DD153258A5

DD153258A5 - SECURE DATA PROCESSING DEVICE

Info

Publication number: DD153258A5
Application number: DD80224097A
Authority: DD
Inventors: Alfred Lotz; Burkhardt Kraffel
Original assignee: Licentia Gmbh
Priority date: 1979-09-28
Filing date: 1980-09-24
Publication date: 1981-12-30
Also published as: DE2939935A1; NO802841L; DK376480A; EP0026734A1; ES495411A0; FI803026A; ES8106620A1

Abstract

Die Erfindung betrifft eine sichere Datenverarbeitungseinrichtung mit in mindestens zwei Kanaelen dieselben Informationen verarbeitenden Schaltwerken, die schrittweise gesteuert werden. Die Erfindung besteht darin, dasz in jedem Kanal eine BUS-Leitung enthalten ist. An jede BUS-Leitung ist ein unabhaengig arbeitender Mikroprozessor, ein Schreib-Lese-Speicher, ein Festwertspeicher, ein Past-Memory-Baustein, eine Parallelausgabe- und eine Serielldatenausgabeschaltung angeschlossen. Die BUS-Leitungen sind durch eine fehlersichere Koordinierungseinheit miteinander verbunden, welche die Uebernahme und Ausgabe der Informationen steuert. Wahlweise sind parallele, serielle oder bereits gesicherte Informationen eingebbar. Wahlweise sind gesicherte parallele oder serielle Informationen ausgebbar. Lediglich die Koordinierungseinheit, die Vergleicher, die Takt- und Synchronisationseinheit und die bitparallele bzw. bitserielle Ausgabe in den Datenausgabeschaltungen sind sichere Bausteine. Jeder Mikroprozessor ist fuer sich unabhaengig gesteuert. Die Koordinierungseinheit gibt nach dem Eintreffen der Vergleichsergebnisse einen Befehl zur Abarbeitung des naechsten Programmschritts oder zur Wiederholung des Programmschritts oder zur Stillsetzung aus. Die Kanaele sind modular aufgebaut. Mehrere dieser Sicherheitsausgabeschaltungen sind zu einem Multiprozessingsystem verbindbar.The invention relates to a secure data processing device with at least two channels the same information processing derailleurs, which are controlled step by step. The invention is that a BUS line is included in each channel. Connected to each BUS line is an independently operating microprocessor, a random access memory, a read only memory, a past memory device, a parallel output and a serial data output circuit. The BUS lines are interconnected by a fail-safe coordination unit which controls the takeover and output of the information. Alternatively, parallel, serial or already saved information can be entered. Optionally, secured parallel or serial information can be output. Only the coordination unit, the comparators, the clock and synchronization unit and the bit-parallel or bit-serial output in the data output circuits are safe components. Each microprocessor is independently controlled. After the arrival of the comparison results, the coordination unit issues a command for processing the next program step or for repeating the program step or for stopping. The channels are modular. Several of these safety output circuits are connectable to a multi-processing system.

Description

Berlin, 3. 2. 1931 57 889 13Berlin, 3. 2. 1931 57 889 13

2.2 4 09 7-*-2.2 4 09 7 - * -

Sichere DatenverarbeitungseinrichtungSecure data processing device

Anwendungsgebiet der ErfindungField of application of the invention

Die Erfindung bezieht sich auf eine sichere Datenverarbeitungseinrichtung mit in mindestens zwei Kanälen dieselben Informationen verarbeitenden Schaltwerken, die schrittweise gesteuert werden·The invention relates to a secure data processing device with at least two channels processing the same information switching mechanisms, which are controlled stepwise ·

Bei der Steuerung von technischen Prozessen v/erden immer mehr 'elektronische Einrichtungen eingesetzt, insbesondere Prozeßrechner und Mikrocomputer·· Das geschieht auch auf so sicherheitsempfindlichen Gebieten wie z· B. der Eisenbahn-Sieherungstechnik, bei VerkehrsampelSteuerungen, Walzstraßensteuerwerken, Pressensteuerungen, Kernreaktorüberwachung usw· Dabei ist es besonders wichtig, daß keine Menschenleben gefährdet werden· In allen diesen Fällen ist daher das failsafe -Prinzip anzuwenden, d· h., daß auch bei Störungen oder Fehlern in den Steuerungswerken keine Signale abgegeben werden dürfen, die für Menschen oder Maschinen schädliche Folgen haben könnten.In the control of technical processes, more and more electronic devices are used, in particular process computers and microcomputers. This also occurs in areas sensitive to safety, such as railway engineering, traffic light controls, rolling mill control systems, press controls, nuclear reactor monitoring, etc. It is particularly important that no human lives are endangered. In all these cases, therefore, the failsafe principle is to be applied, ie that no signals may be emitted even in the event of faults or faults in the control mechanisms, which would be detrimental to humans or machines could have.

Charakteristik der bekannten technischen LösungenCharacteristic of the known technical solutions

Es ist schon eine Sicherheitsausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage unter Verwendung eines Verstärkers mit einem Ausgangsübertrager, dessen Sekundärwicklung über eine Gleichrichterschaltung einen Verbraucher mit fail-safe-Signalen versorgt, bekannt· Von einem Paar Datenleitungen, die gleichartige Binärsignale zweier durch eine gemeinsame Taktstromversorgung taktsynchron gesteuerter Mikrocomputer führen, ist jede der Daten-There is already a safety output circuit for a binary signal transmitting data processing system using an amplifier with an output transformer, the secondary winding via a rectifier circuit provides a consumer with fail-safe signals, known · of a pair of data lines, the same binary signals of two by a common clock power supply isochronously controlled Lead microcomputer, is each of the data

π pm in ο λ ..-Q i cc ! οπ pm in ο λ ..- Q i cc! ο

. 3. 2, 1981 , 3. 2, 1981

57 889 1357 889 13

2*5 / Π Q 72 * 5 / Π Q 7

leitungen an ein als Ausgabebaustein dienendes erstes Kipp-• glied angeschlossen, dessen Ausgang mit dem Rücksetzeingang eines zweiten Kippgliedes verbunden ist, für die beiden zweiten Kippglieder sind synchrone Taktpulse aus der Taktstromversorgung vorgesehen, ein Rücksetzeingang des einen bzw, anderen ersten Kippgliedes ist mit einem ein Grundstellungssignal abgebenden Ausgang der Taktstromversorgung verbunden, an den Ausgang des einen zweiten Kippgliedes und !λ an den negierten Ausgang des anderen zweiten Kippgliedes ist ein durch Testimpulse der Taktstromversorgung abfragbares Antivalenz-Überwachungsglied angeschlossen, das die Testimpulse sowohl bei statischen als auch bei dynamischen antivalenten Signalen zur Aufrechterhaltung der Taktstromversorgung ausgibt; der Verstärker ist an mindestens eines der beiden zweiten Kippglieder angeschlossen (DE-AS 2 651 314).connected to the reset input of a second flip-flop, for the two second flip-flops synchronous clock pulses from the clock power supply are provided, a reset input of the one or, other first flip-flop is with a At the output of the second flip-flop and! Λ to the negated output of the other second flip-flop is connected by a test pulses of the clock power supply antivalence monitoring member connected to the test pulses both static and dynamic antivalent signals for Maintaining the clock power supply outputs; the amplifier is connected to at least one of the two second flip-flops (DE-AS 2 651 314).

Diese Einrichtung hat jedoch den Nachteil, daß sich z. B.- Störungen in der Taktsteuerung auf beide Mikroprozessoren gleichmäßig auswirken«, Ebenso können sich systematische Fehler in den beiden aus gleichen Komponenten aufgebauten Kanälen gleichmäßig auswirken, so daß u..U. noch ein falscher Befehl ausgegeben v/erden kann.However, this device has the disadvantage that z. B.- disturbances in the clock control on both microprocessors evenly affect, "Likewise, systematic errors in the two built-up components of the same channels can evenly affect, so that u..U. another incorrect command can be issued.

Ziel der ErfindungObject of the invention

Ziel der Erfindung ist es, durch weitgehende Verwendung handelsüblicher Bauteile den Aufwand gering zu halten und die Nachteile des Standes der Technik zu vermeiden»The aim of the invention is to keep the effort low by extensive use of commercially available components and to avoid the disadvantages of the prior art.

3. 2. 1981 57 889 133. 2. 1981 57 889 13

-3- 2 2409 7-3- 2 2409 7

Darlegung des Wesens der Erfindung . ·Explanation of the essence of the invention . ·

Die Aufgabe der Erfindung besteht darin, eine sichere Datenverarbeitungseinrichtung zu schaffen, bei der alle Fehler, die nicht zufällig gleichzeitig und in der gleichen Art in jedem Kanal auftreten, erkannt werden können, so daß die Ausgabe eines falschen Befehls verhindert v/erden kann·The object of the invention is to provide a secure data processing device in which all errors which do not occur accidentally simultaneously and in the same manner in each channel can be detected so that the issuing of an incorrect command can be prevented.

Die erfindungsgemäße sichere Datenverarbeitungseinrichtung ist durch folgende Merkmale gekennzeichnet: In jedem Kanal ist eine BUS-Leitung enthalten, an jede BUS-Leitung ist ein unabhängig arbeitender Mikroprozessor, ein Schreiblesespeicher, ein Festwertspeicher und ein Pastmemorybaustein angeschlossen, an jede BUS-Leitung ist eine Paralleldatenausgabe- und eine Serielldatenausgabe— schaltung angeschlossen, die BUS-Leitungen sind durch eine fehlersichere Koordinierungseinheit miteinander verbunden, welche die Übernahme und Ausgabe der Informationen steuert. Es sind wahlweise parallele, serielle oder bereits gesicherte Informationen eingebbar und wahlweise gesicherte, parallele oder serielle Informationen ausgebbar· Lediglich die Koordinierungseinheit, die Vergleicher, die Takt- und Synchroni sat ions einheit und die bitparallele bzw. bitserielle Ausgabe in den Datenausgabeschaltungen sind sichere Bausteine· Jeder Mikroprozessor ist für sich unabhängig taktgesteuert· Die Koordinierungseinheit gibt nach dem Eintreffen der Vergleichsergebnisse einen Befehl zur Abarbeitung des nächsten Programmschrittes oder zur Wiederholung eines Programmschrittes oder zur Stillsetzung aus. Die Kanäle' sind modular aufgebaut· Mehrere dieser Sicherheitsausgabeschaltungen sind zu einem Hulitprocessingsystem verbindbar·The secure data processing device according to the invention is characterized by the following features: a BUS line is contained in each channel, to each BUS line an independently operating microprocessor, a read-write memory, a read-only memory and a Pastmemorybaustein is connected to each BUS line is a parallel data output and a serial data output circuit connected, the BUS lines are interconnected by a fail-safe coordination unit, which controls the transfer and output of the information. Optionally, parallel, serial or already secured information can be entered and optionally saved, parallel or serial information can be output. Only the coordination unit, the comparators, the clock and synchronization units and the bit-parallel or bit-serial output in the data output circuits are safe components. Each microprocessor is independently clock-controlled · The coordination unit outputs after the arrival of the comparison results a command for processing the next program step or for repeating a program step or for stopping. The channels' are modular · Several of these safety output circuits can be connected to a Hulitprocessingsystem ·

3. 2. 1981 57 839 133. 2. 1981 57 839 13

-4 - 22409 7-4 - 22409 7

Ausführungsbeispiel A exemplary embodiment

Die Erfindung wird im folgenden anhand eines Ausführungsbeispiels näher erläutert. In dem in der Zeichnung dargestellten Ausführungsbeispiel besteht die Einrichtung nach der Erfindung aus 2 Kanälen, jedoch können aus Sicherheitsgründen auch 3 oder mehr Kanäle vorgesehen v/erden. Ebenso ist es möglich, eine solche Einrichtung mit einer weiteren oder mehreren zu einem liultiprocessingsystem zu verbinden.The invention will be explained in more detail below with reference to an embodiment. In the embodiment shown in the drawing, the device according to the invention consists of 2 channels, however, 3 or more channels can be provided for safety reasons v / ground. It is also possible to connect such a device with another or more to a liultiprocessingsystem.

Bei diesem Ausführungsbeispiel sind 2 Kanäle I und II in ihrer Struktur vollkommen gleich aufgebaut, können aber hardwaremäßig verschieden sein, so daß es ausreicht, nur einen Kanal zu beschreiben. An einem BUS liegen eine digitale Eingabeschaltung DEP, in v/elche die Informationen bitparallel eingespeist werden, oder eine digitale Eingabeschaltung DES, in welche die Information bitseriell eingespeist wird, oder eine sichere. Eingabeschaltung SIE, in v/elche die Information bereits in gesicherter Porin eingespeist wird (diese ist offenbart in der Patentanmeldung P 2 402 880).In this embodiment, 2 channels I and II are constructed in their structure completely the same, but may be different in hardware, so that it is sufficient to describe only one channel. A digital input circuit DEP, in which the information is fed in parallel to the bit, or a digital input circuit DES, in which the information is bit-fed, or a secure input, are located on a BUS. Input circuit SIE, in which the information is already fed in secured porin (this is disclosed in patent application P 2 402 880).

Als digitale Eingabeschaltung dient zunächst die Eingabeschaltung DEP für bitparalleles Einlesen. Ein z. B. 8 bit breites Datenwort wird über Opto-Koppier getrennt in einen Zwischenspeicher PIPO eingelesen. Ein Zwischenspeicher PIPO auf der Eingabeschaltung DEP ist ein Bauelement, mit dem Eingangsdaten und Ausgangsdaten voneinander entkoppelt v/erden können. Das bedeutet, daß man gleichzeitig Daten auslesen kann, während Daten in dieses Bauelement eingelesen werden«. Dabei werden zunächst die Daten wieder ausgelesen, die zuerst eingelesen worden sind.The input circuit DEP for bit-parallel reading is initially used as the digital input circuit. A z. B. 8-bit wide data word is read separately via Opto-Koppier in a buffer PIPO. A buffer PIPO on the input circuit DEP is a device with which input data and output data can be decoupled from each other. This means that one can simultaneously read data while data is being read into that device. " First, the data that was read in first is read out again.

3. 2. 1981 57 889 133. 2. 1981 57 889 13

- 5 - 2 2409 7- 5 - 2 2409 7

Eine v/eitere Eingabeschaltung DES ist eine' bitserielle Eingabe schaltung· Auch hier wird die Eingabeinformation zunächst über Opto-Koppler galvanisch getrennt und anschließend in einen Serien-Parallelunsetzer SPU zwischengespeichert«. Das Ergebnis aus dem Serienparallelumsetzer wird nach Beendigung des Einschreibvorganges in einen Zwischenspeicher ZSP übernommen und steht dann dem Prozeß zur Verfugung«A v / eitere input circuit DES is a 'bit serial input circuit · Again, the input information is first galvanically separated via opto-coupler and then cached in a series-parallel tuner SPU «. The result from the series-parallel converter is transferred to a buffer ZSP after completion of the write-in process and is then available to the process. "

Die bitparallelen bzw, bitseriellen Eingaben DEP, DES sind doppelt aufgebaut, und sie müssen auch doppelt vom Prozeß angesteuert werden. Hur dadurch ist es möglich, daß man Leitungsunterbrechungen bzw. EMC-Störungen erkennen kann, die dann zu keinem felschen Ergebnis führen können.The bit-parallel or bit-serial inputs DEP, DES have a double structure and must also be controlled twice by the process. Hur thereby it is possible that one can detect line interruptions or EMC disturbances, which can then lead to no felschen result.

Die dritte Eingabeschaltung ist eine aus Eestbauelementen aufgebaute Gruppe, die sichere Eingabeschaltung SIE« Hier können sichere Kontakte, Relais- oder Steuerkontakte angeschlossen werden.The third input circuit is a group of Eestbauelementen group, the safe input circuit SIE «Here safe contacts, relay or control contacts are connected.

Die Eingänge werden auf Antivalenz oder Yalenz überprüft und rückkopplungsfrei auf beide BUSSE verteilt. Die Eingabedaten werden entweder zyklisch eingegeben, per Programm gesteuert, oder es wird für eine kurze Zeit ein interrupt zugelassen, so daß auch spontane Eingaben erfaßt werden können.The inputs are checked for antivalence or Yaliness and distributed to both BUSES without feedback. The input data is entered either cyclically, controlled by the program, or an interrupt is allowed for a short time, so that spontaneous inputs can also be detected.

An den BUS ist ferner angeschlossen ein Mikroprozessor MP, ein Schreib~/Lesespeicher SPG, ein Pestwertspeicher SPF, ein Pastmemorybaustein PIIS, eine digitale Ausgabeschaltung DAP, über welche die Ausgabe eines Befehls bitparallel erfolgt, und eine digitale Ausgabeschaltung DAS, über welche die Ausgabe eines Befehls bitseriell erfolgt. Die bisherThe BUS is further connected to a microprocessor MP, a read / write memory SPG, a Pestwertspeicher SPF, a Pastmemorybaustein PIIS, a digital output circuit DAP, over which the output of an instruction is bit parallel, and a digital output circuit DAS, via which the output of a Command bit serial. The so far

3. 2. 1981 57 889 133. 2. 1981 57 889 13

224097224097

genannten Bausteine sind bis auf die sichere Eingabeschaltung SIE handelsübliche Erzeugnisse und nicht in sich fehlergeschützt.mentioned building blocks are up to the safe input circuit YOU commercial products and not in error-proof.

Die Koordinierung des Verarbeitungsablaufes und die Sicherung der ausgegebenen Informationen erfolgt durch eine Koordinierungseinheit ΚΟΞ, die in sich fehlergeschützt ist, sov/ie durch sichere Vergleicherbaugruppen VBP, VBS. In sich fehlergeschützt sind auch eine Ausgabe LAP in der bitparallelen Ausgabeschaltung sowie eine Takt- und Synchronisationsbaugruppe TSY und eine Ausgabe LAS in der digitalen Ausgabeschaltung für serielle Befehle,The coordination of the processing sequence and the backup of the output information is carried out by a coordination unit ΚΟΞ, which is error-proof in itself, ie by safe comparator modules VBP, VBS. In error-proof are also an output LAP in the bit-parallel output circuit and a clock and synchronization module TSY and an output LAS in the digital output circuit for serial commands,

Beide Mikroprozessoren arbeiten mit eigenen Taktversor— gungen und Werden von ihrem Takt her nicht zwangssynchronisiert· Das führt dazu, daß keine EMC-Störungen zu gleich- I zeitigen Verfälschungen führen können, die nicht im Vergleich erkannt v/erden. Die Singabeinforciationen können auch %_ von einer Quelle kommen,, Allerdings muß die Verbindung I immer zweiseitig ausgeführt werden, um Leitungsunterbre- f chungen oder -Schlüsse oder Störeinstrahlungen zu regi- f strieren und festzustellen« f-Both microprocessors work with our own Taktversor- conditions and are not necessarily synchronized its clock ago · The result is that no EMC disturbances at the same time I can cause distortions that are not recognized in comparison v / ground. The Singabeinforciationen may come from a source and% _ ,, However, the connection I must always be carried out on two sides to strieren and determine wire cuts f tions or -Schlüsse or EMI to REGI f "f-

Zu den Prozessoren MP I, HP II gehören die Speicherkompo- |^: To the processors MP I, HP II belong the storage compo- | ^:

nenten_ywie Festwertspeicher SPP I, SPP II und Schreib-/ | _y components such as read-only memory SPP I, II and SPP read / |

Lesespeicher SPGI, SPC II. Die Prozessoren sind galvanisch !Read-only memory SPGI, SPC II. The processors are galvanic!

getrennt und haben keine Verkopplung untereinander. I;separated and have no coupling with each other. I;

* V.* V.

.. ' I .. 'I

Die Steuerung bzw* die Übernahme der Kontaktinformationen IThe control and / or the acceptance of the contact information I

wird von der Koordinierungseinheit KOS gesteuert. Sie hat l· is controlled by the coordination unit KOS. It has 1

die Aufgabe, die Programmgeschwindigkeit beider Prozessoren I the task, the program speed of both processors I

auf gleiche Zeitabschnitte zu bringen, weiterhin die digi- *jto bring equal periods of time, the digi- * continue

talen Eingaben DESY zu synchronisieren, damit beide Rechner Ito synchronize input from DESY, so that both computers I

zur gleichen Zeit identische Informationen bekommen,und die =^: get identical information at the same time, and the = ^:

3. 2. 1981 ' 57 889 133. 2. 1981 '57 889 13

- 7 - 2 24 09 7- 7 - 2 24 09 7

digitale Ausgabe DASY zu steuern, damit an den Vergleichern VBP, VBS, sei es nun bitparallel oder bitseriell, zu jeder Zeit identische Informationen anstehen.control digital output DASY, so that at the comparators VBP, VBS, whether bit-parallel or bit-serial, at any time identical information pending.

Ein Programm wird in viele Einzelsegmente aufgeteilt. Wach jedem kurzen Programmabschnitt findet ein Vergleich statt, d. h., der Prozessor gibt die Vorgaben an irgendeine Ausgabeeinheit und meldet sich im Anschluß daran bei der Koordinierungseinheit, daß Daten zur Verfugung stehen. Ist der zweite Prozessor in dieser Zeit noch nicht mit seiner Ausgabe fertig, wird der erste Prozessor angehalten, und er muß so lange warten, bis auch der zweite Prozessor mit seiner Ausgabe fertig ist. Durch diese Maßnahme kann man eine Zwangssynchronisierung beider Prozessoren erreichen.A program is divided into many individual segments. Watch every short part of the program, a comparison takes place, d. h., The processor gives the specifications to any output unit and then reports to the coordinating unit that data is available. If the second processor is not yet ready for output at this time, the first processor is halted and it must wait until the second processor is done with its output. By this measure one can achieve a forced synchronization of both processors.

Weiterhin wird auch durch ein Zeitglied in der Koordinierungseinheit überprüft, ob sich beide Prozessoren in bestimmten Zeitabständen bei der Koordinierungseinheit melden. Ist dieser Abstand zu groß, so werden beide Prozessoren angehalten, und eine Fehlermeldung wird ausgegeben.Furthermore, a timer in the coordination unit also checks whether both processors report to the coordination unit at specific time intervals. If this distance is too large, both processors are stopped and an error message is output.

Yfenn ein Mikroprozessor bzw. beide Mikroprozessoren ihre Daten an eine digitale Ausgabebaugruppe abgegeben und sich beide bei der Koordinierungseinheit gemeldet haben, initialisiert die Koordinierungseinheit einen Impuls, der das Ergebnis des Ladens in ein zweites Register übernimmt. Durch diese Übernahme der Daten synchron in beide Speicher an beiden BUSSEN stehen an den Vergleichern immer gleiche identische Informationen an. Die Prozessoren können den nächsten Programmschritt ohne weiteren Befehl abarbeiten. Tritt ein Fehlerfall auf, so werden nur die fehlerhaften Informationen unterbunden. Diese Aussage trifft nur auf die bitparallelen Ausgaben zu, nicht für die bitseriellen, denn hier wird das gesamte Telegramm bei einem Fehlerfall unterbunden.If a microprocessor or both microprocessors have given their data to a digital output module and both have reported to the coordinating unit, the coordination unit initializes a pulse that takes over the result of loading into a second register. Through this acquisition of the data synchronously in both memories at both BUSSEN are at the comparators always the same identical information. The processors can execute the next program step without further command. If an error occurs, only the incorrect information is suppressed. This statement applies only to the bit-parallel outputs, not to the bit-serial ones, because here the entire telegram is suppressed in case of an error.

3· 2. 1981 57 889 133 · 2. 1981 57 889 13

Das System zeichnet sich dadurch aus, daß beide Prozessoren gleichartig oder verschiedenartig sein können,-Weiterhin besteht die Möglichkeit, daß in beiden Prozessoren sowohl identische Software-Programme ablaufen können wie auch unterschiedliche Software-Programme oder aber, daß zwei unterschiedliche Software-Programme nacheinander in einem Prozessor verarbeitet v/erden können.The system is characterized by the fact that both processors can be the same or different. Furthermore, there is the possibility that identical software programs can run in both processors as well as different software programs or that two different software programs can run one after the other can be processed by a processor.

Es ist auch möglich, das System auf ein m- und n-System aufzuweiten, um neben der Sicherheit noch eine Erhöhung der Verfügbarkeit zu erzielen.It is also possible to expand the system to an M and N system to increase availability in addition to security.

Als Ausgabebaugruppen stehen zwei Elemente zur Verfügung. Zunächst die parallele Ausgabeschaltung DAP: Hier wird das 8 bit breite Datenv/ort in einen Speicher eingelesen. Das Ergebnis wird in einen zweiten Zwischenspeicher übernommen, gesteuert von der Koordinierungseinheit,The output modules have two elements. First, the parallel output circuit DAP: Here, the 8-bit wide Datenv / ort is read into a memory. The result is transferred to a second buffer, controlled by the coordination unit,

Außerdem existiert noch eine digitale Ausgabeschaltung DAS für serielle Informationen. Diese 'Serielle Ausgabegruppe besteht aus einem Parallelregister, das von dem Prozessor entsprechend der Telegramm- oder bit-Länge geladen wird. Ist das Register komplett geladen, wird die Information in ein zweites Registo? mit Hilfe der Koordinierungseinheit übernommen.There is also a digital output circuit DAS for serial information. This 'serial output group' consists of a parallel register which is loaded by the processor according to the telegram or bit length. Is the register completely loaded, is the information in a second tab? adopted with the help of the coordination unit.

Die Ausgänge der digitalen Ausgabeschaltungen DAP, DAS v/er-' den auf Vergleicher VBP, VBS geführt. Dort.wird die Information beider Ausgänge überprüft,* Das Ergebnis -wird einerseits an die Ausgabegruppe LAP durchgeschaltet, die aus LOGISAI¹E" Bausteinen besteht.The outputs of the digital output circuits DAP, DAS v / led to comparator VBP, VBS. There, the information of both outputs is checked. * The result is switched on the one hand to the output group LAP, which consists of LOGISAI ¹ E "blocks.

3. 2. 1981 57 889 133. 2. 1981 57 889 13

- 9- 2 24 097- 9- 2 24 097

Bei der seriellen Ausgabegruppe wird das serielle Wort bit für bit verglichen. Das Austakten dieses Wortes übernimmt eine Baugruppe Takt bzw. die- Synchronisation TSY, die die Übertragungsrate des seriellen Datenwortes bestimmt. Die Dateninfonnation wird über eine gesicherte Ausgabe LAS aus LOGISAFE-Bausteinen fortgeschaltet.The serial output group compares the serial word bit by bit. The clocking of this word takes over a module clock or the synchronization TSY, which determines the transmission rate of the serial data word. The data information is forwarded via a secure output LAS from LOGISAFE blocks.

Der Ausgang der gesicherten Baugruppe LAS wird zur sicheren .} Fernübertragung benutzt* Die Ausgänge der gesicherten Baugruppe LAP für ein 8 bit breites paralleles Wort können über gesicherte Verstärker Relais oder Stellglieder ansteuern.The output of the protected LAS module is used for secure remote transmission. * The outputs of the protected LAP module for an 8-bit parallel word can control relays or actuators via secured amplifiers.

Das ganze System ist modular aufgebaut. Die Koordinierungseinheit muß nur einmal vorhanden sein. Pur den Service und für das Aufsuchen von Fehlern ist ein Pastmemory PlCE vorgesehen. Darin werden bei Auftreten eines Fehlers die letzten 256 bits der Programmverarbeitung festgehalten. Es werden sowohl Daten als auch Adressen und auch einige wichtige Kontroll-*eitungen gespeichert. Diese Baugruppe ist für Jeden Prozessor getrennt vorhanden, so daß man die Ungleichheit der Informationen, also einen Fehler, leicht orten kann.The whole system is modular. The coordination unit only needs to be present once. For the service and for finding errors a Pastmemory PlCE is provided. Therein, if an error occurs, the last 256 bits of the program processing are recorded. It stores both data and addresses as well as some important controls. This assembly is separate for each processor, so that one can easily locate the inequality of information, so an error.

Claims

1· Sichere Datenverarbeitungseinrichtung mit in mindestens zwei Kanälen dieselben Informationen verarbeitenden Schaltwerken, die schrittweise gesteuert werden, gekennzeichnet durch folgende Merkmale: . ; In jedem Kanal ist eine BUS-Leitung (BUS I, BUS II) enthalten, an jede BUS-Leitung (BUS I, BUS II).ist ein unabhängig arbeitender Mikroprozessor (MPI, MP II), ein Schreiblesespeicher (SPCI₅ SPG II), ein Pestwertspeicher (SPP I, SPP II) und ein Pastineinorybaustein (PLIS I, PMS II) angeschlossen, an jede BUS-Leitung (BUS I, BUS II) ist eine Paralleldatenausgabe- (DAP I, DAP II, VBP, LAP) und eine Serielldatenausgabeschaltung (DAS I, DAS II, TSY, ¹TBS, LAS) angeschlossen, die BUS-Leitungen (BUS I, BUS II) sind durch eine fehlersichere Koordinierungseinheit (KOE) miteinander verbunden, welche die Übernahme und Ausgabe der Informationen steuert.Secure data processing device with switching circuits that process the same information in at least two channels and are controlled step by step, characterized by the following features:. ; In each channel a BUS line (BUS I, BUS II) is included, to each BUS line (BUS I, BUS II). Is an independently operating microprocessor (MPI, MP II), a read-write memory (SPCI ₅ SPG II) , a Pestwertspeicher (SPP I, SPP II) and a Pastineinorybaustein (PLIS I, PMS II) connected to each BUS line (BUS I, BUS II) is a parallel data output (DAP I, DAP II, VBP, LAP) and a serial data output circuit (DAS I, DAS II, TSY, ¹ TBS, LAS) connected, the BUS lines (BUS I, BUS II) are interconnected by a fail-safe coordination unit (KOE), which controls the acquisition and output of the information.

2. Sichere Datenverarbeitungseinrichtung nach Punkt 1, gekennzeichnet dadurch, daß γ/ahlweise parallele, serielle oder bereits gesicherte Informationen eingebbar sind,2. Secure data processing device according to item 1, characterized in that γ /hlahlweise parallel, serial or already backed up information can be entered,

3. 2. 1981 57 839 133. 2. 1981 57 839 13

- 11 - 2 2 A 09 7- 11 - 2 2 A 09 7

3· Sichere Datenverarbeitungseinrichtung nach den Punkten 1 und 2, gekennzeichnet dadurch, daß wahlweise gesicherte, parallele oder serielle Informationen ausgebbar sind«, _: 3 · Secure data processing unit according to the points 1 and 2, characterized in that optionally secured, parallel or serial information can be output, _":

3. 2. 1981 57 889 13 3. 2. 1981 57 889 13

- ίο - 2 2 409 7- ίο - 2 2 409 7

Erfindungsanspruchinvention claim

4, Sichere Datenverarbeitungseinrichtung nach den Punkten 1 bis 3, gekennzeichnet dadurch, daß lediglich die Koordinierung s einheit (KOS), die Vergleicher (VBP,'VBS), die Takt- und Synchronisationseinheit (SSY) und die bitparallele bzw, bitserielle Ausgabe (LAP, LAS) in. den Datenausgabeschaltungen sichere Bausteine sind.4, Secure data processing device according to the points 1 to 3, characterized in that only the coordination s unit (KOS), the comparator (VBP, 'VBS), the clock and synchronization unit (SSY) and the bit-parallel or bit serial output (LAP , LAS) in. The data output circuits are safe blocks.

5# Sichere Datenverarbeitimgseinrichtung nach den Punkten 1 bis 4, gekennzeichnet dadurch, daß jeder Mikroprozessor (MP I, MP II) für sich unabhängig taktgesteuert ist»5 # Secure data processing equipment according to items 1 to 4, characterized in that each microprocessor (MP I, MP II) is independently clock-controlled by itself »

6» Sichere Datenverarbeitungseinrichtung nach den Punkten 1 bis 5, gekennzeichnet dadurch, daß die Koordinierungseinheit (KOE) nach dem Eintreffen der Vergleichsergebnisse einen Befehl zur Abarbeitung des nächsten Programmschrittes oder zur Wiederholung eines Programmschrittes oder zur Stiirsetzung ausgibt.6 »Secure data processing device according to the points 1 to 5, characterized in that the coordination unit (KOE) after the arrival of the comparison results issued a command for processing the next program step or for repeating a program step or Stiirsetzung.

7· Sichere Datenverarbeitungseinrichtung nach den Punkten 1 bis 6, gekennzeichnet dadurch, daß die Kanäle modular aufgebaut sind.7 · Secure data processing device according to points 1 to 6, characterized in that the channels are modular.

8, Sichere Datenverarbeitungseinrichtung nach den Punkten 1 bis 7, gekennzeichnet dadurch, daß mehrere dieser Sicherheitsausgabeschaltungen zu einem Multiprocessingsystem verbindbar sind.8, Secure data processing device according to the items 1 to 7, characterized in that a plurality of these safety output circuits are connectable to a multiprocessing system.

Hierzu 1 Seite ZeichnungenFor this 1 page drawings