DE4135640A1 - Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer - Google Patents

Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer

Info

Publication number
DE4135640A1
DE4135640A1 DE19914135640 DE4135640A DE4135640A1 DE 4135640 A1 DE4135640 A1 DE 4135640A1 DE 19914135640 DE19914135640 DE 19914135640 DE 4135640 A DE4135640 A DE 4135640A DE 4135640 A1 DE4135640 A1 DE 4135640A1
Authority
DE
Germany
Prior art keywords
computer
signal
signals
clock
computers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE19914135640
Other languages
German (de)
Inventor
Savas Thuemis
Heinz 6980 Wertheim De Linowski
Ruediger 6985 Stadtprozelten De Grimm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industronic Industrie-Electronic & Co Kg 6980 Wertheim De GmbH
Original Assignee
Industronic Industrie-Electronic & Co Kg 6980 Wertheim De GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industronic Industrie-Electronic & Co Kg 6980 Wertheim De GmbH filed Critical Industronic Industrie-Electronic & Co Kg 6980 Wertheim De GmbH
Priority to DE19914135640 priority Critical patent/DE4135640A1/en
Publication of DE4135640A1 publication Critical patent/DE4135640A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1691Temporal synchronisation or re-synchronisation of redundant processing components using a quantum
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component

Abstract

The computer system comprises three computers (10,20,30) operating in parallel, linked by a common data bus (40) and controller (60). Each computer has an independent clock source (CLK1,CLK2,CLK3). The clock signals are compared to threshold levels relating to time, and any computer which does not fall into the tolerance band is isolated. The tolerance values may either be stored by the controller or generated w.r.t. a time slot. The controller contains a timer, logic circuitry and input register. ADVANTAGE - Increase data transfer safety, simplified design using single data bus.

Description

Die Erfindung betrifft eine dreifach redundante Rechner-Einrichtung mit drei gleichen, parallel arbeitenden Rechnern, denen zur Datenübertragung ein Datenbus sowie eine Steuereinrichtung zugeordnet sind, wobei jeder Rechner eine Taktquelle besitzt, die von den Taktquellen der anderen Rechner unabhängig ist.The invention relates to a triple redundant Computer setup with three of the same, in parallel working computers, which for data transmission Data bus and a control device are assigned, where each computer has a clock source from the clock sources of the other computers is independent.

In der Zeitschrift Elektronik Praxis vom 19. September 1991, Seite 102, wird ein dreifach redundantes, Tricon genanntes Steuerungssystem beschrieben, bei welchem Eingangsdaten drei parallel arbeitenden Rechnern über je einen separaten Bus zugeführt werden. Die Rechner stehen während der Bearbeitung über spezielle Schnittstellen zwecks gegenseitiger Synchronisation und Datenaustausch in Verbindung und geben Ausgangsdaten über je einen eigenen Ausgangsbus an eine Bewertungsschaltung, die die auszugebenden Daten über einen Datenbus Auswerteeinrichtungen zur Verfügung stellt. Dieses dreifach redundante System ist sehr aufwendig, weil zusätzlich zu den drei gleichlaufenden Rechnern mehrere Datenkanäle sowie die genannte Bewertungsschaltung erforderlich sind.In the electronics practice magazine from September 19 1991, page 102, becomes a triple redundant Tricon control system described, in which Input data to three computers working in parallel a separate bus can be fed. The calculator stand over special during editing Interfaces for mutual synchronization and Data exchange in connection and give output data each via its own output bus to one Evaluation circuit that the data to be output via a data bus evaluation devices are available poses. This triple redundant system is very expensive because in addition to the three synchronized ones Computers several data channels as well as the mentioned Evaluation circuit are required.

Der Erfindung liegt demgegenüber die Aufgabe zugrunde, eine dreifach redundante Rechner-Einrichtung der eingangs genannten Art mit geringerem Aufwand und hinreichender Ausfall-Sicherheit zu schaffen.The invention is based on the object a triple redundant computer device type mentioned with less effort and to provide adequate security against failure.

Dazu ist bei der genannten Einrichtung erfindungsgemäß vorgesehen, daß die zur Datenübertragung vorgesehenen Taktsignale aller Rechner, die parallel an den Datenbus angeschlossen sind, gegen eine zeitliche Toleranzschwelle in der Steuereinrichtung verglichen werden, und derjenige Rechner angezeigt wird, dessen Taktsignale außerhalb der Toleranzschwelle liegen. Der Erfindung liegt der Gedanke zugrunde, die Prüfung auf Rechnerausfall auf eine Prüfung der die Datenübertragung steuernden Taktsignale zu konzentrieren. Dieses Konzept vereinfacht den Schaltungs- und Softwareaufwand ohne wesentliche Einbuße an Ausfallsicherheit bezüglich der Rechner.For this purpose, according to the invention in the device mentioned provided that those intended for data transmission Clock signals from all computers connected in parallel to the data bus  are connected against a temporal Tolerance threshold compared in the control device and the computer is displayed whose Clock signals are outside the tolerance threshold. The Invention is based on the idea of testing on Computer failure on an audit of the Clock signals controlling data transmission focus. This concept simplifies the Circuit and software effort without essential Loss of reliability with regard to the computers.

In bevorzugter Ausgestaltung der Erfindung ist die Toleranzschwelle durch ein in der Steuereinrichtung gespeichertes oder erzeugtes Zeitfenster verwirklicht. Weiter empfiehlt es sich, in der Steuereinrichtung ein Eingangsregister vorzusehen, das von allen Rechnern die Taktsignale für die Datenübertragung aufnimmt, an welches ein Zeitgeber sowie eine Logikeinheit angeschlossen sind, wobei Ausgangssignale der Logikeinheit unter Steuerung durch den Zeitgeber einem ersten und einem zweiten Signalgeber derart zugeführt sind, daß die erste Zustandsänderung in einem der Taktsignale, welche als erste nach gleichen binären Zuständen aller Taktsignale auftritt, durch Anstoßen des Zeitgebers das Zeitfenster öffnet, dessen vorgegebene Dauer wesentlich kürzer als die Impulsbreite der Taktsignale ist, daß ein die Datenübertragung steuerndes Übertragungstaktsignal vom ersten Signalgeber dann erzeugt wird, wenn eine zweite Zustandsänderung in einem der Taktsignale auftritt, und daß vom zweiten Signalgeber ein Fehlersignal erster Art für denjenigen Rechner erzeugt wird, dessen Taktsignal- Zustandsänderung außerhalb des die zweite Zustandsänderung überdeckenden Zeitfensters liegt. Dazu erweist es sich als vorteilhaft, wenn vom zweiten Signalgeber ein Fehlersignal zweiter Art für denjenigen Rechner erzeugt wird, zu dessen Taktsignal- Zustandsänderung in dem Zeitfenster keine weitere Zustandsänderung eines der Taktsignale der anderen Rechner auftritt. Bevorzugt wird eine eindeutige Beziehung zwischen einem Fehlersignal und dem die Erzeugung des Fehlersignals verursachenden Rechner geschaffen. Auf diese Weise lassen sich beispielsweise durch geeignet angebrachte, rechnerbezogene und von einem Fehlersignal erster oder zweiter Art beaufschlagte Leuchten diejenigen Rechner anzeigen und aus der Datenübertragung elimienieren, deren Takt aus der Toleranzschwelle hinausgelaufen ist.In a preferred embodiment of the invention Tolerance threshold by a in the control device saved or generated time window realized. It is also recommended to enter the control device Provide input register that the of all computers Receives clock signals for data transmission which is a timer as well as a logic unit are connected, with output signals of Logic unit under the control of the timer one first and a second signal generator supplied in this way are that the first state change in one of the Clock signals which are the first after the same binary States of all clock signals occurs by bumping of the timer opens the time window whose specified duration is significantly shorter than that Pulse width of the clock signals is that a Data transmission controlling transmission clock signal from first signal generator is generated when a second State change occurs in one of the clock signals, and that an error signal of the first kind from the second signal generator is generated for the computer whose clock signal Change of state outside of the second State change overlapping time window lies. To it proves to be advantageous if from the second  Signal generator an error signal of the second kind for those Computer is generated, at whose clock signal State change in the time window no more Change of state of one of the clock signals of the other Calculator occurs. A clear one is preferred Relationship between an error signal and that Generation of the error signal causing computer created. In this way, for example through suitably attached, computer-related and from an error signal of the first or second type acted lights show those computers and Eliminate from the data transmission, their clock from has exceeded the tolerance threshold.

Nach einer besonders einfachen Ausgestaltung der Erfindung kann der Zeitgeber ein von einem Impulsgenerator gesteuerter Zähler mit vorgegebenem Zählerhöchststand sein, der die Dauer des Zeitfensters bestimmt, wobei sich die Toleranzschwelle besonders einfach den Erfordernissen anpassen läßt, wenn der Zählerhöchststand einstellbar ist. Die Logikeinheit kann grundsätzlich ein Gatterfeld umfassen, dessen einzelne Gatter zur erforderlichen, bedingungsabhängigen Signalerzeugung logisch zusammengeschaltet sind. Der für ein derartiges Gatterfeld erforderlich Raumbedarf läßt sich in bevorzugter Ausbildung der Erfindung dadurch wesentlich reduzieren, wenn die Logikeinheit einen Lesespeicher (ROM) oder einen programmierbaren Logikbaustein (PLD) mit nachgeschaltetem oder integriertem Ausgangsregister aufweist. Dabei empfiehlt es sich, einige Speicherplätze des Ausgangsregisters auf einige Eingangsadressen des Lesespeichers zurückzuführen, um die dem eliminierten Rechner zugeordnete Bausteine von der Bildung des Übertragungstaktsignals und der Synchronisation mit den übrigen Rechnern auszuschließen.According to a particularly simple embodiment of the Invention can be the timer one by one Pulse generator controlled counter with a predetermined The maximum counter value is the duration of the time window determined, with the tolerance threshold particularly can simply be adapted to the requirements if the Counter maximum is adjustable. The logic unit can basically include a gate field, the individual gates to the required condition-dependent signal generation logically are interconnected. The one for one Gatterfeld required space can be in preferred embodiment of the invention thereby essential reduce if the logic unit has a read memory (ROM) or a programmable logic device (PLD) with downstream or integrated output register having. It is recommended to do some Output register memory locations on some Input addresses of the read memory in order to the blocks of the assigned computer from the formation of the transmission clock signal and the  Synchronization with the other computers to exclude.

Wenn die den Betrieb der Rechner steuernden Programme so geschrieben sind, daß jeder Rechner an vorbestimmten Stellen des Programms ein Synchronisiersignal erzeugt, dann kann der Ausfall eines Rechners bereits vor der Datenübertragung dadurch festgestellt werden, daß die Synchronisationssignale der Rechner dem Eingangsregister zugeführt werden, wobei die Erzeugung des Übertragungstaktsignals unterdrückt wird.If the programs controlling the operation of the computers are written so that each computer at predetermined The program generates a synchronization signal, then the failure of a computer can occur before Data transmission can be determined that the Synchronization signals from the computer Input registers are supplied, the generation of the transmission clock signal is suppressed.

Die Erfindung wird nachstehend anhand des in der beigefügten Zeichnung dargestellten Ausführungsbeispiels im einzelnen beschrieben. Es zeigtThe invention is illustrated below in the attached drawing Embodiment described in detail. It shows

Fig. 1 ein schematisches Schaltungsdiagramm einer Rechnereinrichtung; Fig. 1 is a schematic circuit diagram of a computing device;

Fig. 2 ein schematisches Blockdiagramm der Steuereinrichtung nach Fig. 1; und FIG. 2 shows a schematic block diagram of the control device according to FIG. 1; and

Fig. 3 bis 6 eine schematische Darstellung verschiedener Impulszüge im Verhältnis zu einem Zeitfenster. FIGS. 3 to 6 is a schematic representation of various pulse trains in relation to a time window.

Die Rechnereinrichtung umfaßt drei gleiche Rechner 10, 20, 30, deren Datenein- und ausgänge parallel an einen E/A-Datenbus 40 über Datenein-/ausgabeports 12, 22, 32 angeschlossen sind. Jeder der Rechner 10, 20, 30 kann aus einer oder mehreren steckbaren Platinen bestehen. Jeder der Rechner 10, 20, 30 besitzt weitere separate Signalausgänge, auf die noch eingegangen wird. Diese Signalausgänge stehen über einen Control-Bus 50 mit einer Steuereinrichtung 60 in Verbindung, welche über den Control-Bus 50 Steuersignale aus jedem der Rechner 10, 20, 30 aufnimmt und an jeden dieser Rechner sendet. Die Steuereinrichtung 60, die ebenfalls auf einer oder mehreren steckbaren Platinen realisiert sein kann, besitzt einen CLOCK-Ausgang 62 und einen ERROR-Ausgang 64. An den CLOCK-Ausgang 62 ist eine Leitung 61 zur Übertragung eines Übertragungstaktes angeschlossen. An den ERROR-Ausgang 64 ist eine Leitung 63 zur Übertragung eines einen Notbetrieb anzeigenden Signals angeschlossen.The computing device comprises three identical computers 10 , 20 , 30 , the data inputs and outputs of which are connected in parallel to an I / O data bus 40 via data input / output ports 12 , 22 , 32 . Each of the computers 10 , 20 , 30 can consist of one or more pluggable boards. Each of the computers 10 , 20 , 30 has further separate signal outputs, which will be discussed later. These signal outputs are connected via a control bus 50 to a control device 60 which receives control signals from each of the computers 10 , 20 , 30 via the control bus 50 and sends them to each of these computers. The control device 60 , which can also be implemented on one or more plug-in boards, has a CLOCK output 62 and an ERROR output 64 . A line 61 for transmitting a transmission clock is connected to the CLOCK output 62 . A line 63 for transmitting a signal indicating an emergency operation is connected to the ERROR output 64 .

Die in Fig. 2 im einzelnen dargestellte Steuereinrichtung besitzt zunächst ein Eingangsregister 610, welches über drei parallele Eingänge 611, 612, 613 Taktsignale aus dem Control-Bus 50 aufnimmt. Ausgangsseitig ist das Eingangsregister 610 mit einer im Ganzen als Überwachungslogik 620 bezeichneten Logikeinheit verbunden, deren Ausgang über einen Steuerbus 622 mit mehreren nachgeschalteten Einheiten verbunden ist. Zu diesen zählen ein Ausgabetreiber 650, welcher in im einzelnen nicht dargestellter Weise einen ersten und einen zweiten Signalgeber enthält. Ferner ist an die Logikeinheit 620 ausgangsseitig ein Zähler 630 sowie ein Verschaltungsnetzwerk 660 für Synchronisationssignale angeschlossen. Das Eingangsregister 610, die Logikeinheit 620 und der Zähler 630 werden taktmäßig von einem Taktgenerator 670 gesteuert, von dessen Ausgang eine Leitung 672 zum Eingangsregister, eine Leitung 674 zur Logikeinheit und eine Leitung 676 zum Zähler 630 führt. Die Logikeinheit 620 besitzt weiterhin drei Ausgangsleitungen 624, 626, 628, von denen jede zu einer Leuchtdiode 623, 625, 627 führt. Jede dieser Leuchtdioden 623, 625, 627 ist genau einem der Rechner 10, 20, 30 zugeordnet und dient zur Ausfallanzeige des der jeweiligen Diode zugeordneten Rechners.The control device shown in detail in FIG. 2 initially has an input register 610 , which receives clock signals from the control bus 50 via three parallel inputs 611 , 612 , 613 . On the output side, the input register 610 is connected to a logic unit, designated as a whole as monitoring logic 620 , the output of which is connected via a control bus 622 to a plurality of downstream units. These include an output driver 650 , which contains a first and a second signal generator in a manner not shown in detail. Furthermore, a counter 630 and an interconnection network 660 for synchronization signals are connected to the logic unit 620 on the output side. The input register 610 , the logic unit 620 and the counter 630 are cyclically controlled by a clock generator 670 , from the output of which a line 672 leads to the input register, a line 674 to the logic unit and a line 676 to the counter 630 . The logic unit 620 also has three output lines 624 , 626 , 628 , each of which leads to a light-emitting diode 623 , 625 , 627 . Each of these light-emitting diodes 623 , 625 , 627 is assigned to exactly one of the computers 10 , 20 , 30 and serves to indicate the failure of the computer assigned to the respective diode.

Der Ausgang des Zählers 630 ist über eine Leitung 632 einem Komparator 638 zugeführt, der weitere Eingänge über Leitung 634 aus einem Kodierschalter 636 erhält. Das Ausgangssignal des Komparators 638 gelangt über Leitung 637 und eine hier nicht interessierende Umschaltlogik 639 auf den Steuerbus 622 und von diesem in die Logikeinheit 620.The output of counter 630 is fed via line 632 to a comparator 638 , which receives further inputs via line 634 from a coding switch 636 . The output signal of the comparator 638 reaches the control bus 622 via line 637 and a switchover logic 639 which is not of interest here and from there to the logic unit 620 .

Im Betrieb erhalten die Rechner 10, 20, 30 über den Datenbus 40 gleiche Daten und sind mit dem gleichen Programm geladen. Die Daten werden in den Rechnern 10, 20, 30, von denen jeder eine eigene, unabhängige nicht dargestellte Taktsignalquelle enthält, programmgemäß bearabeitet. Wenn die bearbeiteten Daten von den Rechnern 10, 20, 30 über den Datenbus 40 an eine oder mehrere nicht dargestellte Auswerteeinheiten übergeben werden sollen, wird von jedem der Rechner 10, 20, 30 ein Taktsignal zur Ausgabe der bearbeiteten Daten auf den Datenbus 40 erzeugt. So gibt der Rechner 10 über seinen Ausgangsanschluß 14 ein Taktsignal CLK1 auf den Control-Bus 50, welches über den Eingang 611 in das Eingangsregister 610 gelangt. Rechner 20 gibt über seinen Ausgangsanschluß 24 ein Taktsignal CLK2 über den Control-Bus 50 und die Leitung 612 an einen anderen Speicherplatz im Eingangsregister 610. Schließlich gibt Rechner 30 ein Taktsignal CLK3 an seinen Ausgangsanschluß 34, welches über den Control-Bus 50 und die Leitung 613 an noch einen weiteren Speicherplatz des Eingangsregisters 610 gelangt.In operation, the computers 10 , 20 , 30 receive the same data via the data bus 40 and are loaded with the same program. The data are processed in the computers 10 , 20 , 30 , each of which contains its own independent, not shown clock signal source, according to the program. If the processed data are to be transferred from the computers 10 , 20 , 30 to one or more evaluation units (not shown) via the data bus 40 , a clock signal for outputting the processed data to the data bus 40 is generated by each of the computers 10 , 20 , 30 . The computer 10 thus sends a clock signal CLK1 to the control bus 50 via its output connection 14, which clock signal reaches the input register 610 via the input 611 . Via its output connection 24, computer 20 outputs a clock signal CLK2 via control bus 50 and line 612 to another memory location in input register 610 . Finally, computer 30 sends a clock signal CLK3 to its output connection 34 , which reaches another memory location of the input register 610 via the control bus 50 and the line 613 .

Die logischen Inhalte der zugehörigen Speicherplätze des Eingangsregisters 610 stellen Adressen für einen in der Logikeinheit 620 enthaltenen, nicht dargestellten EPROM dar, der diese wie nachstehend anhand der Fig. 3 bis 6 erläutert, verarbeitet. Aufgrund dieser Adressen bleibt die eindeutige Zuordnung des jeweiligen logischen Zustands des jeweiligen zugehörigen Taktsignals zu dem Rechner, aus welchem das Taktsignal stammt (CLK1 aus Rechner 10, . . .) erhalten.The logical contents of the associated memory locations of the input register 610 represent addresses for an EPROM (not shown) contained in the logic unit 620 , which processes these as explained below with reference to FIGS. 3 to 6. On the basis of these addresses, the unambiguous assignment of the respective logical state of the respective associated clock signal to the computer from which the clock signal originates (CLK1 from computer 10 ,...) Is retained.

Zunächst wird angenommen, daß der Zustand aller drei Tatksignale CLK1, CLK2, CLK3 LOW beträgt, alle drei Taktsignale also gleichen logischen Zustand haben und beispielsweise die Adresse 000 bilden. Wenn sich zur Datenübertragung der Zustand beispielsweise des aus dem Rechner 10 kommenden Taktsignals CLK1 wie bei 70 angedeutet ändert, wird über die veränderte Adresse von der Logikeinheit 620 über den Steuerbus 622 der Zähler 630 angestossen, der daraufhin unter Steuerung des Oszillators 670 zu laufen beginnt. Solange der von dem Zähler 630 erreichte, von Null verschiedene Zählstand unter dem von dem Kodierschalter 636 dem Komparator 638 zugeführten Zählerhöchststand bleibt, gelangt über Leitung 637 und den Steuerbus 622 ein entsprechendes Signal zur Logikeinheit 620. Dieses Signal bewirkt in der Logikeinheit 620 die Öffnung eines Zeitfensters 52 von längstens 5 Mikrosekunden Dauer. Hat der Zähler 630 den Zählerhöchststand erreicht, nimmt der Komparator 638 das Signal auf Leitung 637 mit der Folge weg, daß das Zeitfenster 52 endet.First, it is assumed that the state of all three actuation signals CLK1, CLK2, CLK3 is LOW, that is to say all three clock signals have the same logical state and form address 000 , for example. If, for data transmission, the state of the clock signal CLK1 coming from the computer 10 changes, as indicated at 70 , the counter 630 is triggered via the changed address by the logic unit 620 via the control bus 622 , which then starts to run under the control of the oscillator 670 . As long as the non-zero count reached by the counter 630 remains below the maximum counter supplied by the coding switch 636 to the comparator 638 , a corresponding signal reaches the logic unit 620 via line 637 and the control bus 622 . In the logic unit 620, this signal causes a time window 52 of at most 5 microseconds to be opened. When the counter 630 has reached the maximum counter, the comparator 638 removes the signal on line 637 with the result that the time window 52 ends.

Für das Auftreten von Zustandsänderungen in den anderen Taktsignalen CLK2 aus dem Rechner 20 und CLK3 aus dem Rechner 30 ergeben sich verschiedene Möglichkeiten, die in den Fig. 3 bis 6 dargestellt sind. There are various possibilities for the occurrence of state changes in the other clock signals CLK2 from the computer 20 and CLK3 from the computer 30 , which are shown in FIGS. 3 to 6.

Tritt beispielsweise im Taktsignal CLK2 die zweite Zustandsänderung 71 nach Beginn des Zeitfensters 52 auf, wird die Logikeinheit 620 über den Steuerbus 622 den ersten Signalgeber im Ausgabetreiber 650 veranlassen, ein Übertragungstaktsignal 86 auf dessen Ausgangsleitung 652 abzugeben, welches über den Ausgang 62 auf die Taktsignalleitung 61 gelangt und die Übertragung der bearbeiteten Daten steuert.If, for example, the second state change 71 occurs in the clock signal CLK2 after the start of the time window 52 , the logic unit 620 via the control bus 622 will cause the first signal generator in the output driver 650 to emit a transmission clock signal 86 on its output line 652 , which is sent via the output 62 to the clock signal line 61 arrives and controls the transfer of the processed data.

Wenn gemäß Fig. 3 nach der zweiten Zustandsänderung 71 die dritte Zustandsänderung 72 im Taktsignal CLK3 auftritt, liegen die von den drei Rechnern ausgegebenen Taktsignale innerhalb der durch das Zeitfenster 52 bestimmten Toleranzgrenze, so daß der dreifach redundante Rechnerbetrieb fortgesetzt werden kann.If according to FIG. 3, the third change of state 72 in the clock signal CLK3 occurs after the second change of state 71, the clock signals output from the three computers are within the defined by the time window 52 tolerance limit, so that the triple-redundant computer operation can be continued.

Nach Auftreten der dritten Zustandsänderung 72 besitzen die drei Taktsignale CLK1, CLK2 und CLK3 wieder gleichen Zustand, nämlich HIGH, und bilden damit eine Adresse 111. Der EPROM in der Logikeinheit 620 veranlaßt bei Auftreten gleicher Zustände in den Taktsignalen über ein über den Steuerbus 622 an den Zähler 630 gesandtes Rückstellsignal dessen Rückstellung auf Null unabhängig davon, ob der Zähler 630 den im Kodierschalter 636 gespeicherten Zählerhöchststand erreicht hat. Dies wirkt sich in der Logikeinheit 620 als (vorzeitiges) Ende des Zeitfensters 52 aus. Danach ist die Steuereinrichtung 60 bereit, auf eine neuerliche Zustandsänderung in einem der Taktsignale wie vorstehend erläutert zu reagieren und wieder ein Zeitfenster zu eröffnen.After the third state change 72 occurs , the three clock signals CLK1, CLK2 and CLK3 again have the same state, namely HIGH, and thus form an address 111 . When the same conditions occur in the clock signals, the EPROM in the logic unit 620 causes the reset to zero via a reset signal sent to the counter 630 via the control bus 622, regardless of whether the counter 630 has reached the counter maximum stored in the coding switch 636 . This has an effect in the logic unit 620 as the (premature) end of the time window 52 . Thereafter, the control device 60 is ready to react to a new state change in one of the clock signals as explained above and to open a time window again.

Wenn, wie in Fig. 4 dargestellt, zunächst bei der zweiten Zustandsänderung 71 das Übertragungssignal 87 erzeugt wird und die dritte Zustandsänderung 75 im Taktsignal CLK3 nicht mehr innerhalb des Zeitfensters 52 auftritt, wird bei dessen Beendigung von der Logikeinheit 620 ein weiteres Steuersignal über den Steuerbus an den im Ausgangstreiber 650 enthaltenen zweiten Signalgeber gesandt, welcher ein den dritten Rechner 30 bezeichnendes Fehlersignal EN3 (Flanke 91) erzeugt und über den Control-Bus 50 auf einen Eingang 36 des Rechners 30 gibt, woraufhin der Daten- und Steuerport 32 gesperrt wird. Das weitere Steuersignal der Logikeinheit 620 erscheint auch auf der Leitung 628 und veranlaßt die zugehörige Leuchtdiode 627 zur Abgabe eines Lichtsignals, beispielsweise von Rotlicht. Damit ist angezeigt, daß der Rechner 30 die Toleranzgrenze für die Datenübertragung überschritten hat und durch das Signal EN3 aus der Simultanrechnung eliminiert worden ist. Die weitere Datenbearbeitung läuft ohne jegliche Unterbrechung dann im Duplexbetrieb mit den Rechnern 10 und 20. Der Rechner 30 kann ohne Störung des weiteren Betriebes ausgetauscht werden.If, as shown in FIG. 4, the transmission signal 87 is first generated in the second state change 71 and the third state change 75 in the clock signal CLK3 no longer occurs within the time window 52 , a further control signal is sent from the logic unit 620 via the control bus when the latter is ended sent to the second signal generator contained in the output driver 650 , which generates an error signal EN3 (edge 91 ) designating the third computer 30 and sends it via the control bus 50 to an input 36 of the computer 30 , whereupon the data and control port 32 is blocked. The further control signal of the logic unit 620 also appears on the line 628 and causes the associated light-emitting diode 627 to emit a light signal, for example a red light. This indicates that the computer 30 has exceeded the tolerance limit for the data transmission and has been eliminated from the simultaneous calculation by the signal EN3. The further data processing then runs in duplex mode with the computers 10 and 20 without any interruption. The computer 30 can be replaced without disrupting further operation.

Fig. 5 zeigt den Fall, daß innerhalb des Zeitfensters 52, das durch die erste Zustandsänderung 70 des ersten Taktsignals CLK1 ausgelöst worden ist, keine weitere Zustandsänderung in den übrigen Taktsignalen CLK2 und CLK3 auftritt. Bei Beendigung des Zeitfensters 52 erzeugt der EPROM in der Logikeinheit 620 ein anderes Steuersignal, welches über den Steuerbus 622 dem zweiten Signalgeber zugeleitet wird und diesen veranlaßt, das Fehlersignal EN1 (Flanke 92) zu erzeugen und über den Control-Bus 50 auf einen Eingang 16 des Rechners 10 zu geben. Im Rechner 10 bewirkt das Signal EN1 eine Sperrung des Daten- und Steuerports 12. Das andere Steuersignal wird von der Logikeinheit 620 außerdem über Leitung 624 der zugehörigen Leuchtdiode 623 zugeführt und bringt diese zum Aufleuchten, wodurch der Rechner 10 als aus dem dreifach redundanten Betrieb ausgeschieden angezeigt wird. Das auf den Duplex- Betrieb übergegangene System stellt bei Ende des Zeitfensters 52 die Gleichheit der Zustände der noch gültigen Taktsignale CLK2 und CLK3 fest und eröffnet beim Auftreten der ersten Zustandsänderung 77 in einem dieser Taktsignale, hier im Taktsignal CLK2, ein weiteres Zeitfenster 56 auf die beschriebene Weise, in dem jetzt die Flanke der Zustandsänderung 77 den Zähler 630 zu erneutem Zählen anstößt. Da die Flanke 77 nach der Zustandsänderung 70 die zweite Zustandsänderung ist, wird der erste Signalgeber in dem Ausgabetreiber 650 von der Logikeinheit 620 zur Abgabe eines Übertragungstaktsignals 88 veranlaßt, welches über Leitung 652 und Ausgang 62 auf die Übertragungstaktleitung 61 gelangt. Tritt die dritte Zustandsänderung 78 hier im Taktsignal CLK3 innerhalb des Zeitfensters 56 auf, kann der Duplex-Betrieb fortgesetzt werden, weil die Rechner 20 und 30 hinsichtlich der Taktsignale für die Datenübertragung die Toleranzgrenze nicht überschreiten. FIG. 5 shows the case in which no further change in state occurs in the remaining clock signals CLK2 and CLK3 within the time window 52 , which has been triggered by the first change in state 70 of the first clock signal CLK1. At the end of the time window 52 , the EPROM generates another control signal in the logic unit 620 , which is fed via the control bus 622 to the second signal generator and causes the second signal generator to generate the error signal EN1 (edge 92 ) and via the control bus 50 to an input 16 to give the calculator 10 . In computer 10 , signal EN1 blocks data and control port 12 . The other control signal is also supplied by the logic unit 620 via line 624 to the associated light-emitting diode 623 and lights it up, as a result of which the computer 10 is indicated as having been eliminated from the triple redundant operation. At the end of the time window 52, the system which has switched to duplex operation determines the equality of the states of the clock signals CLK2 and CLK3 still valid and, when the first state change 77 occurs, opens another time window 56 in one of these clock signals, here in the clock signal CLK2 described manner in which the edge of the state change 77 now triggers the counter 630 to count again. Since the edge 77 is the second change of state after the change of state 70 , the first signal generator in the output driver 650 is caused by the logic unit 620 to emit a transmission clock signal 88 which arrives on the transmission clock line 61 via line 652 and output 62 . If the third state change 78 occurs here in the clock signal CLK3 within the time window 56 , the duplex operation can be continued because the computers 20 and 30 do not exceed the tolerance limit with regard to the clock signals for the data transmission.

Angenommen, es träte gemäß Fig. 6 als erste Zustandsänderung die mit 79 bezeichnete des aus dem Rechner 10 stammenden Taktsignals CLK1 auf, welche die Öffnung des Zeitfensters 52 auslöst. Bei Ablauf des Zeitfensters 52 ist keine weitere Zustandsänderung in den anderen Taktsignalen CLK2 und CLK3 aus den Rechnern 20 und 30 aufgetreten, so daß die Logikeinheit 620 den zweiten Signalgeber zur Erzeugung des Fehlersignals EN1 in Form der Flanke 93 veranlaßt, wie das auch unter den Bedingungen der Fig. 5 mit der Flanke 92 geschehen ist. Die zweite Zustandsänderung 80 hier des Taktsignals CLK2 setzt einerseits den Zähler 630 erneut in Gang und öffnet damit ein zweites Zeitfenster 58 und erzeugt im ersten Signalgeber ein Übertragungstaktsignal CLK in Form der Flanke 89. Da innerhalb des zweiten Zeitfensters 58 die dritte Zustandsänderung 81 des Taktsignals CLK3 nicht auftritt, wird mit Beendigung des zweiten Taktfensters 58 die Logikeinheit 620 den zweiten Signalgeber veranlassen, ein zweites Fehlersignal EN3 durch die Flanke 94 zu erzeugen. Die Fehlersignale EN1 und EN3 werden, wie erwähnt, den Rechnern 10 und 30 über deren Eingänge 16 und 36 zugeführt, und blockieren dort die Datenübertragung auf den Datenbus 40. Das System geht damit insgesamt in den Simplex-Betrieb mit nur einem Rechner 20 über, was durch Aufleuchten der Leuchtdioden 623 und 627 angezeigt ist. Würde im Fall der Fig. 6 die zweite Zustandsänderung im Taktsignal CLK3 auftreten, und die dritte Zustandsänderung im Taktsignal CLK2 außerhalb des zweiten Zeitfensters 58, würde ein nicht dargestelltes Fehlersignal EN2 mit Beendigung des zweiten Zeitfensters 58 erzeugt, welches den zweiten Signalgeber zur Abgabe dieses Fehlersignals EN2 veranlaßt, und über den Anschluß 26 am Rechner 20 diesen vom weiteren Betrieb eliminiert. Ferner würde von der Logikeinheit 620 über Leitung 626 die Leuchtdiode 625 zum Aufleuchten gebracht.Assuming that, as shown in FIG. 6, the first change in state is the clock signal CLK1, designated 79, which originates from the computer 10 and which triggers the opening of the time window 52 . When the time window 52 expired, no further change in state in the other clock signals CLK2 and CLK3 from the computers 20 and 30 occurred, so that the logic unit 620 causes the second signal generator to generate the error signal EN1 in the form of the edge 93 , as is also the case under the conditions FIG. 5 is done with the edge of the 92nd The second change in state 80 of the clock signal CLK2 here starts the counter 630 again and thus opens a second time window 58 and generates a transmission clock signal CLK in the form of the edge 89 in the first signal generator. Since the third change in state 81 of the clock signal CLK3 does not occur within the second time window 58, when the second clock window 58 ends, the logic unit 620 will cause the second signal generator to generate a second error signal EN3 through the edge 94 . As mentioned, the error signals EN1 and EN3 are fed to the computers 10 and 30 via their inputs 16 and 36 , and there block the data transmission to the data bus 40 . The system thus goes over to simplex operation with only one computer 20 , which is indicated by the light-emitting diodes 623 and 627 being illuminated. If, in the case of FIG. 6, the second change in state occurs in the clock signal CLK3 and the third change in state in the clock signal CLK2 outside the second time window 58 , an error signal EN2 (not shown) would be generated when the second time window 58 ended , which would give the second signal generator for emitting this error signal EN2 causes, and eliminated via connection 26 on the computer 20 from further operation. Further, the light emitting diode would be made to light 625 from the logic unit 620 via line 626th

Aus Vorstehendem ergibt sich, daß das Fehlersignal EN3 von erster Art ist, indem es anzeigt, daß die FLanke 75 hier des dritten Rechners 30 innerhalb des die zweite Zustandsänderung 71, hier im Taktsignal des zweiten Rechners 20, überdeckenden Zeitfensters 52 (oder 58 in Fig. 6) nicht mehr auftritt. Das Fehlersignal EN1 ist von zweiter Art, weil es anzeigt, daß innerhalb des die erste Zustandsänderung 70 (oder 79 in Fig. 6) hier des ersten Rechners 10 überdeckenden Zeitfensters 52 keine weitere Zustandsänderung auftritt. From the above it follows that the error signal EN3 of the first kind, by showing that the edge 75 here of the third computer 30 within the second change of state 71, here in the clock signal of the second computer 20, overlapping time window 52 (or 58 in FIG . 6) no longer occurs. The error signal EN1 is of the second type, because it indicates that no further change of state occurs within the first change of state 70 (or 79 in Fig. 6) of the first computer 10 here covering time window 52.

Andererseits bedeutet die Bezeichnung EN1, EN2, EN3, daß es sich bei dem die Fehlersignalerzeugung veranlassenden Rechner um den Rechner 10 bzw. 20 bzw. 30 gehandelt hat. Die Aufrechterhaltung dieser eineindeutigen Beziehung zwischen Fehlersignal und erzeugendem Rechner wird durch geeignete Verknüpfung der Bausteine in der Steuereinrichtung 60 erreicht. Da es für den zu eliminierenden Rechner nicht auf Art des von ihm erzeugten Fehlers ankommt, sondern nur auf die Tatsache seiner Fehlerhaftigkeit, wird die Fehlerart in der Steuerschaltung 60 nicht weiter ausgewertet.On the other hand, the designation EN1, EN2, EN3 means that the computer causing the error signal generation was the computer 10 or 20 or 30 . The maintenance of this unambiguous relationship between the error signal and the generating computer is achieved by suitable linking of the modules in the control device 60 . Since the type of error generated by the computer to be eliminated is not important, but only the fact that it is defective, the type of error in the control circuit 60 is not further evaluated.

Im Ausgangstreiber 650 befindet sich ein weiterer Schaltkreis (der beispielsweise ein ODER-Gatter enthält) an dessen Eingang die Fehlersignale EN1, EN2 und EN3 anstehen. Treten eines oder mehrere der Signale EN1, EN2, EN3 auf, beaufschlagt der Schaltkreis die Ausgangsleitung 63 mit einem Signal, welches eine nachgeschaltete Diode 65 zum Aufleuchten bringt und damit pauschal das Auftreten eines Fehlers und damit Notbetrieb signalisiert.In the output driver 650 there is another circuit (which contains, for example, an OR gate) at whose input the error signals EN1, EN2 and EN3 are present. If one or more of the signals EN1, EN2, EN3 occur, the circuit acts on the output line 63 with a signal which lights up a downstream diode 65 and thus signals the occurrence of an error and thus emergency operation.

Wie erwähnt, enthält die Logikeinheit 620 als wesentlichen Baustein einen lösch- und programmierbaren Lesespeicher EPROM, der von dem Eingangsregister 610 adressiert wird. Dem EPROM ist ein nicht dargestelltes Ausgangsregister nachgeschaltet, welches den Inhalt der adressierten Speicherzellen des EPROM aufnimmt.As mentioned, the logic unit 620 contains, as an essential component, an erasable and programmable read-only memory EPROM, which is addressed by the input register 610 . An output register (not shown) is connected downstream of the EPROM, which takes up the content of the addressed memory cells of the EPROM.

Wenigstens einige der Speicherplätze des Ausgangsregisters sind auf andere Adressen des EPROM zurückgeschleift, um auf diese Weise die für das vorstehend erläuterte Betriebsverhalten erforderlichen Steuersignale aus der im EPROM abgespeicherten Liste über das Ausgangsregister auf den Steuerbus 622 gelangen zu lassen. At least some of the memory locations of the output register are looped back to other addresses of the EPROM, in order in this way to allow the control signals required for the above-described operating behavior to arrive on the control bus 622 from the list stored in the EPROM via the output register.

Die Erfindung kann auch zur Fehlerüberwachung des redundanten Simultanbetriebs der Rechner 10, 20, 30 aufgrund anderer von diesen ausgegebener Signale benutzt werden. So kann der Betrieb der Rechner auf Einhaltung der erforderlichen Toleranzen bereits während der Bearbeitung der Daten dann geprüft werden, wenn jeder der Rechner nach vorgegebenen Programmabschnitten ein Synchronisationssignal nach Art der beschriebenen Taktsignale CLK auf einem separaten Ausgang SYNA erzeugt. So kann der Rechner 10 am Ausgang 18 das Synchronisationssignal SA1, der Rechner 20 am Ausgang 28 das Synchronisationssignal SA2 und der Rechner am Ausgang 38 das Synchronisationssignal SA3 über den Control-Bus 50 über die Eingänge 614 beziehungsweise 615 beziehungsweise 616 in andere Speicherplätze des Eingangsregisters 610 eingeben. Die Signale SA1, SA2 und SA3 können einen zeitlichen Verlauf wie denjenigen haben, der anhand der Fig. 3 bis 6 im Zusammenhang mit den Signalen CLK1, CLK2 und CLK3 gezeigt und beschrieben worden ist. Die Signale SA1, SA2 und SA3 des Eingangsregisters 610 werden in der Logikeinheit 620 in gleicher Weise wie die Signale CLK1, CLK2 und CLK3 verarbeitet und lösen entsprechende Zeitfenster 52 aus. Ein Unterschied gegenüber der Verarbeitung der Taktsignale besteht darin, daß während der Überwachung der Signale SA1, SA2 und SA3 der erste Signalgeber in dem Ausgangstreiber 650 nicht aktiviert, also nicht zur Abgabe eines Übertragungstaktsignals veranlaßt wird. Ein weiterer Unterschied besteht in der separaten Verarbeitung der Signale SA1, SA2 und SA3 in der Einheit 660, die über den Zweigbus 624 mit dem Steuerbus 622 verbunden ist und die auf den Leitungen 614, 615, 616 stehenden Signale ebenfalls aufnimmt. In der Einheit 660 werden diejenigen Steuersignale aus dem Steuerbus 622, 624, die den zweiten Signalgeber im Ausgabetreiber 650 wie beschrieben beaufschlagen, mit den Synchronisationssignalen SA1, SA2 und SA3 zur Bildung neuer Synchronisationssignale verknüpft, die den Rechnern 10, 20, 30 über die im Ganzen mit 662 bezeichneten Leitungen und den Control-Bus 50 zugeführt werden. Dazu besitzt jeder der Rechner 10, 20, 30 zwei Synchronisationseingänge 15, 17 beziehungsweise 25, 27 beziehungsweise 35, 37, über welche dem betreffenden Rechner eine eventuell bestehende Synchronisation mit dem einen und/oder anderen der beiden anderen Rechner mitgeteilt wird. So erzeugt beispielsweise im Triplex-Betrieb die Einheit 660 für den Eingang 15 des Rechners 10 ein aus SA2 abgeleitetes Synchronisationssignal, welches dessen Synchronisation mit dem Rechner 20 signalisiert. Die Einheit 660 erzeugt für den Eingang 17 des Rechners 10 ein aus SA3 abgeleitetes Synchronisationssignal, was dessen Synchronisation mit dem Rechner 30 signalisiert. Entsprechend erzeugt die Einheit 660 für die Eingänge 25 bzw. 27 Signale, die aus SA1 bzw. SA3, sowie für die Eingänge 35 bzw. 37 Signale, die aus SAl bzw. SA2 abgeleitet sind. Im Duplex-Verkehr, etwa nach Ausfall des Rechners 20, stehen an beiden Eingängen 15 und 17 jeweils ein aus SA3 abgeleitetes Signal und an beiden Eingängen 35 und 37 jeweils ein aus SAl abgeleitetes Signal, jeweils aus der Einheit 660. An den Eingängen 25 und 27 steht dann kein Signal. Im Simplex-Betrieb, etwa bei Ausfall der Rechner 20 und 30 erzeugt die Einheit 660 für die Eingänge 15 und 17 jeweils ein aus SA1 abgeleitetes Signal.The invention can also be used for error monitoring of the redundant simultaneous operation of the computers 10 , 20 , 30 on the basis of other signals output by them. Thus, the operation of the computers can be checked for compliance with the required tolerances already during the processing of the data if each of the computers generates a synchronization signal according to the type of the described clock signals CLK on a separate output SYNA according to the specified program sections. For example, the computer 10 can output the synchronization signal SA1 at the output 18 , the computer 20 at the output 28 the synchronization signal SA2 and the computer at the output 38 the synchronization signal SA3 via the control bus 50 via the inputs 614 or 615 or 616 into other memory locations of the input register 610 enter. The signals SA1, SA2 and SA3 can have a time profile like that which has been shown and described with reference to FIGS . 3 to 6 in connection with the signals CLK1, CLK2 and CLK3. The signals SA1, SA2 and SA3 of the input register 610 are processed in the logic unit 620 in the same way as the signals CLK1, CLK2 and CLK3 and trigger corresponding time windows 52 . A difference compared to the processing of the clock signals is that during the monitoring of the signals SA1, SA2 and SA3 the first signal generator in the output driver 650 is not activated, that is to say it is not caused to emit a transmission clock signal. Another difference lies in the separate processing of the signals SA1, SA2 and SA3 in the unit 660 , which is connected to the control bus 622 via the branch bus 624 and also receives the signals on the lines 614 , 615 , 616 . In the unit 660 , those control signals from the control bus 622 , 624 which act on the second signal generator in the output driver 650 as described are linked to the synchronization signals SA1, SA2 and SA3 to form new synchronization signals which the computers 10 , 20 , 30 via the im Whole with 662 designated lines and the control bus 50 are supplied. For this purpose, each of the computers 10 , 20 , 30 has two synchronization inputs 15 , 17 or 25, 27 or 35, 37 , via which the relevant computer is informed of any synchronization that may exist with one and / or other of the two other computers. For example, in triplex mode, the unit 660 for the input 15 of the computer 10 generates a synchronization signal derived from SA2, which signals its synchronization with the computer 20 . The unit 660 generates a synchronization signal derived from SA3 for the input 17 of the computer 10 , which signals its synchronization with the computer 30 . Correspondingly, the unit 660 generates signals for the inputs 25 and 27 , which are derived from SA1 and SA3, and for the inputs 35 and 37 , which are derived from SA1 and SA2. In duplex traffic, for example after the computer 20 has failed, there is a signal derived from SA3 at both inputs 15 and 17 and a signal derived from SA1 at both inputs 35 and 37 , each from unit 660 . There is then no signal at inputs 25 and 27 . In simplex mode, for example if the computers 20 and 30 fail, the unit 660 generates a signal derived from SA1 for the inputs 15 and 17 .

Im übrigen kann durch Verändern des Inhalts des Kodierschalters 636 der Zahlenhöchststand den jeweiligen Erfordernissen angepaßt werden.Otherwise, the maximum number of digits can be adapted to the respective requirements by changing the content of the coding switch 636 .

Claims (12)

1. Dreifach redundante Rechner-Einrichtung mit drei gleichen, parallel arbeitenden Rechnern (10, 20, 30), denen zur Datenübertragung ein Datenbus (40) sowie eine Steuereinrichtung (60) zugeordnet sind, wobei jeder Rechner eine Taktquelle besitzt, die von den Taktquellen der anderen Rechner unabhängig ist, dadurch gekennzeichnet, daß die zur Datenübertragung vorgesehenen Taktsignale (CLK1, CLK2, CLK3) aller Rechner (10, 20, 30), die parallel an den Datenbus (40) angeschlossen sind, gegen eine zeitliche Toleranzschwelle (52, 54, 56) in der Steuereinrichtung (60) verglichen werden, und derjenige Rechner eliminiert wird, dessen Taktsignale außerhalb der Toleranzschwelle liegen.1. Triple redundant computer device with three identical computers ( 10 , 20 , 30 ) working in parallel, to which a data bus ( 40 ) and a control device ( 60 ) are assigned for data transmission, each computer having a clock source that is derived from the clock sources the other computer is independent, characterized in that the clock signals (CLK1, CLK2, CLK3) provided for data transmission of all computers ( 10 , 20 , 30 ) which are connected in parallel to the data bus ( 40 ) against a time tolerance threshold ( 52 , 54 , 56 ) are compared in the control device ( 60 ), and that computer is eliminated whose clock signals are outside the tolerance threshold. 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Toleranzschwelle ein in der Steuereinrichtung (60) gespeichertes oder erzeugtes Zeitfenster (52, 54, 56) ist.2. Device according to claim 1, characterized in that the tolerance threshold is a time window ( 52 , 54 , 56 ) stored or generated in the control device ( 60 ). 3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß in der Steuereinrichtung (60) ein die Taktsignale aller Rechner aufnehmendes Eingangsregister (610) vorgesehen ist, an welches ein Zeitgeber (630) sowie eine Logikeinheit (620) angeschlossen sind, wobei die Ausgangssignale der Logikeinheit unter Steuerung durch den Zeitgeber (630) einem ersten und einem zweiten Signalgeber (650) derart zugeführt sind, daß die erste Zustandsänderung (70) in einem der Taktsignale, welche als erste nach gleichen binären Zuständen aller Taktsignale auftritt, durch das Anstoßen des Zeitgebers (630) ein Zeitfenster (52) öffnet, dessen vorgegebene Dauer wesentlich kürzer als die Impulsbreite der Taktsignale ist, daß ein die Datenübertragung steuerndes Ubertragungstaktsignal (CLK) von dem ersten Signalgeber erzeugt wird, wenn eine zweite Zustandsänderung (71) in einem der Taktsignale auftritt, und daß vom zweiten Signalgeber ein Fehlersignal erster Art (EN3) für denjenigen Rechner erzeugt wird, dessen Taktsignal-Zustandsänderung außerhalb des die zweite Zustandsänderung überdeckenden Zeitfensters liegt.3. Device according to claim 1 or 2, characterized in that in the control device ( 60 ) a clock signals of all computers receiving input register ( 610 ) is provided, to which a timer ( 630 ) and a logic unit ( 620 ) are connected, the Output signals of the logic unit under the control of the timer ( 630 ) are fed to a first and a second signal generator ( 650 ) in such a way that the first change in state ( 70 ) in one of the clock signals, which occurs first after the same binary states of all clock signals, by the triggering of the timer ( 630 ) opens a time window ( 52 ), the predetermined duration of which is substantially shorter than the pulse width of the clock signals, that a transmission clock signal (CLK) controlling the data transmission is generated by the first signal generator when a second change of state ( 71 ) occurs in one of the Clock signals occur, and that an error signal of the first type (EN3) for the second signal generator r that computer is generated whose clock signal state change lies outside the time window covering the second state change. 4. Einrichtung nach Anspruch 3, dadurch gekennzeichnet, daß vom zweiten Signalgeber ein Fehlersignal zweiter Art (ENl) für denjenigen Rechner erzeugt wird, für dessen Taktsignal- Zustandsänderung innerhalb des Zeitfensters keine weitere Zustandsänderung eines Taktsignales eines der anderen Rechner auftritt.4. Device according to claim 3, characterized characterized in that from the second signal generator Error signal of the second kind (ENl) for those Computer is generated, for whose clock signal Status change within the time window none further change in state of a clock signal the other computer occurs. 5. Einrichtung nach Anspruch 3 oder 4, dadurch gekennzeichnet, daß zwischen jedem Fehlersignal (EN1, EN2, EN3) und dem seine Erzeugung veranlassenden Rechner (10, 20, 30) eine eineindeutige Beziehung geschaffen ist.5. Device according to claim 3 or 4, characterized in that a clear relationship is created between each error signal (EN1, EN2, EN3) and the computer causing it to be generated ( 10 , 20 , 30 ). 6 Einrichtung nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, daß der Zeitgeber ein von einem Impulsgenerator (670) gesteuerter Zähler (630) mit vorgegebenem Zählerhöchststand (636) ist, der die Dauer des Zeitfensters bestimmt.6 Device according to one of claims 3 to 5, characterized in that the timer is a counter ( 630 ) controlled by a pulse generator ( 670 ) with a predetermined counter maximum ( 636 ) which determines the duration of the time window. 7. Einrichtung nach Anspruch 6, dadurch gekennzeichnet, daß der Zählerhöchststand einstellbar ist. 7. Device according to claim 6, characterized characterized that the counter high is adjustable.   8. Einrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Logikeinheit (620) ein Gatterfeld aufweist.8. Device according to one of the preceding claims, characterized in that the logic unit ( 620 ) has a gate field. 9. Einrichtung nach einem der Ansprüche 3 bis 7, dadurch gekennzeichnet, daß die Logikeinheit einen Lesespeicher (ROM) oder einen programmierbaren Logikbaustein (PLD) mit nachgeschaltetem oder integriertem Ausgangsregister aufweist.9. Device according to one of claims 3 to 7, characterized in that the logic unit a Read-only memory (ROM) or a programmable Logic module (PLD) with a downstream or integrated output register. 10. Einrichtung nach Anspruch 9, dadurch gekennzeichnet, daß einige Speicherplätze des Ausgangsregisters auf einige Eingänge des Lesespeichers zurückgeführt sind.10. Device according to claim 9, characterized characterized that some memory locations of the Output register on some inputs of the Read memory are returned. 11. Einrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß jeder Rechner einen separaten Ausgangsanschluß sowie Eingangsanschlüsse für Synchronisationsimpulse aufweist und daß das Eingangsregister (610) an die separaten Ausgangsanschlüsse angeschlossen ist und der erste Signalgeber gesperrt ist, solange Synchronisationsimpulse vom Eingangsregister aufgenommen sind und Synchronisation anzeigende Signale den Eingangsanschlüssen zugeführt werden.11. Device according to one of the preceding claims, characterized in that each computer has a separate output connection and input connections for synchronization pulses and that the input register ( 610 ) is connected to the separate output connections and the first signal generator is blocked as long as synchronization pulses are received by the input register and Signals indicating synchronization are fed to the input connections. 12. Einrichtung nach einem der Ansprüche 3 bis 11, dadurch gekennzeichnet, daß für jeden Rechner wenigstens eine Leuchtdiode (623, 625, 627) oder dergleichen vorgesehen ist, wobei die Leuchtdioden von Fehlersignale (EN1, EN2, EN3) erzeugenden Signalen gesteuert sind.12. Device according to one of claims 3 to 11, characterized in that at least one light-emitting diode ( 623 , 625 , 627 ) or the like is provided for each computer, the light-emitting diodes being controlled by error signals (EN1, EN2, EN3) generating signals.
DE19914135640 1991-10-29 1991-10-29 Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer Ceased DE4135640A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19914135640 DE4135640A1 (en) 1991-10-29 1991-10-29 Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19914135640 DE4135640A1 (en) 1991-10-29 1991-10-29 Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer

Publications (1)

Publication Number Publication Date
DE4135640A1 true DE4135640A1 (en) 1993-05-06

Family

ID=6443667

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19914135640 Ceased DE4135640A1 (en) 1991-10-29 1991-10-29 Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer

Country Status (1)

Country Link
DE (1) DE4135640A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0902369A2 (en) * 1997-09-12 1999-03-17 Alcatel Method for isolating a defective computer in a fault-tolerant multiprocessor system
DE10029664A1 (en) * 2000-06-23 2002-01-03 Uwe Zeiler Air conditioning system for central communications and computer machine rooms has re-cooling mechanisms and refrigeration machines reconfigurable in failure situation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GÜLL, Rudolf, WEIß, Reinhold: Entwurf eines rotierenden Spezialprozessors für fehlertolerante Rechnersysteme, in: Informationstechnik it 31 (1989) 4, S. 282-290 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0902369A2 (en) * 1997-09-12 1999-03-17 Alcatel Method for isolating a defective computer in a fault-tolerant multiprocessor system
DE19740136A1 (en) * 1997-09-12 1999-03-18 Alsthom Cge Alcatel Process for isolating a defective computer in a fault-tolerant multi-computer system
EP0902369A3 (en) * 1997-09-12 1999-07-28 Alcatel Method for isolating a defective computer in a fault-tolerant multiprocessor system
DE10029664A1 (en) * 2000-06-23 2002-01-03 Uwe Zeiler Air conditioning system for central communications and computer machine rooms has re-cooling mechanisms and refrigeration machines reconfigurable in failure situation

Similar Documents

Publication Publication Date Title
DE2413401C3 (en) Device for synchronizing the program sections of three computers working in parallel according to the same program
DE3208573C2 (en) 2 out of 3 selection device for a 3 computer system
DE2750818C3 (en) Arrangement for time-division multiplexed data transmission
DE3300260C2 (en)
EP0007579B1 (en) Circuit arrangement for monitoring the state of signalling systems, especially traffic light signalling systems
DE2258917B2 (en) CONTROL DEVICE WITH AT LEAST TWO PARALLEL SIGNAL CHANNELS
DE2723714A1 (en) DIGITAL MONITORING DEVICE
DE2729362C2 (en) Digital data processing arrangement, especially for railway safety technology, with switchgear that processes the same information in two channels
DE2641700C2 (en)
DE4135640A1 (en) Triple redundancy computer system for data transfer - has three independently clocked computers linked to controller and common data bus, and logic circuit to compare block signals with threshold values to isolate faulty computer
DE3238692A1 (en) Data transmission system
DE3531901C2 (en)
DE2023117A1 (en) Fail-safe control system for the transmission of digital information
DE19543817C2 (en) Method and arrangement for checking and monitoring the operation of at least two data processing devices with a computer structure
DE3806262C1 (en) Circuit arrangement for monitoring the state of switching points in a digital space-division switching network
EP0019774B1 (en) Method and circuit for the preparation of logical combination results in data processing devices
DE2521245C3 (en) Circuit arrangement for a two-channel safety switchgear with complementary signal processing
EP0191421B1 (en) Monitoring circuit for digital signals
DE4303048A1 (en) Alarm recognition apparatus for redundant layout circuit in radio equipment - has input circuits delaying alarm recognition signals when circuits are switched to be operational systems
DE2525438A1 (en) Monitoring and back up circuit for central equipment - consists of three central units operated in parallel by input signal
DE3315269C2 (en) Circuit arrangement for increasing operational safety when exchanging information between control devices of telecommunications, in particular telephone switching systems
DE2828300A1 (en) MOTHER ACTIVATION DEVICE
DE3330903C2 (en) Adaptive 2 v 3 comparator
DE2540785C2 (en) Circuit arrangement for controlling the flow of information in clock-controlled devices, for example control units of data processing devices
DE2709819A1 (en) Data bit comparator checking and test system - applies identical and non-identical bits to inputs of comparator using switched inverters

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: G06F 11/16

8131 Rejection