[go: up one dir, main page]

DE3037150A1 - Sichere datenverarbeitungseinrichtung - Google Patents

Sichere datenverarbeitungseinrichtung

Info

Publication number
DE3037150A1
DE3037150A1 DE19803037150 DE3037150A DE3037150A1 DE 3037150 A1 DE3037150 A1 DE 3037150A1 DE 19803037150 DE19803037150 DE 19803037150 DE 3037150 A DE3037150 A DE 3037150A DE 3037150 A1 DE3037150 A1 DE 3037150A1
Authority
DE
Germany
Prior art keywords
data processing
secure data
processing device
comparison
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19803037150
Other languages
English (en)
Other versions
DE3037150C2 (de
Inventor
Hasso 1000 Berlin Krüger
Alfred Ing.(Grad.) Lotz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Licentia Patent Verwaltungs GmbH
Original Assignee
Licentia Patent Verwaltungs GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Licentia Patent Verwaltungs GmbH filed Critical Licentia Patent Verwaltungs GmbH
Priority to DE19803037150 priority Critical patent/DE3037150C2/de
Publication of DE3037150A1 publication Critical patent/DE3037150A1/de
Application granted granted Critical
Publication of DE3037150C2 publication Critical patent/DE3037150C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • G06F11/167Error detection by comparing the memory output
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1691Temporal synchronisation or re-synchronisation of redundant processing components using a quantum

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Description

  • Sichere Datenverarbeitungseinrichtung
  • Die Erfindung bezieht sich auf eine sichere Datenverarbeitungseinrichtung nach dem Oberbegriff des Patentanspruchs 1.
  • Es ist bereits eine sichere Datenverarbeitungseinrich tung mit in mindestens zwei Kanälen dieselben Informationen verarbeitenden Schaltwerken, die programmabhängig gesteuert werden, vorgeschlagen worden, die durch folgende Merkmale gekennzeichnet ist: In jedem Kanal ist eine Bus-Leitung enthalten. An jede BUS-Leitung ist ein unabhängig arbeitender Mikroprozessor, ein Schreib-Lesespeicher, ein Festwertspeicher und ein past-memory-Baustein angeschlossen. An jede BUS-Leitung ist eine Paralleldatenausgabe und ene Serielldatenausgabeschaltung angeschlossen. Die BUS-Leitungen sind durch eine fehlersichere Koordinierungsein heit miteinander verbunden, welche die Übernahme und Ausgabe der Informationen steuert (P 29 39 935). Da bei dieser Einrichtung die Ergebnisse der beiden Mikroprozessoren zu verschiedenen Zeiten der Vergleicherbaugruppe ZU-geführt werden, kann es vorkommen, daß bei einem der Mikroprozessoren unverhältnismäßig lange Wartezeiten entstehen. Besonders bei diversitären Systemen kann die Bearbeitungsreihenfolge verschieden sein und dann zu extrem langen Wartezeiten führen.
  • Die Aufgabe besteht daher darin, bei einer solchen sicheren Datenverarbeitungseinrichtung die Verarbeitungsgeschwindigkeit zu beschleunigen. Die Aufgabe wird nach der Erfindung durch die in den Merkmalen angegebenen Maßnahmen gelöst.
  • Die Erfindung wird anhand einer Zeichnung im folgenden an Ausführungsbeispielen näher erläutert.
  • In Fig. 1 ist das Blockschaltbild einer Datenverarbeitungseinrichtung mit drei Kanälen dargestellt. Beim Ausführungsbeispiel sind die drei Kanäle I, II und III in ihrer Struktur vollkommen gleich aufgebaut, können aber hardware-mäßig verschieden sein. Die Informationen werden über eine Eingabeschaltung DE, die aus sicheren Bausteinen besteht, eingegeben. Sie werden über BUS I, BUS II bzw. BUS III Mikroprozessoren MP I, MP II bzw.
  • MP III zugeleitet. Jeder Mikroprozessor besitzt einen Zwischenspeicher ZS I, ZS II bzw. ZS III, der Bestandteil des Arbeitsspeichers ist. Die Zwischenspeicher stehen mit einer Vergleicherbaugruppe MSJVB mit Majoritätsschaltung in Verbindung, die aus sicheren Bausteinen besteht. Die Vergleicherbaugruppe MS/VB ist an die Datenausgabe DA angeschlossen. Die Datenausgabe DA ist ebenfalls aus sicheren Bausteinen aufgebaut. Sicher heißt in diesem Falle signaltechnisch sicher.
  • Bedingt durch die Diversität auf Hard- und Softwareseite wird erwartet, daß auch bei gleichzeitig zufällig in gleicher Art in jedem Kanal auftretende Fehler erkannt werden.
  • Zu diesem Zwecke werden bei einem dreikanaligen Aufbau die Mikroprozessoren, die mit eigenen Taktgene ratoren arbeiten, von ihrem Takt her nicht zwangssynchronisiert.
  • Die Synchronisation der Kanäle wird von einer nicht dargestellten Synchronisierungseinheit gesteuert. Sie.
  • hat die Aufgabe, die Programmabläufe der Prozessoren zu koordinieren und die digitalen Ausgaben zu steuern, damit an dem Vergleicher zur bestimmten Zeit identische Informationen anstehen und ausgegeben werden.
  • Hierbei wird das Anwenderprogramm in Einzelsegmente aufgeteilt. Nach jedem kurzen Programmabschnitt findet ein Vergleich statt. Innerhalb dieser Abschnitte laufen die Mikroprozessoren frei. Nachdem ein Mikroprozessor einen Abschnitt abgearbeitet hat, teilt er dies der Koordinierungseinheit mit und wartet auf eine externe Freigabe.
  • Hat auch der zweite Mikroprozessor diesen Teilabschnitt innerhalb einer vorgegebenen Zeitspanne abgearbeitet, erteilt die Koordinierungseinheit beiden Mikroprozessoren die Freigabe zur Bearbeitung des nächsten Programmschrittes.
  • Dabei müssen die beiden Rechner an jeder Stelle aufeinander warten, an der ein Vergleich stattfinden soll Diese Wartezeiten sind nachteilig. Hinzu kommt, daß die Mìkroprozessoren und ihr Programmablauf völlig voneinander verschieden sein können. Daher könnten Vergleiche innerhalb des Programms zu größeren Wartezeiten und Synchronisationsschwierigkeiten führen, als für die sicherheitstechnischen Belange wünschenswert wäre.
  • Deshalb werden Teile der Arbeitsspeicher der Mikroprozessoren als Zwischenspeicher ZS I bzw. ZS II verwendet, in die die anfallenden Zwischenergebnisse bis zum Vergleich eingespeichert werden.
  • Da das Rechnersystem diversitär in Hard- als auch in Software aufgebaut und betrieben werden kann, würde dies zumindest bei umfangreicher Software - ohne die Zwischenspeicherung der Ergebnisse - auf Synchronisationsschwierigkeiten stoßen.
  • Die Mikroprozessoren geben nach der Erfindung ihre Ergebnisse in Zwischenspeicher ein und rechnen sofort weiter, ohne das Ergebnis des Einzelvergleiches abzuwarten Die Zwischenspeicher können mehrstufig aufgebaut sein, damit eine Beschleunigung im Vergleich der aufeinanderfolgenden Zwischenergebnisse erzielt werden kann, um die Fehleroffenbarungszeit zu reduzieren.
  • Die Synchronisation der Kanäle wird von der nicht dargestellten Koordinierungseinheit in Abha#ngigkeit vom Vergleicher gesteuert.
  • Durch den diversitären Aufbau des Systems können Laufunterschiede der Mikroprozessoren entstehen. Dadurch, daß die gesamte Zwischen-Liste im Zwischenspeicher abgelegt wird - es kann eine verschiedene Programmstruktur in jedem Mikroprozessor vorhanden sein - ist ein quasikontinuierlicher Datenvergleich möglich.
  • Falls ein Mikroprozessor falsche Ergebnisse liefert, so wird dies durch den Vergleich festgestellt und ein weiteres Arbeiten der Mikroprozessoren beeinflußt.
  • Ein kontrollierter Wiederanlauf des Systems ist möglich.
  • Der Vorteil der Datenverarbeitungseinrichtung nach der Erfindung besteht darin, daß die Rechnerleistung höher ist und die Synchronisierung vereinfacht wird.

Claims (8)

  1. Patentansprüche Sichere SichereDatenverarbeitungseinrichtung mit in mindestens zwei Kanälen korrespondierende Informationen verarbeitenden Schaltwerken, die programmabhängig gesteuert werden, wobei in jedem Kanal ein unabhängig arbeitender Mikroprozessor mit eigener Taktsteuerung vorgesehen ist und eine sichere Koordinierungseinheit für die Verbindung der Kanäle sorgt, dadurch gekennzeichnet, daß aus den Arbeitsspeichern der Mikroprozessoren Teile als Zwischenspeicher definiert sind, die mit mindestens einer Vergleicherbaugruppe verbunden sind, die die zu verschiedenen Zeiten eingehenden zwischengespeicherten Teilergebnisse der beiden Mikroprozessoren vergleicht, während die Mikroprozessoren bereits nachfolgende Programmabschnitte bearbeiten bis zu einem definierten Zeitpunkt, wo die Gesamtzahl der Zwischenergebnisse die jetzt einheitlich geordnet in den Zwischenspei chern stehen, kontinuierlich verglichen und aus dem Ergebnis des Vergleiches Folgeoperationen abgeleitet werden.
  2. 2. Sichere Datenverarbeitungseinrichtungen nach Anspruch 1, dadurch gekennzeichnet, daß bei einer mehr als zweikanaligen Ausführung die Vergleicher baugruppe mit einer Majoritätsschaltung gekoppelt ist.
  3. 3. Sichere Datenverarbeitungseinrichtung nach den Ansprüchen 1 und 2, dadurch gekennzeichnet, daß die Eingabe, die Vergleicherbaugruppe und die Ausgabe sichere Bausteine sind.
  4. 4. Sichere Datenverarbeitungseinrichtung nach den Ansprüchen 1 - 3, dadurch gekennzeichnet, daß die Zwischenspeicher mehrstufig mit entsprechender Vergleicherzuordnung zur Verkürzung der Fehleroffenbarungszeit aufgebaut sein können.
  5. 5. Sichere Datenverarbeitungseinrichtung nach den Ansprüchen 1 - 4, dadurch gekennzeichnet, daß jeder Mikroprozessor für sich unabhängig taktgesteuert ist.
  6. 6. Sichere Datenverarbeitungseinrichtung nach den Ansprüchen 1 - 5, dadurch gekennzeichnet, daß die Koordinierungseinheit nach dem Eintreffen der Vergleichsergebnisse einen Befehl zur Abarbeitung der nächsten Programmschritte oder zur Wiederholung eines Programmschrittes oder zur Stillsetzung ausgibt.
  7. 7. Sichere Datenverarbeitungseinrichtung nach den Ansprüchen l - 6, dadurch gekennzeichnet, daß die Leistung der Datenverarbeitung durch nennenswerte Reduzierung der Vergleichswartezeiten besonders bei diversitären Systemen, durch quasikontinuierlichen Vergleich erhöht werden.
  8. 8. Sichere Datenverarbeitungseinrichtung nach den Ansprüchen 1 - 7, dadurch gekennzeichnet, daß die Größe der Vergleichsspeicher zur Optimierung der Fehleroffenbarungszeit pro Programm vorgegeben werden kann.
DE19803037150 1980-09-27 1980-09-27 Sichere Datenverarbeitungseinrichtung Expired DE3037150C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19803037150 DE3037150C2 (de) 1980-09-27 1980-09-27 Sichere Datenverarbeitungseinrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19803037150 DE3037150C2 (de) 1980-09-27 1980-09-27 Sichere Datenverarbeitungseinrichtung

Publications (2)

Publication Number Publication Date
DE3037150A1 true DE3037150A1 (de) 1982-04-15
DE3037150C2 DE3037150C2 (de) 1984-03-15

Family

ID=6113378

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19803037150 Expired DE3037150C2 (de) 1980-09-27 1980-09-27 Sichere Datenverarbeitungseinrichtung

Country Status (1)

Country Link
DE (1) DE3037150C2 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3210299A1 (de) * 1982-03-20 1983-09-29 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Verfahren und vorrichtung zur eingabe von informationen in zwei datenverarbeitungsanlagen
EP0381334A2 (de) * 1989-02-03 1990-08-08 Rockwell International Corporation Gerät für Verwaltung, Vergleich und Korrektur redundanter digitaler Daten
DE3923432A1 (de) * 1989-07-15 1991-01-24 Bodenseewerk Geraetetech Einrichtung zur erzeugung von messsignalen mit einer mehrzahl von redundant vorgesehenen sensoren
FR2767591A1 (fr) * 1997-08-19 1999-02-26 Siemens Ag Procede de surveillance d'un procede de determination de signaux de commande relevant de la securite

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639055C2 (de) * 1986-11-14 1998-02-05 Bosch Gmbh Robert Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
DE3642851A1 (de) * 1986-12-16 1988-06-30 Bbc Brown Boveri & Cie Fehlertolerantes rechensystem und verfahren zum erkennen, lokalisieren und eliminieren von fehlerhaften einheiten in einem solchen system
DE3918962C2 (de) * 1989-06-09 1998-01-22 Siemens Ag System mit mehreren asynchron arbeitenden Rechnern

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2725922B1 (de) * 1977-06-08 1978-12-21 Standard Elek K Lorenz Ag Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2725922B1 (de) * 1977-06-08 1978-12-21 Standard Elek K Lorenz Ag Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Proceedings of the annual Symposium on Computer Architecture, University of Florida, 9.-11.Dec.1973, S.151-157 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3210299A1 (de) * 1982-03-20 1983-09-29 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Verfahren und vorrichtung zur eingabe von informationen in zwei datenverarbeitungsanlagen
EP0381334A2 (de) * 1989-02-03 1990-08-08 Rockwell International Corporation Gerät für Verwaltung, Vergleich und Korrektur redundanter digitaler Daten
EP0381334A3 (de) * 1989-02-03 1991-09-04 Rockwell International Corporation Gerät für Verwaltung, Vergleich und Korrektur redundanter digitaler Daten
DE3923432A1 (de) * 1989-07-15 1991-01-24 Bodenseewerk Geraetetech Einrichtung zur erzeugung von messsignalen mit einer mehrzahl von redundant vorgesehenen sensoren
US5222065A (en) * 1989-07-15 1993-06-22 Bodenseewerk Geratetechnik Gmbh Device for generating measuring signals with a plurality of redundantly provided sensors
DE3923432C2 (de) * 1989-07-15 1997-07-17 Bodenseewerk Geraetetech Einrichtung zur Erzeugung von Meßsignalen mit einer Mehrzahl von Sensoren
FR2767591A1 (fr) * 1997-08-19 1999-02-26 Siemens Ag Procede de surveillance d'un procede de determination de signaux de commande relevant de la securite

Also Published As

Publication number Publication date
DE3037150C2 (de) 1984-03-15

Similar Documents

Publication Publication Date Title
DE2908316C2 (de) Modular aufgebaute Multiprozessor-Datenverarbeitungsanlage
DE3300263C2 (de)
EP0952520B1 (de) Vorrichtung zur fehlertoleranten Ausführung von Programmen
DE3914265A1 (de) Steuerung des fliessbandbetriebs in einem dynamische busanpassung anwendenden mikrocomputersystem
DE3727017C2 (de)
EP0543821B1 (de) Einrichtung zur funktionsüberwachung externer synchronisations-baugruppen in einem mehrrechnersystem
EP0394514B1 (de) Verfahren zur Synchronisation von Datenverarbeitungsanlagen
DE3037150A1 (de) Sichere datenverarbeitungseinrichtung
DE2939935A1 (de) Sichere datenverarbeitungseinrichtung
EP1526420B1 (de) Synchronisationsverfahren für ein hochverfügbares Automatisierungssystem
DE4104114C2 (de) Redundantes Datenverarbeitungssystem
DE2813079A1 (de) Sicheres mehrrechnersystem mit hoher verarbeitungsgeschwindigkeit
DE3431169A1 (de) Verfahren zur synchronisation mehrerer parallelarbeitender rechner
EP1057109A1 (de) Synchronisations- und/oder datenaustauschverfahren für sichere, hochverfügbare rechner und hierzu geeignete einrichtung
DE102010039607B3 (de) Verfahren zum redundanten Steuern von Prozessen eines Automatisierungssystems
DE10143756A1 (de) Synchronisationsverfahren und -vorrichtung
DE2725922C2 (de) Mehrrechnersystem zur Steuerung von trassengebundenen Verkehrsmitteln
EP1426862B1 (de) Synchronisation der Datenverarbeitung in redundanten Datenverarbeitungseinheiten eines Datenverarbeitungssystems
DE3918962C2 (de) System mit mehreren asynchron arbeitenden Rechnern
DE102017100655A1 (de) Steuerung eines technischen Prozesses auf einer Mehr-Rechenkern-Anlage
EP0138062A2 (de) Signalprozessorsystem zur funktionalen Integration einer automatischen Spracheingabe/-ausgabe
DE3911407A1 (de) Redundantes rechnersystem
EP0065772A1 (de) Schaltungsanordnung für ein Prozessorsystem
EP1116107B1 (de) Verfahren zur ausführung einzelner algorithmen mittels einer rekonfigurierbaren schaltung und vorrichtung zur durchführung eines solchen verfahrens
DE3932590A1 (de) Numerische steuerung fuer werkzeugmaschinen oder roboter

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8120 Willingness to grant licences paragraph 23
8125 Change of the main classification

Ipc: G06F 11/00

D2 Grant after examination
8363 Opposition against the patent
8331 Complete revocation