DE3911407A1 - Redundant computer system - Google Patents

Redundant computer system

Info

Publication number
DE3911407A1
DE3911407A1 DE19893911407 DE3911407A DE3911407A1 DE 3911407 A1 DE3911407 A1 DE 3911407A1 DE 19893911407 DE19893911407 DE 19893911407 DE 3911407 A DE3911407 A DE 3911407A DE 3911407 A1 DE3911407 A1 DE 3911407A1
Authority
DE
Germany
Prior art keywords
memory
data
spa
computer
assigned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19893911407
Other languages
German (de)
Inventor
Ulrich Dipl Ing Lehmann
Albrecht Dr Ing Weinert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19893911407 priority Critical patent/DE3911407A1/en
Publication of DE3911407A1 publication Critical patent/DE3911407A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • G06F11/185Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C29/00Checking stores for correct operation ; Subsequent repair; Testing stores during standby or offline operation
    • G11C29/70Masking faults in memories by using spares or by reconfiguring
    • G11C29/74Masking faults in memories by using spares or by reconfiguring using duplex memories, i.e. using dual copies

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Abstract

Redundant computer systems, with several computers, each of which contains at least one memory, are known. In these computers, identical programs are processed independently, and they enter the same data into, and read it out of, the memories which they contain. According to the invention, an area (SPB1, SPB2, SPB3) in each memory is assigned to each computer. The computers enter the data into the memory areas which are assigned to them. Each computer reads the data out of the areas of its memory in quasi-parallel. The data is monitored for equality in a voter (VOT), and corrected if necessary. The invention is used in process control and management systems. <IMAGE>

Description

In Datenverarbeitungsanlagen mit besonderen Anforderungen an Sicherheit und Verfügbarkeit, z. B. in der Prozeß- und Ferti­ gungsleittechnik, werden redundante Systeme in n-von-n- bzw. n-von-m-Technik eingesetzt. In solchen Systemen müssen die Teilsysteme synchronisiert sowie Fehler erkannt und gemeldet werden, und zwar sowohl bei der Programmbearbeitung in den Zentralteilen als auch beim Datenverkehr mit der Peripherie oder anderen Systemen. Die Synchronisierung kann ausschließlich mittels Software- oder Hardwaremaßnahmen, aber auch durch ge­ mischte Anwendung von Software- und Hardwaremitteln erreicht werden. Entsprechendes gilt für die Ermittlung und Behandlung von Fehlern.In data processing systems with special requirements Security and availability, e.g. B. in process and ferti control technology, redundant systems in n-by-n or n-by-m technology used. In such systems, the Subsystems synchronized and errors recognized and reported be, both in the program processing in the Central parts as well as for data traffic with the periphery or other systems. The synchronization can only by means of software or hardware measures, but also by ge mixed application of software and hardware resources achieved will. The same applies to the determination and treatment of mistakes.

Aus der DE-OS 27 25 922 ist ein redundantes Mehrrechnersystem bekannt, in dem alle Rechner die gleichen Informationen er­ arbeiten. Die erarbeiteten Informationen werden erst am Ende jeweils eines Rechenzyklus zur Prüfung auf Verarbeitungsfehler miteinander verglichen, wenn alle Rechner oder eine Mehrheit der Rechner zu einem Ergebnis gelangt sind. Die Einzelrechner arbeiten somit im wesentlichen asynchron; sie werden nur noch zum Vergleich der Ergebnisse kurzzeitig synchronisiert.DE-OS 27 25 922 is a redundant multi-computer system known in which all computers he the same information work. The information developed is only at the end one computing cycle each to check for processing errors compared with each other if all the computers or a majority the calculator has reached a result. The individual computers thus work essentially asynchronously; they will only briefly synchronized to compare the results.

In der DE-OS 29 31 280 ist eine redundante Steueranordnung be­ schrieben, in der zwei asynchron arbeitende Rechner, die glei­ che Daten nach übereinstimmenden Programmen verarbeiten, da­ durch synchronisiert werden, daß die von den Rechnern ausge­ gebenen Daten in Majoritätsgliedern (Votern) logisch verknüpft, auf die Rechner rückgeführt und von diesen mit Sollwerten ver­ glichen werden. Stimmen Sollwerte und Rückmeldesignale überein, wird die Programmbearbeitung fortgesetzt. Wird innerhalb einer vorgegebenen Zeit keine Übereinstimmung festgestellt, wird ein Fehlersignal abgegeben. In DE-OS 29 31 280 is a redundant control arrangement be wrote in which two asynchronous computers, the same Process data according to matching programs, because be synchronized by that from the computers given data logically linked in majority members (voters), fed back to the computer and ver be compared. If setpoints and feedback signals match, program processing is continued. Will be within one a match is not determined within the specified time, a Error signal issued.  

Die bekannten asynchron arbeitenden, redundanten Rechner­ systeme vergleichen die Ergebnisse der Einzelrechner nur dann, wenn Daten ausgegeben werden. Dies geschieht nur in größeren Zeitabständen. Es kann dann nur noch festgestellt werden, daß ein Rechner fehlerhaft gearbeitet hat; der Fehler muß dann, sofern dies überhaupt noch möglich ist, mit gesonderten Tests lokalisiert werden.The well-known asynchronous, redundant computers systems only compare the results of the individual computers when data is output. This only happens in larger ones Intervals. It can then only be stated that a computer has worked incorrectly; the error must then if this is still possible, with separate tests be localized.

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein asynchron arbeitendes, redundantes Rechnersystem zu schaffen, dessen einzelne Rechner auch nach internen Bearbeitungs­ schritten eines Programms, also wenn keine Daten nach außen abgegeben werden, auf einwandfreie Funktion überwacht werden.The present invention is based on the object to create an asynchronous, redundant computer system, whose individual computer even after internal processing steps of a program, that is if no data to the outside be delivered, monitored for proper functioning.

Erfindungsgemäß wird diese Aufgabe mit den im kennzeichnenden Teil des Anspruchs 1 angegebenen Maßnahmen gelöst.According to the invention, this task with the characteristic Part of claim 1 specified measures solved.

Mit dem neuen Rechnersystem können Fehler der einzelnen Rechner frühzeitig erkannt und eingegrenzt werden. Eine weitere Ein­ grenzung von Fehlern und noch frühzeitigeres Erkennen ist dann möglich, wenn die Daten auch beim oder vor dem Einschreiben in die Speicher miteinander verglichen werden.With the new computer system errors of the individual computers can be recognized early and narrowed down. Another one Then there is the limitation of errors and early detection possible if the data is also with or before the registration in the memories are compared.

Anhand der Zeichnung, die das Blockschaltbild eines Ausfüh­ rungsbeispiels zeigt, werden im folgenden die Erfindung sowie Ausgestaltungen und Ergänzungen näher beschrieben und erläu­ tert.Using the drawing, which is the block diagram of an exec Example shows, the invention and Embodiments and additions described and explained in more detail tert.

Als Ausführungsbeispiel ist ein redundantes Rechnersystem ge­ wählt, das nach der 2-von-3-Technik arbeitet, d. h., es sind drei Einzelrechner vorhanden mit je einem Prozessor und einem Speicher, die übereinstimmend aufgebaut sind und gleiche Programme unabhängig voneinander bearbeiten. Ihre Ergebnisse werden miteinander verglichen, und es werden Mehrheitsentschei­ dungen getroffen und gegebenenfalls Fehlermeldungen abgegeben. Die Prozessoren sind nicht erfindungswesentlich und daher nicht dargestellt. Andere n-vom-m- oder n-von-n-Systeme können ent­ sprechend aufgebaut sein. A redundant computer system is an exemplary embodiment chooses that works according to the 2-of-3 technique, d. that is three individual computers with one processor and one each Memories that are constructed in the same way and the same Edit programs independently. your results are compared and majority decisions are made taken and, if necessary, error messages are issued. The processors are not essential to the invention and therefore are not shown. Other n-by-m or n-by-n systems can be created be constructed speaking.  

Mit SPA 1, SPA 2, SPA 3 sind die drei zu den Einzelrechnern gehörenden Speicheranordnungen bezeichnet. Da sie überein­ stimmend aufgebaut sind, ist nur das Blockschildbild von einer Speicheranordnung SPA 1 dargestellt. Der Speicher jeder Spei­ cheranordnung SPA 1, SPA 2, SPA 3 ist in drei Bereiche SPB 1, SPB 2, SPB 3 aufgeteilt, die je einem Rechner zugeordnet sind. Schreib­ vorgänge werden vom jeweiligen Rechner über einen Systembus SB an eine Speichersteuerung STE gegeben, welche die Funktionen der Busanschaltung, der Adressendekodierung und der Erzeugung der Schreib- und Lesebefehle ausübt. Die Speicherschreib­ vorgänge werden verdreifacht. Zum einen werden die einzu­ schreibenden Daten über einen Entkoppler EK in den Speicher­ bereich SPB 1 eingetragen, zum anderen über Ausgabeverstärker AV 1, AV 2 über Leitungen SL 12, SL 13 auf die Speicheranordnungen SPA 2, SPA 3 gegeben und dort in jeweils einen Speicherbereich eingetragen. Da die drei Rechner gleiche Programme bearbeiten, erzeugen auch die Speicheranordnungen SPA 2, SPA 3 im fehler­ freien Normalfall übereinstimmende Schreibbefehle und einzu­ schreibende Daten für die jeweils beiden anderen Speicheranord­ nungen. Der Schreibbefehl und die Daten der Speicheranordnung SPA 2 werden der Speicheranordnung SPA 1 über eine Leitung SL 21 zugeführt, so daß der Speicherbereich SPB 2 beschrieben wird. Entsprechend wird der Speicherbereich SPB 3 über eine Leitung SL 31 von der Speicheranordnung SPA 3 beschrieben. In gleicher Weise werden von der Speicheranordnung SPA 2 Daten in einen Speicherbereich der Anordnung SPA 3 über eine Leitung SL 23 und umgekehrt Daten von der Speicheranordnung SPA 3 in einen Bereich der Speicheranordnung SPA 2 über die Leitung SL 32 eingetragen. Im störungsfreien Fall sind daher die gleichen Daten neunfach vorhanden. Den Ausgabeverstärkern AV 1, AV 2 können sogenannte FIFO-Speicher F 11, F 12 vorgeschaltet sein, welche die in die jeweils anderen Speicher einzutragenden Daten puffern. In sie können Daten unmittelbar eingetragen werden; es brauchen nicht die Quittungssignale von den jeweils anderen Speichern abgewar­ tet zu werden, bis die Programmbearbeitung fortgesetzt werden kann. Die Quittungssignale werden den anderen Speicheranord­ nungen SPA 2, SPA 3 im Falle der Speicheranordnung SPA 1 über die Leitungen SL 21, SL 31 zugeführt und dort über Leitungen, die den Leitungen Rdy 12, Rdy 13 in der Speicheranordnung SPA 1 entspre­ chen, den Takteingängen der FIFO-Speicher, worauf diese die nächsten Daten an die Ausgabeverstärker ausgeben. Auch diese Vorgänge laufen in allen drei Speicheranordnungen SPA 1, SPA 2, SPA 3 in gleicher Weise parallel, aber nicht streng synchron ab. Die asynchrone Arbeitsweise der Rechner bleibt daher erhalten.With SPA 1 , SPA 2 , SPA 3 the three storage arrangements belonging to the individual computers are designated. Since they are constructed to match, only the block diagram of a storage arrangement SPA 1 is shown. The memory of each storage arrangement SPA 1 , SPA 2 , SPA 3 is divided into three areas SPB 1 , SPB 2 , SPB 3 , each of which is assigned to a computer. Write processes are given by the respective computer via a system bus SB to a memory controller STE , which carries out the functions of the bus connection, the address decoding and the generation of the write and read commands. The memory writes are tripled. On the one hand, the data to be written are entered into the memory area SPB 1 via a decoupler EK , and on the other hand via output amplifier AV 1 , AV 2 via lines SL 12 , SL 13 to the memory arrangements SPA 2 , SPA 3 and there in each case in a memory area registered. Since the three computers process the same programs, the memory arrangements SPA 2 , SPA 3 also generate matching write commands and data to be written for the other two memory arrangements in the normal case. The write command and the data of the memory arrangement SPA 2 are fed to the memory arrangement SPA 1 via a line SL 21 , so that the memory area SPB 2 is written. Correspondingly, the memory area SPB 3 is written to by the memory arrangement SPA 3 via a line SL 31 . In the same way, data from the memory arrangement SPA 2 are entered into a memory area of the arrangement SPA 3 via a line SL 23 and vice versa, data from the memory arrangement SPA 3 into an area of the memory arrangement SPA 2 via the line SL 32 . In the case of a failure, the same data is therefore available nine times. So-called FIFO memories F 11 , F 12 can be connected upstream of the output amplifiers AV 1 , AV 2 , which buffer the data to be entered in the other memories. Data can be entered directly in them; the acknowledgment signals from the other memories do not need to be waited for until program processing can be continued. The acknowledgment signals are the other Speicheranord voltages SPA 2, SPA 3 in the case of the memory array SPA 1 via lines SL 21, supplied to SL 31 and there via lines that the lines Rdy 12, Rdy 13 1 entspre chen in the memory array SPA, the clock inputs the FIFO memory, whereupon they output the next data to the output amplifiers. These processes also run in the same way in all three memory arrangements SPA 1 , SPA 2 , SPA 3 , but not strictly synchronously. The asynchronous mode of operation of the computers is therefore retained.

Die Speicher-Lesebefehle werden ebenfalls vom zugehörigen Pro­ zessor über den Systembus SB der Speichersteuerung STE zuge­ führt, während aber beim Schreiben von Daten die Speicher­ steuerung nur den Bereich SPB 1 des eigenen Speichers anspricht, adressiert sie beim Lesen alle drei Bereiche SPB 1, SPB 2, SPB 3 gleichzeitig. Die ausgelesenen Daten werden einem Voter VOT zugeführt, der eine Mehrheitsentscheidung trifft und eine etwaige Abweichung der zugeführten Daten als Fehler meldet. Das Ausgangsdatum des Voters VOT und die Fehlermeldung werden über die Speichersteuerung STE auf den Systembus SB gegeben. Die Mehrheitsentscheidung und Fehlererkennung sowie Lokalisierung durch den Voter VOT wird ohne zusätzlichen Software- oder Zeit­ aufwand ausgeführt. Im fehlerfreien Normalfall hat die Auftei­ lung der Speicher in jeweils drei Bereiche und die Verknüpfung der ausgelesenen Signale in Votern keinen Einfluß auf die Soft­ ware, da für diese das Schreiben in drei verschiedene Speicher und das Lesen aus drei Speicherbereichen nicht erkennbar ist, vielmehr die Schreib- und Lesevorgänge wie die in bzw. aus einem normalen einfachen Speicher ablaufen.The memory read commands are also supplied by the associated processor via the system bus SB to the memory controller STE , but while the memory controller only addresses the area SPB 1 of its own memory when writing data, it addresses all three areas SPB 1 , SPB when reading 2 , SPB 3 at the same time. The data read out is fed to a voter VOT , which makes a majority decision and reports any deviation in the data supplied as an error. The starting date of the voter VOT and the error message are sent to the system bus SB via the memory control STE . The majority decision and error detection as well as localization by the Voter VOT is carried out without additional software or time. In the normal case without errors, the division of the memory into three areas and the linking of the read signals in votes has no influence on the software, since writing to three different memories and reading from three memory areas is not recognizable for them, rather the write - and read operations as in or from a normal simple memory.

Claims (2)

1. Redundantes Rechnersystem mit mehreren Prozessoren, in denen gleiche Programme unabhängig bearbeitet werden und die gleiche Daten in zugeordnete Speicher eintragen und aus diesen lesen, dadurch gekennzeichnet, daß in jedem Speicher jedem Rechner ein Speicherbereich (SPB 1, SPB 2, SPB 3) zugeordnet ist, daß jeder Rechner gleiche Daten in die ihm zu­ geordneten Speicherbereiche einträgt und daß jeder Rechner aus den Bereichen des ihm zugeordneten Speichers die Daten quasi- parallel ausliest und daß die ausgelesenen Daten über einen Voter geführt werden.1. Redundant computer system with several processors, in which the same programs are processed independently and enter the same data in assigned memories and read from them, characterized in that in each memory a memory area (SPB 1 , SPB 2 , SPB 3 ) is assigned to each computer is that each computer enters the same data in the memory areas assigned to it and that each computer reads the data quasi-parallel from the areas of the memory assigned to it and that the data read out are carried out by a voter. 2. Rechnersystem nach Anspruch 1, dadurch ge­ kennzeichnet, daß die in die Speicher der jeweils anderen Rechner eingeschriebenen Daten über FIFO-Speicher ge­ führt werden.2. Computer system according to claim 1, characterized ge indicates that the in the memory of each data written to other computers via FIFO memory leads.
DE19893911407 1989-04-07 1989-04-07 Redundant computer system Withdrawn DE3911407A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19893911407 DE3911407A1 (en) 1989-04-07 1989-04-07 Redundant computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19893911407 DE3911407A1 (en) 1989-04-07 1989-04-07 Redundant computer system

Publications (1)

Publication Number Publication Date
DE3911407A1 true DE3911407A1 (en) 1990-10-11

Family

ID=6378153

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19893911407 Withdrawn DE3911407A1 (en) 1989-04-07 1989-04-07 Redundant computer system

Country Status (1)

Country Link
DE (1) DE3911407A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1993025966A1 (en) * 1992-06-10 1993-12-23 Siemens Aktiengesellschaft Computer system
DE10064658B4 (en) * 2000-12-22 2004-04-08 Siemens Ag Computer arrangement which can be connected to a data transmission network
DE102009032801A1 (en) * 2009-07-10 2011-01-13 Pitcom Project Gmbh Method for electronically processing transactions with right compliance character i.e. court-evidence character, involves adjusting primary business partner with respect to application of protective devices of data security system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1993025966A1 (en) * 1992-06-10 1993-12-23 Siemens Aktiengesellschaft Computer system
DE10064658B4 (en) * 2000-12-22 2004-04-08 Siemens Ag Computer arrangement which can be connected to a data transmission network
US8171073B2 (en) 2000-12-22 2012-05-01 Siemens Aktiengesellschsft Computer system connected to a data communications network
DE102009032801A1 (en) * 2009-07-10 2011-01-13 Pitcom Project Gmbh Method for electronically processing transactions with right compliance character i.e. court-evidence character, involves adjusting primary business partner with respect to application of protective devices of data security system

Similar Documents

Publication Publication Date Title
DE3700986C2 (en) Device for monitoring a computer system with two processors in a motor vehicle
DE3686901T2 (en) HIGH SYSTEM LEVEL SELF-TESTING INTELLIGENT I / O CONTROL UNIT.
DE2908316C2 (en) Modular multi-processor data processing system
DE3855251T2 (en) Storage system with parallel disk drive arrangement
DE2741886A1 (en) DATA TRANSFER DEVICE
EP1743225B1 (en) Redundant computerizing system comprising a master programmable automaton and a standby programmable automaton
DE3001557A1 (en) DISTANCE SIMULATION THROUGH REMOTE CONTROL ON A DESK OF A DATA PROCESSING SYSTEM
DE2244402A1 (en) DATA PROCESSING SYSTEM
DE2048670A1 (en) Storage maintenance arrangement for data processing systems
EP0057756A2 (en) Data exchange unit in multi-microcomputer systems operating in parallel
DE2210325A1 (en) Data processing system
DE68922440T2 (en) Device and method for simultaneously submitting fault interruption and fault data to a support processor.
EP1246033A1 (en) Method for monitoring consistent memory contents in a redundant system
EP0350016B1 (en) Process and apparatus to copy the contents of record carriers
DE3911407A1 (en) Redundant computer system
DE19905841A1 (en) Device for processing security-relevant data
DE2647367A1 (en) Multiple redundant process controller - has detector stages to continuously monitor performance of each unit to indicate single or double malfunction
DE3238692A1 (en) Data transmission system
DE2842603A1 (en) INTERFACE BETWEEN A MAINTENANCE PROCESSOR AND A MULTIPLE NUMBER OF FUNCTIONAL UNITS TO BE CHECKED IN A DATA PROCESSING SYSTEM
EP1057109A1 (en) Synchronisation and/or data exchange method for secure, fault-tolerant computers and corresponding device
DE3037150A1 (en) Error-proof multiprocessor system - has intermediate stores and comparator unit with majority circuit
DE3918962C2 (en) System with several asynchronous computers
DE2025672A1 (en) Configuration indicators for peripheral units in a data processing system
EP0090162A2 (en) Two-channels fail-safe microcomputer switching network, in particular for railway security systems
DE4107007A1 (en) Watchdog system for data and address buses of data processing system - has module with memories and registers for test data and reference values for comparison

Legal Events

Date Code Title Description
8141 Disposal/no request for examination