DE3225712C2 - Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern - Google Patents
Verfahren und Vorrichtung zur Funktionsprüfung von digitalen RechnernInfo
- Publication number
- DE3225712C2 DE3225712C2 DE3225712A DE3225712A DE3225712C2 DE 3225712 C2 DE3225712 C2 DE 3225712C2 DE 3225712 A DE3225712 A DE 3225712A DE 3225712 A DE3225712 A DE 3225712A DE 3225712 C2 DE3225712 C2 DE 3225712C2
- Authority
- DE
- Germany
- Prior art keywords
- computer
- control unit
- control
- signals
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/317—Testing of digital circuits
- G01R31/3181—Functional testing
- G01R31/3183—Generation of test inputs, e.g. test vectors, patterns or sequences
- G01R31/318385—Random or pseudo-random test pattern
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/273—Tester hardware, i.e. output processing circuits
- G06F11/277—Tester hardware, i.e. output processing circuits with comparison between actual response and known fault-free response
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Hardware Redundancy (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
Verfahren und Vorrichtung zur Funktionsprüfung von Rechnern zur Steuerung von Prozessen. Ein vom Rechner (10) erzeugtes Datenwort-Signal wird mit einem von einem Pseudozufalls-Zahlengenerator (22) erzeugten Testwort gleicher Bitlänge in einem Vergleicher (25) verglichen. Bei vollständiger Übereinstimmung der beiden Worte gibt der Vergleicher einen Triggerimpuls zwei ein Zeitfenster vorgebende nicht retriggerbare Monoflops (27, 28) aus, deren Funktion durch eine Quittungsleitung (31) dynamisch an den Rechner rückgemeldet wird und die nach Ablauf der Fensterzeit einen Schiebetakt für den Pseudozufalls-Zahlengenerator liefert. Beim Auftauchen eines Fehlers im Rechner oder in der Kontrolleinheit wird über ein NOR-Gatter (32) eine Alarmeinheit (16) eingeschaltet und der Prozeß in einen definierten sicheren Zustand überführt. Alle Fehler in der Kontrolleinheit selbst können vom Rechner über Quittungsleitungen (31, 34) erkannt werden.
Description
Die Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Funktionsprüfung von digitalen Rechnern
zur Steuerung, Regelung und/oder Überwachung von Prozessen, bei dem in einer Kontrolleinheit Prüfsignale
und im Rechntr Kontrollsignale gebildet werden, die miteinander verglichen werden und bei Nichtübereinstimmung
der Signale oder nicht zeitgemäßer Ausgabe eines Signals ein fehlerhafter Zustand des Rechners
angezeigt und ein Signal ausgegeben wird, um die Auswirkung des fehlerhaften Zustandes auf den Prozeß zu
verhindern und/oder eine Alarmgabe zu bewirken, und/ oder den Prozeß in den sicheren Zustand zu überführen.
Mikrorechnerunterstützte Steuer- und Regelsysteme werden immer mehr auf Gebieten angewendet, an die
höhere Sicherheitsanforderungen gestellt werden.
Dabei handelt es sich immer mehr um Prozesse, bei denen man den Prozeß nach einem Fehlerfal! aus Sicherheitsgründen
nicht unmittelbar abschalten darf oder aus Verfügbarkeitsgründen nicht abschalten will.
Diese Aufgabe wird im allgemeinen durch Einsatz redundanter Regelung- und Steuersysteme gelöst. Das
sind Systeme mit zwei oder mehreren unabhängigen Funktionskanälen, die Regelungs- oder Steuerungsaufgaben
erfüllen und einem Mikrorechner, wobei der Mikrorechner die Umschaltsteuerung, die Überwachung
und die Fehlerlokalisierung in den Funktionskanälen übernimmt.
Das Sicherheitskonzept geht davon aus, daß der Rechner, solange er fehlerfrei arbeitet. Fehler in den
Regelkanälen erkennen und durch richtige Reaktion die zu regelnde Anlage in den sicheren Zustand bringen
kann. Die Funktionssicherheit jedoch hängt hierbei letztlich noch von möglichen Fehlerquellen des Rechners
ab. Die Störungen eines Rechners können zeitlich begrenzt (z. B. Netzstörungen, Übersprechen) oder bleibend
(z. B. Bauteilausfall) sein. Typische Fehlerwirkungen können sich ergeben durch Stehenbleiben des
Rechners (Ausfall des Systemtakts); wenn der Rechner in einer Endlosschleife läuft; durch Datenfehler, insbesondere
dynamische, abhängig von bestimmten Bitkombinationen: durch defekte Arithmetikeinheit, wodurch
Befehle (z. B. Vergleiche) nicht mehr richtig durchgeführt werden; duivh Veränderungen in der Software,
auch in der Softwareredundanz, durch defekte Programmspeicher.
Mit zwei oder mehr Rechnern (Multiprozessorsysteme),
die sich gegenseitig überwachen, könnte die Funktionssicherheit erhöht werden, jedoch nur unter großem
Aufwand, weil zum Ausschluß systematischer Fehler im allgemeinen diversitäre Hard- und Software erforderlich
sind (Aufsatz von Knörnschild. RTP Regelungstechnische Praxis 23.1981. Heft 8, Seite 268 ff).
Bei allgemeinen Anwendungen wird jedoch der Zustand des angeschlossenen Prozesses außer durch logische
Zustande (z. B. Sehalterstellungen, Grenzwertmelder) auch durch kontinuierliche Größen beschrieben.
Diese Tatsache schränkt die Anwendbarkeit eines Mehrprozeßsystems weiterhin ein, weil sich die Übereinstimmung
mehrerer Rechner nicht durch triviale Vergleiche auf Bitmusterebene überprüfen läßt, sondern
nur durch umfangreiche, zusätzliche Softwareprozeduren.
Leichter beherrschbar und sowohl vun den Kntwicklungsals
auch von den Fertigungskosten her günstiger ist ein Einzelrechner, der aus Gründen der Fehlersicherheit
mit einer Kontrolleinheit gekoppelt ist. Ein einfaches, dazu üblicherweise verwendetes Verfahren (vorgenannter
Aufsatz in RTP 81, Seite 273) beruht auf dem Watchdog (»Wachhund«) oder Watchdog-Timer, der
vom Rechner innerhalb eines periodischen Zeitfensters eine immer gleichbleibende Meldung erwartet Wenn
infolge eines Fehlers eine Meldung ausbleibt oder später als zum vorgesehenen Zeitpunkt erscheint, gibt der
Watchdog-Timer Alarm oder schaltet ab. Damit kann jedoch im allgemeinen nur geprüft werden, ob der
Rechner überhaupt noch arbeitet nicht jedoch ob er in wesentlichen Funktionen korrekt arbeitet und sicherheitsrelevante
Befehle richtig ausführt So können in der Regel durch Watchdog-Schaltungen mit retriggerbaren
Kippstuftn die ersten beiden der vorstehenden Fehlerfälle erkannt werden (Ausbleiben eines Life-Signals). Jedoch
versagt diese Einrichtung bei den übrigen Fehlermöglichkeiten
bzw. erkennt sie nur Mit ausreichender Wahrscheinlichkeit Zusätzlich bleibt bei der meisten
Kontrollschaltungen dieser Art ein Ausfall der Schaltung selbst unbemerkt
Zur Prüfung von relevanten Befehlen eines Rechners ist ein Mikroprozessor-Selbsttestverfahren aus der
Zeitschrift »Elektronische Rechenanlagen, 20. Jahrgang 1978, Heft 4, Seite 187 ff« bekannt. Der Test stellt eine
Befehlsabfolge dar, die alle Befehle mit jeweils typischen Daten berührt wobei jeder Befehl ein oder
gleichzeitig mehrere Module anspricht. Nur bei korrekter Funktion des Rechners führt die Befehlsfolge zu
einer bestimmten Adresse unter Ausgabe eines definierten Datenwortes. Zur Durchführung des Selbsttestes
wird jedoch der Rechner zeitlich stark beansprucht, weil er nicht nur ein Ergebnis berechnen, sondern nachrechnen
und vergleichen muß. Außerdem ist das bekannte Testverfahren nicht parallel zum Betrieb des Rechners
während eines Steuervorganges oder dergleichen durchführba
Aus der DE-OS 30 12 425 ist eine Rechnerüberwachung bekannt, die parallel zum Betrieb des Rechners
möglich ist, bei der der Mikroprozessor ein Prüfsignal mit einem ersten Pegel ausgibt, das nach einer bestimmten
Zeit auf einen zweiten Pegel verändert wird. Bei einer Überschreitung der Zeitd.iuer, während der
rjac Prüfsignal auf Hpm prstpn pHpr Hpm 7wpitpn PpiJpl
gehalten wird, wird eine Fehleranzeige signalisiert. Dieses erfolgt mittels einer Auflade- und Entladeeinrichtung
und einer Vergleichaainrichtung, wodurch die Fehlererkennung
nicht in der Geschwindigkeit, wie sie für manche Stcuerprozesse gefordert wird, durchführbar
ist.
Aus der DR-OS 28 41 073 ist eine Einrichtung mit einem Rechner und einer Kontrolleinheit bekannt bei
dem der Rechner Wortsignale ausgibt, die aufgrund von der Kontrolleinheit erzeugten Prüfsignale gebildet und
wiederum von der Kontrolleinheit ausgewertet werden. Diese Informationsschleife hat den Nachteil, daß beim
Ausbleiben eines Prüfsignals auch kein Antwortsignal ausgegeben wird mit der Folge, daß damit auch die
Auflösung eines Ausfallsignals durch die Kontrolleinheit ausbleibt Ein Schaden an der Kontrolleinheit kann
bei dieser Einrichtung nicht signalisiert werden.
Gerade aber hei sicherheitsrelevanten Anwendungen,
bei denen die Gefährdung von Personen und Anlagen mit größtmögliche Wahrscheinlichkeit ausgeschlossen
werden muß, ist die rasche Erkennung aller der Ausfälle unverzichtbar, die nur durch zusätzliche
problemorientierte Hardware-Überwachung erreichbar ist
Der Erfindung liegt die Aufgbe zugrunde, ein Verfahren der eingangs genannten Art zu entwickeln, mit dem
unter möglichst geringem fertigungstechnischen Aufwand und geringer zeitlicher Belastung des Rechners
eine umfassende Überwachung des Rechners möglich ist
Die Aufgabe ist erfindungsgemäß durch ein Verfahren gemäß dem kennzeichnenden Teil des Anspruchs 1
gelöst
Mit dem erfindungsgemäßen Verfahren lassen sich die wesentlichen Funktionen eines Rechners bzw. eines
Mikrorechners periodisch überwachen, wobei beim Auftauchen eines Fehlers die zu überwachende Anlage
in eine Sicherheitsstellung gebracht werden kann. Dieses Verfahren ist außerdem universell anwendbar und
liefert den weiteren Vorteil, daß beliebige Selbsttest-
maßnahmen des Rechners durch ein effizientes Überwachungsverfahren
abgesichert wei^tn.
Über Quittungssignale erkennt der Rechner zudem aufgrund der volldynamischen Arbeitsweise der Kontrolleinheit
alle dort auftretenden Fehler, so d^ß bei
Ausschluß von unabhängigen Doppelfehlern ein fehlersichere:,
Überwachungssystem entsteht
Das digitale Prüfwort bedarf zu seiner Bildung nur eine sehr einfache Hardware, die aber einen gegenüber
herkömmlichen Watchdog-Schaltungen wesentlich er-
höhten Überwachungsumfang ermöglicht. Durch die dynamische Änderung des Prüfwortes sobald bestimmte
Bedingungen vorliegen, ist zusätzlich eine Überwachung dadurch geschaffen, daß der Einritt dieser Bedingungen
vom Rechner selbst erkannt werden muß.
Durch die dynamischen Änderungen des Prüfwortes sowie durch die Übereinstimmung der Wortlängen von
Kontrolleinheit und Rechner wird gegenüber herkömmlichen Watchdog-Schaltungen ein wesentlich erhöhter
Überwachungsumfang erreicht. In die einfache softwaremäßige Implementierung des Bildungsgesetzes
kar"> dadurch eine sehr effiziente Überwachung rechnerinterner
Speicherzellen eingeschlossen werden, weil praktisch alle möglichen Kombinationen vorkommen
und damit auch versteckte Fehler (dynamisches Übersprechen, Stuck-at- Fehler) aufgedeckt v, srden.
Durch den externen Vergleich der Prüfworte verminriprt
sich dip 7pitlirhe Rechnerhelastung gegenüber den
bekannten Selbsttestverfahren mindestens um einen Faktor 4. Ein hohes Sicherheitsniveau und eine rasche
Reaktion auf Fehlerzustände wird dadurch erreicht, daß die Eingriffe des Rechners auf den Prozeß jeweils nur
auf einem Vergleich der Kontroll- und Prüfsignale erfolgt
wobei Eingriffe bei fehlerfreiem Betrieb nur bei ÜDereinstimmung der Kontroll- und Prüfsignale wirksam
werden. Darni* wird verhindert, daß sirh Fehlfunktionen
des Rechners auf den Prozeß auswirken. Dies ermöglicht den Einsatz einkanaliger Rechnersysteme
auch bei sicherheitsrelavanten Prozeßanwendungen.
Das mit dem P: dfwort zu vergleichende Kontrollsignal kann vorzugsweise ein vom Rechner ausgegebenes Datenwort sein, das vorzugsweise innerhalb eines festgelegten periodisch wiederkehrenden Ze\tfensters ausgegeben werden muß. Dies ist ein wichtiges Kriterium für Rechneranwendungen mit Regelungs- und Simmulationsaufgaben unter Echtzeitanwendungen.
Das mit dem P: dfwort zu vergleichende Kontrollsignal kann vorzugsweise ein vom Rechner ausgegebenes Datenwort sein, das vorzugsweise innerhalb eines festgelegten periodisch wiederkehrenden Ze\tfensters ausgegeben werden muß. Dies ist ein wichtiges Kriterium für Rechneranwendungen mit Regelungs- und Simmulationsaufgaben unter Echtzeitanwendungen.
Die Erfindung erstreckt sich auf eine Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch 5. Eine
derartige Vorrichtung benötigt nur einen geringen
Hardware-Aufwand. Mit dem Ausgangsimpuls des Vergleichers
oder nachfolgender retriggerbarer Zeitglieder wird ein Speicherbaustein angesteuert derart, daß bei
ungleichen Eingangssignalen am Vergleicher, d. h. beim Auftauchen eines Fehlers, der Prozeß auf dem zuletzt
ausgegebenen fehlerfreien Zustand gehalten wird oder zwangsläufig in eine vorher festgelegte Sicherheitsstellung
(z. B. Abschalten) gebracht wird.
Mit einem nicht retriggerbaren Zeitgeber, der dem Vergleicher nachgeschaltet wird, kann ein kleines Zeitfenster
zur periodischen Kontrolle des Rechners geschaffen werden. Hierzu eignen sich insbesondere zwei
nicht retriggerbare Monoflops. von denen das erste Monoflop vom Vergleicher angesteuert wird und das durch
die fallende Flanke das zweite Monoflop triggert. Beim Abfallen des zweiten Monoflops wird ein Schiebetakt
für die Kontrolleinheit abgegeben, der nach einem festgelegten Bildungsgesetz das Prüfsigna! ändert.
Es ist von Vorteil, wenn ?ir>p vom Vprglpirher ansteuerbare
redundante Alarmeinheit vorgesehen ist, mit der der Fehler akustisch und/oder optisch erkennbar gemacht
werden kann.
Es ist vorteilhaft, wenn die Kontrolleinheit mit einem Pseudo-Zufallsgenerator ausgestattet ist, der das Prüfsignal
erzeugt und der mit einem vom Zeitgeber ausgegebenen Schiebetakt periodisch angesteuert wird. Die
Verwendung von Pseudo-Zufallszahlengeneratoren in Kontrollfunktionen ist beispielsweise zum Testen von
Schaltkreisen bekannt (US-PS 39 24 181). Es ist weiterhin vorteilhaft, wen die Rückkopplung des Pseudo-Zufallsgenerators
derart strukturiert ist, daß sich eine möglichst große Feriodendauer der Prüfsignalwiederholung
und eine möglichst umfassende Durchspielung aller möglichen Prüfsignalmuster ergibt.
Um einen Ausfall der Stromversorgung registrieren und weiterhin bestimmte Minimalfunktionen (z. B.
Alarmgabe) erfüllen zu können, ist die Kontrolleinheit mit einer vom Rechner unabhängigen Spannungsversorgung
versehen.
Ein Ausführungsbeispiel gemäß der Erfindung ist in der Zeichnung schematisch dargestellt
Ein Rechner bzw. Mikrorechner 10, Fig. 1, empfängt Signale 11 eines von ihm zu überwachenden Prozesses,
beispielsweise eines Regelsysstems 12 und greift wiederum über den Ausgang 13 in den Prozeß 12 ein, um
Optimierungen oder Umschaltungen im Prozeß durchzuführen. Insbesondere im Fall eines Fehlers im Regelsystem
12. den der Rechner 10 durch implementierte softwaremäßige Überwachungsfunktionen erkennt, ist
der Rechner in der Lage, durch den Ausgang 13 durch Aktivierung von Crsatzfunktionen (Redundanz) im Regelsystem
12 einen fehlerfreien Zustand wiederherzustellen oder durch Abschaitmaßnahmen das Regelsystem
12 stillzusetzen und damit den sicheren Zustand des Prozesses anzusteuern (Fail-Safe-Verhalten).
Die Funktionsfähigkeit des Rechners 10 wird wiederum mit einer Kontrolleinheit 15 überwacht. Mit einer
Alarmeinheit 16 werden schließlich etwaige Fehler signalisiert indem sie über den Eingang 17 vom Rechner
10 aufgrund einer Fehlerquelle im Reglersystem 12 bzw. in der Kontrolleinheit 15 über den Eingang 18 von der
Kontrolleinheit 15 aufgrund eines Fehlers im Rechner 10 bzw. in der Kontrolleinheit 15 angesteuert wird und
über eine Hupe 19 ein akustisches Alarmsignal abgibt
Für die Überwachung des Rechners 10 erzeugt dessen Mikroprozessor beim Ausgang 20 ein Kontrollsignal
in der Form eines Kontroll- oder Datenwortes von beispielsweise 8 bit Länge. Zugleich wird über den Ausgang
35 die Ausgabe des Kontrollsignals signalisiert. Mit einem in der Kontrolleinheit 15 enthaltenen Pseudozufalls-Zahlengenerator
22, im folgenden PRBS-Generator genannt (Pseudo-Rausch-Binär-Signal), wird
zum Kontrollsignal des Rechners 10 ein Prüfsignal in der Form eines Prüf- bzw. Testwortes von gleicher Länge
des Datenwortes erzeugt, das über den Datenbus 23 ausgegeben wird. Das Prüfwort und das Kontrollwort
werden in einem Vergleicher 25 verglichen. Der Ausgang 26 des Vergleichers 25 liefert bei vollständiger
Übereinstimmung der beiden Wörter bei gleichzeitiger Aktivierung des Ausganges 35 einen Triggerimpuls für
ein nicht retriggerbares Monoflop 27, das seinerseits wiederum nach Ablauf einer Zeitspanne /„,„, durch die
fallende Impulsflanke ein ebenfalls nicht retriggerbares Monoflop 28 triggert. Nach Ablauf einer Zeit /,·,>»; fällt
das Monoflop 28 ebenfalls ab und liefert damit dem PRBS-Generator 22 einen Schiebetakt 30.
Bei fehlerfreiem Betrieb des Rechners 10 gibt der Rechner 10 gemäß dem Zeitdiagramm in Fig.2 zu einem
Prüfwort, beispielsweise »Ar+1«, innerhalb des
Zeitfensters trm, ein Kontrollwort »k + 1« aus.
Damit startet der Vergleicher 25 das Monoflop 27. Nach der Zeit tmm fällt das Monoflop 27 ab und startet
das in der Zwischenzeit abgefallene Monoflop 28 zur Bestimmung des nächsten Zeitfensters, innerhalb dessen
das nächste Kontrollwort fallen muß. Das neue Prüfwort »£<-2« wurde in der Zwischenzeit beim Abfallen
des Monoflops 28 durch den dabei erzeugten Schiebetakt 30 gebildet. Gleichzeitig wird die Funktion des Monoflops
27 durch eine Quittungsleitung 31 dynamisch an den Rechner rückgemeldet.
Wird nun aber durch einen Defekt des Rechners 10 das folgende Kontrollwort »Ar+ 2« nicht innerhalb des
Zeitfensters ausgegeben, dann wird das erste Monoflop 27 nicht gestartet, so daß nach dem Abfallen des zweiten
Monoflops 28 beide Monoflops 27 und 28 abgefallen sind und damit über ein NOR-Gatter 32 und dem Eingang
18 die Alarmeinheit 16 angesteuert wird.
In gleicher Weise wird ein Fehler in der Kontrolleinheit
15 registriert und gemeldet, indem durch Ausfall eines oder beider Monoflops das NOR-Gatter 32 direkt
angesteuert wird oder bei defektem PRBS-Generator 22 der Vergleicher 25 infolge eines falschen Prüfwortes
keinen Triggerimpuls ausgibt. AuJ diese Weise ergibt sich ein teilweise fehlersicheres Überwachungssystem
für den Rechner, weil sich Ausfälle in der Kontrolleinheit 15 selbst aufdecken.
Besondere softwaregestützte Maßnahmen zur Aufdeckung verdeckter Fehlermöglichkeiten in der Kontrolleinheit 15 sind dadurch möglich, daß der RecLier 10 falsche Kontrollworte oder falsche Signale 35 ausgibt und die Reaktion der Kontrolleinheit 15 durch Auswertung des Signals 31 auf Richtigkeit überprüft. Im Fehlerfall ist der Rechner η der Lage, über den Eingang 17 der Alarmeinheit eine Alarmmeldung abzugeben.
Besondere softwaregestützte Maßnahmen zur Aufdeckung verdeckter Fehlermöglichkeiten in der Kontrolleinheit 15 sind dadurch möglich, daß der RecLier 10 falsche Kontrollworte oder falsche Signale 35 ausgibt und die Reaktion der Kontrolleinheit 15 durch Auswertung des Signals 31 auf Richtigkeit überprüft. Im Fehlerfall ist der Rechner η der Lage, über den Eingang 17 der Alarmeinheit eine Alarmmeldung abzugeben.
Der Alarm wird, wie im Zeitdiagramm, F i g. 2, gezeigt ist, auch ausgelöst wenn der Rechner 10 zwar periodisch
richtige Datenwörter ausgibt jedoch in einem zu großen Zeitintervall. Desgleichen geschieht gemäß
Fi g. 3. wenn die Meldezeit des Rechners 10 unterschritten
wird.
Die Auswirkung von Ausgangssignalen 36 des Rechners 10 auf das Regelsystem 12 wird durch Einschalten
eines Speichergliedes 37 verzögert Durch Ausgabe eines neuen richtigen Kontrollwortes und Triggerung des
Zeitgebers 27 wird die Funktionsfähigkeit des Rechners 10 und damit die Gültigkeit des Ausgangssignals 36 be-
stätigt, welches das Speicherglied 37 nach Triggerung durch das Quitlungssignal 31 auf seinen Ausgang 13
übernimmt und für den Prozeß wirksam werden läßt.
Die Alarmeinhäit 16 und das NOR-Gatter 32, die
nicht im Sclbstüberwachungssystem eingeschlossen sind, sind entweder dynamisch fehlersicher ausgebaut,
doppelt ausgeführt oder können in regelmäßigen Abstand,^
getestet werden. Letzteres kann mit Hilfe des , Rechners im Rahmen seines Selbsttestes durchgeführt
ä werden, indem das Datenwort verspätet ausgegeben wird und damit ein kurzer Alarm-»Piep$« gesendet
wird. Die Funktionsfähigkeit des NOR-Gatters 32 und der Alarmeinheit 16 wird vom Rechner 10 durch eine
Abfrage der Alarmmeldeleitung 34 überprüft, die z. B. an einen akustischen Alarmdetektor 33 angeschlossen
ist.
Das Bildungsgesetz des Testwortes muß im Rechner über eine rekursive Beziehung gebildet werden:
bffl = AJ" ig™ »(i
10
15
20
Im Laufe einer Periode von 255 Schiebeschritten werden
alle Kombinationen bis auf den unerlaubten Zustand 00000000 durchgespielt, so daß auch auf bestimmten
Bitkombinationen beruhende Fehler erkannt werden können.
Weiterhin können beliebige zusätzliche Operationen (Arithmetik-, Transfer-, Vergleichsbefehle) durchgeführt
werden, die durch andere Operationen wieder rückgängig gemacht werden. Damit ergibt sich als weiterer
Vorteil, daß der Grad der Redundanz durch die Software bestimmt wird und damit leicht den Erfordernissen
und Möglichkeiten, wie Zeitbedingungen und Sicherheitsniveau angepaßt werden kann.
Werden die einzelnen Befehle über das Anwenderprogramm verteilt, so hat man damit eine unabhängige
Möglichkeit, den korrekten Ablauf linear oder definiert verzweigter Programmschleifen zu überprüfen. Dieser
Fall wird bei Regelungsproblemen oft angetroffen.
Um die Funktionsfähigkeit von Programmteilen, die während des ungestörten Betriebs nicht benutzt werden,
wie Alarmbearbeitung sicherzustellen, muß in bestimmten Zeitabständen ein Selbsttest mit Überprüfung
des Inhaltes des Programmspeichers durchgeführt werden. Die Durchführung sowie das Ergebnis des Selbsttests
kann von der wortorientierten Überwachungseinheit überwacht werden.
Hierzu 3 Blatt Zeichnungen
50
60
65
Claims (9)
1. Verfahren zur Funktionsprüfung von digitalen Rechnern zur Steuerung, Regelung und/oder zur
Überwachung von Prozessen, bei dem in einer Kontrolleinheit Prüfsignale und im Rechner Kontrollsignale
gebildet werden, die miteinander verglichen werden und bei Nichtübereinstimmung der Signale
oder nichtzeitgemäßer Ausgabe eines Signals einen fehlerhaften Zustand des Rechners angezeigt und
ein Signal ausgegeben wird, um die Auwirkung des fehlerhaften Zustandes auf den Prozeß zu verhindern
und/oder eine Alarmgabe zu bewirken, und/ oder den Prozeß in den sicheren Zustand zu überführen,
dadurch gekennzeichnet, daß das Prüfsignal ein digitales Prüfwort, vorzugsweise in
der Verarbeitungsbreite des Rechners ist, das nach einem vorbestimmten, festgelegten Bildungsgesetz
dynamisch geändert wird, daß ein Bildungsgesetz zur Erzeuguag von dem Prüfsignal identischen Kontrollsignalen
softwaremäßig implementiert wird, und daß bei Ungleichheit der so gebildeten Signale innerhalb
eines vorbestimmten Zeitfensters auf den Rechner oder auf den Prozeß eingewirkt wird, ferner
daß das Bildungsgesetz derart realisiert ist, daß bei seiner Bearbeitung sicherheitsrelevante Funktionen
und Funktionsgruppen des Rechners benutzt werden.
2. Verfahren nach Anspruch 1. dadurch gekennzeichnet,
da"? der Rechner jeweils nach dem Vergleich der Kontroll- und Prüfsignale auf den Prozeß
einwirkt
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die zeitliche Überwachung innerhalb
eines festgelegten, periodisch wiederkehrenden Zeitfensters erfolgt.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Rechner (10) ein
falsches Kontrollwort (20) ausgibt, um die Funktionsfähigkeit der Kontrolleinheit (15) anhand der
Quittungsleitung (31) zu überprüfen und im Fehlerfall über den Eingang (17) der Alarmeinheit (16) einen
Alarm abzugeben.
5. Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch 1, mit einer Kontrolleinheit und
einem Vergleicher, dadurch gekennzeichnet. Haß Her
Vergleicher (25) in der Kontrolleinheit (15) enthalten ist und daß dem Vergleicher (25) mindestens ein,
vorzugsweise zwei retriggerbare Zeitgeber (27, 28) so nachgeschaltet sind, die ein Zeitfenster vorgeben.
6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, daß eine von den Zeitgebern (27,
28) ansteuerbare Alarmeinheit (16) vorgesehen ist.
7. Vorrichtung nach einem der Ansprüche 5 oder 6, dadurch gekennzeichnet, daß die Kontrolleinheit
(15) einen Pseudo-Zufallszahlengenerator (22) enthält, der das Prüfsignal erzeugt.
8. Vorrichtung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, daß die Spannungsversorgung
der Kontrolleinheit (15) von der Spannungsversorgung des Rechners (10) unabhängig
ist.
9. Vorrichtung nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, daß ein Speicherglied (37)
vorgesehen ist, das Ausgangssignale (36) des Rechners (10) erst dann auf seinen Ausgang (13) übernimmt,
wenn eine Quittungsleitung (31) die Ausgabe des richtigen Kontrollsignals (20) anzeigt.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE3225712A DE3225712C2 (de) | 1982-07-09 | 1982-07-09 | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
IT8348644A IT1171846B (it) | 1982-07-09 | 1983-07-07 | Metodo e dispositivo per la prova di funzionamento di calcolatori |
JP58125362A JPH0644244B2 (ja) | 1982-07-09 | 1983-07-09 | 計算機の動作試験方法および動作試験装置 |
US06/512,033 US4627057A (en) | 1982-07-09 | 1983-08-05 | Method and arrangement for the functional testing of computers |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE3225712A DE3225712C2 (de) | 1982-07-09 | 1982-07-09 | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
Publications (2)
Publication Number | Publication Date |
---|---|
DE3225712A1 DE3225712A1 (de) | 1984-01-12 |
DE3225712C2 true DE3225712C2 (de) | 1985-04-11 |
Family
ID=6168037
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE3225712A Expired DE3225712C2 (de) | 1982-07-09 | 1982-07-09 | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
Country Status (4)
Country | Link |
---|---|
US (1) | US4627057A (de) |
JP (1) | JPH0644244B2 (de) |
DE (1) | DE3225712C2 (de) |
IT (1) | IT1171846B (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3700426A1 (de) * | 1986-01-13 | 1987-07-16 | Oki Electric Ind Co Ltd | Ueberwachungszeitgeber |
DE4219433A1 (de) * | 1992-06-13 | 1993-12-16 | Man Technologie Gmbh | Verfahren zur Steuerung eines rechnerunterstützten Prozeßsteuerungssystems |
DE19511842A1 (de) * | 1995-03-31 | 1996-10-02 | Teves Gmbh Alfred | Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4649537A (en) * | 1984-10-22 | 1987-03-10 | Westinghouse Electric Corp. | Random pattern lock and key fault detection scheme for microprocessor systems |
DE3502387A1 (de) * | 1985-01-25 | 1986-07-31 | Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn | Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen |
DK190785A (da) * | 1985-04-29 | 1986-10-30 | Nordiske Kabel Traad | Fremgangsmaade til overvaagning af en databehandlingsenhed, samt anlaegtil udoevelse af fremgangsmaaden |
JPH0752071B2 (ja) * | 1989-01-19 | 1995-06-05 | 新技術事業団 | 真空熱処理炉 |
US6816872B1 (en) | 1990-04-26 | 2004-11-09 | Timespring Software Corporation | Apparatus and method for reconstructing a file from a difference signature and an original file |
US5910958A (en) * | 1991-08-14 | 1999-06-08 | Vlsi Technology, Inc. | Automatic generation of test vectors for sequential circuits |
JPH0662434U (ja) * | 1991-10-30 | 1994-09-02 | 京三電子株式会社 | マットスイッチ |
US7412640B2 (en) * | 2003-08-28 | 2008-08-12 | International Business Machines Corporation | Self-synchronizing pseudorandom bit sequence checker |
KR100587233B1 (ko) * | 2004-06-14 | 2006-06-08 | 삼성전자주식회사 | 반도체 메모리소자의 번인테스트 방법 |
DE102010026694A1 (de) * | 2010-07-06 | 2012-01-12 | Siemens Aktiengesellschaft | Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3582633A (en) * | 1968-02-20 | 1971-06-01 | Lockheed Aircraft Corp | Method and apparatus for fault detection in a logic circuit |
US3924181A (en) * | 1973-10-16 | 1975-12-02 | Hughes Aircraft Co | Test circuitry employing a cyclic code generator |
US3931506A (en) * | 1974-12-30 | 1976-01-06 | Zehntel, Inc. | Programmable tester |
JPS5290243A (en) * | 1976-01-23 | 1977-07-29 | Mitsubishi Electric Corp | Trouble diagnosing unit of digital processing unit |
JPS5354438A (en) * | 1976-10-28 | 1978-05-17 | Toshiba Corp | On-line power control system |
US4108359A (en) * | 1977-03-30 | 1978-08-22 | The United States Of America As Represented By The Secretary Of The Army | Apparatus for verifying the execution of a sequence of coded instructions |
JPS5420636A (en) * | 1977-07-15 | 1979-02-16 | Mitsubishi Electric Corp | Computer |
JPS5537780A (en) * | 1978-09-08 | 1980-03-15 | Matsushita Electric Ind Co Ltd | Floor heater unit |
DE2841073A1 (de) * | 1978-09-21 | 1980-04-03 | Ruhrtal Gmbh | Schaltungsanordnung zur verarbeitung von elektrisch dargestellten informationen |
IT1117593B (it) * | 1979-01-24 | 1986-02-17 | Cselt Centro Studi Lab Telecom | Sistema di aotodiagnosi per una apparecchiatura di controllo gestita da elaboratore |
US4251885A (en) * | 1979-03-09 | 1981-02-17 | International Business Machines Corporation | Checking programmed controller operation |
JPS6032217B2 (ja) * | 1979-04-02 | 1985-07-26 | 日産自動車株式会社 | 制御用コンピュ−タのフェィルセ−フ装置 |
FR2474226B1 (fr) * | 1980-01-22 | 1985-10-11 | Thomson Csf | Dispositif de test pour enregistreur numerique multipiste |
GB2070300B (en) * | 1980-02-27 | 1984-01-25 | Racal Automation Ltd | Electrical testing apparatus and methods |
US4468768A (en) * | 1981-10-26 | 1984-08-28 | Owens-Corning Fiberglas Corporation | Self-testing computer monitor |
-
1982
- 1982-07-09 DE DE3225712A patent/DE3225712C2/de not_active Expired
-
1983
- 1983-07-07 IT IT8348644A patent/IT1171846B/it active
- 1983-07-09 JP JP58125362A patent/JPH0644244B2/ja not_active Expired - Lifetime
- 1983-08-05 US US06/512,033 patent/US4627057A/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3700426A1 (de) * | 1986-01-13 | 1987-07-16 | Oki Electric Ind Co Ltd | Ueberwachungszeitgeber |
DE4219433A1 (de) * | 1992-06-13 | 1993-12-16 | Man Technologie Gmbh | Verfahren zur Steuerung eines rechnerunterstützten Prozeßsteuerungssystems |
DE19511842A1 (de) * | 1995-03-31 | 1996-10-02 | Teves Gmbh Alfred | Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung |
Also Published As
Publication number | Publication date |
---|---|
IT8348644A0 (it) | 1983-07-07 |
US4627057A (en) | 1986-12-02 |
JPS5924353A (ja) | 1984-02-08 |
JPH0644244B2 (ja) | 1994-06-08 |
IT1171846B (it) | 1987-06-10 |
DE3225712A1 (de) | 1984-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3700986C2 (de) | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug | |
DE3225712C2 (de) | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern | |
EP0972388B1 (de) | Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems | |
DE2735397C2 (de) | Überwachungseinrichtung für eine programmgesteuerte Maschine | |
DE102005055428B4 (de) | Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem | |
EP0186724B1 (de) | Prüf- und Diagnoseeinrichtung für Digitalrechner | |
DE2312707A1 (de) | Pruefanordnung fuer einen computer | |
DE102011112174B4 (de) | Vorrichtung und Verfahren zum Schutz und zur zerstörungsfreien Prüfung sicherheitsrelevanter Register | |
DE2258917B2 (de) | Regelvorrichtung mit mindestens zwei parallelen signalkanaelen | |
DE602004013244T2 (de) | Hochgeschwindigkeitssynchronisation in einer doppelrechnerbasierten Sicherheitssteuerung | |
DE2210325A1 (de) | Datenverarbeitungssystem | |
EP0799143B1 (de) | Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung | |
WO1998040796A1 (de) | Verfahren zur rechnergestützten fehleranalyse von sensoren und/oder aktoren in einem technischen system | |
CH654425A5 (en) | Redundant control arrangement | |
EP1639465A2 (de) | Verfahren zur überwachung des programmlaufs in einem mikro-computer | |
DE19847986C2 (de) | Einzelprozessorsystem | |
EP0907919B1 (de) | Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren | |
DE3938501A1 (de) | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens | |
DE3726489C2 (de) | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug | |
EP1359485A1 (de) | Steuer- und Überwachungssystem | |
DE4330940A1 (de) | Verfahren zum Überwachen einer programmgesteuerten Schaltung | |
DE10347196B4 (de) | Vorrichtung zur Überprüfung einer Schnittstelle | |
DE3606518A1 (de) | Verfahren zur erfassung und meldung von fehlern und ursachen fuer stoerungen im ablauf von durch automatisierungsmittel gesteuerten oder geregelten prozessen | |
DE3739227C2 (de) | ||
DE19805819B4 (de) | Verfahren zur Überwachung von integrierten Schaltkreisen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: M A N TECHNOLOGIE GMBH, 8000 MUENCHEN, DE |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: MAN TECHNOLOGIE AG, 8000 MUENCHEN, DE |
|
8339 | Ceased/non-payment of the annual fee |