DE3239434C1 - Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems - Google Patents

Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems

Info

Publication number
DE3239434C1
DE3239434C1 DE19823239434 DE3239434A DE3239434C1 DE 3239434 C1 DE3239434 C1 DE 3239434C1 DE 19823239434 DE19823239434 DE 19823239434 DE 3239434 A DE3239434 A DE 3239434A DE 3239434 C1 DE3239434 C1 DE 3239434C1
Authority
DE
Germany
Prior art keywords
computer
computers
switched
computer system
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19823239434
Other languages
English (en)
Inventor
Klaus 3300 Braunschweig Holzapfel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19823239434 priority Critical patent/DE3239434C1/de
Application granted granted Critical
Publication of DE3239434C1 publication Critical patent/DE3239434C1/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware

Description

  • Eine Einrichtung zur Funktionsprüfung eines solchen Mehr-Rechnersystems ist in der DE-OS 3108 871 angegeben. Dort vergleichen die in das System eingebundenen Rechner die von ihnen erarbeiteten Datentelegramme untereinander und informieren sich gegenseitig über die dabei gefundenen Vergleichsergebnisse. Aus den Vergleichsergebnissen werden nach einer logischen Verknüpfung -Steuersignale gebildet, deren jeweilige Kombination angibt, ob das System ordnungsgerecht arbeitet bzw. ob ein bestimmter Rechner oder das System insgesamt abzuschalten ist. Die zum Vergleich auf die einzelnen Rechner rückgeführten Daten werden dabei am Ausgang einer Datenausgabeeinrichtung abgegriffen, über die auch die Ausgabekanäle des Systems mit Daten versorgt werden. Jeder Rechner ist nicht nur in der Lage, aus den ihm zugeführten Vergleichsergebnissen auf seine eigene Funktionsfähigkeit oder Funktionsunfähigkeit zu schließen, sondern er ist aufgrund der ihm mitgeteilten Vergleichsergebnisse auch in der Lage zu erkennen, ob die anderen Rechner des Systems funktionsfähig oder funktionsunfähig sind. Durch Setzen von aus den Vergleichsergebnissen abgeleiteten Steuersignalen schalten die noch intakten Rechner des Systems einen ggf. defekten Rechner ab bzw. sie schalten das gesamte Rechnersystem ab, wenn sich durch Abschalten eines Einzel rechners eine aufgetretene Störung nicht beheben läßt.
  • Bei allen Mehr-Rechnersystemen mit in sich nicht sicheren Rechnern besteht eine gewisse Gefahr, daß alle Rechner gleichzeitig gleichartig falsch reagieren, wenn diese Rechner längere Zeit abgeschaltet waren und die Abschaltzeit nicht mehr klein gegen eine zulässige Ausfallzeit des Systems ist. So wird z. B. in einem konkreten Fall bei einem vergleichsweise kleinen Doppel-Rechnersystem gefordert, daß nach einer Abschaltzeit von mehr als 60 Stunden vor der Wiederinbetriebnahme des Systems mindestens dann, wenn es sich um eine Prozeßsteuerung mit Sicherheitsverantwortung handelt, eine volle Funktionsprüfung des Systems durchzuführen ist. Betriebspausen von 60 Stunden und mehr treten z. B. relativ häufig bei den rechnergesteuerten Fahrzeuggeräten für die Zugbeeinflussung im Eisenbahnwesen durch Stillsetzen der Fahrzeuge in ihren Bestimmungsbahnhöfen auf. Eine vollständige Funktionsprüfung eines abgeschalteten Rechnersystems bei der Wiederinbetriebnahme des Systems führt beim Anwender zu einem außerordentlich hohen Aufwand in der Wartung und stellt deshalb keine praktikable Lösung für das Problem des Wiedereinschaltens eines Rechnersystems nach einer Betriebspause dar. Die Forderung nach einer vollständigen Funktionsprüfung des Rechnersystems nach längeren Betriebspausen geht von der Überlegung aus, daß vorübergehend abgeschaltete Rechner sich in dieser Zeit nicht selbst auf Funktionsfähigkeit überwachen können wie es während ihres Betriebes der Fall ist. In dieser Zeit eintretende Defekte sind damit nicht sofort erkennbar und deshalb wird mit zunehmender Abschaltzeit des Rechnersystems die Gefahr von möglicherweise nicht mehr erkennbaren Doppelfehlern in den Einzelrechnern immer größer.
  • Aufgabe der vorliegenden Erfindung ist es, eine Einrichtung der im Oberbegriff des Patentanspruches 1 angegebenen Art so auszubilden, daß ein automatisches Wiedereinschalten des Systems nach einer Betriebspau se ohne Funktionsprüfung des Systems möglich ist, sofern dies aufgrund des Betriebszustandes des Systems zulässig ist, und eine Funktionsprüfung nur dann vorzunehmen, wenn die Sicherheit des Rechnersystems sonst nicht mehr gewahrt ist. Die erfindungsgemäße Einrichtung soll darüber hinaus in der Lage sein, bei der Wiederinbetriebnahme eines Rechnersystems eventuelle defekte Rechner zu erkennen und abzuschalten bzw.
  • das Rechnersystem insgesamt abzuschalten, wenn durch Abschalten eines Rechners die Sicherheit des Rechnersystems nicht mehr zu wahren ist.
  • Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1.
  • Vorteilhafte Ausbildungen der Erfindung sind in den Unteransprüchen angegeben. Eine besonders vorteilhafte Ausbildung der Erfindung sieht vor, daß dem Rechnersystem ein Multiplexer mit n-Eingängen und m-Ausgängen zugeordnet ist, über die das System auf den Prozeß wirkt und daß dieser Multiplexer ausschließlich durch diejenigen Rechner steuerbar ist, die als betriebsfähig gekennzeichnet sind. Durch -diese Ausbildung wird sichergestellt, daß kein defekter Rechner auf den Prozeß einwirken kann und damit die Sicherheit des Systems unterläuft.
  • Ein Ausführungsbeispiel der Erfindung ist nachstehend anhand der Zeichnung näher erläutert.
  • Die Zeichnung zeigt ein Rechnersystem aus drei in sich nicht sicheren Rechnern R 1 bis R3, von denen jeder die ihm zugeführten Prozeßdaten PD verarbeitet und die gefundenen Arbeitsergebnisse einer zugeordneten Rechnerausgabe RA 1 bis RA 3 zuführt Außerdem führt jeder Rechner auf in der Zeichnung nicht dargestelltem Wege die von ihm bereitgestellten Arbeitsergebnisse den übrigen Rechnern des Systems zu, so daß jeder Rechner in der Lage ist, auf Grund einer Vergleichs- und Mehrheitsentscheidung herauszufinden, ob die von ihm bereitgestellten Arbeitsergebnisse richtig oder falsch sind. Für den Fall, daß ein Rechner die von ihm gebildeten Arbeitsergebnisse als falsch erkannt hat, sperrt er die zugehörige Rechnerausgabe. Den drei Rechnerausgaben ist ein Multiplexer M nachgeschaltet, über den bei dem angenommenen Drei-Rechnersystem die von jeweils zwei intakten Rechnern gelieferten Arbeitsergebnisse auf zwei ggf. antivalenten Datenkanälen D I und D 2 dem Prozeß zur Verfügung gestellt werden. Gesteuert wird der Multiplexer durch eine zugeordnete Steuerung St, die durch die von den einzelnen Rechnern gebildeten Kennzeichen über ihre Betriebsfähigkeit bzw. Betriebsunfähigkeit einstellbar ist und beide Ausgabekanäle D 1 und D 2 des Multiplexers auf jeweils zwei Rechnerausgaben schaltet, die von als ordnungsgerecht arbeitend anerkannten Rechnern gespeist werden.
  • Um nun eine Aussage darüber treffen zu können, ob das Rechnersystem nach dem Abschalten des Systems beim Wiederanschalten des Systems wieder in Betrieb gehen kann und ggf. in welcher Konstellation es in Betrieb gehen kann, ist jedem Rechner ein beim Abschalten des Systems einstellbarer Zeitschalter Tl bis T3 zugeordnet. Die den Zeitschaltern eingeprägten Schaltzeiten sind gleich oder kleiner als die für das Gesamtsystem zulässige maximale Abschaltzeit. Jedem Zeitschalter ist eine Überwachungsschaltung Ul bis U3 zugeordnet, die beim Wiedereinschalten des Systems prüft, ob-der jeweils zugehörige Zeitschalter noch eingestellt oder bereits abgelaufen ist. Abhängig von dem jeweiligen Schaltzustand des Zeitschalters sowie weiteren dem Rechner zugänglichen Kennzeichen bildet dieser Aussagen über die Zulässigkeit der Wiederinbetriebnahme des Systems und über seine Einbeziehung in das System. Diese zusätzlichen Informationen entnehmen die Rechner zugeordneten Speichern SP 1 bis SP3, in denen sie die während der letzten Betriebsphase von ihnen selbst gebildeten und die von den übrigen Rechnern übermittelten Kennzeichen über ihre bzw. deren Funktionsfähigkeit abgelegt haben. Diese Speicher sind als gepufferte Schreib-Lese-Speicher ausgebildet, die auch beim Abschalten des Systems die gespeicherten Daten über eine gewisse Zeitspanne abrufbar bereithalten.
  • Sind die den einzelnen Rechnern zugeordneten Zeitschalter beim Wiedereinschalten des Rechnerbetriebes noch nicht abgelaufen und hat keiner der Rechner ein Kennzeichen für die Funktionsunfähigkeit eines der Einzelrechner gespeichert, so ist das Rechnersystem uneingeschränkt funktionsfähig und die Prozeßsteuerung kann wieder aufgenommen werden.
  • Sind beim Wiedereinschalten des Systems die Zeitschalter zwar noch nicht abgelaufen, ist aber für einen Rechner ein Kennzeichen für dessen Funktionsunfähigkeit gespeichert, so schaltet sich dieser Rechner selbsttätig ab, wobei die beiden anderen als intakt erkannten Rechner über die Steuerung St des Multiplexers die Rechnerausgaben der beiden ordnungsgerecht arbeitenden Rechner auf die Datenausgabekanäle D 1 und D 2 legen. Sind beim Wiedereinschalten des Systems die Zeitschalter bereits abgelaufen, liegen aber beim Wiedereinschalten von allen Rechnern des Systems Kennzeichen über ihre Funktionsfähigkeit vor, so kann das System wieder in Betrieb gehen, weil wegen des redundanten Aufbaus des Systems nunmehr gleichzeitig alle drei Rechner in gleicher Weise falsch reagieren müßten, um eine nichtgewollte Auswirkung auf den Prozeß zu haben. Die Wahrscheinlichkeit für das Auftreten von Dreifachfehlern ist jedoch so gering gegenüber dem nach der'längeren Betriebspause als möglich anzunehmenden Doppelfehler, daß die Wiederinbetriebnahme des Systems zulässig erscheint.
  • Ist jedoch mindestens ein Zeitschalter abgelaufen und ist für mindestens einen der Rechner ein Kennzeichen für seine Funktionsunfähigkeit gespeichert bzw. wird beim Wiedereinschalten des Systems ein solches Kennzeichen gebildet, so schalten sich sämtliche Rechner aus dem System aus, daß heißt, das System selbst kann nicht wieder in Betrieb gehen. Der Grund hierfür lieg#t darin, daß bei der beabsichtigten Wiederinbetriebnahme des Rechnersystems für den Fall der angenommenen Störung ein Doppelfehler bei den noch intakten Rechnern ausreichen würde, um zu einer fehlerhaften Prozeßsteuerung zu führen; ein derartiger Doppelfehler könnte bei der langen Betriebsunterbrechung aber annahmegemäß nicht mehr ausgeschlossen werden.
  • Eine vorteilhafte #Ausführungsform der. Erfindung sieht vor, anstelle gesonderter Zeitschalter Speicher mit einer auf die zulässige Abschaltzeit des Systems begrenzten Pufferzeit zu verwenden und in diesen Speichern die von den Rechnern gebildeten Kennzeichen über ihre Funktionsfähigkeit und/oder Funktionsunfähigkeit zu hinterlegen. Das Löschen eines Speichers z. B. bei Ablauf der Pufferzeit oder infolge einer Störung bedeutet dabei, daß der zugehörige Rechner funktionsunfähig ist; dieser Zustand ist von den anderen Rechnern des Systems erkennbar und führt zur Modifizierung des dort bislang für diesen Rechner gespeicherten Kennzeichens.
  • Die Zeitschalter sind vorzugsweise nicht in den Rechnern realisiert, sondern getrennt von ihnen ausgeführt. Eine vorteilhafte Ausbildung der Erfindung sieht vor, die Zeitschalter durch mindestens einen außerhalb der Rechner angeordneten Schalter darzustellen, der durch externe Zeitmessungen für die Betriebspausen steuerbar ist. Die Zeitmessungen können dabei durch einen oder mehrere externe, automatisch arbeitende Zeitgeber wie z. B. Uhren durchgeführt werden; es ist aber auch möglich, die Zeitmessung von einem dazu berechtigten Bediener vornehmen zu lassen, der beispielsweise nach Einsicht von Betriebsunterlagen das Rechnersystem in eigener Verantwortung wieder in Betrieb nehmen kann, wenn er sich davon überzeugt hat, daß die Betriebspause eine vorgegebene Zeitspanne nicht überschritten hat.
  • Der besondere Vorteil der erfindungsgemäßen Einrichtung ist darin zu sehen, daß das Rechnersystem selbsttätig feststellen kann, ob eine Wiederinbetriebnahme mit ausreichender Sicherheit noch möglich ist und daß nur in einem echten Fehlerfall ein umfangreiches Prüfprogramm zur Wiederinbetriebnahme des Systems bzw. zum Feststellen des eingetretenen Fehlers eingeleitet zu werden braucht.
  • Zum Wiedereinschalten des Rechnersystems nach seinem störungsbedingten Abschalten sind Freigabeschaltmittel FG vorgesehen, über die die abgeschalteten Rechner einzeln oder gemeinsam, beispielsweise durch Abschalten von von den Rechnern eingestellten Sperrschaltmitteln, wieder anschaltbar sind. Dabei ist das Betätigen der Freigabeschaltmittel abhängig zu machen entweder vom Ausführen einer vollständigen Funktionsprüfung des gesamten Rechnersystems oder aber von einer vereinfachten Funktionsprüfung, die in der Verantwortung eines Bedienenden liegt.
  • Die erfindungsgemäße Einrichtung ist nicht auf redundante Zwei-Rechnersysteme beschränkt, sondern läßt sich selbstverständlich auch bei redundanten Drei-Rechnersystemen und noch umfangreicheren Mehr-Rechnersystemen anwenden, bei denen nicht nur einer, sondern mehrere redundante Rechner vorgesehen sind. Bei solchen Systemen hat die Abschaltung des Gesamtsystems bei abgelaufenen Zeitschaltern nur dann stattzufinden, wenn mehr Rechner als nicht betriebsfähig gekennzeichnet sind als Rechner aus Redundanzgründen vorgesehen sind.
  • - Leerseite - - Leerseite -

Claims (6)

  1. Patentansprüche: 1. Einrichtung zum Überwachen der Funktionsfähigkeit eines redundant aufgebauten (m von n#Mehr-Rechnersystems (m > 1) mit in sich nicht sicheren Rechnern, die aus den von ihnen selbst und von den übrigen Rechnern bereitgestellten Arbeitsergebnissen ein ihre Funktionsfähigkeit bzw. Funktionsunfähigkeit bezeichnendes Kennzeichen bilden und dieses an die übrigen Rechner weitergeben bzw.
    die dort gebildeten Kennzeichen abfragen, wobei jeder Rechner das von ihm ermittelte Kennzeichen zusammen mit den übermittelten Kennzeichen der anderen Rechner speichert und sich selbst beim Feststellen seiner Funktionsunfähigkeit abschaltet und wobei alle Rechner gemeinsam für Betriebspausen ab- und für Betriebsphasen wieder anschaltbar sind, dadurch gekennzeichnet, daß den Rechnern (R 1 bis R 3) bei ihrem Abschalten einstellbare Zeitschalter (T1 bis T3) mit einer ihnen eingeprägten Schaltzeit zugeordnet sind, die höchstens gleich einer für das Rechnersystem zulässigen maximalen Abschaltzeit ist, daß jeder Rechner bei seinem Wiederanschalten den ihm zugeordneten Zeitschalter nach dessen Schaltzustand sowie einen ihm zugeordneten Speicher (SP1 bis SP3) nach für ihn und für die übrigen Rechner gespeicherten Kennzeichen abfragt, daß jeder Rechner bei noch eingestelltem Zeitschalter und fehlenden Kennzeichen über die Funktionsunfähigkeit von Rechnern sich selbst in das Mehr-Rechnersystem einschaltet, daß jeder Rechner bei noch eingestelltem Zeitschalter und einem Kennzeichen über die Funktionsunfähigkeit eines Rechners abhängig davon, ob dieses Zeichen ihn oder einen der anderen Rechner betrifft, sich selbst abschaltet oder sich in das Mehr-Rechnersystem einschaltet und daß jeder- Rechner bei bereits abgelaufenem Zeitschalter sich selbst in das Mehr-Rechnersystem einschaltet, wenn ihm die Kennzeichen über die Funktionsfähigkeit sämtlicher Rechner vorliegen, dagegen das Rechnersystem abschaltet, wenn auch nur eines dieser Kennzeichen nicht vorliegt.
  2. 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der jedem Rechner zugeordnete Speicher als gepufferter Schreib-Lese-Speicher ausgebildet ist.
  3. 3. Einrichtung nach Anspruch 1 und 2, dadurch gekennzeichnet, daß die Zeitschalter durch Speicher mit begrenzter Pufferzeit für die Abspeicherung der Kennzeichen dargestellt sind, wobei ein gelöschter Speicher die Funktionsunfähigkeit des jeweils zugehörigen Rechners kennzeichnet.
  4. 4. Einrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß dem Rechnersystem ein Multiplexer (M) mit n Eingängen und m Ausgängen zugeordnet ist, über die das System auf den Prozeß wirkt, und daß dieser Multiplexer ausschließlich durch diejenigen Rechner steuerbar ist, die als funktionsfähig gekennzeichnet sind.
  5. 5. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Zeitschalter durch mindestens einen außerhalb der Rechner angeordneten Schalter dargestellt sind, der durch externe Zeitmessung der Betriebspausen steuerbar ist.
  6. 6. Einrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß Schaltmittel (FG) vorgesehen sind, über die ein Rechner, der sich zuvor selbst abgeschaltet hatte, nach dem Ausführen einer Funktionsprüfung wieder anschaltbar ist.
    Die Erfindung bezieht sich auf eine Einrichtung zum Überwachen der Funktionsfähigkeit eines redundant aufgebauten (m von n)Mehr-Rechnersystems (m > 1) mit in sich nicht sicheren Rechnern, die aus den von ihnen selbst und von den-übrigen Rechnern bereitgestellten Arbeitsergebnissen ein ihre Funktionsfähigkeit bzw. Funktionsunfähigkeit bezeichnendes Kennzeichen bilden und dieses an die übrigen Rechner weitergeben bzw die dort gebildeten Kennzeichen abfragen, wobei jeder Rechner das von ihm ermittelte Kennzeichen zusammen mit den ihm übermittelten Kennzeichen der anderen Rechner speichert und sich selbst beim Feststellen der Funktionsunfähigkeit abschaltet und wobei alle Rechner gemeinsam für Betriebspausen ab-und für Betriebsphasen wieder anschaltbar sind.
    Für die selbsttätige Steuerung von Betriebsgeschehen mit sicherungstechnischem Charakter sind aus mehreren in sich nicht sicheren Rechnern aufgebaute Rechnersysteme entwickelt worden, in denen die auf den Prozeß wirkenden Ausgabekommandos jeweils von mindestens zwei Rechnern getrennt erarbeitet und vor der Ausgabe an die Peripherie in Vergleichern auf Übereinstimmung geprüft werden. Ein solches Rechnersystem ist beispielsweise in Signal und Draht 66 (1974) 11, Seite 202 bis 207 für den Anwendungsfall der Streckenzentrale eines Linienzugbeeinflussungssystems beschrieben. Zur Erhöhung der Zuverlässigkeit wird dort zusätzlich zu den aus Gründen der signaltechnischen Sicherheit vorhandenen zwei Rechnern ein weiterer Rechner bereitgehalten, der im Bedarfsfall, d. h. bei Ausfall eines der in die Prozeßsteuerung direkt einbezogenen Einzelrechners, an dessen Stelle tritt. Mit einem solchen redundanten Mehr-Rechnersystem ist es möglich, einen zugleich sicheren und zuverlässigen Betrieb durchzuführen, obwohl- für jeden einzelnen Rechner eine - Sicherheit nicht nachweisbar ist. Ein defekter Rechner wird durch Mehrheitsentscheidung erkannt und ausgeschaltet Voraussetzung hierfür ist, daß die von den Ausgangssignalen der einzelnen Rechner gespeisten Vergleicher, die von diesen Vergleichern gespeiste Auswahllogik zur Bestimmung von als ordnungsgerecht erkannten Rechnern und die von der Auswahllogik gesteuerte Ausgabeschaltung zum Durchschalten dieser Rechner auf den Prozeß signaltechnisch sicher aufgebaut sind oder zumindest, daß ihre Funktionsfähigkeit in kurzen Zeitabständen durch geeignete Prüfprogramme bestätigt wird.
DE19823239434 1982-10-25 1982-10-25 Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems Expired DE3239434C1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19823239434 DE3239434C1 (de) 1982-10-25 1982-10-25 Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19823239434 DE3239434C1 (de) 1982-10-25 1982-10-25 Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems

Publications (1)

Publication Number Publication Date
DE3239434C1 true DE3239434C1 (de) 1984-01-19

Family

ID=6176529

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19823239434 Expired DE3239434C1 (de) 1982-10-25 1982-10-25 Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems

Country Status (1)

Country Link
DE (1) DE3239434C1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4233569A1 (de) * 1991-10-14 1993-04-15 Mitsubishi Electric Corp Informationsverarbeitungsgeraet
EP0874365A2 (de) * 1997-04-22 1998-10-28 International Business Machines Corporation Kompression und Datenfluss-chip für Aufzeichnungs-subsystem mit hervorragender Datenintegrität

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3108871A1 (de) * 1981-03-09 1982-09-16 Siemens AG, 1000 Berlin und 8000 München Einrichtung zur funktionspruefung eines mehrrechnersystems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3108871A1 (de) * 1981-03-09 1982-09-16 Siemens AG, 1000 Berlin und 8000 München Einrichtung zur funktionspruefung eines mehrrechnersystems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4233569A1 (de) * 1991-10-14 1993-04-15 Mitsubishi Electric Corp Informationsverarbeitungsgeraet
EP0874365A2 (de) * 1997-04-22 1998-10-28 International Business Machines Corporation Kompression und Datenfluss-chip für Aufzeichnungs-subsystem mit hervorragender Datenintegrität
EP0874365A3 (de) * 1997-04-22 2004-05-06 International Business Machines Corporation Kompression und Datenfluss-chip für Aufzeichnungs-subsystem mit hervorragender Datenintegrität

Similar Documents

Publication Publication Date Title
EP0026377A2 (de) Rechnerarchitektur auf der Basis einer Multi-Mikrocomputerstruktur als fehlertolerantes System
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE2729362B1 (de) Digitale Datenverarbeitungsanordnung,insbesondere fuer die Eisenbahnsicherungstechnik,mit in zwei Kanaelen dieselben Informationen verarbeitenden Schaltwerken
EP0996060A2 (de) Einzelprozessorsystem
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE3522220A1 (de) Anordnung zur ausgabe von steuersignalen an stellelemente eines prozesses
DE3502387C2 (de)
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
DE2647367B2 (de) Redundante Prozeßsteueranordnung
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
DE2458224C3 (de) Datenverarbeitungssystem mit Koordinierung der Parallelarbeit von mindestens zwei Datenverarbeitungsanlagen
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
EP0148995B1 (de) Schaltungsanordnung zum Prüfen des ordnungsgerechten Anlaufens eines zweikanaligen Fail-Safe-Mikrocomputerschaltwerkes, insbesondere für Eisenbahnsicherungsanlagen
DE1966991A1 (de) Ausfallgesicherte datenverarbeitungsanlage
EP0246556B1 (de) Schaltungsanordnung zum Überwachen einer Steuereinheit
AT395358B (de) Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE19531923B4 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE2148981C3 (de) Verfahren zur Erfassung und Steuerung de r Funktionszustande einzelner Systemeinheiten eines programmgesteuerten Verarbeitungssystems
EP0156388A2 (de) Signaltechnisch sichere Datenverarbeitungseinrichtung
DE3010803C2 (de) Schalteinrichtung für ein Dreirechner-System in Eisenbahnanlagen
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
CH565407A5 (en) Monitoring system for control data processor - needs only one failsafe element for dynamic functional control
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
DE2460289C3 (de) Datenverarbeitendes System, insbesondere Fernsprechvermittlungssystem

Legal Events

Date Code Title Description
8100 Publication of the examined application without publication of unexamined application
D1 Grant (no unexamined application published) patent law 81
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee