DE3205217C1 - Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner - Google Patents
Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen RechnerInfo
- Publication number
- DE3205217C1 DE3205217C1 DE19823205217 DE3205217A DE3205217C1 DE 3205217 C1 DE3205217 C1 DE 3205217C1 DE 19823205217 DE19823205217 DE 19823205217 DE 3205217 A DE3205217 A DE 3205217A DE 3205217 C1 DE3205217 C1 DE 3205217C1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- data
- bit
- inverted
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
Description
- In Ansprt- ~ 5 ist eine Vergleicheranordnung angegeben, in wo. der ein durch Fehler hervorgerufener systematischer Ilnterschied zwischen aufeinanderfolgenden Datentelegrammen unabhängig von der enthaltenen Information erkannt werden kann.
- Anspruch 6 betrifft eine Ausgestaltung der in Anspruch 5 beschriebenen Vergleicheranordnung.
- Die Einrichtung nach der Erfindung soll nun anhand zweier schematischer Zeichnungen ausführlich beschrieben werden.
- F i g. 1 zeigt ein Blockschaltbild eines Ausführungsbeispiels der erfindungsgemäßen Einrichtung.
- F i g. 2 zeigt eine Vergleicheranordnung zur Feststellung fehlerbedingter systematischer Unterschiede.
- In F i g. 1 ist ein Rechner R mit eingangsseitig vorgeschaltetem Serien/Parallel-Wandler S/P dargestellt. Die vom Rechner zu verarbeitende Folge von Datentelegrammen wird einem Eingang SE seriell zugeführt. Bevor die Datentelegramme in den Serien/ Parallel-Wandler gelangen, durchlaufen sie einen steuerbaren Inverter IV1. Dieser invertiert jedes zweite Datentelegramm und wird hierzu von einer Kopferkennungsschaltung Kr; die die Datentelegramme ebenfalls zugeführt erhält und auf eine bestimmte, den Telegrammanfang kennzeichnende Bitkombination anspricht, angesteuert. Die Kopferkennungsschaltung schaltet den Inverter mit jedem Telegrammbeginn ein bzw. aus. (Die Telegrammkopferkennung kann auch vom Rechner selbst wahrgenommen werden. Es entfällt dann die externe Kopferkennungsschaltung und der Inverter wird vom Rechner angesteuert.) Gelangt ein Datentelegramm in den Rechner, so wird es, wenn es zuvor invertiert wurde, rückinvertiert. Da der Rechner hierzu feststellen muß, ob ein Datentelegramm invertiert vorliegt oder nicht, erhält er über eine Leitung 1 ebenfalls die Invertersteuersignale der Kopferkennungsschaltung. Der Rechner verarbeitet anschließend die Datentelegramme (nicht invertiert eingegebene und invertiert eingegebene, rückinvertierte) und gibt das Verarbeitungsergebnis über seinen Ausgang aus. Dies geschieht jedoch nicht direkt, sondern über eine Sperrschaltung AS, welche die Ausgabe von Verarbeitungsergebnissen sperrt, wenn sie vom Rechner selbst über eine Leitung 2 oder von einer externen Vergleichseinrichtung VE über eine Leitung 3 entsprechend angesteuert wird. Letzteres ist dann der Fall, wenn z. B. durch eine Plausibilitätsprüfung im Rechner oder durch einen in der externen Vergleichseinrichtung VE durchgeführten bitweisen Vergleich der aufeinanderfolgenden Datentelegramme ein auf einen Fehler im Parallelteil der Dateneingabe hinweisender systematischer Unterschied zwischen aufeinanderfolgenden Datentelegrammen festgestellt wird.
- Bei einer Plausibilitätsprüfung wird geprüft, ob sich die in jedem Datentelegramm enthaltene Information von Telegramm zu Telegramm nicht oder nur in einem zulässigen Maße ändert. Sinnlose Änderungen oder Überschreitungen von durch die technischen Gegebenheiten des zu steuernden Prozesses festgelegten Grenzen sind nicht plausibel und führen zur Sperrung des Rechnerausganges. Der Vergleich der Information aufeinanderfolgender Datentelegramme kann hierzu entweder rechnerintern oder in einer externen Vergleichseinrichtung erfolgen.
- Anstelle eines Vergleichs der in den Datentelegrammen enthaltenen Informationen kann auch durch den Rechner selbst geprüft werden, ob sich der Wert eines bestimmten Bitplatzes über eine größere Anzahl von Datentelegrammen hinweg von Telegramm zu Telegramm ständig ändert. Da einerseits ein gleichzeitiger Ausfall mehrerer Bitplätze als sehr unwahrscheinlich angesehen werden kann, andererseits eine bestimmte Anzahl von verfälschten Bit bei Verwendung eines Datensicherungscode korrigiert werden kann, ist es der Sicherheit kaum abträglich, wenn ein Bauelementefehler, der ein Bit jedes Datentelegrammes verfälscht, erst nach Eingabe mehrerer Datentelegramme entdeckt wird.
- Schließlich ist die Feststellung eines systematischen Unterschiedes zwischen aufeinanderfolgenden Datentelegrammen auch mittels eines bitweisen Vergleichs# z. B.
- in einer externen Einrichtung möglich. Hierzu dient die in F i g. 2 dargestellte Schaltung. Vom Rechner R werden sämtliche Datentelegramme einer Speicherkette, bestehend aus vier Stufen SP1, SP2, SP3, 5P4 zugeführt. Jedes in die Stufe SP1 neu eingespeicherte Datentelegramm - der zur Einspeicherung notwendige Arbeitstakt wird vom Rechner her über eine allen Stufen gemeinsame Taktleitung Tzugeführt - bewirkt ein Weiterschieben des zuvor enthaltenen Datentelegramms in die nächste Stufe SP2. Entsprechendes gilt für die Stufen SP2 und SP3. Die in Stufe 5P4 enthaltene Information wird gelöscht, wenn das zuvor in Stufe SP3 enthaltene Datentelegramm in Stufe 5P4 eingespeichert wird. Nach Ausgabe von vier Datentelegrammen durch den Rechner sind alle Speicherstufen durch vier aufeinanderfolgende Datentelegramme belegt. Die in Stufe SP1 und SP3 stehenden Datentelegramme unterscheiden sich von den in den Stufen SP; und SP4 stehenden Datentelegrammen, abgesehen von Unterschieden in ihrem Informationsgehalt, dadurch, daß erstere in invertierter (nicht invertierter) Form, letztere in nicht invertierter (invertierter) Form den Parallelteil der Rechnereingabe durchlaufen haben. War dieser Parallelteil während der Eingabe der Datentelegramme fehlerfrei, so unterscheiden sich die ersteren, in invertierter Form eingegebenen, im Rechner rückinvertierten Datentelegramme nicht von gleichen, in nicht invertierter Form eingegebenen Datentelegrammen.
- War dagegen der Parallelteil defekt, so unterscheiden sich die Datentelegramme systematisch.
- Die Vergleicheranordnung nach F i g. 2 enthält Vergleicher V1 ... V3, welche während eines bitweise erfolgenden Vergleichs jeweils Unterschiede der einzelnen logischen Zustände der Bitplätze in verschiedenen Speicherstufen feststellen. So vergleicht der Vergleicher V1 die Speicherstufen SPX und SP3 und damit z. B. die in invertierter Form in den Rechner eingegebenen Datentelegramme. Vergleicher V2 vergleicht die in den Speicherstufen SP2 und 5P4 stehenden, in nicht invertierter Form eingegebenen Datentelegramme. Vergleicher V3 vergleicht die in den Speicherstufen SP3 und SP4 stehenden Datentelegramme, also jeweils ein invertiert eingegebenes mit einem nicht invertiert eingegebenen Datentelegramm.
- Ein Fehler im Parallelteil der Rechnereingabe, der zu einem statischen Zustand eines bestimmten Bitplatzes führt, bewirkt, daß sich die entsprechenden Bit zweier invertiert eingegebener wie auch zweier nicht invertiert eingegebener Datentelegramme voneinander nicht unterscheiden, daß jedoch in jedem Falle ein Unterschied zwischen den entsprechenden Bit eines invertiert eingegebenen und eines nicht invertiert eingegebenen Telegramms besteht. Dieser Unterschied wird vom Vergleicher V3 festgestellt. In der Vergleicheranordnung nach F i g. 2 gibt ein Und-Glied UG 1 ein entsprechendes Kennzeichen in einen weiteren Speicher SP5, wenn die Vergleicher V1 und V2 keinen, der Vergleicher V3, der über einen Inverter IV2 mit dem Und-Glied UG 1 verbunden ist, aber einen Unterschied feststellt. Da diese durch Fehler erzeugte Konstellation der drei Vergleicher mit geringer Wahrscheinlichkeit auch bei einwandfreier Funktion der Rechnereingabe eintreten kann - es ist hierzu eine dreimalige aufeinanderfolgende Änderung eines bestimmten Bit erforderlich~, wird nicht sofort eine Fehlermeldung ausgegeben, sondern erst dann, wenn auch der nächste oder noch ein weiterer Vergleich die Fehlerkonstellation der drei Vergleicher ergibt Der Inhalt des Speichers SP5 wird hierzu mit dem nächsten Vergleich in einen nachgeschalteten Speicher SP6 geschoben und es wird erst dann eine Fehlermeldung ausgegeben, welche die Sperrung der Rechnerausgabe veranlaßt, wenn ein weiteres Und-Glied UG 2 in beiden Speichern SP5 und SP6 am selben Bitplatz das Kennzeichen für die 0. g. Fehlerkonstellation abgespeichert findet. Bei einem so durchgeführten, zweimaligen Vergleich ist die Wahrscheinlichkeit, daß ein Fehler im Parallelteil der Rechnereingabe und nicht eine zufällige mehrmalige Informationsänderung die entsprechende Fehlermeldung hervorgerufen hat, so groß, daß eine Sperrung der Rechnerausgabe gerechtfertigt ist.
Claims (6)
- Patentansprüche: 1. Einrichtung zur gesicherten Eingabe einer einem Prozeß zugeordneten Folge von Datentelegrammen in einen Rechner mit mindestens einem eingangsseitigen Serien/Parallel-Wandler, dem die Datentelegramme nacheinander seriell zugeführt werden, dadurch gekennzeichnet, daß dem Eingang des Serien/Parallel-Wandlers (S/P) ein Inverter (IV1) vorgeschaltet ist, der für die nacheinander eintreffenden Datentelegramme abwechselnd wirksam und unwirksam geschaltet wird und daß eine Sperrschaltung (AS) vorgesehen ist, welche die Ausgabe von Verarbeitungsergebnissen des Rechners (R) verhindert, wenn nach Rückinvertierung der zuvor invertierten Datentelegramme im Rechner ein systematischer Unterschied zwischen invertiert eingegebenen und nicht invertiert eingegebenen Datentelegrammen festgestellt wird.
- 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Sperrschaltung (AS) die Ausgabe der Verarbeitungsergebnisse dann verhindert, wenn durch Vergleich festgestellt wird, daß sich in aufeinanderfolgenden Datentelegrammen enthaltene Informationen in unzulässigem Maße voneinander unterscheiden oder vorgegebene Grenzwerte über- oder unterschreiten.
- 3. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß der Vergleich vom Rechner (R) selbst durchgeführt wird.
- 4. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß der Vergleich in einer externen Vergleichseinrichtung (VE) erfolgt.
- 5. Einrichtung nach Anspruch 1 oder Anspruch 4, dadurch gekennzeichnet, daß mindestens ein aus Teilspeichern (SP 1 . . .1....... SP4)bestehender mehrstufiger Speicher vorgesehen ist, dem die nicht invertierten und die vom Rechner rückinvertierten Datentelegramme nacheinander zugeführt werden, daß erste Vergleicher (V1, V2) vorgesehen sind, welche sowohl aufeinanderfolgende nichtinvertierte als auch aufeinanderfolgende invertierte und anschließend rückinvertierte Datentelegramme bitweise miteinander vergleichen, daß ein zweiter Vergleicher (V3) vorgesehen ist, welcher jeweils ein nicht invertiertes mit dem darauffolgenden invertierten und rückinvertierten Datentelegramm bitweise vergleicht und daß die Ausgänge der Vergleicher auf ein erstes Und-Glied (UG 1) geführt sind, welches ein zur Ansteuerung der Sperrschaltung (AS) geeignetes Kennzeichen ausgibt, wenn die beiden ersten Vergleicher an mindestens einem Bitplatz der zu vergleichenden Datentelegramme keinen, der zweite Vergleicher an demselben Bitplatz jedoch einen Unterschied feststellt.
- 6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet, daß weitere, einander nachgeschaltete Speicher (SP5, SP6) vorgesehen sind, denen das Kennzeichen zugeführt wird, sowie ein zweites Und-Glied (UG2), dem der Inhalt der weiteren Speicher bitweise zugeführt wird und das ein zur Ansteuerung der Sperrschaltung geeignetes Fehler~ signal ausgibt, wenn am selben Bitplatz aller weiteren Speicher ein gespeichertes Kennzeichen des ersten Und-Gliedes festgestellt wird.Die Erfindung betrifft eine Einrichtung nach dem Oberbegriff des Patentanspruchs 1.Eine solche Einrichtung wird benötigt, wenn Prozesse mit Sicherheitsverantwortung von Rechnern gesteuert werden sollen, wie dies z. B. bei der automatischen Steuerung eines Zuges durch eine Rechnerzentrale der Fall ist.Die zwischen Prozeß und Rechner auszutauschenden Daten können (siehe z. B. DE-OS 26 40 756) durch Codesicherungsverfahren (Redundanzbits) und durch Vergleich der nacheinander übertragenen Datentelegramme in Verbindung mit einer Prüfung der enthaltenen Information auf Plausibilität gesichert werden. Dennoch sind Fehler denkbar, die, wenn sie gehäuft auftreten, zu einer Verfälschung der übertragenen Daten führen können, ohne bemerkt zu werden. Als solche Fehler kommen z. B. Ausfälle einzelner Ausgänge im Parallelteil des dem Rechner vorgeschalteten Serien/Parallel-Wandlers infrage. Auch im Rechnereingang selbst oder an zwischen Serien/Parallel-Wandler und Rechnereingang liegenden Bauelementen (z. B.Zwischenspeicher) können Fehler auftreten, die bewirken, daß sich einzelne Bit des parallelen Dateneingangskanals nicht mehr ändern lassen und so in jedem Datenwort an bestimmten Bitplätzen stets das gleiche Bit in den Rechner gelangt. Übersteigt die Zahl der »ausgefallenen« Bitplätze die aufgrund des Datensicherungscode maximal zu korrigierende Bitzahl, so kann verfälschte und damit möglicherweise den Prozeß gefährdende Information zur Auswertung gelangen.Eine Sicherung der Datentelegramme durch Vergleich und Plausibilitätsprüfung kann in diesem Falle versagen, da sich die fehlerhaften Bit von Datentelegramm zu Datentelegramm unverändert wiederholen und damit meist keine unzulässig starken Veränderungen der übertragenen Information bewirken.Die Einrichtung nach der Erfindung soll solche, bei der parallelen Eingabe von Daten in den Rechner auftretende Bitfehler erkennbar machen und damit ermöglichen, die Ausgabe und/oder Weiterverwertung von durch solche Fehler verfälschten Verarbeitungsergebnissen zu verhindern. Sie wird durch die Merkmale des Anspruchs 1 beschrieben.Durch Invertierung z. B. jedes zweiten Datentelegrammes (es kann im Prinzip auch nur jedes dritte, vierte usw. Datentelegramm invertiert sein) vor Eingabe in den Serien/Parallel-Wandler wird der Rechner in die Lage versetzt, nach Rückinvertierung zu prüfen, ob sich aufeinanderfolgende, in unterschiedlicher Potentiallage (invertiert, nicht invertiert) eingegebene Datentelegramme systematisch, d.h. aufgrund eines systematischen Fehlers unterscheiden, was bei Ausfall eines oder mehrerer Bit im Parallelteil der Dateneingabe gegeben ist.Ein solcher systematischer Unterschied kann, wie in Anspruch 2 angegeben, durch eine Plausibilitätsprüfung erkannt werden, denn es darf als unwahrscheinlich angesehen werden, daß sich durch Fehler hervorgerufene systematische Änderungen zwischen aufeinanderfolgenden Datentelegrammen über längere Zeit hinweg immer nur durch in zulässigem Maße und zwischen vorgegebenen Grenzwerten erfolgende Änderungen der enthaltenen Information bemerkbar machen. Die Plausibilitätsprüfung kann, wie in Anspruch 3 angegeben rechnerintern oder wie in Anspruch 4 vorgesehen, in einer externen Vergleichseinrichtung erfolgen.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19823205217 DE3205217C1 (de) | 1982-02-13 | 1982-02-13 | Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19823205217 DE3205217C1 (de) | 1982-02-13 | 1982-02-13 | Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner |
Publications (1)
Publication Number | Publication Date |
---|---|
DE3205217C1 true DE3205217C1 (de) | 1983-06-09 |
Family
ID=6155682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19823205217 Expired DE3205217C1 (de) | 1982-02-13 | 1982-02-13 | Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE3205217C1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3509633A1 (de) * | 1984-04-26 | 1986-01-09 | Heidelberger Druckmaschinen Ag, 6900 Heidelberg | Verfahren und speichersystem zum speichern von einstellwerten fuer stellvorrichtungen an druckmaschinen |
EP0625751A1 (de) * | 1993-05-14 | 1994-11-23 | Siemens Aktiengesellschaft | Sicheres Informationsübertragungsverfahren für einen Bus |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2640756A1 (de) * | 1976-09-10 | 1978-03-16 | Standard Elektrik Lorenz Ag | Einrichtung zur gesicherten datenuebertragung bei spurgebundenen fahrzeugen |
-
1982
- 1982-02-13 DE DE19823205217 patent/DE3205217C1/de not_active Expired
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2640756A1 (de) * | 1976-09-10 | 1978-03-16 | Standard Elektrik Lorenz Ag | Einrichtung zur gesicherten datenuebertragung bei spurgebundenen fahrzeugen |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3509633A1 (de) * | 1984-04-26 | 1986-01-09 | Heidelberger Druckmaschinen Ag, 6900 Heidelberg | Verfahren und speichersystem zum speichern von einstellwerten fuer stellvorrichtungen an druckmaschinen |
EP0625751A1 (de) * | 1993-05-14 | 1994-11-23 | Siemens Aktiengesellschaft | Sicheres Informationsübertragungsverfahren für einen Bus |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69531817T2 (de) | Steuereinrichtung mit Fehlersicherheitsfunktion | |
EP1352326B1 (de) | Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung | |
DE2640756C2 (de) | Einrichtung zur gesicherten Datenübertragung bei spurgebundenen Fahrzeugen | |
DE2724409A1 (de) | Datenverarbeitungssystem | |
DE2258917B2 (de) | Regelvorrichtung mit mindestens zwei parallelen signalkanaelen | |
DE3639055A1 (de) | Verfahren zur betriebsueberwachung und fehlerkorrektur von rechnern eines mehrrechnersystems und mehrrechnersystem | |
DE2157829C2 (de) | Anordnung zum Erkennen und Korrigieren von Fehlern in Binärdatenmustern | |
EP1009122A2 (de) | Verfahren zur Datenübertragung | |
EP1811722A2 (de) | Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht | |
EP0325318B1 (de) | Vermittlungsanlage | |
DE3514079A1 (de) | Ausfallsicherungskreis fuer ein steuerungssystem | |
WO2013020529A1 (de) | Messwert-übertragungsvorrichtung | |
DE3205217C1 (de) | Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner | |
EP0182134B1 (de) | Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen | |
EP0009600B1 (de) | Verfahren und Schnittstellenadapter zum Durchführen von Wartungsoperationen über eine Schnittstelle zwischen einem Wartungsprozessor und einer Mehrzahl einzeln zu prüfender Funktionseinheiten eines datenverarbeitenden Systems | |
DE2655653C2 (de) | Anordnung zur Feststellung der richtigen Zuordnung von Adresse und Speicherwort in einem wortorganisierten Datenspeicher | |
DE3332626A1 (de) | Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen | |
EP0410270B1 (de) | Verfahren zum Betrieb einer signaltechnisch sicheren Schnittstelle | |
DE4425254A1 (de) | Datenübertragungsverfahren in einem Echtzeitdatenverarbeitungssystem | |
EP0922253B1 (de) | Fehlererkennung in einem speichersystem | |
EP1597470B1 (de) | Signalverarbeitungsvorrichtung und steuergerät zur zusammenarbeit mit einer signalverarbeitungsvorrichtung | |
DE2636352B2 (de) | Schutzsystem für einen Kernreaktor | |
DE2014729C3 (de) | Datenverarbeitungssystem mit Einrichtungen zur Fehlerermittlung und zur Systemumkonfiguration unter Ausschluß fehlerhafter Systemeinheiten | |
DE10347196B4 (de) | Vorrichtung zur Überprüfung einer Schnittstelle | |
EP0246556B1 (de) | Schaltungsanordnung zum Überwachen einer Steuereinheit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8100 | Publication of the examined application without publication of unexamined application | ||
D1 | Grant (no unexamined application published) patent law 81 | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: ALCATEL SEL AKTIENGESELLSCHAFT, 7000 STUTTGART, DE |
|
8339 | Ceased/non-payment of the annual fee |