DE19543817C2 - Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur - Google Patents

Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Info

Publication number
DE19543817C2
DE19543817C2 DE1995143817 DE19543817A DE19543817C2 DE 19543817 C2 DE19543817 C2 DE 19543817C2 DE 1995143817 DE1995143817 DE 1995143817 DE 19543817 A DE19543817 A DE 19543817A DE 19543817 C2 DE19543817 C2 DE 19543817C2
Authority
DE
Germany
Prior art keywords
data
computer
comparator
channel
evaluator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE1995143817
Other languages
English (en)
Other versions
DE19543817A1 (de
Inventor
Rolf Knop
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KNOP, ROLF, 84107 WEIHMICHL, DE
Original Assignee
Magnetbahn GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Magnetbahn GmbH filed Critical Magnetbahn GmbH
Priority to DE1995143817 priority Critical patent/DE19543817C2/de
Publication of DE19543817A1 publication Critical patent/DE19543817A1/de
Application granted granted Critical
Publication of DE19543817C2 publication Critical patent/DE19543817C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1691Temporal synchronisation or re-synchronisation of redundant processing components using a quantum
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung bezieht sich auf ein Verfahren und eine Anordnung zum Prüfen und Überwa­ chen der sicheren Arbeitsweise eines Rechnersystems mit wenigstens zweier Datenverarbei­ tungsanlagen als Rechnerkanäle, die je über einen externen Bus verfügen und parallel auf einen Prozeß mit hohen sicherheitstechnischen Anforderungen einwirken.
Weiterhin betrifft die Erfindung die Anwendung des Verfahrens und der Anordnung in sicher­ heitsrelevanten mehrkanaligen Datenverarbeitungssystemen.
Bei einer Reihe von sicherheitsrelevanten technischen Prozessen werden zum Steuern und/oder Regeln zwei oder mehr als zwei Datenverarbeitunseinrichtungen, welche als Rechnerkanäle bezeichnet werden, in einem Datenverarbeitungssystem eingesetzt. Im allgemeinen arbeitet ein Datenverarbeitungssystem nach dem 2-aus2-Prinzip oder 2-aus3-Prinzip.
Aus Gründen der Verfügbarkeit werden die am Prozeß betriebenen Datenverarbeitungssysteme häufig redundant ausgeführt. Ein Datenverarbeitungssystem arbeitet dann aktiv am Prozeß während das redundante System oder mindestens ein dritter Rechnerkanal parallel zugeschaltet ist, jedoch nicht aktiv in den Prozeß eingreifen kann.
Nach dem zwei-aus-zwei-Prinzip arbeitet ein Rechnersystem mit zwei Rechnerkanälen parallel am Prozeß. Beide Rechnerkanäle sind gleichwertig aktiv an den Prozeß angeschaltet. Zwischen den beiden Rechnerkanälen muß Datengleichheit der Prozeßdaten, Gleichheit der Prozeßda­ tenausgabe und bei den Eingabedaten während des Programmlaufes bestehen.
Die richtige Funktionsweise der Rechnerkanäle wird durch Datenvergleich zwischen den Rechnerkanälen, im Zusammenhang mit internen Prüf- und Testläufen, vor und während des Betriebes, in vorgegebenen Zeitabständen überwacht. Aus Gründen der Verfügbarkeit wird im allgemeinen ein redundantes Rechnersystem bereitgehalten, welches im Fehlerfalle möglichst unverzüglich die Prozeßführung übernehmen kann.
Nach dem zwei-aus-drei-Prinzip arbeitet ein Rechnersystem mit drei Rechnerkanälen am Pro­ zeß. Alle drei Kanäle sind parallel mit dem Prozeß verbunden. Zwei der Rechnerkanäle sind am Prozeß aktiv geschaltet, der dritte Kanal arbeitet mit, gibt jedoch keine Prozeßdaten aus, das heißt, der dritte Kanal kann den Prozeßablauf nicht beeinflussen.
Die richtige Funktionsweise der drei Rechnerkanäle wird durch Datenvergleich zwischen den drei Rechnerkanälen im Zusammenhang mit internen Prüfungen und Testläufen, vor und während des Betriebes in vorgegebenen Zeitabständen überwacht. Fällt einer der beiden prozeßführenden Rechnerkanäle aus, so wird dieser abgeschaltet, und der dritte Rechnerkanal übernimmt seine Aufgaben.
Aus dem Buch "Fehlertolerante Mikrocomputersysteme" von I. Nikolaizik und andere, 1. Auflage, Verlag Technik Berlin, 1990, Seiten 9, 23-37, 73-88, 166, 167 und der DE 27 25 922 C2 sind Verfahren zum Prüfen und Überwachen der sicheren Arbeitsweise von Datenverarbeitungssystemen mit wenigstens zwei Datenverarbeitungsanlagen bekannt, wobei eine Überwachung der Rechnerkanäle durch Datenvergleich nach sicherheitstechnischen Anforderungen zwischen den Rechnerkanälen erfolgt.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Anordnung mit ihrer Anwendung bereitzustellen, welche eine optimiertere Überwachung bei einem geringeren als im Stand der Technik angegebenen Aufwand gewährleisten.
Das Verfahren soll eine Optimierung/Reduzierung der Software für interne Testläufe und Funktionsprüfungen ermöglichen und dadurch die Rechnerleistung für die Prozeßbearbeitung erhöhen. Die Anordnung soll als Standardbaugruppe im mehrkanaligen Rechnersystem mit externen Bussystemen und unterschiedlichen Hardware und Softwarestrukturen einsetzbar sein.
Die Aufgabe wird für das Verfahren durch die Merkmale des kennzeichnenden Teils des Patentanspruchs 1 im Zusammenhang mit dem Oberbegriff gelöst. Für die Anordnung wird die Aufgabe durch die Merkmale des Patentanspruchs 14 gelöst.
Das Prinzip der Erfindung besteht darin, aus zwei oder mehr als zwei Rechnerkanälen eines sicheren Rechnersystems Vergleichsdaten aufzunehmen und diese nach den Anforderungen der Sicherheitstechnik auf Datengleichheit auszuwerten.
Zusätzlich wird die Zyklusgleichheit der Programmzyklen zwischen den Rechnerkanälen und der Synchronlauf der Hardware innerhalb eines Zeitfensters der Rechnerkanäle erfaßt und ausgewertet.
Unterschiedliche Ergebnisse im Datenvergleich, in der Zyklusauswertung oder mangelnder Synchronlauf der Hardware zwischen den Rechnerkanälen werden als Fehler interpretiert und führen beim 2-aus 2-Rechnersystem zur Abschaltung des Rechnersystems, bei gleichzeitiger Generierung von Steuersignalen für die Umschaltung auf ein redundantes Rechnersystem.
Bei 2-aus 3-Rechnersystemen wird der fehlerhafte Rechnerkanal abgeschaltet, bei gleichzeitiger Generierung von Steuersignalen für die Prozeßumschaltung auf den dritten Rechnerkanal des Rechnersystems.
Der Aufbau der Anordnung läßt den mehrkanaligen Betrieb an den Bussystemen der Rechnerkanäle zu. Die Rechnerkanäle selbst können dabei unterschiedliche Hardwarestrukturen aufweisen.
Zur Erfüllung der Sicherheitsforderungen wird die richtige und fehlerfreie Funktionsweise der Anordnung überwacht. Fehlfunktionen werden erkannt und führen zur Abschaltung des Rechnersystems.
Die erfindungsgemäße Anordnung für den Datenvergleich mit Vergleichsauswertung ist mehrkanalig aufgebaut und enthält Prüfschaltungen für die Anwendung in Rechnersystemen, welche nach dem zwei-aus-zwei-Prinzip oder zwei-aus-drei-Prinzip arbeiten.
Die mehrkanalige Anordnung in ihrer Gesamtheit ist ein sicherer Hardware-Datenauswerter. Die erfindungsgemäßige Lösung sieht in der Anwendung Rechnerbaugruppen mit Busanschluß und Potentialtrennung für den Datenvergleich mit Auswertung und Funktionsprüfungen als Ein-/Ausgabebaugruppen der Rechnerkanäle in zwei-aus-zwei-Rechnersystemen oder zwei-aus-drei Rechnersystemen und eine gemeinsame mehrkanalige Baugruppe für die Prozeßanschaltung mit Erzeugung von Umschaltsignalen für die Redundanzumschaltung und Kontrollsignalen vor.
Der sichere Hardware-Datenauswerter besteht vorzugsweise aus den Baugruppen
  • - Datenvergleicher/Auswerter als Ein/Ausgabebaugruppen der Rechnerkanäle
  • - Abschalteinheit als gemeinsame Baugruppe, angesteuert von den Datenvergleicher/Auswerter-Baugruppen der Rechnerkanäle
Über Testfunktionen findet eine Fehlerüberwachung statt.
Durch die Schaltfunktionen wird die Anschaltung der Prozeßspannungen für die Versorgung der parallelen Datenausgaben, die Erzeugung von Kontrollsignalen für die Anschaltung redundanter Systeme oder Rechnerkanäle und die Erzeugung von Überwachungssignalen ermöglicht.
Nachfolgend wird der erfindungsmäßige prinzipielle Aufbau und die Anwendung des sicheren Hardware-Datenauswerters anhand der Zeichnung beschrieben.
Es zeigen:
Fig. 1 Eine zweikanalige Anordnung für Hardware-Daten, der zu den Rechnerkanälen gehörenden Vergleicher/Auswerter Baugruppen mit Datenübertragung der Vergleichsdaten zwischen den Baugruppen und die Ansteuerung der Abschalteinheit,
Fig. 2 ein Blockschaltbild zur Erläuterung der Arbeitsweise der Vergleicher/Auswerter Baugruppe,
Fig. 3 die Abschalteinheit im zweikanaligen Aufbau,
Fig. 4 Funktionale Zusammenhänge der Abschalteinheit im Detail,
Fig. 5 Anwendung des Hardware-Datenauswerters in Rechnersystemen nach dem zwei- aus-zwei-Prinzip,
Fig. 6 Anwendung des Hardware-Datenauswerters im Rechnersystem nach dem zwei-aus- drei-Prinzip.
Der Hardware-Datenauswerter ist zweikanalig aufgebaut. In einem zwei-aus-zwei- Rechnersystem ist jedem Rechnerkanal eine Vergleicher-/Auswerter-Baugruppe zugeordnet (Fig. 05). Zwei-aus-drei-Rechnersysteme benötigen zur Aufrechterhaltung der Zweikanaligkeit je Rechnerkanal zwei Hardware-Datenauswerter (Fig. 06).
Die Datenvergleicher/Auswerter-Baugruppen sind über das externe Bussystem mit der CPU-Baugruppe des zugehörigen Rechnerkanals verbunden (Fig. 01).
Die Baugruppen arbeiten aus der Sicht der CPU-Baugruppe des jeweiligen Rechnerkanals als Ein-/Ausgabe Baugruppe mit einem 16 Bit Datenbus und 16 Bit Adressenbus plus Steuersignale. Zwischen dem jeweiligen Rechnerkanal und dem Kern der Datenvergleicher/Auswerter-Baugruppe besteht eine Potentialtrennung, ebenso ist zwischen den Vergleicherbaugruppen des Rechnersystems zur Aufrechterhaltung der Kanalunabhängigkeit das Potential getrennt. Jede Baugruppe verfügt über eine eigenständige Stromversorgung mit 2 k-Volt Trennung zum Netz. Die Stromversorgung selbst wird nicht näher beschrieben.
Die Aufgabe der Datenvergleicher-/Auswerter-Baugruppe ist:
  • a) Datensteuerung über das Rechnerkanal-Bussystem
  • b) Der Datenvergleich zwischen den Rechnerkanälen mit Ergebnisauswertung
  • c) Hardware Synchronlaufüberwachung der Rechnerkanäle mit Ergebnisauswertung
  • d) Programmzyklusvergleich der Datenvergleichszyklen zwischen den Kanälen mit Ergebnisauswertung
  • e) Dateneingabe für den Gleichlaufstand der Rechnerkanäle
  • f) Fehlerüberwachung und Testfunktion
  • g) Resetfunktion
Im Fehlerfall werden mehrkanalige Abschaltsignale erzeugt. Diese werden der Abschalteinheit zugeführt und führen dort zur Abschaltung der Prozeßspannung für die Datenausgaben der Rechnerkanäle.
Die Aufgabe der Abschalteinheit ist:
  • - An-/Abschaltung der Prozeßspannungen der Rechnerkanäle
  • - Generierung von Kontrollsignalen für die Überwachung der Abschalteinheit
  • - Generierung von Kontrollsignalen für die Anschaltung redundanter Rechnersysteme.
Die Funktionsfähigkeit der Datenvergleicher-/Auswerter-Baugruppe wird, durch von der CPU-Baugruppe gesteuerten Testfunktionen, überwacht.
Die Anordnung zur Prüfung und Überwachung der Funktionsfähigkeit mindestens zweier Rechnerkanäle eines mehrkanaligen Rechnersystemes ist in der Funktionsweise zweikanalig aufgebaut. Fig. 1 zeigt das Prinzip der Verschaltung der Anordnung.
Jedem Rechnerkanal ist eine Datenvergleicher/Auswerter-Baugruppe mit Busanschluß 1, 2 zugeordnet (Vergleicher/Auswerter-Baugruppe 3, Kanal 1), (Vergleicher/Auswerter- Baugruppe 4, Kanal 2). Zwischen den Baugruppen 3, 4 der Rechnerkanäle besteht eine Datenkopplung 5, 6 mit Potentialtrennung für die Übertragung der Vergleichsdaten zwischen Rechnerkanälen. Es werden jeweils die höherwertigen Daten des Rechnerkanals 37 über den angeschlossenen Datenvergleicher/Auswerter für den Datenvergleich mit dem zweiten Kanal übertragen.
Die Abschalteinheit ist zweikanalig aufgebaut. Zu jedem Rechnerkanal gehört eine Baugruppe 8/9. Sie empfängt die Abschaltsignale a und b zweikanalig 68 über Potentialtrennungen als Steuersignale von den Datenvergleicher/Auswerter-Baugruppen 3, 4 der beiden Rechnerkanäle.
Es werden die Prozeßspannung 80, 81 der parallelen Ausgaben bei der Rechnerkanäle in den aktiven Zustand durch zwangsgeführte Relais 91/93 (Fig. 03) geschaltet. Der Schaltzustand wird von den Rechnerkanälen durch Auswertung der Überwachungssignale RM 1/2 10/11 überwacht. Die Signale (Redundanz Ein 1 und 2) 88, 89 werden für die Redundanz­ umschaltung auf ein anderes Rechnersystem verwendet. Die Schalter (S1) oder (S2) 42, 43 dienen der Kanalsynchronisation. Sie wirken auf die jeweilige Dateneingabe der Datenvergleicher/Auswerter-Baugruppen 3, 4 der beiden Rechnerkanäle. Die Schalter (S3) und (S4) 17, 18 bringen bei Handbetätigung die Relais der Abschalteinheit in den aktiven Zustand. Die Rückwirkungsfreiheit wird Potentialtrennungen und Trennung der Stromversorgung erreicht.
Die Potentialtrennungen werden später im Detail behandelt.
Die Fig. 2 zeigt den Aufbau einer der beiden Datenvergleicher/Auswerter-Einheiten, nämlich die Datenvergleicher-Einheit 3. Der Bus 1 setzt sich aus einem Datenbus 19, einem Adreßbus 20 und einem Steuerbus 21 zusammen. Der Datenbus 19 weist wiederum zwei Hälften auf, die jeweils wegen der Zuordnung zu je einer Wertigkeit als High-Order- Bits und Low-Order-Bits bezeichnet werden. Im folgenden werden diese Wörter mit HOB und LOB abgekürzt. Es handelt sich jeweils um eine Gruppe von 8 Bits. Die HOB des Datenbusses 19 beaufschlagen in der Einheit 3 eine Treiberschaltung 22. In entsprechender Weise beaufschlagen die LOB des Datenbusses 19 in der Einheit 3 eine Treiberschaltung 23. Während die Treiberschaltung 23 unidirektionale Dateninformationen zu einem nachgeschalteten Speicher 24 überträgt, ist die Treiberschaltung 22 für die bidirektionale ausgebildet. Der Speicher 24 ist über Optokoppler 25 mit einem Datenvergleicher 26 verbunden, der wiederum mit seinen zweiten Eingängen an einen Kanal 27 angeschlossen ist, der einerseits von einer Treiberschaltung 28 und andererseits von einer Testkreistreiberschaltung 29 gespeist werden kann. Die Treiberschaltung 28 steht mit einem Optokoppler in der Einheit 4 in Verbindung, worauf unten noch näher eingegangen wird.
Die Treiberschaltung 22 ist an einen Kanal 30 angeschlossen, an den ein Speicher 31 und eine Dateneingabeschaltung 33 angeschlossen ist. Es wird darauf hingewiesen, daß mit den Begriffen Speicher, Datenvergleicher, Treiberschaltung und Dateneingabeschaltung und Kanal immer Einheiten für die Verarbeitung von 8 parallelen Bits gemeint sind, d. h. diese Bausteine enthalten je ein Element pro Bit. Der Ausgang des Speichers 31 ist über einen Optokoppler 32 mit einer Treiberschaltung 34 verbunden, an die ein Kanal 35 angeschlossen ist, der einerseits mit der Testkreisreiberschaltung 29 und andererseits mit einem Optokoppler 36 verbunden ist. Dem Optokoppler 36 ist ein Kanal 37 nachgeschaltet, der mit Einheit 4 verbunden ist, und zwar ist in der Einheit 4 eine der Treiberschaltung 28 entsprechende Treiberschaltung an den Kanal 39 angeschlossen. In gleicher Weise speist in der Einheit 4 ein dem Optokoppler 36 entsprechender Optokoppler einen Kanal 39, an den die Eingänge der Treiberschaltung 28 gelegt sind. Die Ausgänge des Datenvergleichers 26 sind an Eingänge eines Zwischenspeichers 38 angeschlossen, der mit seinen Ausgängen an einen Auswerter 40 gelegt ist.
Die Dateneingabeschaltung weist weitere Eingänge auf, die vom ODER-Glied 41 gespeist werden, vom Zwischenspeicher 38 und vom Auswerter 40 angesteuert werden. Das ODER- Glied 41 wird vom Taster 42 für die Synchronisation der Kanäle 42 angesteuert. Das ODER- Glied 41 erhält das gleichwertige Signal als "Taster Kanal zwei" 43 von der Baugruppe 4 des zweiten Kanales. Die Eingänge 44 werden von der Abschalteinheit des redundanten Rechners mit den Signalen Redundanzkontrolle angesteuert. Diese Eingänge werden in Verbindung mit der Abschalteinheit näher erläutert.
An den Adreßbus 20 sind Treiber 45, 46 angeschlossen, denen ein Adreßdekoder 47 nachgeschaltet ist. Mit dem Steuerbus 21 ist eine Treiberschaltung 48 verbunden, an deren Ausgängen ein Reset-Signal und System-Takt, ein Lesesignal und Schreibsignale für die beiden Datenhälften zur Verfügung stehen. Die beiden Ausgangssignale des Adreßdekoders 47 werden mit dem Lese- und den Schreibsignalen des Busses in vier Torschaltungen 49, 50, 51, 52 verknüpft. Die Torschaltung 49 erzeugt aus einem Schreib- und einem Ausgangssignal des Adreßdekoders 47 ein Testauswahlsignal. Die Torschaltung 50 erzeugt aus den beiden Schreibsignalen und einem Ausgangssignal des Adreßdekoders 50 zwei Auswahlsignale. Die Torschaltung 51 erzeugt aus dem Lesesignal und einem der Schreibsignale ein Leseauswahlsignal. Die Torschaltung 52 erzeugt aus einem Schreibsignal und einem Ausgangssignal des Adreßdekoders ein Resetsignal. Die von den Torschaltungen 51 und 50 ausgehenden Steuersignale sind in Fig. 2 jeweils mit Selekt 1, 2 und 3 bezeichnet.
Das Ausgangssignal der Torschaltung 49 ist mit einem Testpulserzeuger 54 in UND- Verknüpfung mit dem Ausgangssignal Selekt 1 verbunden. Dem Testpulserzeuger ist eine Zeittorschaltung 55 nachgeschaltet, die einen zweiten Eingang hat, der von einem Optokoppler 56 gespeist wird, der eingangsseitig durch einen Zeittorpulserzeuger 57 gespeist wird. Der Zeittorpulserzeuger wird vom Systemtakt beaufschlagt.
Der Ausgang der Zeittorschaltung 55 speist einen Taktimpuls in eine Teststeuerschaltung 58, der ein Zeittorpuls als Testreset zugeführt wird. Weiterhin wird die Teststeuerschaltung 58 von einem Ausgangssignal des Testpulserzeugers 54 beaufschlagt. Die Teststeuer­ schaltung 58 gibt ein Teststeuersignal und ein davon invertiertes Steuersignal aus.
Der Systemtakt wird einem Frequenzteiler 59 zugeführt, dessen Ausgang über einen Optokoppler 60 Taktsignale für die Einheit 3 erzeugt. Das von der Steuersignaltreiberschaltung 48 ausgegebene Reset-Signal ist an eine Torschaltung 61 gelegt, der zwei weitere Signale, je aus der Torschaltung 51 und 52 zugeführt werden. Die Torschaltung 61 gibt über einen Optokoppler 62 ein Reset-Signal für die Einheit 3 aus.
Der Ausgang der Zeittorschaltung 55 ist mit dem Zählereingang eines vom Reset-Signal zurücksetzbaren Ringzählers 63 verbunden, der ausgangsseitig jeweils an einen Vergleicher 64 und an eine Treiberschaltung 65 angeschlossen ist. An die Treiberschaltung 65 ist ein Optokoppler 66 angeschlossen, der ausgangsseitig mit der Einheit 4 verbunden ist. Die zweiten Eingänge des Vergleichers 64 sind mit einer Treibschaltung 67 verbunden, die von Optokopplern 66 aus der Einheit 4 angesteuert werden.
Der Auswerter 40 wird angesteuert vom Zwischenspeicher 38 und beaufschlagt mit dem Zeittor aus der Zeittorschaltung 55. Der Auswerter 40 überträgt seine Ausgangsinformation 68 zweikanalig an die Abschalteinheit über eine Potentialtrennung 68. Die Ausgangsinformation 68 wird auch der Dateneingabe zugeführt.
Aufbau der Abschalteinheit Fig. 03 und 04
Die Abschalteinheit besteht aus zwei Baugruppen 8, 9. Das Prinzip der Verschaltung zeigt Fig. 3, Details werden in Fig. 04 dargestellt. Jeweils eine Baugruppe ist über die Abschaltsignale 68 mit einer Vergleicher/Auswerter Baugruppe 3, 4 eines Rechnerkanals verbunden. Baugruppe 8 ist baugleich zur Baugruppe 9 ausgeführt.
Die Prozeßspannungen 80, 81 für die beiden Rechnerkanäle 3, 4 werden über die Relaiskontakte 76, 77, 78, 79 der Relais 93, 91 der beiden Abschaltbaugruppen 8, 9 geführt. Die Taster (S3/S4) 17, 18 sind mit den Relais (K1/K2) 93, 91 verbunden und bringen die Relais in den geschalteten Zustand.
Die Relaiskontakte 76, 77, 78, 79 bilden mit ihrer Verschaltung den Haltekreis, über Dioden 74/75 werden auch die Optokoppler 82/83 mit angesteuert. Die Rückmeldungen RM1 10, 11 sind mit der parallelen Dateneingabe der Rechnerkanäle, die nicht näher beschrieben werden, verbunden.
Die Kontrollsignale für das Anschalten redundanter Rechnersysteme werden über die Relais-Kontakte 86, 87 geschaltet. Es ergeben sich die Schaltsignale (Red Ein 1) 88 und (Red. Ein. 2) 89. Die Optokoppler 82/83 werden über (SpH Rück 1/SpH Rück 2) 83, 85 versorgt.
Nicht näher bezeichnete Leitungen dienen der Stromversorgung.
Funktionsweise der Vergleicher/Auswerter Baupruppe
Die Baugruppe ist eine Ein/Ausgabe-Baugruppe. Die Arbeitsweise und der Aufbau ist erfindungsmäßig durch das Zusammenwirken der Einheiten:
  • - Datensteuerung über das Rechnerkanal-Bussystem (Funktion A gemäß Fig. 2)
  • - Datenvergleich zwischen den Rechnerkanälen mit Ergebnisauswertung (Funktion B gemäß Fig. 2)
  • - Ergebnisauswertung zum Datenvergleich (Funktion B gemäß Fig. 2)
  • - Synchronlaufüberwachung der Rechnerkanäle (Funktion C gemäß Fig. 2)
  • - Programmzyklusvergleich (Funktion D gemäß Fig. 2)
  • - Dateneingabe (Funktion E gemäß Fig. 2)
  • - Fehlerüberwachung durch Testfunktion (Funktion F gemäß Fig. 2)
gelöst.
Datenvergleicher/Auswerter (Fig. 1 und 2) Datensteuerung über das Rechnerkanal-Bussystem (Funktion A)
Zur Datensteuerung über das Rechnerkanal-Bussystem gehören:
  • - Der externe Busanschluß der Baugruppe mit Datenbus, Adressenbus und Steuersignale
  • - Datentreiber und Zwischenspeicher
  • - Adressentreiber und Adressendekoder
  • - Auswahl der Einzelfunktionen mit der Bildung der Selektsignale
Die Vergleicher/Auswerter-Baugruppen sind Ein-/Baugruppen der Rechnerkanäle mit Potentialtrennung. Sie tauschen ihre Daten über das externe Bussystem der Rechnerkanäle mit der CPU-Baugruppe aus. Der Datenbus ist 16 Bit breit.
Das niederwertige Datenbyte (LOB) wird über Datentreiber empfangen und für den Datenvergleich zwischengespeichert (Speicher-LOB). Vor dem Datenvergleicher befindet sich die Potentialtrennung. Das höherwertige Datenbyte (HOB) wird über Datentreiber (Treiber-HOB) empfangen, im Zwischenspeicher (Speicher-HOB) zwischengespeichert, im Potential getrennt und über eine weitere separate Potentialtrennung der Vergleicher-/­ Auswerter-Baugruppe des zweiten Kanals übertragen.
Für Testzwecke wird das HOB in der "Testloop" über den Testloop-Treiber dem Datenvergleicher zugeführt. Die Dateneingabe der Vergleichsdaten aus dem zweiten Kanal ist dann gesperrt. Treiber-K2 ist hochohmig geschaltet. Für die Adressierung der Baugruppe wird ein 16-Bit-Adressenbus benötigt. Die Baugruppe wird auf eine von 16 möglichen Adressen eingestellt.
Die Steuersignale werden über den Steuersignaltreiber empfangen. Für das Aufrufen der Einzelfunktionen werden durch die Verknüpfung von Steuersignalen mit selektierten Adressen Selektsignale erzeugt und verteilt.
Der Datenvergleicher/Auswerter (Fig. 2) Datenvergleich zwischen den Rechnerkanälen mit Ergebnisauswertung (Funktion B)
Zwischen den Rechnerkanälen werden 8 Bit Datenworte verglichen und ausgewertet. Dabei wird das niederwertige Datenbyte (LOB) mit dem höherwertigen Datenbyte (HOB) des zweiten Rechnerkanals verglichen und ausgewertet.
In der Softwareroutine für die Ausgabe der Verrgleichsdaten an die Datenvergleicher/Aus­ werter Baugruppen ist die 8 Bit Vergleichsinformation als niederwertiges Datenbyte (LOB) und höherwertiges Datenbyte (HOB) programmiert. Es wird ein 18 Bit Datenwert, in dem das HOB dem LOB entspricht, ausgeben. Das Programm für die Datenausgabe wird noch näher beschrieben.
Der Datenvergleich findet in einem Vergleichsfenster statt. Das Zeitfenster ist einstellbar, es bildet ein Maß für den Hardware-Synchronlauf der Rechnerkanäle.
Das Zeitfenster wird mit der LOB-Datenausgabe der CPU-Baugruppe an den Datenvergleicher/-Auswerter gestartet. Maßgeblich für den Zeitfensteraufbau zum Datenvergleich ist der für den Datenvergleich zuerst aktive Rechnerkanal.
Bei Datenungleichheit zwischen den Rechnerkanälen oder mangelnder Hardware- Synchronisation zwischen den Rechnerkanälen z. B. Datenvergleich außerhalb des Zeitfensters, werden nach Zwischenspeicherung der Vergleichsergebnisse in der Auswerteschaltung mehrkanalige Fehlersignale erzeugt. Diese führen über die Abschalteinheit zur Abschaltung der Prozeßspannungen für die Datenausgaben der Rechnerkanäle.
Ergebnisauswertung zum Datenvergleich (Funktion B)
Die Auswertung zum Datenvergleich (Variable A) berücksichtigt das Ergebnis aus dem Programmzyklusvergleich (Variable B) sowie der Zeitfenstersteuerung (Variable C).
Für die Ausgabe von Fehlersignalen sind nach der Funktionstabelle folgende Kriterien maßgeblich:
Funktionstabelle:
Die Ergebnisse der Auswertung werden mit dem Ende des Zeitfensters gespeichert und in mehrkanalige Fehlersignale umgesetzt. Diese werden, wie bereits beschrieben, der Abschalt­ einheit zugeführt. Dort wird in einer mehrkanaligen Relais-Schaltung über zwangsgeführte Kontakte die Prozeßspannung der Datenausgabe der Rechnerkanäle abgeschaltet.
Datenvergleicher/Auswerter (Fig. 2) Synchronlaufüberwachung der Rechnerkanäle (Funktion C)
Zwischen den Rechnerkanälen ist der Hardware-Synchronlauf notwendig und zu überwachen.
Der zuerst für den Datenvergleich aktive Rechnerkanal öffnet mit der LOB Datenausgabe an die Vergleicher/Auswerter-Baugruppe das Zeittor. Das Zeittor gibt den Datenvergleich und den Programmzyklusvergleich frei.
Der zweite Rechnerkanal muß seine Vergleichsdaten und den Zählerstand zur Programmzy­ kluserfassung innerhalb des geöffneten Zeittores an die Vergleicher-Baugruppe übertragen. Innerhalb des Zeittores findet eine kontinuierliche Ergebnisübernahme aus den beiden Daten­ vergleichern in den jeweiligen Zwischenspeicher statt.
Mit dem Zeittorende werden die Vergleicher-Ergebnisse in den jeweiligen Auswerter einge­ schrieben. Der Auswerter erzeugt Steuersignale zur Ansteuerung der Relais in der Abschalt­ einheit. Das Zeittor ist gemäß den Anforderungen an den Synchronlauf der Rechnerkanäle ein­ zustellen.
Datenvergleicher/Auswerter (Fig. 2) Programmzyklus-Vergleich (Funktion D)
Im Datenvergleich zwischen den Rechnerkanälen werden nur Vergleichsdaten in gleichen Pro­ grammzyklen zwischen den Rechnerkanälen anerkannt.
Unterschiedliche Programmzyklen während des Datenvergleiches werden durch Programm­ zyklusvergleich zwischen den Rechnerkanälen erkannt und führen über die Abschalteinheit zur Prozeßabschaltung.
Die Vergleichsdatenausgaben der CPU-Baugruppe des jeweiligen Rechnerkanals an den Da­ tenvergleicher/Auswerter (an die Datenvergleicher/Auswerter bei zwei-aus-drei-Systemen) werden in einer Zählschaltung mitgezählt und zwischen den Rechnerkanälen miteinander ver­ glichen und ausgewertet.
Unterschiedliche Zählerstände bedeuten unterschiedliche Programmzyklen zum Datenver­ gleich. In der Auswerteschaltung werden zweikanalig Fehlerabschaltsignale erzeugt. Diese führen über die Abschalteinheit zur Abschaltung der Prozeßspannungen für die Datenausgabe der Rechnerkanäle.
Datenvergleicher/Auswerter (Fig. 2) Dateneingabe Funktion E)
Die Dateneingabe übernimmt Eingabeinformationen für die:
  • - Steuerung des Hardware-Synchronlaufs der Rechnerkanäle
  • - Funktionskontrolle im Testbetrieb
  • - Kontrollsignale für die Redundanzsteuerung.
Resetfunktion (Funktion G)
Die Resetfunktion kann über zwei Wege ausgelöst werden:
  • - CPU-Reset
  • - Software-Reset
CPU-Reset
Mit dem Reset der CPU-Baugruppe wird auch die Vergleicher/Auswerter-Baugruppe in den Resetzustand gebracht.
Software-Reset
Über die Baugruppenadressierung und Erzeugung von Selektsignalen wird ein programmge­ steuertes Resetsignal erzeugt. Jedes der Resetsignale wirkt durch ODER-Verknüpfung auf die Ausgabe der Abschaltsignale an die Abschalteinheit.
Fehlerüberwachung durch Testfunktion (Fig. 2, Funktion F)
Die Überwachung der Funktionsfähigkeit und rechtzeitige Fehlererkennung wird durch Test­ funktionen gewährleistet. Die Funktionsfähigkeit wird durch:
  • - Fehlersimulation und
  • - Vergleichsdatenauswertung
geprüft.
Die Prüfung der Funktionsfähigkeit und Fehlererkennung wird durch die CPU-Baugruppe durch die Ausgabe von Prüfworten und Zurücklesen von Schlüsselinformationen vorgenom­ men.
Jeder Rechnerkanal prüft die ihm zugeordnete Vergleicher-/Auswerter-Baugruppe. Wurde ein Fehler erkannt, so ist von der CPU-Baugruppe über RESET-Funktionen der Daten­ vergleicher in den Grundzustand zu bringen. Dieses bedeutet, die Abschalteinheit wird nicht mehr angesteuert und somit die Prozeßspannung abgeschaltet.
Über die Teststeuerung wird die Dateneingabe aus dem zweiten Rechnerkanal geschlossen. In einer Datenschleife wird das HOB und LOB des Rechnerkanals dem Datenvergleicher zuge­ führt. Die Teststeuerung erzeugt ein Zeitfenster und es findet ein Datenvergleich statt.
Prüfbitmuster im HOB und LOB ermöglichen die Überprüfung auf Fehlfunktion im Datenver­ gleich und der Auswertung. Der Zyklusvergleich wird durch Fehlersimulation überprüft. Dieses geschieht durch Abschalten des Dateneingabetreibers für den zweiten Rechnerkanal. Die Feh­ lersimulation wird ausgewertet.
Die Abschalteinheit (Fig. 3) Allgemeines
Das Übersichtsbild zeigt die Verschaltung der den Rechnerkanälen zugeordneten Abschalt­ baugruppen zu einer Abschalteinheit. Die Prozeßspannungen der Rechnerkanäle werden über Relaiskontakte den Rechnerkanälen als Betriebsspannung für die parallelen Datenausgaben der Rechnerkanäle zugeführt.
Die Relaisverschaltung ist zweikanalig ausgeführt. Durch Rückmeldesignale, geschaltet über Rückmeldekontakte, wird den CPU-Baugruppen der Rechnerkanäle der Schaltzustand der Relais gemeldet.
Im Einschaltvorgang des Rechnersystems werden über Taster die Relais-Schaltkreise zunächst geschlossen. Mit dem ersten Datenvergleich zwischen den Rechnerkanälen im Einschaltvor­ gang werden die Relais dann von den Vergleicher-Baugruppen angesteuert und bleiben über Haltekreise im geschalteten Zustand.
In der Anwendung sind oftmals redundante Rechersysteme zur Erhöhung der Verfügbarkeit notwendig.
Zweikanalige Meldesignale der Abschalt-Baugruppen geben Auskunft über das Ergebnis aus dem Datenvergleich zwischen den Rechnerkanälen. Diese Meldesignale dienen den redundan­ ten Rechnerkanälen (im zwei-aus-drei-System) oder den redundanten Rechnersystemen (im zwei-aus-zwei-System) als Kennung für die Übernahme der Prozeßführung.
Einzelfunktionen (Fig. 3 und 4)
Die folgenden Einzelfunktionen beziehen sich auf eine Abschalt-Baugruppe, zwei Abschalt- Baugruppen bilden eine Abschalteinheit.
Handbedienung der Baugruppen
Im Einschaltvorgang der Rechnerkanäle werden über den Zeitraum der Tastenbetätigung der Taster S1 und S2 je Baugruppe die zwangsgeführten Relais geschaltet. Wurde im Datenver­ gleich Datengleichheit zwischen den Rechnerkanälen erkannt, bleiben die Relais nach Lösen der Taster über die Haltekreise der Datenvergleicher/Auswerter im geschalteten Zustand. Signale:
  • - 24 T1/0 Volt 1 und 24 T2/0 Volt 2
Rückmeldesignale
Jedem Rechnerkanal wird ein Rückmeldesignal zugeführt, es gibt Auskunft über den Schaltzu­ stand der Abschalt-Baugruppen.
Signale:
  • - SPH Rück1/RM1
  • - SPH Rück2/RM2
Relais Haltekreis
Bei Datengleichheit zwischen den Rechnerkanälen werden von den Vergleicher/Auswerter- Baugruppen zweikanalig Haltesignale ausgegeben (Fehlersignal bei Datenungleichheit) und den Abschalt-Baugruppen zugeführt. Diese Signale halten die Relais der Abschalt-Baugruppen bei Datengleichheit zwischen den Rechnerkanälen im geschalteten Zustand nach Beendigung der Handeingabe und Taster S1 und S2.
Signale:
  • - 24 Volt Haltekreis 1 und 24 Volt Haltekreis 2
Redundanzaktivierung (Fig. 3, 5 und 6)
Oftmals sind aus Gründen der Verfügbarkeit redundante Rechnersysteme erforderlich. Bei Fehlererkennung im Datenvergleich oder bei Ausfall eines Rechnerkanales ist auf einen Ersatzrechnerkanal (bei zwei-aus-drei-Systemen) oder Ersatzrechnersystem (bei zwei-aus- zwei-Systemen) umzuschalten.
Für die Umschaltfunktion geben die Abschalt-Baugruppen zweikanalig Umschaltsignale aus.
Signale:
  • - Red Ein1/0V Red1 und Red Ein2/0V Red2
  • - Red Sp1/Red Sp2
Ausgabe der Prozeßspannung (Fig. 3, 4, 5 und 6)
Die Ausgabe der Prozeßspannung wird in Reihenschaltung über die Abschalt-Baugruppen der Rechnerkanäle geführt.
Bei zwei-aus-zwei-Rechnersystemen sind die Abschalt-Baugruppen der Rechnerkanäle zu einer Abschalteinheit zusammengefaßt. Bei zwei-aus-drei-Rechnersystemen gehören zu jedem Rech­ nerkanal zwei Abschalt-Baugruppen. Jede der Baugruppen ist mit einem weiteren Rechner­ kanal verbunden. Es werden also pro Rechnerkanal zwei Abschalteinheiten gebildet.
Signale:
  • - Prozeßspannung K1/Prozeß SpK1/Prozeßsp. K1
  • - Prozeßspannung K2/Prozeß SpK2/Prozeßsp. K2
Anwendung der Hardware-Datenauswerter im zwei-aus-zwei-System mit Rechner­ redundanz (Fig. 5)
Zur Erhöhung der Verfügbarkeit sind oft redundante Rechner erforderlich. In dieser Anwen­ dung sind zwei Rechnersysteme für die Prozeßführung vorgesehen.
Ein Rechnersystem ist aktiv geschaltet, das zweite Rechnersystem arbeitet mit, gibt jedoch keine Prozeßdaten aus (Hot Standby Betrieb).
Zu jedem Rechnerkanal 95, 96, 97, 98 gehört eine Vergleicher/Auswerter-Baugruppe. Diese sind zwischen den beiden Rechnerkanälen zu einem Hardware-Datenauswerter 110, 111, 112, 113 zusammengefaßt. Der Datenvergleich zwischen den Rechnerkanälen wirkt somit zwei- kanalig.
Die Abschaltbaugruppen werden bei der Inbetriebnahme der Rechner durch Handbedienung nach dem ersten Datenvergleich zwischen den Rechnerkanälen in den geschalteten Zustand gebracht und über die Datenvergleicher/Auswerter-Baugruppen durch Haltekreisfunktionen im geschalteten Zustand gehalten.
Die Prozeßspannungen werden an die parallelen Datenausgaben der Rechnerkanäle ausgege­ ben. Wird im Datenvergleich ein Fehler erkannt oder liegt ein Funktionsfehler vor, so wird die Prozeßspannung über die Abschalteinheit abgeschaltet. Das Rechnersystem ist dann am Prozeß inaktiv.
Die Abschaltbaugruppen generieren Steuersignale, diese veranlassen das redundante Rechner­ system zur Prozeßübernahme. Die Abschaltbaugruppen des redundanten Rechnersystems wer­ den geschaltet und bei Datengleichheit zwischen den Rechnerkanälen des redundanten Systems über die Haltekreise im geschalteten Zustand belassen.
Die parallelen Datenausgaben werden wie bereits beschrieben aktiviert. Das redundante Rech­ nersystem übernimmt die Prozeßführung.
Die Verschaltung der Datenausgaben bzw. Dateneingaben redundanter Rechnersysteme wird nicht beschrieben.
Einsatz der Hardware-Datenauswerter in zwei-aus-drei-Rechnersystemen (Fig. 6)
In dieser Anwendung arbeiten drei Rechnerkanäle 100, 101, 102 am Prozeß. Zwei Rechnerkanäle sind aktiv geschaltet, der dritte Kanal arbeitet mit, gibt jedoch keine Daten aus (Hot Standby Betrieb).
Jedem Rechnerkanal sind zwei Hardware-Datenauswerter 103, 104; 105, 106; 107, 108 zugeordnet. Jeder der drei Rechnerkanäle vergleicht seine Daten über den Hardware- Auswerter mit den Nachbarkanälen.
Die prozeßführenden Rechnerkanäle halten über den Datenvergleich an der Vergleicher/Aus­ werter-Baugruppe die Abschalteinheiten im geschalteten Zustand.
Die Prozeßspannungen werden bei Datengleichheit an die parallelen Datenausgaben durchge­ schaltet, die Datenausgabe ist aktiv.
Der dritte Rechnerkanal verhält sich Hot Standby, d. h. der Rechnerkanal empfängt alle Pro­ zeßdaten, wertet diese aus, führt den Datenvergleich mit den Nachbarkanälen aus und bedient die Datenausgaben.
Die Prozeßspannung ist über die Abschalteinheit jedoch nicht zu den Ausgaben zugeschaltet. Das bedeutet, die parallelen Datenausgaben sind inaktiv geschaltet.
Fehlerauswertung und Umschaltung (Fig. 6)
Jeder der drei Rechnerkanäle vergleicht seine Daten über die Hardware-Datenauswerter mit den Daten der Nachbarkanäle. Die am Prozeß aktiven Rechnerkanäle halten über die Daten­ vergleicher Baugruppen die Abschalteinheiten im geschalteten Zustand.
Erkennt der Hardware-Datenvergleicher eines Rechnerkanals im Datenvergleich einen Fehler oder stellt sich ein Funktionsfehler ein, so wird die Abschalteinheit inaktiv geschaltet. Sie gibt ein Meldesignal aus, welches der Hot Standby Rechnerkanal (Kanal 3) erkennt. Dieser aktiviert jetzt seine Abschalteinheit zur Ausgabe der Prozeßspannung. Die Datenausgaben werden aktiv.
Das Rechnersystem arbeitet zweikanalig am Prozeß weiter. Die Verschaltung der Rechnerka­ näle ist so aufgebaut, daß ein erneutes Zuschalten des ausgefallenen Rechnerkanales ohne den Eingriff von Bedienungspersonal nicht möglich ist. Dieser Teil des Rechnerkonzeptes wird hier nicht näher beschrieben.
Der Hot Standby Rechnerkanal erkennt seinen Status an der nicht geschalteten Prozeßspan­ nung über die Abschaltbaugruppen.
Einschaltvorgang (Fig. 6)
Nach dem Einschalten werden alle drei Rechnerkanäle durch Bedienerhandlung zum Synchron­ lauf der Hardware veranlaßt. Nach dem ersten Datenvergleich der Rechnerkanäle können durch Bedienerhandlung zwei Rechnerkanäle an den Prozeß zur Prozeßführung angeschlossen werden.
Der dritte Rechnerkanal übernimmt automatisch die "Hot Standby" Funktion, d. h. die Daten­ eingabe ist aktiv, die Datenausgabe ist inaktiv, da die Abschalteinheit durch Handeingabe nicht geschaltet wurde.

Claims (28)

1. Verfahren zum Prüfen und Überwachen der sicheren Arbeitsweise von Daten­ verarbeitungssystemen mit wenigstens zwei Datenverarbeitungsanlagen, die als Rechnerkanäle jeweils mit einem Bussystem verbunden sind und die im Parallelbetrieb auf einen Prozeß mit hohen Sicherheitsanforderungen arbeiten, wobei die Bussysteme jeweils mit einer Hardware- Vergleichseinrichtung verbunden sind, wobei eine Überwachung der Rechnerkanäle durch Datenvergleich nach sicherheitstechnischen Anforderungen zwischen den Rechnerkanälen sowie eine Synchronlaufüberwachung stattfindet und eine Abschalteinheit bei einer Abweichung der verglichenen Daten oder einem nicht synchronen Lauf das Datenverarbeitungssystem in einen für den Prozeß sicheren Zustand versetzt, dadurch gekennzeichnet, daß die Hardware-Vergleichseinrichtungen jeweils an die externen Bussysteme als Ein-/Ausgabebaugruppen angeschlossene Auswertebaugruppen enthalten, daß zur Überwachung der Rechnerkanäle ein einstellbares Zeitfenster geöffnet wird, mit dem ein Programmzyklusvergleich mittels Zählung der Programmzyklen und die Synchronlauf­ überwachung der Rechnerkanäle freigegeben wird, und daß mit dem Ende des Zeitfensters die ausgewerteten Ergebnisse der Abschalteinheit zugeführt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß jeweils eine Gruppe niederwertiger Bits eines Rechnerkanals mit einer Gruppe höherwertiger Bits des anderen Rechnerkanals verglichen wird, und daß die Gruppen als Vergleichsdaten gleichen Ursprungs in der Programm-Ausführung der Software Ausgaberoutine der CPU-Baugruppe des jeweiligen Rechnerkanals Gleichwertigkeit aufweisen müssen.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Hardware-Synchronlaufüberwachung der beiden Rechnerkanäle durch die Einstellung des Zeitfensters an die zulässigen Toleranzen des Synchronlaufes der Rechnerkanäle bzw. Zeittoleranzen des jeweiligen Prozesses anpaßbar ist.
4. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß jeweils mit der Datenausgabe der Vergleichsdaten durch die CPU-Baugruppen an mindestens eine Vergleicher/Auswerter Baugruppe des jeweiligen Rechnerkanals Zählerimpulse erzeugt werden, daß die Zählerimpulse zur Zählung der Programmzyklen einer Zählschaltung als Taktsignal dienen und daß die Ausgangsinformation der Zählschaltung über eine Datenkopplung zwischen den Vergleicher/Auswerter Baugruppen der Rechnerkanäle innerhalb des Zeitfensters miteinander verglichen und ausgewertet werden.
5. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß mittels einer Dateneingabeschaltung an den Datenenvergleicher/Auswerter- Baugruppen der Rechnerkanäle durch manuelle Eingabe an eine der Baugruppen alle Rechnerkanäle gleichzeitig Eingabedaten für den Gleichlaufstart der Rechnerkanäle empfangen und daß die Gleichlaufstart selbst unter Programmkontrolle der Rechnerkanäle erfolgt.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß die Dateneingabe auch für andere Zwecke unter Bedienerkontrolle Verwendung findet.
7. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß in vorgegebenen Zeitabständen durch den jeweiligen Rechnerkanal Bus-Steuersignale ausgegeben werden, welche Testsignale für die Prüfung der richtigen Funktionsweise der Vergleicher/Auswerter-Baugruppe erzeugen und daß die Testsignale ein Zeitfenster generieren und die Datenkopplung zu anderen Vergleicher/Auswerter-Baugruppe des Rechnersystems auf den internen Vergleich für den Prüfablauf umgeschaltet wird.
8. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß für den Prüfablauf mit internem Datenvergleich die jeweilige CPU-Baugruppe Testwörter über den höherwertigen Datenbus und niederwertigen Datenbus ausgibt, daß die Testwörter kanalintern verglichen werden und die Ergebnisse von der CPU-Baugruppe für die Auswertung über das Programm zurückgelesen werden und daß durch Wortgleichheit oder Ungleichheit und Wortkombinationen der Testwörter sowohl die richtige oder fehlerhafte Funktionsweise erkannt wird und im Fehlerfall über die CPU- Baugruppe das Rechnersystem abgeschaltet wird.
9. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß mit einem im jeweiligen Rechnerkanal erzeugten Resetsignal die jeweilige Vergleicher/Auswerter-Baugruppe Signale erzeugt, die die Abschalteinheit in den inaktiven Zustand versetzt, und daß der Rechnerkanal bei einem erkannten Fehler ein Resetsignal erzeugt und über die Vergleicher/Auswerter-Baugruppe und Abschalteinheit das Rechnersystem abgeschaltet wird.
10. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß jeweils eine von der Vergleicher/Auswerter-Baugruppe gesteuerte Abschalteinheit bei einem von der Vergleicher/Auswerter-Baugruppe festgestellten Fehler die Prozeßspannungen für die Ausgaben der Rechnerkanäle abschaltet.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß in der Abschalteinheit die Prozeßspannungen über Kontakte von zwangsgeführten Sicherheitsrelais zu den parallelen Ausgaben kanalgetrennt geführt werden.
12. Verfahren nach Anspruch 10 oder 11, dadurch gekennzeichnet, daß über weitere Kontakte der Sicherheitsrelais Kontrollsignale erzeugt werden die für die Aktivierung redundanter Rechnersysteme bestimmt sind.
13. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, gekennzeichnet durch die Verwendung in der Eisenbahnsignaltechnik, Verkehrsleittechnik oder sicherheits­ relevanter "Prozeßsteuerungen".
14. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die jeweilige Vergleicher/Auswerter-Baugruppe mit den Daten-, Adreß- und Steuerbusleitungen (15, 20, 21) des zugehörigen Rechnerkanals (1, 2) verbunden ist und Speicher (24, 31) für die Aufnahme der Datei sowie Treiberschaltungen (34) für die Ausgabe der Daten an die ändere mit dem zweiten Bus verbundene Vergleicher/Auswerter- Baugruppe aufweist, und daß Mittel zur Durchführung des Datenvergleiches der Synchronisationskontrolle und Mittel zur Durchführung des Programmzyklusvergleiches vorgesehen sind.
15. Anordnung nach Anspruch 14, dadurch gekennzeichnet, daß der aus den Vergleicher/Auswerter-Baugruppen (3, 5) der Rechnerkanäle bestehende Hardware Datenauswerter mehrkanalig über Potentialtrennungen (6, 9) mit einer Relaisbaugruppe, als Abschalteinheit (8, 9) verbunden ist, die selbst zweikanalig, als Baugruppe (A u. B) aufgebaut ist und dass die Abschalteinheit (8, 9) Prozeßspannung für die Versorgung der Ausgaben der Rechnerkanäle schaltet und Kontrollsignale erzeugt zur Überwachung der Schaltzustände der zwangsgeführten Relais der Baugruppe und Steuersignale erzeugt für die Aktivierung redundanter Rechnerkanäle oder Rechnersysteme.
16. Anordnung nach Anspruch 14 oder 15, dadurch gekennzeichnet, daß die Datenvergleicher/Auswerter-Baugruppen (3, 4) des jeweiligen Rechnerkanals das jeweilig höherwertige Datenwort der Vergleicherdaten des Rechnerkanals aus dem Speicher (31) an die jeweilige zweite Baugruppe (3, 4 Baugruppe des anderen Rechnerkanals 3 oder 4) über Potentialtrennungen (32, 36) zum Zwecke des Datenvergleiches in der Datenvergleichsschaltung (26) überträgt.
17. Anordnung nach einem oder mehreren der Ansprüche 14 bis 16, dadurch gekennzeichnet, daß die Datenvergleichsschaltung (26) durch das Zeittor (55) angesteuert den Datenvergleich zwischen den Rechnerkanälen ausführt und daß zu diesem Zweck das niederwertige Datenwort gespeichert wird, im Speicher (24) mit dem vom zweiten Kanal empfangenen höherwertigen Datenwort auf Datengleichheit überprüft wird und das Ergebnis zum Zwischenspeicher (38) übertragen wird.
18. Anordnung nach einem oder mehreren der Ansprüche 14 bis 17, dadurch gekennzeichnet, daß die Vergleicher/Auswerter-Baugruppe (3, 4) über einen Programmzykluszähler als Ringzähler (63) verfügt. Daß der Ringzähler (63) von der Zeittorschaltung angesteuert wird, und daß bei der Datenausgabe des Rechnerkanals an die Vergleichen/Auswerter- Baugruppe der Zykluszähler inkrementiert wird, durch Ansteuerung mit einem Zeittorpuls, für dessen Erzeugung eine Zeittorpulsschaltung (57) als Steuereinheit zur Verfügung steht.
19. Anordnung nach Anspruch 18, dadurch gekennzeichnet, daß der Programmzyklusvergleicher (64) den Zählerstand des Ringzählers mit dem Zählerstand der Vergleicher/Auswerter-Baugruppe des zweiten Rechnerkanals vergleicht und daß zum Zwecke des Vergleiches die Vergleicher/Auswerter- Baugruppen der beiden Rechnerkanäle über Datenkopplungen verfügen, die über den jeweiligen zweiten Kanal über diese Datenkopplung mit ihrer Potentialtrennung die Vergleichsinformationen übertragen.
20. Anordnung nach einem oder mehreren der Ansprüche 14 bis 19, dadurch gekennzeichnet, daß mittels der Zeitfenstersteuerung die Datenvergleicherschaltung (26) und der Programmzyklusvergleicher (64) durch Ansteuerung freigegeben werden und über die Zeitfenstersteuerung der Zeittorschaltung (55) zwischen den Rechnerkanälen der Synchronlauf der Rechnerkanäle in der Hardware überwacht wird.
21. Anordnung nach einem oder mehreren der Ansprüche 14 bis 20, dadurch gekennzeichnet, daß die Vergleichsschaltungen (26, 64) für den Datenvergleich und Programmzyklusvergleich jeweils Datenspeicher (38) für die Zwischenspeicherung der Ergebnisse aus dem Datenvergleich und dem Zyklusvergleich ansteuern und daß die Zwischenspeicherung zyklisch durch Taktsignale aus der Taktsteuerung erfolgt, wobei die Taktsteuerung aus Frequenzteiler (59) und Potentialtrennung (60) besteht und das Signal Clockp. erzeugt.
22. Anordnung nach einem oder mehreren der Ansprüche 14 bis 21, dadurch gekennzeichnet, daß die Ergebnisse aus dem Datenvergleich, Programmzyklusvergleich und der Synchronlaufüberwachung der Hardware der Rechnerkanäle in der Auswerterschaltung (40) mittels der Zeitfenstersteuerung (Zeittor) und Speicherschaltungen als ausgewertete Schaltsignale und aufbereitet mittels der Treiberschaltungen (69) mit Potentialtrennung an die Abschalteinheit (8, 9) mehrkanalig übertragen werden.
23. Anordnung nach einem oder mehreren der Ansprüche 14 bis 22, dadurch gekennzeichnet, daß die Datenvergleicher/Auswerter-Baugruppe für die Überprüfung der Funktionsfähigkeit mit Testschaltungen ausgerüstet ist, daß die Testpulserzeugung von einer Baugruppenadressierung (49, 50) durch die CPU-Baugruppe des jeweiligen Rechnerkanals aktiviert wird und daß die Teststeuerung Schaltsignale für den Testbetrieb zur Überprüfung der Baugruppen erzeugt.
24. Anordnung nach einem oder mehreren der Ansprüche 14 bis 23, dadurch gekennzeichnet, daß für den Test der Vergleicher/Auswerter-Baugruppe (3, 4) ein Testloop-Treiber (29) vorgesehen ist, welcher von einer Teststeuerung (58) angesteuert wird und daß der Testloop-Treiber (29) über einen internen Datenweg (35) das höherwertige Datenbyte dem Datenvergleicher (26) zuführt.
25. Anordnung nach einem oder mehreren der Ansprüche 14 bis 24, dadurch gekennzeichnet, daß Reset-Funktionen (CPU-Reset) von der CPU-Baugruppe des jeweiligen Rechnerkanals auf den Schaltzustand der Vergleicher/Auswerter-Baugruppen (3, 4) des jeweiligen Rechnerkanals einwirken und daß die Baugruppe über die Reseteinrichtung der CPU- Baugruppe des Rechnerkanals oder über eine Reseteinrichtung (61), aktiviert durch die Betriebs-Software des jeweiligen Rechnerkanals in den kontrollierten Grundzustand versetzt werden kann.
26. Anordnung nach einem oder mehreren der Ansprüche 14 bis 25, dadurch gekennzeichnet, daß die Vergleicher/Auswerter-Baugruppe Anzeigeelemente für die Funktion des Zeittores, des Datenvergleichers, der Auswertungsergebnisse und des Synchronisier- und Zyklusvergleiches aufweist.
27. Anordnung nach einem oder mehreren der Ansprüche 14 bis 26, dadurch gekennzeichnet, daß die Vergleicher/Auswerter-Baugruppe Potential-Trennungen gegenüber dem zugehörigen Rechnerkanal als auch gegenüber den anderen Vergleicher/Auswerter- Baugruppen zur Gewährleistung der Rückwirkungsfreiheit und Unabhängigkeit aufweist.
28. Anordnung nach einem oder mehreren der Ansprüche 14 bis 27, dadurch gekennzeichnet, daß von der Abschalteinheit (8, 9) Steuersignale ausgegeben werden, welche die Anwendung des Hardware Datenauswerters im mehrkanaligen Rechnersystem mit Rechnerredundanz aus Gründen der Verfügbarkeit ermöglicht.
DE1995143817 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur Expired - Fee Related DE19543817C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1995143817 DE19543817C2 (de) 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1995143817 DE19543817C2 (de) 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Publications (2)

Publication Number Publication Date
DE19543817A1 DE19543817A1 (de) 1997-05-28
DE19543817C2 true DE19543817C2 (de) 2000-01-05

Family

ID=7778310

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1995143817 Expired - Fee Related DE19543817C2 (de) 1995-11-24 1995-11-24 Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur

Country Status (1)

Country Link
DE (1) DE19543817C2 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19826875A1 (de) 1998-06-17 1999-12-23 Heidenhain Gmbh Dr Johannes Numerische Steuerung mit einem räumlich getrennten Eingabegerät
DE10332557A1 (de) * 2003-07-11 2005-02-17 Siemens Ag Verfahren und Computersystem zum Betreiben einer sicherungstechnischen Anlage
US10474619B2 (en) * 2017-05-19 2019-11-12 General Electric Company Methods for managing communications involving a lockstep processing system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2725922C2 (de) * 1977-06-08 1984-08-23 Standard Elektrik Lorenz Ag, 7000 Stuttgart Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2725922C2 (de) * 1977-06-08 1984-08-23 Standard Elektrik Lorenz Ag, 7000 Stuttgart Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NIKOLAIZIK, J. und andere: Fehlertolerante Mikrocomputersysteme, 1. Aufl., Verlag Technik Berlin, 1990, S. 9, 23-37, 73-88, 166, 167 *

Also Published As

Publication number Publication date
DE19543817A1 (de) 1997-05-28

Similar Documents

Publication Publication Date Title
DE3208573C2 (de) 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
DE19742716C2 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE3486130T2 (de) Uebertragungsleitungssteuerung.
EP0026377A2 (de) Rechnerarchitektur auf der Basis einer Multi-Mikrocomputerstruktur als fehlertolerantes System
DE3706325A1 (de) Steuer- und datennetzwerk
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE102016000126A1 (de) Serielles Bussystem mit Koppelmodulen
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP3214512B1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
DE2647367C3 (de) Redundante Prozeßsteueranordnung
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE3502387C2 (de)
DE3238692A1 (de) Datenuebertragungssystem
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
WO2004036324A1 (de) Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem
DD231869A5 (de) Signaltechnisch sichere datenverarbeitungseinrichtung
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem
DE19949710B4 (de) Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems
EP0984344B1 (de) System zur Verkabelung einer Steuer- und Datenübertragungsanlage
DE19758994B3 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19758993B3 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19531923B4 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE19758848B4 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8120 Willingness to grant licenses paragraph 23
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: KNOP, ROLF, 84107 WEIHMICHL, DE

8339 Ceased/non-payment of the annual fee