[go: up one dir, main page]

DE3108870C2 - Verfahren zur Funktionsprüfung eines Multiplexers - Google Patents

Verfahren zur Funktionsprüfung eines Multiplexers

Info

Publication number
DE3108870C2
DE3108870C2 DE19813108870 DE3108870A DE3108870C2 DE 3108870 C2 DE3108870 C2 DE 3108870C2 DE 19813108870 DE19813108870 DE 19813108870 DE 3108870 A DE3108870 A DE 3108870A DE 3108870 C2 DE3108870 C2 DE 3108870C2
Authority
DE
Germany
Prior art keywords
multiplexer
test
switch
switches
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE19813108870
Other languages
English (en)
Other versions
DE3108870A1 (de
Inventor
Armin Dipl.-Ing. 3300 Braunschweig Busch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19813108870 priority Critical patent/DE3108870C2/de
Publication of DE3108870A1 publication Critical patent/DE3108870A1/de
Application granted granted Critical
Publication of DE3108870C2 publication Critical patent/DE3108870C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3185Reconfiguring for testing, e.g. LSSD, partitioning
    • G01R31/318502Test of Combinational circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/267Reconfiguring circuits for testing, e.g. LSSD, partitioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Hardware Redundancy (AREA)

Description

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Ausgabe der während der Funktionsprüfung des Multiplexers am Ausgang de« Multiplexers abgreifbaren Potentiale gesperrt wird.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß während der Funktionsprüfung des Multiplexers das Ausschalten von Verbrauchern auf den Multiplexer verbindert wird,
4, Verfahren jjacb Anspruch X, dadurch gekennzeichnet, daß die EfngSnge aller/Schalteroheiten eines Multiplexerschalters ober die jeweils aufgescHalteten Schalter gleichzeitig auf Prüfpotential geschaltet bzw, gleichzeitig spannungslos geschaltet werden.
5, Verfahren nach. Anspruch 1, dadurch gekennzeichnet, daß die Logikschaltmittel (z, B, Rl) nach dem Bilden zweier Vergleichsergebnisse (V\% Vb) und der Kenntnisnahme mindestens derjenigen Vergleichsergebnisse (V32, Vz^ der anderen Logikschaltmittel (R 2, R 3), die sich nicht auf sie beziehen, zwei Steuersignale setzen (1), sofern die folgende Bedingung erfülltist
Sn
worin Sn und Sa die beiden Steuersignale der Logikschaltmittel (R1) sind und V ein die Übereinstimmung, V ein die Nichtübereinstimmung der übermittelten mit den erwarteter? Potentialen der indizierten Logikschaltmittel (Ri bis A3) kennzeichnendes Vergleichsergebnis darstellt und daß alle dabei auftretenden Steuersignalkombinationen der Logiksciialtmittel (R 1, R 2, R 3) mit Ausnahme der folgenden tabellarisch angegebenen Reaktions-' Zuordnung
% Su S21 S13 S3i S32 Reaktion
111111 System in Ordnung
XXOlOl Multiplexereingänge
am Schalter 2 und/oder 3 ausschalten
0 1 X X 1 0 Multiplexereingänge
auf Schalter 1 und/oder 3 aufschalten
1 0 1 0 X X Multiplexereingänge
auf Schalter 1 und/oder 2 aufschalten
(X = beliebig 1 oder 0)
das Ausgeben einer die Multiplexerbenutzung untersagenden Störungsmeldung veranlassen.
Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbegriff des Patentanspruches 1.
Aus der DE-AS 21 08 496 ist eine Schaltungsanordnung zur Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen bekannt, die durch Vergleich von in mehreren gleichartigen Rechnern getrennt erarbeiteten Datentelegrammen einen nicht ordnungsgerecht arbeitenden Rechner erkennt und dessen Ausgpngssignale unterdrückt. Zum bestimmungsgemäßen Arbeiten dieser bekannten Schaltungsanordnung ist eine in signaltechnischem Sinne sichere Durchschalteeinrichtung vorgesehen, die von den Vergleichern gesteuert wird und die Ausgangs-
r-fi Vi.
signale der Rechner auf die Ausgabekanäle des Systems schaltet Piese Purchsohalteeinn'chtung soll sicherstellen, daß ausschließlich dfe AMsgangssignale der jeweils als ordnungsgerecht erkannten Rechner und nicht etwa solche eines oder inehrerer defekter Rechner durcbgeschaltet werden, Durch Ausführung te fail-safe-Tecbnik wird erreicht, daß jeder dieses Punktjonsverhalten in Frage stellende Defekt innerhalb der Datendurchschalteeinrichtung selbst die weitere Ausgabe von Datentelegraramen auf die Ausgabekänäle verhindert
Auf die Ausführung der Datendurchschalteeinrichtung in fail-safe-Techriik kann verzichtet werden, wenn man die am Ausgang1 der Dateridürchschalteeinrichtung anliegenden Dateritelegramme mit den jeweils von einem anderen Rechner gelieferten Datentelegrammen vergleicht und so 'die Dätenäurchschalteeinrichtung funktionell in den Vergleichsvorgang einbezieht. Die Datendurchschalteeinrichtung kann bei dieser Ausbildung in jeder beliebigen nicht sicheren Technik ausgeführt sein. Über eine durch externe oder interne Vergleicher gesteuerte Logikschaltung läßt sich feststellen, ob die Datendurchschalteeinrichtung während eines Prüfvorganges ausgangsseitig jeweils die erwarteten Daten abgegeben hat und es läßt sich im Falle eines Defektes auch feststellen, ob der Defekt auf der Eingangs- oder Ausgangsseite der Datendurchschalteeinrichtung liegt In dem einen Fall kann die Logikschaltung durch gezieltes Umsteuern der Datendurchschalteeinrichtung die Ausgangskanäle der Datendurchschalteeinrichtung auf ausschließlich als nicht gestört erkannte Eingangskanäle schalten; im anderen Fall veranlaßt sie die Abschaltung des gesamten Rechnersystems.
Voraussetzung für das Umschalten der Datendurchschalteeinrichtung auf jeweils als nicht gestört erkannte Eingangskanäle ist es, daß die Datendurchschalteeinrichtung sich auch tatsächlich in die gewünschte Schaltstellung steuern läßt Zwar wird die Datendurchachalteeinrirhtung bei der Funktionsprüfung des Mehrrechnersystems eingangsseitig nacheinander auf verschiedene Eingangskanäle aufgeschaltet; ob die Datendurchschalteeinrichtung diesen Steuerbefehlen tatsächlich nachkommt oder nicht kann jedoch so lange nicht mit Sicherheit festgestellt werden, als alle Rechner übereinstimmende Datentelegramfne abgeben. Nur dann, wenn Datentelegramme voneinander abweichen, also im Falle einer Störung, wird ein Fehlverhalten der Datendurchschalteeinrichtung festgestellt
Aufgabe der Erfindung ist es, ein Verfahren zur Funktionsprüfung eines Multiplexers nach dem Oberbegriff des Patentanspruches 1 anzugeben, mit dessen Hilfe es möglich ist festzustellen, ob der Multiplexer sich bei entsprechenden Steuerbefehlen in seine beiden Schaltstellungen steuern läßt und ob er in der Lage ist, in diesen Schaltstellungen sowohl Potentiale durchzuschalten als auch zu sperren.
Diese Aufgabe wird erfindungsgemäß durch die kennzeichnenden Merkmale des Patentanspruches 1 gelöst Besonders vorteilhafte Aus- und Weiterbildungen des erfindungsgemäßen Verfahrens sind in den Unteransprüchen angegeben.
Die Erfindung ist nachstehend an Hand eines in der Zeichnung dargestellten Ausführungsbeispieles näher erläutert.
Die Zeichnung zeigt in
F i g. 1 einen Multiplexer im Ausgabekreis eines Dreirechnersystems und in den
Fig.2 und 2a tabellarisch aufgelistete Vergleichsund Steuersignale der Rechner bei verschiedenen Defekten und die von diesen Steuersignalen veranlaßten Reaktionen des Mehrrechnersystems, Fig,I zeigt ein aus drei gleichartigen parallel arbeitenden Rechnern Ä-1 bis R 3 gebildetes Mehrrechnersystero, das ober symbolisch angedeutete Busleitungen BL mit Prozeßdaten versorgt wird und über Ausgabekanäle A1, A 2 dem Prozeß Daten in Form von Datentelegrammen zur Verfügung stellt Zum Ausgeben von Daten auf die Ausgabekanäle Xl und Al des Systems dient eine als Multiplexer ausgebildete Datendurchschalteeinrichtung DA, Diese Datendurchschalteeinrichtung besteht aus drei Multfplexerschaltern M1 bis Af 3, die von einer zugehörigen Multipiexer-Steuerschaltung St individuell steuerbar sind. Jeder Multiplexerschalter weist zwei Eingänge und einen Ausgang auf. An die beiden Eingänge jedes Multiplexerschalters sind jeweils zwei der drei Rechner angeschlossen, und zwar in einer Kombination, die verschieden ist
von den Rechnerkombinationen, dl* auf die anderen Multiplexerschalter aufschaltbar sind. Die Anordnung ist so getroffen, daß die Eingänge der Multiplexerschalter jeweils zu unterschiedlichen Rechnern führende Datenkanäle auf ihre Ausgänge legen.
Durch Vergleich der von den drei Rechnern ausgegebenen Datentelegramme läßt sich der ordnungsgerechte Betriebszustand des Mehrrechnersystems überprüfen, d.h. es läßt sich feststellen, ob ein Rechner und welcher der Rechner Dater.telegramme ausgibt die von denen der anderen Rechner abweichen und aus dieser Erkenntnis läßt sich ableiten, ob es möglich ist einzelne Multiplexerschalter so zu steuern, daß auf den Ausgabekanälen nach Beendigung der Funktionsprüfung ausschließlich Datentelegramme von als ordnungsgerecht erkannten Rechnern liegen. Ob die Multiplexerschalter den auf sie wirkenden Steuerkommandos tatsächlich folgen, ist damit aber nicht gesagt Zwar läßt sich durch eine anschließende weitere Funktionsprüfung des Mehrrechnersystems feststellen, ob die Datenausgabeeinrichtung den Steuerbefehlen für die Ausblendung eines als defekt erkannten Rechners tatsächlich gefolgt ist oder nicht; da die Funktionsprüfung des Mehrrechnersystems aber nicht kontinuierlich, sondern in gewissen Zeitabständen vorgenommen wird und Defekte am Mehrrechnersystem in vermutlich noch größeren Zeitabständen auftreten, ist die Fehleroffenbarungszeit für das Erkennen eines nicht ordnungsgerecht arbeitenden Multiplexerschalters bislang außerordentlich hoch. Es ist deshalb nicht auszuschließen, daß
so innerhalb der Fehleroffenbarungszeit für das Erkennen eines defekten Multiplexers auch ein Defekt an einem der Rechner auftreten k&nn und daß dieser Defekt dann wegen cies nicht ordnungsgerecht arbeitenden Multiplexers nicht oder nicht mit Sicherheit feststellbar ist Um diesen Mangel abzustellen, schlägt die Erfindung ein Verfahren zur Funktionsprüfung des Multiplexers vor, das zu einer Verringerung der Fehleroffenbarungszeit führt und so ausgelegt ist daß tatsächlich jeder Defekt als solcher erkennbar ist. Das erfindungsgemäße
so Verfahren sieht die Funktionsprüfung des Multiplexers in zwei Prüfphasen mit jeweils drei aufeinandetfolgenden Prüfschritten vor. In der ersten Prüfphase werden z. B. alle rechten Schalterstellungen, in der zweiten Prüfphase alle linken Schalterstellungen des Muitiplexers überprüft. Hierzu werden den Multiplexereingängen im Wechsel und in bestimmter Folge die beiden möglichen Schaltpotentiale zugeführt und es wird geprüft, ob der Multiplexer in der Lage ist, diese
Potentiale wie erwartet zu schalten. Zum Aufschalten der Potentiale auf die Multiplexereingänge dienen Schalter, zum Analysieren der vom Multiplexer ausgangsseitig jeweils geschalteten Potentiale dienen Logikschaltmittel. Beide Funktionen sind dort, wo der zu überprüfende Multiplexer in ein Dreirechnersystem eingebunden ist, vorteilhafterweise in den Rechnern des Mehrrechnersystems zu realisieren. Die dem Multiplexer im Prüfbetrieb zuführbaren Potentiale werden dabei durch binäre Priifdaten der Rechner dargestellt, deren Wertigkeit das jeweilige Schaltpotential angibt. In jedem der drei Prüfschritte gibt einer der Rechner über die gesamte Datenbreite ein Prüfdatum aus, während gleichzeitig die beiden anderen Rechner des Rechnersystemes das hierzu inverse Prüfdatum ausgeben. Am Ende einer Prüfphase hat jeder Rechner einmal das Prüfdatum und zweimal das inverse Prüfdatum ausgege-
In dem ersten Prüfschritt der ersten Prüfphase möge z. B. der Rechner R 1 das in Klammern gesetzte erste Prüfdatum der Bitfolge 1111 ausgeben. Dieses Prüfdatum gelangt bei ordnungsgerechtem Funktionsverhalten des Multiplexers, d. h. dann wenn der Multiplexerschalter M2 die dargestellte Lage einnimmt, über diesen Schalter auf den Rechner R 2. Dieser Rechner ruft aus einem ihm zugeordneten Speicher diejenige Bitfolge ab, die er auf dem ersten Prüfschritt der ersten Prüfphase bei ordnungsgerechtem Betriebszustand des Multiplexers vom Rechner R 1 her zu erwarten hat. Er vergleicht nun die aus seinem Speicher abgerufene Bitfolge mit der tatsächlich empfangenen Bitfolge und setzt ein entsprechendes Ergebnissignal. Dieses Ergebnissignal ist in F i g. 1 oberhalb des Rechners R 2 durch den Buchstaben E, ein Kennzeichen 1 und die Indizes 2 und 1 für die sich vergleichenden Rechner R2 und R 1 angedeutet. Das Ergebnissignal £!21 besagt, daß die in der Zeichnung angenommene Schaltstellung des Multiplexerschalters M 2 überprüft und für ordnungsgerecht befunden wurde, das vorgegebene Prüfdatum 1111 erwartungsgemäß durchgeschaltet zu haben. Ob der Multiplexerschalter M 2 in der angenommenen Schaltstellung auch Daten anderer Wertigkeit ordnungsgerecht durchzuschalten vermag, wird in den folgenden Prüfschritten dadurch geprüft, daß dann die zum Prüfdatum inversen Daten 0000 auf den Multiplexerschalter gegeben und ihr ordnungsgerechter Empfang festgestellt wird.
Die beiden übrigen Rechner R\ und R 3 speisen während des ersten Prüfschrittes der ersten Prüfphase ihre zugeordneten Datenkanäle mit zum Prüfdatum des Rechners R 1 inversen Signalen, d. h. auf diesen Kanälen liegen die Bitfolgen 0000. Dabei bilden die Rechner R1 und RZ die Ergebnissignale EQn und EO32. Diese Ergebnissignale besagen, daß der im Index jeweils erste Rechner von dem anderen Rechner die zum Prüfdatum inversen Signale erwartungsgemäß aufgenommen und damit die Durchschaltbarkeit dieser Signale über einen Multiplexerschalter festgestellt hat
Auf dem folgenden zweiten Prüfscliritt der ersten Prüfphase gibt der Rechner R 2 das Prüfdatum mit der Bitfolge 1111 aus. während die anderen Rechner R1 und R 3 ausgangsseitig invertierte Signale führen. Auf dem zweiten Prüfschritt erwartet der Rechner A3, daß ihm über den Multiplexerschalter M 1 vom Rechner R 2 her das Prüfdatum zugeführt wird. Er vergleicht nun das tatsächlich eintreffende Prüfdatum mit dem aus seinem zugehörigen Speicher entnommenen Prüfdatum und bildet das Ergebnissignal £!32- Ist der Vergleich positiv verlaufen, d. h. stimmen das übermittelte Prüfdatum und die abgerufene Bitfolge überein, dann ist dies ein Zeichen dafür, daß die Schaltstellung des Multiplexerschalters Mi. in der dieser den Ausgabekanal auf den S Rechner R 2 schaltet, überprüft und zum Durchschalten des Prüfdatums fähig erkannt wurde.
In entsprechender Weise erwarten die beiden anderen Rechner R1 und R 2, daß ihnen auf dem zweiten Prüfschritt der ersten Prüfphase vom Rechner A3 bzw. vom Rechner Al her die das Prüfdatum invertierenden Daten übermittelt werden. Der Vergleich der ihnen übermittelten mit den von ihnen erwarteten Daten führt zur Bildung der Ergebnissignale EO32 und EO2,.
Auf dem anschließenden dritten Prüfschritt der ersten Prüfphase führt der Rechner R 3 das vorgegebene Prüfdatum, während die Rechner Rl und R 2 die inversen Signale ausgeben. Der Rechner R 1 ruft aus seinem Speicher die dem Prüfdatum entsprechende Bitfolge 1111 ab und vergleicht sie mit der ihm vom Rechner R 3 her zugeführten Bitfolge. Bei positivem Vergleichsergebnis setzt der Rechner R 1 das Ergcbnissignal Ein als Zeichen dafür, daß die rechte Schaltstellung des Multiplexerschalters Λ/3 geprüft und daß dabei festgestellt wurde, daß in dieser Schaltstellung das Prüfdatum ordnungsgerecht durchgeschaltet werden konnte
In entsprechender Weise bilden die Rechner R 2 und R3 die Ergebnissignale EOj1 bzw. EO32 als Zeichen dafür, daß die Multiplexerschalter M2 und Mi in der angenommenen Schaltstellung die zum Prüfdatum inversen Signale durchschalten können.
Aus den nach Abschluß der ersten Prüfphase vorliegenden Ergebnissignalen läßt sich erkennen, ob die Multiplexerschalter in der angenommenen Schaltstellung über ihre gesamte - durch die Datenbreite der Priifdaten bestimmte - Schaltbreite Daten beider Wertigkeiten zu schalten imstande waren oder nicht. Durch Verknüpfen des Ergebnissignales, das beim Zuführen des Prüfdatums gebildet wurde, mit mindestens einem der Ergebnissignale, die beim Zuführen eines zum Prüfdatum inversen Datums gebildet wurde, bilden die Rechner Vergleichsergebnisse V1 s, V2t bzw. V32, welche den vorgenannten Zusammenhang beinhalten.
Nach Abschluß der ersten Prüfphase übermittelt jeder Rechner über den zugehörigen Multiplexerschalter das von ihm gebildete Vergleichsergebnis jeweils an denjenigen Rechner, mit dem er sich in der betreffenden
so Prüfphase nicht verglichen hatte. So übermittelt der Rechner RI sein Vergleichsergebnis Vi3 über den Multiplexerschalter Af 2 an den Rechner R 2, der Rechner Ä2 übermittelt sein Vergleichsergebnis V2\ über den Multiplexerschalter M ί an den Rechner R 3
und der Rechner A3 schaltet sein Vergleichsergebnis V32 an den Rechner R1 weiter. Die jeweils übermittelten Vergleichsergebnisse sind in Fig. 1 oberhalb der zugehörigen Rechner in Klammern angegeben.
An die erste Prüfphase schließt sich eine zweite
ω Prüfphase mit ebenfalls drei Prüfschritten an, in der die Rechner wiederum nacheinander das Prüfdatum bzw. das invertierte Prüfdatum ausgeben und in der wiederum auf jedem Prüf schritt geprüft wird, ob die auf diesem Prüfschritt erwartete Bitfolge mit der jeweils tatsächlich übermittelten Bitfolge übereinstimmt Diese zweite Prüfphase entspricht damit der bereits geschilderten ersten Prüfphase; sie findet jedoch im Gegensatz zur ersten Prüfphase unter gewechseltem Schaltzustand
des Multiplexers statt. Hierzu wird der Multiplexer über die zugehörige Steuereinrichtung St veranlaßt, die beispielsweise ruf das Vorliegen aller in der ersten Prüfphase zu bildender Vergleichsergebnisse der Rechner R 1 bis R 3 reagiert.
In der zweiten Prüfphase bilden die Rechner wieHcrum jeweils drei Ergebnissignale, die nach ihrem Vorliegen in entsprechende Vergleichsergebnisse umgesetzt und jeweils dem Rechner übermittelt werden, der an der Bildung der Vergleichsergebnisse nicht beteiligt war. Die in Frage kommenden Ergebnissignale und Vergleichsergebnisse sind in F i g. 1 unter den entsprechenden Größen der ersten Prüfphase angegeben.
Aus den insgesamt ermittelten Vergleichsergebnissen läßt sich direkt ablesen, ob alle Multiplexerschalter über die gesamte Datenbreite gesehen während des Prüfbetriebes jeweils die Schaltstellung eingenommen haben, in die sie laufen sollten und ob sie dabei sowohl Datenbits der Wertigkeit 1 als auch solche der Wertigkeit 0 schalten konnten bzw. es läßt sich direkt ablesen, welche Schalterstellung gestört war bzw. ist und ob diese Störung sich auf den Eingangs- bzw. Ausgangskanal eines Multiplexerschalters erstreckt.
Aus den von den Rechnern insgesamt gebildeten Vergleichsergebnissen läßt sich aber nicht nur eine Aussage darüber herleiten, ob sämtliche Multiplexerschalter während des Multiplexerprüfbetriebes jeweils ordnungsgerecht gearbeitet haben oder nicht, sondern es 'Ißt sich auch feststellen, ob die Rechner selbst ordnungsgerecht gearbeitet haben, ob die einzelnen Rechner auf den einzelnen Prüfschritten also tatsächlich die erwarteten Prüfdaten ausgegeben haben und ob die Rechner, die den aktiven Vergleich durchgeführt haben, tatsächlich die jeweils geforderten Daten aus ihren Speichern abgerufen haben und ob sie die die Übereinstimmung der zu vergleichenden Daten kennzeichnenden Ergebnissignale bilden sowie hieraus die Vergleichsergebnisse bestimmen und an die Nachbarrechner übermitteln konnten. Fällt einer der Rechner wegen eines Defektes aus, so zeigt sich dies bei Abschluß des Prüfbetriebes dadurch an, daß bestimmte Vergleichsergebnisse nicht gebildet werden konnten. Entsprechend verhält es sich, wenn der Eingangskanal eines Rechners mindestens zeitweise gestört war und deshalb von einem oder beiden Nachbarrechnern keine Daten oder nur gestörte Datentelegramme übernommen werden konnten.
Zum Feststellen eines nicht ordnungsgerecht arbeitenden Rechners ist es möglich, die von den Rechnern gebildeten und die ihnen von anderen Rechnern übermittelten Vergleichsergebnisse einer externen Steuereinrichtung zuzuführen, welche diese Vergleichsergebnisse nach einer ihr eingeprägten Logik umsetzt in Steuersignale zum gezielten Abschalten einzelner Rechner bzw. zum Abschalten des Gesamtsystems. Vorteilhafter ist es jedoch, wenn die Rechner selbst im Falle einer Störung die Art und den Ort der Störung selbsttätig erkennen und die entsprechenden Reaktionen hieraus ableiten können. Diese im Störungsfall herbeizuführenden Reaktionen beziehen sich auf das Abschalten eines als gestört erkannten Rechners und die Umschaltung der von diesem gespeisten Multiplexerschaltung auf intakte Rechner bzw. wenn sich die Störung durch Abschalten eines einzelnen Rechners nicht beseitigen läßt auf die Abschaltung des Gesamtsystems. Dabei ist die im Störungsfall herbeizuführende Reaktion des Systems von den oder dem jeweils noch intakten Rechner herbeizuführen, d. h. j;estörte Rechner dürfen an der Reaktion selbst nicht aktiv beteiligt sein.
Im nachfolgenden ist angegeben, auf welche Weise
dies bei einem Dreirechnersystem im einzelnen
s geschieht. Hierzu wird davon ausgegangen, daß jeder Rechner auf Grund der von ihm selbst gebildeten und der ihm übermittelten Vergleichsergebnisse zwei Steuersignale zu setzen vermag, die für die Steuerung der Multiplexer-Steuereinrichtung 5/ benötigt werden.
Diese Steuersignale werden nur dann gesetzt, wenn für die betreffenden Rechner bestimmte Bedingungen erfüllt sind, nämlich die, daß die von einem Rechner aktiv durchgeführten Vergleiche mit den Datentelegrammen der Nachbarrechner zu einem positiven Ergebnis geführt haben und wenn außerdem feststeht, daß die Datentelegramme der Rechner, mit denen er sich aktiv verglichen hat, auch von dem jeweils anderen Rechner als ordnungsgerecht anerkannt wurden bzw. daß diese Anerkennung deshalb ausgeblieben ist, weil durch das von ihm gebildete weitere Vergleichsergebnis festgestellt wurde, daß das zuvor gebildete Vergleichsergebnis deshalb nicht positiv ausfallen konnte, weil der in den Vergleichsvorgang einbezogene fremde Rechner ein fehlerhaftes Datentelegramm ausgab. Die Gesetz mäßigkeiten, nach denen die Steuersignale sich bestimmen, lautet damit folgendermaßen:
Sn = Vn Λ (Vn V Vn)
Vn Λ (V23 V Fj2).
Hierin sind Si2 und Sn die beiden Steuersignale eines Rechners 1 und V das die Übereinstimmung, F das die Nichtübereinstimmung der Datentelegramme der indizierten Rechner 1 bis 3 kennzeichnende Vergleichser- gebnis. In entsprechender Weise wie die Steuersignale
Sn und Si3 durch den Rechner R1 gebildet werden,
werden auch die Steuersignale S21 und Sa bzw. S31 und
S32 durch die beiden anderen Rechner gebildet. In den F i g. 2a und 2b sind sämtliche Kombinationen
von Vergleichsergebnissen aufgelistet, wie sie sich bei den verschiedenen möglichen Defektem innerhalb des Systems ergeben können. Dabei ist ein Defekt auf einem Eingangskanal eines Multiplexerschalters durch die Benennung dieses Schalters zusammen mit einem Kennzeichen für den diesen Eingang speisenden Rechner und ein Defekt auf dem Ausgangskanal eines Multiplexers durch die alleinige Benennung dieses Schalters gekennzeichnet. Aus der Auflistung der Fig.2a und 2b ergibt sich, daß im Störungsfall das Dreirechnersystem durch Abschalten eines Rechners und Auf schalten der Ausgabekanäle au Γ als ordnungsgerecht arbeitend erkannte Rechner in ein Zweirechnersystem mit überprüften Datentelegrammen umgesetzt werden kann, wenn die Steuersignalkombinationen die nachfolgend tabellarisch angeführte Zuordnung aufwei sen:
Sn Sn S21 S23 S31 Sn
XXOlOl
0 1 X X 1 0
1 0 1 0 X X
R labschalten; umschalten auf R2 und/oder A3 R 2 abschalten; umschalten auf A'l und/oder A3 A3 abschalten; umschalten auf Al und/oder R2
Dabei bedeutet eine 1 für ein Steuersignal, daß das betreffende Steuersignal gesetzt wurde, eine 0, daß das betreffende Steuersignal nicht gesetzt wurde und ein X, daß es für die Reaktion des Systems nicht darauf ankommt, ob das betreffende Steuersignal gesetzt oder nicht gesetzt ist. Alle übrigen Steuersignalkombinationen mit Ausnahme der den ordnungsgerechten Betrieb des Systems kennzeichnenden Folge 111111 veranlassen die Abschaltung des Rechnersystems.
Bei Feststellen eines nicht ordnungsgerecht arbeitenden Rechners werden dessen Steuersignale beispielsweise durch Abschalten der Stromversorgung für diesen Rechner irreversibel auf 0 gesetzt und das System arbeitet dann als Zweirechnersystem weiter. Beide noch intakten Rechner können sich weiterhin vergleichen und Steuersignale bilden. Bei Defekt eines weiteren Rechners wird dies von dem noch intakten Rechner erkannt. Dieser Rechner veranlaßt über seine Steuersignale das irreversible Abschalten des gesamten Systems.
Aus der tabellarischen Zuordnung der Steuersignale zu der durch sie veranlaßten Reaktion ist zu erkennen, daß die Abschaltung eines defekten Rechners ausschließlich durch die Steuersignale der als ordnungsgerecht arbeitend erkannten beiden anderen Rechner erfolgt. Damit ist die Möglichkeit gegeben, ohne zusätzliche Gerätschaften für die Steuerung der Multiplexer-Steuereinrichtung auszukommen, weil diese Einrichtung ausschließlich durch die Signale der noch ordnungsgerecht arbeitenden Rechner, nicht aber durch einen gestörten Rechner wirksam gesteuert wird.
Bei dem vorstehend erläuterten Ausführungsbeispiel war angenommen worden, daß in den nacheinander durchgeführten Prüfschritten jeweils ein Rechner ein spezielles Prüfdatum und die beiden anderen Rechner dazu inverse Daten ausgeben. Am Ende der einzelnen Prüfphasen konnte eine Aussage darüber getroffen werden, ob die Multiplexerschalter in der jeweils eingenommenen Schaltstellung sowohl Datenbits der Wertigkeit 1 als auch solche der Wertigkeit 0 durchzuschalten in der Lage waren. Dabei wurde das Durchschalten von Datenbits der Wertigkeit 0 zweimal geprüft, nämlich jeweils dann, wenn einer der Nachbarrechner das Prüfdatum ausgab. Für die Funktionsprüfung des Multiplexers genügt es, einmal festzustellen, daß die Multiplexerschalter in jeder Schaltstellung Daten beider Wertigkeiten zu schalten in der Lage sind. Das erfindungsgemäße Verfahren wird also schon realisiert, wenn in zwei der drei Prüfschritte jeder Prüfphase jeweils zwei Rechner zum Prüfdatum inverse Daten ausgeben oder aber wenn in allen drei Prüfschritten jeder Prüfphase einer, und zwar stets ein anderer, der Rechner zum Prüfdatum inverse Daten ausgibt
Die in der tabellarischen Auflistung der F i g. 2a und 2b angegebenen Reaktionen auf die jeweils angenommenen Defekte haben nicht absoluten Charakter. Sie sind dort nach sicherheitstechnischen Gesichtspunkten festgelegt word?n, nach denen der Ausfall jedes nicht redundanten Elementes die Abschaltung des Systems herbeiführen sollte. Es ist aber durchaus denkbar, im Einzelfall weniger strenge Maßstäbe an die Fortführung des Betriebes im Störungsfall zu legen als im dargestellten Ausführungsbeispiel angenommen. So sollte z. B. nach F i g. 2b der Ausfall des Multiplexerschalters M2 bereits die Abschaltung des Gesamtsystems herbeiführen. Da der Schalter M 2 an der Ausgabe von Daten auf den Ausgabekanälen A 1 und A 2 nicht beteiligt ist, also für den Prozeß selbst keine direkten Auswirkungen aus dem angenommenen Defekt zu erwarten sind, kann es ggf. durchaus genügen, diese Störung in eine Störungsmeldung umzusetzen und das System im übrigen weiterarbeiten zu lassen. In entsprechender Weise ließen sich bei weniger streng*.n Sicherheitsanforderungen an das Rechnersysiem zu einzelnen weiteren Defekten auch andere, weniger gravierende Reaktionen zuordneil.
Für das vorstehend beschriebene Ausführungsbeispiel war angenommen worden, daß die von den Rechnern ausgegebenen Datentelegramme eine Datenbreite von vier Bit aufweisen sollten und daß demzufolge jeder dargestellte Multiplexerschalter zum Schalten von jeweils vier parallel anliegenden Bits ausgelegt war. Das erfindungsgemäße Prüfverfahren ist selbstverständlich auch bei Multiplexern anderer Schaltbreite anwendbar; hierzu ist lediglich die Datenbreite der Prüfdaten sowie die der für den Vergleich abgespeicherten Daten entsprechend zu variieren.
Es ist auch nicht zwingend erforderlich, die Prüfdaten durch Bitfolgen jeweils gleicher Wertigkeit darzustellen, sondern hierzu können alle beliebigen Bitkombinationen geeigneter Datenbreite verwendet werden, sofern dafür gesorgt ist, daß die das Prüfdatum jeweils nicht ausgebenden Rechner hierzu inverse Daten liefern.
Eine Funktionsprüfung des Multiplexers kann grundsätzlich zu jedem beliebigen Zeitpunkt stattfinden.
Vorteilhaft ist es, die Funktionsprüfung des Multiplexers durch Abrufen eines dafür vorgesehenen Prüfprogrammes beim Erreichen vorgegebener Fixpunkte des Rechnerverarbeitungsprogrammes zu veranlassen und das Rechnerverarbeitungsprogramm für die Dauer der Funktionsprüfung zu unterbrechen. Derartige Rechnerprogramm-Fixpunkte können beispielsweise vor das Abarbeiten von Befehlen mit sicherheitstechnischer Auswirkung gesetzt sein.
Es ist zweckmäßig, die Ausgabe der von den Rechnern während des Prüfbetriebes erarbeiteten Datentelegramme an den Prozeß zu verhindern. Dies läßt sich erreichen, indem man die am Ausgang des Multiplexers während des Prüfbetriebes anliegenden Datentelegramme einer fiktiven Adresse zuordnet oder indem man beispielsweise durch Gatterschalturigen die Ausgabe der auf den Ausgabekanälen liegenden Datentelegramme vorübergehend sperrt
Hierzu 3 Blatt Zeichnungen

Claims (1)

Patentansprüche;
1. VerfabreB zur Funktionsprijfting eines Multiplexers, der aus drei individuell steuerbaren Multi- plexerschaltern mit jeweils zwei Eingängen und einem Ausgang je Schalteinheit besteht, unter Verwendung von drei Schaltern, über die die Eingänge der MuJtipIexerschalter auf unterschiedliche Potentiale zu legen sind, wobei jeder Schalter auf jeweils einen Eingang zweier Mulüplexerschalter geführt ist, und alle Schalter verschiedene Multiplexerschalterkombinationen speisen, und unter Verwendung von den Schaltern individuell zugeordneten Logikschaltmitteln, die jeweils an den is Ausgang desjenigen Multiplexerschalters angeschlossen sind, der eingangsseitig von den beiden anderen Schaltern gespeist wird, dadurch gekennzeichnet,
20
a) daß die Schalter (z. B. R1) in drei aufeinanderfolgenden Prüfschritten einer ersten Prüfphase jeweils nacheinander geschlossen werden und in dieser Schaltstellung Prüfpotentiale (1111) auf die Eingänge (M2.X) der an sie angeschlossenen Multiplexerschalter (M 2) legen, während gleichzeitig in mindestens zwei der drei Prüfschritte mindestens jeweils -einer der anderen Schalter (z. B. R 2) geöffnet wird und dabei den an diesen angeschlossenen Multiplexerschalter (MiJZj eingangsseitig spannungslos schaltet,
b) daß die den LogikschaU nittcln (z. B. R 2) von den Multiplexerschaltern (M 2) jeweils zugeführten Potentiale dort mit den auf dem jeweiligen Prüfschritt erwarteten Potentialen verglichen und zu Einzelvergleichsergebnissen (Ein, E<h\) verknüpft werden und daß diese Einzelvergleichsergebnisse am Ende der ersten Prüfphase in den Logikschaltmitteln nach einer UND-Bedingung zu Sammelvergleichsergebnissen (Vn) verknüpft und über den Multiplexerschalter (M 1), der dann eingangsseitig an den zugehörigen Schalter angeschlossen ist, an die ausgangsseitig an diesen Multiplexerschalter jeweils angeschlossenen Logikschaltmittel (R 3) fortgeschaltet werden,
c) daß die Multiplexerschalter (Mi bis Af 3) anschließend umgeschaltet werden, woraufhin in einer zweiten Prüfphase mit ebenfalls drei Prüfschritten eine Wiederholung des Prüfvorganges mit anschließender Ermittlung und Fortschaltung von Sammelvergleichsergebnissen stattfindet und
d) daß die von den Logikschaltmitteln (z. B. R 2) selbst ermittelten (V2\) und die ihnen übermittelten (Vn) Vergleichsergebnisse in den Logikschaltmitteln mit diesen eingeprägten WahrheitstabeÜen verglichen und bei Abweichung in entsprechende Störungsmeldungen umgesetzt &o werden.
DE19813108870 1981-03-09 1981-03-09 Verfahren zur Funktionsprüfung eines Multiplexers Expired DE3108870C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19813108870 DE3108870C2 (de) 1981-03-09 1981-03-09 Verfahren zur Funktionsprüfung eines Multiplexers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19813108870 DE3108870C2 (de) 1981-03-09 1981-03-09 Verfahren zur Funktionsprüfung eines Multiplexers

Publications (2)

Publication Number Publication Date
DE3108870A1 DE3108870A1 (de) 1982-09-30
DE3108870C2 true DE3108870C2 (de) 1983-05-05

Family

ID=6126711

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19813108870 Expired DE3108870C2 (de) 1981-03-09 1981-03-09 Verfahren zur Funktionsprüfung eines Multiplexers

Country Status (1)

Country Link
DE (1) DE3108870C2 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2792730B1 (fr) * 1999-04-20 2001-06-08 St Microelectronics Sa Procede de detection de defaut pour circuit electronique

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2108496C3 (de) * 1971-02-23 1978-12-14 Standard Elektrik Lorenz Ag, 7000 Stuttgart Schaltungsanordnung zur ständigen Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen, insbesondere für prozeßrechnergesteuerte Eisenbahnsignalanlagen

Also Published As

Publication number Publication date
DE3108870A1 (de) 1982-09-30

Similar Documents

Publication Publication Date Title
DE19742716C2 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE2913999C2 (de) Einrichtung zum Prüfen von Systemprogrammen numerischer Steuerungen für Werkzeugmaschinen
EP0033436B1 (de) Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
DE3208573C2 (de) 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP1040028A1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
EP1051669B1 (de) Verfahren und schaltungsanordnung zur überwachung von maschinenparametern
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
DE3108870C2 (de) Verfahren zur Funktionsprüfung eines Multiplexers
DE2034423C3 (de) Verfahren zur Fehlersuche in einem programmgesteuerten Vermittlungssystem
DE3618087A1 (de) Fehlertoleranter empfaenger
DE102016203090A1 (de) Steuergerät, insbesondere für ein Kraftfahrzeug, mit über Ethernet verbundenen Mikrocontrollern
DE2458224C3 (de) Datenverarbeitungssystem mit Koordinierung der Parallelarbeit von mindestens zwei Datenverarbeitungsanlagen
DE2913371A1 (de) Verfahren und system zur ablaufsteuerung
EP0246556B1 (de) Schaltungsanordnung zum Überwachen einer Steuereinheit
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
EP0205101B1 (de) Verfahren zum Betrieb einer Datenverarbeitungsanlage
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE19758993B3 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19758848B4 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem
DE2525438A1 (de) Ueberwachungsanordnung zur ueberwachung zentraler einrichtungen
DE3412049A1 (de) Signaltechnisch sichere datenverarbeitungseinrichtung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8126 Change of the secondary classification

Ipc: H03K 19/003

D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee