DE3225712A1 - Verfahren und vorrichtung zur funktionspruefung von rechnern - Google Patents
Verfahren und vorrichtung zur funktionspruefung von rechnernInfo
- Publication number
- DE3225712A1 DE3225712A1 DE19823225712 DE3225712A DE3225712A1 DE 3225712 A1 DE3225712 A1 DE 3225712A1 DE 19823225712 DE19823225712 DE 19823225712 DE 3225712 A DE3225712 A DE 3225712A DE 3225712 A1 DE3225712 A1 DE 3225712A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- control
- test
- signals
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/317—Testing of digital circuits
- G01R31/3181—Functional testing
- G01R31/3183—Generation of test inputs, e.g. test vectors, patterns or sequences
- G01R31/318385—Random or pseudo-random test pattern
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/273—Tester hardware, i.e. output processing circuits
- G06F11/277—Tester hardware, i.e. output processing circuits with comparison between actual response and known fault-free response
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Hardware Redundancy (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Description
gü/sd
M.A.N. MASCHINENFABRIK AUGSBURG-NÜRNBERG Aktiengesel1 schaft
München, 1. Juli 1982
Verfahren und Vorrichtung zur Funktionsprüfung
von Rechnern
Die Erfindung bezieht sich auf eine Einrichtung zur Funktionsprüfung
von Rechnern zur Steuerung, Regelung oder Oberwachung von Prozessen.
Mikrorechnerunterstützte Steuer- und Regel systeme werden
immer mehr auf Gebieten angewendet, an die höhere Sicherheitsanforderungen gestellt werden.
Dabei handelt es sich immer mehr um Prozesse, bei denen man den Prozeß nach einem Fehlerfall aus Sicherheitsgründen
nicht unmittelbar abschalten darf oder aus Verfügbarkeitsgründen
nicht abschalten will. Diese Aufgabe wird im allgemeinen durch Einsatz redundanter Regelungsund
Steuersysteme gelöst. Das sind Systeme mit zwei oder mehreren unabhängigen Funktionskanälen, die Regelungs-
oder Steuerungsaufgaben erfüllen und einem Mikrorechner, wobei der Mikrorechner die Umschaltsteuerung,
die überwachung und die Fehlerlokalisierung in
den Funktionskanälen übernimmt.
7.2133
Das Sicherheitskonzept geht davon aus, daß der Rechner, solange er fehlerfrei arbeitet, Fehler in den Regelkanälen
erkennen und durch richtige Reaktion die zu regelnde Anlage in den sicheren Zustand bringen kann. Die Funktionssicherheit
jedoch hängt hierbei letz!ich noch von möglichen Fehlerquellen des Rechners ab. Die Störungen
eines Rechners können zeitlich begrenzt (z.B. Netzstörungen, Obersprechen) oder bleibend (z.B. Bautei1 ausfall) sein.
Typische Fehlerwirkungen können sich ergeben durch Stehenbleiben des Rechners (Ausfall des Systemtakts); wenn der
Rechner in einer Endlosschleife läuft; durch Datenfehler,
insbesondere dynamische, abhängig von bestimmten Bitkombinationen; durch defekte Arithmetikeinheit, wodurch Befehle
(z.B. Vergleiche) nicht mehr richtig durchgeführt werden; durch Veränderungen in der Software, auch in der
Softwareredundanz, durch defekte Programmspeicher.
Mit zwei oder mehr Rechnern (MuI ti Prozessorsysteme), die
sich gegenseitig überwachen, könnte die Funktionssicherheit
erhöht werden, jedoch nur unter großem Aufwand, weil
zum Ausschluß systematischer Fehler im allgemeinen diversitäre Hard- und Software erforderlich sind (Aufsatz von
Knörnschild, RTP 1981, Heft 8).
2^ Bei allgemeinen Anwendungen wird jedoch der Zustand des
angeschlossenen Prozesses außer durch logische Zustände (z.B. Schalterstellungen, Grenzwertmelder) auch durch
kontinuierliche Größen beschrieben. Diese Tatsache schränkt
die Anwendbarkeit eines Mehrprozeßsystems weiter hin, weil sich die Übereinstimmung mehrerer Rechner nicht durch
7.2133
01.07.1982
01.07.1982
triviale Vergleiche auf Bitmusterebene überprüfen läßt,
sondern nur durch umfangreiche, zusätzliche Softwareprozeduren.
Leichter beherrschbar und sowohl von den Entwicklungs- als
auch von den Fertigungskosten her günstiger ist ein Einzelrechner,
der aus Gründen der Fehlersicherheit mit einer Kontrol1 einheit gekoppelt ist. Ein einfaches, dazu üblicherweise
verwendetes Verfahren beruht auf..dem Watchdog ("Wachhund"), der vom Rechner innerhalb eines periodischen Zeitfensters
eine immer gleichbleibende Meldung erwartet. Damit
kann jedoch im allgemeinen nur geprüft werden, ob der Rechner überhaupt noch arbeitet, nicht jedoch ob er in
wesentlichen Funktionen korrekt arbeitet und sicherheitsrelevante Befehle richtig ausführt. So können in der
Regel durch Watchdog-Schaltungen mit retriggerbaren Kippstufen
die ersten beiden der vorstehenden Fehlerfälle erkannt werden (Ausbleiben eines Life-Signals). Jedoch
versagt diese Einrichtung bei den übrigen Fehlermöglich-
keiten bzw. erkennt sie nur mit unzureichender Wahrscheinlichkeit.
Zusätzlich bleibt bei den meisten Kontrol 1 schal tungen dieser Art ein Ausfall der Schaltung selbst
unbemerkt.
Gerade aber bei sicherheitsrelevanten Anwendungen, bei
denen die Gefährdung von Personen und Anlagen mit größtmöglicher Wahrscheinlichkeit ausgeschlossen werden muß,
ist die Erkennung aller dieser Ausfälle unverzichtbar,
die nur durch zusätzliche problemorientierte Hardware-30
überwachung erreichbar ist.
7.2133
01.07.1982
01.07.1982
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der
eingangs genannten Art zu entwickeln, mit dem unter möglichst geringem fertigungstechnischen Aufwand eine so
umfassende überwachung des Rechners möglich ist, daß der Rechner für sicherheitsrelevante Aufgaben auch mit
höchstem Gefährdungsgrad (Personenschäden) bei Prozesssteuerungen und -Überwachungen eingesetzt werden kann.
Die Aufgabe ist erfindungsgemäß durch ein Verfahren gemäß
dem kennzeichnenden Teil des Anspruches 1 gelöst.
Mit dem erfindungsgemäßen Verfahren lassen sich die
wesentlichen Funktionen eines Rechners bzw. eines Mikrorechners periodisch überwachen, wobei beim Auftauchen eines
Fehlers die zu überwachende Anlage in eine Sicherheitsstellung gebracht werden kann. Dieses Verfahren ist außerdem
universell anwendbar und liefert den weiteren Vorteil, daß beliebige Selbsttestmaßnahmen des Rechners durch ein
effizientes Überwachungsverfahren abgesichert werden.
über Quittungssignale erkennt der Rechner zudem aufgrund
der volldynamischen Arbeitsweise der Kontrol1 einheit
alle dort auftretenden Fehler, so daß bei Ausschluß von
unabhängigen Doppelfehlern ein fehlersicheres überwachungssystem
entsteht.
Ein hohes Sicherheitsniveau und eine rasche Reaktion auf
Fehlerzustände wird dadurch erreicht, daß die Eingriffe des Rechners auf den Prozeß jeweils nur nach einem Ver-
^0 gleich der Kontroll- und Prüfsignale erfolgt, wobei
Eingriffe bei fehlerf-r-ßifem betrieb nur bei Übereinstimmung
der Kontroll- und Prüfsignale wirksam werden. Damit wird verhindert, daß sich Fehl funktionen des
Rechners auf den Prozeß auswirken. Dies.ermöglicht
den Einsatz einkanaliger Rechnersysteme auch bei sicherheitsrelevanten Prozessanwendungen.
7.2133
01.07.1982
01.07.1982
-δι Gemäß einer Ausgestaltung der Erfindung ist als Prüfsignal
ein digitales Prüfwort, vorzugsweise in der Verarbeitungsbreite
des Rechners vorgesehen. Zu seiner Bildung ist nur eine sehr einfache Hardware notwendig, die
aber einen gegenüber herkömmlichen Watchdog-Schaltungen
wesentlich erhöhten überwachungsumfang ermöglicht.
Das digitale Prüfwort kann nach einem bestimmten festgelegten Bildungsgesetz dynamisch geändert werden, sobald
bestimmte Bedingungen vorliegen, so daß zusätzlich eine überwachung dadurch geschaffen wird, daß der Eintritt
dieser Bedingungen vom Rechner selbst erkannt werden muß.
Durch die dynamischen Änderungen des Prüfwortes sowie durch die Übereinstimmung der Wortlängen von Kontrolleinheit
und Rechner wird gegenüber herkömmlichen Watchdog-Schaltungen
ein wesentlich erhöhter überwachungsumfang erreicht. In die einfache softwaremäßige Implementierung
des Bildungsgesetzes kann dadurch eine sehr effiziente überwachung rechnerinterner Speicherzellen eingeschlossen
werden, weil praktisch alle möglichen Kombinationen vorkommen und damit auch versteckte Fehler (dynamisches
übersprechen, Stuck-at-Fehler)aufgedeckt werden.
Ein softwaremäßig implementiertes Bildungsgesetz
kann so realisiert sein, daß bei seiner Bearbeitung sicherheitsrelevante Funktionen und Funktionsgruppen des
Rechners benutzt werden, deren Fehl erfreiheit indirekt
durch die Übereinstimmung von Kontroll- und Prüfsignalen
bewiesen wird.
Das mit dem Prüfwort zu vergleichende Kontrol1 signal
kann vorzugswewise ein vom Rechner ausgegebenes Datenwort sein, das vorzugsweise innerhalb eines festgelegten
7.2133
01.07.1982
01.07.1982
periodisch wiederkehrenden Zeitfensters ausgegeben werden muß. Dies ist ein wichtiges Kriterium für Rechneranwendungen
mit Regelungs- und Simmulationsaufgaben unter Echtzeitanwendungen.
Die Erfindung erstreckt sich auf eine Vorrichtung zur Durchführung des Verfahrens, die aus einer die Prüf-Signale
erzeugenden Kontrolleinheit und einem Vergleicher
besteht, der die Prüfsignale und die Kontrol1 signale des
Rechners aufnimmt. Eine derartige Vorrichtung benötigt nur einen geringen Hardware-Aufwand. Mit dem Ausgangsimpuls
des Vergleichers oder nachfolgender retriggerbarer
Zeitglieder wird ein Speicherbaustein angesteuert derart, daß bei ungleichen Eingangssignalen am Vergleicher, d.h.
beim Auftauchen eines Fehlers, der Prozeß auf dem zuletzt
ausgegebenen fehlerfreien Zustand gehalten wird oder zwangsläufig in eine vorher festgelegte Sicherheitsstellung
(z.B. Abschalten) gebracht wird.
Es ist von Vorteil, wenn eine vom Vergleicher ansteuerbare redundante Alarmeinheit vorgesehen ist, mit der
der Fehler akustisch und/oder optisch erkennbar gemacht werden kann.
Mit einem nicht retriggerbaren Zeitgeber, der dem Vergleicher
nachgeschaltet wird, kann ein kleines Zeitfenster zur periodischen Kontrolle des Rechners geschaffen werden.
Hierzu eignen sich insbesondere zwei nicht retriggerbare Monoflops, von denen das erste Monoflop vom
^O Vergleicher angesteuert wird und das durch die fallende
Flanke das zweiten Monoflop triggert. Beim Abfallen des zweiten Monoflops wird ein Schiebetakt für die
Kontrol1 einheit abgegeben, der nach einem festgelegten
Bildungsgesetz das Prüfsignal ändert.
7.2133
01.07.1982
01.07.1982
-10-
Hierbei ist es vorteilhaft, wenn die Kontrol1 einheit
mit einem Pseudozufallsgenerator ausgestattet ist, der
das Prüfsignal erzeugt und der mit einem vom Zeitgeber ausgegebenen Schiebetakt periodisch angesteuert wird.
Es ist weiterhin vorteilhaft, wenn die Rückkopplung des Pseudozufallsgenerators derart strukturiert ist, daß
sich eine möglichst große Periodendauer der Prüfsignalwiederholung
und eine möglichst umfassende Durchspielung aller möglichen Prüfsignalmuster ergibt.
Um einen Ausfall der Stromversorgung registrieren und weiterhin bestimmte Minimalfunktionen (z.B. Alarmgabe)
erfüllen zu können, ist die Kontrol1 einheit mit einer
vom Rechner unabhängigen Spannungsversorgung versehen.
Ein Ausführungsbeispiel gemäß der Erfindung ist in der
Zeichnung schematisch dargestellt.
Ein Rechner bzw. Mikrorechner 10, Fig. 1, empfängt 20
Signale 11 eines von ihm zu überwachenden Prozesses, beispielsweise eines Regelsystemes 12 und greift wiederum
über den Ausgang 13 in den Prozeß 12 ein, um Optimierungen oder Umschaltungen im Prozeß durchzuführen.
Insbesondere im Fall eines Fehlers im Regelsystem 12,
den der Rechner 10 durch implementierte softwaremäßige
Überwachungsfunktionen erkennt, ist der Rechner in der
Lage, durch den Ausgang 13 durch Aktivierung von Ersatzfunktionen (Redundanz) im Regelsystem 12 einen fehlerfreien
Zustand wiederherzustellen oder durch Abschaltmaßnahmen
das Regelsystem 12 stillzusetzen und damit den sicheren Zustand des Prozesses anzusteuern (Fail-Safe-Verhalten).
7.2133
01.07.1982
01.07.1982
-11-
Die Funktionsfähigkeit des Rechners 10 wird wiederum
mit einer Kontrol1 einheit 15 überwacht. Mit einer Alarmeinheit
16 werden schließlich etwaige Fehler signalisiert,
indem sie über den Eingang 17 vom Rechner 10 aufgrund einer Fehlerquelle im Reglersystem 12 bzw. in der Kontrolleinheit
15 über den Eingang 18 von der Kontrolleinheit 15 aufgrund eines Fehlers im Rechner 10 bzw. in
der Kontrol1 einheit 15 angesteuert wird und über eine
Hupe 19 ein akustisches Alarmsignal abgibt.
Für die überwachung des Rechners 10 erzeugt dessen Mikroprozessor beim Ausgang 20 ein Kontrol1 signal
in der Form eines Kontroll- oder Datenwortes von beispielsweise 8 bit Länge. Zugleich wird über den Ausgang
35 die Ausgabe des Kontrol1 signals signalisiert.
Mit einem in der Kontrol1 einheit 15 enthaltenen Pseudozufalls-Zahlengenerator
22, im folgenden PRBS-Generator genannt (Pseudo-Rausch-Binär-Signal), wird zum
Kontrol1 signal des Rechners 10 ein Prüfsignal in der
Form eines Prüf- bzw. Testwortes von gleicher Länge des Datenwortes erzeugt, das über den Datenbus 23
ausgegeben wird. Das Prüfwort und das Kontrollwort werden in einem Vergleicher 25 verglichen. Der Ausgang
des Vergleichers 25 liefert bei vollständiger überein-Stimmung
der beiden Wörter bei gleichzeitiger Aktivierung
des Ausganges 35 einen Triggerimpuls für ein nicht retriggerbares Monoflop 27, das seinerseits
wiederum nach Ablauf einer Zeitspanne t . durch die fallende Impulsflanke ein ebenfalls nicht retrigger-
^O bares Monoflop 28 triggert. Nach Ablauf einer Zeit
tp . fällt das Monoflop 28 ebenfalls ab und liefert
damit dem PRBS-Generator 22 einen Schiebetakt 30.
7.2133
01.07.1982
01.07.1982
Bei fehlerfreiem Betrieb des Rechners 10 gibt der
Rechner 10 gemäß dem Zeitdiagramm in Fig. 2 zu einem .Prüfwort, beispielsweise "k+1", innerhalb des Zeitfensters
tpenst ein Kontrollwort "k+1" aus.
Damit startet der Vergleicher 25 das Monoflop 27.
Nach der Zeit t . fällt das Monoflop 27 ab und startet min
das in der Zwischenzeit abgefallene Monoflop 28 zur Bestimmung des nächsten Zeitfensters, innerhalb dessen
das nächste Kontrollwort fallen muß. Das neue Prüfwort "k+2" wurde in der Zwischenzeit beim Abfallen des
Monoflops 28 durch den dabei erzeugten Schiebetakt 30 gebildet. Gleichzeitig wird die Funktion des Monoflops 27 durch eine Quittungsleitung 31 dynamisch an den
Rechner rückgemeldet.
Wird nun aber durch einen Defekt des Rechners 10 das folgende Kontrollwort "k+2" nicht innerhalb des
Zeitfensters ausgegeben, dann wird das erste Monoflop nicht gestartet, so daß nach dem Abfallen des zweiten
Monoflops 28 beide Monoflops 27 und 28 abgefallen sind und damit über ein NOR-Gatter 32 und dem Eingang 18
die Alarmeinheit 16 angesteuert wird.
In gleicher Weise wird ein Fehler in der Kontrolleinheit
15 registriert und gemeldet, indem durch Ausfall eines oder beider Monoflops das NOR-Gatter 32 direkt angesteuert
wird oder bei defektem PRBS-Generator 22 der Vergleicher 25 infolge eines falschen Prüfwortes keinen
Tri ggeriinpul s ausgibt. Auf diese Weise ergibt sich ein
teilweise fehlersicheres Überwachungssystem für den Rechner,
weil sich Ausfälle in der Kontrolleinheit 15 selbst aufdecken.
7.2133
01.07.1982
01.07.1982
Besondere softwaregestutzte Maßnahmen zur Aufdeckung
verdeckter Fehlermöglichkeiten in der Kontrolleinheit
sind dadurch möglich, daß der Rechner 10 falsche Kontronworte oder falsche Signale 35 ausgibt und die Reaktion
der Kontrolleinheit 15 durch Auswertung des Signals 31 auf Richtigkeit überprüft. Im Fehlerfall ist der Rechner
in der Lage, über den Eingang 17 der Alarmeinheit eine Alarmmeldung abzugeben.
Der Alarm wird, wie im Zeitdiagramm, Fig. 2, gezeigt ist,
auch ausgelöst, wenn der Rechner 10 zwar periodisch richtige Datenwörter ausgibt, jedoch in einem zu großen Zeitintervall.
Desgleichen geschieht gemäß Fig. 3, wenn
die Meldezeit des Rechners 10 unterschritten wird. 15
Die Auswirkung von Ausgangssignalen 36 des Rechners 10
auf .das Regelsystem 12 wird durch Einschalten eines
Speichergliedes 37 verzögert. Durch Ausgabe eines neuen
richtigen Kontrol1 Wortes und Triggerung des Zeitgebers
27 wird die Funktionsfähigkeit des Rechners 10 und damit
die Gültigkeit des Ausgangssignals 36 bestätigt, welches
das Speicherglied 37 nach Triggerung durch das Quittungssignal 31 auf seinen Ausgang 13 übernimmt und für den
Prozeß wirksam werden läßt.
25
25
Die Alarmeinheit 16 und das NOR-Gatter 32, die nicht im Selbstüberwachungssystem eingeschlossen sind, sind
entweder dynamisch fehlersicher ausgebaut, doppelt ausgeführt oder können in regelmäßigen Abständen getestet
30
werden. Letzteres kann mit Hilfe des Rechners im Rahmen seines Selbsttestes durchgeführt werden, indem das
Datenwort verspätet ausgegeben wird und damit ein kurzer Al arm-"Pieps" gesendet wird. Die Funktionsfähigkeit des NOR-Gatters 32 und der Alarmeinheit 16
7.2133
01.07.1982
01.07.1982
wird vom Rechner 10 durch eine Abfrage der Al arminel deleitung
34 überprüft, die z.B. an einen akustischen Alarmdetektor 33 angeschlossen ist.
Das Bildungsgesetz des Testwortes muß im Rechner über eine
rekursive Beziehung gebildet werden:
,neu i,alt
bi+l: = bi
10
bi+l: = bi
10
,neu ,,alt, (.alt* / /kalt_i. Kalt\
bQ : = (b7 ψ- b6 ) φ (b4 φ. b2 )
Im Laufe einer Periode von 255 Schiebeschritten werden
alle Konbinationen bis auf den unerlaubten Zustand 00000000 durchgespielt, so daß auch auf bestimmten Bitkombinationen
beruhende Fehler erkannt werden können.
Weiterhin können beliebige zusätzliche Operationen (Arithmetik-, Transfer-, Vergleichsbefehle) durchgeführt werden,
die durch andere Operationen wieder rückgängig gemacht werden. Damit ergibt sich als weiterer Vorteil, daß der
Grad der Redundanz durch die Software bestimmt wird und damit leicht den Erfordernissen und Möglichkeiten, wie
Zeitbedingungen und Sicherheitsniveau angepaßt werden kann.
Werden die einzelnen Befehle über das Anwenderprogramm verteilt, so hat man damit eine unabhängige Möglichkeit,
den korrekten Ablauf linear oder definiert verzweigter Programmschleifen zu überprüfen. Dieser Fall wird bei
Regelungsproblemen oft angetroffen.
Um die Funktionsfähigkeit von Programmteilen, die während
des ungestörten Betriebs nicht benutzt werden, wie Alarmbearbeitung sicherzustellen, muß in bestimmten Zeitabständen
ein Selbsttest mit überprüfung des Inhaltes
7.2133
01.07.1982
01.07.1982
1 des Programmspeichers durchgeführt werden. Die Durchführung sowie das Ergebnis des Selbsttests kann von der
wortorientierten Überwachungseinheit überwacht werden.
7.2133 01.07.1892
Leerseite
Claims (1)
- -Τgü/sdM.A.N. MASCHINENFABRIK AUGSBURG-NORNBERG Aktiengesell schaftMünchen, 1. Juli 1982Patentansprüche 10Verfahren zur Funktionsprüfung von Rechnern zur Steuerung, Regelung und/oder zur überwachung von Prozessen, dadurch gekennzeichnet, daß Prüfsignale erzeugt werden, die mitKontrol 1 si gnal en des Rechners (10) .zur Erkennung von fehlerhaften Zuständen verglichen werden, und daß das Vergleichssignal bei fehlerhaftem Zustand auf den Recher einwirkt, um die Auswirkung des fehlerhaften Zustandes auf den Prozeß zu verhindern und/oder eine Alarmgabe bewirkt, und/oder den Prozeß in den sicheren Zustand überführt.2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Einwirkungen des Rechners auf den Prozeß jeweils nach dem Vergleich der Kontroll- und Prüfsignale erfolgt.3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das Prüfsignal ein digitales Prüfwort, vorzugsweise in der Verarbeitungsbreite des Rechners, ist.7.2133-z-4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das digitale Prüfwort nach einem vorbestimmten festgelegten Bildungsgesetz dynamisch geändert wird, sobald° bestimmte Bedingungen vorliegen.5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß das Bildungsgesetz softwaremäßig implementiertwi rd.
IO6. Verfahren nach Anspruch .5, dadurch gekennzeichnet, daß das Bildungsgesetz derart realisiert ist,daß bei seiner Bearbeitung sicherheitsrelevante Funktionen und Funktionsgruppen des Rechners benutzt werden.7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Zugabe des Kontrollwertes zusätzlich innerhalb eines festge-legten periodisch wiederkehrenden Zeitfensterserfolgt.8. Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch 1, gekennzeichnet durch eine die Prüf-Signale erzeugende Kontrol1 einheit (15) mit einem Vergleicher (25), der die Prüfsignale und die Kontroll signale des Rechners (10) aufnimmt und miteinander vergleicht.9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, daß dem Vergleicher (25) ein nicht retriggerbarer Zeitgeber (27, 28) nachgeschaltet ist.7.213301.07.1982-3-10. Vorrichtung nach Anspruch 8 oder 9, dadurch gekennzeichnet, daß eine von den Zeitgebern (27, 28) ansteuerbare Alarmeinheit (16) vorgesehen ist.11. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß als Zeitgeber zwei nicht retriggerbare Monoflops (27 bzw. 28) vorgesehen sind, die ein Zeitfenster vorgeben.12. Vorrichtung nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, daß die Kontrolleinheit (15) einen Pseudozufal 1s-Zahlengenerator (22) enthält, der das Prüfsignal erzeugt.13. Vorrichtung nach einem der Ansprüche 8 bis 12, dadurch gekennzeichnet, daß die Spannungsversorgung der Kontrol1 einheit (15) von der Spannungsversorgung des Rechners (10) unabhängig ist.14. Vorrichtung nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, daß ein Speicherglied (37) vorgesehen ist, das Ausgangssignale (36) des Rechners (10) erst dann auf seinen Ausgang(13) übernimmt, wenn eine Quittungsleitung (31) die Ausgabe des richtigen Kontrollsignals (20) anzeigt.7.2133
01.07.1982
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE3225712A DE3225712C2 (de) | 1982-07-09 | 1982-07-09 | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
IT8348644A IT1171846B (it) | 1982-07-09 | 1983-07-07 | Metodo e dispositivo per la prova di funzionamento di calcolatori |
JP58125362A JPH0644244B2 (ja) | 1982-07-09 | 1983-07-09 | 計算機の動作試験方法および動作試験装置 |
US06/512,033 US4627057A (en) | 1982-07-09 | 1983-08-05 | Method and arrangement for the functional testing of computers |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE3225712A DE3225712C2 (de) | 1982-07-09 | 1982-07-09 | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
Publications (2)
Publication Number | Publication Date |
---|---|
DE3225712A1 true DE3225712A1 (de) | 1984-01-12 |
DE3225712C2 DE3225712C2 (de) | 1985-04-11 |
Family
ID=6168037
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE3225712A Expired DE3225712C2 (de) | 1982-07-09 | 1982-07-09 | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern |
Country Status (4)
Country | Link |
---|---|
US (1) | US4627057A (de) |
JP (1) | JPH0644244B2 (de) |
DE (1) | DE3225712C2 (de) |
IT (1) | IT1171846B (de) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2572204A1 (fr) * | 1984-10-22 | 1986-04-25 | Westinghouse Electric Corp | Programme de detection de pannes a verrouillage et a combinaison aleatoire de donnees pour systemes geres par microprocesseurs |
DE3502387A1 (de) * | 1985-01-25 | 1986-07-31 | Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn | Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen |
WO1986006520A1 (en) * | 1985-04-29 | 1986-11-06 | Aktieselskabet Nordiske Kabel- Og Traadfabriker | A process for monitoring a data processing unit and a system for performing the process |
US4796211A (en) * | 1986-01-13 | 1989-01-03 | Oki Electric Industry Co., Ltd. | Watchdog timer having a reset detection circuit |
DE102010026694A1 (de) * | 2010-07-06 | 2012-01-12 | Siemens Aktiengesellschaft | Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0752071B2 (ja) * | 1989-01-19 | 1995-06-05 | 新技術事業団 | 真空熱処理炉 |
US6816872B1 (en) | 1990-04-26 | 2004-11-09 | Timespring Software Corporation | Apparatus and method for reconstructing a file from a difference signature and an original file |
US5910958A (en) * | 1991-08-14 | 1999-06-08 | Vlsi Technology, Inc. | Automatic generation of test vectors for sequential circuits |
JPH0662434U (ja) * | 1991-10-30 | 1994-09-02 | 京三電子株式会社 | マットスイッチ |
DE4219433A1 (de) * | 1992-06-13 | 1993-12-16 | Man Technologie Gmbh | Verfahren zur Steuerung eines rechnerunterstützten Prozeßsteuerungssystems |
DE19511842A1 (de) * | 1995-03-31 | 1996-10-02 | Teves Gmbh Alfred | Verfahren und Schaltungsanordnung zur Überwachung einer Datenverarbeitungsschaltung |
US7412640B2 (en) * | 2003-08-28 | 2008-08-12 | International Business Machines Corporation | Self-synchronizing pseudorandom bit sequence checker |
KR100587233B1 (ko) * | 2004-06-14 | 2006-06-08 | 삼성전자주식회사 | 반도체 메모리소자의 번인테스트 방법 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3924181A (en) * | 1973-10-16 | 1975-12-02 | Hughes Aircraft Co | Test circuitry employing a cyclic code generator |
DE2841073A1 (de) * | 1978-09-21 | 1980-04-03 | Ruhrtal Gmbh | Schaltungsanordnung zur verarbeitung von elektrisch dargestellten informationen |
DE3012425A1 (de) * | 1979-04-02 | 1980-10-23 | Nissan Motor | Fehlergesicherte einrichtung zur benutzung eines digitalen rechners |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3582633A (en) * | 1968-02-20 | 1971-06-01 | Lockheed Aircraft Corp | Method and apparatus for fault detection in a logic circuit |
US3931506A (en) * | 1974-12-30 | 1976-01-06 | Zehntel, Inc. | Programmable tester |
JPS5290243A (en) * | 1976-01-23 | 1977-07-29 | Mitsubishi Electric Corp | Trouble diagnosing unit of digital processing unit |
JPS5354438A (en) * | 1976-10-28 | 1978-05-17 | Toshiba Corp | On-line power control system |
US4108359A (en) * | 1977-03-30 | 1978-08-22 | The United States Of America As Represented By The Secretary Of The Army | Apparatus for verifying the execution of a sequence of coded instructions |
JPS5420636A (en) * | 1977-07-15 | 1979-02-16 | Mitsubishi Electric Corp | Computer |
JPS5537780A (en) * | 1978-09-08 | 1980-03-15 | Matsushita Electric Ind Co Ltd | Floor heater unit |
IT1117593B (it) * | 1979-01-24 | 1986-02-17 | Cselt Centro Studi Lab Telecom | Sistema di aotodiagnosi per una apparecchiatura di controllo gestita da elaboratore |
US4251885A (en) * | 1979-03-09 | 1981-02-17 | International Business Machines Corporation | Checking programmed controller operation |
FR2474226B1 (fr) * | 1980-01-22 | 1985-10-11 | Thomson Csf | Dispositif de test pour enregistreur numerique multipiste |
GB2070300B (en) * | 1980-02-27 | 1984-01-25 | Racal Automation Ltd | Electrical testing apparatus and methods |
US4468768A (en) * | 1981-10-26 | 1984-08-28 | Owens-Corning Fiberglas Corporation | Self-testing computer monitor |
-
1982
- 1982-07-09 DE DE3225712A patent/DE3225712C2/de not_active Expired
-
1983
- 1983-07-07 IT IT8348644A patent/IT1171846B/it active
- 1983-07-09 JP JP58125362A patent/JPH0644244B2/ja not_active Expired - Lifetime
- 1983-08-05 US US06/512,033 patent/US4627057A/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3924181A (en) * | 1973-10-16 | 1975-12-02 | Hughes Aircraft Co | Test circuitry employing a cyclic code generator |
DE2841073A1 (de) * | 1978-09-21 | 1980-04-03 | Ruhrtal Gmbh | Schaltungsanordnung zur verarbeitung von elektrisch dargestellten informationen |
DE3012425A1 (de) * | 1979-04-02 | 1980-10-23 | Nissan Motor | Fehlergesicherte einrichtung zur benutzung eines digitalen rechners |
Non-Patent Citations (2)
Title |
---|
Elektronische Rechenanlagen H. 4, 1978, S. 180-194 * |
Regelungstechnische Praxis, H. 8, 1981, S. 268-280 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2572204A1 (fr) * | 1984-10-22 | 1986-04-25 | Westinghouse Electric Corp | Programme de detection de pannes a verrouillage et a combinaison aleatoire de donnees pour systemes geres par microprocesseurs |
DE3502387A1 (de) * | 1985-01-25 | 1986-07-31 | Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn | Verfahren zur ueberwachung von mikroprozessorsystemen und speicherprogrammierbaren steuerungen |
WO1986006520A1 (en) * | 1985-04-29 | 1986-11-06 | Aktieselskabet Nordiske Kabel- Og Traadfabriker | A process for monitoring a data processing unit and a system for performing the process |
US4796211A (en) * | 1986-01-13 | 1989-01-03 | Oki Electric Industry Co., Ltd. | Watchdog timer having a reset detection circuit |
DE102010026694A1 (de) * | 2010-07-06 | 2012-01-12 | Siemens Aktiengesellschaft | Verfahren zur Überwachung eines Schalters, insbesondere eines Leistungsschalters für Niederspannungen |
Also Published As
Publication number | Publication date |
---|---|
IT1171846B (it) | 1987-06-10 |
JPS5924353A (ja) | 1984-02-08 |
IT8348644A0 (it) | 1983-07-07 |
US4627057A (en) | 1986-12-02 |
JPH0644244B2 (ja) | 1994-06-08 |
DE3225712C2 (de) | 1985-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3700986C2 (de) | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug | |
EP0972388B1 (de) | Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems | |
DE2735397C2 (de) | Überwachungseinrichtung für eine programmgesteuerte Maschine | |
EP1738233B2 (de) | Sicherheitssteuerung | |
DE10030329C1 (de) | Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem | |
DE102005055428B4 (de) | Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem | |
DE3225712C2 (de) | Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern | |
DE3345863A1 (de) | Ueberwachungsschaltung fuer rechner | |
DE2258917B2 (de) | Regelvorrichtung mit mindestens zwei parallelen signalkanaelen | |
EP0799143B1 (de) | Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung | |
DE3024370C2 (de) | Redundantes Steuersystem | |
DE19847986C2 (de) | Einzelprozessorsystem | |
EP1359485A1 (de) | Steuer- und Überwachungssystem | |
DE3726489C2 (de) | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug | |
DE3938501A1 (de) | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens | |
DE4330940A1 (de) | Verfahren zum Überwachen einer programmgesteuerten Schaltung | |
DE19805819B4 (de) | Verfahren zur Überwachung von integrierten Schaltkreisen | |
DE3920696A1 (de) | Mikroprozessor-schaltungsanordnung mit watchdog-schaltung | |
DE10233879B4 (de) | Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens | |
DE2949827A1 (de) | Fehler-ruecksetz-einrichtung fuer mikrocomputer | |
DE3225937A1 (de) | Selbsttestende ueberwachungseinheit | |
CH565407A5 (en) | Monitoring system for control data processor - needs only one failsafe element for dynamic functional control | |
DE2505475C3 (de) | Verfahren und Vorrichtung zur Fehlerprüfung bei einem programmierbaren Logikwerk für die Ausführung logischer Operationen | |
DE19805518B4 (de) | Verfahren und Vorrichtung zur Analyse von Schutzsignalen für eine Anzahl von sicherheitsrelevanten Anlagenteilen einer technischen Anlage | |
DE10136622C1 (de) | Vorrichtung und Verfahren zur Auswertung von mehreren Ergebnissen aus redundanten Berechnungen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: M A N TECHNOLOGIE GMBH, 8000 MUENCHEN, DE |
|
8327 | Change in the person/name/address of the patent owner |
Owner name: MAN TECHNOLOGIE AG, 8000 MUENCHEN, DE |
|
8339 | Ceased/non-payment of the annual fee |