DE3225455A1 - Method for reliably operating a redundant control system and arrangement for carrying out the method - Google Patents
Method for reliably operating a redundant control system and arrangement for carrying out the methodInfo
- Publication number
- DE3225455A1 DE3225455A1 DE19823225455 DE3225455A DE3225455A1 DE 3225455 A1 DE3225455 A1 DE 3225455A1 DE 19823225455 DE19823225455 DE 19823225455 DE 3225455 A DE3225455 A DE 3225455A DE 3225455 A1 DE3225455 A1 DE 3225455A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- control system
- computer unit
- units
- signals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Abstract
Description
Verfahren zum sich rein Betrieb eines redundanten Stuersystems und Anordnung zur Durchführung des Verfahrens Die Erfindung bezieht sich auf ein Verfahren zum sichcren Betrieb eines redundanten Steuersystems mit zwei programmierbaren parallelgeschalteten Rechnereinheiten, an deren jeweiligem Eingang übereinstimmende Eingangssignale anliegen und die diese Daten nach übereinstimmenden Programmen synchron verarbeiten und von denen jeweils eine mit ihren Ausgangssignalen eine Steuer anordnung beaufschlagt; bei dem mit einem Uberwachungssystem, das bei Abweichungen der von beiden Rechnereinheiten erzeugten Signale voneinander die Ermittlung der fehlerhaften Rechnereinheit durchgeführt und der Betrieb des Steuersystems mit der nicht fehlerhaften Rechnereinheit veranlaßt wird.Procedure for the purely operation of a redundant control system and Arrangement for carrying out the method The invention relates to a method for the safe operation of a redundant control system with two programmable parallel-connected Computer units with matching input signals at their respective inputs and which process this data synchronously according to matching programs and from each of which is acted upon by a control arrangement with its output signals; in the one with a monitoring system, which in the event of deviations of the two computer units generated signals from each other, the determination of the faulty computer unit is carried out and causes the control system to operate with the non-defective computer unit will.
Bei einem bekannten Steuersystem dieser Art (Anke/Ealtenecker/Oetker "Prozeßrechner", Oldenbourg Verlag München, 1970, Seite 348) sind in den Programmen beider Rechner Schritte vorgesehen, bei denen die in jedem Rechner errechneten, am Ausgang anstehenden Teilergebnisse miteinander verglichen werden; bei Abweichung der Teilergebnisse voneinander werden in beiden Rechnern Diagnoseprogramme gestartet, die die fehlerhafte Bunktionseinheit identifizieren. Die lediglich durch programmschritte vorgesehene Kontrolle von Abweichungen und der Ablauf von Diagnoseprogrammen in beiden Rechnern können hierbei zu länger dauernden Unterbrechungen im Steuersystem bei einer relativ zeitaufwendigen Fehlererkennung führen.In a known control system of this type (Anke / Ealtenecker / Oetker "Process computer", Oldenbourg Verlag Munich, 1970, page 348) are in the programs both computers provide steps in which the calculated in each computer, partial results pending at the output are compared with one another; if there is a deviation the partial results of each other, diagnostic programs are started in both computers, which identify the faulty functional unit. The only through program steps intended control of deviations and the running of diagnostic programs in Both computers can lead to long interruptions in the control system result in a relatively time-consuming error detection.
Der Erfindung liegt die Aufgabe zugrunde ein Verfahren zum sicheren Betrieb eines redundanten Steuersystems zu schaffen, bei dem eine schnelle Erkennung und Lokalisie- rung eines Fehlers in einer der parallelgeschalteten Rechnereinheiten gewährleistet ist.The invention is based on the object of a method for safe To establish operation of a redundant control system in which rapid detection and localization tion of an error in one of the parallel-connected Computer units is guaranteed.
Zur Lösung dieser Aufgabe wird bei einem Verfahren zum sicheren Betrieb eines redundanten Steuersystems mit dem Uberwachungssystem, das eine Vergleicherschaltung und eine Fehlerlokalisierungsschaltung aufweist, eine schaltungsmäßige Uberwachung der beiden Rechnereinheiten vorgenommen, wobei die mit den Bausteinen einer jeden Rechnereinheit über einen Systembus verbundene Vergleicherschaltung die zu jedem Zeitpunkt des Betriebs des Steuersystems erzeugten Datensignale der Bausteine direkt miteinander vergleicht.To solve this problem, a method for safe operation a redundant control system with the monitoring system, which has a comparator circuit and a fault localization circuit, a circuit-based monitoring made of the two computer units, with the building blocks of each Computer unit connected via a system bus comparator circuit to each At the time of operation of the control system, data signals generated by the modules directly compares with each other.
Bei dem erfindungsgemäßen Verfahren ist in vorteilhafter Weise gewährleIstet, daß bereits durch den Vergleich der in jedem Rechner während der Abarbeitung des Programmes mittels der Rechnerbausteine anfallenden Datensignal.e zu jedem Zeitpunkt eine Erkennung eines Fehlers in einer der beiden Rechnereinheiten erfolgen kann. Dadurch, daß das Uberwachungssystem sofort nach Erkennen einer Abweichung beim Vergleich der in den jeweiligen Bausteinen vorhandenen Datensignale in beiden Rechnereinheiten durch die Vergleichsschaltung den Fehler mittels der Fehlerlokalisie rungsschaltung lokalisiert, kann noch während des Programmablaufs der beiden parallelgehalteten Rechnereinheiten die jeweils fehlerhafte außer Betrieb gesetzt werden. Es ist somit beim erfindungsgemäßen Verfahren zur Erkennung eines Fehlers nicht erforderlich, daß die Abarbeitung der Programme in beiden Rechnereinheiten jeweils bis zu bestimmten Teilergebnissen durchgeführt werden muß.In the method according to the invention it is ensured in an advantageous manner that that already by comparing the data in each computer during the processing of the Program by means of the computer modules resulting data signals at any point in time an error can be detected in one of the two computer units. The fact that the monitoring system immediately after detecting a discrepancy in the comparison the data signals present in the respective blocks in both computer units through the comparison circuit the error by means of the error localization circuit localized, can still during the program run of the two parallel held Computer units which are defective in each case are put out of operation. So it is not required in the method according to the invention for detecting an error, that the processing of the programs in both computer units each up to certain Partial results must be carried out.
Der sichere Betrieb des Steuersyste:ms kann in besonders vorteilhafter Weise dadurch gewährleistet werden, daß während des Betriebs des Steuersystems in den beiden Rechnereinheiten vorgegebent Feb rsignale erzeugt werden.The safe operation of the control system: ms can be particularly advantageous Way can be ensured that during the operation of the control system in the two computer units predetermined Feb rsignale are generated.
Die vorgegebenen Fehlersignale bilden künstlich erzeugte Fehler im Steuersystem nach, znic denen die Vergleichereinheit auf ihre fehlererkennende Funktion getestet wird Da hier eine fehlerhafte Rechnereinheit nicht vorhanden ist, kann somit für diesen Fall ein Abschalten der Rechnereinheit, die mit dem Fehlersignal beaufschlagt ist, unterdrückt werden.The specified error signals form artificially generated ones failure in the control system according to which the comparator unit on its error-detecting Function is tested Since there is no faulty computer unit here, In this case, the computer unit that generated the error signal can be switched off is acted upon, are suppressed.
Ferner ist es in vorteilhafter Weise möglich, während des Betriebs des Steuersystems bei fehlerfreiem Arbeiten leider Rechnereinheiten einen zyklischen Wechsel der Rechnereinheit vorzunehmen, die die Steueranordnung mit ihren Ausgangssignalen beaufschlagt. Durch diesen zyklischen Wechsel der jeweils mit dr Steueranordnung verbundenen Rechnereinheit in einem wahlfrei vorgegebenen Zeitabstand ist gewährleistet, daß alle Komponenten (z. B.It is also possible in an advantageous manner during operation of the control system unfortunately a cyclical one when working correctly Change the computer unit to make the control arrangement with its output signals applied. Due to this cyclical change of the control arrangement in each case with dr connected computer unit at an optionally specified time interval is guaranteed, that all components (e.g.
Ausgabe, Umschaltung) beider Rechnereinheiten während des Betriebs des Steuersystems aktiviert werden. Es ist hierbei verhindert, daß eine Rechnereinheit oder dara.. angeschlossene Schaltungselemente, die längere Zeit nicht in Betrieb sind, unbemerkt defekt sind und somit als Reserve ausfallen.Output, switchover) of both computer units during operation of the control system can be activated. It is prevented here that a computer unit or it .. connected circuit elements that have not been in operation for a long time are defective without being noticed and therefore fail as a reserve.
Bei einer weiteren Ausgestaltmg des erfindungsgemäßen Verfahrens erhält vor der WiederJ:nbetriebnahme einer reparierten fehlerhafte Rechnereinheit in einer Aufdat-Phase diereparierte Rechnereinheit den gleichen Zustand wie die parallelgeschaltete Rechnereinheit. Durch das einmalige Aufdaten einer wieder in Betrieb genommenen Rechnereinheit in einer Aufdat-Phase, in der unter anderem alle Speicherzellen dieser Rechnereinheit belegt werden ist sxchergestelltX daß beide Rechnereinheiten ihre Progr-amme synchron abarbeiten ohne daß während des Betriebs des Steuersystems ein permanenter Austausch von Datensignalen zwischen den Rechnereinheiten stattfinden muß. Ein Umschalten von einer Rechnereinheit auf die andere ist somit jederzeit ohne Störungen möglich.In a further embodiment of the method according to the invention before restarting a repaired faulty computer unit in a Update phase the repaired computer unit has the same status as the one connected in parallel Computing unit. Through the one-time update of a re-commissioned Computer unit in an update phase in which, among other things, all memory cells of this Computer unit is occupied, it is ensured that both computer units have their Process programs synchronously without the control system being activated permanent exchange of data signals take place between the computer units got to. Switching from one computer unit to the other is therefore possible at any time possible without interference.
In schaltungstechnisch einfacher Weise kann das erfindungsgenßße Verfahren mit einer Anordnung durchgeführt werden, die zwei programmierbare parallelgeschaltete Rechnereinheiten allfweist die jeweils einen Eingang für zu verarbeitende Meß- oder sonstige Eingabe signale als Eingangssignale und einen Ausgang, über den eine geneinsame Steueranordnung von einer der Rechnereinheiten mit Ausgangssignalen beaufschlagt wird, aufweisen, und einer Vergleicherschaltung, die mit den Rechnereinheiten verbunden ist, wobei die Rechnereinheiten Koppelbausteine, Zentraleinheiten und Speicherbausteine aufweisen, die jeweils über eine Parallelbusleitung mit dem jeveiligen, ebenfalls als Paralle lbusleitung ausgeführten Systembus und somit mit der Vergleicherschaltung verbunden sind.The method according to the invention can be implemented in a simple manner in terms of circuit technology can be done with an arrangement that has two programmable connected in parallel Computer units allf has one input each for measuring or processing other input signals as input signals and an output via which a common Control arrangement acted upon by one of the computer units with output signals will have, and a comparator circuit connected to the computer units is, the computer units coupling modules, central processing units and memory modules have, each via a parallel bus line with the respective, likewise System bus designed as a parallel bus line and thus with the comparator circuit are connected.
Eine erforderlich werdende Umschaltung bei Erkennung eines Fehlers in einer der Rechnereinheiten kann auf einfache Weise durchgeführt werden, wenn die Ausgangssignale jeder Rechnereinheit uber jeweils eine Umschalteinrichtung auf den Ausgang des Steuersystems geführt sind, wobei die Umschalteinrichtungen durch das Fehler signal der fehlerhaften Rechnereinheit derart aktiviert werden, daß der Betrieb des Steuersystems mit der nicht fehlerhaften Rechnereinheit erfolgt.A switchover that becomes necessary when an error is detected in one of the computer units can be carried out in a simple manner, if the output signals of each computer unit via a switching device the output of the control system are performed, the switching devices through the error signal of the faulty computer unit can be activated in such a way that the The control system is operated with the non-defective computer unit.
Die Erfindung wird anhand der Figur erlautert, die ein Blockschaltbild eines Ausführungsbeispiels des erf indungsgemäßen redundanten Steuersystems darstellt.The invention is explained with reference to the figure, which is a block diagram represents an embodiment of the redundant control system according to the invention.
Das in der Figur dargestellte redundante Steuersystem weist eine Rechnereinheit 1 und eine dazu parallelgeschaltet Rechnereinheit 2 auf, an deren Eingängen 3 und 4 übereinstimmende Daten anliegen, welche über eine Meßdatenleitung Ej, z. B. Meßwerte' von einem za steuern den Prozeß und/oder manuell vorgegebene Eingabedaten von einem Eingabebausteín 5', erhalten. Die beiden Rechner- einheiten 1 und 2 weisen Bausteine Ii .. 14 bzw. 21 ... 24 auf, die jeweils über Parallelbusleitungen 15 bzw. 25 mit einem Systembus 16 bzw. einem Systembus 26 verbunden sind.The redundant control system shown in the figure has a computer unit 1 and a computer unit 2 connected in parallel to it, at whose inputs 3 and 4 matching data are present, which via a measurement data line Ej, z. B. Measured values' from a za control the process and / or manually specified input data from a Input module 5 'received. The two computer units 1 and 2 have modules Ii .. 14 or 21 ... 24, each via parallel bus lines 15 and 25 are connected to a system bus 16 and a system bus 26, respectively.
Die Bausteine 11, 14 bzw. 21, 24 sind hier Ein- bzw. Ausgangskoppelbausteine, die Bausteine 12 bzw. 22 stellen jeweils eine Zentraleinheit dar, und die Bausteine 13 bzw. 23 sind hier beispielsweise Speicherbausteine. Über die Parailelbusleitung 16 bzw. 26 ist eine Synchronisierschaltung 6 mit den beiden Bechnereinheiten 1 und 2 erbunden, die durch eine synchrone Taktsteuerung beider Rechnereinheiten eine synchrone Verarbeitung der an den Rechnereinheiten 1 und 2 anliegenden Daten gewährleistet.The modules 11, 14 or 21, 24 are input and output coupling modules, the modules 12 and 22 each represent a central unit, and the modules 13 and 23 are, for example, memory modules. Via the parallel bus line 16 and 26 is a synchronization circuit 6 with the two computer units 1 and 2 connected, which by a synchronous clock control of both computer units a synchronous processing of the data applied to the computer units 1 and 2 is guaranteed.
Die Synchronisierschaltung 6 weist beispielsweise zwei Taktgeneratoren 6' und 6" auf, deren Taktfolge synchron ist und darüber hinaus bei Ausfall eines Taktgenerators die Funktion des jeweils anderen mit übernehmen können.The synchronization circuit 6 has, for example, two clock generators 6 'and 6 ", whose clock sequence is synchronous and, moreover, if one fails Clock generator can take over the function of the other.
Weiterhin ist mit den beiden Systembussen 16 und 26 ein Überwachungssystem 7 verbunden, das eine Vergleicherschaltung 7' und eine Fehlerlokalisierungsschaltung 7" aufweist, wobei ein Vergleich der an den Bausteinen der jeweiligen Rechnereinheiten 1 bzw. 2 anliegenden Datensignale zu jedem Zeitpunkt während des Programmablaufs vorgenommen wird. Das Uberwachungssystem 7 ist über Fehlersignalleitungen 8 und 9 mit Umschalteinrichtungen 17 und 18 verbunden, mittels denen die Ausgänge der Rechnereinheiten 1 oder 2 mit Steuer anordnungen 19 verbunden bzw unterbrochen werden. Mit diesen Steueranotdnungen 19 kann z. B. ein zu steuernder Prozeß in der mit den Programmen der beiden Rechnereiheiten 1, 2 festgelegten Art und Weise beelnrlulst werten.Furthermore, with the two system buses 16 and 26, there is a monitoring system 7 connected, the a comparator circuit 7 'and a fault location circuit 7 ", with a comparison of the data on the modules of the respective computer units 1 or 2 pending data signals at any point in time during the program run is made. The monitoring system 7 is via error signal lines 8 and 9 connected to switching devices 17 and 18, by means of which the outputs of the Computer units 1 or 2 with control arrangements 19 are connected or interrupted. With these Steueranotdnung 19 z. B. a process to be controlled in the with Programs of the two computation units 1, 2 defined manner beelnrlulst evaluate.
Während des Betriebes mit dem dargestellten Ausführungsbeispiel zur Durchführung des erfindüngsgemäßen Verfahrens ist eine Rechnereítheít - hier die Rechnereinheit 1 -mit den Steueranordnungen 19 zur Beeinflussung eines zu steuernden Prozesses verbunden. Die im dargestellten Fall parallelgeschaltete Rechnereinheit 2 ist hier nicht in der Lage, Steuerbefehle zu der Prozeßperipherie 19 zu senden, sie bearbeitet jedoch die Eingangsdaten, die z. B. uber die Meßdatenleitung 5 auf ihren Eingang 4 gelangen, in gleicher Weise wie die Rechnereinheit 1. Mittels der Vergleicherschaltung 7' werden die in den Bausteinen 11 ... 14 bzw. 21 ... 24 erzeugten Datensignale standig miteinander verglichen, bei Ungleichheit der jeweils verglichenen Daten wird die Fehler stelle mittels der Fehlerlokalisierungsschaltung 7" in der entsprechenden Rechnereinheit 1 bzw. 2 lokalisiert. Die Rechnereinheit, zu der der fehlerhafte Baustein gehört. wird sodann von den Steueranordnungen 19 getrennt, und es wird die fehlerfreie Rechnereinheit mit den Steueranordnungen 19 über die Umschalteinrichtung 17 bzw. 18 verbunden. Für den anderen Fall, daß der Fehler in der Rechnereinheit -- her Rechnereinheit 2 - lokalisiert worden ist, die nicht t den Steueranordnungen 19 verbunden war, braucht lediglich eine Anzeige vorgenommen werden, die zur Herausnahme und Wiederinstandsetzung der fehlerhaften Rechnereinheit führt. Im ersten Fall ist somit die verarbeitung der Meßdaten an der Meßdatenleitung 5 und die Steuerung des Prozesses in der Steueranordnung 19 nur L.mrzzeitig unterbrochen; im zweiten Fall findet somit über haupt keine Unterbrechung statt, was somit zu einer außerordentlich sicheren Funktionsweise des erfindungsgemäßen Steuersystems führt.During operation with the illustrated embodiment for Implementation of the method according to the invention is a computing device - here the Computer unit 1 -with the control arrangements 19 for influencing a too controlling Connected to the process. The computer unit connected in parallel in the case shown 2 is not able to send control commands to the process periphery 19 here, however, it processes the input data that z. B. via the measurement data line 5 get their input 4, in the same way as the computer unit 1. By means of the Comparator circuit 7 'are those generated in blocks 11 ... 14 or 21 ... 24 Data signals are constantly compared with one another, if the respective compared are inequality Data is the error place by means of the error localization circuit 7 ″ in the corresponding computer unit 1 or 2 localized. The computing unit to which the faulty block belongs. is then separated from the control orders 19, and it is the error-free computer unit with the control arrangements 19 via the Switching device 17 or 18 connected. Otherwise, the error is in the computer unit - her computer unit 2 - has been located, which is not t the control arrangements 19 was connected, only a display needs to be made to remove and repair the faulty computer unit leads. In the first case, the processing of the measurement data takes place on the measurement data line 5 and the control of the process in the control arrangement 19 is only temporarily interrupted; in the second case there is no interruption at all, which is what it is an extremely safe functioning of the control system according to the invention leads.
Um die sichere Funktionsweise des Steuersystems während des Betriebs zu testen, können darüber hinaus vorgegebene Fehlersignale Deicler Rechnereinheiten , 2 eingegeben w@rden; desweiteren kann ein zyklischer Wechsel bei der Ankopplung der Rechnereinheiten 1 bzw. 2 an die Steueranordnungen vorgenommen werden. Alle diese Maßnahmen gewährleisten eine einwandfreie Durchführung des erfindungsgemäßen Verfahrens zum sicheren Betrieb des Steuersystems.To ensure the safe functioning of the control system during operation To test, Deicler computer units can also use specified error signals , 2 would be entered; a cyclical change in the coupling can also be used the computer units 1 and 2 are made to the control arrangements. All ensure these measures a flawless implementation of the Method according to the invention for the safe operation of the control system.
6 Patentansprüche 1 Figur6 claims 1 figure
Claims (6)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19823225455 DE3225455C2 (en) | 1982-07-07 | 1982-07-07 | Method for the safe operation of a redundant control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19823225455 DE3225455C2 (en) | 1982-07-07 | 1982-07-07 | Method for the safe operation of a redundant control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE3225455A1 true DE3225455A1 (en) | 1984-01-19 |
| DE3225455C2 DE3225455C2 (en) | 1986-07-17 |
Family
ID=6167883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19823225455 Expired DE3225455C2 (en) | 1982-07-07 | 1982-07-07 | Method for the safe operation of a redundant control system |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE3225455C2 (en) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3504096A1 (en) * | 1985-02-07 | 1986-08-07 | Wabco Westinghouse Fahrzeugbremsen GmbH, 3000 Hannover | SET POINTS |
| TR22701A (en) * | 1985-11-15 | 1988-04-08 | Messwandler Bau Ag | A HIGH VOLTAGE CURRENT TRANSFORMATOERUE AND BOEYLE A HIGH VOLTAGE CURRENT TRANSFORMATOERUE IMALINE SPECIFIC PROCEDURE |
| DE3642851A1 (en) * | 1986-12-16 | 1988-06-30 | Bbc Brown Boveri & Cie | ERROR-TOLERANT COMPUTING SYSTEM AND METHOD FOR DETECTING, LOCALIZING AND ELIMINATING DEFECTIVE UNITS IN SUCH A SYSTEM |
| DE4032033A1 (en) * | 1990-10-09 | 1992-04-16 | Siemens Ag | Electric control and monitoring for underground plant - triggering safety-relevant signals for transmission over independent paths and processing by redundant systems |
| DE4134396A1 (en) * | 1990-10-30 | 1992-05-07 | Siemens Ag | Automation system for safe operation of mining equipment - has duplicated control units with watchdog circuits to identify faults and operate brakes |
| DE4113959A1 (en) * | 1991-04-29 | 1992-11-05 | Kloeckner Humboldt Deutz Ag | MONITORING DEVICE |
| DE4136338A1 (en) * | 1991-11-05 | 1993-05-06 | Robert Bosch Gmbh, 7000 Stuttgart, De | METHOD AND DEVICE FOR TROUBLESHOOTING IN ELECTRONIC CONTROL UNITS |
| EP0621521A2 (en) * | 1993-04-21 | 1994-10-26 | Csee-Transport | Microprocessor safety system, in particular applicable to the field of railways transportation |
| WO1995017706A2 (en) * | 1993-12-23 | 1995-06-29 | The Dow Chemical Company | Information display system for actively redundant computerized process control |
| DE4446314A1 (en) * | 1994-12-23 | 1996-06-27 | Teves Gmbh Alfred | Method and circuit arrangement for monitoring the function of a program-controlled circuit |
| EP0742498A2 (en) * | 1995-05-11 | 1996-11-13 | Siemens Aktiengesellschaft | Implementation of a single channel code program in a system with a two-channel safety-oriented structure |
| DE19529434A1 (en) * | 1995-08-10 | 1997-02-13 | Teves Gmbh Alfred | Microprocessor system for safety-critical regulations |
| DE19643637A1 (en) * | 1996-10-22 | 1998-04-23 | Siemens Ag | Unit for detecting and locating leaks of e.g. salt solution from pipeline |
| DE19716197A1 (en) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Microprocessor system for safety-critical regulations |
| DE19717686A1 (en) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Circuit arrangement for a motor vehicle control system |
| EP0878981A2 (en) * | 1997-05-16 | 1998-11-18 | Siemens Aktiengesellschaft | Current stabiliser |
| WO1998053374A1 (en) * | 1997-05-16 | 1998-11-26 | Continental Teves Ag & Co. Ohg | Microprocessor system for automobile control systems |
| DE19826875A1 (en) * | 1998-06-17 | 1999-12-23 | Heidenhain Gmbh Dr Johannes | Numerical control with a spatially separate input device |
| DE19920340A1 (en) * | 1999-05-03 | 2000-11-09 | Hsm Pressen Gmbh & Co Kg | Control device and method for controlling safety-relevant functions of a dangerous machine |
| DE19937752A1 (en) * | 1999-08-10 | 2001-02-22 | Siemens Ag | Processor unit with redundancy function for use in coordination processor |
| EP1161664A1 (en) * | 1999-12-15 | 2001-12-12 | Delphi Technologies, Inc. | Electric caliper hardware topologies for a safety system |
| DE19732764B4 (en) * | 1997-07-30 | 2004-04-29 | Rheinmetall Landsysteme Gmbh | Transmission device for control signals, especially in vehicles |
| DE19805819B4 (en) * | 1997-05-06 | 2006-11-23 | Ee-Signals Gmbh & Co. Kg | Method for monitoring integrated circuits |
| DE19814096B4 (en) * | 1998-03-30 | 2007-07-19 | Abb Patent Gmbh | Method for switching over redundantly connected, similar modules |
| DE102007004153A1 (en) * | 2007-01-22 | 2008-07-24 | Atena Engineering Gmbh | Channel switching logic for two-channel control device, has output gate with input value in low state when series error occurs as pseudo error in channel corresponding to output gate and with maximum pseudo error occurring in other channels |
| US7602958B1 (en) * | 2004-10-18 | 2009-10-13 | Kla-Tencor Corporation | Mirror node process verification |
| EP2993548A1 (en) * | 2014-08-06 | 2016-03-09 | Siemens AG Österreich | Control of a voltage feed-in |
| US10969819B2 (en) | 2016-03-24 | 2021-04-06 | Wago Verwaltungsgesellschaft Mbh | Security control and method for operating a security control |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4434705C2 (en) * | 1993-09-30 | 1997-01-23 | Siemens Ag | Method and device for monitoring at least two redundant controller channels of an excitation device of an electrical generator |
| WO1996010288A1 (en) * | 1994-09-28 | 1996-04-04 | Siemens Aktiengesellschaft | Method and device for monitoring at least two redundant control channels for an electric-generator exciter |
| DE19530049B4 (en) * | 1995-08-16 | 2004-12-23 | Thomas Froese | Method for recognizing incorrect predictions in a neuromodel-based or neuronal control |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2258917B2 (en) * | 1971-12-02 | 1976-08-19 | Hitachi, Ltd., Tokio | CONTROL DEVICE WITH AT LEAST TWO PARALLEL SIGNAL CHANNELS |
| DE3024370A1 (en) * | 1980-06-27 | 1982-01-28 | Siemens AG, 1000 Berlin und 8000 München | REDUNDANT CONTROL SYSTEM |
-
1982
- 1982-07-07 DE DE19823225455 patent/DE3225455C2/en not_active Expired
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2258917B2 (en) * | 1971-12-02 | 1976-08-19 | Hitachi, Ltd., Tokio | CONTROL DEVICE WITH AT LEAST TWO PARALLEL SIGNAL CHANNELS |
| DE3024370A1 (en) * | 1980-06-27 | 1982-01-28 | Siemens AG, 1000 Berlin und 8000 München | REDUNDANT CONTROL SYSTEM |
Non-Patent Citations (1)
| Title |
|---|
| DE-B.: Anke/Kaltenecker/Oetker: Prozessrechner, Oldenbourg Verlag München, 1970, S.348 * |
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3504096A1 (en) * | 1985-02-07 | 1986-08-07 | Wabco Westinghouse Fahrzeugbremsen GmbH, 3000 Hannover | SET POINTS |
| TR22701A (en) * | 1985-11-15 | 1988-04-08 | Messwandler Bau Ag | A HIGH VOLTAGE CURRENT TRANSFORMATOERUE AND BOEYLE A HIGH VOLTAGE CURRENT TRANSFORMATOERUE IMALINE SPECIFIC PROCEDURE |
| DE3642851A1 (en) * | 1986-12-16 | 1988-06-30 | Bbc Brown Boveri & Cie | ERROR-TOLERANT COMPUTING SYSTEM AND METHOD FOR DETECTING, LOCALIZING AND ELIMINATING DEFECTIVE UNITS IN SUCH A SYSTEM |
| DE4032033A1 (en) * | 1990-10-09 | 1992-04-16 | Siemens Ag | Electric control and monitoring for underground plant - triggering safety-relevant signals for transmission over independent paths and processing by redundant systems |
| DE4134396A1 (en) * | 1990-10-30 | 1992-05-07 | Siemens Ag | Automation system for safe operation of mining equipment - has duplicated control units with watchdog circuits to identify faults and operate brakes |
| DE4113959A1 (en) * | 1991-04-29 | 1992-11-05 | Kloeckner Humboldt Deutz Ag | MONITORING DEVICE |
| DE4136338A1 (en) * | 1991-11-05 | 1993-05-06 | Robert Bosch Gmbh, 7000 Stuttgart, De | METHOD AND DEVICE FOR TROUBLESHOOTING IN ELECTRONIC CONTROL UNITS |
| US5794167A (en) * | 1993-04-21 | 1998-08-11 | Csee-Transport | Microprocessor based reliability system applicable, in particular, to the field of rail transport |
| FR2704329A1 (en) * | 1993-04-21 | 1994-10-28 | Csee Transport | Security system with microprocessor, applicable in particular to the field of rail transport. |
| EP0621521A3 (en) * | 1993-04-21 | 1994-11-17 | Csee Transport | Microprocessor safety system, in particular applicable to the field of railways transportation. |
| EP0621521A2 (en) * | 1993-04-21 | 1994-10-26 | Csee-Transport | Microprocessor safety system, in particular applicable to the field of railways transportation |
| WO1995017706A2 (en) * | 1993-12-23 | 1995-06-29 | The Dow Chemical Company | Information display system for actively redundant computerized process control |
| WO1995017706A3 (en) * | 1993-12-23 | 1997-02-13 | Dow Chemical Co | Information display system for actively redundant computerized process control |
| DE4446314A1 (en) * | 1994-12-23 | 1996-06-27 | Teves Gmbh Alfred | Method and circuit arrangement for monitoring the function of a program-controlled circuit |
| US6012156A (en) * | 1994-12-23 | 2000-01-04 | Itt Manufacturing Enterprises Inc. | Process and circuit arrangement for monitoring the function of a program-controlled circuit |
| EP0742498A3 (en) * | 1995-05-11 | 1998-01-14 | Siemens Aktiengesellschaft | Implementation of a single channel code program in a system with a two-channel safety-oriented structure |
| EP0742499A3 (en) * | 1995-05-11 | 1997-12-29 | Siemens Aktiengesellschaft | Reliable processing of safety-oriented process signals |
| EP0742498A2 (en) * | 1995-05-11 | 1996-11-13 | Siemens Aktiengesellschaft | Implementation of a single channel code program in a system with a two-channel safety-oriented structure |
| US6201997B1 (en) | 1995-08-10 | 2001-03-13 | Itt Manufacturing Enterprises, Inc. | Microprocessor system for safety-critical control systems |
| DE19529434A1 (en) * | 1995-08-10 | 1997-02-13 | Teves Gmbh Alfred | Microprocessor system for safety-critical regulations |
| DE19529434B4 (en) * | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprocessor system for safety-critical regulations |
| DE19643637A1 (en) * | 1996-10-22 | 1998-04-23 | Siemens Ag | Unit for detecting and locating leaks of e.g. salt solution from pipeline |
| DE19716197A1 (en) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Microprocessor system for safety-critical regulations |
| WO1998048326A1 (en) * | 1997-04-18 | 1998-10-29 | Continental Teves Ag & Co. Ohg | Microprocessor system for safety-critical control systems |
| US6823251B1 (en) | 1997-04-18 | 2004-11-23 | Continental Teves Ag & Co., Ohg | Microprocessor system for safety-critical control systems |
| DE19717686A1 (en) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Circuit arrangement for a motor vehicle control system |
| DE19805819B4 (en) * | 1997-05-06 | 2006-11-23 | Ee-Signals Gmbh & Co. Kg | Method for monitoring integrated circuits |
| EP0878981A2 (en) * | 1997-05-16 | 1998-11-18 | Siemens Aktiengesellschaft | Current stabiliser |
| WO1998053374A1 (en) * | 1997-05-16 | 1998-11-26 | Continental Teves Ag & Co. Ohg | Microprocessor system for automobile control systems |
| US6275752B1 (en) | 1997-05-16 | 2001-08-14 | Continental Teves Ag & Co., Ohg | Microprocessor system for automobile control systems |
| EP0878981A3 (en) * | 1997-05-16 | 2000-08-23 | Siemens Aktiengesellschaft | Current stabiliser |
| DE19732764B4 (en) * | 1997-07-30 | 2004-04-29 | Rheinmetall Landsysteme Gmbh | Transmission device for control signals, especially in vehicles |
| DE19814096B4 (en) * | 1998-03-30 | 2007-07-19 | Abb Patent Gmbh | Method for switching over redundantly connected, similar modules |
| DE19826875A1 (en) * | 1998-06-17 | 1999-12-23 | Heidenhain Gmbh Dr Johannes | Numerical control with a spatially separate input device |
| US6507760B1 (en) | 1998-06-17 | 2003-01-14 | Johannes Heidenhain Gmbh | Numerical control unit with a spatially separated input device |
| DE19920340A1 (en) * | 1999-05-03 | 2000-11-09 | Hsm Pressen Gmbh & Co Kg | Control device and method for controlling safety-relevant functions of a dangerous machine |
| DE19937752A1 (en) * | 1999-08-10 | 2001-02-22 | Siemens Ag | Processor unit with redundancy function for use in coordination processor |
| EP1161664A4 (en) * | 1999-12-15 | 2003-02-12 | Delphi Tech Inc | Electric caliper hardware topologies for a safety system |
| EP1161664A1 (en) * | 1999-12-15 | 2001-12-12 | Delphi Technologies, Inc. | Electric caliper hardware topologies for a safety system |
| US7602958B1 (en) * | 2004-10-18 | 2009-10-13 | Kla-Tencor Corporation | Mirror node process verification |
| DE102007004153A1 (en) * | 2007-01-22 | 2008-07-24 | Atena Engineering Gmbh | Channel switching logic for two-channel control device, has output gate with input value in low state when series error occurs as pseudo error in channel corresponding to output gate and with maximum pseudo error occurring in other channels |
| EP2993548A1 (en) * | 2014-08-06 | 2016-03-09 | Siemens AG Österreich | Control of a voltage feed-in |
| US10969819B2 (en) | 2016-03-24 | 2021-04-06 | Wago Verwaltungsgesellschaft Mbh | Security control and method for operating a security control |
| EP3433682B1 (en) * | 2016-03-24 | 2021-04-07 | WAGO Verwaltungsgesellschaft mbH | Safety controller and method for operating a safety controller |
| DE102016204965B4 (en) | 2016-03-24 | 2023-05-04 | Wago Verwaltungsgesellschaft Mbh | Safety controller and method for operating a safety controller |
Also Published As
| Publication number | Publication date |
|---|---|
| DE3225455C2 (en) | 1986-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE3225455A1 (en) | Method for reliably operating a redundant control system and arrangement for carrying out the method | |
| DE3923432C2 (en) | Device for generating measurement signals with a plurality of sensors | |
| DE3790186C2 (en) | ||
| DE3700426C2 (en) | Watchdog timer | |
| DE19531653A1 (en) | Single-chip microprocessor | |
| DE3702408C2 (en) | ||
| DE3600092C2 (en) | ||
| EP1743225A1 (en) | Redundant computerizing system comprising a master programmable automaton and a standby programmable automaton | |
| DE3024370A1 (en) | REDUNDANT CONTROL SYSTEM | |
| DE3719497A1 (en) | SYSTEM FOR TESTING DIGITAL CIRCUITS | |
| DE19722114C2 (en) | Clock signal providing device and method | |
| DE10302456A1 (en) | Computer device for safety-critical applications has at least a processor unit and memory unit with both units situated on the same chip surface | |
| EP0907919B1 (en) | Arrangement for operating two functionally parallel processors | |
| DE2913371A1 (en) | PROCESS AND SYSTEM FOR SEQUENCE CONTROL | |
| EP0404992B1 (en) | Method for operating with a high availability redundant data-processing units | |
| EP0148995B1 (en) | Circuit arrangement for the verification of the in-sequence start-up of a dual-channel fail-safe microcomputer sequential logic system, in particular for railway security equipment | |
| DE3638256A1 (en) | CIRCUIT FOR GENERATING ARTIFICIAL ERRORS FOR A DATA PROCESSING SYSTEM | |
| DE3642851A1 (en) | ERROR-TOLERANT COMPUTING SYSTEM AND METHOD FOR DETECTING, LOCALIZING AND ELIMINATING DEFECTIVE UNITS IN SUCH A SYSTEM | |
| EP0108284B1 (en) | Clock current supply for a multimicrocomputer system in railways safety equipments | |
| DE3625271C2 (en) | ||
| EP0090162A2 (en) | Two-channels fail-safe microcomputer switching network, in particular for railway security systems | |
| DD231869A5 (en) | SIGNAL TECHNOLOGY SAFE DATA PROCESSING DEVICE | |
| DE2910236A1 (en) | Test system for subassemblies in telephone exchange - compares outputs of pairs of identical synchronised subassemblies to detect differences | |
| DE19543817A1 (en) | Testing and monitoring method and device for computer system | |
| DE2709819A1 (en) | Data bit comparator checking and test system - applies identical and non-identical bits to inputs of comparator using switched inverters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| 8125 | Change of the main classification |
Ipc: G05B 9/03 |
|
| D2 | Grant after examination | ||
| 8363 | Opposition against the patent | ||
| 8331 | Complete revocation |