| JPS54159572 | AUTOMATIC CONTROL UNIT |
| JPS5876902 | CONTROLLER OF PLANT |
| JPS59108101 | BACKUP SYSTEM OF PULSE INTEGRATING SYSTEM |
EUE WOLFGANG (DE)
| WO1994003846A1 | 1994-02-17 |
| DE3621106A1 | 1988-01-07 |
| 1. | Verfahren zum Behandeln vorübergehend ungleicher Eingangs¬ daten oder Zwischenergebnisse in redundanten Steuersystemen mit mehreren parallel arbeitenden, gleiche Daten nach über¬ einstimmenden Programmen verarbeitenden Teilsystemen mit gegenseitigem Datenvergleich zum Erkennen inhaltlich vonein¬ ander abweichender Daten und mit vorgegebenen Reaktionen auf solche Daten, d a d u r c h g e k e n n z e i c h n e t , daß bei Verarbeitung binärer Daten für jedes Datum, abhängig von der Systemgröße, das es repräsentiert, das für das Steu¬ ersystem jeweils gefährlichere bzw. ungefährlichere festge¬ legt wird und daß bei inhaltlicher Datenungleichheit vorüber gehend mit dem als ungefährlicher eingestuften Datum weiter¬ gearbeitet wird. |
| 2. | Verfahren zum Behandeln vorübergehend ungleicher Eingangs¬ daten oder Zwischenergebnisse in redundanten Steuersystemen mit mehreren parallel arbeitenden, gleiche Daten nach über¬ einstimmenden Programmen verarbeitenden Teilsystemen mit gegenseitigem Datenvergleich zum Erkennen inhaltlich vonein¬ ander abweichender Daten und mit vorgegebenen Reaktionen auf diese Daten, d a d u r c h g e k e n n z e i c h n e t , daß bei Verarbeitung von mehr als zweiwertigen Daten für jedes Datum, abhängig von der Systemgröße, das es repräsen¬ tiert, ein bestimmter Gefährdungsbeiwert festgelegt wird, wobei bei Datenungleichheit vorübergehend mit dem als unge fährlicher eingestuften Datum weitergearbeitet wird. |
| 3. | Verfahren zum Behandeln vorübergehend ungleicher Eingangs¬ daten oder Zwischenergebnisse in redundanten Steuersystemen mit mehreren parallel arbeitenden, gleiche Daten nach über einstimmenden Programmen verarbeitenden Teilsystemen mit gegenseitigem Datenvergleich zum Erkennen inhaltlich vonein 10 ander abweichender Daten und mit vorgegebenen Reaktionen auf diese Daten, d a d u r c h g e k e n n z e i c h n e t , daß bei Verarbeitung von mehr als zweiwertigen Daten für jedes Datum, abhängig von der Systemgröße, das es repräsen¬ tiert, in einer mehrdimensionalen Tabelle für die einzelnen Werte der Systemgrößen die Werte festgelegt werden, mit denen bei inhaltlicher Datenungleichheit vorübergehend weitergear¬ beitet wird. |
| 4. | Verfahren nach Anspruch 2 , d a d u r c h g e k e n n z e i c h n e t , daß bei inhaltlicher Datenungleichheit zum Bestimmen der Daten, mit denen vorübergehend weitergearbeitet wird, nicht nur die Gefährduήgsbeiwerte dieser Daten miteinander vergli¬ chen werden, sondern zusätzlich der Gefährdungsbeiwert des zuletzt bei Datengleichheit erkannten Datums berücksichtigt wird. |
| 5. | Verfahren nach Anspruch 3, d a d u r c h g e k e n n z e i c h n e t , daß bei inhaltlicher Datenungleichheit zum Bestimmen der Daten, mit denen vorübergehend weitergearbeitet wird, in einer entsprechenden mehrdimensionalen Tabelle hinterlegt wird, mit welchen Daten bei welchen augenblicklich voneinan der abweichenden Daten und welchem zuvor bei Datengleichheit erkannten Datum vorübergehend weitergearbeitet wird. |
| 6. | Verfahren nach Anspruch 3 oder 5 , d a d u r c h g e k e n n z e i c h n e t , daß zur Vermeidung des anfänglichen Datenvergleichs in einer solchen Tabelle auch die Daten hinterlegt sind, mit denen bei inhaltlich nicht voneinander abweichenden Daten weitergear¬ beitet wird. |
| 7. | Verfahren nach einem der Ansprüche 1 bis 5, d a d u r c h g e k e n n z e i c h n e t , daß beim Erkennen inhaltlich voneinander abweichender Daten eine zeitliche Bewertung der ungleichen Daten vorgenommen wird, derart, daß beim Anstehen solcher Daten über eine vorgegebene Zeitspanne hinaus die Weiterverarbeitung dieser Daten unterbunden wird. |
| 8. | Verfahren nach Anspruch 7, d a d u r c h g e k e n n z e i c h n e t , daß mit dem Erkennen desjenigen Teilsystems mit den von den Daten der übrigen Teilsysteme inhaltlich abweichenden Daten dieses Teilsystems disqualifiziert oder zumindest die Ein oder Weitergabe von Daten über die durch die fehlerhaft erkannten Daten belegte Eingabeschaltung dieses Teilsystems verhindert wird. |
Verfahren zum Behandeln vorübergehend ungleicher Eingangsda¬ ten oder Zwischenergebnisse in redundanten Steuersystemen
Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbe¬ griff des Patenanspruches 1. Ein solches Verfahren ist z. B. in der DE-Zeitschrift "Elektronische Rechenanlagen", 1975, Heft 3, Seiten 118 bis 124 beschrieben. Dort wird über ein redundantes Mehrrechnersystem berichtet, bei dem die Rechner die im Zusammenhang mit synchronen Programmabläufen benötig¬ ten Daten sowie die anfallenden Zwischen- und Endergebnisse laufend wortweise untereinander vergleichen. Nach jedem Vergleich unterrichten sich die Rechner davon, ob die vorlie- genden Daten übereinstimmen bzw. welcher Rechner ein von den anderen Rechnern abweichendes Datenwort abgegeben hatte. Bei Datengleichheit werden die Programme fortgesetzt; bei Un¬ gleichheit wird die Erarbeitung des ungleichen Datums wieder¬ holt. Führt auch die Wiederholung zu einem abweichenden Ergebnis, wird der betreffende Rechner als defekt angesehen und von der weiteren Zusammenarbeit mit den übrigen Rechnern ausgeschlossen.
Dätenungleichheiten zwischen den einzelnen Rechnern treten relativ häufig auf, führen aber nicht unbedingt zum Abschal¬ ten eines Rechners. Sie entstehen dadurch, daß die Rechner, die über1icherweise über eigene Taktgeber verfügen, die gleichzeitig anliegenden Eingangsdaten nicht hundertprozentig zeitgleich einlesen und auch nicht hundertprozentig zeit- gleich untereinander austauschen, um sie intern auf Überein¬ stimmung zu prüfen. Ein gewisser zeitlicher Versatz dieser Daten wird vom Rechnersystem toleriert, indem der Vergleich wiederholt wird. Bis dahin werden die alten Daten der letzten Bearbeitungsperiode weiterverarbeitet. Haben sich die Rechner in der Zwischenzeit synchronisiert und stimmen dann die Daten im Rechnersystem überein, so werden sie der weiteren Verar-
beitung zugrunde gelegt bzw. für den Fall der noch andauern¬ den Datenungleichheit wird das davon betroffene Einzelsystem oder sofern dieses als nicht solches erkennbar ist, das gesamte Rechnersystem disqualifiziert.
So wird z. B. in der DE 30 24 370 C3 zu diesem Problem ausge¬ führt, daß die einzelnen Rechner eines Rechnersystems sich untereinander auf inhaltliche Datengleichheit überwachen und daß je nach geforderter Sicherheit des Steuersystems und notwendiger Reaktionsgeschwindigkeit auf inhaltliche Antiva¬ lenzen der ein- und ausgegebenen Signale die Vergleichsergeb¬ nisse nach jedem Bearbeitungsschritt oder nach einer Folge von Bearbeitungsschritten abgerufen werden könne. Die Zen¬ traleinheiten des Steuersystems werden zur Auswertung dieser Vergleichsergebnisse mitbenutzt, wobei die Reaktion auf Fehlmeldungen programmierbar ist. Unter Reaktion auf Fehler¬ meldungen ist hier zu verstehen das Abschalten eines Einzel- rechners oder das Abschalten des gesamten Rechnersystems.
In der DE 35 18 105 C2 wird als Variante eines solchen Ver¬ fahrens zum Behandeln vorübergehend ungleicher Daten in redundanten Steuersystemen eine Lösung angegeben, bei der bei Abweichungen zwischen den verglichenen Daten, d. h. zwischen den aktuell übertragenen und den momentan im System noch vorhandenen Daten, die Datenverarbeitung auf der Basis der übertragenen neuen Daten fortgesetzt wird und daß erst dann eine Störung gemeldet wird bzw. eine Reaktion auf die Störung erfolgt, wenn in einer vorgegebenen Anzahl von Programmzyklen Abweichungen zwischen den verglichenen Daten beider Systeme bestehen bleiben.
Beide Verfahren, das vorübergehende Weiterarbeiten mit den alten Daten und das vorübergehende Weiterarbeiten mit den neuen Daten hat gewisse Vor- aber auch gewisse Nachteile,* auf der einen Seite werden neue Daten erst dann berücksichtigt, wenn sie von allen Rechnern zur Kenntnis genommen worden
sind, wodurch sich etwaige Reaktionen auf diese Daten durch die Synchronisation der Rechner verzögern können, auf der anderen Seite werden Reaktionen auf neue Daten zwar sehr schnell abgeleitet; dafür steht aber nicht zuverlässig fest, daß die diese Reaktionen veranlassenden Daten auch tatsäch¬ lich zutreffen.
Aufgabe der Erfindung ist es, ein Verfahren nach dem Oberbe¬ griff des Patentanspruches 1 so weiterzubilden, daß auch bei vorübergehend ungleichen Daten aus diesen Daten abgeleitete Reaktionen möglichst frühzeitig vorliegen, Gefährdungen durch die Verwendung tatsächlich nicht richtiger Daten bei der Datenverarbeitung aber vermieden werden.
Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale eines der Ansprüche 1 bis 3. Nach der Lehre dieser Ansprüche werden die zu verarbeitenden Daten hinsichtlich ihres Gefährdungspotentials gegenüber dem zu steuernden Prozeß klassifiziert und es wird jeweils mit den als unge- fährlicher eingestuften Daten weitergearbeitet oder aber für die Weiterverarbeitung werden vorab für die sich unterschei¬ denden Daten festgelegte Werte zugrunde gelegt.
Vorteilhafte Weiterbildungen und Ausführungsformen des erfin- dungsgemäßen Verfahrens sind in den Unteransprüchen angege¬ ben.
So sollen gemäß Anspruch 4 oder 5 für die Bestimmung der Daten, die bei Datenungleichheit vorübergehend weiterverar- beitet werden sollen, auch die zuvor verwendeten, bereits akzeptierten Daten herangezogen werden. Für die weitere Datenverarbeitung können so auch solche Daten verwendet werden, die aktuell von keinem der redundanten Steuersysteme bereitgestellt werden.
Sollen die bei Datenungleichheit vorübergehend weiterverwen¬ deten Daten aus einer Tabelle entnommen werden, so ist es gemäß Anspruch 6 von Vorteil, in diese Tabellen auch die Daten einzutragen, welche die Rechner bei übereinstimmenden Daten verarbeiten sollen; auf diese Weise gibt es eine ein¬ heitliche Datenverarbeitungsprozedur sowohl bei Datengleich¬ heit als auch bei Datenungleichheit.
Damit nicht mit einem dauerhaft fehlerhaft arbeitenden Teil- System ständig weitergearbeitet wird, ist gemäß Anspruch 7 eine zeitliche Bewertung der ungleichen Daten vorgesehen; stehen solche ungleichen Daten länger als eine vorgegebene
Zeitspanne hinaus an, so wird die Weiterverarbeitung dieser
Daten unterbunden und gemäß Anspruch 8 gegebenenfalls eine Abschaltung des von der Störung betroffenen Teilsystems oder mindestens der von der Störung belegten Eingabeschaltung bewerkstelligt.
Die Erfindung ist nachstehen unter Bezugnahme auf die Zeich- nung näher erläutert.
Sind die Teilsysteme eines redundanten Steuerungssystems zur Verarbeitung binärer Daten eingerichtet, so wird nach der erfindungsgemäßen Lehre für jedes Datum, abhängig von der Größe, das es repräsentiert, das für das SteuerungsSystem jeweils gefährlichere bzw. ungefährlichere Datum festgelegt und bei inhaltlicher Datenungleichheit wird vorübergehend mit dem als ungefährlicher eingestuften Datum weitergearbeitet. Lesen alle Teilsysteme ein Eingangssignal mit z. B. hohem Potential ein, so ist das ein eindeutiger Fall und das hohe Potential wird zur Weiterverarbeitung gegeben. Lesen dagegen ein oder mehrere Teilsysteme ein Eingangssignal mit hohem Potential ein, während ein oder mehrere andere Teilsysteme dasselbe Eingangssignal mit niedrigem Potential einlesen, so ist dies ein uneindeutiger Fall und das bei der Spezifikation des Steuerungssystems festgelegte ungefährlichere Potential,
beispielsweise hier das niedrigere Potential, wird vorüberge¬ hend zur Weiterverarbeitung zugelassen. In vorteilhafter Weise wird in einem solchen Fall eine Zeitüberwachung gestar¬ tet, die verhindern soll, daß mit einem ausgefallenen Steue- rungsteilSystem ständig weitergearbeitet wird. Sollte es sich um Störungen, Bauteiltoleranzen oder Differenzen wegen un¬ gleichzeitiger Bearbeitung handeln, so wird es vor Ablauf der Zeitüberwachung zu einem eindeutigen Fall kommen und die Zeitüberwachung wird passiviert. Sollte die Überwachungszeit ablaufen, so wird das verursachende Teilsystem disqualifi¬ ziert und es entsteht auf diesem Wege wieder ein eindeutiger Fall, d. h. für alle übrigen Teilsysteme liegen übereinstim¬ mende Daten vor.
Haben z. B. mehrere EingangsSignale einen festen Bezug zuein¬ ander wie z. B. bei der binären Kodierung von Analogwerten oder ist ein Eingangssignal mehr als zweiwertig und ist die Abhängigkeit "stetig", so wird jedem Wert dieses Datums in einer Tabelle ein Gefährdungsbeiwert zugeordnet. In den uneinheitlichen Fällen wird in allen Teilsystemen mit dem Zustand, der den niedrigsten Gefährdungsbeiwert hat, weiter¬ gearbeitet. Als Beispiel sei hier ein System angenommen, das eine Füllstandsbewertung mit einem Eingangssignal einer Wertigkeit von Null bis sieben durchführen soll. Lesen alle Schaltungssysteme ein Eingangssignal z. B. mit dem Wert vier ein, so ist das ein eindeutiger Fall und der Wert vier wird zur Weiterverarbeitung gegeben. Lesen ein oder mehrere Teil¬ systeme ein Eingangssignal mit dem Wert vier ein, während ein oder mehrere andere Teilsysteme dasselbe Eingangssignal mit dem Wert fünf einlesen, so ist dies ein uneindeutiger Fall und der Gefährdungsbeiwert entscheidet, welches Datum weiter¬ verarbeitet wird. Wurde bei der Spezifikation der Systems dem Wert vier der Gefährdungsbeiwert 50 und dem Wert fünf der Gefährdungsbeiwert 30 zugeordnet, so muß zur Verringerung der Gefährdung der Wert fünf zur Weiterverarbeitung gegeben werden.
In einem uneindeutigen Fall der vorstehend genannten Art könnte es auch sinnvoll sein, zusätzlich das alte Eingangssi¬ gnal der letzten Bearbeitungsperiode zu berücksichtigen. Hat dieses z. B. den Wert sechs und ist diesem Wert der Gefähr¬ dungsbeiwert 25 zugeordnet, so sollte zur Verringerung der Gefährdung der Wert sechs zur Weiterverarbeitung gegeben werden. In beiden Fällen entstehen wieder eindeutige Fälle, wenn die Ungleichheiten in späteren Bearbeitungsperioden nicht mehr auftreten oder das dauerhaft falsch signalisieren¬ de System disqualifiziert wurde.
Haben mehrere Eingangssignale einen festen Bezug zueinander oder ist ein EingangsSignale mehr als zweiwertig und ist die Abhängigkeit nicht "stetig", so könnte die Lösung mit einer Tabelle von Gefährdungsbeiwerten unzweckmäßig sein, weil nicht unbedingt feststeht, daß ein höherer Wert z. B. auch einen höheren Gefährdungsbeiwert haben muß. In diesen Fällen kann eine mehrdimensionale Tabelle zum Einsatz kommen. In den uneindeutigen Fällen wird in allen Teilsystemen mit dem Wert, der am Schnittpunkt der mehrdimensionalen Tabelle eingetragen ist, weitergearbeitet. Als Beispiel soll hier ein Datenverar¬ beitungssystem mit zwei Teilsystemen angenommen werden, das eine Füllstandsbewertung mit einem Eingangssignal der Wertig- keit von Null bis drei durchführen soll. Eine derartige Tabelle mit den mehrwertigen Größen der beiden Teilsystemen ist in der Zeichnung dargestellt. Lesen beide Teilsysteme ein Eingangssignal, z. B. mit der Wertigkeit zwei ein, so ist das ein eindeutiger Fall und der Wert zwei wird zur Weiterverar- beitung gegeben. Liest ein Teilsystem ein Eingangssignal mit dem Wert zwei ein, während das andere Teilsystem dasselbe Eingangssignal mit dem Wert drei einließt, so ist dies ein uneindeutiger Fall und die in diesem Fall zweidimensionale Tabelle entscheidet über das Datum, das der Weiterverarbei- tung zugeführt wird. Wurde bei der Spezifikation der Systeme am Kreuzungspunkt vom Wert des Systems 1 = 2 und Wert des
Systems 2 = 3 der Wert 3 eingetragen, so wird auch der Wert 3 zur Weiterverarbeitung gegeben.
Die Beispielstabelle zeigt, daß die n-dimensionale Tabelle (n=Anzahl der Teilsysteme) auch ohne Vergleich der Werte der SchaltungsSysteme immer sofort benutzt werden kann, da sie den eindeutigen Fall leicht miterfüllt. An den ansonsten niemals angesprochenen Kreuzungspunkten übereinstimmender Werte für beide Teilsysteme sind dann nur die jeweiligen Werte einzutragen; diese Werte sind in der Tabelle mit einem Sternchen gekennzeichnet.
Weiterhin zeigt die Beispielstabelle, daß im Gegensatz zur Gefahrenbeiwerttabelle auch Ergebniswerte möglich sind, die von keinem der Teilsysteme eingelesen wurden. Ist, wie in der Beispielstabelle am Kreuzungspunkt von Wert des Systems 1 = 3 und Wert des Systems 2 = 1 der Wert 0 eingetragen, so wird der Wert 0, der in keinem System vorlag, zur Weiterverarbei¬ tung gegeben. Damit läßt sich sehr deutlich auf Unterschiede in den Eingabedaten reagieren.
In einem uneindeutigen Fall könnte es sinnvoll sein, die Tabelle um eine weitere Dimension zu vergrößern für das alte Eingangssignal der letzten Bearbeitungsperiode. Es käme dann immer eine n+1-dimensionale Tabelle zum Einsatz. Die n+1- dimensionale Tabelle hat den Vorteil, daß bei fehlender Übereinstimmung der Teilsysteme auch das alte Eingangssignal der letzten Bearbeitungsperiode zur Entseheidungsfindung herangezogen wird und sich bei entsprechend ausgefüllter Tabelle auch deutlich durchsetzen kann.
Der Begriff redundante Steuerungssysteme umfaßt nicht nur mehrere redundant zusammenwirkende Rechner, sondern bezieht sich ganz allgemein auf mehrkanalige Datenverarbeitungsein- richtungen wie sie auch durch VerknüpfungsSchaltungen darge¬ stellt sein können, sofern diese Verknüpfungsschaltungen aus
Sicherheits- und/oder Verfügbarkeitsgründen aus weitgehend unabhängigen redundanten Schaltungssystemen aufgebaut sind.
Next Patent: TRANSMITTING BETWEEN HAND-HELD AND DESKTOP COMPUTERS