DE3439563A1 - Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern - Google Patents

Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Info

Publication number
DE3439563A1
DE3439563A1 DE19843439563 DE3439563A DE3439563A1 DE 3439563 A1 DE3439563 A1 DE 3439563A1 DE 19843439563 DE19843439563 DE 19843439563 DE 3439563 A DE3439563 A DE 3439563A DE 3439563 A1 DE3439563 A1 DE 3439563A1
Authority
DE
Germany
Prior art keywords
computers
switching
fuse
data processing
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19843439563
Other languages
English (en)
Other versions
DE3439563C2 (de
Inventor
Jürgen Dipl.-Ing. 3101 Beedenbostel Radloff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19843439563 priority Critical patent/DE3439563A1/de
Priority to CH446185A priority patent/CH668323A5/de
Publication of DE3439563A1 publication Critical patent/DE3439563A1/de
Application granted granted Critical
Publication of DE3439563C2 publication Critical patent/DE3439563C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Datenverarbeitungsanlage mit in zwei Kanälen dieselben
  • Daten verarbeitenden Rechnern Die Erfindung bezieht sich auf eine Datenverarbeitungsanlage mit in zwei Kanälen dieselben Daten verarbeitenden, mit Gleichstrom versorgten Rechnern, die sich gegenseitig bezüglich einwandfreien Arbeitens überwachen und im Fehlerfall die Gleichstromversorgung abgeschaltet wird.
  • Bei einer Anzahl von speziellen technischen Prozessen, z.B. die Steuerung und Überwachung von Kernreaktoren oder die Steuerung von Eisenbahnsicherungsanlagen, wird nach einem anerkannten sicherungstechnischen Prinzip gearbeitet, wonach bei technischen Fehlern, mit denen beim Betrieb von nicht sicheren Datenverarbeitungsanlagen gerechnet werden muß, der zu steuernde Prozeß in einen für den Menschen und auch das Material unkritischen Zustand überführt wird. Dies kann bei Eisenbahnsicherungsanlagen beispielsweise dadurch bewirkt werden, daß allen prozeßaktivierenden Signalen ein hoher Signalpegel zugeordnet wird, der bei einer technischen Störung der den Prozeß steuernden Datenverarbeitungsanlage auf allen Ausgabekanälen abgeschaltet wird. Diese Verfahrensweise setzt allerdings technische Einrichtungen voraus, die eine fehlerhafte Datenverarbeitung unverzüglich erkennen, besser noch, defekt gewordene Anlagenteile als solche unabhängig vom eigentlichen Datenfluß herauszufinden, die dann abgeschaltet werden.
  • Dadurch kann vermieden werden, daß dem zu sichernden und steuernden Prozeß auf keinen Fall unerwünschte Befehle zugeleitet werden.
  • Zur Erhöhung der Verfügbarkeit einer Anlage kann eine Verdopplung der Datenverarbeitungsanlage unter dem Gesichtswinkel vorgesehen werden, daß nach dem Auftreten eines Fehlers in einer der beiden Datenverarbeitungsanlagen auf die jeweils andere Anlage umgeschaltet wird, die im Parallelbetrieb ja dieselben Informationen ständig mit verarbeitet hat. Doppel systeme dieser Art haben zwar in wünschenswerter Weise die erhöhte Verfügbarkeit, jedoch nicht die für die oben angegebenen Anlagen zu fordernde Sicherheit, wenn ein defekt gewordener Anlagenteil dadurch ermittelt wird, daß ständig ein Vergleich vieler Schaltzustände gleichartiger Anlagenteile beider Datenverarbeitungsanlagen erfolgen muß. Somit darf bei den letztgenannten Doppelrechnersystemen keine Beschränkung dahingehend erfolgen, daß nach einem Fehlerfall nur einzelne Anlagenteile des verdoppelten Systems abgeschaltet werden, also z.B. nur eine der beiden Datenverarbeitungsanlagen, weil für den verbleibenden Rest dann keine ausreichende sichere Fehlererkennung mehr vorhanden ist.
  • Demzufolge müssen also in für sicherungstechnische Steuerungen konzipierten Doppelrechnersystemen nach einem in einem beliebigen Anlagenteil erkannten Fehler beide Datenverarbeitungsanlagen abgeschaltet werden. Eine Datenverarbeitungsanlage, die nach diesem Prinzip arbeitet, ist in der DE-OS 26 12 100 beschrieben. Dieses bekannte Doppelrechnersystem besteht unter anderem aus zwei voneinander unabhängigen Gleichstromquellen gespeisten Mikrocomputern. In einer gemeinsamen Taktstromversorgungseinrichtung werden außer den erforderlichen Steuersignalen ein Überwachungspuls generiert, dessen Überwachungsimpulse zum Abfragen von in Reihe geschalteten Vergleichern dienen. Nur bei ordnungsgerechter Überein- stimmung aller zu vergleichenden Signalpaare der verschiedensten Signalquellen können die nacheinander ausgelösten Überwachungsimpulse an die Taktstromversorgungseinrichtung zur weiteren Aufrechterhaltung des Betriebes wieder rückgeführt werden.
  • Ferner wird der Überwachungspuls einem Überwacher für dynamische Signale zugeführt, der beim Ausbleiben des Überwachungspulses unter Einsatz zweier Spezialrelais die beiden Gleichspannungsquellen von den Mikrocomputern trennt. Dies entspricht einem sicheren Abschalten der gesamten Datenverarbeitungsanlage, so daß die Ausgabe von prozeßgefährdenden Signalen unter allen Umständen vermieden wird.
  • Diese bekannte Einrichtung erfordert jedoch für die Realisierung des Abschaltvorganges einen beträchtlichen Aufwand an Vergleichern, in der Taktstromversorgungsanlage in Verbindung mit dem überwachen und die beiden Spezialrelais. Die letztgenannten benötigen gegenüber der Elektronik m ngemessen viel Platz.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Datenverarbeitungsanlage der eingangs genannten Art dahingehend weiterzubilden, daß der bisher notwendige Hardware-Aufwand drastisch verringert wird.
  • Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß die beiden Rechner in Verbindung mit zwei durch mindestens einen der beiden Rechner im Fehlerfall ansteuerbaren Schalteinrichtungen zur Erzeugung eines vorgegebenen Stromes über eine gemeinsame Sicherung mit definierter Abschaltverzögerung gespeist werden und daß in den Stromkreisen der Schalteinrichtungen für Prüfzwecke, bei denen die Rechner auf die Schalteinrichtungen kurze Testsignale abgeben, deren zeitliche Dauer kürzer ist als die Abschaltverzögerung der Sicherung, Strommeßwertgeber vorgesehen sind, deren Signale den Rechnern zugeführt werden.
  • Vorteilhaft ist für diese Datenverarbeitungsanlage, daß das Auslösen der Schutzfunktion auch noch beim Ausfallen eines der beiden Rechner gewährleistet ist. Das Auslösen der Schutzfunktion kann datenflußunabhängig erfolgen, und zwar im Rahmen eines jeweiligen Selbsttestes jedes der beiden Rechner.
  • Eine vorteilhafte, besonders aufwandsarme Ausbildung der erfindungsgemäßen Datenverarbeitungsanlage ist dadurch gekennzeichnet, daß jede der Schalteinrichtungen aus einem Schalttransistor besteht, dessen Schaltstrekke über einen Strombegrenzungswiderstand mit Gleichstrom versorgt wird, wobei der Strombegrenzungswiderstand gleichzeitig als Strommeßwertgeber dient.
  • Ein Ausführungsbeispiel der Erfindung ist in der Zeichnung dargestellt und wird nachfolgend näher erläutert.
  • Das Schaltbild zeigt ein Doppelrechnersystem, also eine Datenverarbeitungsanlage mit in zwei Kanälen dieselben Datenverarbeitenden Rechnern RR1 und RR2. Da es für die Erläuterung der erfindungsgemäßen Anlage unerheblich ist, was für ein Prozeß durch die Datenverarbeitungsanlage gesteuert werden soll, ist auf die Darstellung näherer Einzelheiten peripherer Anlagenteile verzichtet worden. Die beiden Rechner RR1 und RR2 werden aus einer gemeinsamen Gleichstromversorgungsquelle (+) UB über eine Sicherung SG gespeist. Zur Entkopplung der Rechner RR1 und RR2 auf der Stromversorgungsseite erfolgt die Stromversorgung über einen Vorwiderstand R1 bzw. beim anderen Rechner RR2 über einen Vorwiderstand R2. Ferner sind Kondensatoren C1 und C2 vorgesehen, die in bekannter Weise zum Unterdrücken etwaiger schnellveränderlicher Spannungsschwankungen dienen. Die Kapazitätswerte sind jedoch so gering gewählt, daß bei einer Unterbrechung der Energieversorgung kein unzulässig weiterer Betrieb ermöglicht wird. Das liegt auch daran, daß bei ausgelöster Sicherung SG eine schnelle Entladung durch den Schalttransistor TR1 oder TR2 erfolgt. Prozeßgefährdende Signale werden somit unterdrückt. Ferner werden über die Sicherung SG zwei Schalteinrichtungen in Form von Schalttransistoren TR1 und TR2 gespeist, deren Schaltstrecken über einen Widerstand R3 bzw. R4 mit Gleichstrom versorgt werden. Der Widerstand R3 dient als Strombegrenzungswiderstand für den Fall, daß der zugehörige Schalttransistor über eine Leitung L1 vom Rechner RR1 ein Schaltkennzeichen erhält. Entsprechendes gilt sinngemäß für den Widerstand R4 und ein Schaltkennzeichen über eine Leitung L2 vom Rechner RR2. Die genannten Schaltkennzeichen sind in ihrer zeitlichen Dauer so bemessen, daß der durch den Schalttransistor TR1 bzw.
  • TR2 fließende Strom ausreicht, die Sicherung SG wunschgemäß zu zerstören. Zu dem Zweck ist für die Sicherung SG eine definierte Abschaltverzögerung vorgesehen, die kürzer ist als die Dauer des Schaltkennzeichens über die Leitung L1 bzw. L2.
  • Das Schaltkennzeichen wird von einem der beiden Rechner RR1 und RR2 dann ausgelöst, wenn aufgrund eines Eigentestes oder eines Testes durch Vergleich von Informationen über eine Datenaustauschleitung DG zwischen den beiden Rechnern RR1 und RR2 ein Defekt festgestellt wurde. Dieser Defekt soll zum Abschalten der für beide Rechner RR1 und RR2 gemeinsam vorgesehenen Gleichstromversorgungsquelle (+) UB dienen.
  • Die Widerstände R3 und R4 erfüllen in vorteilhafter Weise eine Doppelfunktion. Sie dienen einerseits als Strombegrenzungswiderstand und auf der anderen Seite als Strommeßwertgeber. Um zu prüfen, ob der Schalttransistor TR1 bzw. TR2 zu gegebener Zeit auch in der Lage ist, einen derartig hohen Strom durch den Widerstand R3 bzw.
  • R4 und die Sicherung SG zu schalten, daß die Sicherung SG wunschgemäß zerstört wird, gibt der Rechner RR1 bzw.
  • RR2 zu vorgegebenen Zeitpunkten über die Leitung L1 bzw.
  • L2 ein Testsignal, welches zeitlich wesentlich kürzer ist als das oben näher beschriebene Schaltkennzeichen.
  • Durch diese Testsignale werden die Schalttransistoren TR1 und TR2 zeitlich nur sehr kurz angesteuert, so daß die Sicherung SG aufgrund der Abschaltverzögerung nicht zerstört wird, jedoch über den Widerstand R3 bzw. R4 im ordnungsgerechten Zustand ein vorgegebener Strom fließt.
  • Der Spannungsabfall am Widerstand R3 bzw. R4 wird über eine Leitung L3 bzw. L4 dem Rechner RR1 bzw. RR2 als Testergebnis zugeführt. Somit kann betriebsmäßig, auch unabhängig vom Datenfluß in vorgegebenen Zeitabständen selbsttätig getestet werden, ob die hardwaremäßigenVoraussetzungen zum Zerstören der Sicherung SG noch vorhanden sind oder nicht.
  • Für Rechner, die bei mangelnder Versorgungsspannung anstelle der Schaltkennzeichen oder Testsignale Nullpotential ausgeben, ist es besonders zweckmäßig, als Schalttransistoren pup-Typen zu verwenden. Hierdurch werden die zur Spannungsglättung vorgesehenen Kondensatoren C1 und C2 im Störungsfall auch dann noch weiter entladen, wenn die Rechner RR1 und RR2 das spezielle Schaltkennzeichen nicht mehr auszugeben vermögen. Der gewünschte Abschaltvorgang im Störungsfall ist also mit geringem Aufwand sichergestellt.
  • 2 Patentansprüche einzige Figur

Claims (2)

  1. Patentansprüche 1. Datenverarbeitungsanlage mit in zwei Kanälen dieselben Daten verarbeitenden, mit Gleichstrom versorgten Rechnern, die sich gegenseitig bezüglich einwandfreien Arbeitens überwachen und im Fehlerfall die Gleichstromversorgung abgeschaltet wird, d a d u r c h g e -k e n n z e i c h n e t , daß die beiden Rechner (RRi, RR2) in Verbindung mit zwei durch mindestens einen der beiden Rechner (RR1) im Fehlerfall ansteuerbaren Schalteinrichtungen (TR1) zur Erzeugung eines vorgegebenen Stromes über eine gemeinsame Sicherung (SG) mit definierter Abschaltverzögerung gespeist werden und daß in den Stromkreisen der Schalteinrichtungen (TRI, TR2) für Prüfzwecke, bei denen die Rechner (RR1, RR2) auf die Schalteinrichtungen (TR1, TR2) kurze Testsignale abgeben, deren zeitliche Dauer kürzer ist als die Abschaltverzögerung der Sicherung (SG), Strommeßwertgeber vorgesehen sind, deren Signale den Rechnern zugeführt werden.
  2. 2. Datenverarbeitungsanlage nach Anspruch 1, d a -d u r c h g e k e n n z e i c h n e t , daß jede der Schalteinrichtungen aus einem Schalttransistor (TR1, TR2) besteht, dessen Schaltstrecke über einen Strombegrenzungswiderstand (R3, R4) mit Gleichstrom versorgt wird, wobei der Strombegrenzungswiderstand (R3, R4) gleichzeitig als Strommeßwertgeber dient.
DE19843439563 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern Granted DE3439563A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19843439563 DE3439563A1 (de) 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern
CH446185A CH668323A5 (de) 1984-10-29 1985-10-17 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19843439563 DE3439563A1 (de) 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Publications (2)

Publication Number Publication Date
DE3439563A1 true DE3439563A1 (de) 1986-04-30
DE3439563C2 DE3439563C2 (de) 1989-03-23

Family

ID=6249021

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19843439563 Granted DE3439563A1 (de) 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Country Status (2)

Country Link
CH (1) CH668323A5 (de)
DE (1) DE3439563A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3739227A1 (de) * 1987-11-19 1989-06-01 Siemens Ag Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
EP2835759A1 (de) * 2013-08-08 2015-02-11 GbR Oliver Oechsle, Dr. Hans-Peter Dietz Verfahren und System zur Handhabung eines defekten elektronischen Nutzerendgerätes

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2612100A1 (de) * 1976-03-22 1977-10-06 Siemens Ag Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2612100A1 (de) * 1976-03-22 1977-10-06 Siemens Ag Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Brauer, Harri Sicheres Mikrorechnersystem LOGISIRE in Signal + Draht, 1984, H. 3, S. 35-41 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3739227A1 (de) * 1987-11-19 1989-06-01 Siemens Ag Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
AT395358B (de) * 1987-11-19 1992-12-10 Siemens Ag Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
EP2835759A1 (de) * 2013-08-08 2015-02-11 GbR Oliver Oechsle, Dr. Hans-Peter Dietz Verfahren und System zur Handhabung eines defekten elektronischen Nutzerendgerätes
WO2015018866A1 (de) * 2013-08-08 2015-02-12 Gbr Oliver Oechsle, Dr. Hans-Peter Dietz Verfahren und system zur handhabung eines defekten elektronischen nutzerendgerätes
CN105556537A (zh) * 2013-08-08 2016-05-04 奥利弗·厄克斯勒与汉斯-彼得·迪茨博士民法公司 用于处理有缺陷的电子用户终端的方法和系统
US10042696B2 (en) 2013-08-08 2018-08-07 Gbr Oliver Oechsle, Dr. Hans-Peter Dietz Method and system for handling a defective electronic user terminal
CN105556537B (zh) * 2013-08-08 2018-09-11 奥利弗·厄克斯勒与汉斯-彼得·迪茨博士民法公司 用于处理有缺陷的电子用户终端的方法和系统

Also Published As

Publication number Publication date
CH668323A5 (de) 1988-12-15
DE3439563C2 (de) 1989-03-23

Similar Documents

Publication Publication Date Title
DE3003291C2 (de) Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP1389284B1 (de) Sicherheitsschaltmodul zur prüfung des abschaltvermögens eines schaltelements in einem sicherheitsschaltmodul
DE69119523T2 (de) Fehlererkennung in Relaisansteuerungsschaltungen
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
CH634672A5 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik.
DE4202761C2 (de) Schaltung zur Ansteuerung und Überwachung induktiver Lasten, insbesondere von Magnetventilen in einem Antiblockierregelsystem
DE3522220A1 (de) Anordnung zur ausgabe von steuersignalen an stellelemente eines prozesses
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
DE3439563A1 (de) Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
EP0111028A2 (de) Leistungsschalter, insbesondere Leistungstransistorschalter
AT395358B (de) Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE3510425A1 (de) Verfahren und einrichtung zur fehlererkennung bei mikrocomputer- oder prozessrechnersystemen
EP3848633B1 (de) Schaltanordnung mit schutz vor internen fehlern
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung
DD231869A5 (de) Signaltechnisch sichere datenverarbeitungseinrichtung
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
EP0108284B1 (de) Taktstromversorgung für ein Multimikrocomputersystem in Eisenbahnsicherungsanlagen
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE1463398C (de) Anordnung zur Signalumsetzung und Fehlerüberwachung fur zweikanalige Steue rungen
DE2151162A1 (de) Einrichtung zur funktionsueberwachung eines analogen dreikanaligen regelsystems
DE2416602A1 (de) Redundantes signaluebertragungssystem

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee