DE4407860C1 - Doppelrechnersystem - Google Patents
DoppelrechnersystemInfo
- Publication number
- DE4407860C1 DE4407860C1 DE19944407860 DE4407860A DE4407860C1 DE 4407860 C1 DE4407860 C1 DE 4407860C1 DE 19944407860 DE19944407860 DE 19944407860 DE 4407860 A DE4407860 A DE 4407860A DE 4407860 C1 DE4407860 C1 DE 4407860C1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- memory
- main memory
- replacement
- end2
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
Description
Die Erfindung betrifft ein Doppelrechnersystem, insbeson
dere für eine den Betrieb einer Bahnanlage steuernde
Bahnleitanlage, mit zwei parallelen kommunizierenden
Rechnerkanälen.
Aus dem Aufsatz Fehlertolerante Rechner im Einsatz" von
H. Kirrmann, Bull. SEV/VSE 80 (1989), S. 639-648 sind
Doppelrechnersysteme mit zwei parallelen Rechnerkanälen
bekannt. Jeder Rechnerkanal enthält zumindest eine zen
trale Verarbeitungseinheit und einen Speicher. Der redun
dante Rechnerkanal (Ersatzrechner) kann nötigenfalls die
Funktion des ausgefallenen betriebsführenden Rechnerka
nals (Wirkrechner) übernehmen. Die dazu vorgesehene Er
satz-Hardware muß für eine stoßfreie Funktionsübernahme
auf einem möglichst aktuellen Zustand gehalten werden. Zu
dieser Aktualisierung werden zwei alternative Aktualisie
rungsprinzipien, nämlich Nachführung oder Synchronlauf,
beschrieben. Bei beiden Prinzipien gibt jeweils nur der
Wirkrechner seine Endergebnisse in Form von Befehlen an
eine zu steuernde an die Anlage ab, während der Ersatz
rechner wirkungslos ist.
Bei der Nachführung führt der Wirkrechner den Ersatzrech
ner in regelmäßigen, durch Rücksetzpunkte des Betriebs
programms (Software) definierten Abständen nach. Die
Verwendung von Rücksetzpunkten ist im Zusammenhang mit
Tandem-Rechnersystemen zur Abwicklung von Finanztrans
aktionen aus Design and Analysis of Fault-Tolerant
Digital Systems", B.W. Johnson, ISBN 0-201-07570-9, 1989,
Seiten 346 bis 348, auch unter dem Begriff "check
pointing" bekannt. Dabei erhält ein Prozessor des
Ersatzrechners regelmäßig an kritischen Programmpunkten
statusbeschreibende Meldungen ("checkpoint-messages") des
im Wirkrechner ausgeführten Programms. Zur Nachführung
tauschen die beiden Rechnerkanäle die zur Rettung oder
Wiederherstellung eines Zustandes notwendigen Daten un
mittelbar untereinander aus und müssen dementsprechend
aufeinander abgestimmt sein. Der dazu notwendige regelmä
ßige Datentransfer kann insbesondere bei einer großen zu
verarbeitenden Datenmenge pro Zeiteinheit (hoher Datenan
fall) verhältnismäßig aufwendig und zeitproblematisch
sein. Im Fehlerfall kann der Ersatzrechner die Arbeit nur
beim letzten Rücksetzpunkt wieder aufnehmen; die Umschal
tung ist daher nicht nahtlos.
Beim Synchronlauf führen Wirkrechner und Ersatzrechner
die gleichen Programme parallel aus. Da ein absoluter
Gleichlauf der beiden Rechnerkanäle aufgrund rechnerin
dividueller Verzugs- und Steuerzeiten nicht gewährleistet
ist, können ihre situationsbedingten Rechenergebnisse un
terschiedlich ausfallen und zu unterschiedlichen Spei
cherinhalten führen. Da beide Rechner für nachfolgende
Entscheidungen und Verarbeitungsroutinen jeweils auf ih
ren individuellen - ggf. unterschiedlichen - Speicherin
halt zurückgreifen, können auf aktuelle Ereignisse unter
schiedliche Reaktionen erfolgen, die sich teilweise wi
dersprechen können. Deshalb ist eine stoßfreie Übernahme
auch bei diesem Aktualisierungsprinzip nicht gewährlei
stet. Um beim Synchronlauf eine weitgehend nahtlose Über
nahme zu ermöglichen, müssen verhältnismäßig aufwendige
Vorsorgemaßnahmen getroffen werden. Aus der DE-OS 26 12 100
ist in diesem Zusammenhang eine vergleichsweise auf
wendige Überwachungseinrichtung bekannt geworden.
Die Aufgabe der vorliegenden Erfindung besteht in der
Schaffung eines Doppelrechnersystems, das bei einem mög
lichst geringen Aktualisierungsaufwand und Datentransfer
zwischen den Rechnerkanälen eine nahezu stoßfreie Funk
tionsübernahme durch den Ersatzrechner, insbesondere bei
einem hohen eingangsseitigen Datenanfall, ermöglicht.
Diese Aufgabe wird erfindungsgemäß gelöst durch ein Dop
pelrechnersystem mit zwei parallelen kommunizierenden
Rechnerkanälen, die jeweils zumindest folgende Komponen
ten enthalten:
eine Vorverarbeitungseinheit, die mit Zustandsdaten einer Anlage beaufschlagbar ist, einen nachgeordneten Vorspei cher zum Speichern der Vorergebnisse der Vorverarbei tungseinheit; eine Weiterverarbeitungseinheit, um aus den Vorergebnissen und bedarfsweise eingebbaren Zusatzdaten Endergebnisse zu erzeugen; einen Hauptspeicher zum Spei chern der Endergebnisse und eine Ausgabeeinheit, die auf grund der Endergebnisse bedarfsweise Befehle zur Steue rung der Anlage erzeugt,
wobei der eine Rechnerkanal einen betriebsführenden Wirk rechner bildet, der die aus den Zustandsdaten erzeugten Befehle an die Anlage abgibt, und der andere Rechnerkanal einen betriebsbereiten Ersatzrechner bildet,
wobei die Weiterverarbeitungseinheit des Wirkrechners ih re Endergebnisse regelmäßig auch in den Hauptspeicher des Ersatzrechners einschreibt und
wobei die Zustandsdaten der Anlage auch die Vorverarbei tungseinheit des Ersatzrechners beaufschlagen und diese Vorverarbeitungseinheit ihre Vorergebnisse in dem Vor speicher des Ersatzrechners ablegt.
eine Vorverarbeitungseinheit, die mit Zustandsdaten einer Anlage beaufschlagbar ist, einen nachgeordneten Vorspei cher zum Speichern der Vorergebnisse der Vorverarbei tungseinheit; eine Weiterverarbeitungseinheit, um aus den Vorergebnissen und bedarfsweise eingebbaren Zusatzdaten Endergebnisse zu erzeugen; einen Hauptspeicher zum Spei chern der Endergebnisse und eine Ausgabeeinheit, die auf grund der Endergebnisse bedarfsweise Befehle zur Steue rung der Anlage erzeugt,
wobei der eine Rechnerkanal einen betriebsführenden Wirk rechner bildet, der die aus den Zustandsdaten erzeugten Befehle an die Anlage abgibt, und der andere Rechnerkanal einen betriebsbereiten Ersatzrechner bildet,
wobei die Weiterverarbeitungseinheit des Wirkrechners ih re Endergebnisse regelmäßig auch in den Hauptspeicher des Ersatzrechners einschreibt und
wobei die Zustandsdaten der Anlage auch die Vorverarbei tungseinheit des Ersatzrechners beaufschlagen und diese Vorverarbeitungseinheit ihre Vorergebnisse in dem Vor speicher des Ersatzrechners ablegt.
Die Rechnerkanäle des Doppelrechnersystems verarbeiten
die Zustandsdaten der Anlage individuell vor und legen
ihre Vorergebnisse in ihrem jeweiligen Vorspeicher ab. Im
betriebsbereiten Ersatzrechner ist die Weiterverarbeitung
der Vorergebnisse und die Wirkung seiner Endergebnisse
auf die Anlage - z. B. durch Unterbrechung des Zugriffs
der Weiterverarbeitungseinheit des Ersatzrechners auf
dessen Vorspeicher - unterbunden. Die Rechnerkanäle kön
nen über ein übliches Netzwerk (Local Area Network (LAN))
kommunizieren.
Das erfindungsgemäße Doppelrechnersystem kann vorteil
hafterweise auf einen vollständigen Synchronlauf der
Rechnerkanäle ("hot stand by") und damit auf die dazu er
forderlichen aufwendigen Koordinierungs- und Überwa
chungseinrichtungen verzichten. Die erwähnten, beim Syn
chronlauf zwischen den Rechnerkanälen auftretenden Abwei
chungen und die daraus resultierenden Kompetenz- und Ver
trauensprobleme treten deshalb nicht auf.
Ein weiterer wesentlicher Vorteil des erfindungsgemäßen
Doppelrechnersystems besteht darin, daß während der Be
triebsbereitschaft des Ersatzrechners regelmäßig nur der
- vorverarbeitete und in seinem Informationsgehalt erheb
lich verdichtete - Vorspeicherinhalt übertragen wird, wo
gegen die datenintensive Vorverarbeitung der von der An
lage gelieferten Zustandsdaten rechnerkanalindividuell
parallel erfolgt. Dadurch werden die regelmäßig zu über
tragenden Datenmengen, die Datentransferprozeduren und
die Belegung der Datenaustauschkanäle erheblich redu
ziert. Im Übernahmefall kann der bisherige Ersatzrechner
sofort auf die von seiner Vorverarbeitungseinheit erzeug
ten Daten und die eingangsseitig anliegenden
Zustandsdaten zurückgreifen.
Der Inhalt des Hauptspeichers kann zyklisch in den Haupt
speicher des Ersatzrechners eingeschrieben werden. Eine
diesbezüglich vorteilhafte Weiterbildung des erfindungs
gemäßen Doppelrechnersystems sieht vor, daß die Weiter
verarbeitungseinheit des Wirkrechners ihre Endergebnisse
zumindest dann in Hauptspeicher des Ersatzrechners ein
schreibt, wenn sich der Inhalt des Wirkrechner-Hauptspei
chers ändert. Im Gegensatz zu durch ein Betriebsprogramm
(Software) definierten Rücksetzzeitpunkten erfolgt somit
eine weitere erhebliche Reduzierung der zu übertragenden
Datenmenge und der Datentransferprozeduren und der Bele
gung der Datenaustauschkanäle. Dennoch verfügt der Er
satzrechner jederzeit über die hochaktuellen Endergeb
nisse des Wirkrechners.
Eine zu Testzwecken vorteilhafte Weiterbildung der Erfin
dung besteht darin, daß in einem Freilaufzustand die Kom
ponenten des Ersatzrechners wirkrechnerartig zusammen
wirken, wobei die Vorverarbeitungseinheit von den Zu
standsdaten beaufschlagt ist und die Wirkung des Ersatz
rechners auf die Anlage unterbunden ist. In dem Freilauf
zustand führt damit der Ersatzrechner dieselben Funktio
nen wie der Wirkrechner aus, wobei jedoch seine Ausgaben
keine Wirkung auf die Anlage haben. Im Freilaufzustand
läßt sich die Funktion des Ersatzrechners ohne Beein
trächtigung des Anlagenbetriebs überprüfen.
Nach einer für die Wiederaufnahme der wirkungsredundanten
Funktion des Doppelrechnersystems besonders vorteilhaften
Ausgestaltung der Erfindung schreibt der Wirkrechner nach
Beendigung des Freilaufzustands in den Vorspeicher und
den Hauptspeicher des Ersatzrechners die Inhalte seines
Vorspeichers bzw. seines Hauptspeichers ein.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend im
Zusammenhang mit einem besonders bevorzugten Einsatz bei
einer Bahnanlage anhand einer Zeichnung näher erläutert;
es zeigen:
Fig. 1 verschiedene Situationen auf der Bahnanlage und
daraus resultierende Zustände,
Fig. 2 eine Kooperation eines Doppelrechnersystems mit
einem Stellwerk der Bahnanlage und
Fig. 3 eine schematische Darstellung des Doppelrechner
systems.
Fig. 1 zeigt eine zu überwachende und zu steuernde Anla
ge in Form einer Bahnanlage BA, deren Bereichsgrenzen GR
andeutungsweise dargestellt sind. An Bereichsgrenzen
überschreitenden Gleisen GL der Bahnanlage BA sind
Gleisantwortgeräte GAG installiert, die das Einfahren
bzw. Verlassen von Fahrzeugen melden. Ein Fahrzeug F be
findet sich zunächst auf einem Abschnitt A1 einer Strecke
ST mit mehreren Abschnitten A1, A2, der eine entspre
chende Besetztmeldung an ein Stellwerk STW der Bahnanlage
BA abgibt. Anschließend bewegt sich das Fahrzeug F
(gestrichelt dargestellt) in den Abschnitt A2, so daß der
Abschnitt A2 an das Stellwerk STW als besetzt gemeldet
wird (vgl. senkrecht verlaufende Zeitachse t in Fig. 1).
Daraufhin geht ein an der Strecke ST vor dem Abschnitt A2
positioniertes und den Abschnitt A2 und folgende
Abschnitte sicherndes Signal SIG in die Stellung "halt",
anschließend erfolgt eine Freimeldung des Abschnitts A1
an das Stellwerk STW. Eine Zusammenfassung dieser
Meldungen bzw. Ereignisse in ihrer zeitlichen Reihenfolge
ergibt eine Sequenz SEQ. Die bahnanlagenseitigen
Meldungen wie z. B. diese Sequenz SEQ werden als
Zustandsdaten von dem Stellwerk in Form von sequentiellen
Bit-Strömen D1, D2 mit einer Periode von z. B. 1,75 s
zyklisch an eine (Bahn-)Leitanlage LA übermittelt.
Gemäß Fig. 2 umfaßt die (Bahn-)Leitanlage LA neben nicht
näher gezeigten Bedienplatzrechnern und Anzeigeelementen
u. a. zwei Rechnerkanäle in Form von Zuglenkrechnern
ZLR1, ZLR2, die über direkte Datenleitungen V1, V2 mit
einem Fernkoppelkonzentrator FKK des Stellwerks STW in
Verbindung stehen. Die Zuglenkrechner ZLR1, ZLR2 kommu
nizieren über ein gemeinsames lokales Netz (LAN). Der
Fernkoppelkonzentrator FKK kontrolliert die Verbindungen
V1, V2 zu den Zuglenkrechnern ZLR1, ZLR2, indem das
Eintreffen von Quittungen auf Meldungen des Stellwerks
STW überwacht wird. Zusätzlich können auch die Zuglenk
rechner ZLR1, ZLR2 das zyklische Eintreffen von Stell
werksmeldungen überwachen.
Die in Fig. 3 gezeigten Rechnerkanäle ZLR1, ZLR2 sind
hinsichtlich ihrer Hard- und Software identisch ausge
stattet und enthalten je eine Vorverarbeitungseinheit
VE1, VE2, die über die Verbindungen V1, V2 von dem Stell
werk STW mit den Zustandsdaten D1, D2 der Anlage BA be
aufschlagbar sind. Die Vorverarbeitungseinheiten VE1, VE2
sind jeweils ausgangsseitig mit einem Vorspeicher VS1,
VS2 verbunden, in dem ihre Vorergebnisse VOR1, VOR2
ablegbar sind. Eine Weiterverarbeitungseinheit WV1, WV2
ist über einen (Software-)Schalter S1, S1′ mit dem je
weiligen Vorspeicher VS1, VS2 verbindbar. Die ausgangs
seitigen Endergebnisse END1, END2 der Weiterverarbei
tungseinheiten WV1, WV2 können so in den Hauptspeicher
HS1 bzw. HS2 eingeschrieben werden. Von einer Ausgabe
einheit AU1 bzw. AU2 können aus den Endergebnissen er
zeugte Befehle (z. B. für streckenkonfigurierende Wei
chenbewegungen) bedarfsweise an das Stellwerk STW über
mittelt werden und so auf die Bahnanlage BA einwirken.
Die Weiterverarbeitungseinheiten WV1, WV2 können zusätz
lich mit Zusatzdaten ZD versorgt werden, die z. B. von
einem Gleisantwortgerät GAG an die Leitanlage LA übermit
telt werden, wenn ein Fahrzeug F über die Grenze GR und
das entsprechende Gleisantwortgerät GAG in die Bahnanlage
BA einfährt (Fig. 1), um seine Zugnummer erstmalig zu
erfassen und somit eine Zuglaufverfolgung zu ermöglichen.
Im vorliegenden Beispiel ist der Rechnerkanal ZLR2 als
betriebsführender Wirkrechner WR (Fig. 2) betrieben,
während der andere Rechnerkanal ZLR1 als betriebsbereiter
Ersatzrechner ER fungiert. Dazu sind die Komponenten des
Wirkrechners WR, nämlich die Vorverarbeitungseinheit VE2,
der Vorspeicher VS2 über den Schalter S1′, die Weiterver
arbeitungseinheit WV2, der Hauptspeicher HS2 und über den
Schalter S3′ die Ausgabeeinheit AU2 miteinander verbun
den. Die Vorverarbeitungseinheit VE2 des Wirkrechners WR
verarbeitet die von dem Fernkoppelkonzentrator FKK gelie
ferten Zustandsdaten D2 soweit vor, daß in dem Vorspei
cher VS2 ein Prozeßabbild PA2 der Bahnanlage BA abgelegt
ist. Das Prozeßabbild PA2 gibt das aus den streckenspezi
fischen Meldungen (vgl. Fig. 1) gewonnene aktuelle Bele
gungsbild der Bahnanlage BA wieder. Aus dem Inhalt des
Vorspeichers VS2 ermittelt die Weiterverarbeitungseinheit
WV2 als Endergebnisse END2 die Positionen und Fahrbewe
gungen der Züge bzw. Fahrzeuge (Zuglauf). Die Weiterver
arbeitungseinheit WV2 erkennt beispielsweise an der in
Fig. 1 gezeigten Sequenz SEQ bezüglich der Abschnitte
A1, A2 eine Bewegung des Fahrzeuges F und generiert auf
grund dieser Sequenz entsprechende Daten zur Aktualisie
rung des Hauptspeichers (Zugspeicher) HS2. Der Zuglauf
bzw. die aktuellen Zugpositionen sind von der Ausgabeein
heit AUS2 aus dem Hauptspeicher HS2 abrufbar.
Auch der betriebsbereite Ersatzrechner ER wird mit zu den
Zustandsdaten D2 identischen Daten D1 beaufschlagt und
erzeugt durch Verarbeitung in der Vorverarbeitungseinheit
VE1 ein dem Zustand der Bahnanlage entsprechendes Prozeß
abbild PA1. Durch den geöffneten Schalter S1 kann die
Weiterverarbeitungseinheit WV1 nicht auf den Vorspeicher
VS1 zurückgreifen. Da auch der zwischen dem Hauptspeicher
HS1 und der Ausgabeeinheit AU1 vorgesehene Schalter S3
geöffnet ist, hat der Ersatzrechner keine Wirkung auf das
Stellwerk STW bzw. die Bahnanlage.
Die Weiterverarbeitungseinheiten WV1, WV2 sind über
Schalter S2, S2′ jeweils mit dem Hauptspeicher HS2 bzw.
HS1 des anderen Rechnerkanals ZLR1, ZLR2 verbindbar.
Über den geschlossenen Schalter S2′ werden die Endergeb
nisse END2 der Weiterverarbeitungseinheit WV2 zusätzlich
auch in den Hauptspeicher HS1 des Ersatzrechners ER ein
geschrieben. Die Endergebnisse END2 werden ferner über
den Schalter S3′ der Ausgabeeinheit AU2 zugeführt. Die
Ausgabeeinheit AU2 erzeugt aus den Endergebnissen END2
Befehle (z. B. Fahrstraßeneinstellungen, Signal- und Wei
chenstellungen) und gibt diese zur Ausführung an das
Stellwerk STW ab. Die Endergebnisse END2 der Weiterverar
beitungseinheit WV2 können regelmäßig z. B. in vorgebbaren
zeitlichen Abständen in den Hauptspeicher HS1 des Ersatz
rechners ER eingeschrieben werden. Bevorzugt erfolgt nur
dann ein neuer Eintrag in den Hauptspeicher HS1, wenn die
Weiterverarbeitungseinheit WV2 des Wirkrechners neue
Endergebnisse END2 erzeugt hat, die von dem Speicherin
halt des Hauptspeichers HS2 abweichen. Dadurch wird eine
ereignisgesteuerte Aktualisierung des Inhalts des Haupt
speichers HS1 vorgenommen.
Der erforderliche Datenaustausch zwischen dem Wirkrechner
und dem Ersatzrechner wird so erheblich reduziert und das
zum Datenaustausch dienende lokale Netz LAN entlastet.
Dennoch ist der Ersatzrechner jederzeit zur Funktions
übernahme bereit, weil einerseits sein Vorspeicher VS1
durch die rechnerindividuelle Vorverarbeitung stets ein
aktuelles Prozeßabbild PA1 enthält und der Hauptspeicher
HS1 stets auf dem aktuellen Stand des Hauptspeichers HS2
des Wirkrechners WR ist. Dadurch ist bei vergleichsweise
geringem Datentransfer zwischen den Rechnerkanälen ein
nahtloser Funktionsübergang im Falle einer Störung des
Wirkrechners gewährleistet. Die eingangs geschilderte,
bei einem autonomen Synchronlauf beider Rechnerkanäle
auftretende Abweichungsproblematik der Speicherinhalte
tritt nicht auf.
Zu Testzwecken kann der Ersatzrechner ER in einem Frei
laufzustand arbeiten, in dem beide Schalter S2 und S2′
offen und beide Schalter S1, S1′ geschlossen sind. Ferner
ist der Schalter S3 offen und der Schalter S3′ ge
schlossen. Der Ersatzrechner führt dann dieselben Funk
tionen wie der Wirkrechner aus, wobei durch den offenen
Schalter S3 die Wirkung seiner Endergebnisse END1 auf das
Stellwerk STW unterbunden wird.
Claims (4)
1. Doppelrechnersystem mit zwei parallelen,
kommunizierenden Rechnerkanälen (ZLR1, ZLR2), die jeweils
zumindest folgende Komponenten enthalten:
eine Vorverarbeitungseinheit (VE1,VE2), die mit Zustandsdaten (D1, D2) einer Anlage (BA) beaufschlagbar ist,
einen nachgeordneten Vorspeicher (VS1, VS2) zum Speichern der Vorergebnisse (VOR1, VOR2) der Vorverarbeitungseinheit (VE1, VE2);
eine Weiterverarbeitungseinheit (WV1, WV2), um aus den Vorergebnissen (VOR1, VOR2) und bedarfsweise eingebbaren Zusatzdaten (ZD) Endergebnisse (END1, END2) zu erzeugen;
einen Hauptspeicher (HS1, HS2) zum Speichern der Endergeb nisse (END1, END2) und
eine Ausgabeeinheit (AU1, AU2), die aufgrund der Endergebnisse (END1, END2) bedarfsweise Befehle zur Steuerung der Anlage (BA) erzeugt,
wobei der eine Rechnerkanal (ZLR2) einen betriebsführen den Wirkrechner (WR) bildet, der die aus den Zustandsdaten (D2) erzeugten Befehle an die Anlage (BA) abgibt, und der andere Rechnerkanal (ZLR1) einen betriebsbereiten Ersatzrechner (ER) bildet,
wobei die Weiterverarbeitungseinheit (WV2) des Wirkrech ners (WR) ihre Endergebnisse (END2) regelmäßig auch in den Hauptspeicher (HS) des Ersatzrechners (ER) einschreibt und
wobei die Zustandsdaten (D1) der Anlage (BA) auch die Vorverarbeitungseinheit (VE1) des Ersatzrechners (ER) beaufschlagen und diese Vorverarbeitungseinheit (VE1) ihre Vorergebnisse (VOR1) in dem Vorspeicher (VS1) des Ersatzrechners (ER) ablegt.
eine Vorverarbeitungseinheit (VE1,VE2), die mit Zustandsdaten (D1, D2) einer Anlage (BA) beaufschlagbar ist,
einen nachgeordneten Vorspeicher (VS1, VS2) zum Speichern der Vorergebnisse (VOR1, VOR2) der Vorverarbeitungseinheit (VE1, VE2);
eine Weiterverarbeitungseinheit (WV1, WV2), um aus den Vorergebnissen (VOR1, VOR2) und bedarfsweise eingebbaren Zusatzdaten (ZD) Endergebnisse (END1, END2) zu erzeugen;
einen Hauptspeicher (HS1, HS2) zum Speichern der Endergeb nisse (END1, END2) und
eine Ausgabeeinheit (AU1, AU2), die aufgrund der Endergebnisse (END1, END2) bedarfsweise Befehle zur Steuerung der Anlage (BA) erzeugt,
wobei der eine Rechnerkanal (ZLR2) einen betriebsführen den Wirkrechner (WR) bildet, der die aus den Zustandsdaten (D2) erzeugten Befehle an die Anlage (BA) abgibt, und der andere Rechnerkanal (ZLR1) einen betriebsbereiten Ersatzrechner (ER) bildet,
wobei die Weiterverarbeitungseinheit (WV2) des Wirkrech ners (WR) ihre Endergebnisse (END2) regelmäßig auch in den Hauptspeicher (HS) des Ersatzrechners (ER) einschreibt und
wobei die Zustandsdaten (D1) der Anlage (BA) auch die Vorverarbeitungseinheit (VE1) des Ersatzrechners (ER) beaufschlagen und diese Vorverarbeitungseinheit (VE1) ihre Vorergebnisse (VOR1) in dem Vorspeicher (VS1) des Ersatzrechners (ER) ablegt.
2. Doppelrechnersystem nach Anspruch 1,
dadurch gekennzeichnet, daß
die Weiterverarbeitungseinheit (WV2) des Wirkrechners
(WR) ihre Endergebnisse (END2) zumindest dann in den
Hauptspeicher (HS1) des Ersatzrechners (ER) einschreibt,
wenn sich der Inhalt des Wirkrechner-Hauptspeichers (HS2)
ändert.
3. Doppelrechnersystem nach Anspruch 1,
dadurch gekennzeichnet, daß
in einem Freilaufzustand die Komponenten (VE1, VS1, WV1,
HS1) des Ersatzrechners (ER) wirkrechnerartig zusammen
arbeiten, wobei die Vorverarbeitungseinheit (VE1) von den
Zustandsdaten (D1) beaufschlagt ist und die Wirkung des
Ersatzrechners (ER) auf die Anlage (BA) unterbunden ist.
4. Doppelrechnersystem nach Anspruch 3,
dadurch gekennzeichnet, daß
der Wirkrechner (WR) nach Beendigung des Freilaufzustands
in den Vorspeicher (VS1) und den Hauptspeicher (HS1) des
Ersatzrechners (ER) die Inhalte seines Vorspeichers (VS2)
bzw. seines Hauptspeichers (HS2) einschreibt.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19944407860 DE4407860C1 (de) | 1994-03-04 | 1994-03-04 | Doppelrechnersystem |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19944407860 DE4407860C1 (de) | 1994-03-04 | 1994-03-04 | Doppelrechnersystem |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE4407860C1 true DE4407860C1 (de) | 1995-04-20 |
Family
ID=6512270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19944407860 Expired - Fee Related DE4407860C1 (de) | 1994-03-04 | 1994-03-04 | Doppelrechnersystem |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE4407860C1 (de) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10002522C1 (de) * | 2000-01-21 | 2001-05-31 | Siemens Ag | Verfahren zur Bereitstellung von konsistenten Eingangswerten und Mehrrechnersystem |
| DE102012216382A1 (de) * | 2012-09-14 | 2014-03-20 | Siemens Aktiengesellschaft | Energiesparmodus für Signalsystem eines Bahnsystems |
| DE102017217447A1 (de) * | 2017-09-29 | 2019-04-04 | Siemens Mobility GmbH | Verfahren und Anordnung zum Durchführen eines Fahrbetriebs von spurgeführten Fahrzeugen in einem in Streckenbereiche gegliederten Streckennetz |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2612100A1 (de) * | 1976-03-22 | 1977-10-06 | Siemens Ag | Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik |
-
1994
- 1994-03-04 DE DE19944407860 patent/DE4407860C1/de not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2612100A1 (de) * | 1976-03-22 | 1977-10-06 | Siemens Ag | Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik |
Non-Patent Citations (2)
| Title |
|---|
| JOHNSON, B.W.: Design und Analysis of Fault- Tolerant Digital Systems, Addinson-Wesley Publishing Company, 1989, S. 346-348 * |
| KIRRMANN, H.D.: Industrieller Einsatz fehler- toleranter Rechner, in: Informationstechnik it 30 (1988) 3, S. 186-195 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10002522C1 (de) * | 2000-01-21 | 2001-05-31 | Siemens Ag | Verfahren zur Bereitstellung von konsistenten Eingangswerten und Mehrrechnersystem |
| DE102012216382A1 (de) * | 2012-09-14 | 2014-03-20 | Siemens Aktiengesellschaft | Energiesparmodus für Signalsystem eines Bahnsystems |
| US9720481B2 (en) | 2012-09-14 | 2017-08-01 | Siemens Aktiengesellschaft | Energy-saving mode for a rail system signaling system |
| DE102017217447A1 (de) * | 2017-09-29 | 2019-04-04 | Siemens Mobility GmbH | Verfahren und Anordnung zum Durchführen eines Fahrbetriebs von spurgeführten Fahrzeugen in einem in Streckenbereiche gegliederten Streckennetz |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0636956B1 (de) | Aufdatverfahren | |
| DE2908316A1 (de) | Multikonfigurierbares modulares verarbeitungssystem, das mit einem vorverarbeitungssystem integriert ist | |
| DE2362010A1 (de) | Fehleralarm- und -ueberwachungsanlage und verfahren zur fehleralarmausloesung und fehlerueberwachung | |
| DE2202952C2 (de) | Datenverarbeitungsanlage | |
| DE4005042C2 (de) | Mehrrechnersystem zur Durchführung von Bewegungssteuerungen | |
| WO2001037058A1 (de) | Automatisierungsgerät und aufdat-verfahren | |
| EP0109981A1 (de) | Ausfallgesicherte Datenverarbeitungsanlage | |
| DE3123382A1 (de) | "verfahren und einrichtung zum uebertragen von daten zwischen zentraleinheiten oder prozessoren von mehrprozessorsystemen" | |
| DE4407860C1 (de) | Doppelrechnersystem | |
| EP1197418B1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
| DE4407867C1 (de) | Doppelrechnersystem | |
| WO2023052333A1 (de) | Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug | |
| DE2817757A1 (de) | Datenverarbeitungssystem | |
| DE1965314A1 (de) | Datenverarbeitungsanordnung mit zwei Datenverarbeitungsanlagen,insbesondere fuer dieAbwicklung von Vermittlungsvorgaengen in einer Fernsprechvermittlung | |
| DE3238692A1 (de) | Datenuebertragungssystem | |
| DE3840570C2 (de) | ||
| DE2034423A1 (de) | Verfahren zur Fehlersuche in einem programmgesteuerten Vermittlungssystem | |
| EP3654121B1 (de) | Redundantes automatisierungssystem mit mehreren prozessoreinheiten je hardwareeinheit | |
| DE2622140C3 (de) | Einrichtung zur Steuerung manueller Operationen | |
| DE2507405A1 (de) | Verfahren und anordnung zum synchronisieren der tasks in peripheriegeraeten in einer datenverarbeitungsanlage | |
| EP0358785A1 (de) | Einrichtung zum Betrieb eines redundanten Mehrrechnersystems für die Steuerung eines elektronischen Stellwerkes in der Eisenbahnsignaltechnik | |
| DE2727983C2 (de) | Schaltungsanordnung mit mindestens doppelt vorgesehenen zentralen Steuerungen, insbesondere für Fernsprechvermittlungsanlagen | |
| DE2458224B2 (de) | Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen | |
| DE2628105A1 (de) | Digitaldatenschalter mit reserveschaltgruppenanordnung | |
| DE2824819A1 (de) | Schnittstelle einer datenverarbeitungsanlage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8100 | Publication of the examined application without publication of unexamined application | ||
| D1 | Grant (no unexamined application published) patent law 81 | ||
| 8364 | No opposition during term of opposition | ||
| 8339 | Ceased/non-payment of the annual fee |