NO802841L - SECURE DATA PROCESSING DEVICE - Google Patents

SECURE DATA PROCESSING DEVICE

Info

Publication number
NO802841L
NO802841L NO802841A NO802841A NO802841L NO 802841 L NO802841 L NO 802841L NO 802841 A NO802841 A NO 802841A NO 802841 A NO802841 A NO 802841A NO 802841 L NO802841 L NO 802841L
Authority
NO
Norway
Prior art keywords
bus
data processing
information
parallel
processing device
Prior art date
Application number
NO802841A
Other languages
Norwegian (no)
Inventor
Alfred Lotz
Burkhardt Kraffel
Original Assignee
Licentia Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Licentia Gmbh filed Critical Licentia Gmbh
Publication of NO802841L publication Critical patent/NO802841L/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1405Saving, restoring, recovering or retrying at machine instruction level
    • G06F11/141Saving, restoring, recovering or retrying at machine instruction level for bus or memory accesses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components

Abstract

En sikret databehandlingsinnretning med koblingsverk som behandler de samme informasjoner i minst to kanaler og styres skrittvis, oppviser de følgende trekk for å forebygge utgivelse av feilaktige kommandoer: I hver kanal inneholdes en BUS-ledning (BUS I, BUS II). Til hver BUS-ledning er der koblet en uavhengig arbeidende mikroprosessor (MP I, MP II), et skrive-/leselager (SPC I, SPC II), et fastverdilager (SPF I, SPF II), en past-memory-komponent (PME I, PME II), en parallell- og en seriell-datautgiverkobling (AP I, DAP II, VBP, LAP resp.DAS I, DAS II, TS,S,AS). BUS-ledningene er forbundet innbyrdes ved hjelp av en feilsikker koordineringsenhet (KOE) som styrer overtagelse og utgivelse av informasjonene. Parallelle, serielle eller allerede sikrede informasjoner kan innføres etter valg. Likeledes kan sikrede parallelle eller serielle informasjoner gis ut etter valg. Bare koordineringsenheten, sammenlignerene, takt- og synkroni-seringsenheten og den bitparallelle resp. bitserielle utgiverenhet i datautgiverkoblingene er sikre komponenter. Hver mikroprosessor (MP I, MP II) har uavhengig separat styring. Koordineringsenheten (KOE) avgir etter ankomst av sammenligningsresultatene en kommando til avvikling av neste programskritt eller til gjentagelse av programskrittet eller til stans. Kanalene er modulært oppbygget. Flere av disse sikkerhets-ugiverkoblinger kan forbindes til et multiprocessingsystem.A secure computing device with switching devices that processes the same information in at least two channels and is controlled step by step, has the following features to prevent the issuance of erroneous commands: Each channel contains a BUS cable (BUS I, BUS II). An independent working microprocessor (MP I, MP II), a write / read memory (SPC I, SPC II), a fixed value memory (SPF I, SPF II), a past-memory component are connected to each BUS cable. PME I, PME II), a parallel and a serial data publisher connection (AP I, DAP II, VBP, LAP and DAS I, DAS II, TS, S, AS). The BUS wires are interconnected by means of a fail-safe coordination unit (KOE) which controls the acquisition and release of the information. Parallel, serial or already secured information can be entered at choice. Likewise, secured parallel or serial information can be released at choice. Only the coordination unit, the comparators, the clock and synchronization unit and the bit parallel resp. Bitserial publisher units in the data publisher links are secure components. Each microprocessor (MP I, MP II) has independent separate control. The coordination unit (KOE) issues a command after the arrival of the comparison results to execute the next program step or to repeat the program step or to stop. The channels are modular. Several of these safety encoder connections can be connected to a multiprocessing system.

Description

Oppfinnelsen angår en sikker databehandlingsinnretning som angitt i hovedkravets innledning. The invention relates to a secure data processing device as stated in the introduction of the main claim.

Ved styring av tekniske prosesser gjør man stadig mer bruk av elektroniske innretninger, særlig prosessregnere og mikrocomputere. Det skjer også på slike områder hvor sikker-hetshensyn kommer inn, som f.eks. jernbanesikringsteknikk, trafikklysstyringer, valsegate-styreverk, pressestyringer, overvåkning av kjernereaktorer m.v. Det er her særlig viktig at mennesker ikke kommer i fare. I alle de nevnte tilfeller må man derfor bygge på "fail-safe"-prinsippet, dvs. at der selv ved flere forstyrrelser eller feil i styringsanleggene ikke må avgis signaler som ville kunne ha skadelige følger for mennesker eller maskiner. Allikevel må man unngå for store omkostninger og derfor gjøre utstrakt bruk av komponenter som forekommer i handelen. When managing technical processes, electronic devices are increasingly used, particularly process calculators and microcomputers. It also happens in such areas where security considerations come into play, such as e.g. railway safety technology, traffic light controls, roller gate control systems, press controls, monitoring of nuclear reactors, etc. It is particularly important here that people do not come into danger. In all the cases mentioned, one must therefore rely on the "fail-safe" principle, i.e. that even in the event of several disturbances or errors in the control systems, no signals must be emitted that could have harmful consequences for people or machines. Nevertheless, one must avoid excessive costs and therefore make extensive use of components that occur in the trade.

Der er allerede kjent en sikkerhets-utleveringskobling for et databehandlingsanlegg som avgir binærsignaler, hvor der anvendes en forsterker med en utgangstransformator, hvis sekundærvikling via en likeretterkobling forsyner en for-bruker med "fail-safe"-signaler. Et par dataledninger som fører ensartede binærsignaler fra to mikrocomputere som styres taktsynkront ved hjelp av en felles taktstrømkilde, A safety delivery connection is already known for a data processing system that emits binary signals, where an amplifier with an output transformer is used, whose secondary winding via a rectifier connection supplies a consumer with "fail-safe" signals. A pair of data lines carrying uniform binary signals from two microcomputers which are controlled clock-synchronously by means of a common clock current source,

er tilkoblet hvert sitt første kippledd som tjener som ut-gi verkomponent, og hvis utgang er forbundet med tilbakeset-ningsinngangen til et annet kippledd. For disse to andre kippledd leveres synkrone taktpulser fra taktstrømforsyningen, en tilbakesetningsinngang til det ene resp. det annet av de første kippledd er forbundet med en utgang som avgir et grunnstillingssignal fra taktstrømkilden, til utgangen fra det ene av de andre kippledd og til den negerte utgang fra det annet av de andre kippledd er der koblet et antivalens-overvåkningsledd som kan avspørres med testpulser fra takt-strømkilden, og som såvel ved statiske som ved dynamiske antivalente signaler avgir testpulsene for opprettholdelse av taktstrømforsyningen, og forsterkeren er tilkoblet minst ett av de to andre kippledd (DE-AS 2 651 314). are each connected to a first flip-flop which serves as a release component, and whose output is connected to the reset input of another flip-flop. For these two other flip-flops, synchronous clock pulses are supplied from the clock power supply, a reset input to one or the second of the first flip-flops is connected to an output which emits a basic position signal from the clock current source, to the output of one of the other flip-flops and to the negated output of the second of the other flip-flops, an anti-valence monitoring link is connected which can be interrogated with test pulses from the clock current source, and which both in the case of static and dynamic antivalent signals emits the test pulses to maintain the clock current supply, and the amplifier is connected to at least one of the other two flip-flops (DE-AS 2 651 314).

Denne innretning har imidlertid den ulempe at f.eks. forstyrrelser i taktstyringen ytrer seg likt på de to mikro- prosessorer. Likeledes kan systematiske feil i de to kanaler som er oppbygget av like komponenter, ytre seg på samme måte, så der eventuelt også kan bli gitt ut en falsk kommando. However, this device has the disadvantage that e.g. disruptions in the clock control manifest themselves equally on the two microprocessors. Likewise, systematic errors in the two channels, which are made up of identical components, can manifest themselves in the same way, so that a false command can also be issued.

Oppgaven består derfor i å skaffe en sikker databehandlingsinnretning hvor alle feil som ikke tilfeldigvis opptrer samtidig og i samme art på hver kanal, kan erkjennes, så utgivelsen av en falsk kommando kan forhindres. Oppgaven blir ifølge oppfinnelsen løst ved hjelp av de trekk som er angitt i patentkravene. The task therefore consists in providing a secure data processing device where all errors that do not happen to occur simultaneously and in the same way on each channel can be recognized, so that the issuing of a false command can be prevented. According to the invention, the task is solved by means of the features specified in the patent claims.

Oppfinnelsen vil i det følgende bli belyst nærmere ved et utførelseseksempel. I det utførelseseksempel som er vist på tegningen, består innretningen ifølge oppfinnelsen av to kanaler, men det er også mulig av sikkerhetsgrunner å benytte tre eller flere kanaler. Likeledes er det mulig å forbinde en slik innretning med en eller flere ytterligere,tilsvarende innretninger til et multiprocessingsystem. In the following, the invention will be explained in more detail by means of an embodiment example. In the embodiment shown in the drawing, the device according to the invention consists of two channels, but it is also possible for safety reasons to use three or more channels. Likewise, it is possible to connect such a device with one or more additional devices corresponding to a multiprocessing system.

I utførelseseksempelet er to kanaler I og II oppbygget med fullstendig identisk struktur, men kan også være forskjellige med hensyn til hardware, så det,er nok å beksrive bare den ene. Til en BUS er der koblet en digital innføringskob-ling DEP hvori informasjonene innmates bitparallelt,eller en digital innføringskobling DES hvori informasjonen innmates bitserielt, eller også en sikker innføringskobling SIE hvori informasjonen allerede innmates i sikret form (dette er allerede vist i BRD-patentsøknad P 24 02 880). In the design example, two channels I and II are constructed with completely identical structure, but can also be different with regard to hardware, so it is enough to describe only one. A digital input link DEP is connected to a BUS, in which the information is entered bit-parallel, or a digital input link DES, in which the information is entered bit-serial, or also a secure input link SIE, in which the information is already entered in a secured form (this is already shown in BRD patent application P 24 02 880).

Som digital innføringskobling tjener for det første innføringskoblingen DEP for. bitparallell innlesning. Et slikt dataord med en bredde av f.eks. 8 bits blir opptelt via optokoblere og innlest i et mellomlager FIFO^En FIFO As a digital lead-in link, the lead-in link DEP serves for the first time. bit-parallel input. Such a data word with a width of e.g. 8 bits are counted via optocouplers and read into a buffer FIFO^A FIFO

på innføringsveien DEP er en komponent hvormed inngangsdata og utgangsdata kan avkobles fra hverandre. Det betyr at man kan utlese data samtidig med at data innleses i komponenten. De data som ble innlest først, blir også igjen utlest først. on the input path DEP is a component with which input data and output data can be decoupled from each other. This means that data can be read out at the same time that data is read into the component. The data that was read in first is also read out first.

En ytterligere innføringskobling DES er en bitseriell innføringskobling. Også her blir den innførte informasjon først galvanisk oppdelt via optokobler og derpå mellomlagret i en serie-parallellomsetter SPU. Resultatet fra serie-paral-lellomsetteren blir etter avsluttet innskrivningsoperasjon overtatt i et mellomlager ZSP og står så til rådighet for prosessen. A further insertion link DES is a bit-serial insertion link. Here, too, the entered information is first galvanically divided via optocouplers and then intermediately stored in a series-parallel converter SPU. The result from the series-parallel converter is taken over in an intermediate storage ZSP after the end of the write-in operation and is then available for the process.

De bitparallelle resp. bitserielle innføringsveier DEP, DES er oppbygget dobbelt og må også påstyres dobbelt av prosessen. Bare derved er det mulig å fastslå ledningsavbrudd resp. EMC-forstyrrelser, som dermed ikke kan føre til noe feilaktig resultat. The bit-parallel resp. bit-serial input paths DEP, DES are structured twice and must also be controlled twice by the process. Only in this way is it possible to establish a line break or EMC interference, which can therefore not lead to any erroneous results.

Tredje innføringskobling SIE er en gruppe oppbygget av faste komponenter. Her kan der tilkobles sikre kontakter, relé- eller styrekontakter. Third insertion link SIE is a group made up of fixed components. Safe contacts, relay or control contacts can be connected here.

Inngangene blir kontrollert på antivalens eller valens og fordelt tilbakekoblingsfritt på de to BUSSER. Innførings-data blir enten innført syklisk eller styrt pr. program eller der tillates for et kort tidsrom et avbrudd, så det også er mulig å få spontane innføringsdata med. The inputs are checked for anti-valence or valence and distributed without feedback to the two BUSES. Input data is either entered cyclically or controlled per program or where an interruption is allowed for a short period of time, so it is also possible to get spontaneous input data with it.

Til BUSSEN er der videre koblet en mikroprosessor MP, et skrive-/leselager SPC, et fastverdilager SPF, en past-memory-komponent PME, en digital utgiverkobling DAP via hvilken utgivelsen av en kommando skjer bitparallelt, og en digital utgiverkobling DAS via hvilken utgivelsen av en kommando skjer bitserielt. De hittil nevnte komponenter er med unntagelse av den sikre innføringskobling SIE produkter som forekommer vanlig i handelen og ikke i og for seg er feilsikret. A microprocessor MP, a write/read memory SPC, a fixed-value memory SPF, a past-memory component PME, a digital publisher link DAP via which the release of a command takes place bit-parallel, and a digital publisher link DAS via which the release is further connected to the BUS of a command occurs bit-serially. The components mentioned so far are, with the exception of the safe insertion link, SIE products that are commonly found in the trade and are not in and of themselves fail-safe.

Koordineringen av behandlingsforløpet og sikringen av de utgitte informasjoner skjer ved hjelp av en koordineringsenhet KOE som i seg selv er feilbeskyttet, samt ved hjelp av sikre sammenligner-byggegrupper VBP, VBS. Feilbeskyttet i seg selv er også en utleveringsvei LAP i den bitparallelle utgiverkobling samt en takt- og synkroniserings-byggegruppe TSY og en utgivelsesvei LAS i den digitale utgiverkobling for serielle kommandoer. The coordination of the processing process and the securing of the published information is done with the help of a coordination unit KOE, which is itself fault-protected, as well as with the help of secure comparator building groups VBP, VBS. Also fault-protected per se is a release path LAP in the bit-parallel publisher link as well as a clock and synchronization building block TSY and a release path LAS in the digital publisher link for serial commands.

Begge mikroprosessorene arbeider med egne taktforsy-ninger og blir ikke tvangssynkronisert ut fra sin takt. Det fører til at ingen EMC-forstyrrelser som ikke konstateres ved sammenligningen, kan føre til samtidige forfalskninger. Inn-føringsinformasjonene kan også komme fra en kilde. Riktignok må forbindelsen alltid utføres tosidig for å gjøre det mulig å registrere og konstatere ledningsavbrudd, ledningsslut-ninger eller innstrålte forstyrrelser. Both microprocessors work with their own clock supplies and are not forcibly synchronized based on their clock. This means that no EMC disturbances that are not detected during the comparison can lead to simultaneous falsifications. The input information may also come from a source. Admittedly, the connection must always be made bilaterally to make it possible to register and ascertain line interruptions, line terminations or radiated disturbances.

Tii prosessorene MP I, MP II hører lagringskomponentene, eksempelvis fastverdilagrene SPF I, SPF II og skrive-/lese-lagrene SPC I, SPC II. Prosessorene er galvanisk adskilt og uten innbyrdes kobling. To the processors MP I, MP II belong the storage components, for example the fixed value stores SPF I, SPF II and the write/read stores SPC I, SPC II. The processors are galvanically separated and without mutual connection.

Styringen resp. overtagelsen av kontaktinformasjonene blir styrt av koordineringsenheten KOE.- Denne har til opp-gave å bringe programhastigheten for begge prosessorene på like tidsavsnitt, enn videre å synkronisere de digitale inn-føringsveier for at begge regnere får identiske informasjoner på samme tid, samt å styre den digitale utgivervei DASY, for at der ved sammenlignerene VBP, VBS til enhver tid skal opptre identiske informasjoner - enten det nå er bitparallelt eller bitserielt. The management or the takeover of the contact information is controlled by the coordination unit KOE.- This has the task of bringing the program speed for both processors to equal time intervals, and furthermore to synchronize the digital input paths so that both computers receive identical information at the same time, as well as to control the digital publisher's path DASY, so that identical information will appear at the comparators VBP, VBS at all times - whether it is now bit-parallel or bit-serial.

Et program blir oppdelt i mange enkeltsegmenter. Etter hvert kort programavsnitt skjer der en sammenligning, dvs. A program is divided into many individual segments. After each short program section, a comparison takes place, i.e.

at prosessoren gir vedkommende informasjoner til en eller annen utgiverenhet og derpå melder ved koordineringsenheten at data står til rådighet. Er den annen prosessor på dette tidspunkt ennå ikke ferdig med sin utlevering, blir første prosessor stanset og må vente så lenge til også den annen er ferdig med sin utlevering. Med denne forholdsregel kan man oppnå en tvungen synkronisering av de to prosessorer. that the processor provides the relevant information to one or another publishing unit and then reports to the coordination unit that data is available. If the second processor at this time has not yet finished its delivery, the first processor will be stopped and must wait until the other has also finished its delivery. With this precaution, a forced synchronization of the two processors can be achieved.

Videre blir det også ved hjelp av et tidsledd i koordineringsenheten kontrollert om de to prosessorer melder seg ved koordineringsenheten i bestemte tidsavstander. Er av-standen for stor, blir begge prosessorer stanset og en feil-melding gitt ut. Furthermore, with the help of a time link in the coordination unit, it is checked whether the two processors report to the coordination unit at specific time intervals. If the distance is too large, both processors are stopped and an error message is issued.

Hvis en mikroprosessor resp. begge mikroprosessorene har avgitt sine data til en digital utgiver-byggegruppe og begge har meldt seg ved koordineringsenheten, starter koordineringsenheten en puls som overfører resultatet av ladningen til et annet register. Takket være denne synkrone overtagelse av data i de lagre ved begge BUSSER, vil der ved sammenlignerene alltid opptre identiske informasjoner. Prosessorene kan avvikle neste programskritt uten ytterligere kommando. Inntrer et feiltilfelle, blir bare de feilaktige informasjoner undertrykket. Dette utsagn gjelder bare de bitparallelle utleveringer, ikke de bitserielle, for her blir hele telegrammet stoppet i tilfellet av en feil. If a microprocessor or both microprocessors have submitted their data to a digital publisher build group and both have reported to the coordination unit, the coordination unit initiates a pulse that transfers the result of the charge to another register. Thanks to this synchronous acquisition of data in the stores at both BUSES, identical information will always appear at the comparators. The processors can execute the next program step without further command. If an error occurs, only the incorrect information is suppressed. This statement only applies to the bit-parallel deliveries, not the bit-serial ones, because here the entire telegram is stopped in the event of an error.

Systemet utmerker seg ved at de to prosessorer kan arbeide på samme måte eller på forskjellige måter. Videre er der mulighet for å la både identiske og innbyrdes forskjellige software-programmer avvikles i de to prosessorer eller også la to forskjellige software-programmer behandles etter tur i en og samme prosessor. The system is distinguished by the fact that the two processors can work in the same way or in different ways. Furthermore, there is the possibility of allowing both identical and mutually different software programs to be executed in the two processors or to allow two different software programs to be processed in turn in one and the same processor.

Det er også mulig å utvide.'systemet til et m- av n-system for foruten sikkerheten også å oppnå en økning av den disponible kapasitet. It is also possible to expand the system into an m-of-n system in order to achieve, in addition to safety, an increase in the available capacity.

Som utgiver-byggegrupper står to elementer til rådighet. For det første den parallelle utgiverkobling DAP. Her blir det 8 bits brede dataord innlest i et lager. Resultatet overtas i et annet mellomlager, styrt av koordineringsenheten. Dessuten foreligger der også en digital utgiverkobling DAS for serielle informasjoner. Denne serielle utgivergruppe består av et parallellregister som lades av prosessoren i samsvar med telegram- eller bit-lengde. Er registeret komp-lett ladet, blir informasjonen opptatt i et annet register ved hjelp av koordineringsenheten. Two elements are available as publisher building groups. First, the parallel publisher link DAP. Here, the 8-bit wide data word is read into a store. The result is taken over in another intermediate warehouse, controlled by the coordination unit. In addition, there is also a digital publisher link DAS for serial information. This serial publisher group consists of a parallel register which is loaded by the processor according to telegram or bit length. If the register is fully charged, the information is taken up in another register with the help of the coordination unit.

Utgangsinformasjonene fra de digitale utgiverkoblinger DAP, DAS blir ført til sammenlignerne VBP, VBS. Der blir informasjonene fra begge utgangene kontrollert. Resultatet blir for det første gjennomkoblet til utgivergruppen LAP/ som består av LOGISAFE-komponenter. The output information from the digital publisher links DAP, DAS is fed to the comparators VBP, VBS. There, the information from both outputs is checked. The result is firstly linked to the publisher group LAP/, which consists of LOGISAFE components.

Ved den serielle utgivergruppe blir det serielle ord sammenlignet bit for bit. Uttaktingen av dette ord overtas av en byggegruppe takt resp. synkroniseringen TSY/ som bestemmer det serielle dataords overføringsrate. Datainfor-masjonen viderekobles via en sikret utgivervei LAS bestående av LOGISAFE-komponenter. At the serial publisher group, the serial word is compared bit by bit. The selection of this word is taken over by a building group takt resp. the synchronization TSY/ which determines the serial data word transfer rate. The data information is forwarded via a secured publisher path LAS consisting of LOGISAFE components.

Utgangen fra den sikrede byggegruppe LAS benyttes til sikret fjernoverføring. Utgangene fra den sikrede byggegruppe LAP for et 8 bits bredt parallelt ord kan via sikrede forsterkere påstyre releer eller innstillingsledd. The output from the secured building group LAS is used for secured remote transmission. The outputs from the secured building group LAP for an 8-bit wide parallel word can via secured amplifiers control relays or setting links.

Hele systemet er modulært oppbygget.. En enkelt koordi neringsenhet er tilstrekkelig. For service,, for oppsøkning av feil, finnes et past-memory PME. I dette fastholdes i tilfellet av en feil de siste 256 bits av programbehandlingen. Såvel data som adresser og også endel viktige kontrolled-ninger blir lagret. Denne byggegruppe finnes sepatat for hver prosessor, så man lett kan lokalisere ulikhet i informasjonene, altså feil. The entire system is modular. A single coordination unit is sufficient. For service, for troubleshooting, there is a past-memory PME. In this, in the event of an error, the last 256 bits of the program processing are retained. Both data and addresses and also some important control lines are stored. This building group exists separately for each processor, so you can easily locate differences in the information, i.e. errors.

Claims (8)

1. Sikker databehandlingsinnretning med koblingsverk som behandler de samme informasjoner i minst to kanaler og styres skrittvis, karakterisert ved følgende trekk: i hver kanal inneholdes en BUS-ledning (BUS I, BUS II), til hver BUS-ledning (BUS I, BUS II) er det koblet en uavhengig arbeidende mikroprosessor (MP I, MP II), et skrive-leselager (SPC I, SPC II), et fastverdilager (SPF I, SPF II) og en past-memory-komponent (PME I, PME II), til hver BUS-ledning (BUS I, BUS II) er der koblet en parallell data- og en seriell data-utgiverkobling (henholds-vis DAP I, DAP II, VBP, LAP og DAS I, DAS II, TSY, VBS, LAS), BUS-ledningene (BUS I, BUS II) er forbundet med hverandre ved hjelp av en feilsikker koordineringsenhet (KOE) som styrer overtagelse og utgivelse av informasjonene.1. Secure data processing device with switchgear that processes the same information in at least two channels and is controlled step by step, characterized by the following features: each channel contains a BUS line (BUS I, BUS II), to each BUS line (BUS I, BUS II) is connected an independently working microprocessor (MP I, MP II), a write-read memory (SPC I, SPC II), a fixed value memory (SPF I, SPF II) and a past-memory component (PME I, PME II), to each BUS line (BUS I, BUS II) there is connected a parallel data and a serial data publisher link (respectively DAP I, DAP II, VBP, LAP and DAS I, DAS II, TSY, VBS, LAS ), The BUS lines (BUS I, BUS II) are connected to each other by means of a fail-safe coordination unit (KOE) which controls the acquisition and release of the information. 2. Databehandlingsinnretning som angitt i krav 1, karakterisert ved at der etter valg kan innføres parallelle, serielle eller allerede sikrede informasjoner.2. Data processing device as specified in claim 1, characterized by the fact that parallel, serial or already secured information can be introduced. 3. Databehandlingsinnretning som angitt i krav 1 og 2, karakterisert ved at der etter valg kan gis ut sikrede parallelle eller serielle informasjoner.3. Data processing device as stated in claims 1 and 2, characterized by the fact that secured parallel or serial information can be released as desired. 4. Databehandlingsanlegg som angitt i krav 1-3, karakterisert ved at bare koordinerings enheten (KOE), sammenlignerene (VBP, VBS), takt- og synkro-niseringsenheten (TSY) og den bitparallelle resp. bitserielle utgiverenhet (LAP, LAS) er sikre komponenter i datautgiverkoblingene.4. Data processing facilities as specified in claims 1-3, characterized in that only the coordination unit (KOE), the comparators (VBP, VBS), the clock and synchronization unit (TSY) and the bit-parallel resp. bit-serial publisher devices (LAP, LAS) are secure components of the data publisher links. 5. Databehandlingsinnretning som angitt i krav 1-4, karakterisert ved at hver mikroprosessor (MP I, MP II) for seg er uavhengige taktstyrt.5. Data processing device as specified in claims 1-4, characterized in that each microprocessor (MP I, MP II) is independently clock-controlled. 6. Databehandlingsinnretning som angitt i krav 1-5, karakterisert ved at koordineringsenheten (KOE) etter ankomst av sammenligningsresultatene gir ut en kommando for avvikling av neste programskritt eller for gjentagelse av et programskritt eller for stans.6. Data processing device as specified in claims 1-5, characterized in that the coordination unit (KOE) after arrival of the comparison results issues a command to cancel the next program step or to repeat a program step or to stop. 7. Databehandlingsinnretning som angitt i krav 1-6, karakterisert ved at kanalene er modulært oppbygget.7. Data processing device as specified in claims 1-6, characterized in that the channels are modularly structured. 8. Databehandlingsinnretning som angitt i krav 1-7, karakterisert ved at flere av de nevnte sikkerhets-utgiverkoblinger kan forbindes til et multiprocessingsystem.8. Data processing device as specified in claims 1-7, characterized in that several of the aforementioned security-issuer links can be connected to a multiprocessing system.
NO802841A 1979-09-28 1980-09-26 SECURE DATA PROCESSING DEVICE NO802841L (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19792939935 DE2939935A1 (en) 1979-09-28 1979-09-28 SECURE DATA PROCESSING DEVICE

Publications (1)

Publication Number Publication Date
NO802841L true NO802841L (en) 1981-03-30

Family

ID=6082501

Family Applications (1)

Application Number Title Priority Date Filing Date
NO802841A NO802841L (en) 1979-09-28 1980-09-26 SECURE DATA PROCESSING DEVICE

Country Status (7)

Country Link
EP (1) EP0026734A1 (en)
DD (1) DD153258A5 (en)
DE (1) DE2939935A1 (en)
DK (1) DK376480A (en)
ES (1) ES8106620A1 (en)
FI (1) FI803026A (en)
NO (1) NO802841L (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0231452B2 (en) * 1982-01-29 2002-01-16 Pitney Bowes Inc. Microprocessor systems for electronic postage arrangements
US4566106A (en) * 1982-01-29 1986-01-21 Pitney Bowes Inc. Electronic postage meter having redundant memory
CA1206619A (en) * 1982-01-29 1986-06-24 Frank T. Check, Jr. Electronic postage meter having redundant memory
US4916623A (en) * 1982-01-29 1990-04-10 Pitney Bowes Inc. Electronic postage meter having redundant memory
US5109507A (en) * 1982-01-29 1992-04-28 Pitney Bowes Inc. Electronic postage meter having redundant memory
DE3412049A1 (en) * 1984-03-30 1985-10-17 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt SIGNAL-SAFE DATA PROCESSING DEVICE
DE3642851A1 (en) * 1986-12-16 1988-06-30 Bbc Brown Boveri & Cie ERROR-TOLERANT COMPUTING SYSTEM AND METHOD FOR DETECTING, LOCALIZING AND ELIMINATING DEFECTIVE UNITS IN SUCH A SYSTEM
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
DE69435090T2 (en) * 1993-12-01 2009-06-10 Marathon Technologies Corp., Stow Computer system with control units and computer elements
DE102015121349A1 (en) 2015-12-08 2017-06-08 Staku Anlagenbau Gmbh Apparatus for surface treatment of a continuous material and its use

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3810119A (en) * 1971-05-04 1974-05-07 Us Navy Processor synchronization scheme
FR2144912A5 (en) * 1971-07-02 1973-02-16 Cerci
IT1014277B (en) * 1974-06-03 1977-04-20 Cselt Centro Studi Lab Telecom CONTROL SYSTEM OF PROCESS COMPUTERS OPERATING IN PARALLEL
DE2458224C3 (en) * 1974-12-09 1978-04-06 Siemens Ag, 1000 Berlin Und 8000 Muenchen Data processing system with coordination of the parallel work of at least two data processing systems
GB1560554A (en) * 1976-03-10 1980-02-06 Smith Industries Ltd Control systems
DE2612100A1 (en) * 1976-03-22 1977-10-06 Siemens Ag DIGITAL DATA PROCESSING ARRANGEMENT, IN PARTICULAR FOR RAILWAY SAFETY TECHNOLOGY
US4169288A (en) * 1977-04-26 1979-09-25 International Telephone And Telegraph Corporation Redundant memory for point of sale system

Also Published As

Publication number Publication date
FI803026A (en) 1981-03-29
DK376480A (en) 1981-03-29
EP0026734A1 (en) 1981-04-08
ES495411A0 (en) 1981-07-16
DD153258A5 (en) 1981-12-30
ES8106620A1 (en) 1981-07-16
DE2939935A1 (en) 1981-04-09

Similar Documents

Publication Publication Date Title
CN110361979B (en) Safety computer platform in railway signal field
US5777874A (en) Programmable controller backup system
US4539655A (en) Microcomputer based distributed control network
US4198678A (en) Vehicle control unit
US4015246A (en) Synchronous fault tolerant multi-processor system
US4358823A (en) Double redundant processor
US3921149A (en) Computer comprising three data processors
US7120820B2 (en) Redundant control system and control computer and peripheral unit for a control system of this type
CA1078967A (en) Digital data processing arrangement
US4366535A (en) Modular signal-processing system
US4674036A (en) Duplex controller synchronization circuit for processors which utilizes an address input
JPH04241035A (en) Method and device for duplexed bus control
NO802841L (en) SECURE DATA PROCESSING DEVICE
CN110376876A (en) A kind of safety computer platform that double systems are synchronous
CA2051763C (en) Method for guaranteeing data stored in a primary and secondary data base in a process control system
JPH10154991A (en) Control system using plc
US4665477A (en) Method for ensuring safe operation of a programmable automatic control device and automatic control device for carrying out the said method
US4551836A (en) Cross-copy arrangement for synchronizing error detection clock signals in a duplex digital system
CN116490829A (en) Method for controlling an automation system with control redundancy and automation system
JPH09114507A (en) Duplex system for programmable logic controller
JP2941387B2 (en) Multiplexing unit matching control method
US3091753A (en) Checking circuitry for information handling apparatus
SU752342A1 (en) Multiprocessor computing system
RU8135U1 (en) MULTI-PROCESSOR COMPUTER FOR OBJECT MANAGEMENT IN REAL TIME
JPS60237523A (en) Controller for internal timepiece