DE3225712C2 - Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern - Google Patents

Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern

Info

Publication number
DE3225712C2
DE3225712C2 DE3225712A DE3225712A DE3225712C2 DE 3225712 C2 DE3225712 C2 DE 3225712C2 DE 3225712 A DE3225712 A DE 3225712A DE 3225712 A DE3225712 A DE 3225712A DE 3225712 C2 DE3225712 C2 DE 3225712C2
Authority
DE
Germany
Prior art keywords
computer
control unit
control
signals
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE3225712A
Other languages
English (en)
Other versions
DE3225712A1 (de
Inventor
Wolfram Dipl.-Ing. 8000 Muenchen Poettig
Alfred Dipl.-Ing. Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MT Aerospace AG
Original Assignee
MAN Maschinenfabrik Augsburg Nuernberg AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MAN Maschinenfabrik Augsburg Nuernberg AG filed Critical MAN Maschinenfabrik Augsburg Nuernberg AG
Priority to DE3225712A priority Critical patent/DE3225712C2/de
Priority to IT8348644A priority patent/IT1171846B/it
Priority to JP58125362A priority patent/JPH0644244B2/ja
Priority to US06/512,033 priority patent/US4627057A/en
Publication of DE3225712A1 publication Critical patent/DE3225712A1/de
Application granted granted Critical
Publication of DE3225712C2 publication Critical patent/DE3225712C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3183Generation of test inputs, e.g. test vectors, patterns or sequences
    • G01R31/318385Random or pseudo-random test pattern
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/273Tester hardware, i.e. output processing circuits
    • G06F11/277Tester hardware, i.e. output processing circuits with comparison between actual response and known fault-free response

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

Verfahren und Vorrichtung zur Funktionsprüfung von Rechnern zur Steuerung von Prozessen. Ein vom Rechner (10) erzeugtes Datenwort-Signal wird mit einem von einem Pseudozufalls-Zahlengenerator (22) erzeugten Testwort gleicher Bitlänge in einem Vergleicher (25) verglichen. Bei vollständiger Übereinstimmung der beiden Worte gibt der Vergleicher einen Triggerimpuls zwei ein Zeitfenster vorgebende nicht retriggerbare Monoflops (27, 28) aus, deren Funktion durch eine Quittungsleitung (31) dynamisch an den Rechner rückgemeldet wird und die nach Ablauf der Fensterzeit einen Schiebetakt für den Pseudozufalls-Zahlengenerator liefert. Beim Auftauchen eines Fehlers im Rechner oder in der Kontrolleinheit wird über ein NOR-Gatter (32) eine Alarmeinheit (16) eingeschaltet und der Prozeß in einen definierten sicheren Zustand überführt. Alle Fehler in der Kontrolleinheit selbst können vom Rechner über Quittungsleitungen (31, 34) erkannt werden.

Description

Die Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Funktionsprüfung von digitalen Rechnern zur Steuerung, Regelung und/oder Überwachung von Prozessen, bei dem in einer Kontrolleinheit Prüfsignale und im Rechntr Kontrollsignale gebildet werden, die miteinander verglichen werden und bei Nichtübereinstimmung der Signale oder nicht zeitgemäßer Ausgabe eines Signals ein fehlerhafter Zustand des Rechners angezeigt und ein Signal ausgegeben wird, um die Auswirkung des fehlerhaften Zustandes auf den Prozeß zu verhindern und/oder eine Alarmgabe zu bewirken, und/ oder den Prozeß in den sicheren Zustand zu überführen.
Mikrorechnerunterstützte Steuer- und Regelsysteme werden immer mehr auf Gebieten angewendet, an die höhere Sicherheitsanforderungen gestellt werden.
Dabei handelt es sich immer mehr um Prozesse, bei denen man den Prozeß nach einem Fehlerfal! aus Sicherheitsgründen nicht unmittelbar abschalten darf oder aus Verfügbarkeitsgründen nicht abschalten will. Diese Aufgabe wird im allgemeinen durch Einsatz redundanter Regelung- und Steuersysteme gelöst. Das sind Systeme mit zwei oder mehreren unabhängigen Funktionskanälen, die Regelungs- oder Steuerungsaufgaben erfüllen und einem Mikrorechner, wobei der Mikrorechner die Umschaltsteuerung, die Überwachung und die Fehlerlokalisierung in den Funktionskanälen übernimmt.
Das Sicherheitskonzept geht davon aus, daß der Rechner, solange er fehlerfrei arbeitet. Fehler in den Regelkanälen erkennen und durch richtige Reaktion die zu regelnde Anlage in den sicheren Zustand bringen kann. Die Funktionssicherheit jedoch hängt hierbei letztlich noch von möglichen Fehlerquellen des Rechners ab. Die Störungen eines Rechners können zeitlich begrenzt (z. B. Netzstörungen, Übersprechen) oder bleibend (z. B. Bauteilausfall) sein. Typische Fehlerwirkungen können sich ergeben durch Stehenbleiben des Rechners (Ausfall des Systemtakts); wenn der Rechner in einer Endlosschleife läuft; durch Datenfehler, insbesondere dynamische, abhängig von bestimmten Bitkombinationen: durch defekte Arithmetikeinheit, wodurch Befehle (z. B. Vergleiche) nicht mehr richtig durchgeführt werden; duivh Veränderungen in der Software, auch in der Softwareredundanz, durch defekte Programmspeicher.
Mit zwei oder mehr Rechnern (Multiprozessorsysteme), die sich gegenseitig überwachen, könnte die Funktionssicherheit erhöht werden, jedoch nur unter großem Aufwand, weil zum Ausschluß systematischer Fehler im allgemeinen diversitäre Hard- und Software erforderlich sind (Aufsatz von Knörnschild. RTP Regelungstechnische Praxis 23.1981. Heft 8, Seite 268 ff).
Bei allgemeinen Anwendungen wird jedoch der Zustand des angeschlossenen Prozesses außer durch logische Zustande (z. B. Sehalterstellungen, Grenzwertmelder) auch durch kontinuierliche Größen beschrieben. Diese Tatsache schränkt die Anwendbarkeit eines Mehrprozeßsystems weiterhin ein, weil sich die Übereinstimmung mehrerer Rechner nicht durch triviale Vergleiche auf Bitmusterebene überprüfen läßt, sondern nur durch umfangreiche, zusätzliche Softwareprozeduren.
Leichter beherrschbar und sowohl vun den Kntwicklungsals auch von den Fertigungskosten her günstiger ist ein Einzelrechner, der aus Gründen der Fehlersicherheit mit einer Kontrolleinheit gekoppelt ist. Ein einfaches, dazu üblicherweise verwendetes Verfahren (vorgenannter Aufsatz in RTP 81, Seite 273) beruht auf dem Watchdog (»Wachhund«) oder Watchdog-Timer, der vom Rechner innerhalb eines periodischen Zeitfensters eine immer gleichbleibende Meldung erwartet Wenn infolge eines Fehlers eine Meldung ausbleibt oder später als zum vorgesehenen Zeitpunkt erscheint, gibt der Watchdog-Timer Alarm oder schaltet ab. Damit kann jedoch im allgemeinen nur geprüft werden, ob der Rechner überhaupt noch arbeitet nicht jedoch ob er in wesentlichen Funktionen korrekt arbeitet und sicherheitsrelevante Befehle richtig ausführt So können in der Regel durch Watchdog-Schaltungen mit retriggerbaren Kippstuftn die ersten beiden der vorstehenden Fehlerfälle erkannt werden (Ausbleiben eines Life-Signals). Jedoch versagt diese Einrichtung bei den übrigen Fehlermöglichkeiten bzw. erkennt sie nur Mit ausreichender Wahrscheinlichkeit Zusätzlich bleibt bei der meisten Kontrollschaltungen dieser Art ein Ausfall der Schaltung selbst unbemerkt
Zur Prüfung von relevanten Befehlen eines Rechners ist ein Mikroprozessor-Selbsttestverfahren aus der Zeitschrift »Elektronische Rechenanlagen, 20. Jahrgang 1978, Heft 4, Seite 187 ff« bekannt. Der Test stellt eine Befehlsabfolge dar, die alle Befehle mit jeweils typischen Daten berührt wobei jeder Befehl ein oder gleichzeitig mehrere Module anspricht. Nur bei korrekter Funktion des Rechners führt die Befehlsfolge zu einer bestimmten Adresse unter Ausgabe eines definierten Datenwortes. Zur Durchführung des Selbsttestes wird jedoch der Rechner zeitlich stark beansprucht, weil er nicht nur ein Ergebnis berechnen, sondern nachrechnen und vergleichen muß. Außerdem ist das bekannte Testverfahren nicht parallel zum Betrieb des Rechners während eines Steuervorganges oder dergleichen durchführba
Aus der DE-OS 30 12 425 ist eine Rechnerüberwachung bekannt, die parallel zum Betrieb des Rechners möglich ist, bei der der Mikroprozessor ein Prüfsignal mit einem ersten Pegel ausgibt, das nach einer bestimmten Zeit auf einen zweiten Pegel verändert wird. Bei einer Überschreitung der Zeitd.iuer, während der rjac Prüfsignal auf Hpm prstpn pHpr Hpm 7wpitpn PpiJpl gehalten wird, wird eine Fehleranzeige signalisiert. Dieses erfolgt mittels einer Auflade- und Entladeeinrichtung und einer Vergleichaainrichtung, wodurch die Fehlererkennung nicht in der Geschwindigkeit, wie sie für manche Stcuerprozesse gefordert wird, durchführbar ist.
Aus der DR-OS 28 41 073 ist eine Einrichtung mit einem Rechner und einer Kontrolleinheit bekannt bei dem der Rechner Wortsignale ausgibt, die aufgrund von der Kontrolleinheit erzeugten Prüfsignale gebildet und wiederum von der Kontrolleinheit ausgewertet werden. Diese Informationsschleife hat den Nachteil, daß beim Ausbleiben eines Prüfsignals auch kein Antwortsignal ausgegeben wird mit der Folge, daß damit auch die Auflösung eines Ausfallsignals durch die Kontrolleinheit ausbleibt Ein Schaden an der Kontrolleinheit kann bei dieser Einrichtung nicht signalisiert werden.
Gerade aber hei sicherheitsrelevanten Anwendungen, bei denen die Gefährdung von Personen und Anlagen mit größtmögliche Wahrscheinlichkeit ausgeschlossen werden muß, ist die rasche Erkennung aller der Ausfälle unverzichtbar, die nur durch zusätzliche problemorientierte Hardware-Überwachung erreichbar ist
Der Erfindung liegt die Aufgbe zugrunde, ein Verfahren der eingangs genannten Art zu entwickeln, mit dem unter möglichst geringem fertigungstechnischen Aufwand und geringer zeitlicher Belastung des Rechners eine umfassende Überwachung des Rechners möglich ist
Die Aufgabe ist erfindungsgemäß durch ein Verfahren gemäß dem kennzeichnenden Teil des Anspruchs 1 gelöst
Mit dem erfindungsgemäßen Verfahren lassen sich die wesentlichen Funktionen eines Rechners bzw. eines Mikrorechners periodisch überwachen, wobei beim Auftauchen eines Fehlers die zu überwachende Anlage in eine Sicherheitsstellung gebracht werden kann. Dieses Verfahren ist außerdem universell anwendbar und liefert den weiteren Vorteil, daß beliebige Selbsttest-
maßnahmen des Rechners durch ein effizientes Überwachungsverfahren abgesichert wei^tn.
Über Quittungssignale erkennt der Rechner zudem aufgrund der volldynamischen Arbeitsweise der Kontrolleinheit alle dort auftretenden Fehler, so d^ß bei Ausschluß von unabhängigen Doppelfehlern ein fehlersichere:, Überwachungssystem entsteht
Das digitale Prüfwort bedarf zu seiner Bildung nur eine sehr einfache Hardware, die aber einen gegenüber herkömmlichen Watchdog-Schaltungen wesentlich er-
höhten Überwachungsumfang ermöglicht. Durch die dynamische Änderung des Prüfwortes sobald bestimmte Bedingungen vorliegen, ist zusätzlich eine Überwachung dadurch geschaffen, daß der Einritt dieser Bedingungen vom Rechner selbst erkannt werden muß.
Durch die dynamischen Änderungen des Prüfwortes sowie durch die Übereinstimmung der Wortlängen von Kontrolleinheit und Rechner wird gegenüber herkömmlichen Watchdog-Schaltungen ein wesentlich erhöhter Überwachungsumfang erreicht. In die einfache softwaremäßige Implementierung des Bildungsgesetzes kar"> dadurch eine sehr effiziente Überwachung rechnerinterner Speicherzellen eingeschlossen werden, weil praktisch alle möglichen Kombinationen vorkommen und damit auch versteckte Fehler (dynamisches Übersprechen, Stuck-at- Fehler) aufgedeckt v, srden.
Durch den externen Vergleich der Prüfworte verminriprt sich dip 7pitlirhe Rechnerhelastung gegenüber den bekannten Selbsttestverfahren mindestens um einen Faktor 4. Ein hohes Sicherheitsniveau und eine rasche Reaktion auf Fehlerzustände wird dadurch erreicht, daß die Eingriffe des Rechners auf den Prozeß jeweils nur auf einem Vergleich der Kontroll- und Prüfsignale erfolgt wobei Eingriffe bei fehlerfreiem Betrieb nur bei ÜDereinstimmung der Kontroll- und Prüfsignale wirksam werden. Darni* wird verhindert, daß sirh Fehlfunktionen des Rechners auf den Prozeß auswirken. Dies ermöglicht den Einsatz einkanaliger Rechnersysteme auch bei sicherheitsrelavanten Prozeßanwendungen.
Das mit dem P: dfwort zu vergleichende Kontrollsignal kann vorzugsweise ein vom Rechner ausgegebenes Datenwort sein, das vorzugsweise innerhalb eines festgelegten periodisch wiederkehrenden Ze\tfensters ausgegeben werden muß. Dies ist ein wichtiges Kriterium für Rechneranwendungen mit Regelungs- und Simmulationsaufgaben unter Echtzeitanwendungen.
Die Erfindung erstreckt sich auf eine Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch 5. Eine derartige Vorrichtung benötigt nur einen geringen
Hardware-Aufwand. Mit dem Ausgangsimpuls des Vergleichers oder nachfolgender retriggerbarer Zeitglieder wird ein Speicherbaustein angesteuert derart, daß bei ungleichen Eingangssignalen am Vergleicher, d. h. beim Auftauchen eines Fehlers, der Prozeß auf dem zuletzt ausgegebenen fehlerfreien Zustand gehalten wird oder zwangsläufig in eine vorher festgelegte Sicherheitsstellung (z. B. Abschalten) gebracht wird.
Mit einem nicht retriggerbaren Zeitgeber, der dem Vergleicher nachgeschaltet wird, kann ein kleines Zeitfenster zur periodischen Kontrolle des Rechners geschaffen werden. Hierzu eignen sich insbesondere zwei nicht retriggerbare Monoflops. von denen das erste Monoflop vom Vergleicher angesteuert wird und das durch die fallende Flanke das zweite Monoflop triggert. Beim Abfallen des zweiten Monoflops wird ein Schiebetakt für die Kontrolleinheit abgegeben, der nach einem festgelegten Bildungsgesetz das Prüfsigna! ändert.
Es ist von Vorteil, wenn ?ir>p vom Vprglpirher ansteuerbare redundante Alarmeinheit vorgesehen ist, mit der der Fehler akustisch und/oder optisch erkennbar gemacht werden kann.
Es ist vorteilhaft, wenn die Kontrolleinheit mit einem Pseudo-Zufallsgenerator ausgestattet ist, der das Prüfsignal erzeugt und der mit einem vom Zeitgeber ausgegebenen Schiebetakt periodisch angesteuert wird. Die Verwendung von Pseudo-Zufallszahlengeneratoren in Kontrollfunktionen ist beispielsweise zum Testen von Schaltkreisen bekannt (US-PS 39 24 181). Es ist weiterhin vorteilhaft, wen die Rückkopplung des Pseudo-Zufallsgenerators derart strukturiert ist, daß sich eine möglichst große Feriodendauer der Prüfsignalwiederholung und eine möglichst umfassende Durchspielung aller möglichen Prüfsignalmuster ergibt.
Um einen Ausfall der Stromversorgung registrieren und weiterhin bestimmte Minimalfunktionen (z. B. Alarmgabe) erfüllen zu können, ist die Kontrolleinheit mit einer vom Rechner unabhängigen Spannungsversorgung versehen.
Ein Ausführungsbeispiel gemäß der Erfindung ist in der Zeichnung schematisch dargestellt
Ein Rechner bzw. Mikrorechner 10, Fig. 1, empfängt Signale 11 eines von ihm zu überwachenden Prozesses, beispielsweise eines Regelsysstems 12 und greift wiederum über den Ausgang 13 in den Prozeß 12 ein, um Optimierungen oder Umschaltungen im Prozeß durchzuführen. Insbesondere im Fall eines Fehlers im Regelsystem 12. den der Rechner 10 durch implementierte softwaremäßige Überwachungsfunktionen erkennt, ist der Rechner in der Lage, durch den Ausgang 13 durch Aktivierung von Crsatzfunktionen (Redundanz) im Regelsystem 12 einen fehlerfreien Zustand wiederherzustellen oder durch Abschaitmaßnahmen das Regelsystem 12 stillzusetzen und damit den sicheren Zustand des Prozesses anzusteuern (Fail-Safe-Verhalten).
Die Funktionsfähigkeit des Rechners 10 wird wiederum mit einer Kontrolleinheit 15 überwacht. Mit einer Alarmeinheit 16 werden schließlich etwaige Fehler signalisiert indem sie über den Eingang 17 vom Rechner 10 aufgrund einer Fehlerquelle im Reglersystem 12 bzw. in der Kontrolleinheit 15 über den Eingang 18 von der Kontrolleinheit 15 aufgrund eines Fehlers im Rechner 10 bzw. in der Kontrolleinheit 15 angesteuert wird und über eine Hupe 19 ein akustisches Alarmsignal abgibt
Für die Überwachung des Rechners 10 erzeugt dessen Mikroprozessor beim Ausgang 20 ein Kontrollsignal in der Form eines Kontroll- oder Datenwortes von beispielsweise 8 bit Länge. Zugleich wird über den Ausgang 35 die Ausgabe des Kontrollsignals signalisiert. Mit einem in der Kontrolleinheit 15 enthaltenen Pseudozufalls-Zahlengenerator 22, im folgenden PRBS-Generator genannt (Pseudo-Rausch-Binär-Signal), wird zum Kontrollsignal des Rechners 10 ein Prüfsignal in der Form eines Prüf- bzw. Testwortes von gleicher Länge des Datenwortes erzeugt, das über den Datenbus 23 ausgegeben wird. Das Prüfwort und das Kontrollwort werden in einem Vergleicher 25 verglichen. Der Ausgang 26 des Vergleichers 25 liefert bei vollständiger Übereinstimmung der beiden Wörter bei gleichzeitiger Aktivierung des Ausganges 35 einen Triggerimpuls für ein nicht retriggerbares Monoflop 27, das seinerseits wiederum nach Ablauf einer Zeitspanne /„,„, durch die fallende Impulsflanke ein ebenfalls nicht retriggerbares Monoflop 28 triggert. Nach Ablauf einer Zeit /,·,>»; fällt das Monoflop 28 ebenfalls ab und liefert damit dem PRBS-Generator 22 einen Schiebetakt 30.
Bei fehlerfreiem Betrieb des Rechners 10 gibt der Rechner 10 gemäß dem Zeitdiagramm in Fig.2 zu einem Prüfwort, beispielsweise »Ar+1«, innerhalb des Zeitfensters trm, ein Kontrollwort »k + 1« aus.
Damit startet der Vergleicher 25 das Monoflop 27. Nach der Zeit tmm fällt das Monoflop 27 ab und startet das in der Zwischenzeit abgefallene Monoflop 28 zur Bestimmung des nächsten Zeitfensters, innerhalb dessen das nächste Kontrollwort fallen muß. Das neue Prüfwort »£<-2« wurde in der Zwischenzeit beim Abfallen des Monoflops 28 durch den dabei erzeugten Schiebetakt 30 gebildet. Gleichzeitig wird die Funktion des Monoflops 27 durch eine Quittungsleitung 31 dynamisch an den Rechner rückgemeldet.
Wird nun aber durch einen Defekt des Rechners 10 das folgende Kontrollwort »Ar+ 2« nicht innerhalb des Zeitfensters ausgegeben, dann wird das erste Monoflop 27 nicht gestartet, so daß nach dem Abfallen des zweiten Monoflops 28 beide Monoflops 27 und 28 abgefallen sind und damit über ein NOR-Gatter 32 und dem Eingang 18 die Alarmeinheit 16 angesteuert wird.
In gleicher Weise wird ein Fehler in der Kontrolleinheit 15 registriert und gemeldet, indem durch Ausfall eines oder beider Monoflops das NOR-Gatter 32 direkt angesteuert wird oder bei defektem PRBS-Generator 22 der Vergleicher 25 infolge eines falschen Prüfwortes keinen Triggerimpuls ausgibt. AuJ diese Weise ergibt sich ein teilweise fehlersicheres Überwachungssystem für den Rechner, weil sich Ausfälle in der Kontrolleinheit 15 selbst aufdecken.
Besondere softwaregestützte Maßnahmen zur Aufdeckung verdeckter Fehlermöglichkeiten in der Kontrolleinheit 15 sind dadurch möglich, daß der RecLier 10 falsche Kontrollworte oder falsche Signale 35 ausgibt und die Reaktion der Kontrolleinheit 15 durch Auswertung des Signals 31 auf Richtigkeit überprüft. Im Fehlerfall ist der Rechner η der Lage, über den Eingang 17 der Alarmeinheit eine Alarmmeldung abzugeben.
Der Alarm wird, wie im Zeitdiagramm, F i g. 2, gezeigt ist, auch ausgelöst wenn der Rechner 10 zwar periodisch richtige Datenwörter ausgibt jedoch in einem zu großen Zeitintervall. Desgleichen geschieht gemäß Fi g. 3. wenn die Meldezeit des Rechners 10 unterschritten wird.
Die Auswirkung von Ausgangssignalen 36 des Rechners 10 auf das Regelsystem 12 wird durch Einschalten eines Speichergliedes 37 verzögert Durch Ausgabe eines neuen richtigen Kontrollwortes und Triggerung des Zeitgebers 27 wird die Funktionsfähigkeit des Rechners 10 und damit die Gültigkeit des Ausgangssignals 36 be-
stätigt, welches das Speicherglied 37 nach Triggerung durch das Quitlungssignal 31 auf seinen Ausgang 13 übernimmt und für den Prozeß wirksam werden läßt.
Die Alarmeinhäit 16 und das NOR-Gatter 32, die nicht im Sclbstüberwachungssystem eingeschlossen sind, sind entweder dynamisch fehlersicher ausgebaut, doppelt ausgeführt oder können in regelmäßigen Abstand,^ getestet werden. Letzteres kann mit Hilfe des , Rechners im Rahmen seines Selbsttestes durchgeführt ä werden, indem das Datenwort verspätet ausgegeben wird und damit ein kurzer Alarm-»Piep$« gesendet wird. Die Funktionsfähigkeit des NOR-Gatters 32 und der Alarmeinheit 16 wird vom Rechner 10 durch eine Abfrage der Alarmmeldeleitung 34 überprüft, die z. B. an einen akustischen Alarmdetektor 33 angeschlossen ist.
Das Bildungsgesetz des Testwortes muß im Rechner über eine rekursive Beziehung gebildet werden:
bffl = AJ" ig™ »(i
10
15
20
Im Laufe einer Periode von 255 Schiebeschritten werden alle Kombinationen bis auf den unerlaubten Zustand 00000000 durchgespielt, so daß auch auf bestimmten Bitkombinationen beruhende Fehler erkannt werden können.
Weiterhin können beliebige zusätzliche Operationen (Arithmetik-, Transfer-, Vergleichsbefehle) durchgeführt werden, die durch andere Operationen wieder rückgängig gemacht werden. Damit ergibt sich als weiterer Vorteil, daß der Grad der Redundanz durch die Software bestimmt wird und damit leicht den Erfordernissen und Möglichkeiten, wie Zeitbedingungen und Sicherheitsniveau angepaßt werden kann.
Werden die einzelnen Befehle über das Anwenderprogramm verteilt, so hat man damit eine unabhängige Möglichkeit, den korrekten Ablauf linear oder definiert verzweigter Programmschleifen zu überprüfen. Dieser Fall wird bei Regelungsproblemen oft angetroffen.
Um die Funktionsfähigkeit von Programmteilen, die während des ungestörten Betriebs nicht benutzt werden, wie Alarmbearbeitung sicherzustellen, muß in bestimmten Zeitabständen ein Selbsttest mit Überprüfung des Inhaltes des Programmspeichers durchgeführt werden. Die Durchführung sowie das Ergebnis des Selbsttests kann von der wortorientierten Überwachungseinheit überwacht werden.
Hierzu 3 Blatt Zeichnungen
50
60 65

Claims (9)

Patentansprüche:
1. Verfahren zur Funktionsprüfung von digitalen Rechnern zur Steuerung, Regelung und/oder zur Überwachung von Prozessen, bei dem in einer Kontrolleinheit Prüfsignale und im Rechner Kontrollsignale gebildet werden, die miteinander verglichen werden und bei Nichtübereinstimmung der Signale oder nichtzeitgemäßer Ausgabe eines Signals einen fehlerhaften Zustand des Rechners angezeigt und ein Signal ausgegeben wird, um die Auwirkung des fehlerhaften Zustandes auf den Prozeß zu verhindern und/oder eine Alarmgabe zu bewirken, und/ oder den Prozeß in den sicheren Zustand zu überführen, dadurch gekennzeichnet, daß das Prüfsignal ein digitales Prüfwort, vorzugsweise in der Verarbeitungsbreite des Rechners ist, das nach einem vorbestimmten, festgelegten Bildungsgesetz dynamisch geändert wird, daß ein Bildungsgesetz zur Erzeuguag von dem Prüfsignal identischen Kontrollsignalen softwaremäßig implementiert wird, und daß bei Ungleichheit der so gebildeten Signale innerhalb eines vorbestimmten Zeitfensters auf den Rechner oder auf den Prozeß eingewirkt wird, ferner daß das Bildungsgesetz derart realisiert ist, daß bei seiner Bearbeitung sicherheitsrelevante Funktionen und Funktionsgruppen des Rechners benutzt werden.
2. Verfahren nach Anspruch 1. dadurch gekennzeichnet, da"? der Rechner jeweils nach dem Vergleich der Kontroll- und Prüfsignale auf den Prozeß einwirkt
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die zeitliche Überwachung innerhalb eines festgelegten, periodisch wiederkehrenden Zeitfensters erfolgt.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Rechner (10) ein falsches Kontrollwort (20) ausgibt, um die Funktionsfähigkeit der Kontrolleinheit (15) anhand der Quittungsleitung (31) zu überprüfen und im Fehlerfall über den Eingang (17) der Alarmeinheit (16) einen Alarm abzugeben.
5. Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch 1, mit einer Kontrolleinheit und einem Vergleicher, dadurch gekennzeichnet. Haß Her Vergleicher (25) in der Kontrolleinheit (15) enthalten ist und daß dem Vergleicher (25) mindestens ein, vorzugsweise zwei retriggerbare Zeitgeber (27, 28) so nachgeschaltet sind, die ein Zeitfenster vorgeben.
6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, daß eine von den Zeitgebern (27, 28) ansteuerbare Alarmeinheit (16) vorgesehen ist.
7. Vorrichtung nach einem der Ansprüche 5 oder 6, dadurch gekennzeichnet, daß die Kontrolleinheit (15) einen Pseudo-Zufallszahlengenerator (22) enthält, der das Prüfsignal erzeugt.
8. Vorrichtung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, daß die Spannungsversorgung der Kontrolleinheit (15) von der Spannungsversorgung des Rechners (10) unabhängig ist.
9. Vorrichtung nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, daß ein Speicherglied (37) vorgesehen ist, das Ausgangssignale (36) des Rechners (10) erst dann auf seinen Ausgang (13) übernimmt, wenn eine Quittungsleitung (31) die Ausgabe des richtigen Kontrollsignals (20) anzeigt.
DE3225712A 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern Expired DE3225712C2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE3225712A DE3225712C2 (de) 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
IT8348644A IT1171846B (it) 1982-07-09 1983-07-07 Metodo e dispositivo per la prova di funzionamento di calcolatori
JP58125362A JPH0644244B2 (ja) 1982-07-09 1983-07-09 計算機の動作試験方法および動作試験装置
US06/512,033 US4627057A (en) 1982-07-09 1983-08-05 Method and arrangement for the functional testing of computers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE3225712A DE3225712C2 (de) 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern

Publications (2)

Publication Number Publication Date
DE3225712A1 DE3225712A1 (de) 1984-01-12
DE3225712C2 true DE3225712C2 (de) 1985-04-11

Family

ID=6168037

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3225712A Expired DE3225712C2 (de) 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern

Country Status (4)

Country Link
US (1) US4627057A (de)
JP (1) JPH0644244B2 (de)
DE (1) DE3225712C2 (de)
IT (1) IT1171846B (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3700426A1 (de) * 1986-01-13 1987-07-16 Oki Electric Ind Co Ltd Ueberwachungszeitgeber
DE4219433A1 (de) * 1992-06-13 1993-12-16 Man Technologie Gmbh Verfahren zur Steuerung eines rechnerunterstützten Prozeßsteuerungssystems
DE19511842A1 (de) * 1995-03-31 1996-10-02 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4649537A (en) * 1984-10-22 1987-03-10 Westinghouse Electric Corp. Random pattern lock and key fault detection scheme for microprocessor systems
DE3502387A1 (de) * 1985-01-25 1986-07-31 Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen
DK190785A (da) * 1985-04-29 1986-10-30 Nordiske Kabel Traad Fremgangsmaade til overvaagning af en databehandlingsenhed, samt anlaegtil udoevelse af fremgangsmaaden
JPH0752071B2 (ja) * 1989-01-19 1995-06-05 新技術事業団 真空熱処理炉
US6816872B1 (en) 1990-04-26 2004-11-09 Timespring Software Corporation Apparatus and method for reconstructing a file from a difference signature and an original file
US5910958A (en) * 1991-08-14 1999-06-08 Vlsi Technology, Inc. Automatic generation of test vectors for sequential circuits
JPH0662434U (ja) * 1991-10-30 1994-09-02 京三電子株式会社 マットスイッチ
US7412640B2 (en) * 2003-08-28 2008-08-12 International Business Machines Corporation Self-synchronizing pseudorandom bit sequence checker
KR100587233B1 (ko) * 2004-06-14 2006-06-08 삼성전자주식회사 반도체 메모리소자의 번인테스트 방법
DE102010026694A1 (de) * 2010-07-06 2012-01-12 Siemens Aktiengesellschaft Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3582633A (en) * 1968-02-20 1971-06-01 Lockheed Aircraft Corp Method and apparatus for fault detection in a logic circuit
US3924181A (en) * 1973-10-16 1975-12-02 Hughes Aircraft Co Test circuitry employing a cyclic code generator
US3931506A (en) * 1974-12-30 1976-01-06 Zehntel, Inc. Programmable tester
JPS5290243A (en) * 1976-01-23 1977-07-29 Mitsubishi Electric Corp Trouble diagnosing unit of digital processing unit
JPS5354438A (en) * 1976-10-28 1978-05-17 Toshiba Corp On-line power control system
US4108359A (en) * 1977-03-30 1978-08-22 The United States Of America As Represented By The Secretary Of The Army Apparatus for verifying the execution of a sequence of coded instructions
JPS5420636A (en) * 1977-07-15 1979-02-16 Mitsubishi Electric Corp Computer
JPS5537780A (en) * 1978-09-08 1980-03-15 Matsushita Electric Ind Co Ltd Floor heater unit
DE2841073A1 (de) * 1978-09-21 1980-04-03 Ruhrtal Gmbh Schaltungsanordnung zur verarbeitung von elektrisch dargestellten informationen
IT1117593B (it) * 1979-01-24 1986-02-17 Cselt Centro Studi Lab Telecom Sistema di aotodiagnosi per una apparecchiatura di controllo gestita da elaboratore
US4251885A (en) * 1979-03-09 1981-02-17 International Business Machines Corporation Checking programmed controller operation
JPS6032217B2 (ja) * 1979-04-02 1985-07-26 日産自動車株式会社 制御用コンピュ−タのフェィルセ−フ装置
FR2474226B1 (fr) * 1980-01-22 1985-10-11 Thomson Csf Dispositif de test pour enregistreur numerique multipiste
GB2070300B (en) * 1980-02-27 1984-01-25 Racal Automation Ltd Electrical testing apparatus and methods
US4468768A (en) * 1981-10-26 1984-08-28 Owens-Corning Fiberglas Corporation Self-testing computer monitor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3700426A1 (de) * 1986-01-13 1987-07-16 Oki Electric Ind Co Ltd Ueberwachungszeitgeber
DE4219433A1 (de) * 1992-06-13 1993-12-16 Man Technologie Gmbh Verfahren zur Steuerung eines rechnerunterstützten Prozeßsteuerungssystems
DE19511842A1 (de) * 1995-03-31 1996-10-02 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung

Also Published As

Publication number Publication date
IT8348644A0 (it) 1983-07-07
US4627057A (en) 1986-12-02
JPS5924353A (ja) 1984-02-08
JPH0644244B2 (ja) 1994-06-08
IT1171846B (it) 1987-06-10
DE3225712A1 (de) 1984-01-12

Similar Documents

Publication Publication Date Title
DE3700986C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
DE3225712C2 (de) Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
EP0972388B1 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
DE2735397C2 (de) Überwachungseinrichtung für eine programmgesteuerte Maschine
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
EP0186724B1 (de) Prüf- und Diagnoseeinrichtung für Digitalrechner
DE2312707A1 (de) Pruefanordnung fuer einen computer
DE102011112174B4 (de) Vorrichtung und Verfahren zum Schutz und zur zerstörungsfreien Prüfung sicherheitsrelevanter Register
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE602004013244T2 (de) Hochgeschwindigkeitssynchronisation in einer doppelrechnerbasierten Sicherheitssteuerung
DE2210325A1 (de) Datenverarbeitungssystem
EP0799143B1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
WO1998040796A1 (de) Verfahren zur rechnergestützten fehleranalyse von sensoren und/oder aktoren in einem technischen system
CH654425A5 (en) Redundant control arrangement
EP1639465A2 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
DE19847986C2 (de) Einzelprozessorsystem
EP0907919B1 (de) Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
DE3726489C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
EP1359485A1 (de) Steuer- und Überwachungssystem
DE4330940A1 (de) Verfahren zum Überwachen einer programmgesteuerten Schaltung
DE10347196B4 (de) Vorrichtung zur Überprüfung einer Schnittstelle
DE3606518A1 (de) Verfahren zur erfassung und meldung von fehlern und ursachen fuer stoerungen im ablauf von durch automatisierungsmittel gesteuerten oder geregelten prozessen
DE3739227C2 (de)
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: M A N TECHNOLOGIE GMBH, 8000 MUENCHEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: MAN TECHNOLOGIE AG, 8000 MUENCHEN, DE

8339 Ceased/non-payment of the annual fee