DE3739227C2 - - Google Patents

Info

Publication number
DE3739227C2
DE3739227C2 DE3739227A DE3739227A DE3739227C2 DE 3739227 C2 DE3739227 C2 DE 3739227C2 DE 3739227 A DE3739227 A DE 3739227A DE 3739227 A DE3739227 A DE 3739227A DE 3739227 C2 DE3739227 C2 DE 3739227C2
Authority
DE
Germany
Prior art keywords
data processing
switched
processing system
voltage
power supply
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE3739227A
Other languages
English (en)
Other versions
DE3739227A1 (de
Inventor
Juergen 3160 Lehrte De Siedenberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19873739227 priority Critical patent/DE3739227A1/de
Priority to AT0249688A priority patent/AT395358B/de
Priority to IT8822637A priority patent/IT1229959B/it
Publication of DE3739227A1 publication Critical patent/DE3739227A1/de
Application granted granted Critical
Publication of DE3739227C2 publication Critical patent/DE3739227C2/de
Granted legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L1/00Devices along the route controlled by interaction with the vehicle or train
    • B61L1/20Safety arrangements for preventing or indicating malfunction of the device, e.g. by leakage current, by lightning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Power Sources (AREA)

Description

Die Erfindung bezieht sich auf eine Datenverarbeitungsanlage mit in mehreren Kanälen dieselben Daten verarbeitenden, mit Gleichspannung über mindestens ein Schaltglied versorgten Rechnern, die sich im Hinblick auf ordnungsgerechtes Arbeiten gegenseitig überwachen, dabei Quittungssignale abgeben, von denen im Fehlerfall mindestens eines und damit auch die über das Schaltglied geführte Stromversorgung abgeschaltet werden.
Bei modernen technischen Prozessen mit Sicherheitsverantwor­ tung, z. B. bei der Steuerung und Überwachung von Kernreaktoren oder der Steuerung von Eisenbahnsicherungsanlagen, wird nach einem anerkannten sicherungstechnischen Prinzip gearbeitet: Ab­ schalten der Anlage im Fehlerfall. Beim Einsatz von nicht sicheren Datenverarbeitungsanlagen muß mit technischen Fehlern gerechnet werden, auch wenn sie nur äußerst selten eintreten sollten. In den wenigen Fällen muß der zu steuernde Prozeß dann mit Sicherheit in einen für den Menschen und auch für das Mate­ rial unkritischen Zustand überführt werden. Dies kann bei Eisen­ bahnsicherungsanlagen beispielsweise dadurch bewirkt werden, daß allen prozeßaktivierenden Signalen ein hoher Signalpegel zugeordnet wird, der bei einer technischen Störung der den Prozeß steuernden Datenverarbeitungsanlage auf allen Ausgabe­ kanälen abgeschaltet wird. Diese Verfahrensweise setzt aller­ dings technische Einrichtungen voraus, die eine fehlerhafte Da­ tenverarbeitung unverzüglich erkennen. Je nach Eigenschaft der Anlage können defekt gewordene Anlagenteile als solche unabhän­ gig vom eigentlichen Datenfluß herausgefunden und für sich ab­ geschaltet werden.
Unter Verdopplung einer Datenverarbeitungsanlage kann deren Verfügbarkeit erhöht werden, da nach dem Auftreten eines Feh­ lers in einer der beiden Datenverarbeitungsanlagen auf die je­ weils andere Anlage, die im Parallelbetrieb dieselben Informa­ tionen ständig mitverarbeitet hat, umgeschaltet wird. Doppel­ systeme dieser Art haben zwar in wünschenswerter Weise die er­ höhte Verfügbarkeit, jedoch nicht die für die oben angegebenen Anlagen zu fordernde Sicherheit. Dies liegt u. a. daran, daß ein defekt gewordener Anlagenteil nur dadurch ermittelt werden kann, daß ständig ein Vergleich vieler Schaltzustände gleichar­ tiger Anlagenteile beider Datenverarbeitungsanlagen erfolgen muß. Bei den in Rede stehenden Doppelrechnersystemen darf also keine Beschränkung dahingehend erfolgen, daß nach einem Fehler­ fall nur einzelne Anlagenteile des verdoppelten Systems abge­ schaltet werden, also z. B. eine der beiden Datenverarbeitungsan­ lagen selbst, weil für den verbleibenden Rest dann keine aus­ reichende sichere Fehlererkennung mehr vorhanden ist. Somit müssen also in für sicherungstechnische Steuerungen konzipier­ ten Doppelrechnersystemen nach einem in einem beliebigen Anla­ genteil erkannten Fehler beide Datenverarbeitungsanlagen abge­ schaltet werden.
Eine Datenverarbeitungsanlage, die nach diesem Prinzip arbei­ tet, ist in der DE-OS 26 12 100 näher beschrieben. Dieses bekannte Doppelrechnersystem besteht u. a. aus zwei von voneinander unabhängigen Gleichstromquellen gespeisten Mikrocomputern. In einer gemeinsamen Taktstromversorgungseinrichtung wird außer den erforderlichen Steuersignalen ein Überwachungspuls erzeugt, dessen Impulse zum Abfragen der Schaltzustände einer Vielzahl von Vergleichern dienen. Nur bei ordnungsgerechter Übereinstim­ mung aller zu vergleichenden Signalpaare der verschiedensten Signalquellen des Doppelrechnersystemes können die Überwachungs­ impulse an die Taktstromversorgungseinrichtung zur weiteren Aufrechterhaltung des Betriebes wieder zurückgeführt werden.
Der Überwachungspuls wird ferner einem Überwacher für dyna­ mische Signale zugeführt, der beim Ausbleiben des Überwachungs­ pulses unter Einsatz zweier Spezialrelais die beiden Gleich­ spannungsquellen von dem Mikrocomputern abtrennt. Diese Maßnah­ me entspricht einem sicheren Abschalten der gesamten Datenverar­ beitungsanlage, so daß die Ausgabe von prozeßgefährdenden Signa­ len vermieden wird. Dies setzt allerdings die Gewißheit voraus, daß sich die Relais im entscheidenden Moment auch wirklich be­ tätigen lassen. Entsprechendes gilt sinngemäß für ähnlich ge­ artete andere Schaltglieder.
In der DE-OS 34 39 563 ist eine Datenverarbeitungsanlage mit in zwei Kanälen dieselben Daten verarbeitenden Rechnern beschrieben.
Eine einfache elektrische Schmelzsicherung im Stromzuführungskreis, die im Fehlerfall durch einen gezielt heraufgesetzten Versorgungsstrom zerstört werden könnte, sorgt für den gewünschten Abschaltvorgang. Das Heraufsetzen des über die Schmelzsicherung geführten Stromes erfolgt dabei über die Reihenschaltung eines Leistungstransistors mit einem Strombegrenzungswiderstand. Ein Wiederaufrüsten der Datenverarbeitungsanlage erfordert jedoch in dem Fall den Eingriff des Wartungspersonals in die Anlage und eine ausreichende Bevorratung der Sicherungen. Dies alles ist jedoch unerwünscht.
In der Fachzeitschrift Signal + Draht 76 (1984) 3, Seiten 35 bis 41 ist ein zweikanaliges Mikrorechnersystem beschrieben, daß für die Versorgung von sicheren Ausgabebausteinen mit Spannung ein fail-safe-Relais vorsieht. Von einer Überwachung dieses Relais ist nicht die Rede.
Der Erfindung liegt die Aufgabe zugrunde, eine Datenverarbei­ tungsanlage der oben angegebenen Art so weiterzubilden, daß die Abschaltbarkeit der Datenverarbeitungsanlage ohne die Ver­ wendung von Schmelzsicherungen bzw. nicht überwachter Relais sichergestellt werden kann.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß das Schaltglied als elektronische Schaltung ausgeführt ist, die durch ein manuell auslösbares Einschaltsignal in die Einschaltlage steuerbar ist, in welcher sie nur bei anschließend vorhandenen Quittungssignalen verbleibt, daß an die elektronische Schaltung ausgangsseitig ein Spannungswächter angeschlossen ist, der bei jeder Gleichspannungsabsenkung bis unterhalb eines vorgegebenen Wertes an mindestens einen der Rechner ein Fehlersignal abgibt, daß für den letztgenannten Rechner ein Prüfprogramm vorgesehen ist, bei welchem eines der Quittungssignale abgeschaltet und dieses nur beim anschließenden Vorliegen des Fehlersignales wieder eingeschaltet wird.
Eine derartige Datenverarbeitungsanlage, bei welcher die Unter­ brechbarkeit der Stromversorgung regelmäßig überprüft wird, ge­ währleistet im Fehlerfall mit hoher Zuverlässigkeit das siche­ re, gewünschte Abschalten der gesamten Anlage. Da beispielswei­ se die Quittungssignale gleichzeitig auch dazu verwendet werden können, Ausgabebausteine für sicherungstechnisch bedeutsame Prozeßsignale abzuschalten, kann beim Ausbleiben eines zu er­ wartenden Fehlersignales eine vorsorgliche Abschaltung, die sich beispielsweise auf die Ausgabebausteine beschränkt, vorge­ nommen werden. Somit sind in vorteilhafter Weise auch die Spannungswächter in die regelmäßig vorkommenden Prüfvorgänge mit einbezogen. Das Schaltglied dient gleichzeitig auch als Kurzschlußsicherung, da im Kurzschlußfall bei einem der Rechner mindestens eines der Quittungssignale entfällt.
Das Schaltglied, über welches die Stromversorgung der Datenverarbeitungsanlage erfolgt, kann in der einfachsten Form als Halbleiterschalter ausgeführt sein. Eine andere vorteilhafte Weiterbildung sieht dafür einen fremdgesteuerten Gleichspannungswandler vor, dessen Funktion durch den speziellen Einsatz als abschaltbare Spannungsquelle auch mit überwacht ist.
Für manche Anwendungsfälle kann es ferner von besonderem Vor­ teil sein, den Spannungswächter von den Stromversorgungsein­ gängen der Rechner durch mindestens eine Schutzdiode zu trennen. In dem Zusammenhang ist es besonders vorteilhaft, daß die Stromversorgungseingänge der Rechner mit mindestens einem Kondensator beschaltet werden, dessen Kapazität so groß gewählt ist, daß bei zu Testzwecken abgeschalteter Stromversorgung das Prüfprogramm noch vollständig ablaufen kann, die Energie jedoch nicht ausreicht, prozeßgefährdende Signale auszugeben.
Zwei Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden nachfolgend näher erläutert. Es zeigt
Fig. 1 eine Datenverarbeitungsanlage, deren Stromversorgung über einen im Störfall abschaltbaren elektronischen Schalter geführt ist, dessen Funktionsfähigkeit regel­ mäßig überprüft wird und
Fig. 2 eine Ausführungsform, bei welcher der elektronische Schalter als fremdgesteuerter Gleichspannungswandler ausgeführt ist.
Das Blockschaltbild nach Fig. 1 zeigt nur schematisch eine Da­ tenverarbeitungsanlage mit in zwei Kanälen dieselben Daten ver­ arbeitenden Rechnern RN. Hierbei ist es gleichgültig, wie diese Rechner RN aufgebaut sind, welche Prozeßsignale sie verarbeiten und in welcher Art ein beliebiger Prozeß zu steuern ist.
Wichtig ist jedoch, daß die beiden Rechner RN sich gegenseitig auf ordnungsgerechte Arbeiten überwachen und im Fehlerfall über eine stellvertretend für eine Vielzahl von Leitungen dar­ gestellte Leitung LP keine den zu steuernden Prozeß PS gefähr­ denden Signale ausgeben. Dies kann beispielsweise dadurch er­ reicht werden, daß beide Rechner RN im Fehlerfall total abge­ schaltet werden oder aber beispielsweise nur deren Ausgabebau­ gruppen. Die Gleichspannungsversorgung der Rechner RN erfolgt mit +UB über die Klemmen K 1 und K 2 und einen elektronischen Schalter ER mit monostabilem Verhalten. Gezeigt ist die stabile Ausschaltlage. Am Ausgang ER 1 des elektronischen Schalter ER ist ein Spannungswächter SR vorgesehen, dem als Referenzspan­ nung die an der Klemme K 1 liegende Gleichspannung +UB zuge­ führt ist. Grundsätzlich ist es jedoch möglich, als Vergleichs­ spannung auch eine beliebige andere Gleichspannung zu verwen­ den. Der Spannungswächter SR hat die Aufgabe, über dessen Aus­ gangsleitung SR 1 dann ein Fehlersignal FL an mindestens einen der beiden Rechner RN zu geben, wenn die am Ausgang ER 1 des elektronischen Schalters ER befindliche Spannung unterhalb eines vorgegebenen Wertes liegt. Gespeist werden die Rechner RN schließlich über eine Schutzdiode D 1. Ein Kondensator C 1 sorgt bei kurzzeitigen Spannungsschwankungen, beispielsweise durch Öffnen des elektronischen Schalters ER zu Testzwecken, daß die Rechner RN kurzzeitig noch mit ausreichender Energie versorgt werden.
Zur Steuerung des elektronischen Schalters ER, der beispiels­ weise als Halbleiterschalter ausgeführt sein kann, ist ein ODER-Glied O in Verbindung mit einem UND-Glied UD vorgesehen. Das letztgenannte Schaltglied gibt an seinem Ausgang UD 1 nur dann dauernd ein Steuersignal an den Eingang O 1 des ODER- Gliedes O und damit auf einen Steuereingang ER 2 des elektroni­ schen Schalters ER, solange dem UND-Glied UD über alle seine Eingänge Quittungssignale Q 1, Q 2 bzw. Q 3 aus den Rechnern RN zugeführt werden. Diese Quittungssignale Q 1 bis Q 3 werden im Rahmen der gegenseitigen Überwachung der beiden Rechner RN auf ordnungsgerechtes Arbeiten, und zwar nur in diesem Fall, in vollständiger Anzahl ausgelöst. Mindestens eines der Quittungs­ signale Q 1 bis Q 3 kann in Abhängigkeit davon abgegeben werden, daß innerhalb des Rechnerverbundes ein Prüfprogramm ordnungsge­ recht ablaufen konnte mit dem Ergebnis, daß die Rechner RN auch dabei in allen Teilen wie erwartet gearbeitet haben.
Zum Starten der Stromversorgung, also zum Schließen des elek­ tronischen Schalters ER, wird manuell eine Taste TE betätigt. Das dabei dann fehlende Nullpotential wird als Einschaltsignal EL gewertet, welches über den Eingang O 2 das ODER-Glied O passiert und über den Steuereingang ER 2 den elektronischen Schalter ER schließt. Bis zu diesem Zeitpunkt fehlte den Rech­ nern RN die nötige Stromversorgung, so daß bis dahin keine Quittungssignale Q 1 bis Q 3 ausgegeben werden konnten. Mit dem Durchschalten der Stromversorgung entfällt das Fehlersignal FL des Spannungswächters SR, und die Rechner RN geben nach erfolg­ ter gegenseitiger Überprüfung die Quittungssignale Q 1 bis Q 3 aus. Nach diesem Zeitpunkt kann der Startvorgang durch Loslas­ sen der Taste TE beendet werden, da am Ausgang UD 1 des UND-Glie­ des UD dann steuerwirksames Dauersignal vorhanden ist, welches den elektronischen Schalter in der nicht dargestellten instabi­ len Einschaltlage hält.
Für die Datenverarbeitungsanlage ist es nun besonders wichtig, daß sich der elektronische Schalter ER im Fehlerfall, also beim Abschalten mindestens eines der Quittungssignale Q 1 bis Q 3 auch mit Sicherheit öffnet, so daß an den Prozeß PS keine gefahrbrin­ genden Signale ausgegeben werden. Im Rahmen eines Rechnerprüf­ programmes wird nun, ohne daß ein Verarbeitungsfehler oder ein technischer Defekt innerhalb der Rechner RN festgestellt wurde, vorsätzlich eines der Quittungssignale Q 1 bis Q 3 abgeschaltet. Dies muß ein Öffnen des elektronischen Schalters ER zur Folge haben. Hierdurch sinkt die Spannung am Spannungswächter SR in kürzester Zeit bis unterhalb eines vorgegebenen Wertes, so daß der Spannungswächter SR - selbstverständlich auch nur im ord­ nungsgerechten Zustand - über seine Ausgangsleitung SR 1 das zu erwartende Fehlersignal FL an die Rechner RN ausgibt. Da auf­ grund der Schutzdiode D 1 und des Kondensators C 1 die Versor­ gungsspannung für die Rechner RN trotz geöffneten Schalters ER zunächst noch erhalten bleibt, können diese im Rahmen des lau­ fenden Prüfprogrammes nach Erhalt des Fehlersignals FL das kurz­ zeitig vorher abgeschaltete Quittungssignal, z. B. Q 1, wieder ausgeben. Hierdurch wird der elektronische Schalter ER wieder geschlossen, und dessen Überprüfung ist abgeschlossen. Durch die geschilderte regelmäßige Überwachung auf ordnungsge­ rechtes Arbeiten des elektronischen Schalters ER ist gewährlei­ stet, daß dieser besonders dann ordnungsgerecht abschaltet, wenn beim betriebsmäßigen Erkennen eines Fehlers mindestens eines der Quittungssignale Q 1 bis Q 3 abgeschaltet wird.
Der sicherlich sehr seltene Fall, daß der elektronische Schal­ ter ER im Rahmen des erläuterten Prüfprogrammes nicht öffnet, wird von den Rechnern RN erkannt, da beim vorsätzlichen Ab­ schalten eines der Quittungssignale Q 1 bis Q 3 das Fehlersignal FL des Spannungswächters SR erwartet wird. Erscheint das Feh­ lersignal FL nicht, sind im Zusammenhang mit dem Prüfprogramm Abschaltroutinen vorgesehen, die sich beispielsweise auf das Abschalten von Ausgabebaugruppen (nicht dargestellt) auswirken. Der dann vorhandene Schaltzustand der Datenverarbeitungsanlage kann mit Hilfe einer Meldeeinrichtung MG signalisiert werden.
Das Ausführungsbeispiel nach Fig. 1 kann dahingehend variiert werden, daß auf die Schutzdiode D 1 und den Kondensator C 1 ver­ zichtet wird. Dies setzt Bemessungsspielräume voraus, derart, daß nach dem Öffnen des elektronischen Schalters ER der Span­ nungswächter SR bei absinkender Spannung am Ausgang ER 1 des elektronischen Schalters ER das gewünschte Fehlersignal FL aus­ gibt, während die dann bereits verminderte Versorgungsspannung noch ausreicht, daß die Rechner RN ordnungsgerecht arbeiten.
Beim Ausführungsbeispiel gemäß Fig. 2 sind für alle Bauteile und Baugruppen, die im Rahmen des Ausführungsbeispieles nach Fig. 1 bereits näher erläutert wurden, dieselben Bezugszeichen verwendet.
Beim Vergleich der beiden Ausführungsbeispiele ist leicht zu erkennen, daß beim zweiten Ausführungsbeispiel als monostabile elektronische Schaltung ER ein fremdgesteuerter Gleichspan­ nungswandler verwendet ist. Auch dieser hat insofern monostabi­ les Verhalten, als er nur dann Energie für die Rechner RN zur Verfügung stellt, wenn ihm das Steuersignal vom ODER-Glied O zugeführt wird. Der fremdgesteuerte Gleichspannungswandler be­ steht aus einem Transistor TR, an dessen Kollektorelektrode die mit der Klemme K 1 verbundene Primärwicklung U 1 eines Übertra­ gers U angeschlossen ist. Die Sekundärwicklung U 2 speist über eine Gleichrichterdiode D 2 einen Ladekondensator C 2, dem ein ohmscher Widerstand R parallelgeschaltet ist, und somit die Rechner RN. Angesteuert wird der Transistor TR nur dann durch Taktsignale eines Taktgenerators TG, wenn einem vorgeschalteten UND-Glied UDS gleichzeitig das Steuersignal des ODER-Gliedes O zur Verfügung steht.
Der besondere Vorteil dieses speziellen elektronischen Schal­ ters ER liegt darin, daß das Abschaltverhalten ausschließlich durch digitale Zustände bestimmt wird. Der Widerstand R trägt in Abhängigkeit von seiner Bemessung dazu bei, daß die Spannung am Ausgang ER 1 nach einem im Rahmen des Prüfprogrammes vorge­ sehenen Abschaltvorgang möglichst schnell zusammenbricht, damit das gewünschte Fehlersignal FL unverzüglich ausgelöst wird und der gesamte Prüfvorgang nur eine geringe Zeitdauer erfordert. Somit wird der Rechnerbetrieb zur Prozeßsteuerung durch Prüf­ vorgänge zeitlich wenig belastet.

Claims (5)

1. Datenverarbeitungsanlage mit in mehreren Kanälen dieselben Daten verarbeitenden, mit Gleichspannung über mindestens ein Schaltglied versorgten Rechnern, die sich im Hinblick auf ordnungsgerechtes Arbeiten gegenseitig überwachen, dabei Quittungssignale abgeben, von denen im Fehlerfall mindestens eines und damit auch die über das Schaltglied geführte Stromversorgung abgeschaltet werden, dadurch gekennzeichnet, daß das Schaltglied als elektronische Schaltung (ER) ausgeführt ist, die durch ein manuell auslösbares Einschaltsignal (EL) in die Einschaltlage steuerbar ist, in welcher sie nur bei anschließend vorhandenen Quittungssignalen (Q 1 bis Q 3) verbleibt, daß an die elektronische Schaltung (ER) ausgangsseitig ein Spannungswächter (SR) angeschlossen ist, der bei jeder Gleichspannungsabsenkung bis unterhalb eines vorgegebenen Wertes an mindestens einen der Rechner (RN) ein Fehlersignal (FL) abgibt, daß für den letztgenannten Rechner (RN) ein Prüfprogramm vorgesehen ist, bei welchem eines der Quittungssignale (Q 1) abgeschaltet und dieses nur beim anschließenden Vorliegen des Fehlersignals (FL) wieder eingeschaltet wird.
2. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß das Schaltglied als Halbleiterschalter ausgeführt ist (Fig. 1).
3. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß das Schaltglied als fremdgesteuerter Gleichspannungswandler ausgeführt ist (Fig. 2).
4. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Spannungswächter (SR) von den Stromversorgungseingängen der Rechner (RN) durch mindestens eine Schutzdiode (D 1) getrennt ist.
5. Datenverarbeitungsanlage nach Anspruch 4, dadurch gekennzeichnet, daß die Stromversorgungseingänge der Rechner (RN) mit mindestens einem Kondensator (C 1) be­ schaltet sind, dessen Kapazität so groß gewählt ist, daß bei zu Testzwecken abgeschalteter Stromversorgung das Prüfprogramm noch vollständig ablaufen kann.
DE19873739227 1987-11-19 1987-11-19 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern Granted DE3739227A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE19873739227 DE3739227A1 (de) 1987-11-19 1987-11-19 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
AT0249688A AT395358B (de) 1987-11-19 1988-10-10 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
IT8822637A IT1229959B (it) 1987-11-19 1988-11-16 Impianto per l'elaborazione di dati con calcolatori che elaboranogli stessi dati in piu' canali

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19873739227 DE3739227A1 (de) 1987-11-19 1987-11-19 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern

Publications (2)

Publication Number Publication Date
DE3739227A1 DE3739227A1 (de) 1989-06-01
DE3739227C2 true DE3739227C2 (de) 1989-09-21

Family

ID=6340809

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873739227 Granted DE3739227A1 (de) 1987-11-19 1987-11-19 Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern

Country Status (3)

Country Link
AT (1) AT395358B (de)
DE (1) DE3739227A1 (de)
IT (1) IT1229959B (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19755259A1 (de) * 1997-12-12 1999-06-17 Kostal Leopold Gmbh & Co Kg Elektronische Schaltungsanordnung zum Beaufschlagen eines Mikroprozesses mit Weck- und Aktionssignalen

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103802861A (zh) * 2014-01-24 2014-05-21 深圳市长龙铁路电子工程有限公司 一种移动式铁路信号设备故障记录装置
IT201700091139A1 (it) * 2017-08-07 2019-02-07 Intecs Solutions S P A Unità di elaborazione e controllo basata su tecniche di voting operanti con coppie di flussi di dati ridondati provenienti da uno o più sistemi esterni

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2612100A1 (de) * 1976-03-22 1977-10-06 Siemens Ag Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE3439563A1 (de) * 1984-10-29 1986-04-30 Siemens AG, 1000 Berlin und 8000 München Datenverarbeitungsanlage mit in zwei kanaelen dieselben daten verarbeitenden rechnern

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19755259A1 (de) * 1997-12-12 1999-06-17 Kostal Leopold Gmbh & Co Kg Elektronische Schaltungsanordnung zum Beaufschlagen eines Mikroprozesses mit Weck- und Aktionssignalen

Also Published As

Publication number Publication date
IT8822637A0 (it) 1988-11-16
AT395358B (de) 1992-12-10
DE3739227A1 (de) 1989-06-01
ATA249688A (de) 1992-04-15
IT1229959B (it) 1991-09-17

Similar Documents

Publication Publication Date Title
DE3222692A1 (de) Elektrisches stromversorgungssystem
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
DE3123451A1 (de) Verfahren und anordnung zur stoerungserkennung in gefahren-, insbesondere brandmeldeanlagen
DE4441070C2 (de) Sicherheitsschalteranordnung
DE2951932A1 (de) Einrichtung zur signaltechnisch sicheren steuerung und ueberwachung von elektrischen verbrauchern
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE4134396C2 (de) Sicheres Automatisierungssystem
DE2316433A1 (de) Programmierbarer universal-logikmodul
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
CH634672A5 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik.
EP0996060A2 (de) Einzelprozessorsystem
DE3739227C2 (de)
CH618029A5 (de)
EP0660043A1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
DE202007014753U1 (de) Schaltung zum Überwachen, ob die Schaltschwelle eines Schaltgebers innerhalb eines vorgegebenen Toleranzbereichs liegt
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
DE3108871A1 (de) Einrichtung zur funktionspruefung eines mehrrechnersystems
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE2400604B2 (de) Elektronisches Fehleranzeigesystem
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE3439563C2 (de)
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
EP0062768B1 (de) Schaltungsanordnung zur Überwachung von Schaltwerken
DE19805518B4 (de) Verfahren und Vorrichtung zur Analyse von Schutzsignalen für eine Anzahl von sicherheitsrelevanten Anlagenteilen einer technischen Anlage

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8363 Opposition against the patent
8365 Fully valid after opposition proceedings
8320 Willingness to grant licences declared (paragraph 23)
8339 Ceased/non-payment of the annual fee