DE4303048C2 - Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen - Google Patents

Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen

Info

Publication number
DE4303048C2
DE4303048C2 DE4303048A DE4303048A DE4303048C2 DE 4303048 C2 DE4303048 C2 DE 4303048C2 DE 4303048 A DE4303048 A DE 4303048A DE 4303048 A DE4303048 A DE 4303048A DE 4303048 C2 DE4303048 C2 DE 4303048C2
Authority
DE
Germany
Prior art keywords
alarm detection
circuit
operating system
reserve
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE4303048A
Other languages
English (en)
Other versions
DE4303048A1 (en
Inventor
Hideyuki Tsujimoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE4303048A1 publication Critical patent/DE4303048A1/de
Application granted granted Critical
Publication of DE4303048C2 publication Critical patent/DE4303048C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B29/00Checking or monitoring of signalling or alarm systems; Prevention or correction of operating errors, e.g. preventing unauthorised operation
    • G08B29/16Security signalling or alarm systems, e.g. redundant systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung bezieht sich auf ein Verfahren und eine Umschalt­ einrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redundant aufgebauten Schaltungen, wobei beide Systeme jeweils eine Alarmerkennungsschaltung aufweisen, welche die Umschaltung zwischen jeweils redundant aufgebauten Schaltungen vornimmt, die insbesondere in funktechnischen Ge­ räten oder dergleichen verwendet werden.
Aus der aus der DE 35 14 079 A1 ist ein Ausfallsicherungs­ kreis für ein Steuersystem bekannt, welcher sicherstellt, daß eine zu steuernde Einrichtung auch dann ein Steuersignal von einem Hauptsteuerkreis erhält, wenn ein Aushilfskreis für den Hauptsteuerkreis seinerseits ausfällt und der Hauptsteuer­ kreis seinen normalen Betrieb fortsetzt. Der Ersatz des Steuersignals vom Hauptsteuerkreis durch ein Reservesignal des Aushilfskreises erfolgt nur dann, wenn der Aushilfskreis ein spezielles Signal innerhalb eines vorbestimmten Frequenzbreichs oder, alternativ dazu, eine Mehrzahl paralleler Logik-Signale in einer vorbestimmten Konfiguration abgibt.
Aus der DE 35 11 218.2 ist eine Schaltungsanordnung zur Versorgung eines Stellgliedes mit Stellsignalen aus einem ersten oder mindestens einem zweiten Regler bekannt, wobei ein Ausfall des ersten Regels das Stellglied automatisch auf den Ausgang eines zweiten Reglers umgeschaltet wird.
Aus der DE 36 06 724 A1 beschreibt ein Verfahren zum Betrieb einer Fehlererkennungsschaltung, welches mittels einer Vergleicherschaltung die Ausgangssignale zweier parallel betriebener Schaltungshälften vergleicht. Die Ausgangssignale entstehen bei der Verarbeitung eines Eingangssignals, das in die beiden Schaltungshälften eingespeist wird. Stellt die Vergleicherschaltung Ungleichheit bei den Ausgangssignalen fest, wird Alarm ausgelöst.
Aus der DE 36 12 730 A1 ist ein Prozessorsystem mit Daten­ blöcken bekannt, bei dem einige Blöcke als Speicherreserve vorgesehen sind. Diese enthalten die akutellen Programmodule und/oder Daten. Auf diese Reserveblöcke greift der Prozessor zurück, wenn der Betriebsablauf durch einen fehlerhaften Datenblock gestört wird.
Eine herkömmliche redundant ausgelegte Schaltung umfaßt eine Alarmerkennungseinrichtung die in Fig. 1 dargestellt ist. In dieser Zeichnung geben die Bezugszeichen 40a, 40b jeweils Eingangsschaltungen an, die ein von einem Eingangsanschluß 11 kommendes Signal empfangen und jeweils redundant konfiguriert sind. Die Bezugszeichen 2a, 2b bezeichnen jeweils Alarmerkennungsschaltungen der Eingangs­ schaltungen 40a, 40b. Außerdem ist eine Betriebssystem/Reservesystem-Bestimmungsschaltung (nachfolgend "Bestimmungsschaltung") 3 vorgese­ hen, welche im Ansprechen auf Alarmerkennungssignale 12a, 12b, die jeweils von den Alarmerkennungsschaltungen 2a, 2b kommen, Spezifiziersignale 13a, 13b ausgibt.
Es folgt nun eine Beschreibung der Funktionsweise dieser Alarmerkennungsschaltung. Hier sei angenommen, daß die Ein­ gangsschaltung 40a zu einem funktionsbeteiligten System ge­ hört und die andere Eingangsschaltung zu einem Reservesystem. Tritt in der Eingangsschaltung 40a eine Störung oder Fehl­ funktion auf, so wird diese von der Alarmerkennungsschaltung 2a erfaßt, die dann das Alarmerkennungssignal 12a in einen Meldezustand schaltet (Alarmerkennungs-Zustand). Es braucht nicht eigens erwähnt zu werden, daß die Eingangsschaltung 40b nicht die Funktionsstörung erfaßt und das Alarmerkennungssi­ gnal 12b in den Meldezustand schaltet.
Somit erfaßt die Bestimmungsschaltung 3 zur Spezifizierung "Betriebssystem/Reservesystem" nur den Meldezustand des Alarmerkennungssignals 12a. Infolgedessen erkennt die Bestim­ mungsschaltung 3 "Betriebssystem/Reservesystem", daß die Ein­ gangsschaltung 40a, die zu dem funktionsbereiten System ge­ hört, sich in einem nicht ordnungsgemäßen Zustand befindet. Auf der Grundlage des Ergebnisses dieses Erkennungsvorgangs gibt dann die Bestimmungsschal­ tung 3 das Spezifiziersignal 13a ab, um so die Eingangsschal­ tung 40a als Reservesystem zu schalten, und das Spezifizier­ signal 13b, um die Eingangsschaltung 40b, die als Reservesy­ stem dient, zum Betriebssystem zu machen. Die Eingangsschal­ tungen 40a, 40b bewirken somit im Ansprechen auf die Spezifi­ ziersignale 13a, 13b jeweils eine Umschaltung von der Be­ triebsbereitschaftsfunktion eines Systems zur Ausweichbe­ triebsfunktion bzw. umgekehrt.
Wird infolge äußerer Faktoren das Anlegen eines Signals an den Eingangsanschluß 11 unterbrochen, so erfaßte jede der Alarmerkennungsschaltungen 2a, 2b jeweils den Zustand, daß das Anlegen des Signals unterbrochen wurde, und schaltet die Alarmerkennungssignale 12a, 12b in den Meldezustand. Erkennt die Bestimmungsschaltung 3 die beiden Alarmerkennungssignale, erkennt sie dies als Fehler oder Funktionsstörung aufgrund der äußeren Faktoren und gibt die Spezifiziersignale 13a, 13b nicht aus. Damit erfolgt kei­ ne Umschaltung zwischen dem Betriebssystem und dem Reservesy­ stem.
Außerdem ist aus der JP-OS Nr. 2-226935 eine entsprechende Arbeitstechnik bekannt.
Dabei ist die Umschalteinrichtung für die herkömmliche red­ undant ausgelegte Schaltung wie vorstehend beschrieben aufge­ baut. Wenn somit die beiden Alarmerkennungssignale 12a, 12b infolge der äußeren Faktoren in den Meldezustand geschaltet werden, wird zwischen dem Zeitpunkt für die Ausgabe des Alarmerkennungssignals 12a und dem Zeitpunkt für die Ausgabe des Alarmerkennungssignals 12b entsprechend dem Unterschied in der Erfassungszeit zwischen den beiden Alarmerkennungs­ schaltungen 2a und 2b die Differenz gebildet. Wird das Alarm­ erkennungssignal 12a des in Betrieb geschalteten Systems zu­ erst in den Meldezustand geschaltet, so wird gelegentlich das Betriebssystem zum Reservesystem umgeschaltet, wenn dies nicht erforderlich ist.
Der Erfindung liegt nun die Aufgabe zugrunde, ein Verfahren und eine Umschalteinrichtung aufzuzeigen zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redundant aufgebauter Schaltungen, bei welchem überflüssige Schaltvorgänge vermieden werden.
Diese Aufgabe wird erfindungsgemäß mit einem Verfahren nach Anspruch 1 und einer Umschalteinrichtung nach Anspruch 4 gelöst.
Verfahrensgemäß erzeugen in den Systemen der Umschaltein­ richtung jeweils zugeordnete Eingangsschaltungen mit jeweils einer Alarmerkennungsschaltung beim Erkennen eines Fehlers ein Alarmerkennungssignal, welches einer Bestimmungs­ schaltung zugeführt wird. Diese Bestimmungsschaltung legt fest, welches der Systeme als Betriebssystem und welches als Reservesystem arbeitet.
Dabei wird eines der Reservesysteme zum Betriebssystem umge­ schaltet, wenn ein Fehler lediglich von der Alarmerkennungs­ schaltung des aktuellen Betriebssystems gemeldet wird.
Diese Umschaltung erfolgt nicht, wenn das Fehlersignal lediglich von der Alarmerkennungsschaltung eines der Reser­ vesysteme erkannt wird.
Eine solche Umschaltung erfolgt auch dann nicht, wenn ein Fehler zuerst von der Alarmerkennungsschaltung eines der Re­ servesysteme erkannt wird und später, innerhalb einer fest­ legbaren Zeitspanne ein Fehler von der Alarmerkennungsschal­ tung des Betriebssytems erkannt wird.
Die Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem umfaßt:
  • - eine Vielzahl von Eingangsschaltungen, die jeweils Alarmerkennungssignale ausgeben und so aufgebaut sind, daß jeweils einige aus der Vielzahl von Eingangsschal­ tungen als Betriebssysteme dienen, während die jeweils anderen aus der Vielzahl von Eingangschaltungen als Reservesysteme dienen,
  • - Bestimmungsschaltungen, die jeweils die einen Eingangsschaltungen als Reservesystem und die jeweils anderen Eingangsschal­ tungen als Betriebssystem schalten, wenn Alarmerken­ nungssignale der als Betriebssysteme geschalteten Eingangsschaltungen jeweils in einen Meldezustand geschaltet sind,
wobei die Eingangsschaltungen jeweils Verzögerungsschaltungen aufweisen, welche die Alarmerkennungssignale verzögern, wenn die jeweiligen Eingangsschaltungen zum Betriebssystem ge­ schaltet sind, sowie dieselben den jeweiligen Bestimmungsschaltungen zuführen.
Bei der Alarmerkennungsschaltung, die sich zum Einsatz bei einer redundant aufgebauten Schaltung eignet, weisen die jeweiligen Eingangsschaltungen die Verzö­ gerungsschaltungen auf, welche die Alarmerkennungssignale verzögern, wenn die jeweiligen Eingangsschaltungen zum Be­ triebssystem geschaltet werden, und diese jeweils den Bestimmungsschaltungen zuzuleiten. Ist es somit nicht nötig, die Umschaltung zwischen dem Be­ triebssystem und dem Reservesystem vorzunehmen, auch wenn die jeweiligen Alarmerkennungssignale in den Meldezustand ge­ schaltet wurden, so werden die Alarmerkennungssignale von den Betriebssystemen verzögert und zuverlässig den Bestimmungsschaltungen zugeleitet.
Bei der Alarmerkennungsschaltung, die sich zum Einsatz bei einer redundant aufgebauten Schaltung eignet, sind außerdem Verzögerungsschaltung vorgesehen, denen jeweils die Alarmerkennungssignale zugeführt werden und die nur die Alarmerkennungssignale der in Betrieb befindlichen Systeme verzögern, damit diese den Bestimmungsschaltungen zugeleitet werden. Ist es somit nicht nötig, die Umschaltung zwischen dem Betriebssystem und dem Reservesystem vorzunehmen, auch wenn die jeweiligen Alarmerkennungssignale in den Meldezustand geschaltet wurden, so werden die Alarmerkennungssignale von den Betriebssystemen verzögert und zuverlässig den Bestimmungsschaltungen zugeführt.
Nachfolgend werden bevorzugte Ausführungsbeispiele unter Bezugnahme auf die beigefügte Zeichnung erläutert. Es zeigen:
Fig. 1 ein Blockschaltbild mit der Darstellung einer her­ kömmlichem Alarmerkennungsschaltung, die sich zum Ein­ satz bei einer redundant aufgebauten Schaltung eig­ net;
Fig. 2 ein Blockschaltbild mit der Darstellung eines ersten Ausführungsbeispiels der Alarmer­ kennungsschaltung, die sich für den Einsatz bei einer redundant ausgelegten Schaltung eignet; und
Fig. 3 ein Blockschaltbild mit der Darstellung eines anderen Ausführungsbeispiels der Alarmer­ kennungsschaltung, die sich zum Einsatz bei einer redundant ausgelegten Schaltung eignet.
Fig. 2 zeigt im Blockschaltbild ein zum Einsatz bei einer redundant aufgebauten Schaltung geeignetes erstes Ausfüh­ rungsbeispiel der Alarmerkennungsschaltung. In derselben Zeichnung sind mit den gleichen Bezugszei­ chen, die bereits in Fig. 1 angegeben sind, die gleichen Kon­ struktionselemente wie bei Fig. 1 bezeichnet, so daß sie im folgenden nicht mehr ausführlich beschrieben werden.
Mit den Bezugszeichen 4a, 4b sind in Fig. 2 jeweils Verzöge­ rungsschaltungen bezeichnet, welche Alarmerkennungssignale 12a, 12b verzögern und somit verzögerte Alarmsignale 15a, 15b ausgeben. Die Bezugszeichen 16a, 17a bezeichnen jeweils Tri- State-Gatterschaltungen, die im Ansprechen auf ein Spezifi­ ziersignal 13a eingeschaltet oder gesperrt werden.
Nachfolgend wird nun die Funktionsweise dieses Ausführungs­ beispiels erläutert.
Es sei angenommen, daß eine Eingangsschaltung 1a zu einem Be­ triebssystem gehört und eine Eingangsschaltung 1b einem Aus­ weichbetriebs- bzw. Reservesystem zugeordnet sei. Somit wird das Spezifiziersignal 13a dazu verwendet, das Betriebssystem zu bezeichnen (wobei dies als auf L-Pegel geschaltet gilt), während das Spezifiziersignal 13b dazu dient, das Reservesy­ stem zu spezifizieren (es gilt dabei als auf H-Pegel geschal­ tet). Somit entspricht ein Alarmausgangssignal 14a, das einer Bestimmungsschaltung 3 zugeführt wird, einem verzögerten Alarmsignal 15a, das über die Gatter­ schaltung 17a zugeführt wird. Andererseits gehört ein Alarm­ ausgangssignal 14b, das der Be­ stimmungsschaltung 3 zugeleitet wird, zu einem Alarmerken­ nungssignal 12b, das über die Gatterschaltung 16b zugeführt wird.
Nun sei angenommen, daß jede der beiden Eingangsschaltungen 1a, 1b erkannt hat, daß ein Signal infolge äußerer Faktoren nicht angelegt wurde. Dabei schalten die beiden Alarmerken­ nungsschaltungen 2a, 2b die Alarmerkennungssignale 12a, 12b in den Meldezustand. Da die Eingangsschaltung 1a zu dem als Betriebssystem geschalteten System gehört, wird die Gatterschaltung 17a aktiviert, damit sie das verzögerte Alarmsignal 15a als Alarmausgangssignal 14a in unveränderter Form erzeugt. Da an­ dererseits die Eingangsschaltung 1b zum Reservesystem gehört, wird die Gatterschaltung 16b eingeschaltet, um das Alarmer­ kennungssignal 12b als Alarmausgangssignal 14b in unveränder­ ter Form zu generieren.
Ist das Zeitintervall, das die Verzögerungsschaltungen 4a, 4b zum Verzögern der Alarmerkennungssignale 12a, 12b benötigen, so eingestellt, daß es größer als der Höchstwert ist, der die Differenz in der Erkennungszeit zwischen den Alarmerkennungs­ schaltungen 2a und 2b anzeigt, so erhält die Bestimmungsschaltung 3 das Alarmausgangssignal 14b, das immer zuerst aktiviert wird. Dies bedeutet, daß im Ansprechen auf das Alarmausgangssignal 14b die Bestimmungsschaltung 3 zuerst eine Störung bzw. einen Funktionsfehler im Reservesystem erkennt. Damit erkennt die Bestimmungsschaltung 3, daß das in Betrieb befindliche System normal arbeitet, und somit veranlaßt sie keine Umschaltung vom Betriebssystem auf das Reservesystem.
Solange die Bestimmungsschaltung 3 im Ansprechen auf die Alarmausgangssignale 14a, 14b eine Alarmmeldung erkennt, d. h. solange sie anhand des Alarmaus­ gangssignals, das zuerst in den Meldezustand geschaltet wur­ de, einen Alarmzustand erkennt, führt sie keine Systemum­ schaltung aus, auch wenn an einem Eingangsanschluß 11 nicht ein gewünschtes Signal anliegt (d. h. auch wenn es nicht er­ forderlich ist, die Umschaltung zwischen Betriebssystem und Reservesystem vorzunehmen).
Fig. 3 zeigt im Blockschaltbild ein zweites Ausführungsbei­ spiel der Alarmerkennungsschaltung zum Einsatz bei einer redundant ausgelegten Schaltung. Das erste Ausführungsbeispiel bezog sich auf den Fall, daß zwei Verzö­ gerungsschaltungen 4a, 4b erforderlich sind. Bei diesem Aus­ führungsbeispiel kann nur eine einzige Verzögerungsschaltung vorgesehen sein. In Fig. 3 ist mit dem Bezugszeichen 4 eine Verzögerungseinheit angegeben. Das Bezugszeichen 5a bezeich­ net einen Betriebssystemwähler der Verzögerungseinheit 4, welcher im Ansprechen auf ein Auswahlsignal 21, das von einer Bestimmungsschaltung 3 geliefert wird, ein Alarmerkennungssignal 12a des Betriebssystems aus­ wählt. Mit dem Bezugszeichen 5b ist Reservesystemwähler ange­ geben, der ein Alarmerkennungssignal des Reservesystems aus­ wählt. Das Bezugszeichen 19 gibt dabei ein Alarmausgangssi­ gnal des Betriebssystems an, während das Bezugszeichen 20 ein Alarmausgangssignal des Reservesystems bezeichnet. Außerdem ist mit dem Bezugszeichen 6 eine Verzögerungsschaltung angegeben, die außerhalb der Eingangsschaltungen 1a, 1b vorgese­ hen ist.
Nachfolgend wird nun die Funktionsweise dieses Ausführungs­ beispiels erläutert.
Auch bei diesem Ausführungsbeispiel gilt die Eingangsschal­ tung 1a als zum Betriebssystem gehörig. Der Betriebssystem­ wähler 5a wählt im Ansprechen auf das Auswahlsignal 21 das Alarmerkennungssignal 12a aus und gibt es als Ausgangssignal 19 wieder aus. Damit wird das Alarmerkennungssignal 12a, das in der Verzögerungsschaltung 6 verzögert wurde, der Bestimmungsschaltung 3 als Alarmaus­ gangssignal 19 zugeführt. Der Reservesystemwähler 5b wählt ein Alarmerkennungssignal 12b aus und gibt dieses als Alarm­ signal 20 aus. Die Bestimmungs­ schaltung 3 erhält als Alarmausgangssignal ein Alarmerken­ nungssignal 12b vom Reservesystem, das nicht verzögert wurde.
Dementsprechend funktioniert hier die Bestimmungsschaltung 3 in ähnlicher Weise wie beim er­ sten Ausführungsbeispiel. Auch wenn an einem Eingangsanschluß 11 ein gewünschtes Signal nicht anliegt (d. h. auch wenn es nicht erforderlich ist, die Umschaltung zwischen dem Be­ triebssystem und dem Reservesystem vorzunehmen), bewirkt die Bestimmungsschaltung 3 die Sy­ stemumschaltung nicht.
Erfindungsgemäß weist, wie vorstehend erläutert wurde, jede Eingangsschaltung eine Verzögerungsschaltung auf, welche ein Alarmerkennungssignal zeitlich verzögert, wenn ein Betriebs­ system gewählt ist, und dieses einer Bestimmungsschaltung zuführt. Ist es nicht erforder­ lich, die Umschaltung zwischen Betriebssystem und Reservesy­ stem vorzunehmen, auch wenn jedes Alarmerkennungssignal in den Meldezustand geschaltet ist, wird somit das Alarmerkennungssignal des Betriebssystems verzögert und zuverlässig der Bestimmungsschaltung zugeleitet.
Wird somit eine Funktionsstörung bzw. ein nicht ordnungsgemä­ ßer Zustand erkannt, die bzw. der nicht durch einen nicht ordnungsgemäßen Zustand in jeder der Eingangsschaltungen ver­ ursacht wurde, so kann eine Umschaltung zwischen Betriebssy­ stem und Reservesystem vermieden werden.
Erfindungsgemäß ist auch eine Verzögerungsschaltung vorgese­ hen, der jedes Alarmerkennungssignal zugeführt wird und die nur ein Alarmerkennungssignal des Betriebssystems verzögert, damit dieses einer Bestimmungs­ schaltung zugeleitet wird. Ist es nicht erforderlich, die Um­ schaltung zwischen dem Betriebssystem und dem Reservesystem vorzunehmen, obgleich jedes Alarmerkennungssignals in den Meldezustand geschaltet ist, wird nur das Alarmerkennungssi­ gnal des Betriebssystems zeitlich verzögert und zuverlässig der Bestimmungsschaltung zuge­ führt. Wird somit eine Funktionsstörung bzw. ein nicht-ord­ nungsgemäßer Zustand erkannt, der auf äußere Faktoren zurück­ zuführen ist und nicht einem nicht-ordnungsgemäßen Zustand in jeder Eingangsschaltung entspricht, so kann die Umschaltung zwischen dem Betriebssystem und dem Reservesystem vermieden werden. Außerdem ist es möglich, nur eine einzige Verzöge­ rungsschaltung vorzusehen.

Claims (5)

1. Verfahren zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redundant aufgebauter Schaltungen, wobei jedes dieser Systeme eine Eingangsschaltung mit jeweils einer Alarmerkennungsschaltung aufweist, die beim Erkennen eines Fehlers ein Alarmerkennungssignal erzeugt, mit einer Bestimmungsschaltung, welche festlegt, welches der Systeme als Betriebssystem und welches als Reservesystem arbeitet, wobei dann, wenn ein Fehler
lediglich von der Alarmerkennungsschaltung des Betriebssystems erkannt wird, eines der Reservesysteme zum Betriebssystem umgeschaltet wird;
lediglich von der Alarmerkennungsschaltung des mindestens einen Reservesystems erkannt wird, kein Umschalten erfolgt;
zuerst von der Alarmerkennungsschaltung des mindestens einen Reservesystems erkannt wird und dann, innerhalb einer festlegbaren Zeitdauer ein Fehler von der Alarmerkennungsschaltung des Betriebssystems erkannt wird, ebenfalls kein Umschalten erfolgt.
2. Verfahren nach Anspruch 1, wobei das Alarmerkennungssignal des momentanen Betriebssystems verzögert und das Alarmerkennungssignal des mindestens einen momentanen Reservesystems unverzögert der Bestimmungsschaltung zugeführt werden.
3. Verfahren nach Anspruch 2, wobei das Verzögern des Alarmerkennungssignals eingestellt werden kann.
4. Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redundant aufgebauter Schaltungen, wobei jedes dieser Systeme eine Eingangsschaltung (1a, 1b) mit jeweils einer Alarmerkennungsschaltung (2a, 2b) aufweist, die beim Erkennen eines Fehlers ein Alarmerkennungssignal erzeugt, mit einer Bestimmungsschaltung (3), welche festlegt, welches der Systeme als Betriebssystem und welches als Reservesystem arbeitet, wobei die Umschalteinrichtung derart ausgebildet ist, dass dann, wenn ein Fehler
lediglich von der Alarmerkennungsschaltung (2a, 2b) des Betriebssystems erkannt ist, eines der Reservesysteme zum Betriebssystem umschaltbar ist;
lediglich von der Alarmerkennungsschaltung (2a, 2b) des mindestens einen Reservesystems erkannt ist, kein Umschalten erfolgt;
zuerst von der Alarmerkennungsschaltung (2a, 2b) des mindestens einen Reservesystems erkannt ist, und dann, innerhalb einer festlegbaren Zeitdauer, ein Fehler von der Alarmerkennungsschaltung (2a, 2b) des Betriebssystems erkannt ist, ebenfalls kein Umschalten erfolgt.
5. Umschalteinrichtung nach Anspruch 4, wobei durch eine schaltbare Verzögerungsschaltung (4a, 4b; 6) das Alarmerkennungssignal des momentanen Betriebssystems verzögert und das Alarmerkennungssignal des mindestens einen momentanen Reservesystems unverzögert der Bestimmungsschaltung (3) zuführbar sind.
DE4303048A 1992-02-03 1993-02-03 Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen Expired - Fee Related DE4303048C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP4046367A JPH05227056A (ja) 1992-02-03 1992-02-03 冗長構成回路のアラーム検出方式

Publications (2)

Publication Number Publication Date
DE4303048A1 DE4303048A1 (en) 1993-08-05
DE4303048C2 true DE4303048C2 (de) 2002-10-31

Family

ID=12745184

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4303048A Expired - Fee Related DE4303048C2 (de) 1992-02-03 1993-02-03 Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen

Country Status (4)

Country Link
US (1) US5552764A (de)
JP (1) JPH05227056A (de)
DE (1) DE4303048C2 (de)
FR (1) FR2688330B1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6011465A (en) * 1998-06-26 2000-01-04 Wang; Randall Backup arrangement for alarm system
DE19924128C2 (de) * 1999-05-26 2001-12-20 Ackermann Albert Gmbh Co Rufsystem für den Pflegebereich
FR2978281B1 (fr) * 2011-07-20 2013-09-27 Airbus Operations Sas Procede de reconfiguration d'un dispositif de surveillance de l'environnement d'un aeronef
CN109448340B (zh) * 2018-12-25 2023-08-08 佛山科学技术学院 一种公交车预警单元

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3306724A1 (de) * 1983-02-25 1984-08-30 Siemens AG, 1000 Berlin und 8000 München Verfahren zum betrieb einer fehlererkennungsschaltung
DE3514079A1 (de) * 1984-04-19 1985-11-07 Nissan Motor Co., Ltd., Yokohama, Kanagawa Ausfallsicherungskreis fuer ein steuerungssystem
DE3612730A1 (de) * 1986-04-16 1987-10-22 Ant Nachrichtentech Prozessor-system
DE3511208C2 (de) * 1985-03-28 1990-06-21 Aeg Kanis Gmbh, 8500 Nuernberg, De
JPH02226935A (ja) * 1989-02-28 1990-09-10 Yokogawa Electric Corp 冗長化ループ形データ通信システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2386199A1 (fr) * 1977-04-01 1978-10-27 Bailey Controle Procede d'autosignalisation des defaillances d'un module d'automatisme statique de securite et module mettant en oeuvre ledit procede
US4331952A (en) * 1980-09-22 1982-05-25 American District Telegraph Company Redundant sensor adapter
US4402903A (en) * 1981-09-04 1983-09-06 Westinghouse Electric Corp. Control system for coupling redundant logic channels
US4562528A (en) * 1982-10-06 1985-12-31 Mitsubishi Denki Kabushiki Kaisha Backup control apparatus
US4630265A (en) * 1984-09-26 1986-12-16 General Electric Company Method and apparatus for selecting for use between data buses in a redundant bus communication system
US4611197A (en) * 1985-02-19 1986-09-09 Sansky Michael J Malfunction-detecting status monitoring system
US4794376A (en) * 1988-01-28 1988-12-27 The Babcock & Wilcox Company Automatic signal evaluation and transfer
JPH02249332A (ja) * 1989-03-22 1990-10-05 Nec Corp 冗長系選択回路

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3306724A1 (de) * 1983-02-25 1984-08-30 Siemens AG, 1000 Berlin und 8000 München Verfahren zum betrieb einer fehlererkennungsschaltung
DE3514079A1 (de) * 1984-04-19 1985-11-07 Nissan Motor Co., Ltd., Yokohama, Kanagawa Ausfallsicherungskreis fuer ein steuerungssystem
DE3511208C2 (de) * 1985-03-28 1990-06-21 Aeg Kanis Gmbh, 8500 Nuernberg, De
DE3612730A1 (de) * 1986-04-16 1987-10-22 Ant Nachrichtentech Prozessor-system
JPH02226935A (ja) * 1989-02-28 1990-09-10 Yokogawa Electric Corp 冗長化ループ形データ通信システム

Also Published As

Publication number Publication date
JPH05227056A (ja) 1993-09-03
US5552764A (en) 1996-09-03
FR2688330A1 (fr) 1993-09-10
FR2688330B1 (fr) 1995-11-03
DE4303048A1 (en) 1993-08-05

Similar Documents

Publication Publication Date Title
EP0403763B1 (de) Verfahren zum Vernetzen von Rechnern und/oder Rechnernetzen sowie Vernetzungssystem
DE69514644T2 (de) Verfahren und Anordnung zur Synchronisation von Flugsteuerungsrechnern
DE1524239B2 (de) Schaltungsanordnung zur aufrechterhaltung eines fehler freien betriebes bei einer rechenanlage mit mindestens zwei parallel arbeitenden rechengeraeten
DE102008048876B4 (de) Schaltungsanordnung und Verfahren zum Überwachen einer Versorgungsspannung
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE3024370C2 (de) Redundantes Steuersystem
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE4303048C2 (de) Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen
DE19847986A1 (de) Einzelprozessorsystem
DE19814096B4 (de) Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
DE2530887C3 (de) Steuereinrichtung zum Informationsaustausch
EP3200033B1 (de) Anordnung mit zumindest zwei peripherie-einheiten und mit einem sensor
DE3840570C2 (de)
EP3654121B1 (de) Redundantes automatisierungssystem mit mehreren prozessoreinheiten je hardwareeinheit
DE10334626B4 (de) Informationsverarbeitungsvorrichtung
EP1266461B1 (de) Verfahren zur ersatzschaltung eines baugruppenfeldes in digitalen systemen zur datenübertragung und ersatzschaltung zur durchführung des verfahrens
DE4430177A1 (de) Überwachungsvorrichtung für einen Prozessor
EP0820615B1 (de) Anschaltung zur einkopplung von binären steuer- und meldesignalen in eine datenverarbeitungseinheit
DE4137489C2 (de) Verfahren und Einrichtung zum zuverlässigen Steuern von Schaltgeräten einer Schaltanlage
DE2365871C3 (de) Datenübertragungsanlage
DE3315269C2 (de) Schaltungsanordnung zur Erhöhung der Betriebssicherheit beim Informationsaustausch zwischen Steuereinrichtungen von Fernmelde-, insbesondere Fernsprechvermittlungsanlagen
EP0248321A1 (de) Verbundsystem aus mehreren über ein Bussystem zusammenwirkenden Steuerungseinrichtungen
EP1038223A1 (de) Überwachungssystem für eine digitale trimzelle

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee