DE3439563C2 - - Google Patents

Info

Publication number
DE3439563C2
DE3439563C2 DE19843439563 DE3439563A DE3439563C2 DE 3439563 C2 DE3439563 C2 DE 3439563C2 DE 19843439563 DE19843439563 DE 19843439563 DE 3439563 A DE3439563 A DE 3439563A DE 3439563 C2 DE3439563 C2 DE 3439563C2
Authority
DE
Germany
Prior art keywords
computers
current
data processing
fuse
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19843439563
Other languages
English (en)
Other versions
DE3439563A1 (de
Inventor
Juergen Dipl.-Ing. 3101 Beedenbostel De Radloff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19843439563 priority Critical patent/DE3439563A1/de
Priority to CH446185A priority patent/CH668323A5/de
Publication of DE3439563A1 publication Critical patent/DE3439563A1/de
Application granted granted Critical
Publication of DE3439563C2 publication Critical patent/DE3439563C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung bezieht sich auf eine Datenverarbeitungs­ anlage mit in zwei Kanälen dieselben Daten verarbei­ tenden, mit Gleichstrom versorgten Rechnern, die sich gegenseitig bezüglich einwandfreien Arbeitens überwa­ chen und im Fehlerfall die Gleichstromversorgung abge­ schaltet wird.
Bei einer Anzahl von speziellen technischen Prozessen, z. B. die Steuerung und Überwachung von Kernreaktoren oder die Steuerung von Eisenbahnsicherungsanlagen, wird nach einem anerkannten sicherungstechnischen Prinzip gearbeitet, wonach bei technischen Fehlern, mit denen beim Betrieb von nicht sicheren Datenverarbeitungsan­ lagen gerechnet werden muß, der zu steuernde Prozeß in einen für den Menschen und auch das Material unkriti­ schen Zustand überführt wird. Dies kann bei Eisenbahn­ sicherungsanlagen beispielsweise dadurch bewirkt wer­ den, daß allen prozeßaktivierenden Signalen ein hoher Signalpegel zugeordnet wird, der bei einer technischen Störung der den Prozeß steuernden Datenverarbeitungs­ anlage auf allen Ausgabekanälen abgeschaltet wird. Die­ se Verfahrensweise setzt allerdings technische Einrich­ tungen voraus, die eine fehlerhafte Datenverarbeitung unverzüglich erkennen, besser noch, defekt gewordene Anlagenteile als solche unabhängig vom eigentlichen Da­ tenfluß herauszufinden, die dann abgeschaltet werden. Dadurch kann vermieden werden, daß dem zu sichernden und steuernden Prozeß auf keinen Fall unerwünschte Be­ fehle zugeleitet werden.
Zur Erhöhung der Verfügbarkeit einer Anlage kann eine Ver­ dopplung der Datenverarbeitungsanlage unter dem Gesichtswinkel vorgesehen werden, daß nach dem Auftreten eines Fehlers in einer der beiden Datenverarbeitungsanlagen auf die jeweils andere Anlage umgeschaltet wird, die im Parallelbetrieb ja dieselben Informationen ständig mit verarbeitet hat. Doppel­ systeme dieser Art haben zwar in wünschenswerter Weise die er­ höhte Verfügbarkeit, jedoch nicht die für die oben angegebenen Anlagen zu fordernde Sicherheit, wenn ein defekt gewordener An­ lagenteil dadurch ermittelt wird, daß ständig ein Vergleich vieler Schaltzustände gleichartiger Anlagenteile beider Daten­ verarbeitungsanlagen erfolgen muß. Somit darf bei den letztge­ nannten Doppelrechnersystemen keine Beschränkung dahingehend erfolgen, daß nach einem Fehlerfall nur einzelne Anlagenteile des verdoppelten Systems abgeschaltet werden, also z. B. nur eine der beiden Datenverarbeitungsanlagen, weil für den ver­ bleibenden Rest dann keine ausreichende sichere Fehlererkennung mehr vorhanden ist. Demzufolge müssen also in für sicherungs­ technische Steuerungen konzipierten Doppelrechnersystemen nach einem in einem beliebigen Anlagenteil erkannten Fehler beide Datenverarbeitungsanlagen abgeschaltet werden. Datenverarbei­ tungsanlagen, die nach diesem Prinzip arbeiten, sind in der Fachzeitschrift Signal + Draht 76 (1984) 3, Seiten 35 bis 41 unter dem Titel "Sicheres Mikrorechnersystem LOGISIRE" und in der DE-OS 26 12 100 beschrieben. Bei LOGISIRE wird im Fehlerfall eine für beide Rechner gemeinsame Versorgungsspan­ nung abgeschaltet. Das aus der DE-OS 26 12 100 bekannte Doppelrechner­ system besteht unter anderem aus zwei voneinander unabhängigen Gleichstromquellen gespeisten Mikrocomputern. In einer gemein­ samen Taktversorgungseinrichtung werden außer den erforder­ lichen Steuersignalen ein Überwachungspuls generiert, dessen Überwachungsimpulse zum Abfragen von in Reihe geschalteten Vergleichern dienen. Nur bei ordnungsgerechter Übereinstimmung aller zu vergleichenden Signalpaare der verschiedensten Signal­ quellen können die nacheinander ausgelösten Überwachungsimpulse an die Taktversorgungseinrichtung zur weiteren Aufrechter­ haltung des Betriebes wieder rückgeführt werden.
Ferner wird der Überwachungspuls einem Überwacher für dynamische Signale zugeführt, der beim Ausbleiben des Über­ wachungspulses unter Einsatz zweier Spezialrelais die beiden Gleichspannungsquellen von den Mikrocomputern trennt. Dies entspricht einem sicheren Abschalten der gesamten Datenver­ arbeitungsanlage, so daß die Ausgabe von prozeßgefährdenden Signalen unter allen Umständen vermieden wird.
Diese bekannte Einrichtung erfordert jedoch für die Realisie­ rung des Abschaltvorganges einen beträchtlichen Aufwand an Vergleichern, in der Taktversorgungsanlage in Verbindung mit dem Überwacher und die beiden Spezialrelais. Die letztge­ nannten benötigen gegenüber der Elektronik unangemessen viel Platz.
Der Erfindung liegt die Aufgabe zugrunde, eine Datenverarbei­ tungsanlage der eingangs genannten Art dahingehend weiterzu­ bilden, daß der bisher notwendige Hardware-Aufwand zum sicheren Abschalten der Datenverarbeitungsanlage im Fehlerfall drastisch verringert wird.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß die beiden Rechner in Verbindung mit zwei durch mindestens einen der beiden Rechner im Fehlerfall ansteuerbaren Schalteinrichtungen zur Erzeugung eines vorgegebenen Stromes über eine gemeinsame Sicherung mit definierter Abschaltverzögerung gespeist werden, wobei die Dauer des vorgegebenen Stromes im Fehlerfall größer als die Abschaltverzögerung der Sicherung ist, und daß in den Stromkreisen der Schalteinrichtungen für Prüfzwecke, bei denen die Rechner auf die Schalteinrichtungen kurze Testsignale ab­ geben, deren zeitliche Dauer kürzer ist als die Abschaltver­ zögerung der Sicherung, Strommeßwertgeber vorgesehen sind, deren Signale den Rechnern zugeführt werden.
Vorteilhaft ist für diese Datenverarbeitungsanlage, daß das Auslösen der Schutzfunktion auch noch beim Ausfallen eines der beiden Rechner gewährleistet ist. Das Auslösen der Schutz­ funktion kann datenflußunabhängig erfolgen, und zwar im Rahmen eines jeweiligen Selbsttestes jedes der beiden Rechner.
Eine vorteilhafte Ausbildung der erfindungsgemäßen Daten­ verarbeitungsanlage ist dadurch gekennzeichnet, daß jede der Schalteinrichtungen aus einem Schalttransistor besteht, dessen Schaltstrecke über einen Strombegrenzungswiderstand mit Gleich­ strom versorgt wird, wobei der Strombegrenzungswiderstand gleichzeitig als Strommeßwertgeber dient.
Ein Ausführungsbeispiel der Erfindung ist in der Zeichnung dargestellt und wird nachfolgend näher erläutert.
Das Schaltbild zeigt ein Doppelrechnersystem, also eine Daten­ verarbeitungsanlage mit in zwei Kanälen dieselben Daten verar­ beitenden Rechnern RR 1 und RR 2. Da es für die Erläuterung der erfindungsgemäßen Anlage unerheblich ist, was für ein Prozeß durch die Datenverarbeitungsanlage gesteuert werden soll, ist auf die Darstellung näherer Einzelheiten peripherer Anlagen­ teile verzichtet worden. Die beiden Rechner RR 1 und RR 2 werden aus einer gemeinsamen Gleichstromversorgungsquelle (+) UB über eine Sicherung SG gespeist. Zur Entkopplung der Rechner RR 1 und RR 2 auf der Stromversorgungsseite er­ folgt die Stromversorgung über einen Vorwiderstand R 1 bzw. beim anderen Rechner RR 2 über einen Vorwiderstand R 2. Ferner sind Kondensatoren C 1 und C 2 vorgesehen, die in bekannter Weise zum Unterdrücken etwaiger schnell­ veränderlicher Spannungsschwankungen dienen. Die Kapa­ zitätswerte sind jedoch so gering gewählt, daß bei einer Unterbrechung der Energieversorgung kein unzulässig wei­ terer Betrieb ermöglicht wird. Das liegt auch daran, daß bei ausgelöster Sicherung SG eine schnelle Entladung durch den Schalttransistor TR 1 oder TR 2 erfolgt. Prozeß­ gefährdende Signale werden somit unterdrückt. Ferner werden über die Sicherung SG zwei Schalteinrichtungen in Form von Schalttransistoren TR 1 und TR 2 gespeist, de­ ren Schaltstrecken über einen Widerstand R 3 bzw. R 4 mit Gleichstrom versorgt werden. Der Widerstand R 3 dient als Strombegrenzungswiderstand für den Fall, daß der zuge­ hörige Schalttransistor über eine Leitung L 1 vom Rech­ ner RR 1 ein Schaltkennzeichen erhält. Entsprechendes gilt sinngemäß für den Widerstand R 4 und ein Schaltkenn­ zeichen über eine Leitung L 2 vom Rechner RR 2. Die ge­ nannten Schaltkennzeichen sind in ihrer zeitlichen Dauer so bemessen, daß der durch den Schalttransistor TR 1 bzw. TR 2 fließende Strom ausreicht, die Sicherung SG wunsch­ gemäß zu zerstören. Zu diesem Zweck ist für die Sicherung SG eine definierte Abschaltverzögerung vorgesehen, die kürzer ist als die Dauer des Schaltkennzeichens über die Leitung L 1 bzw. L 2.
Das Schaltkennzeichen wird von einem der beiden Rechner RR 1 und RR 2 dann ausgelöst, wenn aufgrund eines Eigen­ testes oder eines Testes durch Vergleich von Informa­ tionen über eine Datenaustauschleitung DG zwischen den beiden Rechner RR 1 und RR 2 ein Defekt festgestellt wur­ de. Dieser Defekt soll zum Abschalten der für beide Rechner RR 1 und RR 2 gemeinsam vorgesehenen Gleichstromver­ sorgungsquelle (+) UB dienen.
Die Widerstände R 3 und R 4 erfüllen in vorteilhafter Weise eine Doppelfunktion. Sie dienen einerseits als Strombegrenzungs­ widerstand und auf der anderen Seite als Strommeßwertgeber. Um zu prüfen, ob der Schalttransistor TR 1 bzw. TR 2 zu gegebener Zeit auch in der Lage ist, einen derartig hohen Strom durch den Widerstand R 3 bzw. R 4 und die Sicherung SG zu schalten, daß die Sicherung SG wunschgemäß zerstört wird, gibt der Rechner RR 1 bzw. RR 2 zu vorgegebenen Zeitpunkten über die Leitung L 1 bzw. L 2 ein Testsignal, welches zeitlich wesentlich kürzer ist als das oben näher beschriebene Schaltkennzeichen. Durch diese Testsignale werden die Schalttransistoren TR 1 und TR 2 zeitlich nur sehr kurz angesteuert, so daß die Sicherung SG aufgrund der Abschaltverzögerung nicht zerstört wird, jedoch über den Wider­ stand R 3 bzw. R 4 im ordnungsgerechten Zustand ein vorgegebener Strom fließt. Der Spannungsabfall am Widerstand R 3 bzw. R 4 wird über eine Leitung L 3 bzw. L 4 dem Rechner RR 1 bzw. RR 2 als Test­ ergebnis zugeführt. Somit kann betriebsmäßig, auch unabhängig vom Datenfluß in vorgegebenen Zeitabständen selbsttätig ge­ testet werden, ob die hardwaremäßigen Voraussetzungen zum Zer­ stören der Sicherung SG noch vorhanden sind oder nicht.
Für Rechner, die bei mangelnder Versorgungsspannung anstelle der Schaltkennzeichen oder Testsignale Nullpotential ausgeben, ist es besonders zweckmäßig, als Schalttransistoren pnp-Typen zu verwenden. Hierdurch werden die zur Spannungsglättung vor­ gesehenen Kondensatoren C 1 und C 2 im Störungsfall auch dann noch weiter entladen, wenn die Rechner RR 1 und RR 2 das spezi­ elle Schaltkennzeichen nicht mehr auszugeben vermögen. Der gewünschte Abschaltvorgang im Störungsfall ist also mit geringem Aufwand sichergestellt.

Claims (2)

1. Datenverarbeitungsanlage mit in zwei Kanälen dieselben Daten verarbeitenden, mit Gleichstrom versorgten Rechnern, die sich gegenseitig bezüglich einwandfreien Arbeitens überwachen und im Fehlerfall die Gleichstromversorgung abgeschaltet wird, dadurch gekennzeichnet, daß die beiden Rechner (RR 1, RR 2) in Verbindung mit zwei durch mindestens einen der beiden Rechner (RR 1 bzw. RR 2) im Fehlerfall ansteuer­ baren Schalteinrichtungen (TR 1, TR 2) zur Erzeugung eines vorge­ gebenen Stromes über eine gemeinsame Sicherung (SG) mit defi­ nierter Abschaltverzögerung gespeist werden, wobei die Dauer des vorgegebenen Stromes im Fehlerfall größer als die Abschalt­ verzögerung der Sicherung (SG) ist, und daß in den Stromkreisen der Schalteinrichtungen (TR 1, TR 2) für Prüfzwecke, bei denen die Rechner (RR 1, RR 2) auf die Schalteinrichtungen (TR 1, TR 2) kurze Testsignale abgeben, deren zeitliche Dauer kürzer ist als die Abschaltverzögerung der Sicherung (SG), Strommeßwertgeber vorgesehen sind, deren Signale den Rechnern zugeführt werden.
2. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß jede der Schalteinrichtungen aus einem Schalttransistor (TR 1, TR 2) besteht, dessen Schalt­ strecke über einen Strombegrenzungswiderstand (R 3, R 4) mit Gleichstrom versorgt wird, wobei der Strombegrenzungswiderstand (R 3, R 4) gleichzeitig als Strommeßwertgeber dient.
DE19843439563 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern Granted DE3439563A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19843439563 DE3439563A1 (de) 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern
CH446185A CH668323A5 (de) 1984-10-29 1985-10-17 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19843439563 DE3439563A1 (de) 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Publications (2)

Publication Number Publication Date
DE3439563A1 DE3439563A1 (de) 1986-04-30
DE3439563C2 true DE3439563C2 (de) 1989-03-23

Family

ID=6249021

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19843439563 Granted DE3439563A1 (de) 1984-10-29 1984-10-29 Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Country Status (2)

Country Link
CH (1) CH668323A5 (de)
DE (1) DE3439563A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3739227A1 (de) * 1987-11-19 1989-06-01 Siemens Ag Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
EP2835759B1 (de) 2013-08-08 2019-03-27 GbR Oliver Oechsle, Dr. Hans-Peter Dietz Verfahren und System zur Handhabung eines defekten elektronischen Nutzerendgerätes

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2612100A1 (de) * 1976-03-22 1977-10-06 Siemens Ag Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik

Also Published As

Publication number Publication date
CH668323A5 (de) 1988-12-15
DE3439563A1 (de) 1986-04-30

Similar Documents

Publication Publication Date Title
DE3003291C2 (de) Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
DE4122016C2 (de)
DE4101598A1 (de) Schaltungsanordnung fuer eine blockiergeschuetzte bremsanlage
DE2612356A1 (de) Antiblockierregler fuer kraftfahrzeuge
DE3924988A1 (de) Schaltungsanordnung zur ansteuerung eines sicherheitsrelais
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE2729362B1 (de) Digitale Datenverarbeitungsanordnung,insbesondere fuer die Eisenbahnsicherungstechnik,mit in zwei Kanaelen dieselben Informationen verarbeitenden Schaltwerken
DE3439563C2 (de)
EP2559602B1 (de) Verfahren und Vorrichtung zum Sperren der Traktion eines stillstehenden Schienenfahrzeugs
DE2134079B2 (de) Anordnung zur redundanten Prozeßrechnersteuerung
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
DE3739227C2 (de)
DE3108871A1 (de) Einrichtung zur funktionspruefung eines mehrrechnersystems
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung
DE4430177A1 (de) Überwachungsvorrichtung für einen Prozessor
EP3848633B1 (de) Schaltanordnung mit schutz vor internen fehlern
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
EP0108284B1 (de) Taktstromversorgung für ein Multimikrocomputersystem in Eisenbahnsicherungsanlagen
DD231869A5 (de) Signaltechnisch sichere datenverarbeitungseinrichtung
DE10060702C2 (de) Radsteller
DE2900631B1 (de) Sicherheits-Ausgabeschaltung
DE1463398C (de) Anordnung zur Signalumsetzung und Fehlerüberwachung fur zweikanalige Steue rungen

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee