-
-
Red@ndantes Steuersystem
-
Die Erfindung betrifft ein redundantes Steuersystem gemaß dem Oberbegriff
J f des Aispruci J)er~irTi ge Sieuersysteme sind mehrfach bekannt. Bei -spielsweise
ist in der DE-AS 21 08 49G bsc1iieben , die Ausgabetelegramme von drei Rechnern
nach einer Mehr!iei tsentscheidung zu prüfen und dadurch einen etwaigen defekten
Rechner festzustellen. Zur Funktionskontrolle werden der Vergleichseinrichtung absichtlich
ge fälschte Te legranme zugeführt.
-
Aus der DE-AS 26 47 3G7 ist bekanntgeworden, die Ausgangssignale von
drei parallel arbeitenden Zentraleinheiten über drei Busleitungen zu übertragen
und an diese periphere Einheiten über Mehrheitsschaltungen anzuschließen. Für die
Übertragung der Signale von den peripheren Einheiten zu den Zentraleinheiten sind
drei weitere Busleitungen vorgesehen. Mit dieser bekannten Steueranordnung können
auf Stellglieder, z. B. ein Magnetventil, Stellbefehle gegeben werden, die über
die peripheren Einheiten und die Eingangs-Busleitungen auf die Rechner rückgeführt
sind. Es kann somit die richtige Ausführung der Befehle überwacht werden. Eine weitere
Funktionskontrolle wird nicht durchgeführt. Die peripheren Einheiten können wahlweise
redundant oder nicht-redundant betrieben werden.
-
In der deutschen Patentanmeldung P 29 31 280.8 ist eine weitere redundante
Steueranordnung mit mehreren programnierbaren Rechnern vorgeschlagen, in welcher
die über Ausgangs-Busleitungen übertragenen Signale in den peripheren Einheiten
verknüpft werden und die verknüpften Signale
parallel über mehrere
Eingangs-Busleitungen zu den Zentraleinheiten rückgeführt werden. Dort werden die
rückgeführten Signale mit Sollsignalen verglichen, und im Falle einer Abweichung
wird ein Fehlersignal abgegeben.
-
Die bekannten Anordnungen arbeiten entweder in der Weise, daß getaktete
Vergleichseinrichtungen bei einer Antivalenz der überprüften Signale oder auch bei
einem Ausfall der Vergleichseinrichtung einen Prüftakt sperren. Beim Ausbleiben
von Prüftaktimpulsen werden dann Sicherheitsreaktionen ausgelöst. Andere Anordnungen
enthalten Register, in welche die Signale auf den Busleitungen bei jedem Bearbeitungsschritt
parallel übernommen werden und deren Inhalte verglichen werden. Die bekannten Anordnungen
haben den Nachteil, daß Schaltungen zur Erzeugung des Prüftaktes und zur Auswertung
des Prüftaktes notwendig sind.
-
Außerdem werden bei einigen bekannten Anordnungen die Zentraleinheiten
und die Verbindungsleitungen durch den Vergleich und die Ubertragung des Vergleichsergebnisses
belastet.
-
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine Steueranordnung
der im Oberbegriff des Anspruchs 1 angegebenen Art zu schaffen, die eine Vergleichseinrichtung
enthält, die sich durch Fehlersicherheit sowie einfachen Aufbau auszeichnet, und
bei der die Vergleichsergebnisse zu gewünschten Zeitpunkten zu den Zentraleinheiten
übertragen werden.
-
Erfindungsgemäß wird diese Aufgabe mit den im kennzeichnenden Teil
des Anspruchs 1 angegebenen Maßnahmen gelöst.
-
Die Vergleichseinrichtung enthält demnach außer dem oder den eigentlichen
Vergleichern, die mit Antivalenzgliedern gebildet sein können, einen Speicher, in
den Fehlersignale eingetragen werden, wenn Unterschiede zwischen den einander entsprechenden
Signalen in den Teilsystemen festge-
stellt werden. Diese Fehlersignale
bleiben zunächst gespeichert, bis sie von den Zentraleinheiten abgerufen werden.
Auf diese Weise werden zwar bei jedem Prograininbearbeitungsschritt der Zentraleinheiten
deren Ein- und Ausgabesignale auf Antivalenz überprüft, es wird aber nur zu bestimmten,
im allgemeinen durch die Bearbeitungsprogramme vorgegebenen Zeitpunkten das Vergleichsergebnis
abgerufen, so daß die Zentraleinheiten und die Ubertragungsleitungen nicht mehr
als notwendig belastet sind. Je nach geforderter Sicherheit des Steuersystems und
notwendiger Reaktionsgeschwindigkeit auf Antivalenzen der ein-und ausgegebenen Signale
können die Vergleichsergebnisse nach jedem Bearbeitungsschritt oder nach einer Folge
von Bearbeitungsschritten abgerufen werden. Es ist auch möglich, daß, wenn für bestimmte
Bearbeitungsschritte keine Redundanz erforderlich ist, die Teilsysteme unabhängig
voneinander verschiedene Programme bearbeiten und periphere Einheiten ansteuern.
Die dabei auftretenden Antivalenzen werden zwar von der Vergleichseinric.tung festgestellt
und im Fehlersignalspeicher gespeichert, dessen Inhalt wird aber nicht abgerufen.
Erst wenn eine redundante Signalübertragung erfolgt, wird der Speicher zurückgesetzt,
und während oder auch erst nach der redundanten Ubertragung wird er abgefragt, ob
eine Antivalenz aufgetreten ist. Die Zentraleinheiten des Steuersystems werden daher
zur Auswertung der Vergleichsergebnisse mitbenutzt, wobei die Reaktion auf Fehlermeldungen
programmierbar ist. Spezielle Abschalteinrichtungen sind nicht notwendig, da die
Zentraleinheiten Sicherheitsreaktionen redundant und damit fehlersicher ausführen
können.
-
Vorteilhaft ist das neue Steuersystem in der Weise ausgebildet, daß
je Teilsystem eine Daten-, Adressen- und Steuersignale übertragende Peripherie-Busleitung
vorgesehen ist, an welche die Zentraleinheit und die peripheren Einheiten angeschlossen
sind, und daß die Vergleichseinrichtung zwischen die Peripherie-Busieitungen geschaltet
ist und
die auf diesen übertragenen Signale miteinander vergleicht.
-
In derartigen Anordnungen sind den peripheren Einheiten Adressen zugeordnet.
Zum Aufrufen einer peripheren inheit und zur Durchführung eines Befehls werden auf
die Busleitungen eine Adresse und ein Datum geschaltet, welche die periphere Einheit
und den durchzuführenden Befehl angeben. In einem solchen System kann die Vergleichscinrichtung
wie jede andere periphere Einheit behandelt werden.
-
Es ist ihr also mindestens eine Adresse zugeordnet. Wird diese auf
die Busleitungen geschaltet, wird der Inhalt des Fehlersignalspeichers über die
Busleitungen redundant zur Auswertung den Zentraleinheiten zugeführt.
-
In der Vergleichseinrichtung können, von den Zentraleinheiten gesteuert,
weitere Funktionen ausgeführt werden.
-
Vorteilhaft wird von Zeit zu Zeit eine Testfunktion ausgeübt. Auch
hierzu geben die Zentraleinheiten mit einer Adresse Befehle aus, die von der Vergleichseinrichtung
decodiert und als Befehle zur Durchführung von Tests erkannt werden. Aus den decodierten
Befehlen werden Testsignale gebildet, mit denen ein oder mehrere steuerbare Inverter,
die jeweils dem einen Eingang eines Antivalenzgliedes vorgeschaltet sind, in den
invertierenden Betriebszustand geschaltet werden. Darauf werden wie üblich über
die Busleitungen gleiche Daten übertragen, auf die nun, da die Daten der einen Busleitung
dem Antivalenzglied invertiert zugeführt werden, die Vergleichseinrichtung anspricht
und ein Fehlersignal erzeugt, sofern sie ordnungsgemäß arbeitet. Die Zentraleinheiten
rufen den Inhalt des Fehlersignalspeichers ab und prüfen, ob ein Fehlersignal gespeichert
war. Da die Adresse und das Datum, aus welchen die Testsignale abgeleitet sind,
auf den Busleitungen im allgemeinen nicht so lange zur Verfügung stehen, bis der
Test abgeschlossen ist, ist zweckmäßig ein Testsignalspeicher vorgesehen, in dem
die aus der Adresse und dem Datum abgeleiteten Testsignale gespeichert werden. Das
Rücksetzen des Testsignalspeichers erfolgt
zweckmäßig mittels eines
von den Zentraleinheiten abgegebenen Befehls. Von der Rückflanke des Testsignals
kann, z. B. durch Differenzieren, ein Rücksetzimpuls für den Fehlersignalspeicher
gebildet werden.
-
Mit der neuen Anordnung können nicht nur die Ein- und Ausgangssignale
der Zentraleinheiten und der Speicher überwacht werden, sondern indirekt auch die
peripheren Einheiten, indem die Ausgangssignale von peripheren Ausgabeeinheiten
jedes Teilsystems auf Eingänge von peripheren Eingabeeinheiten des jeweils anderen
Teilsystems rückgeführt sind. Diese Signale werden von den peripheren Eingabeeinheiten
über die Busleitungen zur Zentraleinheit übertragen, wobei sie von der Vergleichseinrichtung
auf Gleichheit überwacht werden. Mit einer solchen Anordnung werden Einfachfehler
in den peripheren Einheiten erkannt.
-
Anhand der Zeichnung werden im folgenden die Erfindung sowie weitere
Ausgestaltungen und Ergänzungen näher beschrieben und erläutert.
-
Es zeigen Figur 1 das Prinzipschaltbild eines Ausführungsbeispiels,
Figur 2 das Schaltbild einer in dem System nach Figur 1 eingesetzten Vergleichseinrichtung
und Figur 3 Diagramme von in der Vergleichseinrichtung nach Figur 2 auftretenden
Impulsen.
-
In Figur 1 ist ein Steuersystem gezeigt, das aus zwei Teilsystemen
Ki, K2 besteht. Jedes von ihnen enthält eine Zentraleinheit Ziel, ZE2, welche Anweisungen
bearbeitet, die in einem ihr zugeordneten, nicht dargestellten Programmspeicher
enthalten sind, wobei Daten, die in einem Arbeitsspeicher AS1, AS2 abgelegt sind,
ausgewertet werden. Die Zentraleinheiten Ziel, ZE2 sind mit den Arbeitsspeichern
AS1, AS2 über Peripherie-Busleitungen PBS, PB2 verbunden.
-
An diese Busleitungen sind weitere periphere Einheiten, im
Ausführungsbeispiel
nach Figur 1 je ein Zeitzähler ZZ1, ZZ2, eine Ausgabeeinheit AE1, AE2 und eine Eingabeeinheit
Edel, EE2 angeschlossen. Die Ausgabeeinheiten dienen dazu, binäre Signale nach außen
abzugeben. Beispielsweise ist an Ausgänge A2, A'2 über Ansteuerglieder ST1, ST2
ein Relais RL angeschlossen. Ober die Eingabeeinheiten EE1, EE2 werden von außen
kommende binäre Signale auf die Busleitungen PB1, PB2 geschaltet und den Zentraleinheiten
ZEl, ZE2 oder auch unmittelbar den Arbeitsspeichern AS1, AS2 zugeführt. Jedem Zeitzähler
ZZI, jeder Zelle des Arbeitsspeichers AS1, jedem Ausgang Al, A2 ... der Ausgabeeinheit
AE1 und jedem Eingang El, E2 ... der Eingabe EE1 ist eine Adresse zugeordnet. Soll
z. B. das Relais RL angesteuert werden, dann geben die Zentraleinheiten ZEl, ZE2
die Adressen der Ausgänge A2, A'2 der Ausgabeeinheiten AE1, AE2 auf die Busleitungen
PB1, PB2. Die Adresse kann durch Befehle, wie Lesen, Schreiben, Öffnen, Schließen,
ergänzt sein. Entsprechend werden Signale von außen nur dann von der Eingabeeinheit
EE1 durchgeschaltet, wenn die Einheit adressiert ist.
-
Die beiden Zentraleinheiten ZEI, ZE2 sind identisch aufgebaut und
arbeiten synchron, wobei im allgemeinen nach übereinstimmenden Programmen gleiche
Daten verarbeitet werden.
-
Demgemäß haben die Zellen des Arbeitsspeichers AS2 dieselben Adressen
wie die des Arbeitsspeichers AS1. Ebenso können die Ausgänge A'1, A'2 ... der Ausgabeeinheit
AE2 dieselben Adressen wie die Ausgänge Al, A2 ... der Ausgabeeinheit AE1 haben.
Entsprechendes gilt für die Eingabeeinheiten und die Zeitzähler.
-
Damit die Eingangssignale redundant verarbeitet werden, sind den Eingängen
E3, E 3 und E4, E'4 gleiche Signale zugeführt. Gegebenenfalls müssen für die Abfrage
und Obertragung der Eingangssignale über die Busleitungen Synchronisiermaßnahmen
vorgesehen werden. Unter dieser Voraussetzung werden bei störungsfreiem Betrieb
an den Ausgän-
gen A2, A'2 der Ausgabeeinheiten Al, AE2 übereinstimmende
Signale abgegeben, so daß bei geeigneter Ausbildung der Ansteuereinheiten ST1, 5T2
das Relais RL nur dann anzieht, wenn z, B. an beiden Ausgängen A2, A'2 log. "l"-Signal
auftritt. Das Relais fällt ab, wenn an einem dieser beiden Ausgänge "O"-Signal auftritt.
Eine solche Betriebsweise wird man nur dann wählen, wenn die gesteuerte Anlage bei
angezogenem Relais in einen gefährlichen Zustand gelangen kann, ein abgefallenes
Relais dagegen die Anlage in einen sicheren Zustand bringt. Dementsprechend wird
man entsprechende Ausgänge der beiden Teilsysteme so verknüpfen, daß bei einer Antivalenz
der Ausgangssignale, d. h. bei einer Störung eines Teilsystems, die Anlage in den
sicheren Zustand gesteuert wird. Fällt ein Teilsystem aus, so kann Vorsorge dafür
getroffen werden, daß die Anlage mit dem anderen Teilsystem weiterbetrieben oder
zumindest in den sicheren Zustand gebracht werden kann.
-
Weniger wichtige Daten werden jeweils nur einem Eingang El, E2, E'1
zugeführt und nur vom Teilsystem Kl bzw. K2 bearbeitet. Ebenso können über die Ausgänge
Al, A 1 Daten nicht redundant ausgegeben werden. In diesen Fällen treten auf den
Peripherie-Busleitungen PB1, PB2 auch bei ordnungsgemäßem Betrieb unterschiedliche
Signale auf.
-
Eine andere Betriebsart besteht darin, daß Eingangssignale nicht-redundant
nur einer Eingabeeinheit EE1, EE2 zugeführt werden, daß aber die auf die Abfrage
dieser Eingabeeinheit auf die zugehörige Peripherie-Busleitung geschalteten Signale
mittels eines Koppelverstärkers KV1, KV2 auf die jeweils andere Busleitung gegeben
werden, so daß auf beiden Busleitungen gleiche Signale liegen. Die Koppelverstärker
sind ein- und ausschaltbar und erhalten von der zugehörigen Eingabeeinheit, die
einen Adressendecodierer enthält, dann ein Freigabesignal, wenn das von einem Eingang
abgefragte Signal beiden Zentraleinheiten ZEl, ZE2 zugeführt werden soll. Entsprechend
kann verfahren werden,
wenn ein Eingangssignal redundant zwei einander
entsprechenden Eingabeeinheiten, z. B. den Eingängen E3, E'3 der Eingabeeinheiten
EE1, EE2 zugeführt wird, indem in zwei Schritten, die nicht unbedingt aufeinanderfolgen
müssen, zunächst der Eingang ES der Eingabeeinheit EEi und dann der Eingang E'3
der Eingabeeinheit EE2 abgefragt wird. Bei ungestörtem Betrieb werden dann auf jeder
Peripherie-Busleitung zwei übereinstimmende Signalkombinationen übertragen. Im Falle
einer Störung eines Koppelverstärkers oder einer Peripherie-Busleitung sind jedoch
die über die Busleitungen gleichzeitig übertragenen Signalkombinationen unterschiedlich,
im Falle einer Störung einer Eingabeeinheit die auf den Busleitungen nacheinander
übertragenen Signalkombinationen. Im letzteren Falle werden die Zentraleinheiten
Ziel, ZE2 unterschiedlich reagieren, so daß deren Ausgangssignale voneinander abweichen.
-
Ähnlich wie die Eingangssignale können auch über die Ausgänge Al,
A2 ... A'1, A'2 Ausgangssignale seriell abgegebenen werden, indem einander entsprechenden
Ausgängen, z. B.
-
den Ausgängen A2, A'2, unterschiedliche Adressen zugeordnet sind.
In einem ersten Schritt geben die Zentraleinheiten ZEl, ZE2 einen Befehl zur Steuerung
des Relais RL mit der Adresse des Ausganges A2 ab und in einem zweiten Schritt,
der nicht unmittelbar auf den ersten Schritt folgen muß, denselben Befehl mit der
Adresse des Ausganges A'2.
-
Nach dem ersten Schritt erscheint am Ausgang A2 ein Steuersignal und
nach dem zweiten Schritt am Ausgang A'2. Da die Ausgangssignale nach einer UND-Funktion
verknüpft sind, wird das Relais RL erst nach dem zweiten Schritt angesteuert. Bei
jedem Schritt werden über die Peripherie-Busleitungen gleiche Signalkombinationen
übertragen.
-
Bei dem Normalfall des redundanten Betriebs stehen auf sich entsprechenden
Signalleitungen der Busleitungen PB1, PB2 immer gleiche Signale an. Zur Oberwachung
dieser Äquivalenz ist eine Vergleichseinrichtung VGL vorgesehen.
-
Die Vergleichsergebnisse werden in einem Fehlersignalspeicher, der
in der Vergleichseinrichtung enthalten ist, gespeichert. Dieser wird von den Zentraleinheiten
ZEl, ZE2 in gleicher Weise wie die anderen peripheren Einheiten AS1, AS2; AE1, AE2
; ... abgefragt und der Inhalt ausgewertet. Damit ist die Reaktion der Zentraleinheiten
auf von der Vergleichseinrichtung gemeldete Fehlersignale programmierbar, d. h.
es kann je nach den Erfordernissen in kürzeren oder längeren Abständen in bestimmten
Programmphasen die Vergleichseinrichtung abgefragt werden. Bei nicht-redundantem
Betrieb erfolgt keine Abfragung.
-
Die Vergleichseinrichtung nach Figur 2 enthält als Vergleichsschaltungen
Antivalenzglieder AK1 ... AKn. Die Adern der Peripherie-Busleitungen PB1, über welche
Daten übertragen werden, sind über Leitungen DA1 ... DAn und steuerbare Inverter
IV1 ... IVn mit den einen Eingängen der Antivalenzglieder AK1 ... AKn verbunden.
Deren andere Eingänge sind über Leitungen DA'1 ... DA'n jeweils an die entsprechenden
Adern der Busleitung PB2 des zweiten Teilsystems K2 angeschlossen. Den Invertern
IV1 ... IVn werden von einem weiter unten erläuterten Testsignalspeicher, bestehend
aus Kippstufen TS1 ... TSn, log. "O"-Signale zugeführt, so daß sie die Signale von
den Leitungen DA1 ... DAn unverändert zu den Antivalenzgliedern AK1 ... AKn durchschalten.
An diese ist ein Fehlersignalspeicher mit den Kippstufen FS1 ... FSn angeschlossen,
und zwar werden im Ausführungsbeispiel die Ausgangssignale der Antivalenzglieder
den Vorbereitungseingängen J zugeführt. Die Taktimpulse für die Kippstufen FS1 ...
FSn sind von den Steuersignalen "Schreiben" und "Lesen" abgeleitet, die über die
Busleitung PB1 zu den peripheren Einheiten übertragen werden. Hierzu sind diese
über Leitungen DS, DL einem UND-Glied OR mit ODER-Funktion zugeführt, an dessen
Ausgänge die Takteingänge der Kippstufen FS1 ... FSn angeschlossen sind. Mit der
positiven Flanke der Lese- und Schreibimpulse werden daher die Ausgangssignale der
Antivalenzglieder AK1 ... AKn in die
Kippstufen FS1 ... FSn übernommcll,
wobei die Ausgangssi-Signale log. "0" sind, wenn die Signale auf den Busleitungen
1, PB2 übereinstimmen. Im Falle einer Antivalenz ist das Ausgangssigiial des die
Antivalenz feststellenden Antivnlcllzgliedess log. "1".
-
In Figur 3 ist die Ansteuerung des Fehlersignalspeichers veranschaulicht.
In einem Diagramm da sind zwei Daten DTA1, DTA2 eingetragen, welche über die Busleitungen
PB1, PB2 übertragen werden. Das Datum DTA2 soll in eine periphere Einheit übernommen
und das Datum DTA'1 von einer peripheren Einheit über die Busleitungen in die Zentraleinheiten
ZE1, ZE2 eingelesen werden. Die Übernahme des Datums DTA2 ist durch die Rückflanke
eines Schreibimpulses bestirnmt, der in einem Diagramm ds dargestellt ist. Der Zeitpunkt
der Übernahme des Datums DTA1 in die Zentraleinheiten ZEl, ZE2 ist durch die Rückflanke
eines in einem Diagramm dl dargestellten Leseimpulses bestimmt. Da die Schreib-
und Leseimpulse nach einer ODER-Funktion verknüpft werden, gelangt an die Takteingänge
des Fehlersignalspeichers FS1 ... FSn eine Impulsfolge or, die je übertragenem Datum
DTA1, DTA2 eine positive Flanke aufweist, d. h. es wird bei jeder Gültigerklärung
der übertragenen Daten ein Vergleich durchgeführt und das Vergleichsergebnis in
den Fehlersignalspeicher eingetragen.
-
Stimmen z. B. die Signale, die dem Antivalenzglied AK1 zugeführt sind,
überein, so bleibt die Kippstufe FS1 im in Figur 2 eingezeichneten Zustand, und
die Anzeigelampe AL1 bleibt dunkel. Besteht dagegen eine Antivalenz der beiden Signale,
so wird die Kippstufe FS1 gesetzt, und die Anzeigelampe AL1 leuchtet auf.
-
Zur Verbesserung der Störsicherheit werden häufig Signale bei zweikanaliger
Übertragung nicht, wie in der bisherigen Beschreibung vorausgesetzt, äquivalent,
sondern antivalent übertragen. Ein in die beiden Leitungen eingestreuter Störimpuls
erscheint dann im Gegensatz zu den Nutzimpulsen als
äquivalentes
Signal und kann erkannt werden. Für diese Übertragungsart kann die Vergleichseinrichtung
nach Figur 2 ohne Änderung eingesetzt werden, indem die Inverter IV1 ... IVn von
den Kippstufen TS1 ... TSn des Testsignalspeichers nicht "O"-, sondern "1"-Signal
erhalten, also an den anderen Ausgang der Kippstufen angeschlossen sind.
-
Zum Abrufen des Inhalts des Fehlersignalspeichers FS1 ... FSn geben
die Zentraleinheiten über die peripheren Busleitungen PB1, PB2 Adressen und Leseimpulse
aus, welche von mit den Adressenleitungen der Busleitungen PB1, PB2 verbundenen
Adreßdecodierern LDC, LDC decodiert und als Freigabesignale Ausgabeverstärkern AV1
... AVn bzw. AV'1 ... AV'n zugeführt werden, so daß diese die von den Kippstufen
FS1 ... FSn erhaltenen Signale auf die beiden Busleitungen PBl> PB2 schalten.
Vorteilhaft sind die Ausgabeverstärker invertierend. Im Ausführungsbeispiel ist
angenommen, daß nur die Daten überprüft werden, was in vielen Fällen genügt. Sollen
auch die Adressen und Steuersignale überprüft werden, dann müssen die Inverter,
der Testsignal- und der Fehlersignalspeicher entsprechend erweitert und die Fehlersignale
zeitmultiplex zu den Zentraleinheiten übertragen werden. Ebenso wie die Adresse
für die Decodierer LDC, LDC' wird auch das Abfrageergebnis des Fehlersignalspeichers
zweifach redundant übertragen, damit ein Fehler in den für die Übertragung verantwortlichen
Komponenten erkannt werden kann.
-
Die Uberwachung der Schreib- und Leseimpulse kann dadurch verbessert
werden, daß diese Impulse nicht über zwei der Leitungen DA1 ... DAn bzw. DA ...
DA'n geführt werden, sondern daß die Schreib- und Leseimpulse von der peripheren
Busleitung PB1, PB2 jeweils auf ein dem ODER-Glied OR entsprechendes ODER-Glied
geführt sind und daß an jedes ODER-Glied der Takteingang einer bistabilen Kippstufe
angeschlossen ist. Die beiden Kippstufen werden dann bei un-
gestörtem
Betrieb synchron geschaltet. Je nach Ausgangszustand, der bei Einschalten der Vergleichseinrichtung
gewählt werden kann, sind die Ausgangssignale der Kippstufen stets äquivalent oder
antivalent. Durch Überprüfen der Schaltzustände dieser Kippstufen mit einer zusätzlichen
Vergleicherstufe können daher die Schreib- und Leseimpulse überwacht werden.
-
Es wird vorausgesetzt, daß der Testsignalspeicher TS1 TSn den Invertern
IV1 ... IVn "O"-Signal zuführt, damit die auf den Leitungen DA1 ... DAn liegenden
Signale unverändert zu den Antivalenzgliedern AK1 ... AKn gelangen.
-
Der Testsignalspeicher ist von einem Testsignaldecodierer TDC angesteuert,
dem, wenn die Vergleichseinrichtung getestet werden soll, von der Zentraleinheit
ZEl des ersten Teilsystems Adressen und Daten und außerdem über die Leitung DS ein
Schreibsignal zugeführt werden. Jeweils eine oder mehrere der Kippstufen TS1 ...
TSn des Testsignalspeichers werden dadurch in einen Schaltzustand gebracht, bei
dem den diesen nachgeschalteten Invertern IV1 ... IVn log. "1"-Signal zugeführt
wird, so daß die Signale von den Leitungen DA1 ... DAn invertiert werden und, wenn,
wie es bei ungestörtem Betrieb der Fall ist, auf den Busleitungen PB1, PB2 gleiche
Signalkombinationen liegen, die Antivalenzbedingung an den Eingängen derjenigen
AntivalenzgliederAKl AKn An erfüllt ist, welche durch die dem Testsignaldecodierer
TDC zugeführten Daten ausgewählt sind.
-
Es werden daher, wieder unter der Voraussetzung des fehlerfreien Betriebs,
die zugehörigen Kippstufen FS1 ... FSn des Fehlersignalspeichers gesetzt, von den
invertierenden Ausgabeverstärkern AV1 ... AVn bzw. AV ... AV n log.
-
"O"-Signale auf die Busleitungen PB1, PB2 geschaltet und von den Zentraleinheiten
der beiden Teilsysteme empfangen.
-
Liegt irgend ein Fehler im Vergleicher vor, empfängt eine oder beide
Zentraleinheiten über eine Ader, auf der bei Fehlerfreiheit ein log. "O"-Signal
auftreten sollte, log.
-
"l"-Signal, und der Fehler ist erkannt. Der Test wird
durch
Zürucksetzen des Testsignalspeichers beendet, wozu die Zentraleinheit ZEl des ersten
Teilsystems wiederuln den Testdecodierer TDC den Adressen der zurückzusetzenden
Kippstufen des Testsignalspeichers ansteuert. Die Testsignale werden von Differenziergliedern
R1, C1; ... .
-
Rn, Cii differenziert und auf die Rücksetzeingänge der Kippsi'ifen
FS1 ... FSn gegeben, derart, daß mit der Rück-@lanke der Testimpulse die Kippstufen
in den Felilerfreiheit anzeigenden Zustand geschaltet werden. Im allgemeinen wird
die Vergleichseinrichtung in mehreren Schritten getestet, wobei die Kombination
der gesetzten Kippstufen TS1 ... TSn des Testsignalspeichers von Schritt zu Schritt
geändert wird, bis allc für die Fehlererkennung notwendigen Kombinationen geprüft
sind. Der Testsignal-Adressendecodierer ist nur mit der Busleitung PB1 verbunden,
da ein etwaiger Decodierfehler beim Auswerten der Testergebnisse erkennbar ist.
Selbstverständlich kann auch ein zweiter Testsignal-Adressendecodierer vorgesehen
werden, der an die zweite Busleitung PB2 angeschlossen ist und dessen Ausgangssignal
mit dem des ersten verknüpft wird.
-
Für das Auswerten der Vergleichsergebnisse und für das vollständige
Testen der Vergleichseinrichtung sind nur wenige Schreib-, Lese- und Vergleichsoperationen
notwendig. Die für die Fehlererkennung notwendigen Programme laufen synchron in
beiden Zentraleinheiten ab, wobei die richtige Bearbeitung wiederum von der Vergleichseinrichtung
überwacht wird. Dadurch ergibt sich eine in sich geschlossene Prüfkette, bei der
die Fehlererkennungszeit und die Reaktion auf falsche Vergleichs- und Testergebnisse
programmierbar ist. Neben der Anzeige der Fehlerart und des Zeitpunkts des Fehlereintritts,
z. B. Programmspeicheradresse, können Fehlermeldungen zweikanalig und damit fehlersicher
über die beiden Teilsysteme und daran angeschlossene periphere Einheiten ausgegeben
werden.
-
Die Vergleichseinrichtung ist nicht-redundant aufgebaut, trotzdem
arbeitet sie weitgehend fehlersicher. Um die Verfügbarkeit und die Fehlersicherheit
der Vergleichseinrichtung zu erhöhen, kann eine zweite Vergleichseinrichtung VGL'
(Figur 1) vorgesehen werden, die zweckmäßig derart geschaltet ist, daß die Inverter
und der Testsignal-Adressendecodierer an die Busleitung PB2 angeschlossen sind.
-
In der Praxis wird man die Vergleichseinrichtung zur Entlastung der
Zentraleinheiten so betreiben, daß zunächst innerhalb einer kurzen Testphase alle
Schaltungskomponenten der Vergleichseinrichtung geprüft werden. Anschließend folgt
eine relativ lange Vergleichsphase zur Überwachung des redundanten Steuersystems.
Da alle Fehler in der Vergleichseinrichtung gespeichert werden, genügt es, wenn
die Vergleichsergebnisse einmal am Ende der Vergleichsphase abgefragt werden. Die
Fehlererkennungszeit kann verkleinert werden, indem man innerhalb der Vergleichsphase
die Abfragen mehrmals durchführt oder indem man die Vergleichseinrichtung so modifiziert,
daß eine gesetzte Kippstufe des Fehlersignalspeichers eine Programmunterbrechung
auslöst.
-
7 Patentansprüche 3 Figuren