DK170451B1 - Sikkerhedssekvenskreds med flere mikrocomputere, som bearbejder de samme data - Google Patents

Sikkerhedssekvenskreds med flere mikrocomputere, som bearbejder de samme data Download PDF

Info

Publication number
DK170451B1
DK170451B1 DK133188A DK133188A DK170451B1 DK 170451 B1 DK170451 B1 DK 170451B1 DK 133188 A DK133188 A DK 133188A DK 133188 A DK133188 A DK 133188A DK 170451 B1 DK170451 B1 DK 170451B1
Authority
DK
Denmark
Prior art keywords
output
signal
microcomputer
comparator
coupling
Prior art date
Application number
DK133188A
Other languages
English (en)
Other versions
DK133188D0 (da
DK133188A (da
Inventor
Michael Gronemeyer
Original Assignee
Siemens Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag filed Critical Siemens Ag
Publication of DK133188D0 publication Critical patent/DK133188D0/da
Publication of DK133188A publication Critical patent/DK133188A/da
Application granted granted Critical
Publication of DK170451B1 publication Critical patent/DK170451B1/da

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Air Bags (AREA)

Description

DK 170451 B1
Opfindelsen angår en sikkerhedssekvenskreds med flere mikrocomputere, som bearbejder de samme data, og til hvilke der er tilsluttet mindst én komparator til kontrol af overensstemmelse mellem informationer, der 5 af mikrocomputerne over udgangssignalomsættere skal afgives til en proces, som skal styres, hvorhos kompara-toren ved konstateret informationsdivergens frakobler et frigivesignal, som over et OG-led kun aktiverer udgangssignalomsætterne ved reglementeret drift.
10 Ved mange moderne tekniske processer, eksempel vis ved styringen af kernereaktorer eller i jernbanesikringsanlæg, har man i mange år arbejdet efter et anerkendt sikringsteknisk princip, efter hvilket den proces, der skal styres, i tilfælde af eventuelle tek-15 niske fejl, som der skal regnes med ved anvendelse af ikke sikre databearbejdningsanlæg, overføres til en for mennesker og materiel ufarlig tilstand. Dette kan eksempelvis opnås ved, at der til alle procesaktiverende signaler knyttes et højt signalniveau, som ved en tek-20 nisk forstyrrelse i databearbejdningsanlægget frakobles på alle udlæsningskanaler.
En sikkerhedssekvenskreds med mikrocomputere af den indledningsvis omhandlede art, som følger den i det foranstående forklarede sikkerhedsfilosofi, er eksem-25 pelvis beskrevet nærmere i tysk patentskrift nr.
30 03 291, navnlig imidlertid i fagtidsskriftet "Elek-tronische Rechenanlagen", 22. årgang, 1980, hæfte 5, siderne 229-236. Disse kendte sikkerhedssekvenskredse er opbygget med to mikrocomputere, som parallelt be-30 arbejder de samme informationer, og de drives således, at mikrocomputernes aktiviteter efter en konstateret ulighed mellem de to kanaler direkte undertrykkes. Dette realiseres ved tilbageholdelse af de taktimpulser, som driver de to mikroprocessorer. Den kendte tokanale-35 de 2v2-sikkerhedssekvenskreds opfylder også allerede fordringen om en kort defektafsløringstid, nemlig dels DK 170451 B1 2 ved, at de to computergrenes, altså begge kanalers, tilstande efter hvert taktskridt sammenlignes med hinanden i sekvenskredsen, dels sørger specielle kontrolprogrammer for en kort, af procesdatastrømmen uafhængig 5 defektafsløring. Således er det da muligt i tilfælde af fejl at koble udgangssignalomsætterne for alle mikrocomputersignaler ikke-overførende som følge af, at mikrocomputernes taktsignaler da sætter ud og/eller som følge af frakoblede forsyningsspændinger. Herved bliver 10 indstillingsstrømkredse, der som følge af fejlagtige styresignaler kunne bringe mennesker og materiel i fare, strømløse.
I den tokanalede databearbejdningsopstilling, der kendes fra tysk patentskrift nr. 30 03 291, bli-15 ver i tilfælde af fejl et af komparatoren afgivet frigivesignal frakoblet. Dette har til følge, at et efter komparatoren indkoblet OG-led ligeledes frakobler yderligere informationsløse taktimpulser, som tilføres dette led.
20 De kendte sikkerhedssekvenskredse har hidtil svaret til forventningerne i praksis. En forudsætning for deres anvendelse er imidlertid, at de enkelte kom-paratorer til kontrol af overensstemmelse mellem informationer, der afgives af mikrocomputerne, til stadighed 25 er funktionsdygtige. Komparatorernes funktionsdygtighed kontrolleres, idet komparatorerne fra tid til anden bevidst tilføres data som afviger fra hinanden. Komparatorerne reagerer herpå ved at spærre frigivesignalet for de efterkoblede OG-led. Deres reaktion detekteres 30 af mikrocomputerne ved tilbagelæsning og bedømmelse af OG-leddenes udgangssignaler; i tilfælde af fejl skal «* computersystemet slås fra.
Hvorledes dette i detaljer skal foregå, er ikke åbenbart i tysk patentskrift nr. 30 03 291. Undertiden 35 er det ikke engang nødvendigt at slå hele computersystemet fra; tværtimod kan det være tilstrækkeligt kun DK 170451 B1 3 at forhindre afgivelse af sikkerhedsrelevant information i tilfælde af fejl og yderligere at tillade afgivelse af ikke-sikkerhedsrelevant information, fordi denne jo ikke kan føre til at processikkerheden sættes 5 på spil.
Det er imidlertid ikke i alle tilfælde tilstrækkeligt til at sikre en sikker påvirkning af procesforløbet, at kontrollere komparatorernes funktionsforhold; det må yderligere sikres, at sekvenskredsen i tilfælde 10 af fejl står i en sådan tilstand, at den virker på den proces, som skal styres og/eller overvåges, på forudbestemt måde, og dermed reagerer på den indtrådte fejl på en forudbestemt måde. Dette er dog kun muligt, når det sikres, at den bedømmende mikrocomputer med sikkerhed 15 kan detektere udeblivelsen af komparator-frigivesigna-lerne, og når det sikres, at den også kan indvirke på udgangssignalomsætteren til processen på signalteknisk sikker måde.
Opfindelsen har til opgave at forbedre en sik-20 kerhedssekvenskreds således, at den af datastrømmen uafhængige funktionskontrol af komparatoren eller kom-paratorerne tillige i det mindste ledsages af en funktionskontrol af de tilsvarende dele af mikrocomputeren og skifteorganer, som anvendes til styring af de ud-25 gangssignalomsættere, som direkte anvendes til den eventuelle spærring af afgivelse af information i tilfælde af fejl.
Ifølge opfindelsen løses denne opgave ved, at hvert OG-led på indgangssiden foruden med den tilhøren-30 de komparator er forbundet med udgangen på en testkobling, som har en bistabil funktion, og som i tilfælde af et sætte-signal, der afgives af mikrocomputeren og i komparatoren igen udløser frigivesignalet, afgiver et frakoblingssignal til den tilhørende udgangssignalom-35 sætter, og som efter en bedømmelse med godt resultat af en kodningsinformation, som kvitterer en i mikrocompu- DK 170451 B1 4 teren forløbet forudgivet datamatrutine og i testkoblingen er konstateret som reglementeret, afgiver et tilkoblingssignal til den tilhørende udgangssignalomsætter.
5 En særlig fordel ved en sådan foranstaltning er, at komparatorerne som ønsket uafhængigt af datastrømmen kan kontrolleres med hensyn til en eventuel fejl, og at mikrocomputeren som følge af den indførte datamatrutine i det mindste delvis ligeledes medinddrages i kontrol-10 processen. Hvis der nemlig afgives en fejlagtig kodningsinformation, afgiver testkoblingen til det efter denne indkoblede OG-led stadig frakoblingssignalet, hvorved et OG-leddet utilladeligt tilført frigivesignal undertrykkes.
15 I en videreudvikling af sikkerhedssekvenskred- ssen ifølge opfindelsen, som fortrinsvis består af et 2v2-system, findes der på fordelagtig måde som datamatrutine et datamatkontrolprogram, i hvilket der for kom-paratoren forudgives mindst én informationsdivergens, 20 der skal konstateres, og testkoblingen mindst én fejlagtig og derefter en reglementeret kodningsinformation. Kodningsinformationen kan bestå af en bitfølge, som er fast forudgivet af mikrocomputeren. Dette forudsætter en testkobling, som indeholder en dekoderkobling til 25 konstatering af de specielt kodede kodningsinformatio ner. Testkoblingen afgiver således kun tilkoblingssignalet til det efter denne indkoblede OG-led, hvis der kunne detekteres en reglementeret kodning.
Uafhængigt af den forannævnte foranstaltning el-30 ler ud over denne er det i en videreudvikling af sikkerhedssekvenskredsen ifølge opfindelsen fordelagtigt, at testkoblingen indeholder en portkreds, som kan startes af hvert sætsignal og tjener til kontrol af, om kodningsinformationen er tidskorrekt.
35 Udførelseseksempler ifølge opfindelsen er i det følgende forklaret nærmere med henvisning til tegningen, hvor DK 170451 B1 5 fig. 1 viser en sikkerhedssekvenskreds med to mikrocomputere, som bearbejder de samme data, i forbindelse med komparatorer, der kan overvåges, fig. 2 en foretrukket udførelsesform for en hver 5 af komparatorerne tilknyttet testkobling til kontrol af kodningsinformationerne med hensyn til en tidskorrekt beliggenhed, og figurerne 3-5 hver især i flere diagramlinier signalkonfigurationer i målepunkter i den i fig. 2 vis-10 te kobling.
Blokdiagrammet i fig. 1 viser en sikkerhedssekvenskreds med to mikrocomputere MRl og MR2, som bearbejder de samme data, og som arbejder efter det kendte 2v2-system. Da forklaringen af sikkerhedssekvens-15 kredsen ifølge opfindelsen er uafhængig af en speciel proces, er der ved forklaringen kun fremhævet væsentligt, og uvæsentligt er udeladt. Hertil hører eksempelvis ledninger eller bussystemer til tilførsel af de data, der skal bearbejdes af mikrocomputerne MRl og 20 MR2. I udførelseseksemplet er der gået ud fra, at kun de data i de to mikrocomputere MRl og MR2 sammenlignes med hinanden, som skal tilføres en proces (ikke vist), der skal styres over udgangssignalomsættere AR. Således er der til overensstemmelseskontroller til de 25 fra mikrocomputerne MRl og MR2 afgående busser Bl · og B2 tilsluttet to komparatorer VG1 og VG2. Principielt ville det naturligvis være muligt at benytte yderligere komparatorer, som kunne tjene til kontrol af overensstemmelse mellem styresignaler, der ud-30 går fra de to mikrocomputere MRl og MR2. Busserne Bl og B2 er principielt forbundet med udgangssignalomsætterne AR. Komparatorerne VGl og VG2 er opbygget således, at de over deres respektive udgang VG10 hhv. VG20 kan afgive et frigivesignal FGl 35 hhv. FG2 til et efterkoblet OG-led UDI hhv. UD2.
Så længe OG-leddene over den respektive anden indgang DK 170451 B1 6 modtager et tilkoblingssignal, overføres frigivesignalet FGI hhv. FG2 til udgangssignalomsætterne AR.
Disse er på kendt måde opbygget således, at de kun afgiver de over busserne Bl og B2 tilførte data, hvis 5 de to OG-led UDI og UD2 gennemkobler de tilførte frigivesignaler FGI og FG2. Så snart én af de to i komparatorer VGl hhv. VG2 på grundlag af en konstateret informationsdivergens mellem de over de to busser Bl og B2 tilførte informationer, bortfalder mindst 10 ét af de to frigivesignaler FGI hhv. FG2. Som regel bliver imidlertid - da den nævnte fejl med sikkerhed konstateres af begge komparatorer VGl og VG2 - begge frigivesignaler FGI og FG2 frakoblet. Da er udgangssignalomsætterne AR blokeret for enhver data-15 afgivelse til den proces, der skal styres.
Med henblik på uafhængigt af datastrømmen at kunne kontrollere komparatorerne - VGl og VG2 med hensyn til eventuelle udfald foretages følgende foran-* staltninger: 20 Udgangen VG10 hhv. VG20 på komparatoren VGl hhv.
VG2 er over en ledning Li hhv. L2 forbundet med den tilhørende mikrocomputer MR1 hhv. MR2. Herved kan det fra mikrocomputernes side konstateres,' om den respektive komparator VGl. hhv. VG2 afgiver fri-25 givesignalet FGI hhv. om den anden komparator VG2 afgiver frigivesignalet FG2. Desuden er OG-leddet UDI hhv. UD2 på udgangssiden ved hjælp af en ledning L3 hhv. L4 forbundet med den tilknyttede mikrocomputer MRl hhv. MR2. Som følge af denne foranstaltning 30 kan den respektive mikrocomputer MRl hhv. MR2 konstatere, om udgangssignalomsætterne AR får tilført frigivesignalet FGI hhv. FG2 eller ikke.
Endvidere findes der til aktivering af OG-leddet UDI hhv. UD2 en testkobling TSG1 hhv. TSG2, som c 35 på udgangssiden over en ledning L5 hhv. L6 er forbundet med en indgang på OG-leddet UDI hhv. UD2.
DK 170451 B1 7
Testkoblingerne TSG1 og TSG2 har som sluteffekt en bistabil funktion; de afgiver i den ene koblingstilstand et frakoblingssignal og i den anden kobletilstand et tilkoblingssignal over ledningen L5 hhv. L6.
5 Testkoblingerne TSGl og TSG2 har hver især til op gave at kontrollere en over ledningen L7 hhv. L8 af mikrocomputeren MR1 hhv. MR2 afgivet kodningsinformation SN1 hhv. SN2 eksempelvis med henblik på en korrekt tidsbeliggenhed. Hvis den tidsmæssige be-10 liggenhed af den respektive kodningsinformation SNl hhv. SN2 bekræftes som værende reglementeret, afgiver den konstaterende testkobling TSGl hhv. TSG2 over ledningen L5 hhv. L6 tilkoblingssignalet til det pågældende OG-led UDI hhv. UD2. Omkoblet bliver 15 testkoblingen TSGl hhv. TSG2 til afgivelse af fra koblingssignalet ved hjælp af et sætsignal SL1 hhv..
SL2, som afgives af mikrocomputeren MR1 hhv. MR2 over en udgangsledning L9 hhv. L10, der forgrener sig. Disse sætsignaler når også frem til komparatoren 20 VG1 hhv. VG2 og foranlediger derved - navnlig efter en forudgående frakoblingsproces - påny afgivelse af frigivesignalet FGI hhv. FG2.
Til udløsning af kontrolprocesser med hensyn til komparatorerne VG1 og VG2 findes der til mikrocom-25 puterne MR1 og MR2 specielle datamatrutiner, som indeholder et komparatorkontrolprogram. Disse hhv. samtlige tilhørende datamatrutiner er tidsmæssigt så korte, at den proces, der skal styres, på ingen måde påvirkes deraf. Det hænger eksempelvis sammen med ikke 30 nærmere viste relæer, der i sammenhæng med udgangssignalomsætterne AR tjener til afgivelse af styredata til processen. Sådanne relæer er med hensyn til deres frafaldsfunktion så træge, at de ved kortvarige, afbrydelser af deres aktivering under forløbet af de foran-35 nævnte datamatrutiner ikke falder fra. Så snart datamatrutinerne med komparatorkontrolprogrammet forløber i DK 170451 B1 8 mikrocomputerne MRl og MR2, modtager komparatorerne VGl og VG2 over busserne Bl og B2 datatelegrammer, der i det mindste er forskellige på én bitplads.
Som følge af en sådan informationsdivergens skal begge 5 komparatorer VGl og VG2 frakoble deres frigivesig-naler FGI og FG2. Da de efterfølgende koblingsprocesser i begge sikkerhedssekvenskredsens kanaler forløber overensstemmende, bliver de for enkeltheds skyld kun forklaret nærmere med hensyn til mikrocomputeren 10 MRl, komparatoren VGl og testkoblingen TSG1 i forbindelse med OG-leddet UDI. Bortfaldet af frigivesignalet FGI konstaterer mikrocomputeren MRl, og den kan derudfra slutte, at komparatoren VGl endnu er funktionsdygtig. Nu afgiver mikrocomputerne MRl og 15 MR2 igen overensstemmende datatelegrammer over deres busser Bl og B2. Derpå udløser mikrocomputeren MRl over udgangsledningen L9 sættesignalet SL1, soft ved komparatoren VGl har frigivesignalet FGI til følge.
Det samme sættesignal SL1 bringer testkoblingen TSG1 20 i en kobletilstand, hvor frakoblingssignalet afgives over ledningen L5. Med andre ord, signalet på ledningen L5 skifter fra H til L. Herved bliver det nu igen foreliggende frigivesignal FGI blokeret af OG-leddet UDI og ikke videregivet til udgangssignalom-25 sætterne AR. Dette forhold meldes til mikrocomputeren MRl over ledningen L3. Yderligere meldes over ledningen LI tilstedeværelsen af frigivesignalet FGI.
Nu følger i mikrocomputeren MRl1 s komparatorkontrol-program afgivelsen af en fejlagtig kodningsinformation 30 SNl til testkoblingen TSGl. Denne erkender fejlagtigheden af kodningsinformationen SNl og forbliver ί derfor i den herskende kobletilstand, i hvilken frakoblingskendetegnet afgives over ledningen L5. Mikrocomputeren MRl afspørger derpå informationen på led-35 ningen L3 over forventer der ved reglementeret drift stadig intet frigivesignal FGI. Alligevel afgives der DK 170451 B1 9 yderligere et sættesignal SL1, som ved en forudgående eventuel fejlagtig funktion igen ville have bragt testkoblingen TSG1 i den kobletilstand, i hvilken frakoblingssignalet afgives over ledningen L5. I fort-5 sættelse af det løbende komparatorkontrolprogram afgiver mikrocomputeren MR1 dernæst over ledningen L7 en reglementeret kodningsinformation SNl, som efter stedfunden bedømmelse i testkoblingen TSG1 styrer denne til kodning og/eller tidsmæssige beliggenhed i 10 den anden koblingstilstand, i hvilken tilkoblingssignalet afgives over ledningen L5. Først da når det stadig forhåndenværende frigivesignal FGI over OG-leddet UDI frem til udgangssignalomsætterne AR. Dermed er komparatorkontrolprogrammet afarbejdet, og den i mel-15 lemtiden afbrudte normale drift kan fortsættes.
Kredsløbet i fig. 2 viser nærmere enkeltheder ved en testkobling, som den er betegnet med TSG1 i blokdiagrammet i fig. 1. indgangsledningerne og udgangsledningen har de hidtil anvendte henvisningsbeteg-20 neiser L7, L9 og L5. Den i fig. 2 viste testkobling har til opgave at kontrollere, om en over ledningen 7 tilført kodningsinformation SNl har en korrekt tidsmæssig beliggenhed inden for et komparatorkontrolprogram i mikrocomputeren MR1.
25 Den i fig. 2 viste testkobling TSG1 har to monostabile kipled MK1 og MK2. Tilbagefaldstiden T2 fra den ustabile tilstand af kipleddet MK2 er væsentligt kortere end tilbagefaldstiden Ti for kipleddet MKl. Det monostabile kipled MK2 kan før udløbet 30 af tilbagefaldstiden T2 tilbagestilles ved hjælp af et bistabilt kipled BK1. Endvidere findes der et andet bistabilt kipled BK2, som på udgangssiden er forbundet med ledningen L5. Begge bistabile koblingsorganer BKl og BK2 bliver ved et over ledningen L9 35 tilført sættesignal SL1 styret fra den bestående til den anden kobletilstand. Nærmere enkeltheder viser for- DK 170451 B1 10 skellige diagramlinier i fig. 3. De enkelte diagramliniers henvisningsbetegnelser er overensstemmende i alle tre figurer 3, 4 og 5 samt med henvisningsbetegnelserne til de forskellige ind- og udgangsledninger i 5 den i fig. 2 viste testkobling TSG1.
Som det blev forklaret med henvisning til den i - fig. 1 viste kobling, afgiver mikrocomputeren MR1 i forbindelse med et komparatorkontrolprogram sættesignalet SL1; dette kan eventuelt ske til tidspunktet 10 ti. Efter dette tidspunkt befinder det .monostabile kipled MK1 sig i den ustabile tilstand, og det monostabile kipled MK2 befinder sig endnu i den stabile tilstand. Koblingsleddet BK1 afgiver et højt potential over ledningen F, og koblingsleddet BK2's led-15 ning L5 fører lavt potential og dermed frakoblingssignalet. Efter udløb af det monostabile kipled MKl's tilbagefaldstid fører potentialskiftet på ledningen A til indstilling af den ustabile tilstand af det monostabile kipled MK2. Dette kipled MK2's tilbagefalds-20 tid T2 bestemmer ved sin varighed - jf. diagramlinien B - et tidsvindue, under hvilket den næste kodningsinformation SN1 skal foreligge ved reglementeret drift af mikrocomputeren MR1. Den fremkommer på ledningen L7 til tidspunktet t2 i en reglementeret 25 tidsmæssig beliggenhed - T2 er endnu ikke udløbet - og indstiller det bistabile kipled BK2 i den anden stabile tilstand, således at tilkoblingssignalet igen afgives over ledningen L5. På den anden side omstyres det bistabile kipled BK1, således at det monostabile 30 kipled MK2 før udløbet af tilbagefaldstiden over ledningen F igen bringes tilbage til den stabile tilstand .
Diagramlinierne i fig. 4 viser et arbejdseksem-pel for den i fig. 2 viste testkobling, hvor kodnings- s 35 informationen SN1 ikke fremkommer i det af det monostabile kipled MK2 forudgivne tidsvindue, men senere

Claims (4)

1. Sikkerhedssekvenskreds med flere mikrocompu tere (MR1, MR2), som bearbejder de samme data, og til hvilke der er tilsluttet mindst én komparator (VG1, VG2) til kontrol af overensstemmelse mellem informationer, der af mikrocomputerne over udgangssignalomsættere 25 (AR) skal afgives til en proces, som skal styres, hvor- ' hos komparatoren (VG1, VG2) ved konstateret informationsdivergens frakobler et frigivesignal (FGI, FG2), som over et tilhørende OG-led (UDI, UD2) kun aktiverer udgangssignalomsætterne (AR) ved reglementeret drift, 30 og hvorved komparatorerne er kontrollerbare for eventuelle fejl uafhængigt af datastrømmen, idet der tilføres dem data, som bevidst er forskellige, og deres reaktioner herpå detekteres og bedømmes af mikrocomputeren (MRl, MR2), kendetegnet ved, at hvert OG-led 35 (f.eks. UDI) på indgangssiden foruden med den tilhørende komparator (VG1) er forbundet med udgangen på en 12 DK 170451 B1 testkobling (TSG1), som har en bistabil funktion, og som i tilfælde af et sættesignal (SLl), der afgives af mikrocomputeren (MR1) og i komparatoren (VG1) igen udløser frigivesignalet (FGI), afgiver et frakoblingssig- 5 nal til den tilhørende udgangssignalomsætter, og som efter en bedømmelse med godt resultat af en kodningsin- ^ formation (SN1), som kvitterer en i mikrocomputeren (MR1) forløbet forudgivet datamatrutine og i testkoblingen er konstateret som reglementeret, afgiver et 10 tilkoblingssignal til den tilhørende udgangssignalomsætter .
2. Kreds ifølge krav i, kendetegnet ved, at der som datamatrutine findes et datamatkontrolprogram, i hvilket der for komparatoren (VG1) forudgi- 15 ves mindst én informationsdivergens, der skal konstateres, og testkoblingen (TSG1) mindst én fejlagtig og derefter en reglementeret kodningsinformation (SN1).
3. Kreds ifølge krav 2, kendetegnet, ved, at testkoblingen (TSG1) indeholder en dekoderkob- 20 ling til konstatering af kodningsinformationen.
4. Kreds ifølge krav 2 eller 3, kendetegnet ved, at testkoblingen (TSG1) indeholder en portkobling (MK1, MK2, BK1, BK2) i fig. 2, som kan startes af hvet sættesignal (SL1) og tjener til kontrol 25 af, om kodningsinformationen (SL1) er tidskorrekt. 30 ί 35
DK133188A 1987-03-12 1988-03-11 Sikkerhedssekvenskreds med flere mikrocomputere, som bearbejder de samme data DK170451B1 (da)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19873708055 DE3708055A1 (de) 1987-03-12 1987-03-12 Sicherheitsschaltwerk mit mehreren dieselben daten verarbeitenden mikrocomputern
DE3708055 1987-03-12

Publications (3)

Publication Number Publication Date
DK133188D0 DK133188D0 (da) 1988-03-11
DK133188A DK133188A (da) 1988-09-13
DK170451B1 true DK170451B1 (da) 1995-09-04

Family

ID=6322923

Family Applications (1)

Application Number Title Priority Date Filing Date
DK133188A DK170451B1 (da) 1987-03-12 1988-03-11 Sikkerhedssekvenskreds med flere mikrocomputere, som bearbejder de samme data

Country Status (6)

Country Link
EP (1) EP0281890B1 (da)
AT (1) ATE108570T1 (da)
DE (2) DE3708055A1 (da)
DK (1) DK170451B1 (da)
ES (1) ES2056070T3 (da)
ZA (1) ZA881754B (da)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10332557A1 (de) 2003-07-11 2005-02-17 Siemens Ag Verfahren und Computersystem zum Betreiben einer sicherungstechnischen Anlage

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2217634C3 (de) * 1972-04-12 1974-08-29 Siemens Ag, 1000 Berlin Und 8000 Muenchen Sicherheitsschaltung zum Zählen von Impulsen nach dem Dualzahlensystem in digitalen Datenverarbeitungsanlagen, insbesondere in Eisenbahnanlagen
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
DE3137450C2 (de) * 1981-09-21 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage
DE3332802A1 (de) * 1983-09-12 1985-03-28 Siemens AG, 1000 Berlin und 8000 München Schaltungsanordnung zum pruefen des ordnungsgerechten anlaufens eines zweikanaligen fail-safe-mikrocomputerschaltwerkes, insbesondere fuer eisenbahnsicherungsanlagen

Also Published As

Publication number Publication date
ATE108570T1 (de) 1994-07-15
DK133188D0 (da) 1988-03-11
EP0281890B1 (de) 1994-07-13
DE3850591D1 (de) 1994-08-18
DE3708055A1 (de) 1988-09-22
DK133188A (da) 1988-09-13
ZA881754B (en) 1988-08-31
EP0281890A3 (en) 1990-08-01
ES2056070T3 (es) 1994-10-01
EP0281890A2 (de) 1988-09-14

Similar Documents

Publication Publication Date Title
US4198678A (en) Vehicle control unit
US5086499A (en) Computer network for real time control with automatic fault identification and by-pass
JPS626263B2 (da)
US4270715A (en) Railway control signal interlocking systems
US7149925B2 (en) Peripheral component with high error protection for stored programmable controls
US11094392B2 (en) Testing of fault detection circuit
DK170451B1 (da) Sikkerhedssekvenskreds med flere mikrocomputere, som bearbejder de samme data
US20250304126A1 (en) Method and system for the automated determination of the train integrity of a train
CN117785614A (zh) 双余度计算机的故障监控及切换方法
JP2505386B2 (ja) 信号灯制御システム
US6412016B1 (en) Network link bypass device
KR102789450B1 (ko) 안전 테스트 장비
CA2467972A1 (en) Method for controlling a safety-critical railroad operating process and device for carrying out said method
JP5278267B2 (ja) エンドカバー、これを備えたプログラマブルロジックコントローラ装置、エンドカバー装着有無確認方法、及びプログラマブルロジックコントローラ装置の故障診断方法
JPH07146802A (ja) 鉄道保安装置
JPS63163541A (ja) エラー許容計算システム及び該計算システム内のエラーユニットを認識し、その箇所を検知し、エラーを除去する方法
JP2778691B2 (ja) バス監視回路
JP3395288B2 (ja) 情報処理装置と情報処理方法
JP3392938B2 (ja) 2重系装置
HU193090B (en) High-reliability data-processing apparatus with at least two processing channels of computers
JP2003216451A (ja) 2重系装置
KR20240145666A (ko) 인버터의 고장 검출 방법 및 장치
JP2000047724A (ja) 監視制御装置
JPH03230624A (ja) 装置内監視切替方式
JP2008021264A (ja) デジタル出力保持装置

Legal Events

Date Code Title Description
B1 Patent granted (law 1993)
PBP Patent lapsed