DE3930075A1 - Verfahren und anordnung eines fehlertoleranten mehrrechnersystems - Google Patents
Verfahren und anordnung eines fehlertoleranten mehrrechnersystemsInfo
- Publication number
- DE3930075A1 DE3930075A1 DE19893930075 DE3930075A DE3930075A1 DE 3930075 A1 DE3930075 A1 DE 3930075A1 DE 19893930075 DE19893930075 DE 19893930075 DE 3930075 A DE3930075 A DE 3930075A DE 3930075 A1 DE3930075 A1 DE 3930075A1
- Authority
- DE
- Germany
- Prior art keywords
- signature
- computers
- computer
- fault
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/182—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0721—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
- G06F11/0724—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0742—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in a mobile device, e.g. mobile phones, handheld devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1489—Generic software techniques for error detection or fault masking through recovery blocks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/181—Eliminating the failing redundant component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1497—Details of time redundant execution on a single processing unit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/83—Indexing scheme relating to error detection, to error correction, and to monitoring the solution involving signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Hardware Redundancy (AREA)
Description
Anwendungsgebiete der Erfindung sind Rechnersysteme, die ständig
oder zeitweise Aufgaben mit hoher Zuverlässigkeit bearbeiten
müssen, insbesondere für die Prozeßautomatisierung oder zur
Bearbeitung nichtreproduzierbarer Vorgänge beispielsweise der
Bildverarbeitung.
Bekannt sind die Anwendung von Signaturverfahren zur Datenkompession.
In (Voelkel, Lutz; Pliquett, Jürgen: Signaturanalyse,
Akademie-Verlag Berlin 1988) wird das gegenwärtige Wissen auf
diesem Fachgebiet zusammengefaßt.
Votingprinzipien wie Mehrheitsentscheid, Schwellenentscheid und
2 aus N-Systeme sind aus Realisierungen der hybriden Redundanz
als Vorschläge in der Literatur bekannt. Der praktische Nachteil
ist, daß sie nur sehr aufwendig realisierbar sind insbesondere
der Voting- und Abschaltvorgang.
Bekannt sind Prinzipien der Fehlertoleranz auf der Grundlage
statischer und dynamischer Redundanz. Verfahren der
dynamischen Redundanz umfassen Selbstdiagnose und anschließendes
Recovery (Rekonfiguration und Restart), die eine hochzuverlässige
Selbstdiagnose und einen hochzuverlässigen Umschaltmechanismus
von der defekten auf eine intakte Einheit voraussetzen. Das ist
nur sehr aufwendig realisierbar.
Die Literaturstellen (Lala. Parag K.: Fault tolerant and fault
testable hardware design. Prentice Hall, London, 1985) und
(Hedtke, Rolf.: Mikroprozessorsysteme: Zuverlässigkeit,
Testverfahren, Fehlertoleranz. Springer-Verlag, Berlin Heidelberg
N. Y., 1984) sowie die weiter unten zitierte Literaturstelle
beschreiben diese Prinzipien.
Die statische Redundanz benötigt hochzuverlässige Voter-Bausteine
und ist auf Grund der aufwendigen Instrumentierung der für viele
Anwendungsfälle sogar ungenügenden Zuverlässigkeitswerte für die
vorliegende Aufgabenstellung ungeeignet. Auch das in den
Zuverlässigkeitswerten vorteilhafte M aus N-System der hybriden
Redundanz vereinigt die technischen Probleme der dynamischen und
statischen Redundanz und besitzt teilweise deren Nachteile. Aus
der Literatur sind insbesondere die Voting-Prinzipien des
Mehrheitsentscheids (majority voting) und des Schwellenentscheids
(threshold voting) bekannt, die eine Bewertung aber lediglich
durch Vergleich der Ergebnisdaten zulassen.
In der Literaturstelle (Pradhan, D, K.: Fault-Tolerant Computing
- Theory and Techniques. Prentice Hall, 1986) wird der SIFT-
Computer für die Luftfahrt beschrieben der mit unabhängigen
Rechnerknoten arbeitet. Hierbei werden bezüglich der Input-Daten
softwareimplementierte Mehrheitsvoter eingesetzt, deren Nachteile
bereits genannt wurden.
Das Ziel der Erfindung ist die Schaffung eines Rechnersystems,
das einen hohen Fehlertoleranzgrad gestattet, das flexibel
einsetzbar ist, das eine einfache Reparatur zuläßt und das eine
effektive Auslastung gestattet.
Aufgabe der Erfindung ist es, ein Verfahren und eine Schaltungsanordnung
eines fehlertoleranten Mehrrechnersystems zu schaffen,
das zentrale Umschaltmechanismen, zentrale Mehrheits- oder
Schwellenentscheid-Mechanismen sowie starre Voting- und
Redundanzprinzipien vermeidet.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß in einem
Mehrrechnersystem mit untereinander kommunizierenden und parallel
arbeitenden Rechnern zur Realisierung eines 2-aus-N-Systems
identische Datenfolgen im gleichen Zeitfenster aber nicht
notwendigerweise zeitsynchron abgearbeitet werden. Die Datenfolgen
werden dabei in jedem Rechner zu einem Signaturvektor
komprimiert. Der Signaturvektor sowie das Ergebnis der Datenfolgen
bzw. die Signatur der Ergebnisse der Datenfolge jedes
Rechners werden über das Kommunikationsnetzwerk an alle N-1
anderen Rechner gesendet. Jeder Rechner speichert die beiden
Vektoren der anderen Rechner in seinem Signatur-RAM-Bereich und
arbeitet als dezentraler Signaturvoter, indem er seinen eigenen
Signaturvektor und die maximal N-1 erhaltenen vergleicht, wobei
bei mindestens zwei identischen Signaturvektoren die zugeordneten
Rechner, Datenfolgen und Ergebnisse in diesem Zeitraster als
korrekt angenommen werden. Eine Selbstbewertung erfolgt durch
Vergleich des eigenen Signaturvektors mit dem als korrekt
ermittelten Signaturvektor.
Zur Fehlertoleranz gegen Entwurfsfehler wird mindestens ein zum
Algorithmus des 2-aus-N-Systems diversitärer Algorithmus auf
mindestens einem Rechner abgearbeitet, über den ebenfalls die
Prozeßsignatur und die Ergebnissignatur gebildet wird. Danach
findet ein zweiter Vergleich der Ergebnisse bzw. Ergebnissignaturen
der diversitären Algorithmen statt, wobei das Vergleichsergebnis
ein Test ist, der über die Wiederholung desselben oder
eines diversitären Algorithmus entscheidet.
Beim Vergleich der Ergebnissignaturen von l diversitären
Algorithmen kann ein 2-aus-l-System organisiert werden.
Eine Variante ist, daß mindestens ein diversitärer Algorithmus
auf mindestens einem Rechner im gleichen Zeitfenster zum 2-aus-N-
System abgearbeitet wird.
Eine weitere Variante ist, daß mindestens ein diversitärer
Algorithmus in mindestens einem nachfolgenden Zeitfenster auf
mindestens einem der N-Rechner der 2-aus-N-System abgearbeitet
wird.
Die erforderliche Schaltungsanordnung des fehlertoleranten Mehrrechnersystems
besteht aus mindestens gruppenweise gleichen
Rechnern. Jeder Rechner besitzt mindestens eine CPU, einen ROM,
einen RAM, einen Timer, eine I/O-Schnittstelle und eine
Kommunikationsschnittstelle. Die Schaltungsanordnung zeichnet
sich dadurch aus, daß jeder der M-Rechner einen fehlerunabhängigen
Signaturschaltkreis besitzt, der mit dem hierarchisch
höchsten Prozessor des Rechners über den a-Bit-Datenvektor, den
Steuersignalvektor und den Adreßvektor verbunden ist und daß in
jedem Rechner ein Signatur-RAM existiert, der die eigenen Prozeß-
und Ergebnissignaturen sowie die von den anderen Rechnern gesendeten
speichert.
Der Signaturschaltkreis wird realisiert unter Verwendung von
bidirektionalen Verstärkern, Eingabespeicher, Signaturspeicher,
Signaturkomparatoren, Timern, Anzeigesteuerung und einer testobjektabhängigen
Adaptierschaltung über die die Anordnung an den
Prozessor angeschaltet ist. Der Signaturschaltkreis zeichnet sich
dadurch aus, daß ein a-Bit-Datenvektor des Prozessors über
mindestens einen bidirektionalen Treiber und mindestens einen
Eingabespeicher an eine l-bit-Signaturverarbeitungslogik geschaltet
sind. Deren Ausgänge sind mit dem l-Bit-Signaturspeicher
verbunden und sein nichtnegierter l-Bit-Signaturvektor ist auf
mindestens einen bidirektionalen Treiber, auf die l-Bit-Signaturverarbeitungslogik
als Zustandsinformation und auf den ersten l-
Bit-Signaturkomparator geschaltet und sein negierter l-Bit-Signaturvektor
ist auf eine Anzeigesteuerung und einen zweiten l-Bit-
Signaturkomparator geschaltet. Die Signaturspeicher müssen
bezogen auf den a-Bit-Datenvektor vollständig steuerbar und
vollständig beobachtbar sein. Durch Vergleichssteuersignale sind
getrennt wählbare fehlersichere Festsollsignaturen steuerbar, die
von einem ersten Festsignaturspeicher nichtnegiert an den ersten
l-Bit-Signaturkomparator und von einem zweiten Festsignaturspeicher
negiert an den zweiten l-Bit-Signaturkomparator geschaltet
werden. Die Ausgänge der beiden l-Bit-Signaturkomparatoren werden
getrennt auf eine Auswerteschaltung gegeben, die unabhängig zwei
Retrigger- und zwei Interruptsignale zur doppelten Weiterverarbeitung
und/oder zum Anschluß zweier unabhängiger Timer
liefert. Aus der Rückmeldung der Ausgangssignale der Timer wird
ein nichtnegiertes Inhibitsignal und ein negiertes Inhibitsignal
zur redundanten Summenfehlermeldung erzeugt. Beide Signale werden
zum Sperren der aktiven Kommunikation redundant an alle
Kommunikationsinterface und an alle I/O-Interface geschaltet.
Zur Verbesserung der Fehlerunabhängigkeit ist vorgesehen, daß
jeder Rechner eine eigene von anderen Rechnern fehlerunabhängige
Stromversorgung und eine vorgeschaltete abschaltbare Rechnerschnittstelle
besitzt. Diese muß derart abschaltbar sein, daß ein
rückwirkungsfreies Entfernen und Replazieren einer Rechnerbaugruppe
ermöglicht wird.
Zur fehlertoleranten Meßgrößenerfassung wird eine Meßgröße von
mehr als zwei unabhängigen Meßwertaufnahmern erfaßt und getrennt
an mindestens zwei fehlerunabhängige Rechner verschaltet.
Zur fehlertoleranten Stellgrößenschaltung werden die fehlerunabhängigen
Ausgabekanäle unabhängiger Rechner getrennt auf jeweils
mehrere Stellgrößenschalter einer Stellgröße geschaltet.
Es zeigen:
Fig. 1 die erfindungsgemäße Anordnung
Fig. 2 den Ablauf einer ersten Verfahrensvariante
Fig. 3 den Ablauf einer zweiten Verfahrensvariante
Fig. 4 den Ablauf einer dritten Verfahrensvariante
Das erfindungsgemäße Rechnersystem muß mindestens gruppenweise
homogen kann auch vollständig homogen sein. Das entspricht der
Forderung und Zukunftsprognose der Hardwareentwicklung.
Das Mehrrechnersystem umfaßt M weitgehend fehlerunabhängige und
lose gekoppelte Rechner, die auf redundantem Wege kommunizieren
können, so daß fehlerhafte, selbstisolierte oder entfernte
Rechner sowie fehlerhafte Kommunikationsverbindungen bezüglich
der Kommunikation umgangen werden können.
Die Wahl der Verbindungstopologie hängt vor allem vom
beabsichtigten Wert M also der Anzahl der Rechner und der Anzahl
der Link- bzw. Busports pro Rechner ab.
Anwendbar sind Multibus, Array, Hypertorus, Hyperkubus, Cube-
Connected-Cycle u. a. Verbindungsstrukturen. Damit ist gewährleistet,
daß jeder Rechner mit jedem anderen auf direktem oder
indirektem Wege (über andere) kommunizieren kann und daß jeder
über Broadcast alle anderen benachrichtigen kann. Das bedeutet,
daß virtuell jeder Rechner mit jedem anderen verbunden ist.
Die erforderliche Schaltungsanordnung des fehlertoleranten Mehrrechnersystems
besteht aus mindestens gruppenweise gleichen
Rechnern. Jeder Rechner besitzt mindestens einen Prozessor 1,
einen ROM 4, einen RAM 5, einen Timer 6, ein I/O-Interface 12 und
ein Kommunikationsinterface 11. Letztere sollten um Redundanz und
Erweiterbarkeit zu ermöglichen mindestens 3 Link- bzw. 2 Busports
umfassen.
Der Timer 6 steuert bzw. überwacht die Prozeßfenster bei der
taskparallelen Bearbeitung des 2-aus-N-System.
Die Schaltungsanordnung zeichnet sich dadurch aus, daß jeder der
M Rechner einen fehlerunabhängigen Signaturschaltkreis 10
besitzt, der mit dem hierarchisch höchsten Prozessor 1 des
Rechners über den a-Bit-Datenvektor D, den Steuersignalvektor S
und den Adreßvektor A verbunden ist und daß in jedem Rechner ein
Signatur-RAM 7 existiert, der die eigenen Prozeß- und Ergebnissignaturen
sowie die von den anderen Rechnern gesendeten speichert.
An den hierarchisch höchsten Prozessor können
beispielsweise über Dual-Port-RAM 3 weitere Arbeits- und
Koprozessoren 2 angeschlossen sein.
Der Signaturschaltkreis 10 dient zur parallelen Datenkompression
der Daten des Datenbusses des Prozessors 1 entsprechend der
Signaturanalyse, wobei gesteuert durch den Prozessor 1 sowohl
Verarbeitungsprozesse bzw. ausgewählte Zustände von Prozessen zu
einer Prozeßsignatur als auch Speicherinhalte z. B. Ergebnisdatenblöcke,
die auf Verarbeitungsprozesse rückgeführt werden, zu
einer Ergebnisdatensignatur komprimiert werden.
Zwei identische Prozesse bzw. Ergebnisdatenmengen müssen im
Intaktfalle d. h. bei Identität folglich identische Signaturen
aufweisen. Der Signaturschaltkreis 10 dient außerdem zur Selbstüberwachung
des Rechners, zum Selbsttest und im festgestellten
Fehlerfall zur Selbstisolierung, wobei dann die aktive
Kommunikation über zwei Steuerleitungen das nichtnegierte
Inhibitsignal INH und das negierte Inhibitsignal NINH redundant
und fehlererkennbar (two-rail-codiert) unterbrochen wird. Dieses
Doppelsignal kann auch an die direkten Nachbarn des jeweiligen
Rechners zur beschleunigten Nachbarschaftsdiagnose verschaltet
werden.
Der Signaturschaltkreis wird vom Prozessor initialisiert,
gestartet, gestoppt, der Signaturvektor korrigiert, gelesen oder
fehlersicher geladen.
Der Signaturschaltkreis läßt sich durch folgende Befehle steuern:
Der Signaturschaltkreis 10 wird realisiert unter Verwendung von
bidirektionalen Verstärkern, Eingabespeicher, Signaturspeicher,
Signaturkomparatoren, Timern, Anzeigesteuerung und einer
testobjektabhängigen Adaptierschaltung über die die Anordnung an
den Prozessor angeschaltet ist. Der Signaturschaltkreis 10
zeichnet sich dadurch aus, daß ein a-Bit Datenvektor D des
Prozessors 1 über mindestens einen bidirektionalen Treiber und
mindestens einen Eingabespeicher an eine l-bit-Signaturverarbeitungslogik
geschaltet sind. Deren Ausgänge sind mit dem l-bit-
Signaturspeicher verbunden und sein nichtnegierter l-Bit-
Signaturvektor ist auf mindestens einen bidirektionalen Treiber,
auf die l-Bit-Signaturverarbeitungslogik als Zustandsinformation
und auf den ersten l-Bit-Signaturkomparator geschaltet und sein
negierter l-Bit-Signaturvektor ist auf eine Anzeigesteuerung und
einen zweiten l-Bit-Signaturkomparator geschaltet. Die Signaturspeicher
müssen bezogen auf den a-Bit-Datenvektor D vollständig
steuerbar und vollständig beobachtbar sein. Durch
Vergleichssteuersignale sind getrennt wählbare fehlersichere
Festsollsignaturen steuerbar, die von einem ersten
Festsignaturspeicher nichtnegiert an den ersten l-Bit-
Signaturkomparator und von einem zweiten Festsignaturspeicher
negiert an den zweiten l-Bit-Signaturkomparator geschaltet
werden. Die Ausgänge der beiden l-Bit-Signaturkomparatoren werden
getrennt auf eine Auswerteschaltung gegeben, die unabhängig je
zwei Retrigger-RTG1/2 und zwei Interruptsignale INT1/2 zur
doppelten Weiterverarbeitung und/oder zum Anschluß zweier
unabhängiger Timer 13, 14 liefert. Aus deren Rückmeldung wird ein
nichtnegiertes Inhibitsignal INH und ein negiertes Inhibitsignal
NINH zur redundanten Summenfehlermeldung erzeugt. Beide Signale
werden zum fehlererkennenden Sperren der aktiven Kommunikation
redundant an alle Kommunikationsinterface 11 und an alle I/O-
Interface 12 geschaltet. Das Senden wird schaltungstechnisch nur
dann erlaubt, wenn INH=Low und NINH=High ist. Bei den
restlichen drei Kombinationen der Signale wird gesperrt.
Das Entfernen eines Rechnerknotens aus dem Gesamtsystem muß ohne
Beeinflussung des Restsystems, d. h. rückwirkungsfrei durchführbar
sein.
Zur Verbesserung der Fehlerunabhängigkeit ist vorgesehen, daß
jeder Rechner eine eigene von anderen Rechnern fehlerunabhängige
Stromversorgung 8 und eine vorgeschaltete abschaltbare
Rechnerschnittstelle 15 besitzt. Diese muß derart abschaltbar
sein, daß ein rückwirkungsfreies Abschalten und Entfernen einer
defekten Rechnerbaugruppe sowie das Replazieren und Zuschalten
einer reparierten Rechnerbaugruppe ermöglicht wird. Das
verbleibende Rechnersystem muß während dieser Zeit arbeitsfähig
bleiben. Ein galvanisches Auftrennen des Abschaltsignals AS
bewirkt das rückwirkungsfreie Isolieren der abschaltbaren
Rechnerschnittstelle 15. Zur Darstellung des Arbeitszustandes und
zur Darstellung von Fehlermitteilungen ist an den Signaturschaltkreis
10 optional eine Signatur- und Statusanzeige anschließbar.
In jedem Rechner existiert physisch ein Signatur-RAM der ein
reservierter RAM-Bereich sein kann. In diesem Signatur-RAM werden
die Prozeßsignaturen und die Ergebnisse bzw. die Ergebnissignaturen
sowohl die des eigenen Rechners als auch die N-1
gesendeten der anderen Rechner bis zum Signaturvotingprozeß
abgelegt.
Auf N intakten der insgesamt M Rechner kann das erfindungsgemäße
2-aus-N-System mittels dezentralem verteiltem Signaturvoting und
diversitärer Taskbearbeitung installiert werden.
Wichtig ist, daß der Vergleich von zwei Signaturen als Gut-
Schlecht-Test und der Vergleich von N Signaturen bei N<2 als 2-
aus-N Vergleich genutzt wird.
Soll beispielsweise in einem Mehrrechnersystem mit 9 Rechnern ein
2-aus-7-System für eine bestimmte Task installiert werden, so muß
in jedem der 7 Rechner diese Task gespeichert sein.
Die taskparallele Bearbeitung erfolgt nicht zeitsynchron wohl
aber innerhalb eines begrenzten Zeitfensters. Das gestattet das
für die Fehlertoleranz vorteilhafte Entkoppeln der Taktsysteme
der Rechner.
In jedem Rechner wird die Taskbearbeitung mittels
Signaturschaltkreis, gesteuert durch den Prozessor, gleichzeitig
zur Bearbeitung bezüglich der repräsentativen Daten auf dem
Prozessordatenbus und in Abhängigkeit programmselektierter
Steuersignale zur Prozeßsignatur der Task komprimiert. Außerdem
werden anschließend die Ergebnisdaten durch Lesen des Prozessors
in gleicher Weise zu einer Ergebnisdatensignatur komprimiert.
Beide Signaturen werden im eigenen Signatur-RAM abgelegt und
außerdem werden die beiden Signaturen an alle anderen beteiligten
N-1 Rechner abgesendet.
Nach einer durch das Zeitfenster bestimmten Zeit beginnt der
erste Votingprozeß wobei in jedem Rechner also verteilt der
Signaturvergleich der abgelegten Signaturen stattfindet. Unter
der Annahme, daß keine gleichen Fehler zum gleichen Zeitpunkt in
fehlerunabhängigen Rechnern auftreten, kann davon ausgegangen
werden, daß zwei Prozesse mit übereinstimmenden Prozeßsignaturen
bezüglich permanenten und transienten Hardwarefehlern intakt
sind, daß also N-2 fehlerhafte Prozesse toleriert werden können.
Zusätzlich können die, zu den korrekten Prozeßsignaturen
gehörenden. Ergebnisdatensignaturen verglichen werden, die
außerdem als Schutz der Ausgabedaten beim Senden an die
Prozeßperipherie bzw. beim Weiterverarbeiten als Schutz der
Eingabedaten der nächsten Task dienen.
Jeder Rechner kann die korrekten Prozeß- und Ergebnisdatensignaturen
(2 aus N) im eigenen Votingprozeß ermitteln und
vergleicht diese mit den eigenen zwecks Selbstbewertung und im
wiederholten Fehlerfall zwecks Selbstisolierung im Sinne der
selbstreinigenden Redundanz aber auch um festzustellen, ob die
eigenen Ergebnisdaten weiter verarbeitet werden können oder
nicht. Signaturverfahren besitzen eine sehr hohe Fehlererkennungswahrscheinlichkeit
und sind vergleichsweise einfach zu
intrumentieren.
Die eigenen Ergebnisdaten eines Rechners können dann zur Ausgabe
oder zur Weiterverarbeitung als korrekt angenommen werden, wenn
die Signatur über diese Ergebnisdaten mit mindestens einer
Ergebnisdatensignatur eines anderen intakten Rechners
übereinstimmt und wenn dieser auch die korrekte Prozeßsignatur
aufweist. Der Vorteil ist, daß die Rechner untereinander nur die
Signaturen austauschen müssen um den Prozeß und die Daten zu
bewerten. Lediglich zum Schluß können die korrekten Ergebnisse
zur Weiterverarbeitung z. B. über Broadcast verteilt werden.
Weiterhin wird auch die Signatur zur Überprüfung der Datenübertragung
eingesetzt. Das ist erforderlich, falls die Anzahl der
teilnehmenden Rechner also der Redundanzgrad vergrößert wird,
falls eine Rekonfiguration also Umverlagerung der Bearbeitung im
Mehrrechnersystem stattfindet oder einfach nur wenn ein oder
mehrere Rechner inkorrekte Ergebnisse hatten oder weiterhin im
Verband bleiben und mit korrekten Ergebnissen die nachfolgende
Task beginnen sollen.
Vorteil und Problem ist, daß nur vollkommen identische
Prozeßabläufe bzw. Ergebnisdaten zu identischen Signaturen
führen.
Das widerspricht einer erforderlichen Diversität (Design-,
Programmdiversität) zum Erkennen bzw. Tolerieren von Entwurfsfehlern.
Andererseits kann bei künftigen homogenen Rechnerstrukturen auf
Grund der begrenzten Komplexität des einzelnen Rechners, der
hohen Herstellungsstückzahlen und der damit verbundenen
Perfektionierung des Entwurfs und der Herstellung davon
ausgegangen werden, daß Hardware-Entwurfsfehler vermieden werden
können. Da aber demgegenüber die Vielfalt der Softwareimplementierungen
stark zunehmen wird, werden sich auch die Entwurfsfehler
der Software häufen.
Im Normalfall d. h. bei einem ausgetesteten und die Regeln
beachtenden Programmentwurf, der die Voraussetzung für den
Einsatz in fehlertolerierendem Rechnersystem ist, kann geschätzt
werden, daß die Fehlerrate der Entwurfsfehler wesentlich geringer
als die Fehlerrate der permanenten und transienten Hardwarefehler
ist, die auf Alterserscheinungen, Herstellungsfehler, Umwelteinflüsse
zurückzuführen und nicht vollständig vermeidbar sind.
Wenn nicht nur permanente und transiente Hardwarefehler und
davon verursachte Softwarefehler toleriert werden sollen sondern
auch Softwareentwurfsfehler, so wird eine zweite Taskbearbeitung
mit einem diversitären Programm durchgeführt. So ist diese Task
dann in jedem der 7 Rechner in einer ersten Taskvariante und
einer diversitären zweiten Taskvariante vorhanden. Die Diversität
besteht dabei Algorithmus und der Logik ggf. durch unabhängige
Programmierung.
Nachfolgend werden drei Beispielvarianten der diversitären Taskbearbeitung
beschrieben.
Eine erste Verfahrensvariante (vgl. Fig. 2) beruht darauf, daß die
Bearbeitung der zweiten Taskvariante auf der gleichen Menge
Rechner und mit einem anschließenden zweiten Prozeßsignaturvoting
der Rechner untereinander und anschließendem Vergleichstest der
zwei repräsentativen korrekten Ergebnisdatensignaturen erfolgt.
Merkmal dieser Variante ist geringe Hardwareredundanz auf Kosten
von Zeitredundanz. Im Differenzfall muß auf einen Softwareentwurfsfehler
in einer der beiden Programmvarianten ausgegangen werden,
der mit sehr hoher Fehlererkennungswahrscheinlichkeit entdeckt
wird.
Von der Aufgabenstellung hängt es ab, wie weiterverfahren wird.
Entweder die Ergebnisse können durch Akzeptanztest, beispielsweise
logische Bewertung, in korrekte und unkorrekte unterschieden
werden oder es muß eine dritte diversitäre Programmversion
vorhanden sein, die für diesen selten auftretenden Fall u. U.
nachgeladen und in beschriebener Weise abgearbeitet wird und
deren Ergebnisdatensignatur dann im 2-aus-3-System wiederum
verteilt bewertet wird, wodurch dann dieser Entwurfsfehler
toleriert wird.
Eine zweite Verfahrensvariante (vgl. Fig. 3) beruht darauf, daß die
diversitäre Bearbeitung auch parallelisiert werden kann. Merkmal
dieses Verfahrens ist reduzierte Zeitredundanz auf Kosten von
Hardwareredundanz. Dazu werden zur Entwurfsfehlererkennung zwei,
zur Entwurfsfehlertoleranz mindestens drei annähernd gleichgroße
aber nicht notwendigerweise gleichgroße Gruppen von Rechnern
dynamisch festgelegt, wobei in der ersten Gruppe die erste
Programmversion, in der zweiten Gruppe die zweite Programmversion
usw. im gleichen Zeitfenster bearbeitet wird. In den Gruppen wird
2-aus-N-Prozeßsignaturvoting durchgeführt und sofort anschließend
über die repräsentativen korrekten Ergebnissignaturen das 2 aus 3
Ergebnissignaturvoting vorgenommen.
Eine weitere vorteilhafte Verfahrensvariante (vgl. Fig. 4) ist, daß
die erste Version beispielsweise 2 aus 7 bearbeitet wird, daß die
zweite Version nur auf einem Rechner bearbeitet wird, daß
anschließend der Vergleich der Ergebnissignaturen der beiden
Versionen durchgeführt wird. Bei Übereinstimmung ist der Prozeß
abgeschlossen. Bei Differenz bearbeiten die 7 Rechner die zweite
Version und ein Rechner u. U. bereits die dritte Version usw.
Mit nachfolgendem 2-aus-3-Voting über die Ergebnisdatensignaturen
wird ein Verfahren geschaffen, das mit wenigen Rechnern und mit
geringer Zeitredundanz eine extrem hohe Fehlersicherheit bietet.
Aus diesen drei repräsentativen Beispielen sind weitere Varianten
ableitbar.
Es existiert eine Grundkonfiguration mit M Rechnern in der sich
als Untermenge die intakte Konfiguration (Menge aller
arbeitsfähigen Rechner) mit K Rechnern zum Zeitpunkt t befindet.
In dieser Menge können je nach geforderten Fehlertoleranzgrad ein
oder mehrere Votingmengen (Votingkonfiguration) mit beispielsweise
je annähernd N Rechner organisiert werden.
Die Implementierung des Fehlertoleranzgrades kann als flexibler,
dynamisch, veränderbarer Prozeß aufgefaßt werden, wodurch eine
optimale Auslastung der Ressourcen gewährleistet wird.
In einem Rechnersystem mit M Rechnern seien zum Zeitpunkt t genau
K Rechner intakt. M-K Rechner sind selbstisoliert und warten auf
die Reparatur bzw. sind in Reparatur. Es stehen K Rechner zur
Verfügung.
Normalerweise können alle K Rechner auch K verschiedene Tasks zur
gleichen Zeit bearbeiten. Für hochzuverlässige Aufgaben können
dagegen im Extremfall alle K Rechner die gleiche Task bearbeiten
und so ein 2-aus-K-System bilden.
Nimmt man beispielsweise ein Mehrrechnersystem mit 256 Rechnern
an, so ist es vollkommen ausreichend, wenn 8 Rechner, die
verteilt im System liegen, eine hochzuverlässige Task bearbeiten
und die restlichen mit gleichem, höherem oder niedrigem
Redundanzgrad verteilt arbeiten.
Diese Verteilung der Zusammenarbeit kann in der nächsten
Zeitscheibe vollkommen anders sein. Dieser hohe Grad an
Flexibilität durch dynamische Anpassung ist sehr vorteilhaft für
das Überleben eines Rechnersystems d. h., für seine hohe Verfügbarkeit.
Die räumliche Verteilung der Taskkopien ist dabei eine ergänzende
Maßnahme zur Verbesserung der Fehlertoleranz.
Ganz gleich welche der 256 Rechner ausfallen, der erforderliche
Redundanzgrad des 2-aus-8-Systems ist trotz einer hohen Fehlerzahl
dynamisch softwaremäßig rekonfigurierbar.
Natürlich sollte die Anzahl fehlerhafter Rechner durch ereignisabhängige,
prophylaktische (bei registrierten Unzuverlässigkeiten)
oder durch die Missionszeit festgelegte Reparatur so gering
wie möglich gehalten werden.
Bei Anwendung fehlertoleranter Rechnersysteme für
Prozeßsteuerungen ist es außerdem sinnvoll Meßwerte redundant zu
erfassen, unter den Rechnern auszutauschen und zu vergleichen, um
nur korrekte und identische aber fehlertolerant erfaßte Eingabewerte
zu verwenden. Das ist eine sinnvolle Ergänzung zum
Prozeßsignaturvoting.
Zur fehlertoleranten Meßgrößenerfassung wird eine Meßgröße von
mehr als zwei unabhängigen Meßwertaufnahmern erfaßt und getrennt
an mindestens zwei fehlerunabhängige Rechner verschaltet.
Die Ausgabedaten, die durch die Ergebnisdatensignatur gesichert
werden, sollten auf fehlerunabhängige Ausgabekanäle unabhängiger
Rechner und getrennt auf jeweils mehrere Stellgrößenschalter
einer Stellgröße geschaltet werden, wobei beispielsweise für
failsafe-eingeschaltet eine Parallelschaltung und für failsafe-
ausgeschaltet eine Reihenschaltung zu verwenden ist.
Aufstellung der verwendeten Bezugszeichen
1 Prozessor
2 Arbeits- oder Koprozessor
3 Dual-Port-RAM
4 ROM
5 RAM
6 Timer
7 Signatur-RAM
8 Stromversorgung
9 Signatur- und Statusanzeige
10 Signaturschaltkreis
11 Kommunikationsinterface 1 bis i
12 I/O-Interface 1 bis j
13 Timer 1
14 Timer 2
15 Abschaltbare Rechnerschnittstelle
M Anzahl der Rechner
K Anzahl der intakten Rechner
N Anzahl der redundant arbeitenden Rechner
RESET Resetsignal
HALT Haltsignal
A Adressvektor
C Clock-Signal
S Steuersignalvektor
D a-Bit-Datenvektor
RTG 1/2 Retriggersignal 1/2
INT 1/2 Interruptsignal 1/2
TE 1/2 Zeitfehlersignal 1/2
INH nichtnegiertes Inhibitsignal
NINH negiertes Inhibitsignal
KA 1/i Kommunikationsanschluß 1/i
IOA 1/j I/O-Anschluß 1/j
SVA Stromversorgungsanschluß
AS Abschaltsignal
2 Arbeits- oder Koprozessor
3 Dual-Port-RAM
4 ROM
5 RAM
6 Timer
7 Signatur-RAM
8 Stromversorgung
9 Signatur- und Statusanzeige
10 Signaturschaltkreis
11 Kommunikationsinterface 1 bis i
12 I/O-Interface 1 bis j
13 Timer 1
14 Timer 2
15 Abschaltbare Rechnerschnittstelle
M Anzahl der Rechner
K Anzahl der intakten Rechner
N Anzahl der redundant arbeitenden Rechner
RESET Resetsignal
HALT Haltsignal
A Adressvektor
C Clock-Signal
S Steuersignalvektor
D a-Bit-Datenvektor
RTG 1/2 Retriggersignal 1/2
INT 1/2 Interruptsignal 1/2
TE 1/2 Zeitfehlersignal 1/2
INH nichtnegiertes Inhibitsignal
NINH negiertes Inhibitsignal
KA 1/i Kommunikationsanschluß 1/i
IOA 1/j I/O-Anschluß 1/j
SVA Stromversorgungsanschluß
AS Abschaltsignal
Claims (10)
1. Verfahren eines fehlertoleranten Mehrrechnersystems mit
untereinander kommunizierenden Rechnern zur Realisierung eines 2-
aus-N-Systems, wobei die Rechner parallel arbeiten, dadurch
gekennzeichnet, daß identische Datenfolgen in N Rechnern im
gleichen Zeitfenster aber nicht notwendigerweise zeitsynchron
abgearbeitet werden, daß die Datenfolgen dabei in jedem Rechner
zu einem Signaturvektor komprimiert werden und daß der Signaturvektor
sowie das Ergebnis der Datenfolgen bzw. die Signatur der
Ergebnisse der Datenfolge jedes Rechners über das Kommunikationsnetzwerk
an alle N-1 anderen Rechner gesendet wird und daß jeder
Rechner die beiden Vektoren der anderen Rechner in seinem
Signatur-RAM-Bereich speichert und als dezentraler Signaturvoter
arbeitet, indem jeder Rechner seinen eigenen Signaturvektor und
die maximal N-1 erhaltenen vergleicht, wobei bei mindestens zwei
identische Signaturvektoren die zugeordneten Rechner, Datenfolgen
und Ergebnisse in diesem Zeitraster als korrekt angenommen
werden und daß eine Selbstbewertung durch Vergleich des eigenen
Signaturvektors mit dem als korrekt ermittelten Signaturvektor
erfolgt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß
mindestens ein zum Algorithmus des 2-aus-N-Systems diversitärer
Algorithmus auf mindestens einem Rechner abgearbeitet wird, über
den ebenfalls die Prozeßsignatur und die Ergebnissignatur
gebildet wird und daß ein zweiter Vergleich der Ergebnisse bzw.
Ergebnissignaturen der diversitären Algorithmen stattfindet und
daß das Vergleichsergebnis ein Test ist, der über die Wiederholung
desselben oder eines diversitären Algorithmus entscheidet.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß
bezüglich des Vergleichs der Ergebnissignaturen von l
diversitären Algorithmen ein 2-aus-l-System organisiert wird.
4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, daß
mindestens ein diversitärer Algorithmus auf mindestens einem
Rechner im gleichen Zeitfenster zum 2-aus-N-System abgearbeitet
wird.
5. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, daß
mindestens ein diversitärer Algorithmus in mindestens einem
nachfolgenden Zeitfenster auf mindestens einem der N
Rechner der 2-aus-N-System abgearbeitet wird.
6. Schaltungsanordnung zur Durchführung des Verfahrens nach
Anspruch 1 bis 5 eines fehlertoleranten Mehrrechnersystems
bestehend aus mindestens gruppenweise gleichen Rechnern, wobei
jeder Rechner mindestens eine CPU, einen ROM, einen RAM, einen
Timer, ein I/O-Interface und ein Kommunikationsinterface besitzt,
dadurch gekennzeichnet, daß jeder der M Rechner einen fehlerunabhängigen
Signaturschaltkreis (10) besitzt, der mit dem hierarchisch
höchsten Prozessor (1) des Rechners über den a-Bit-Datenvektor
(D), den Steuersignalvektor (S) und den Adressvektor (A)
verbunden ist, daß in jedem Rechner ein Signatur-RAM (7) existiert,
der die eigenen Prozeß- und Ergebnissignaturen sowie die
von den anderen Rechnern gesendeten speichert.
7. Schaltungsanordnung nach Anspruch 6 unter Verwendung von
bidirektionalen Verstärkern, Eingabespeicher, Signaturspeicher,
Signaturkomparatoren, Timern, Anzeigesteuerung und einer
testobjektabhängigen Adaptierschaltung, über die die Anforderung an
den Prozessor angeschaltet ist, dadurch gekennzeichnet, daß ein
a-Bit-Datenvektor (D) des Prozessors (1) über mindestens einen
bidirektionalen Treiber des Signaturschaltkreises (10) und
mindestens einen Eingabespeicher an eine l-bit-Signaturverarbeitungslogik
geschaltet sind, deren Ausgänge mit dem l-bit-
Signaturspeicher verbunden sind und daß sein nichtnegierter l-Bit-
Signaturvektor auf mindestens einen bidirektionalen Treiber, auf
die l-Bit-Signaturverarbeitungslogik als Zustandsinformation und
auf den ersten l-Bit-Signaturkomparator und daß sein negierter l-
Bit-Signaturvektor auf eine Anzeigesteuerung und einen zweiten l-
Bit-Signaturkomparator geschaltet sind, daß die Signaturspeicher
bezogen auf den a-Bit-Datenvektor (D) vollständig steuerbar und
vollständig beobachtbar sind, daß durch Vergleichssteuersignale
getrennt wählbare fehlersichere Festsollsignaturen steuerbar
sind, die von einem ersten Festsignaturspeicher nichtnegiert an
den ersten l-Bit-Signaturkomparator und von einem zweiten Festsignaturspeicher
negiert an den zweiten l-Bit-Signaturkomparator
geschaltet sind und daß die Ausgänge der beiden l-Bit-Signaturkomparatoren
getrennt auf eine Auswerteschaltung gegeben werden,
die unabhängig zwei Retrigger- (RTG 1/2) und zwei Interruptsignale
(INT 1/2) zur doppelten Weiterverarbeitung und/oder zum Anschluß
zweier unabhängiger Timer (13, 14) liefert und daß aus der Rückmeldung
der Ausgangssignale der Timer (13, 14) ein nichtnegiertes
Inhibitsignal (INH) und ein negiertes Inhibitsignal (NINH) zur
redundanten Summenfehlermeldung geschaltet wird und daß beide
Signale an alle Kommunikationsinterface (11) und an alle I/O-
Interface (12) geschaltet sind.
8. Schaltungsanordnung nach Anspruch 6 oder 7, dadurch gekennzeichnet,
daß jeder Rechner eine eigene von anderen Rechnern
fehlerunabhängige Stromversorgung (8) und eine vorgeschaltete
abschaltbare Rechnerschnittstelle (15) besitzt und daß diese
derart abschaltbar ist, daß ein rückwirkungsfreies Entfernen und
Replatzieren einer Rechnerbaugruppe ermöglicht wird.
9. Schaltungsanordnung nach Anspruch 6 bis 8 zur fehlertoleranten
Meßgrößenerfassung, dadurch gekennzeichnet, daß eine Meßgröße
von mehr als zwei unabhängige Meßwertaufnahmern erfaßt und
getrennt an mindestens zwei fehlerunabhängige Rechner verschaltet
wird.
10. Schaltungsanordnung nach Anspruch 6 oder 9 zur fehlertoleranten
Stellgrößenschaltung, dadurch gekennzeichnet, daß die
fehlerunabhängigen Ausgabekanäle unabhängiger Rechner getrennt
auf jeweils mehrere Stellgrößenschalter einer Stellgröße geschaltet
werden.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DD31988088A DD275545A1 (de) | 1988-09-16 | 1988-09-16 | Verfahren und anordnung eines fehlertoleranten mehrrechnersystems |
Publications (1)
Publication Number | Publication Date |
---|---|
DE3930075A1 true DE3930075A1 (de) | 1990-03-22 |
Family
ID=5602486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19893930075 Ceased DE3930075A1 (de) | 1988-09-16 | 1989-09-09 | Verfahren und anordnung eines fehlertoleranten mehrrechnersystems |
Country Status (2)
Country | Link |
---|---|
DD (1) | DD275545A1 (de) |
DE (1) | DE3930075A1 (de) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0817052A1 (de) * | 1996-07-01 | 1998-01-07 | Sun Microsystems, Inc. | Lokalisierung eines fehlerhaften Moduls in einem fehlertoleranten Rechnersystem |
DE19752873A1 (de) * | 1997-11-28 | 1998-12-10 | Siemens Ag | Verfahren zum Umformen eines Datensatzes und Datenverarbeitungsvorrichtung zur Durchführung des Verfahrens |
DE10041989A1 (de) * | 2000-08-26 | 2002-03-07 | Volkswagen Ag | Fehlertolerante Sensorik |
DE10223880A1 (de) * | 2002-05-29 | 2004-01-08 | Robert Bosch Gmbh | Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems |
-
1988
- 1988-09-16 DD DD31988088A patent/DD275545A1/de not_active IP Right Cessation
-
1989
- 1989-09-09 DE DE19893930075 patent/DE3930075A1/de not_active Ceased
Non-Patent Citations (1)
Title |
---|
HÖLSCHER, H. und RADER, J.: Mikrocomputer in der Sicherheitstechnik, Verlag TÜV Rheinland, Köln 1984, S. 7-9, 7-10, 7-15, 7-16, 7-81, 7-82 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0817052A1 (de) * | 1996-07-01 | 1998-01-07 | Sun Microsystems, Inc. | Lokalisierung eines fehlerhaften Moduls in einem fehlertoleranten Rechnersystem |
US5993055A (en) * | 1996-07-01 | 1999-11-30 | Sun Microsystems, Inc. | Faulty module location in a fault tolerant computer system |
DE19752873A1 (de) * | 1997-11-28 | 1998-12-10 | Siemens Ag | Verfahren zum Umformen eines Datensatzes und Datenverarbeitungsvorrichtung zur Durchführung des Verfahrens |
DE10041989A1 (de) * | 2000-08-26 | 2002-03-07 | Volkswagen Ag | Fehlertolerante Sensorik |
DE10041989B4 (de) * | 2000-08-26 | 2012-08-09 | Volkswagen Ag | Fehlertolerante Sensorik |
DE10223880A1 (de) * | 2002-05-29 | 2004-01-08 | Robert Bosch Gmbh | Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems |
DE10223880B4 (de) * | 2002-05-29 | 2004-06-17 | Robert Bosch Gmbh | Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems |
Also Published As
Publication number | Publication date |
---|---|
DD275545A1 (de) | 1990-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004005642T2 (de) | Sicherheitssteuerung zur Durchführung von Standard- und Sicherheitssteuerungsprogrammen | |
EP1743225B1 (de) | Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät | |
DE19531653A1 (de) | Einchip-Mikroprozessor mit eingebauter Selbsttestfunktion | |
EP2513796B1 (de) | Verfahren zum betreiben einer recheneinheit | |
DE2048670A1 (de) | Speicherwartungsanordnung fur Daten verarbeitungsanlagen | |
EP1092177A1 (de) | Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks | |
DE1574598C3 (de) | Steuereinrichtung für Fernmelde-, insbesondere Fernsprechvermittlungsanlagen | |
DE19811864A1 (de) | Redundante Steuerungsvorrichtung und Fehlererholungsverfahren für diese | |
DE102012106652A1 (de) | Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik | |
DE3930075A1 (de) | Verfahren und anordnung eines fehlertoleranten mehrrechnersystems | |
DE102016106531A1 (de) | Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers | |
DE10302456A1 (de) | Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur | |
DE102011007467A1 (de) | Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung | |
DE69915788T2 (de) | Mikrokontrollgerät mit Fehlerbeseitigungsunterstützung | |
DE3502387A1 (de) | Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen | |
EP0404992B1 (de) | Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen | |
DE102017201621A1 (de) | Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung | |
DE1955721A1 (de) | Datenverarbeitungssystem | |
DE10303654A1 (de) | Integrierte Halbleiterschaltung mit eingebauter Selbsttestfunktion und zugehöriges System | |
DE112017006135B4 (de) | Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren | |
EP0645710A2 (de) | Verfahren zur Funktionsprüfung signaltechnisch nicht sicherer Speicher für mindestens zweikanalig abgespeicherte Nutzdaten und Einrichtung zur Durchführung des Verfahrens | |
EP3739479A1 (de) | Verfahren zur fehlersuche in der programmlogik eines systems verteilter programmierbarer gatteranordnungen | |
EP1224547B1 (de) | Integrierter elektronischer baustein mit duplizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke | |
DE19543817C2 (de) | Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur | |
DE102020104595B3 (de) | Integrierter Schaltkreis mit Selbsttestschaltung, Verfahren zum Betreiben eines integrierten Schaltkreises mit Selbsttestschaltung, Mehrkernprozessoreinrichtung und Verfahren zum Betreiben einer Mehrkernprozessoreinrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8127 | New person/name/address of the applicant |
Owner name: STOPP, ANDREAS, DR., 12679 BERLIN, DE |
|
8139 | Disposal/non-payment of the annual fee | ||
8170 | Reinstatement of the former position | ||
8110 | Request for examination paragraph 44 | ||
8127 | New person/name/address of the applicant |
Owner name: STOPP, ANDREAS, DR., 15366 NEUENHAGEN, DE |
|
8131 | Rejection |