DE3225712A1 - Verfahren und vorrichtung zur funktionspruefung von rechnern - Google Patents

Verfahren und vorrichtung zur funktionspruefung von rechnern

Info

Publication number
DE3225712A1
DE3225712A1 DE19823225712 DE3225712A DE3225712A1 DE 3225712 A1 DE3225712 A1 DE 3225712A1 DE 19823225712 DE19823225712 DE 19823225712 DE 3225712 A DE3225712 A DE 3225712A DE 3225712 A1 DE3225712 A1 DE 3225712A1
Authority
DE
Germany
Prior art keywords
computer
control
test
signals
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19823225712
Other languages
English (en)
Other versions
DE3225712C2 (de
Inventor
Wolfram Dipl Ing Poettig
Alfred Dipl Ing Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MT Aerospace AG
Original Assignee
MAN Maschinenfabrik Augsburg Nuernberg AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MAN Maschinenfabrik Augsburg Nuernberg AG filed Critical MAN Maschinenfabrik Augsburg Nuernberg AG
Priority to DE3225712A priority Critical patent/DE3225712C2/de
Priority to IT8348644A priority patent/IT1171846B/it
Priority to JP58125362A priority patent/JPH0644244B2/ja
Priority to US06/512,033 priority patent/US4627057A/en
Publication of DE3225712A1 publication Critical patent/DE3225712A1/de
Application granted granted Critical
Publication of DE3225712C2 publication Critical patent/DE3225712C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3183Generation of test inputs, e.g. test vectors, patterns or sequences
    • G01R31/318385Random or pseudo-random test pattern
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/273Tester hardware, i.e. output processing circuits
    • G06F11/277Tester hardware, i.e. output processing circuits with comparison between actual response and known fault-free response

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

gü/sd
M.A.N. MASCHINENFABRIK AUGSBURG-NÜRNBERG Aktiengesel1 schaft
München, 1. Juli 1982
Verfahren und Vorrichtung zur Funktionsprüfung
von Rechnern
Die Erfindung bezieht sich auf eine Einrichtung zur Funktionsprüfung von Rechnern zur Steuerung, Regelung oder Oberwachung von Prozessen.
Mikrorechnerunterstützte Steuer- und Regel systeme werden immer mehr auf Gebieten angewendet, an die höhere Sicherheitsanforderungen gestellt werden.
Dabei handelt es sich immer mehr um Prozesse, bei denen man den Prozeß nach einem Fehlerfall aus Sicherheitsgründen nicht unmittelbar abschalten darf oder aus Verfügbarkeitsgründen nicht abschalten will. Diese Aufgabe wird im allgemeinen durch Einsatz redundanter Regelungsund Steuersysteme gelöst. Das sind Systeme mit zwei oder mehreren unabhängigen Funktionskanälen, die Regelungs- oder Steuerungsaufgaben erfüllen und einem Mikrorechner, wobei der Mikrorechner die Umschaltsteuerung, die überwachung und die Fehlerlokalisierung in den Funktionskanälen übernimmt.
7.2133
Das Sicherheitskonzept geht davon aus, daß der Rechner, solange er fehlerfrei arbeitet, Fehler in den Regelkanälen erkennen und durch richtige Reaktion die zu regelnde Anlage in den sicheren Zustand bringen kann. Die Funktionssicherheit jedoch hängt hierbei letz!ich noch von möglichen Fehlerquellen des Rechners ab. Die Störungen eines Rechners können zeitlich begrenzt (z.B. Netzstörungen, Obersprechen) oder bleibend (z.B. Bautei1 ausfall) sein. Typische Fehlerwirkungen können sich ergeben durch Stehenbleiben des Rechners (Ausfall des Systemtakts); wenn der Rechner in einer Endlosschleife läuft; durch Datenfehler, insbesondere dynamische, abhängig von bestimmten Bitkombinationen; durch defekte Arithmetikeinheit, wodurch Befehle (z.B. Vergleiche) nicht mehr richtig durchgeführt werden; durch Veränderungen in der Software, auch in der Softwareredundanz, durch defekte Programmspeicher.
Mit zwei oder mehr Rechnern (MuI ti Prozessorsysteme), die sich gegenseitig überwachen, könnte die Funktionssicherheit erhöht werden, jedoch nur unter großem Aufwand, weil zum Ausschluß systematischer Fehler im allgemeinen diversitäre Hard- und Software erforderlich sind (Aufsatz von Knörnschild, RTP 1981, Heft 8).
2^ Bei allgemeinen Anwendungen wird jedoch der Zustand des angeschlossenen Prozesses außer durch logische Zustände (z.B. Schalterstellungen, Grenzwertmelder) auch durch kontinuierliche Größen beschrieben. Diese Tatsache schränkt die Anwendbarkeit eines Mehrprozeßsystems weiter hin, weil sich die Übereinstimmung mehrerer Rechner nicht durch
7.2133
01.07.1982
triviale Vergleiche auf Bitmusterebene überprüfen läßt, sondern nur durch umfangreiche, zusätzliche Softwareprozeduren.
Leichter beherrschbar und sowohl von den Entwicklungs- als auch von den Fertigungskosten her günstiger ist ein Einzelrechner, der aus Gründen der Fehlersicherheit mit einer Kontrol1 einheit gekoppelt ist. Ein einfaches, dazu üblicherweise verwendetes Verfahren beruht auf..dem Watchdog ("Wachhund"), der vom Rechner innerhalb eines periodischen Zeitfensters eine immer gleichbleibende Meldung erwartet. Damit kann jedoch im allgemeinen nur geprüft werden, ob der Rechner überhaupt noch arbeitet, nicht jedoch ob er in wesentlichen Funktionen korrekt arbeitet und sicherheitsrelevante Befehle richtig ausführt. So können in der Regel durch Watchdog-Schaltungen mit retriggerbaren Kippstufen die ersten beiden der vorstehenden Fehlerfälle erkannt werden (Ausbleiben eines Life-Signals). Jedoch versagt diese Einrichtung bei den übrigen Fehlermöglich-
keiten bzw. erkennt sie nur mit unzureichender Wahrscheinlichkeit. Zusätzlich bleibt bei den meisten Kontrol 1 schal tungen dieser Art ein Ausfall der Schaltung selbst unbemerkt.
Gerade aber bei sicherheitsrelevanten Anwendungen, bei denen die Gefährdung von Personen und Anlagen mit größtmöglicher Wahrscheinlichkeit ausgeschlossen werden muß, ist die Erkennung aller dieser Ausfälle unverzichtbar,
die nur durch zusätzliche problemorientierte Hardware-30
überwachung erreichbar ist.
7.2133
01.07.1982
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art zu entwickeln, mit dem unter möglichst geringem fertigungstechnischen Aufwand eine so umfassende überwachung des Rechners möglich ist, daß der Rechner für sicherheitsrelevante Aufgaben auch mit höchstem Gefährdungsgrad (Personenschäden) bei Prozesssteuerungen und -Überwachungen eingesetzt werden kann.
Die Aufgabe ist erfindungsgemäß durch ein Verfahren gemäß dem kennzeichnenden Teil des Anspruches 1 gelöst.
Mit dem erfindungsgemäßen Verfahren lassen sich die wesentlichen Funktionen eines Rechners bzw. eines Mikrorechners periodisch überwachen, wobei beim Auftauchen eines Fehlers die zu überwachende Anlage in eine Sicherheitsstellung gebracht werden kann. Dieses Verfahren ist außerdem universell anwendbar und liefert den weiteren Vorteil, daß beliebige Selbsttestmaßnahmen des Rechners durch ein effizientes Überwachungsverfahren abgesichert werden.
über Quittungssignale erkennt der Rechner zudem aufgrund der volldynamischen Arbeitsweise der Kontrol1 einheit alle dort auftretenden Fehler, so daß bei Ausschluß von unabhängigen Doppelfehlern ein fehlersicheres überwachungssystem entsteht.
Ein hohes Sicherheitsniveau und eine rasche Reaktion auf Fehlerzustände wird dadurch erreicht, daß die Eingriffe des Rechners auf den Prozeß jeweils nur nach einem Ver- ^0 gleich der Kontroll- und Prüfsignale erfolgt, wobei Eingriffe bei fehlerf-r-ßifem betrieb nur bei Übereinstimmung der Kontroll- und Prüfsignale wirksam werden. Damit wird verhindert, daß sich Fehl funktionen des Rechners auf den Prozeß auswirken. Dies.ermöglicht den Einsatz einkanaliger Rechnersysteme auch bei sicherheitsrelevanten Prozessanwendungen.
7.2133
01.07.1982
-δι Gemäß einer Ausgestaltung der Erfindung ist als Prüfsignal ein digitales Prüfwort, vorzugsweise in der Verarbeitungsbreite des Rechners vorgesehen. Zu seiner Bildung ist nur eine sehr einfache Hardware notwendig, die aber einen gegenüber herkömmlichen Watchdog-Schaltungen wesentlich erhöhten überwachungsumfang ermöglicht.
Das digitale Prüfwort kann nach einem bestimmten festgelegten Bildungsgesetz dynamisch geändert werden, sobald bestimmte Bedingungen vorliegen, so daß zusätzlich eine überwachung dadurch geschaffen wird, daß der Eintritt dieser Bedingungen vom Rechner selbst erkannt werden muß.
Durch die dynamischen Änderungen des Prüfwortes sowie durch die Übereinstimmung der Wortlängen von Kontrolleinheit und Rechner wird gegenüber herkömmlichen Watchdog-Schaltungen ein wesentlich erhöhter überwachungsumfang erreicht. In die einfache softwaremäßige Implementierung des Bildungsgesetzes kann dadurch eine sehr effiziente überwachung rechnerinterner Speicherzellen eingeschlossen werden, weil praktisch alle möglichen Kombinationen vorkommen und damit auch versteckte Fehler (dynamisches übersprechen, Stuck-at-Fehler)aufgedeckt werden.
Ein softwaremäßig implementiertes Bildungsgesetz kann so realisiert sein, daß bei seiner Bearbeitung sicherheitsrelevante Funktionen und Funktionsgruppen des Rechners benutzt werden, deren Fehl erfreiheit indirekt durch die Übereinstimmung von Kontroll- und Prüfsignalen bewiesen wird.
Das mit dem Prüfwort zu vergleichende Kontrol1 signal kann vorzugswewise ein vom Rechner ausgegebenes Datenwort sein, das vorzugsweise innerhalb eines festgelegten
7.2133
01.07.1982
periodisch wiederkehrenden Zeitfensters ausgegeben werden muß. Dies ist ein wichtiges Kriterium für Rechneranwendungen mit Regelungs- und Simmulationsaufgaben unter Echtzeitanwendungen.
Die Erfindung erstreckt sich auf eine Vorrichtung zur Durchführung des Verfahrens, die aus einer die Prüf-Signale erzeugenden Kontrolleinheit und einem Vergleicher besteht, der die Prüfsignale und die Kontrol1 signale des Rechners aufnimmt. Eine derartige Vorrichtung benötigt nur einen geringen Hardware-Aufwand. Mit dem Ausgangsimpuls des Vergleichers oder nachfolgender retriggerbarer Zeitglieder wird ein Speicherbaustein angesteuert derart, daß bei ungleichen Eingangssignalen am Vergleicher, d.h.
beim Auftauchen eines Fehlers, der Prozeß auf dem zuletzt ausgegebenen fehlerfreien Zustand gehalten wird oder zwangsläufig in eine vorher festgelegte Sicherheitsstellung (z.B. Abschalten) gebracht wird.
Es ist von Vorteil, wenn eine vom Vergleicher ansteuerbare redundante Alarmeinheit vorgesehen ist, mit der der Fehler akustisch und/oder optisch erkennbar gemacht werden kann.
Mit einem nicht retriggerbaren Zeitgeber, der dem Vergleicher nachgeschaltet wird, kann ein kleines Zeitfenster zur periodischen Kontrolle des Rechners geschaffen werden. Hierzu eignen sich insbesondere zwei nicht retriggerbare Monoflops, von denen das erste Monoflop vom
^O Vergleicher angesteuert wird und das durch die fallende Flanke das zweiten Monoflop triggert. Beim Abfallen des zweiten Monoflops wird ein Schiebetakt für die Kontrol1 einheit abgegeben, der nach einem festgelegten Bildungsgesetz das Prüfsignal ändert.
7.2133
01.07.1982
-10-
Hierbei ist es vorteilhaft, wenn die Kontrol1 einheit mit einem Pseudozufallsgenerator ausgestattet ist, der das Prüfsignal erzeugt und der mit einem vom Zeitgeber ausgegebenen Schiebetakt periodisch angesteuert wird. Es ist weiterhin vorteilhaft, wenn die Rückkopplung des Pseudozufallsgenerators derart strukturiert ist, daß sich eine möglichst große Periodendauer der Prüfsignalwiederholung und eine möglichst umfassende Durchspielung aller möglichen Prüfsignalmuster ergibt.
Um einen Ausfall der Stromversorgung registrieren und weiterhin bestimmte Minimalfunktionen (z.B. Alarmgabe) erfüllen zu können, ist die Kontrol1 einheit mit einer vom Rechner unabhängigen Spannungsversorgung versehen.
Ein Ausführungsbeispiel gemäß der Erfindung ist in der Zeichnung schematisch dargestellt.
Ein Rechner bzw. Mikrorechner 10, Fig. 1, empfängt 20
Signale 11 eines von ihm zu überwachenden Prozesses, beispielsweise eines Regelsystemes 12 und greift wiederum über den Ausgang 13 in den Prozeß 12 ein, um Optimierungen oder Umschaltungen im Prozeß durchzuführen. Insbesondere im Fall eines Fehlers im Regelsystem 12, den der Rechner 10 durch implementierte softwaremäßige Überwachungsfunktionen erkennt, ist der Rechner in der Lage, durch den Ausgang 13 durch Aktivierung von Ersatzfunktionen (Redundanz) im Regelsystem 12 einen fehlerfreien Zustand wiederherzustellen oder durch Abschaltmaßnahmen das Regelsystem 12 stillzusetzen und damit den sicheren Zustand des Prozesses anzusteuern (Fail-Safe-Verhalten).
7.2133
01.07.1982
-11-
Die Funktionsfähigkeit des Rechners 10 wird wiederum mit einer Kontrol1 einheit 15 überwacht. Mit einer Alarmeinheit 16 werden schließlich etwaige Fehler signalisiert, indem sie über den Eingang 17 vom Rechner 10 aufgrund einer Fehlerquelle im Reglersystem 12 bzw. in der Kontrolleinheit 15 über den Eingang 18 von der Kontrolleinheit 15 aufgrund eines Fehlers im Rechner 10 bzw. in der Kontrol1 einheit 15 angesteuert wird und über eine Hupe 19 ein akustisches Alarmsignal abgibt.
Für die überwachung des Rechners 10 erzeugt dessen Mikroprozessor beim Ausgang 20 ein Kontrol1 signal in der Form eines Kontroll- oder Datenwortes von beispielsweise 8 bit Länge. Zugleich wird über den Ausgang 35 die Ausgabe des Kontrol1 signals signalisiert. Mit einem in der Kontrol1 einheit 15 enthaltenen Pseudozufalls-Zahlengenerator 22, im folgenden PRBS-Generator genannt (Pseudo-Rausch-Binär-Signal), wird zum Kontrol1 signal des Rechners 10 ein Prüfsignal in der Form eines Prüf- bzw. Testwortes von gleicher Länge des Datenwortes erzeugt, das über den Datenbus 23 ausgegeben wird. Das Prüfwort und das Kontrollwort werden in einem Vergleicher 25 verglichen. Der Ausgang des Vergleichers 25 liefert bei vollständiger überein-Stimmung der beiden Wörter bei gleichzeitiger Aktivierung des Ausganges 35 einen Triggerimpuls für ein nicht retriggerbares Monoflop 27, das seinerseits wiederum nach Ablauf einer Zeitspanne t . durch die fallende Impulsflanke ein ebenfalls nicht retrigger-
^O bares Monoflop 28 triggert. Nach Ablauf einer Zeit tp . fällt das Monoflop 28 ebenfalls ab und liefert damit dem PRBS-Generator 22 einen Schiebetakt 30.
7.2133
01.07.1982
Bei fehlerfreiem Betrieb des Rechners 10 gibt der Rechner 10 gemäß dem Zeitdiagramm in Fig. 2 zu einem .Prüfwort, beispielsweise "k+1", innerhalb des Zeitfensters tpenst ein Kontrollwort "k+1" aus.
Damit startet der Vergleicher 25 das Monoflop 27.
Nach der Zeit t . fällt das Monoflop 27 ab und startet min
das in der Zwischenzeit abgefallene Monoflop 28 zur Bestimmung des nächsten Zeitfensters, innerhalb dessen das nächste Kontrollwort fallen muß. Das neue Prüfwort "k+2" wurde in der Zwischenzeit beim Abfallen des Monoflops 28 durch den dabei erzeugten Schiebetakt 30 gebildet. Gleichzeitig wird die Funktion des Monoflops 27 durch eine Quittungsleitung 31 dynamisch an den Rechner rückgemeldet.
Wird nun aber durch einen Defekt des Rechners 10 das folgende Kontrollwort "k+2" nicht innerhalb des Zeitfensters ausgegeben, dann wird das erste Monoflop nicht gestartet, so daß nach dem Abfallen des zweiten Monoflops 28 beide Monoflops 27 und 28 abgefallen sind und damit über ein NOR-Gatter 32 und dem Eingang 18 die Alarmeinheit 16 angesteuert wird.
In gleicher Weise wird ein Fehler in der Kontrolleinheit 15 registriert und gemeldet, indem durch Ausfall eines oder beider Monoflops das NOR-Gatter 32 direkt angesteuert wird oder bei defektem PRBS-Generator 22 der Vergleicher 25 infolge eines falschen Prüfwortes keinen Tri ggeriinpul s ausgibt. Auf diese Weise ergibt sich ein teilweise fehlersicheres Überwachungssystem für den Rechner, weil sich Ausfälle in der Kontrolleinheit 15 selbst aufdecken.
7.2133
01.07.1982
Besondere softwaregestutzte Maßnahmen zur Aufdeckung verdeckter Fehlermöglichkeiten in der Kontrolleinheit sind dadurch möglich, daß der Rechner 10 falsche Kontronworte oder falsche Signale 35 ausgibt und die Reaktion der Kontrolleinheit 15 durch Auswertung des Signals 31 auf Richtigkeit überprüft. Im Fehlerfall ist der Rechner in der Lage, über den Eingang 17 der Alarmeinheit eine Alarmmeldung abzugeben.
Der Alarm wird, wie im Zeitdiagramm, Fig. 2, gezeigt ist, auch ausgelöst, wenn der Rechner 10 zwar periodisch richtige Datenwörter ausgibt, jedoch in einem zu großen Zeitintervall. Desgleichen geschieht gemäß Fig. 3, wenn
die Meldezeit des Rechners 10 unterschritten wird. 15
Die Auswirkung von Ausgangssignalen 36 des Rechners 10 auf .das Regelsystem 12 wird durch Einschalten eines Speichergliedes 37 verzögert. Durch Ausgabe eines neuen richtigen Kontrol1 Wortes und Triggerung des Zeitgebers
27 wird die Funktionsfähigkeit des Rechners 10 und damit die Gültigkeit des Ausgangssignals 36 bestätigt, welches das Speicherglied 37 nach Triggerung durch das Quittungssignal 31 auf seinen Ausgang 13 übernimmt und für den
Prozeß wirksam werden läßt.
25
Die Alarmeinheit 16 und das NOR-Gatter 32, die nicht im Selbstüberwachungssystem eingeschlossen sind, sind entweder dynamisch fehlersicher ausgebaut, doppelt ausgeführt oder können in regelmäßigen Abständen getestet 30
werden. Letzteres kann mit Hilfe des Rechners im Rahmen seines Selbsttestes durchgeführt werden, indem das Datenwort verspätet ausgegeben wird und damit ein kurzer Al arm-"Pieps" gesendet wird. Die Funktionsfähigkeit des NOR-Gatters 32 und der Alarmeinheit 16
7.2133
01.07.1982
wird vom Rechner 10 durch eine Abfrage der Al arminel deleitung 34 überprüft, die z.B. an einen akustischen Alarmdetektor 33 angeschlossen ist.
Das Bildungsgesetz des Testwortes muß im Rechner über eine rekursive Beziehung gebildet werden:
,neu i,alt
bi+l: = bi
10
,neu ,,alt, (.alt* / /kalt_i. Kalt\ bQ : = (b7 ψ- b6 ) φ (b4 φ. b2 )
Im Laufe einer Periode von 255 Schiebeschritten werden alle Konbinationen bis auf den unerlaubten Zustand 00000000 durchgespielt, so daß auch auf bestimmten Bitkombinationen beruhende Fehler erkannt werden können.
Weiterhin können beliebige zusätzliche Operationen (Arithmetik-, Transfer-, Vergleichsbefehle) durchgeführt werden, die durch andere Operationen wieder rückgängig gemacht werden. Damit ergibt sich als weiterer Vorteil, daß der Grad der Redundanz durch die Software bestimmt wird und damit leicht den Erfordernissen und Möglichkeiten, wie Zeitbedingungen und Sicherheitsniveau angepaßt werden kann.
Werden die einzelnen Befehle über das Anwenderprogramm verteilt, so hat man damit eine unabhängige Möglichkeit, den korrekten Ablauf linear oder definiert verzweigter Programmschleifen zu überprüfen. Dieser Fall wird bei Regelungsproblemen oft angetroffen.
Um die Funktionsfähigkeit von Programmteilen, die während des ungestörten Betriebs nicht benutzt werden, wie Alarmbearbeitung sicherzustellen, muß in bestimmten Zeitabständen ein Selbsttest mit überprüfung des Inhaltes
7.2133
01.07.1982
1 des Programmspeichers durchgeführt werden. Die Durchführung sowie das Ergebnis des Selbsttests kann von der wortorientierten Überwachungseinheit überwacht werden.
7.2133 01.07.1892
Leerseite

Claims (1)

  1. gü/sd
    M.A.N. MASCHINENFABRIK AUGSBURG-NORNBERG Aktiengesell schaft
    München, 1. Juli 1982
    Patentansprüche 10
    Verfahren zur Funktionsprüfung von Rechnern zur Steuerung, Regelung und/oder zur überwachung von Prozessen, dadurch gekennzeichnet, daß Prüfsignale erzeugt werden, die mit
    Kontrol 1 si gnal en des Rechners (10) .zur Erkennung von fehlerhaften Zuständen verglichen werden, und daß das Vergleichssignal bei fehlerhaftem Zustand auf den Recher einwirkt, um die Auswirkung des fehlerhaften Zustandes auf den Pro
    zeß zu verhindern und/oder eine Alarmgabe bewirkt, und/oder den Prozeß in den sicheren Zustand überführt.
    2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Einwirkungen des Rechners auf den Prozeß jeweils nach dem Vergleich der Kontroll- und Prüfsignale erfolgt.
    3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das Prüfsignal ein digitales Prüfwort, vorzugsweise in der Verarbeitungsbreite des Rechners, ist.
    7.2133
    -z-
    4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das digitale Prüfwort nach einem vorbestimmten festgelegten Bildungsgesetz dynamisch geändert wird, sobald
    ° bestimmte Bedingungen vorliegen.
    5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß das Bildungsgesetz softwaremäßig implementiert
    wi rd.
    IO
    6. Verfahren nach Anspruch .5, dadurch gekennzeichnet, daß das Bildungsgesetz derart realisiert ist,
    daß bei seiner Bearbeitung sicherheitsrelevante Funktionen und Funktionsgruppen des Rechners benutzt werden.
    7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Zugabe des Kontrollwertes zusätzlich innerhalb eines festge-
    legten periodisch wiederkehrenden Zeitfensters
    erfolgt.
    8. Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch 1, gekennzeichnet durch eine die Prüf-Signale erzeugende Kontrol1 einheit (15) mit einem Vergleicher (25), der die Prüfsignale und die Kontroll signale des Rechners (10) aufnimmt und miteinander vergleicht.
    9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, daß dem Vergleicher (25) ein nicht retriggerbarer Zeitgeber (27, 28) nachgeschaltet ist.
    7.2133
    01.07.1982
    -3-
    10. Vorrichtung nach Anspruch 8 oder 9, dadurch gekennzeichnet, daß eine von den Zeitgebern (27, 28) ansteuerbare Alarmeinheit (16) vorgesehen ist.
    11. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß als Zeitgeber zwei nicht retriggerbare Monoflops (27 bzw. 28) vorgesehen sind, die ein Zeitfenster vorgeben.
    12. Vorrichtung nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, daß die Kontrolleinheit (15) einen Pseudozufal 1s-Zahlengenerator (22) enthält, der das Prüfsignal erzeugt.
    13. Vorrichtung nach einem der Ansprüche 8 bis 12, dadurch gekennzeichnet, daß die Spannungsversorgung der Kontrol1 einheit (15) von der Spannungsversorgung des Rechners (10) unabhängig ist.
    14. Vorrichtung nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, daß ein Speicherglied (37) vorgesehen ist, das Ausgangssignale (36) des Rechners (10) erst dann auf seinen Ausgang
    (13) übernimmt, wenn eine Quittungsleitung (31) die Ausgabe des richtigen Kontrollsignals (20) anzeigt.
    7.2133
    01.07.1982
DE3225712A 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern Expired DE3225712C2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE3225712A DE3225712C2 (de) 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
IT8348644A IT1171846B (it) 1982-07-09 1983-07-07 Metodo e dispositivo per la prova di funzionamento di calcolatori
JP58125362A JPH0644244B2 (ja) 1982-07-09 1983-07-09 計算機の動作試験方法および動作試験装置
US06/512,033 US4627057A (en) 1982-07-09 1983-08-05 Method and arrangement for the functional testing of computers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE3225712A DE3225712C2 (de) 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern

Publications (2)

Publication Number Publication Date
DE3225712A1 true DE3225712A1 (de) 1984-01-12
DE3225712C2 DE3225712C2 (de) 1985-04-11

Family

ID=6168037

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3225712A Expired DE3225712C2 (de) 1982-07-09 1982-07-09 Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern

Country Status (4)

Country Link
US (1) US4627057A (de)
JP (1) JPH0644244B2 (de)
DE (1) DE3225712C2 (de)
IT (1) IT1171846B (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2572204A1 (fr) * 1984-10-22 1986-04-25 Westinghouse Electric Corp Programme de detection de pannes a verrouillage et a combinaison aleatoire de donnees pour systemes geres par microprocesseurs
DE3502387A1 (de) * 1985-01-25 1986-07-31 Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen
WO1986006520A1 (en) * 1985-04-29 1986-11-06 Aktieselskabet Nordiske Kabel- Og Traadfabriker A process for monitoring a data processing unit and a system for performing the process
US4796211A (en) * 1986-01-13 1989-01-03 Oki Electric Industry Co., Ltd. Watchdog timer having a reset detection circuit
DE102010026694A1 (de) * 2010-07-06 2012-01-12 Siemens Aktiengesellschaft Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0752071B2 (ja) * 1989-01-19 1995-06-05 新技術事業団 真空熱処理炉
US6816872B1 (en) 1990-04-26 2004-11-09 Timespring Software Corporation Apparatus and method for reconstructing a file from a difference signature and an original file
US5910958A (en) * 1991-08-14 1999-06-08 Vlsi Technology, Inc. Automatic generation of test vectors for sequential circuits
JPH0662434U (ja) * 1991-10-30 1994-09-02 京三電子株式会社 マットスイッチ
DE4219433A1 (de) * 1992-06-13 1993-12-16 Man Technologie Gmbh Verfahren zur Steuerung eines rechnerunterstützten Prozeßsteuerungssystems
DE19511842A1 (de) * 1995-03-31 1996-10-02 Teves Gmbh Alfred Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung
US7412640B2 (en) * 2003-08-28 2008-08-12 International Business Machines Corporation Self-synchronizing pseudorandom bit sequence checker
KR100587233B1 (ko) * 2004-06-14 2006-06-08 삼성전자주식회사 반도체 메모리소자의 번인테스트 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3924181A (en) * 1973-10-16 1975-12-02 Hughes Aircraft Co Test circuitry employing a cyclic code generator
DE2841073A1 (de) * 1978-09-21 1980-04-03 Ruhrtal Gmbh Schaltungsanordnung zur verarbeitung von elektrisch dargestellten informationen
DE3012425A1 (de) * 1979-04-02 1980-10-23 Nissan Motor Fehlergesicherte einrichtung zur benutzung eines digitalen rechners

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3582633A (en) * 1968-02-20 1971-06-01 Lockheed Aircraft Corp Method and apparatus for fault detection in a logic circuit
US3931506A (en) * 1974-12-30 1976-01-06 Zehntel, Inc. Programmable tester
JPS5290243A (en) * 1976-01-23 1977-07-29 Mitsubishi Electric Corp Trouble diagnosing unit of digital processing unit
JPS5354438A (en) * 1976-10-28 1978-05-17 Toshiba Corp On-line power control system
US4108359A (en) * 1977-03-30 1978-08-22 The United States Of America As Represented By The Secretary Of The Army Apparatus for verifying the execution of a sequence of coded instructions
JPS5420636A (en) * 1977-07-15 1979-02-16 Mitsubishi Electric Corp Computer
JPS5537780A (en) * 1978-09-08 1980-03-15 Matsushita Electric Ind Co Ltd Floor heater unit
IT1117593B (it) * 1979-01-24 1986-02-17 Cselt Centro Studi Lab Telecom Sistema di aotodiagnosi per una apparecchiatura di controllo gestita da elaboratore
US4251885A (en) * 1979-03-09 1981-02-17 International Business Machines Corporation Checking programmed controller operation
FR2474226B1 (fr) * 1980-01-22 1985-10-11 Thomson Csf Dispositif de test pour enregistreur numerique multipiste
GB2070300B (en) * 1980-02-27 1984-01-25 Racal Automation Ltd Electrical testing apparatus and methods
US4468768A (en) * 1981-10-26 1984-08-28 Owens-Corning Fiberglas Corporation Self-testing computer monitor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3924181A (en) * 1973-10-16 1975-12-02 Hughes Aircraft Co Test circuitry employing a cyclic code generator
DE2841073A1 (de) * 1978-09-21 1980-04-03 Ruhrtal Gmbh Schaltungsanordnung zur verarbeitung von elektrisch dargestellten informationen
DE3012425A1 (de) * 1979-04-02 1980-10-23 Nissan Motor Fehlergesicherte einrichtung zur benutzung eines digitalen rechners

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Elektronische Rechenanlagen H. 4, 1978, S. 180-194 *
Regelungstechnische Praxis, H. 8, 1981, S. 268-280 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2572204A1 (fr) * 1984-10-22 1986-04-25 Westinghouse Electric Corp Programme de detection de pannes a verrouillage et a combinaison aleatoire de donnees pour systemes geres par microprocesseurs
DE3502387A1 (de) * 1985-01-25 1986-07-31 Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen
WO1986006520A1 (en) * 1985-04-29 1986-11-06 Aktieselskabet Nordiske Kabel- Og Traadfabriker A process for monitoring a data processing unit and a system for performing the process
US4796211A (en) * 1986-01-13 1989-01-03 Oki Electric Industry Co., Ltd. Watchdog timer having a reset detection circuit
DE102010026694A1 (de) * 2010-07-06 2012-01-12 Siemens Aktiengesellschaft Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen

Also Published As

Publication number Publication date
IT1171846B (it) 1987-06-10
JPS5924353A (ja) 1984-02-08
IT8348644A0 (it) 1983-07-07
US4627057A (en) 1986-12-02
JPH0644244B2 (ja) 1994-06-08
DE3225712C2 (de) 1985-04-11

Similar Documents

Publication Publication Date Title
DE3700986C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
EP0972388B1 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
DE2735397C2 (de) Überwachungseinrichtung für eine programmgesteuerte Maschine
EP1738233B2 (de) Sicherheitssteuerung
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
DE3225712C2 (de) Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
DE3345863A1 (de) Ueberwachungsschaltung fuer rechner
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
EP0799143B1 (de) Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
DE3024370C2 (de) Redundantes Steuersystem
DE19847986C2 (de) Einzelprozessorsystem
EP1359485A1 (de) Steuer- und Überwachungssystem
DE3726489C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
DE4330940A1 (de) Verfahren zum Überwachen einer programmgesteuerten Schaltung
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE3920696A1 (de) Mikroprozessor-schaltungsanordnung mit watchdog-schaltung
DE10233879B4 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens
DE2949827A1 (de) Fehler-ruecksetz-einrichtung fuer mikrocomputer
DE3225937A1 (de) Selbsttestende ueberwachungseinheit
CH565407A5 (en) Monitoring system for control data processor - needs only one failsafe element for dynamic functional control
DE2505475C3 (de) Verfahren und Vorrichtung zur Fehlerprüfung bei einem programmierbaren Logikwerk für die Ausführung logischer Operationen
DE19805518B4 (de) Verfahren und Vorrichtung zur Analyse von Schutzsignalen für eine Anzahl von sicherheitsrelevanten Anlagenteilen einer technischen Anlage
DE10136622C1 (de) Vorrichtung und Verfahren zur Auswertung von mehreren Ergebnissen aus redundanten Berechnungen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: M A N TECHNOLOGIE GMBH, 8000 MUENCHEN, DE

8327 Change in the person/name/address of the patent owner

Owner name: MAN TECHNOLOGIE AG, 8000 MUENCHEN, DE

8339 Ceased/non-payment of the annual fee