreis fuer ein steuerungssystem
WO2013020529A1 (de) Messwert-übertragungsvorrichtung
DE3205217C1 (de) Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner
EP0182134B1 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
EP0009600B1 (de) Verfahren und Schnittstellenadapter zum Durchführen von Wartungsoperationen über eine Schnittstelle zwischen einem Wartungsprozessor und einer Mehrzahl einzeln zu prüfender Funktionseinheiten eines datenverarbeitenden Systems
DE2655653C2 (de) Anordnung zur Feststellung der richtigen Zuordnung von Adresse und Speicherwort in einem wortorganisierten Datenspeicher
DE3332626A1 (de) Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen
EP0410270B1 (de) Verfahren zum Betrieb einer signaltechnisch sicheren Schnittstelle
DE4425254A1 (de) Datenübertragungsverfahren in einem Echtzeitdatenverarbeitungssystem
EP0922253B1 (de) Fehlererkennung in einem speichersystem
EP1597470B1 (de) Signalverarbeitungsvorrichtung und steuergerät zur zusammenarbeit mit einer signalverarbeitungsvorrichtung
DE2636352B2 (de) Schutzsystem für einen Kernreaktor
DE2014729C3 (de) Datenverarbeitungssystem mit Einrichtungen zur Fehlerermittlung und zur Systemumkonfiguration unter Ausschluß fehlerhafter Systemeinheiten
DE10347196B4 (de) Vorrichtung zur Überprüfung einer Schnittstelle
EP0246556B1 (de) Schaltungsanordnung zum Überwachen einer Steuereinheit

Legal Events

Date Code Title Description
8100 Publication of the examined application without publication of unexamined application
D1 Grant (no unexamined application published) patent law 81
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: ALCATEL SEL AKTIENGESELLSCHAFT, 7000 STUTTGART, DE

8339 Ceased/non-payment of the annual fee