FI98572C - Toimintavarma kolmen tietokoneen monitietokonejärjestelmä - Google Patents

Toimintavarma kolmen tietokoneen monitietokonejärjestelmä Download PDF

Info

Publication number
FI98572C
FI98572C FI930291A FI930291A FI98572C FI 98572 C FI98572 C FI 98572C FI 930291 A FI930291 A FI 930291A FI 930291 A FI930291 A FI 930291A FI 98572 C FI98572 C FI 98572C
Authority
FI
Finland
Prior art keywords
computer
data
comparators
mca
var
Prior art date
Application number
FI930291A
Other languages
English (en)
Swedish (sv)
Other versions
FI930291A (fi
FI930291A0 (fi
FI98572B (fi
Inventor
Michael Gronemeyer
Original Assignee
Siemens Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag filed Critical Siemens Ag
Publication of FI930291A publication Critical patent/FI930291A/fi
Publication of FI930291A0 publication Critical patent/FI930291A0/fi
Application granted granted Critical
Publication of FI98572B publication Critical patent/FI98572B/fi
Publication of FI98572C publication Critical patent/FI98572C/fi

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)
  • Debugging And Monitoring (AREA)

Description

98572
Toimintavarma kolmen tietokoneen monitietokonejärjestelmä
Keksintönä on patenttivaatimuksen 1 laj imääritelmän mukainen monitietokonejärjestelmä.
5 Tällainen monitietokonejärjestelmä tunnetaan jul kaisusta Signal + Draht 66 (1974) 11, sivut 214 ja 215.
Yrityksen Standard Elektrik Lorenz yritysjulkaisussa SELMIS, tilausnumero 1974.12822.Be, selitetään sivulla 7 varmaa monitietokonejärjestelmää käsittäen kolme signaali) liteknisesti ei-varmaa yksittäistietokonetta, jotka ver-taavat toistensa yhtäpitävyyttä lukemalla aina toisten tietokoneiden työstämät tulokset ja joista kahta moitteettomasti toimivaksi havaittua tietokonetta käytetään prosessin ohjaamiseksi kaksikanavaisesti. Kolmas tietokone 15 kulkee "reservinä" mukana ja sen tarkoituksena on ottaa vian sattuessa hoitaakseen toimintaa ohjaavan tietokoneen toiminta. Yksittäisten tietokoneiden lukemien toisten tietokoneiden käsittelytulosten vertailu niiden itsensä käsittelemiin tuloksiin on toteutettu ohjelmistopohjalta.
20 Jatkuva käsittelytulosten luku tietokoneisiin ja tulosten tarkistus vaatii tietokonekapasiteettia ja hidastaa prosessin ohjausta. Lisäksi vertailu toimii vain niin kaun kuin myös itse tietokone on toimintakykyinen. Vertai-lutaajuus ohjelmaa kohden verrattaessa on hyvin rajalli-25 nen verrattuna välittömään tietovertailuun.
Signal + Draht 66 (1974) 11, sivut 214 ja 215 kuvaa kolmesta yksittäisestä tietokoneesta koostuvaa kolmitieto-konejärjestelmää, jossa tietokoneet testaavat jatkuvasti laitteisto-vertailijoiden välityksellä tietojen yhdenmu-30 kaisuutta. Tietojen anto kaksi kolmesta -periaatteen mukaisesti tapahtuu varman valintaelementin välityksellä, jonka tehtävänä on verrata tietokoneiden sisäisillä väylillä olevaa tietoa bitti bitiltä varmasti keskenään, koota useita tällaisia vertailutuloksia yhteen ja niistä 35 riippuen lukita tai vapauttaa valintaelementin tietoläh- 2 98572 döt. Miten tällainen valintaelementti monitietokonejärjestelmän tietokoneiden kolmen lähtösignaalin vertaamiseksi on kulloinkin rakennettu, ei käy ilmi julkaisusta Signal + Draht. Patenttijulkaisusta DE-AS 2 725 922 on tunnettua 5 tietopoikkeamien ilmetessä tietokoneiden tuottamissa tuloksissa ainoastaan toteuttaa näissä enemmistöpäätös, jolloin viallinen tietokone pystytään paikallistamaan. Patenttijulkaisusta DE-PS 3 208 573 on lisäksi tunnettua toteuttaa tämä enemmistöpäätös enemmistökytkennässä, johon 10 kaikki mahdolliset kolmen tietokoneen vertailutulosten yhdistelmät on tallennettu. Riippuen kulloinkin saaduista vertailutuloksista luetaan merkkitaulukosta ohjauskomentoja vaihtokytkimien ohjaamiseksi, joiden välityksellä yhteys viallisen tietokoneen ja ohjattavan prosessin välillä 15 voidaan katkaista. Edellytyksenä tämän enemmistökytkennän moitteettomalle toiminnalle on kuitenkin, että viallinen tietokone ei millään tavalla pääse vaikuttamaan muihin tietokoneisiin tai enemmistökytkentään eikä aiheuta näiden kontrolloimatonta toimintaa.
20 Keksinnön tehtävänä on aikaansaada patenttivaati muksen 1 lajimääritelmän mukainen monitietokonejärjestelmä, jonka avulla ilman keskeisen enemmistökytkennän käyttämistä on mahdollista havaita ja kytkeä irti viallinen yksittäinen tietokone mahdollisimman nopeasti.
25 Keksinnön mukaisesti tämä tehtävä ratkaistaan pa tenttivaatimuksen 1 tunnusmerkkien mukaisesti. Tietokoneen irtikytkentä riippuu yksinomaan hajautetusti järjestetystä laitteistosta.
Keksinnön edulliset suoritusmuodot on annettu ali-30 vaatimuksissa.
Patenttivaatimuksessa 2 mainitaan konkreettiset välineet viallisen tietokoneen irtikytkemiseksi sen toimintakyvyttömyyden havaitsemisen yhteydessä, ja patenttivaatimus 3 sisältää toimenpiteet tietokoneiden välistä il-35 moittamista varten koskien niiden toimintakykyä. Siinä 3 98572 tapauksessa, että vialliseksi havaittu tietokone ei kytke itse itseään irti, aiheuttavat toimintakykyiset tietokoneet tietokonejärjestelmän irtikytkeytymisen ja estävät täten vaarallisten prosessinohjaustehtävien syntymisen.
5 Patenttivaatimuksen 4 mukaisesti käsitellään keske nään verrattavat tiedot yksittäisissä tietokoneissa rinnan ja ne siirretään näiden välillä sarjamuodossa. Patenttivaatimuksen 4 tunnusmerkit sisältävät myös välineet näiden eri tavoin järjestettyjen tietojen vertaamiseksi ilman 10 muutosjärjestelyjen aiheuttamaa lisävaivaa.
Patenttivaatimuksessa 5 mainitaan toimenpiteet vertaili joiden käyttämiseksi, ja vaatimukset 6 ja 7 käsittelevät vertailijän lähtösignaalien käyttöä virheen tarkentamiseksi.
15 Jokainen tietokone tarkistaa itsestään ja muista tietokoneista riippumatta automaattisesti kaikkien tulostuskomentojen yhteydessä jatkuvasti tuottamansa tiedot suhteessa viereisten tietokoneiden välittämiin tietoihin. Virhetapausta varten on patenttivaatimuksen 8 mukaisesti 20 suunniteltu myös, että vielä toimintakykyiset yksittäis-tietokoneet aikaansaavat vertailun viallisen tietokoneen puolesta silloin, kun tietokone itse ei halua enää suorittaa tätä vertailua virhetoiminnon vuoksi.
Patenttivaatimuksessa 9 mainitaan toimenpiteet, 25 joita käyttämällä on mahdollista yksinkertaisella tavalla ottaa vertailutapahtumaan mukaan oheislaitteille menevien antojen lisäksi myös muita verrattavia tietoja.
Jotta virheen sattuessa tietokoneiden ei-toivotut keskinäiset vaikutukset saadaan poissuljettua niin pitkäl-30 ti kuin mahdollista, on eduksi erottaa tietokoneiden lähdöt patenttivaatimuksen 10 mukaisesti muiden tietokoneiden tuloista.
Keksinnön yhtä suoritusmuotoesimerkkiä tarkastellaan seuraavassa piirustuksen pohjalta.
4 98572
Piirustus kuvaa: kuvio 1: kaavio keksinnön mukaisesti suunnitellusta tietokonejärjestelmästä ja kuvio 2: yksittäisiin tietokoneisiin liitetyt ra-5 kenneosat, joissa keksintö toteutetaan.
Kuvion 1 kuvaama toimintavarma moni tietokone järjestelmä koostuu kolmesta signaaliteknisesti ei-varmasta yk-sittäistietokoneesta MCA, MCB ja MCC, esimerkiksi mikrotietokoneesta, joista yksi tai kaksi vaikuttaa ohjattavaan 10 prosessiin. Tietokoneet käsittelevät niille tulevat tehtävät toisistaan riippumatta samojen ohjelmien mukaisesti; ne synkronoituvat jatkuvasti keskenään. Kutakin yksittäistä tietokonetta varten on olemassa kaksi laitteisto-vertaili jaa VAR (R - oikealla) ja VAL (L - vasemmalla), VBL 15 ja VBR tai VCL ja VCR. Nämä vertailijat on varustettu edullisesti biteittäin tapahtuvaa, niiden tulojen syöttämien sarjamuotoisten tietojen vertailua varten siten, että tietokoneiden välillä tarvitaan vain muutama johto. Tiedot ovat kulloinkin peräisin aina siltä tietokoneelta, johon 20 vertailija on kiinteästi liitetty sekä yhdeltä viereiseltä tietokoneelta. Siten vertailija VAR esimerkiksi vertaa tietokoneen MCA sisäisille väylille tulevien antojen yhteydessä saatuja tietoja tietokoneen MCB vastaaviin tietoihin, ja vertailija VAL vertaa tietokoneen MCA sisäi-25 sillä väylillä olevia tietoja tietokoneen MCC vastaaviin tietoihin. Mikäli joku tietokoneista, esimerkiksi tietokone MCA, antaa tietoja, jotka poikkeavat molempien muiden tietokoneiden vastaavista tiedoista, havaitsevat vertailijat VAR ja VAL sekä VBL ja VCR tämän. Nämä vertailijat 30 vievät antoihinsa vastaavat virhesignaalit. Yksittäisiä tietokoneita varten sovitettujen vertailijoiden lähdöt on liitetty virhemuistien kautta näitä varten suunniteltujen, myös laitteistopohjalta toteutettujen JA-elinten UA, UB ja UC tuloihin. Näiden JA-elinten lähdöistä saadaan JA-ehdon 35 täyttyessä irtikytkentäsignaalit ASSA, ASSB tai ASSC aina 5 98572 kyseisen tietokoneen irtikytkemiseksi. Edellä oletetun häiriön sattuessa ainoastaan JA-elin UA ohjataan auki viallista tietokonetta MCA varten olevan vertailijaparin VAR, VAL avulla, kun taas muut JA-elimet pysyvät suljet-5 tuina. Tällä tavoin on mahdollista määrittää hyvinkin yksinkertaisilla laitteisto-kytkentävälineillä tarkasti se tietokone, jossa häiriö on ilmennyt, ja poistaa se toiminnasta. Mikäli häiriöitä ilmenee samanaikaisesti useammissa tietokoneissa, kytketään kaikki tietokoneet pois toimin-10 nasta niihin liitettyjen vertailijoiden ja JA-elinten avulla. Edellytys tosin on, että oletetut häiriöt tietokoneissa eivät ole samalla tavoin vääristäneet tietoja.
Kuvioon 1 on täydellisyyden vuoksi piirretty vielä katkoviivoin yhteydet keskeytyksiä varten ja pistekatko-15 viivoin yhteydet ohjausilmoituksia varten, joiden toimintaa tarkastellaan kuvion 2 pohjalta.
Kaikki tietokoneen annot oheislaitteille käyvät läpi vertailun. Kaikki muut verrattavat tiedot, kuten esimerkiksi jaksoittaisten muistisisältötestien tiedot, muut-20 tuvat varta vasten varattuun, vapaaseen oheisosoitteeseen suuntautuvan annon välityksellä kuvitteellisiksi annoiksi, joita testataan kuten todellisia antoja niiden yhtäpitävyyden suhteen.
Kuvio 2 kuvaa kytkentävälineiden järjestelyä vial-25 lisen tietokoneen havaitsemiseksi ja irtikytkemiseksi.
Nämä välineet ovat osa yksittäisiä tietokoneita MCA-MCC varten suunniteltuja rakenneosia BGA-BGC; rakenneosat voidaan toteuttaa millä tahansa tekniikalla ja ne voidaan sijoittaa yhdessä niihin liitettyjen tietokoneiden kanssa 30 yhteiselle alustalle. Oletetaan, että tietokoneet kytkevät verrattavat tiedot aina kyseisen tietokoneen sisäisille tietoväylille DBA, DBB tai DBC. Tietokoneiden rinnakkaismuodossa tuottamat tiedot joutuvat aina kyseisissä rakenneosissa niissä sijaitseviin rinnan/sarja-muuttimiin P/SA, 35 P/SB tai P/SC, joissa ne muutetaan kulloinkin aina muiden 6 98572 tietokoneiden rakenneosille tapahtuvaa siirtoa varten sarjamuotoisiksi tiedoiksi DA, DB tai DC. Tämä tapahtuu käyttämällä ohjauksia StA, StB, StC kyseisiltä tietokoneilta peräisin olevien ohjaussignaalien käsittelemiseksi. Tieto-5 jen siirto muiden tietokoneiden rakenneosille tapahtuu an-tovahvistimien välityksellä. Antovahvistimet vaikuttavat piirustuksessa ei-kuvattuihin virtaa rajoittaviin vastuksiin sekä tietokonejärjestelmän lähetys- että myös sen vastaanottopuolella; näiden liitäntöjen kautta on kulloin-10 kin yhdessä toimivat tietokonejärjestelmän tietokoneet erotettu toisistaan.
Jokainen rakenneosa sisältää lisäksi molemmat kyseiseen tietokoneeseen liitetyt vertailijät VAL ja VAR, VBL ja VBR tai VCLja VCR, jotka on rakenneosissa liitetty 15 rakenteellisesti sarja/rinnan-muuttimiin S/PAL ja S/PAR, S/PBL ja S/PBR tai S/PCL ja S/PCR välitettyjen tietojen sarja/rinnan-muuttamiseksi. Vertailijän toiseen tuloon syötetään kyseisen rakenneosan rinnan/sarja-muuttimen lähdöstä saatavat sarjamuotoiset tiedot, sen toiseen tuloon 20 taas syötetään kyseisen yhteystietokoneen sarjamuodossa välittämät tiedot. Tällöin vertailija VAL vastaanottaa tietokoneen MCC tiedot DC, vertailija VAR tietokoneen MCB tiedot DB, vertailija VBL tietokoneen MCA tiedot DA, vertaili ja VBR tietokoneen MCC tiedot DC, vertailija VCL tie-25 tokoneen MCB tiedot DB sekä vertailija VCR tietokoneen MCA tiedot DA. Tietojen vastaanotto vertailijoihin ja sarja/ rinnan-muuttimiin sekä myöhempi vertailutulosten vastaanotto perään kytkettyihin virhemuisteihin tapahtuu yksittäisiä tietokoneita varten olevien ajastimien tuottamien 30 ajastussignaalien TA, TB tai TC ohjauksessa. Ajastussig-naalit syötetään lisäksi myös muiden rakenneosien sisältämien vertailijoiden vastaaviin ohjaustuloihin ja ne aikaansaavat näissä rippumatta kulloinkin kyseisen tietokoneen ajastussignaaleista vertailutapahtumien aloittami-35 sen aina silloin, kun ajastussignaaleita tuottava tietoko- 7 98572 ne kutsuu vertailuosoitealuettaan. Tällä tavoin saavutetaan se, että myös viallisen tai ei enää lainkaan toimivan tietokoneen kohdalla aloitetaan vielä toimivien tietokoneiden taholta vertailutapahtumat, jotka oletetun vian yh-5 teydessä johtavat häiriön havaitsemiseen sekä vian saaneen tietokoneen irtikytkemiseen. Vertailijoiden lähtöjen perään on kytketty moniasteisia virhemuisteja FAL ja FAR, FBL ja FBR tai FCL ja FCR. Näihin talletetaan vertaili joiden mahdollisesti antamat virheilmoitukset ja lukitaan ne 10 aina järjestelmän alkutilaan palautukseen saakka. Kaksittain tulevien virheilmoitusten kohdalla suoritetaan näiden virheilmoitusten JA-kytkentä näitä varten varatuissa JA-elimissä UA, UB tai UC, ja kyseinen tietokone pysäytetään.
Tämä tapahtuu JA-elinten lähdöstä saatavien erotussignaa-15 lien ASSA, ASSB tai ASSC välityksellä.
Kunkin virhemuistin lähtösignaali ilmoitetaan jokainen aina yhden keskeytyksen välityksellä kyseiselle tietokoneelle, joten toimintakykyiset tietokoneet havaitsevat toisen tietokoneen virhetoiminnon tietovertailun 20 avulla ja voivat ohjata asianmukaisen irtikytkennän. Tätä varten vaihdetaan vastaavia ohjausilmoituksia tietokonejärjestelmän yksittäisten tietokoneiden välillä (kuvio 1, pistekatkoviivat). Kun vioittunut tietokone ei kytke itse itseään irti, aikaansaavat vioittumattomat tietokoneet 25 tietokonejärjestelmän kytkemisen pois päältä, esimerkiksi kytkemällä lähtöporttinsa lepotilaan. Tietokoneiden toisiaan vastaavien tietojen vertailu edellyttää tietokoneiden synkronista toimintaa. Otettaessa tietokonejärjestelmää käyttöön ja yksittäisen tietokoneen jokaisen uudel-30 leenkäynnistyksen yhteydessä tämän päivittämiseksi ei tämä synkronointi vielä toteudu. Vertailu, jonka yleensä aloittavat (myös) muut tietokoneet, täytyy siten katkaista tilapäisesti, sillä muutoin uudelleen käynnistetty tietokone kytkettäisiin jälleen heti irti. Ensimmäisen vertailun 8 98572 avulla, jonka uudelleen käynnistetty tietokone aikaansaa itse, voidaa sulku jälleen purkaa.
Sen ansiosta, että vertailijät on koottu vain muutamista, erittäin luotettavista rakenneosista ja että näi-5 tä käytetään pareittain toimivissa tietokoneissa korvautuvasta ei ole tarpeen toteuttaa niitä signaaliteknisesti varmoiksi; viallisten tietokoneiden havaitseminen ja irtikytkeminen voi siis tapahtua myös käyttämällä tekniikaltaan mielivaltaisia perinteisiä vertailijoita.
10 Laitteistovertailulla toteutettu viallisen tietoko neen havaitseminen ja erottaminen piiristä voidaan saavuttaa myös siten, että hetkellisten tietokoneväylillä kulkevien tietojen vertailun sijaan vertaillaan tietokoneiden lähdöissä esiintyviä käsittelytuloksia keskenään, 15 kuten on asianlaita esimerkiksi tekniikan tason mukaisessa SELMIS-tietokonejärjestelmässä.

Claims (11)

  1. 9 98572 ’ 1. Toimintavarma moni tietokone järjestelmä käsittäen kolme tietokonetta, jotka kaikki käsittelevät samat tiedot 5 toisistaan riippumatta ja jotka syöttävät sisäisillä väylillään olevat tiedot ja/tai työstöinänsä tulokset tai osa-tulokset - mahdollisesti synkronoinnin jälkeen - ulkoisille vertailijoille, joilta puolestaan tietokonetietojen tai tietokonetulosten ollessa yhtäpitävät vähintään kahden 10 tietokoneen kohdalla saadaan nämä tiedot tai tulokset ja jotka keskenään poikkeavia tietoja tai tuloksia havaitessaan määrittävät virheellisiä tietoja tai tuloksia välittävän tietokoneen ja kytkevät sen lepotilaan, tunnettu siitä, että kuhunkin tietokoneeseen (esim. MCA) 15 on liitetty kaksi laitteisto-vertailijaa (VAL, VAR) tietojensa (DA) tai tulostensa vertailemiseksi yksilöllisesti monitietokonejärjestelmän toisen (MCB) ja toisen (MCC) tietokoneen tietojen (DB, DC) tai tulosten kanssa, ja että kutakin tietokonetta (MCA) varten suunnitellun 20 vertailijän (VAL, VAR) lähdöt on kytketty laitteisto-JA-liitäntään (UA), joka kytkee aina kyseisen tietokoneen (MCA) irti silloin ja ainoastaan silloin, kun molemmat tätä JA-liitäntää syöttävät vertailijät (VAL, VAR) havaitsevat tuloissaan toisistaan poikkeavia tietoja.
  2. 2. Patenttivaatimuksen 1 mukainen monitietokonejär jestelmä, tunnettu siitä, että yhtä tietokonetta (MCA) varten varatut molemmat vertailijät (VAL, VAR) on lähtöpuolelta liitetty erillisiin virhemuisteihin (FAL, FAR), jotka havaitessaan toisistaan poikkeavia tietoja 30 niitä syöttävien vertailijoiden (VAL, VAR) tuloissa voidaan säätää yksilöllisesti ja että molemmat virhemuistit on lähtöpuolelta liitetty erotussignaalin (ASSA) aina kyseiselle tietokoneelle (MCA) tuottavan JA-elimen (UA) tuloihin. 10 98572
  3. 3. Patenttivaatimuksen 1 tai 2 mukainen monitieto-konejärjestelmä, tunnettu siitä, että tietokoneille (MCA) syötetään toisiin tietokoneisiin (MCB, MCC) liitettyjen JA-elinten (UB, UC) lähtöjen potentiaalit val- 5 vontatarkoituksia varten ja että vioittumattomat tietokoneet aikaansaavat tietokonejärjestelmän irtikytkeytyrnisen silloin, kun vialliseksi havaittu tietokone ei itse kytke itseään pois toiminnasta.
  4. 4. Jonkin patenttivaatimuksen 1-3 mukainen moni- 10 tietokonejärjestelmä, tunnettu siitä, että kutakin tietokonetta (MCA) varten on suunniteltu rakenneosa (MGA) käsittäen lähtöpuolella tietokoneen sisäisiin väyliin (DBA) tai tietokoneen lähtöön liitetyn rinnan/sarja-muuttimen (P/SA), josta käsin tietokoneväylillä tai tieto- 15 koneen lähdössä olevat tiedot (DA) joutuvat toisten tietokoneiden (MCB, MCC) rakenneosille (BGB, BGC), ja että jokainen rakenneosa (esim. BGA) käsittää kaksi vertailijaa (VAL, VAR), joiden tulot on liitetty toisaalta tämän rakenneosan (BGA) rinnan/sarja-muuttimen (P/SA) lähtöön ja 20 toisaalta sen rakenneosan (BGC, BGB) rinnan/sarja-muuttimen (P/SC, P/SB) lähtöön, jonka tietoihin sen on verrattava itseään.
  5. 5. Patenttivaatimusten 2 ja 4 mukainen monitietoko-nejärjestelmä, tunnettu siitä, että virhemuistit 25 (FAL, FAR) ladataan vertailijoiden toimesta, jotka puolestaan ladataan rinnan/sarja-muuttimien (S/PAL, S/PAR) välityksellä.
  6. 6. Patenttivaatimusten 2 ja 5 mukainen monitietoko-nejärjestelmä, tunnettu siitä, että virhemuistien 30 (FAL, FAR) lähdöistä saatavat signaalit ilmoittavat keskeytysten muodossa niihin liitetylle tietokoneelle (MCA) jonkin tämän vertailiJan (VAL, VAR) aktivoitumisesta.
  7. 7. Patenttivaatimuksen 6 mukainen monitietokonejärjestelmä, tunnettu siitä, että virhemuistien (FAL,
  8. 35 FAR) lähdöistä saatavia signaaleita käytetään valodiodien 11 98572 kiinni- ja irtikytkentää varten aina sen hetkisen vertaili jatilan optista tunnistusta varten.
  9. 8. Patenttivaatimuksen 4 tai 5 mukainen monitieto-konejärjestelmä, tunnettu siitä, että jokainen 5 tietokone (MCA) käsittää oman ajastimen, jonka ajastussig-naalit (TA) aikaansaavat vastaanottotahtina jokaisen ver-tailutapahtuman aikana kaikissa rakenneosissa (BGA, BGB, BGC) tietojensa (DA) vastaanoton vertailijoiden (VAL, VAR, VBL, VCR) välityksellä ja tiedonsiirron lopussa vertailu-10 tahtina aikaansaavat vertailutulosten siirtämisen vertaili joilta (VAL, VAR, VBL, VCR) rakenneosien virhemuisteihin (FAL, FAR, FBL, FCR), ja että jokainen vertailija käsittää vertailutapahtuman alulle panemiseksi kaksi yksitellen säädettävissä olevaa ajastussignaalituloa, joista toista 15 ohjataan oman ajastimen ajastussignaaleilla (TA) ja toista sen tietokoneen (MCC, MCB) ajastussignaaleilla (TC, TB), joka yhdessä oman tietokoneen (MCA) kanssa syöttää kyseistä vertailijaa.
  10. 9. Patenttivaatimuksen 1 mukainen monitietokonejär-20 jestelmä, tunnettu siitä, että tietokoneiden (MCA) kaikkia antoja (DA) oheislaitteille verrataan, ja että kaikkia muita verrattavia tietoja verrataan keskenään annettaessa tietoja varattuun, käyttämättömään oheisosoit-teeseen.
  11. 10. Jonkin patenttivaatimuksen 2-9 mukainen moni- tietokonejärjestelmä, tunnettu siitä, että jokaisen rakenneosan (BGA) lähdöt tietoja (DA) ja ajastussig-naaleita (TA) varten on erotettu molempien muiden rakenneosien (BGB, BGC) tieto- ja ajastussignaalituloista siten, 30 että lähtöpuolelle on sijoitettu signaalivahvistin ja virtaa rajoittava erotusvastus ja vastaanottopuolelle on sijoitettu myös erotusvastus. 12 98572
FI930291A 1990-08-14 1993-01-25 Toimintavarma kolmen tietokoneen monitietokonejärjestelmä FI98572C (fi)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
EP90115585 1990-08-14
EP90115585 1990-08-14
PCT/EP1991/001022 WO1992003787A1 (de) 1990-08-14 1991-06-03 Mehrrechnersystem hoher sicherheit mit drei rechnern
EP9101022 1991-06-03

Publications (4)

Publication Number Publication Date
FI930291A FI930291A (fi) 1993-01-25
FI930291A0 FI930291A0 (fi) 1993-01-25
FI98572B FI98572B (fi) 1997-03-27
FI98572C true FI98572C (fi) 1997-07-10

Family

ID=8204331

Family Applications (1)

Application Number Title Priority Date Filing Date
FI930291A FI98572C (fi) 1990-08-14 1993-01-25 Toimintavarma kolmen tietokoneen monitietokonejärjestelmä

Country Status (7)

Country Link
EP (1) EP0543820B1 (fi)
AT (1) ATE110477T1 (fi)
DE (1) DE59102664D1 (fi)
DK (1) DK0543820T3 (fi)
ES (1) ES2060389T3 (fi)
FI (1) FI98572C (fi)
WO (1) WO1992003787A1 (fi)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0760395B2 (ja) * 1992-11-06 1995-06-28 日本電気株式会社 フォールトトレラントコンピュータシステム
US6141769A (en) 1996-05-16 2000-10-31 Resilience Corporation Triple modular redundant computer system and associated method
TW320701B (fi) * 1996-05-16 1997-11-21 Resilience Corp
DE19740136A1 (de) * 1997-09-12 1999-03-18 Alsthom Cge Alcatel Verfahren zur Isolation eines defekten Rechners in einem fehlertoleranten Mehrrechnersystem
DE10036598A1 (de) * 2000-07-27 2002-02-14 Infineon Technologies Ag Anordnung zur Überwachung des ordnungsgemäßen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
DE10053023C1 (de) * 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE10055424A1 (de) * 2000-11-09 2002-05-29 Alcatel Sa Verfahren zum Speichern eines Sicherheitsschlüssels und Mehrrechnersystem zur Durchführung des Verfahrens
US7209811B1 (en) 2001-11-22 2007-04-24 Siemens Aktiengesellschaft System and method for controlling a safety-critical railroad operating process
AU2002224742A1 (en) * 2001-11-22 2003-06-17 Siemens Aktiengesellschaft Method for controlling a safety-critical railway operating process and device for carrying out said method
EP2835759B1 (de) * 2013-08-08 2019-03-27 GbR Oliver Oechsle, Dr. Hans-Peter Dietz Verfahren und System zur Handhabung eines defekten elektronischen Nutzerendgerätes

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3720879A1 (de) * 1987-06-24 1989-01-05 Siemens Ag Einrichtung zur fehlertoleranten ein/ausgabe von daten

Also Published As

Publication number Publication date
EP0543820B1 (de) 1994-08-24
ATE110477T1 (de) 1994-09-15
WO1992003787A1 (de) 1992-03-05
FI930291A (fi) 1993-01-25
DK0543820T3 (da) 1995-03-20
ES2060389T3 (es) 1994-11-16
FI930291A0 (fi) 1993-01-25
DE59102664D1 (de) 1994-09-29
FI98572B (fi) 1997-03-27
EP0543820A1 (de) 1993-06-02

Similar Documents

Publication Publication Date Title
FI98572C (fi) Toimintavarma kolmen tietokoneen monitietokonejärjestelmä
US4328577A (en) Muldem automatically adjusting to system expansion and contraction
US3848116A (en) Data processing system having triplexed system units
US5086499A (en) Computer network for real time control with automatic fault identification and by-pass
US4527270A (en) Communications network with stations that detect and automatically bypass faults
US4198678A (en) Vehicle control unit
CA1199735A (en) Arrangement for coupling digital processing units
GB2110855A (en) Computer-based interlocking system
US5485604A (en) Fault tolerant computer system comprising a fault detector in each processor module
US5522047A (en) Graceful insertion of a tree into a ring network
US4376999A (en) Muldem with monitor testing on-line and off-line paths
DK153605B (da) Apparat til overvaagning af taktsignalerne i et digitalt anlaeg
US4330885A (en) Protected muldem with improved monitoring system and error detection
US5539725A (en) Port address resolution device
US5107495A (en) Frame synchronization system
DK163753B (da) Kredsloeb til kontrol af den korrekte start af et tokanalet fail-safe-mikrodatamatkoblevaerk, navnlig til jernbanesikringsanlaeg
US4858223A (en) Security arrangement for a telecommunications exchange system
JPH05204692A (ja) 情報処理装置の故障検出・切離方式
JP2941387B2 (ja) 多重化装置の一致化制御方式
NO180029B (no) Fremgangsmåte og anordning for detektering og lokalisering av feil eller mangler i en digital svitsj
US4375682A (en) Protected muldem with independent protective switching of circuits having different data rates
JPS61267810A (ja) 停電検出判定回路
DK164009B (da) Taktstroemforsyning til et multimikrocomputersystem i jernbanesikringsanlaeg
JPH07312612A (ja) Hwバスデータ衝突検出回路
JPS59200365A (ja) 制御情報転送方式

Legal Events

Date Code Title Description
BB Publication of examined application
MM Patent lapsed