DE2647367B2 - Redundante Prozeßsteueranordnung - Google Patents

Redundante Prozeßsteueranordnung

Info

Publication number
DE2647367B2
DE2647367B2 DE19762647367 DE2647367A DE2647367B2 DE 2647367 B2 DE2647367 B2 DE 2647367B2 DE 19762647367 DE19762647367 DE 19762647367 DE 2647367 A DE2647367 A DE 2647367A DE 2647367 B2 DE2647367 B2 DE 2647367B2
Authority
DE
Germany
Prior art keywords
output
input
inputs
arrangement according
outputs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19762647367
Other languages
English (en)
Other versions
DE2647367C3 (de
DE2647367A1 (de
Inventor
Manfred Dipl.-Ing. Euringer
Werner Dipl.-Ing. Reichert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19762647367 priority Critical patent/DE2647367C3/de
Priority to JP12636377A priority patent/JPS5352033A/ja
Publication of DE2647367A1 publication Critical patent/DE2647367A1/de
Publication of DE2647367B2 publication Critical patent/DE2647367B2/de
Application granted granted Critical
Publication of DE2647367C3 publication Critical patent/DE2647367C3/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • G06F11/185Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung betrifft eine redundante Prozeßsteueranordnung gemäß dem Oberbegriff des Anspruchs 1.
Aus dem Buch »Prozeßrechner«, Oldenburg-Verlag, 1970, Seiten 348 bis 351, ist es bekannt, die Verfügbarkeit und Funktionssicherheit von Prozeßsteueranlagen durch Geräte- oder Systemredundanz zu erhöhen, indem zur Ausübung derselben Funktion mehrere gleichartige Geräte vorgesehen und deren Ausgangssignale auf Übereinstimmung überwacht werden. Stimmen sie nicht überein, liegt ein Fehler vor. Man kann zwei oder mehr selbständig betriebsfähige Anlagen parallel arbeiten lassen und so eine hohe Verfügbarkeit und Sicherheit gegen Fehler erzielen. Der mechfache Aufbau vollständiger Anlagen erfordert einen im allgemeinen zu großen Aufwand. Man
beschränkt sich daher meistens darauf, einzelne Anlagenteile mehrfach vorzusehen.
Aus der DT-AS 2108496 ist demgemäß eine Schaltungsanordnung zur ständigen Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen bekannt, bei aer ein Datentelegramm für einen Ubertragungskanal in parallel betriebenen, gleichartigen Rechnern parallel erarbeitet und auf getrennten Leitungen einem gemeinsamen Ausgang für diesen Übertragungskanal zugeführt wird. In dieser bekannten Anordnung sind Rechner mehrfach vorhanden; Fehler der Übertragungskanäle oder der peripheren Baueinheiten werden nicht erfaßt.
Aus der Zeitschrift »IEEE Transactions on Computers« ist ein fehlersicheres Rechnersystem bekannt, das mehrere unabhängig arbeitende Zentraleinheiten enthält. Jeder Zentraleinheit ist eine mehrheitsentscheidende Logik (Voter) zugeordnet, welche die Informationen aller Zentraleinheiten erhält, die Informationen synchronisert, aus ihnen eine Mehrheitsentscheidung bildet und diese auf eine Ein-/Ausgabe-Sammelleitung gibt. Eventuelle Fehler der den Votern zugeführten Daten stellen diese fest und melden sie den Zentraleinheiten zurück. Die Datenübertragung auf der Ein-/Ausgabe-Sammelleitung wird durch Rückübertragung und Vergleichen der gesendeten und der empfangenen Daten festgestellt. Treten nacheinander drei Fehler auf, wird auf einen anderen Voter umgeschaltet, so daß die Daten über die an diese angeschlossene Ein-/Ausgabe-Sammelleitung zu den peripheren Geräten übertragen werden. Ein solches System erfordert aufwendige Voter und zusätzliche Rückmeldeleitungen.
In der britischen Patentschrift 1434186 ist ein Multiprozessor-System mit drei Prozessoren beschrieben, an die je eine Sammelleitung angeschlossen ist. In diesem Prozessor-System sollen nur Fehler in den Prozessoren festgestellt werden.
Schließlich ist durch die DE-AS 2023 117 ein ausfallsicheres Steuersystem bekanntgeworden, das aus drei identischen Informationsverarbeitungskanälen aufgebaut ist, in denen gleiche Daten taktsynchron verarbeitet werden. Zwischen den Kanälen sind Mehrheitsentscheidungen treffende Verknüpfungsglieder zur Regenerierung und Anzeige von fehlerbehafteten Signalen vorgesehen. Von den drei Kanälen ist jeder für sich allein funktionsfähig, besitzt also neben einer eigenen Stromversorgung auch eine eigene Peripherie. Die drei Kanäle werden parallel angesteuert und damit die einzelnen Ein-/Ausgabesteuerungen blockweise betrieben. Die peripheren Geräte wie Digital- und Analogeingabegeräte sind daher redundant aufgebaut. Ein solches Steuersystem erfordert e;nen großen Aufwand.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine redundante Prozeßsteueranordnung der im Oberbegriff des Anspruchs 1 angegebenen Art so auszubilden, daß der Aufwand an die jeweils geforderte Verfügbarkeit und Funktionssicherheit angepaßt werden kann.
Diese Aufgabe wird erfindungsgemäß mit den im kennzeichnenden Teil des Anspruchs 1 angegebenen Maßnahmen gelöst.
Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet.
Es ist somit jeder Zentraleinheit eine in der Regel mehradrige Ausgabe-Sammelleitung zugeordnet, über welche jede Zentraleinheit Adressen von EinAusgabeeinheiten oder auch Daten ausgibt. Die EinAusgabeeinheiten sind zu Gruppen zusammengefaßt; jede Gruppe wird von Ausgabe-Majoritätsgliedern, derer. Anzahl gleich der Zahl der einer Zentraleinheit zugeordneten Ausgangs-Sammelleitungen ist, angesteuert. Diese Majoritätsglieder empfangen die binären Signale, die auf einander entsprechenden, den verschiedenen Zentraleinheiten zugeordneten Ausgabe-Sammelleitungen liegen und stellen fest, ob die Anzahl der log. »1«- oder »O«-Signale größer als eine vorgegebene Zahl ist. Ist dies der Fall, geben sie das mehrheitlich festgestellte Signal auf die Ein-Ausgabeeinheiten. Die redundanten Signale auf den Ausgabe-Sammelleitungen werden daher in nichtredundante Steuersignale umgewandelt. Mit einer solchen Anordnung wird eine hohe Verfügbarkeit der Zentraleinheiten und der Sammelleitungen erzielt, also der Bauteile, bei deren Ausfall die gesamte Steueran-1 Ordnung gestört und der zu steuernde Prozeß in einer nicht vorhersehbaren Weise beeinflußt werden kann. Einfachfehler in den Zentraleinheiten oder den Übertragungsleitungen können so festgestellt und angezeigt werden. Sie führen nicht zu einer Fehlfunktion des wichtigen informationsverarbeitenden Zentralteils. Auf die Fehleranzeige hin kann die defekte Baugruppe ohne Beeinträchtigung des Betriebs der gesamten Anlage ausgetauscht werden.
Für die Ein-Ausgabeeinheiten kann im allgemeinen eine geringere Verfügbarkeit und Zuverlässigkeit zugelassen werden, da bei Ausfall einer Ein-Ausgabeeinheit oder auch einer ganzen Ein-Ausgabebaugruppe nur ein Teil der Steueranordnung ausfällt. Wird von einer Ein-Ausgabeeinheit eine hohe Verfügbarkeit verlangt, so kann diese dadurch erzielt werden, daß mehrere Ein-Ausgabeeinheiten parallel betrieben werden. Vorzugsweise sind diese Ein-Ausgabeeinheiten in verschiedenen Ein-Ausgabebaugruppen untergebracht, so daß auch bei Ausfall einer ganzen Baugruppe die in den übrigen Baugruppen enthaltenen Ein-Ausgabeeinheiten funktionsfähig bleiben.
Die von den Ein-Ausgabebaugruppen zu den Zentraleinheiten zu übertragenden Signale werden parallel auf mehrere Eingabe-Sammelleitungen gegeben. An diese sind Eingabe-Majoritätsglieder angeschlossen, die entsprechend den Ausgabe-Majoritätsgliedern aufgebaut sind und die eine Mehrheitsentscheidung über die auf den Eingangs-Sammelleitungen liegenden Signale treffen, also z. B. ob im Falle von η Eingabeleitungen die Anzahl der log. »1«- oder »O«-Signale größer oder gleich als eine vorgegebene Zahl m ist. An diese Eingabe-Majoritätsglieder sind Zentraleinheiten angeschlossen.
Die Zentraleinheiten arbeiten zweckmäßig mit je einem Programmspeicher in der Weise zusammen, daß aufgrund des Programms Ein-Ausgabeeinheiten, Zeitwerke und dergleichen aufgerufen werden, die daraufhin Signale über den Zustand der zu steuernden Anlage rückmelden. Aufgrund dieser Signale und des gespeicherten Programms werden weitere Ein-Ausgabeeinheiten angesteuert.
Die neue Prozeßsteuerordnung ist besonders zur Verarbeitung von binären Signalen geeignet. Binäre Steuerungsanordnungen sind solche, bei denen die Daten eine Informationsmenge von 1 Bit haben. Die Ein- und Ausgabeeinheiten, Zeitstufen und dergleichen können mit Adressen aufgerufen werden. Die
Ausgabeeinheiten geben bei Aufruf ein Signal ab, mit dem z. B. ein Relaiskontakt geöffnet oder geschlossen wird. Die Eingabeeinheiten schalten bei Aufruf das an dem adressierten Eingang liegende Signal auf die Eingabe-Sammelleitung durch und so fort. Sind solche Steueranordnungen eingesetzt, dann werden über die Ausgabe-Sammelleitungen im wesentlichen Adressen von Eingängen, Ausgängen, Zeitstufen und dergleichen übertragen. Bei paralleler Übertragung der Adressen sind an jede Zentraleinheit mehrere, z. B. 19 Ausgabe-Sammelleitungen, angeschlossen. Über weitere Ausgabe-Sammelleitungen können Steuersignale, Taktsignale und dergleichen übertragen werden. Die neue redundante Steueranordnung kann aus Teilen solcher binärer Steueranordnungen aufgebaut werden.
Nachfolgend wird ein Ausführungsbeispiel der Erfindung anhand der Zeichnung näher erläutert. Es zeigt
Fig. 1 ein Übersichtsschaltbüd über die neue Α,η-ordnung,
Fig. 2 die Anordnung von Abschaltelementen,
Fig. 3 redundante Ein- und Ausgaben von Signalen, und
Fig. 4 Einzelheiten der in der Anordnung nach Fig. 1 verwendeten Majoritätsglieder.
In Fig. 1 sind mit ZEl, ZEl und ZE3 drei gleichartige Zentraleinheiten bezeichnet, die mit Daten, die über Eingänge 1, 2 und 3 zugeführt sind, arithmetische und vor allem logische Operationen durchführen. Jede dieser Zentraleinheiten arbeitet mit einem Programmspeicher SPl, SPl, SP3 zusammen, in denen jeweils das gleiche Programm gespeichert ist. Nach diesem Programm werden die arithmetischen und logischen Operationen durchgeführt. Die Zentraleinheiten ZEl, ZEl und ZE3 führen die einzelnen Programmschritte im Takt vor Impulsen aus, die ihnen über Eingänge 4, 5 und 6 von Taktgeneratoren TGl, TGl und TG3 zugeführt sind, die sich gegenseitig synchronisieren, so daß die einzelnen Programmschritte gleichzeitig von den Zentraleinheiten durchgeführt werden. Damit im Falle eines Kurzschlusses in einem der Taktgeneratoren TGl, TGl oder TG3 die anderen Taktgeneratoren nicht blokkiert sind, sind die Taktgeneratoren gegenseitig galvanisch mittels Optokopplern OKI, OKI und OK3 getrennt. Im Ausführungsbeispiel sind die Zentraleinheiten ZEl, ZEl und ZE3 derart aufgebaut, daß sie Informationen von je 1 Bit verarbeiten. Ihre Ausgangssignale, die im wesentlichen aus Adressen von Ein- oder Ausgängen, Zeitwerken oder Merkerspeichern bestehen, geben sie auf je eine Ausgabe-Sammelleitung ASLl, ASLl und ASL3. Da die genannten Ausgangssignale der Zentraleinheiten Informationen von mehreren Bits sind, haben die Ausgabe-Sammelleitungen jeweils mehrere Adern, damit die Ausgangssignale der Zentraleinheiten parallel übertragen werden können. In die Ausgabe-Sammelleitungen sind Ausgabeverstärker GFl, GK2und GV3 geschaltet.
An die Ausgabe-Sammelleitung ASLl ist ein Merkerspeicher MSl angeschlossen, in dem Zwischenergebnisse von logischen Operationen und dergleichen abgespeichert sind. Entsprechende Merkerspeicher MS2 und MS3, die bei ungestörtem Betrieb denselben Inhalt wie der Speicher AfSl haben, sind an die Ausgabe-Sammelleitungen ASLl und ASL3 angeschlossen. Ihre Speicherzellen haben eine Informationskapazität von 1 Bit. Wird eine Speicherzelle aufgerufen, so wird der Inhalt dieser Zelle auf Eingabe-Sammelleitungen ESLl, ESLl und ESL3 gegeben. Bei ungestörtem Betrieb werden von den Zentraleinheiten ZEl, ZEl und ZE3 entsprechende Speicherzellen der Merkerspeicher AfSl, MSl und MS3 aufgerufen und, da deren Inhalte gleich sein sollen, gleiche Signale auf die Eingabe-Sammelleitungen ESLl, ESLl und ELL3 ausgelesen. Die auf dieser Leitungen befindlichen Signale gelangen auf Optokoppler OKA, OKS und OK6, die jeweils einer der Zentraleinheiten zugeordnet sind. Sie trennen die Eingabe-Sammelleitungen ESLl, ESLl und ESL3 von Eingabe-Majoritätsgliedern EVl, EVl und EV3, welche eine (2-von-3)-Mehrheitsentscheidung treffen, d. h. ihr Ausgangssignal ist gleich dem Signal, das mindestens zwei ihrer drei Eingänge anliegt. Bei ungestörtem Betrieb sind die drei Eingangssignale gleich. Ist ein Signal von den beiden anderen verschieden, liegt ein einfacher Fehler vor, der mit einem auf Fehleranzeigeleitungen FZl, FZl oder FZ3 gegebenen Signal angezeigt wird. Kommt zu einem solchen einfachen Fehler zeitlich versetzt ein zweiter Fehler hinzu, so wird auf Doppelfehler erkannt und ein diesen kennzeichnendes Signal auf Leitungen DFl, DFl und DF3 gegeben, mit dem einerseits eine nicht dargestellte Anzeigeeinheit angesteuert wird und das andererseits über einen Eingang 13 bzw. 14 bzw. 15 der zugehörigen Zentraleinheit Z£l, ZEZ, ZE3 zugeführt wird, die daraufhin den gesteuerten Prozeß abschaltet, indem sie auf einen Ausgang 7 bzw. 8 bzw. 9 ein Abschaltsignal gibt. An diese Ausgänge sind Abschalteinrichtungen angeschlossen, die in Fig. 1 als Relais A, B und C gezeichnet sind.
In Fig. 2 ist die Schaltung der Kontakte der Relais A, B und C im einzelnen dargestellt. Mit el, al sind die Kontakte des Relais A, mit 61 und bl die des Relais B und mit el, el die des Relais C bezeichnet. Bei ungestörtem Betrieb sind sämtliche Kontakte geschlossen und eine Versorgungsspannung UB gelangt über diese Kontakte und Ausgabekontakte akl, akl, ak3... akn, die mit Verbrauchern Ll, Ll, L3... Ln in Reihe geschaltet sind. Diese Verbraucher sind z. B. Wicklungen von Magnetventilen, Wicklungen von Schützen für Heizungen und dergleichen. Die Ausgabekontakte akl, akl, ak3... akn sind je nach Zustand des zu steuerenden Prozesses geschlossen oder geöffnet. Schaltet eine der Zentraleinheiten ZEl, ZEl, ZE3 (Fig. 1) das an sie angeschlossene Relais ab, z. B. die Zentraleinheit ZjEI das Relais A, so werden die zugehörigen Kontakte, z. B. al und al geöffnet. Über die geschlossenen Kontakte bl und el gelangt die Versorgungsspannung Up weiterhin auf die Ausgabekontakte akl, akl... Schaltet noch eine zweite Zentraleinheit ZEl oder ZE3 ab, so werden auch die Kontakte bl und bl bzw. el und c2 geöffnei und sämtliche Verbraucher Ll, L2... Ln sind spannungsfrei, so daß der gesamte zu steuernde Prozeß abgeschaltet ist.
Der bisher beschriebene Teil der Anordnung nach Fig. 1 ist ein redundantes Informationsverarbeitungssystem, das aus drei unabhängig, aber taktsynchron arbeitenden Teilsystemen mit je einer Zentraleinheit, einem Programmspeicher, einem Taktgenerator, Merkerspeichern, Majoritätsgliedern zur Fehlererkennung und Mehrheitsentscheidung sowie notwendigen Verbindungsleitungen besteht. Im Ausführungsbeispiel ist die Mehrheitsentscheidung eine
(2-von-3)-Entscheidung; es sind aber auch andere Entscheidungen möglich, z. B. bei Erweiterung auf vier Teilsysteme eine (2-von-4)-Entscheidung. Einfache Fehler dieses informationsverarbeitenden Teils der Anordnung nach Fig. 1 werden erkannt und können, da die einzelnen Teile unabhängig arbeiten, ohne Unterbrechung der laufenden Prozeßsteuerung behoben werden. An den informationsverarbeitenden Teil sind die Teile der Prozeßsteueranordnung angeschlossen, welche die Verbindung zum zu steuernden Prozeß, z. B. die in Fig. 2 eingezeichneten Ausgabekontakte akl, akl, ak3... akn, herstellen. Diese Anlagenteile sind im Ausführungsbeispiel in Ein-Ausgabebaugruppen EAGl, EAGl untergebracht. Diese Baugruppen weisen u. a. Ausgabeeinheiten AEl bzw. AE2 auf, an deren Ausgänge Ali, Ali die in Fig. 2 gezeigten Lastwiderstände Ll, Ll, L3... Ln angeschlossen sein können. Die Ausgangskontakte akl, akl, ak3... akn sind Bestandteile der Ausgabeeinheiten AEl bzw. AEl. In den Ein-Ausgabebaugiuppen EAGl und EAGl sind ferner Eingabeeinheiten ££1 und EEl enthalten, deren Eingängen £1/ und Eli jeweils eine Meldung über die Schaltstellung eines Kontaktes, den Schaltzutand eines Grenzwertmelders oder dergleichen zugeführt ist. Weiter enthalten die Ein-Ausgabebaugruppen EAGl und EAGl Zeitwerke ZWl und ZWl, die jeweils im wesentlichen aus einem Taktgeber und einem voreinstellbaren Zähler bestehen. Sie können mit einem Impuls gestartet werden; ihr Ausgangssignal zeigt an, ob die voreingestellte Zeit seit dem Startimpuls abgelaufen ist oder nicht.
Die Ein-Ausgabebaugruppen £G1 und EAGl
können mittels Stecker an die Ausgabe-Sammelieitungen ASLl, ASLl und ASL3 angeschlossen sein. Diese sind von den Ein-Ausgabebaugruppen EAGl und EAGl durch Optokoppler OKI bzw. OK9 galvanisch getrennt, damit ein etwaiger Kurzschluß in den Ein-Ausgabebaugruppen die Sammelleitungen nicht blockieren kann. An die Ausgänge der Optokoppler OKI und OK9 sind Ausgabe-Majoritätsglieder AVl, AVl angeschlossen, welche entsprechend den oben beschriebenen Eingabe-Majoritätsgliedern £K1 und EVl arbeiten. Sie treffen demgemäß eine Mehrheitsentscheidung über die ihnen zugeführten drei Signale. Weicht eines dieser Signale von den beiden anderen ab, liegt ein Einfachfehler vor, und es wird eine Fehlermeldung über Leitungen FZA bzw. FZS gegeben. Doppelfehler werden mit an einem Ausgang DFi bzw. DF4 auftretenden Signalen den Zentraleinheiten Z£l, Z£2 oder ZE3 rückgemeldet, worauf diese die angeschlossenen Relais A, B, C abschalten können. Die Ausgangssignale der Ausgabe-Majoritätsglieder AVl, AVl werden über Leitungsverstärker LVl, LVl auf Sammelleitungen BLl, BLl gegeben, an welche die Ausgabeeinheiten, die Eingabeeinheiten und die Zeitwerke angeschlossen si^.d. Im Gegensatz zu den informationsverarbeitenden Teilen der Anordnung nach Fig. 1 sind die Ein-Ausgabebaugruppen EAGl und EAGl nichtredundant aufgebaut. Dies ist damit begründet, daß ein Ausfall des informationsverarbeitenden Teils den Ausfall der gesamten Anlage zur Folge hat, während bei einer Störung in einer Ein-Ausgabebaugruppe die Anlage nur teilweise ausfällt. Wie weiter unten gezeigt werden wird, können trotz des nichtredundanten Aufbaus der Ein-Ausgabebaugruppen Ein- und Ausgänge, an die wichtige Signalgeber oder Stellglieder
angeschlossen sind, mit hoher Verfügbarkeit und Zuverlässigkeit betrieben werden.
Wie schon erwähnt, ist jedem der Ausgänge Ali, Ali und der Eingänge £1/ und Eli eine Adresse zugeordnet. Soll z. B. ein Ausgang auf log. »1 «-Signal gelegt werden, so geben alle drei Zentraleinheiten die Adresse des angewählten Ausganges sowie gegebenenfalls Steuerinformationen wie »Ein« oder »Aus« auf die Sammelleitungen ASLl, ASLl und ASL3. Im Ausführungsbeispiel besteht die so ausgegebene Information aus 15 Bit, d. h., daß die Ausgabe-Sammelleitungen jeweils 15 Adern haben. Die auf einander entsprechenden Adern liegenden Signale werden je einem Optokoppler OKI bzw. OK9 zugeführt; es sind also 15 Optokoppler je Ein-Ausgabebaugruppe und 15 Ausgabe-Majoritätsglieder AVl bzw. AVl in jeder Ein-Ausgabebaugruppe enthalten. Die Ausgabeeinheiten AEl, AEl weisen je einen Adressendecodierer auf, der den von den Zentraleinheiten adressierten Ausgang ansteuert, sü daß an diesem die in der Steuerinformation enthaltene Anweisung ausgeführt wird, z. B. ein Ausgabekontakt geschlossen wird. Jedem Ausgang kann ein Speicher zugeordnet sein, der das auf den Ausgang geschaltete Signal aufrechterhält, bis es durch einen Befehl der zentralen Einheiten zurückgenommen wird.
Soll das an einem der Eingänge £l/oder Eli anliegende Signal abgefragt werden, geben die Zentraleinheiten ZEl, Z£2 und ZE3 die Adresse dieses Einganges auf die Ausgabe-Sammelleitungen. In den Eingabeeinheiten ££1 und ££2 enthaltene Adressendecodierer schalten das am angewählten Eingang liegende Signal oder ein davon abgeleitetes Signal auf eine Statusieitung STLl bzw. STL2 durch, an die drei Adreßdecoder ADCl bzw. ADCl angeschlossen sind. Diesen sind ferner die Ausgangssignale der Optokoppler OKI und OK9 zugeführt. Anhand dieser Signale prüfen sie, ob ein Eingang der Baugruppe, in der sie enthalten sind, adressiert ist. Ist dies der Fall, schalten sie das auf der Statusleitung STLl bzw. STLl befindliche Signal auf einen Optokoppler OK8 bzw. OKlO durch, an den die Eingabe-Sammelleitungen ESLl, ESLl und ESL3 angeschlossen sind. Die Adreßdecoder ADCl und ADCl verhindern auf diese Weise, daß im Falle einer Störung der Eingabeeinheiten die Eingabe-Sammelleitungen ESLl, ESLl und ESL3 blockiert werden können. Entsprechend verhindern die Optokoppler OK9 und OKlO ein Sperren der Eingabe-Sammelleitungen infolge eines Kurzschlusses im Ausgang einer der Ein-Ausgabebaugruppen EAGl und EAGl.
Den Zeitwerken ZWl und ZWl ist ebenfalls je eine Adresse zugeordnet. Durch Zufuhr dieser Adressen sowie entsprechender Steuerinformationen können die Zeitwerke gestartet und abgefragt werden, ob die eingestellte Zeit abgelaufen ist oder nicht. Bei der Abfrage geben die Zeitwerke ZWl, ZWl ein Zustandssignal auf die zugehörige Statusleitung S7*L1 bzw. STLl.
In der Anordnung nach Fig. 1 kann eine Vielzahl von Fehlern erkannt werden. Es werden im folgenden einige Beispiele beschrieben. Zeigen alle Ausgabe-Majoritätsglieder A Vl, AVl... einen einfachen Fehler auf einer Ausgabe-Sammelleitung, z. B. der Sammelleitung ASLl, an, ist die Sammelleitung ASLl, die Zentraleinheit Z£l, der Taktgenerator TGl oder der Programmspeicher 5Pl gestört. Mit Hilfe weiterer Verknüpfungsglieder, die gegebenenfalls zwischen die
Programmspeicher 5Pl, SPl, SP3 und die zugehörigen Zentraleinheiten ZEl, ZEl, ZE3 geschaltet sind, können die defekten Baugruppen weiter eingegrenzt werden. Beim Auftreten eines Doppelfehlers an allen Ausgabe-Majoritätsgliedern AVl, AVl sind zwei Ausgabe-Sammelleitungen oder Zentraleinheiten gestört, und die Anlage wird abgeschaltet. Tritt nur an einem Ausgabe-Majoritätsglied ein Fehler auf, so ist dieses oder der vorgeschaltete Optokoppler gestört. Wird im Falle von η Ausgabe-Verknüpfungsgliedern von den ersten / kein Fehler festgestellt, dagegen aber von den folgenden k bis n, so sind ein bzw. mehrere Ausgabe-Sammelleitungen zwischen der /'-ten und der k-t&n Ein-Ausgabebaugruppe defekt. Tritt ein Fehler an einem der Eingabe-Majoritätsglieder EVl, EVl, EVb auf, so ist dieses selbst, der ihr vorgeschaltete Optokoppler oder dessen Anschlußleitungen defekt. Bei Auftreten von Doppelfehlern an zwei Eingabe-Majoritätsgliedern wird die Anlage abgeschaltet. Zeigen aüe drei Eingabe-Majoritätsglieder einen einfachen Fehler an einer einzigen Eingabe-Sammelleitung an, ist nur diese gestört; die Anlage kann weiterarbeiten. Stellen alle Eingabe-Majoritätsglieder einen Fehler bei Abfrage einer bestimmten Eingabeeinheit fest, so ist diese oder die zugehörige Ein-Ausgabebaugruppe defekt. In einem solchen Falle ist eine Eingabe von Meldungen über diese Eingabebaugruppe nicht mehr möglich.
Fig. 3 zeigt, wie mit der Anordnung nach Fig. 1 Signale mit hoher Funktionssicherheit ein- und ausgegeben werden können. Mit EACS und EAGS sind drei Ein-Ausgabebaugruppen bezeichnet. Das Ausgangssignal eines Signalgebers GB soll mit hoher Zuverlässigkeit eingegeben werden. Hierzu ist der Ausgang des Signalgebers GB mit drei Eingängen verbunden, und zwar mit einem Eingang £31 einer Eingabeeinheit ££3, mit einem Eingang £41 einer Eingabeeinheit ££4 und mit einem Eingang £51 einer Eingabeeinheit ££5. Die Eingabeeinheiten ££3, ££4 und ££5 sind in verschiedenen Ein-Ausgabebaugruppen untergebracht, damit bei Ausfall einer ganzen Ein-Ausgabebaugruppe das Signal des Gebers GB von den beiden anderen Baugruppen aufgenommen werden kann. Die Anordnung arbeitet in der Weise, daß die Zentraleinheiten die Eingänge £31, £41 und £51 nacheinander abfragen, die Abfrageergebnisse miteinander vergleichen und eine (2-von-3)-Mehrheitsentscheidung treffen. Selbstverständlich kann das Signal des Gebers GB auch auf mehr als drei Eingänge gegeben und z. B. eine (2-von-4)-Mehrheitsentscheidung getroffen werden. Eine größere Funktionssicherheit wird erreicht, wenn anstelle eines Gebers GB drei oder mehr Geber vorgesehen sind und diese mit je einem Eingang verbunden werden. Die den Eingängen zugeführten Signale werden wieder abgefragt, und es wird eine Mehrheitsentscheidung getroffen.
Zur zusätzlichen Überprüfung der Eingangskanäle in den Eingabeeinheiten ££3, ££4, ££5 ist die P-Versorgungsspannung für den Geber GB über einen Kontakt akSO an einem Ausgang ASl einer Ausgabeeinheit AES geführt. Durch öffnen des Kontaktes akSO kann, von den Zentraleinheiten gesteuert, die Versorgungsspannung kurzzeitig unterbrochen werden, so daß sich der logische Zustand an den Eingängen £31, £41, £51 von log. »1« nach log. »0« ändert, wenn der Geber fehlerfrei arbeitet. Die Zentraleinheiven überprüfen diesen Signalwechsel durch Abfragen der Eingänge £31, £41, £51 und geben eine Meldung ab, wenn die betreffenden Eingabeeinheiten ££3, ££4 und ££5 trotz der unterbrochenen Geberversorgungsspannung weiterhin log. »1« melden.
Eine Möglichkeit, Signale mit hoher Zuverlässigkeit auszugeben, besteht darin, daß an Ausgänge A32, A42 und ASl von Ausgabeeinheiten AE3, AE4 und AES, die in verschiedenen Ein-Ausgabebaugruppen EAG3, EAG4 und EAGS untergebracht sind, die Eingänge eines (2-von-3)-Majoritätsgliedes VK angeschlossen sind, von dessen Ausgang ein Signal zum Ansteuern eines Stellgliedes oder dergleichen abgenommen werden kann. Über eine Leitung FZG werden Fehlermeldesignale ausgegeben, wenn auf den drei Eingangsleitungen des Majoritätsgliedes VK unterschiedliche Signale liegen. Mit einer solchen Anordnung ist zwar die Ausgabe eines Signals gesichert, Fehler, die an Schaltungsteilen auftreten, die dem Majoritätsglied VK nachgeordnet sind, werden jedoch nicht erkannt.
Fig. 3 zeigt ferner eine Anordnung zur zuverlässigen Ausgabe von Signalen, bei der auch Fehler in den Zuleitungen zum Stellglied und in diesem erfaßt werden. Soll z. B. ein Magnetventil MV geschaltet werden, so ist dessen Wicklung zwischen einen Ausgang /131 und in der Ein-Ausgabebaugruppe EAG3 enthaltenen Ausgabeeinheit AEi und den Ausgang /141 einer in der Ein-Ausgabebaugruppe EAG4 enthaltenen Ausgabeeinheit AE4 geschaltet. Die Ausgabeeinheit /4£3 enthält einen Ausgabekontakt aA-30, über den P-Signal an den Ausgang /131 gelegt werden kann. Entsprechend kann M-Signal über einen Ausgabekontakt ak40 auf den Ausgang /141 geschaltet werden. Zum öffnen bzw. Schließen des Magnetventils MV sind beide Ausgabekontakte ak3Q und ak4Q geschlossen, so daß über die Wicklung des Magnetventils ein Strom von P nach M fließt. Der sichere Zustand soll dann bestehen, wenn kein Wicklungsstrom fließt. Tritt ein Fehler auf, der verhindert, daß einer der Ausgabekontakte ak30, ak40 nicht öffnet, so kann der andere Ausgabekontakt den Strom unterbrechen. Zum Prüfen der Funktionsfähigkeit der Ausgabekontakte ak30 und ak40 ist der Ausgang /131 mit einem Eingang £42 der Eingabeeinheit ££4 und der Ausgang /141 mit einem Eingang £32 der Eingabeeinheit ££3 verbunden. Von Zeit zu Zeit wird von den Zentraleinheiten ein Befehl zum kurzzeitigen Öffnen der Kontakte ak30 und ak40 gegeben. Die Kontakte dürfen nur so kurz geöffnet sein, daß ein Magnetventil nicht abfällt. Gleichzeitig werden die Eingänge £32 und £42 abgefragt. Aus den an diesen liegenden Signalen kann erkannt werden, ob die Kontakte tatsächlich geöffnet wurden. Zweckmäßig wird der in der Ein-Ausgabebaugruppe EAG3 enthaltene Kontakt ak3O durch Abfragen eines Einganges der Ein-Ausgabebaugruppe EAG4 geprüft. Entsprechend ist der Ausgang AE4 der Baugruppe £y4G4 mit einem Eingang der Baugruppe EAG3 verbunden.
Fig. 4 zeigt Einzelheiten einer bevorzugten Ausführungsform der in Fig. 1 eingesetzten Majoritätsglieder. Bei dem gewählten Beispiel handelt es sich um ein Ausgabe-Majoritätsglied, jedoch ist dieses Beispiel ohne weiteres auch als Eingabe-Majoritätsglied einsetzbar. Die Eingangssignale sind drei Eingängen I, II und III zugeführt. Der Eingang I ist mit der Ausgabe-Sammelleitung .4SLl der Anordnung nach Fig. 1, der Eingang II mit der Ausgabe-Sammel-
leitung ASL2 und der Eingang III mit der Leitung ASLi verbunden. An je zwei der Eingänge I, II und III sind UND-Glieder Ul, U2 und t/3 angeschlossen, welche somit prüfen, ob zwei der drei Eingangssignale »1« sind. Sind mindestens zwei Signale log. »0«, geben alle UND-Glieder Ul, t/2, t/3 »O«-Signale ab. Sind zwei Eingangssignale log. »1«, ist das Ausgangssignal eines UND-Gliedes »1«. Dieses wird über ein ODER-Glied Ol auf den Eingang eines Leitungsverstärkers L K geschaltet, an den eine Leitung BL angeschlossen ist, die mit den Adressen- und Steuereingängen einer Eingabeeinheit EE, einer Ausgabeeinheit AE und eines Zeitwerkes Z W verbunden ist. An das Ende der Leitung BL sind die einen Eingänge von Antivalenzgliedern ANl, AN2, ANi angeschlossen, deren anderen Eingängen je ein Signal von den Eingängen I, II, III zugeführt ist und denen die Vorbereitungseingänge von bistabilen Kippstuten BKl, BK2, BKi nachgeschaltet sind. Den Takteingängen der bistabilen Kippstufe sind über eine Leitung T Taktimpulse zugeführt. Mitteils einer Quittungstaste QT, die an die Rücksetzeingänge der bistabilen Kippstufen angeschlossen ist, können diese rückgesetzt werden. An die Ausgänge der bistabilen Kippstufen BKl, BKl, BKi sind Lampen ALI, ALI, ALi zur Anzeige von einfachen Fehlern sowie Leitungen EFl, EFl, EFi angeschlossen, über die Einfachfehler kennzeichnende Signale abgegeben werden. Drei UND-Glieder UA, US, t/6 verknüpfen die Ausgänge von je zwei bistabilen Kippstufen. Sind mindestens zwei bistabile Kippstufen gesetzt, d. h. liegt ein Doppelfehler vor, gibt eines der UND-Glieder UA, t/5, Uf) »1 «-Signal ab, das über ein ODER-Glied O2 auf eine Lampe ALA zur Anzeige von Doppelfehlern und eine Leitung DF gegeben wird. An die Leitung DF ist gemäß Fig. 1 eine Zentraleinheit angeschlossen, die, wenn sie über diese Leitung ein Signal erhält, das von ihr gesteuerte Relais A bzw. B bzw C (Fig. 1) abschaltet.
Es wurde in der Beschreibung der Fig. 1 erläutert, daß die Ausgabe-Majoritätsglieder A Vl und A Vl mehrfach vorhanden sind. Dies bedeutet, daß auch die UND-Glieder t/l, t/2, Ui, das ODER-Glied Öl, der Verstärker LV, die Leitung BL und die Antivalenzglieder ANl, ANl, ANi mehrfach vorhanden sind. Die Kippstufe BKl und die ihr nachgeordneten Schaltungsteile brauchen nur einfach vorgesehen zu sein, wenn die Ausgänge des Antivalenzgliedes ANl und der diesem entsprechenden, derselben Ausgabe-Sammelleitung ASLl zugeordneten Antivalenzglieder über ein ODER-Glied verknüpft sind, dessen Ausgang die bistabile Kippstufe BKl nachgeschaltet ist. In gleicher Weise können die den Ausgabe-Sammelleitungen ASLl und ASLi zugeordneten Antivalenzglieder mit den Eingängen der bistabilen Kippstufe BK2 und BKi verbunden sein. In diesem Falle zeigen die Anzeigelampen ALI, ALI, ALi nur an, auf welcher Ausgabe-Sammelleitung und nicht auf welcher Ader derselben ein Fehler aufgetreten ist.
Zur Erläuterung der Funktion der in Fig. 4 gezeigten Anordnung ist zunächst angenommen, daß an allen drei Eingängen I, II, III log. »1«-Signal liegt. Die Koinzidenzbedingungen an den Eingängen der UND-Glieder t/l, t/2, t/3 sind somit erfüllt, und das ODER-Glied Ol gibt »1 «-Signal ab, das über den Leitungsverstärker LV und die Leitung BL auf die einen Eingänge der Antivalenzglieder ANl, AN2 und ANi gelangt. Deren zweiten Eingängen ist ebenfalls »1 «-Signal unmittelbar von den Eingängen I, II, III zugeführt, so daß die Ausgangssignale aller Antivalenzglieder ANl, AN2, ANi »0« ist; es wird kein Fehler angezeigt. Wird das Signal am Eingang I »0«, ist nur noch an den Eingängen des UND-Gliedes t/2 die Konzidenzbedingung erfüllt; das ODER-Glied Ol gibt daher weiter »1 «-Signal ab, entsprechend der Mehrheit der an den Eingängen I, II, III liegenden Signale. Während den beiden Eingängen der Antivalenzglieder AN2, ANi »1 «-Signal zugeführt und ihr Ausgangssignal daher »0« ist, liegt am zweiten Eingang des Antivalenzgliedes ANl »O«-Signal. Die Antivalenzbedingung ist erfüllt, die Kippstufe BKl wird mit dem nächsten Taktimpuls auf der Leitung T gesetzt, und es wird auf die Leitung EFl »1 «-Signal gegeben, das die Anzeigelampe ALI zum Aufleuchten bringt, zum Zeichen dafür, daß am Eingang I ein anderes Signal als an den beiden anderen Eingängen II und III liegt und die am Eingang I zugeordneten Schaltungsteile fehlerhaft sind. Nach Beheben des Fehlers und Betätigen der Quittungstaste QT erlischt die Anzeigelampe ALI.
Es wird nun angenommen, daß zusätzlich zum »O«-Signal am Eingang I auch am Eingang III »O«-Signal erscheint. An keinem der UND-Glieder t/l, Ul, Ui ist dann die UND-Bedingung erfüllt, das Ausgangssignal des ODER-Gliedes Ol wird »0«. Beiden Eingängen der Antivalenzglieder ANl und ANi wird »O«-Signal zugeführt, so daß auch ihr Ausgangssignal »0« ist. Die beiden bistabilen Kippstufen BKl und BKi ändern ihren Schaltzustand nicht. Dagegen ist die Antivalenzbedingung für das Antivalenzglied ANl erfüllt, die bistabile Kippstufe BKl wird gesetzt, so daß außer der Lampe ALI die Anzeigelampe ALI aufleuchtet, also die dem ungestörten Eingang zugeordnete Lampe. Bei einem derartigen stufenweise auftretenden Doppelfehler leuchten also zwei Lampen auf. Die nicht aufleuchtende Lampe kennzeichnet den einen Eingang, an dem ein Signal auftritt, das von den an den beiden anderen Eingängen liegenden Signalen abweicht. Von den den beiden aufleuchtenden Lampen zugeordneten Schaltungsteilen sind diejenigen defekt, die der zuerst aufleuchtenden Lampe zugeordnet sind. Das Auftreten eines solchen Doppelfehlers hat zur Folge, daß die UND-Bedingung für eines der UND-Glieder t/4, US, t/6, im beschriebenen Beispiel für das UND-Glied UA, erfüllt ist. Das ODER-Glied O2 gibt daher auf die Leitung DF »1 «-Signal, das die Lampe ALA als Zeichen für das Vorliegen eines Doppelfehlers zum Aufleuchten bringt und das zu einer Zentraleinheit geleitet wird, damit diese das an sie angeschlossene Relais abschaltet.
Liegt an allen drei Eingängen I, II und III »O«-Signal, zeigen die Anzeigelampen ALI, ALI, ALi keine Störung an. Wird ein Eingangssignal »1«, leuchtet die zugehörige Lampe auf. Wird ein weiteres Eingangssignal »1«, leuchtet zusätzlich die Lampe auf, die dem Eingang zugeordnet ist, an dem »O«-Signal liegt, sowie die Anzeigelampe ALA.
Bei einer Störung des Leitungsverstärkers L V oder der Leitung BL ist die Antivalenzbedingung an allen Antivalenzgliedern ANl, ANl, ANi erfüllt. Es werden alle drei bistabilen Kippstufen BKl, BKl und 5^3 gesetzt und die Anzeigelampen ALI, AL2, ALi für Einfachfehler sowie die Lampe ALA für Doppelfehlermeldung leuchten auf. In diesem Falle, in dem nur eine Ein-Ausgabebaugruppe gestört ist, muß die
13 14
Abgabe eines Abschaltsignals für die Zentraleinheiten Das in Fig. 4 gezeigte Verknüpfungsglied kann da-
verhindert werden. Dadurch, daß die Antivalenzglie- hingehend vereinfacht werden, daß die UND-Glieder
der ANl, AN2 und ANi an das Ende der Leitung 1/4, US und i/6 und die diesen nachgeordneten
BL angeschlossen sind, wird somit auch die Leitung Schaltelemente fehlen. Eine Anzeige von Doppelfeh-
BL und der Leitungverstärker LV überwacht. -> lern ist dann nicht mehr möglich.
Hierzu 4 Blatt Zeichnungen

Claims (13)

Patentansprüche:
1. Redundante Prozeßsteueranordnung mit mehreren parallel arbeitenden gleichartigen Zentraleinheiten, an deren Ausgängen Ausgabe-Sammelleitungen und an deren Eingängen Eingabe-Sammelleitungen angeschlossen sind, mit denen Prozeßein- und -ausgänge aufweisende Ein-/Ausgabegruppen verbunden sind, wobei zwischen den Ausgabesammelleitungen und jeder Ein-/Ausgabebaugruppe ein Majoritätsglied geschaltet ist und die redundanten Eingabe-Sammelleitungen vor jeder Zentraleinheit durch ein Majoritätsglied zusammengefaßt sind, gekennzeichnet durch folgende Merkmale:
a) an jede Ein-/Ausgabebaugruppe sind sämtliche Eingabe-Sammelleitungen parallel angeschlossen;
b) die EirtVAusgabebaugruppen sind voneinander unabhängig ansteuerbar.
2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, daß an jede Ausgabe-Sammelleitung (ASLl, ASLl, ASL3) ein Merkerspeicher (MSl, MSl, MS3) angeschlossen ist, in dem Zwischenergebnisse und dergleichen speicherbar sind und dessen Ausgang mit einer Eingabe-Sammelleitung (ESLl, ESLl, ESL3) verbunden ist.
3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Ein-Ausgabegruppen (EAGl, EAGl) von den Sammelleitungen (ASLl, ASLl, ASL3, ESLl, ESLl, ESL3) galvanisch getrennt sind.
4. Anordnung nach einem der Ansprüche 1 bis
3, dadurch gekennzeichnet, daß die Zentraleinheiten (ZEl, ZEl, ZE3) von den Eingabe-Sammelleitungen (ESLl, ESLl, ESL3) galvanisch getrennt sind.
5. Anordnung nach einem der Ansprüche 1 bis
4, dadurch gekennzeichnet, daß die Eingänge (.£31, £41, £51) verschiedener Ein-Ausgabebaugruppen (EAG3, EAG4, EAG5) parallel geschaltet sind (Fig. 3).
6. Anordnung nach einem der Ansprüche 1 bis
5, dadurch gekennzeichnet, daß die Versorgungsspannung (P) eines Signalgebers (GB), an dessen Ausgang ein oder mehrere Eingänge (£31, £41, £51) angeschlossen sind, von einem Ausgang (/451) abgenommen ist, dessen Signal periodisch kurzzeitig unterbrochen wird, und daß die Eingangssignale der an den Signalgeber (GB) angeschlossenen Eingänge (£31, £41, £51) bei unterbrochener Versorgungsspannung abgefragt werden.
7. Anordnung nach einem der Ansprüche 1 bis
6, dadurch gekennzeichnet, daß die Ausgänge von zwei Ausgabeeinheiten (AE3, AE4), insbesondere verschiedener Ein-Ausgabebaugruppen (EAG3, EAG4) una die Steuereingänge eines Stellgliedes (MV) in Reihe geschaltet sind.
8. Anordnung nach einem der Ansprüche 1 bis
7, dadurch gekennzeichnet, daß mehrere parallel betriebene Ausgänge von vorzugsweise verschiedenen Ein-Augabebaugruppen mit den Eingängen eines Majoritätsgliedes verbunden sind.
9. Anordnung nach einem Ansprüche 1 bis 7, dadurch gekennzeichnet, daß zwei Ausgängen (/431, /141) von Ausgabeeinheiten (AE3, AEA) Schalter (ak30, ak40) vorgeordnet sind, die mittels Steuersignal von den Zentraleinheiten in dieselbe Schaltstellung gesteuert sind und die mit einem Lastwiderstand MV) in Reihe geschaltet.
10. Anordnung nach Anspruch 9, dadurch gekennzeichnet, daß der eine Schalter (ak30) an den einen Pol (P) einer Spannungsquelle und der andere Schalter (ak40) an den anderen Pol (M) der Spannungsquelle angeschlossen ist und daß der Lastwiderstand (MV) zwischen die Schalter (ak30, ak40) geschaltet ist.
11. Anordnung nach Anspruch 9 oder 10. dadurch gekennzeichnet, daß die beiden Ausgänge (/431, /441), denen die Schalter (ak30, ak40) vorgeordnet sind, mit je einem zu einer anderen Em-/Ausgabebaugruppe (EAG4, EAG3) gehörenden Eingang (£42 bzw. £32) verbunden sind, daß die Schalter nacheinander kurzzeitig geöffnet sind und während der Öffnungszeiten der Eingang abgefragt ist, der mit dem dem geöffneten Schalter zugeordneten Ausgang verbunden ist.
12. Anordnung nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß die (n-von-/n)-Mehrheitsentscheidungen treffenden Majoritätsglieder (AVl... EVl...) Koinzidenzglieder (Ul, Ul, i/3) enthalten, denen jeweils eine der möglichen Signalkombinationen von η Signalen zugeführt sind und deren Ausgänge mit den Eingängen eines ODER-Gliedes (Öl) verbunden sind, daß an das ODER-Glied (Öl) die einen Eingänge von m Antivalenzgliedern (ANl, ANl, AN3) angeschlossen sind, deren anderen Eingängen jeweils eines der m Eingangssignale zugeführt ist und von deren Ausgängen Einfachfehlermeldesignale abnehmbar sind.
13. Anordnung nach Anspruch 12, dadurch gekennzeichnet, daß an die Antivalenzglieder (ANl, ANl, AN3) Speicher (BKl, BKl, BK3) angeschlossen sind, deren Ausgänge auf ein (fc-von- m)-, insbesondere (2-von-m)-Majoritätsglied (i/4, t/5, i/6) geführt sind, an die ein ODER-Glied (01) angeschlossen ist, von dessen Ausgang ein Mehrfachfehlermeldesignal abnehmbar ist.
DE19762647367 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung Expired DE2647367C3 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19762647367 DE2647367C3 (de) 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung
JP12636377A JPS5352033A (en) 1976-10-20 1977-10-20 Redundancy process controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19762647367 DE2647367C3 (de) 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung

Publications (3)

Publication Number Publication Date
DE2647367A1 DE2647367A1 (de) 1978-04-27
DE2647367B2 true DE2647367B2 (de) 1979-10-04
DE2647367C3 DE2647367C3 (de) 1982-12-09

Family

ID=5990926

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19762647367 Expired DE2647367C3 (de) 1976-10-20 1976-10-20 Redundante Prozeßsteueranordnung

Country Status (2)

Country Link
JP (1) JPS5352033A (de)
DE (1) DE2647367C3 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3024370A1 (de) * 1980-06-27 1982-01-28 Siemens AG, 1000 Berlin und 8000 München Redundantes steuersystem
DE3918962A1 (de) * 1989-06-09 1990-12-13 Siemens Ag Mehrrechnersystem

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4233682A (en) * 1978-06-15 1980-11-11 Sperry Corporation Fault detection and isolation system
DE2932270C2 (de) * 1979-08-09 1986-06-19 Standard Elektrik Lorenz Ag, 7000 Stuttgart Schaltungsanordnung zur signaltechnisch sicheren Ansteuerung eines Relais
DE3020884C2 (de) * 1980-06-02 1984-03-29 Siemens AG, 1000 Berlin und 8000 München Anordnung zum Übertragen von Signalen
EP0055264A1 (de) * 1980-06-26 1982-07-07 Gp-Elliott Electronic Systems Limited Überwachungssysteme
DE3402633A1 (de) * 1984-01-26 1985-08-01 Siemens AG, 1000 Berlin und 8000 München Schaltungsanordnung zum anschalten eines teilnehmers an eine busleitung
DE3737445A1 (de) * 1987-11-04 1989-05-18 Siemens Ag Schaltungsanordnung zum ueberwachen eines niederohmigen elektrischen bauelementes auf unterbrechung
DE3912335C2 (de) * 1989-04-14 1997-07-24 Siemens Ag Verfahren und Anordnung zum Prüfen von mehradrigen Datenübertragungswegen
JP2682251B2 (ja) * 1991-04-05 1997-11-26 株式会社日立製作所 多重化制御装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2023117B2 (de) * 1970-05-05 1975-10-30 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3024370A1 (de) * 1980-06-27 1982-01-28 Siemens AG, 1000 Berlin und 8000 München Redundantes steuersystem
DE3918962A1 (de) * 1989-06-09 1990-12-13 Siemens Ag Mehrrechnersystem
DE3918962C2 (de) * 1989-06-09 1998-01-22 Siemens Ag System mit mehreren asynchron arbeitenden Rechnern

Also Published As

Publication number Publication date
DE2647367C3 (de) 1982-12-09
DE2647367A1 (de) 1978-04-27
JPS5352033A (en) 1978-05-12

Similar Documents

Publication Publication Date Title
DE1279980C2 (de) Aus mehreren miteinander gekoppelten Datenverarbeitungseinheiten bestehendes Datenverarbeitungssystem
DE3706325A1 (de) Steuer- und datennetzwerk
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE2813418A1 (de) Einrichtung in einer elektronischen datenverarbeitungsanlage zur meldung von fehler- und betriebszustaenden
DE3024370A1 (de) Redundantes steuersystem
DE2647367C3 (de) Redundante Prozeßsteueranordnung
DE1512832A1 (de) Anordnung zur Schaffung eines Teilbetriebs bei einem ausgefallenen,in Serie geschleiften Traegersystem
DE2729362B1 (de) Digitale Datenverarbeitungsanordnung,insbesondere fuer die Eisenbahnsicherungstechnik,mit in zwei Kanaelen dieselben Informationen verarbeitenden Schaltwerken
DE3033071A1 (de) Prozessrechenanlage
DE3522220A1 (de) Anordnung zur ausgabe von steuersignalen an stellelemente eines prozesses
DE2651314B1 (de) Sicherheits-Ausgabeschaltung fuer eine Binaersignale abgebende Datenverarbeitungsanlage
DE2530887C3 (de) Steuereinrichtung zum Informationsaustausch
DE102004051130A1 (de) Verfahren und Automatisierungssystem zum Bedienen und/oder Beobachten mindestens eines Feldgerätes
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
DE2023117B2 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE102020112955B4 (de) Reiheneinbaugerät, Automatisierungssystem und Verfahren zur Prozessautomation
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
DE69120054T2 (de) Ausgabeverwaltungskreis für speicherprogrammierbare steuerung
DE2365092C3 (de) Elektronische Schaltung zur Frequenz- und Phasenüberwachung von Taktimpulsen
DE2217665B2 (de) Schaltungsanordnung für Fernmelde-, insbesondere Fernsprechvermittlungsanlagen mit mindestens zwei Rechnern zum abwechselnden Steuern von Vermittlungsvorgängen
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE2527098A1 (de) Schaltungsanordnung zur ueberpruefung der uebernahme bei digitalen speichern
EP1019824B1 (de) Verfahren zum erzeugen eines fehlerkennzeichnungssignals im datenbestand eines speichers und hierzu geeignete einrichtung

Legal Events

Date Code Title Description
OAP Request for examination filed
OD Request for examination
C3 Grant after two publication steps (3rd publication)
8339 Ceased/non-payment of the annual fee