A microprocessor system for safety-critical control operations includes three central units which are located jointly on one chip and execute the same program. Further, there is provision of read-only memories and random-access memories, input and output units, and comparators which check the output signals of the central units for correlation. The central units are interconnected by way of bus systems and bypasses which enable the central units to jointly read and execute the existing data and commands according to the same program. The memory capacity of the read-only and the random-access memories in total amounts to at least 200% compared to the memory required for a non-redundant system. The memory locations are distributed among the three systems, for example, in a ratio of 100:50:50. The central units are extended by redundant periphery components to provide two complete control signal circuits and are interconnected so that, in case of a failure, the faulty central unit can be identified by a majority decision, and a change-over to an emergency operation mode can take place.

Een microprocessorsysteem voor veiligheid-kritieke controleverrichtingen omvat drie centrale eenheden die gezamenlijk op één spaander worden gevestigd en het zelfde programma uitvoeren. Verder, zijn er voorziening van read-only geheugen en directe toegankelijkheidsgeheugen, input en outputeenheden, en comparateurs die de outputsignalen van de centrale eenheden correlatie controleren. De centrale eenheden worden onderling verbonden als bussystemen en omleidingen die de centrale eenheden toelaten om de bestaande gegevens en de bevelen volgens het zelfde programma gezamenlijk te lezen en uit te voeren. De geheugencapaciteit read-only en directe toegankelijkheidsgeheugen in totale bedragen aan minstens 200% vergeleek bij het geheugen dat voor een niet overtollig systeem wordt vereist. De geheugenplaatsen worden verdeeld onder de drie systemen, bijvoorbeeld, in een verhouding van 100:50:50. De centrale eenheden worden uitgebreid door overtollige periferiecomponenten om twee volledige kringen van het controlesignaal te verstrekken en onderling verbonden zodat, in het geval van een mislukking, de defecte centrale eenheid door een meerderheidsbesluit kan worden geïdentificeerd, en een omschakeling aan een wijze van de noodsituatieverrichting kan plaatsvinden.