DE1966991A1 - Ausfallgesicherte datenverarbeitungsanlage - Google Patents
Ausfallgesicherte datenverarbeitungsanlageInfo
- Publication number
- DE1966991A1 DE1966991A1 DE19691966991 DE1966991A DE1966991A1 DE 1966991 A1 DE1966991 A1 DE 1966991A1 DE 19691966991 DE19691966991 DE 19691966991 DE 1966991 A DE1966991 A DE 1966991A DE 1966991 A1 DE1966991 A1 DE 1966991A1
- Authority
- DE
- Germany
- Prior art keywords
- data processing
- unit
- program
- error
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2046—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share persistent storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1405—Saving, restoring, recovering or retrying at machine instruction level
- G06F11/141—Saving, restoring, recovering or retrying at machine instruction level for bus or memory accesses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
- G06F11/2056—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant by mirroring
- G06F11/2058—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant by mirroring using more than 2 mirrored copies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
Description
Die Erfindung betrifft eine ausfallgesicherte Datenverarbeitungsanlage nach
Oberbegriff des Anspruchs 1.
Datenverarbeitungsanlagen können zur Lösung von vielen Problemen nur dann
sinnvoll verwendet werden, wenn sichergestellt ist, daß keine Störung während der Bearbeitung einer Aufgabe auftreten kann. Derartig hohe Anforderungen
stellen beispielsweise Echtzeitprobleme wie das Steuern und Überwachen von Fertigungsprozessen, Teilnehmer-Rechensysteme und Systeme für Banktransaktionen.
In all diesen Fällen muß gewährleistet sein, daß intermittierende oder selbst
permanente Fehler nicht zum Verlust der bisher geleisteten korrekten Arbeit führen und daß die Anlage nach einer nur sehr kurzzeitigen Umschaltunterbrechung
wieder mit voller Leistungsfähigkeit zur Verfügung steht.
Die bisher bekanntgewordenen Systeme schützten vor Verlust der schon geleisteten
Arbeit hauptsächlich durch Einsatz von Programmtechniken: Hierzu wurden in das auszuführende Programm an strategisch wichtigen Stellen, beispielsweise
am Ende einer längeren Operationssequenz, besondere Instruktionen eingebaut, mit deren Hilfe der Programmstatus an dieser Stelle in einen Rückgriffspeicher
gerettet wurde. Trat dann im weiteren Programmverlauf ein Fehler
509886/0492
auf, so konnte zu diesem Wiederanlaufpunkt zurückgekehrt und von dort die
Programmausführung erneut begonnen werden. Der Nachteil dieses Verfahrens
besteht in dem zusätzlichen Programmieraufwand und der Herabsetzung der Verarbeitungsgeschwindigkeit; außerdem kann die Zeitspanne zwischen der
Aufnahme eines Wiederanlaufpunkts und dem Auftreten eines Fehlers recht beträchtlich
sein und somit ein beträchtlicher Teil der schon geleisteten Arbeit bei der Rückkehr zum Wiederanlaufpunkt verloren gehen. Bei einem vollständigen
Ausfall der Anlage ist eine Operationswiederholung naturgemäß nicht möglich.
Um die Verfügbarkeit von Datenverarbeitungsanlagen auch bei permanenten
Fehlern zu garantieren, ist schon bekannt, die Anlage selbst oder ihre wesentlichen
Teile mehrfach vorzusehen und im Fehlerfall die noch funktionstüchtigen
Elemente weiterzuverwenden. So wurde schon vorgeschlagen, neben dem Rechner, der die Arbeit durchführt, einen parallel arbeitenden Rechner einzusetzen, in
dem identisch dieselben Operationen ablaufen. Diese Lösung ist jedoch teuer und läßt sich daher nur in besonderen Fällen einsetzen.
In der DT-AS 1 152 278 wird ein Rechnernetzwerk beschrieben, in dem ein Rechner
als passive Reserve ausschließlich für den Fall einer Fehlerbedingung bereitgehalten
und nach Erkennen eines Fehlers aktiviert wird.
Von Nachteil ist hierbei, daß die internen Vorgänge bei der Befehlsausführung
und der Datensteuerung als interne Prozesse der Rechner, die im Fehlerfaile
durch die passive Reserveeinheit ersetzt werden sollen, nicht berücksichtigt werden. Dieses erfordert, daß die bis zu einem Fehlerzeitpunkt gewonnenen
Resultate eines Rechners in die Reserverecheneinheit übertragen werden, wo sie mit den in dieser Reserverecheneinheit aus den Eingangsdaten errechneten
Ergebnisse verglichen werden. Die Eingangsdaten werden ebenfalls von der Reserverecheneinheit mit übernommen, um ein Auflaufen dieser Daten und ein
Überhang zu verhindern. Durch diese Zeitverzögerungen, vor allem bei der Überprüfung der Gültigkeit der Resultate des defekten Rechners, wird der
Nachteil einer solchen Rechnerstruktur für die Durchführung von Realzeitaufgaben
ersichtlich. Der Reserverechner benötigt darüber hinaus ein eigenes, speziell vorbereitetes Programm zur Durchführung des Wiederanlaufs, damit
der als Ersatz gewählte Rechner in der Weiterverarbeitung des gleichen Pro-
UK 967 029 5 0 9 8 8 6/0492
gramms fortfahren kann. Hieraus ergibt sich ein großer Aufwand bei der
Programmerstellung und beim Laden des Programms in den Speicher des
Reserverechners. Außerdem ergibt sich dort eine beträchtliche Einengung der Flexibilität des Gesamtsystems, da eben immer nur ein bestimmter und
nicht ein beliebiger Rechner als Reserve eingesetzt werden kann.
Auf der gleichen Ebene, jedoch hinsichtlich ihres Aufwandes etwas günstiger,
liegt eine Rechnerstruktur, die in der US-PS 3 386 082 beschrieben ist. Dort sind lediglich Systemelemente eines Rechners und nicht die Rechner selbst
dupliziert. Hinsichtlich der Steuerung ergeben sich aber im wesentlichen die gleichen Nachteile, wie bei der vorstehend erläuterten Rechnerstruktur.
Im IBM Technical Disclosure Bulletin, Vol. 7, No. 3, August 1964, Seiten 218
und 219, ist weiterhin ein Duplexsystem beschrieben, dessen beide Verarbeitungseinheiten
über einen gemeinsamen Speicher miteinander kommunizieren. Beide Einheiten tragen in regelmäßigen Abständen ihren Systemstatus in diesen
gemeinsamen Speicher ein. Die andere Einheit prüft diesen Status und über- '.
nimmt im Fehlerfall die Aufgabe des ausgefallenen Systems aufgrund der ge- :
speicherten Statusdaten. Dieses System hat jedoch den Nachteil, daß zwischen
der Registrierung von Statusberichten relativ große Zeitabstände liegen und daß keine direkten Signalleitungen zwischen den beiden Systemen selbst bestehen.
Auf diese Weise bemerkt das kontrollierende System erst nach einiger Zeit das Auftreten eines Fehlers im anderen System; außerdem können zwischen der ;
Registrierung eines Statusberichts und dem Auftreten eines Fehlers Veränderun- ,
gen des Hauptspeicherinhalts, von Dateien usw. erfolgt sein, wodurch eine j
Weiterführung der Arbeit im anderen System unmöglich gemacht wird, da diese i
Tatsache von dem ausgefallenen System nicht mehr in den Statusbericht einge- ■
schrieben werden kann. Der Anwendungsbereich dieses gekoppelten Systems ]
ist daher auf solche Fälle beschränkt, bei denen diese Einschränkungen keine |
ι Rolle spielen. j
Die vorliegende Erfindung geht nun von den Nachteilen des eben geschilderten j
Standes der Technik aus und stellt sich die Aufgabe, eine ausfaI!gesicherte Daten- |
Verarbeitungsanlage anzugeben, die eine sofortige und vollständige Extraktion ■
der bis zum Auftreten des Fehlers geleisteten Arbeit ermöglicht und die eine \
UK 967 029 5 0 9 8 8 6/0492
sofortige Fortsetzung der Arbeit aufgrund der übernommenen Information
erlaubt.
Diese Aufgabe wird durch die im Hauptanspruch gekennzeichnete Erfindung gelöst.
Ausgestaltungen und Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.
Das erfindungsgemäße System verwendet vorteilhafterweise eine Protokolleinrichtung,
die zu jedem Zeitpunkt alle in diesem Augenblick gültigen Daten zur Verfügung stellen kann, die für einen Wiederanlauf notwendig sind; die
Gesamtheit dieser Daten wird als Programmprofil bezeichnet. Eine derartige Einrichtung für die laufende und automatische Erstellung eines Programmprofils
ist beispielsweise in der deutschen Patentanmeldung mit dem Aktenzeichen P 19 36 251.7 beschrieben.
Die Erfindung schlägt nun vor, einen mit der beschriebenen oder einer ähnlichen
Protokolleinrichtung versehenen Rechner mit einem weiteren Rechner zu koppeln. Stellen nun die Fehlerprüfkreise des mit der Protokolleinrichtung verbundenen
Rechners einen Fehler fest, so wird im allgemeinen zuerst von dem betroffenen Rechner selbst versucht werden, durch Operationswiederholung den Fehler
zu beseitigen. Ist dies jedoch nicht möglich, weil z. B. ein Schaltkreis permanentausgefallen
ist, so gibt der Steuerteil des betroffenen Rechners über eine speziell hierzu vorgesehene Verbindungsleitung ein Aufforderungssignal an
den Steuerteil des gekoppelten Rechners, das Programmprofil aus der Protokolleinrichtung
des fehlerhaften Rechners zu übernehmen. Die Übernahme des Programmprofils erfolgt danach durch den Datenverarbeitungsteil des gekoppelten
Rechners. Dieser entnimmt das Programmprofil aus der Protokolleinrichtung, bereitet es auf und gibt es als Datensatz in den gemeinsamen
Hauptspeicher. Es ist hierbei zu beachten, daß die Protokolleinrichtung nur über die Datenverarbeitungsanlage des gekoppelten Rechners mit dem gemeinsamen
Hauptspeicher verbunden ist, nicht jedoch durch eine direkte Verbindung zum Hauptspeicher.
Im allgemeinen wird der gekoppelte Rechner mit einer Mehrprogrammeinrichtung
versehen sein, so z. B., wenn das erfindungsgemäße System für Realzeitaufgaben
eingesetzt werden soll. In diesem Fall stellt der im Hauptspeicher enthaltene
UK967029 509886/0492
Protokolldatensatz dem gekoppelten Rechner alle Information zur Verfügung, um
die in dem fehlerhaften System unterbrochene Arbeit als eigene Aufgabe (Task)
weiterführen zu können. Der gekoppelte Rechner wird also nach dem Ausfall des ersten Rechners die weitere Bearbeitung der gerade laufenden Aufgabe
abbrechen, das Programmprofil aus dem ausgefallenen System entnehmen und
auf dieser Grundlage die Arbeit des ausgefallenen Systems weiterführen. Das Programmprofil stellt zusammen mit den im gemeinsamen Hauptspeicher enthaltenen
Daten alle Information für die Weiterführung der Arbeit zur Verfügung.
Die Vorteile dieser Erfindung bestehen in der schnellen Umschaltmöglichkeit bei
Auftreten eines Fehlers, und der Möglichkeit, zum Programmprofit selbst dann zuzugreifen, wenn das ausgefallene System vollkommen funktionsunfähig geworden
ist. Außerdem kann die erfindungsgemäße Einrichtung auch beim normalen Betrieb des Systems verwendet werden, so z. B. um Programmprofile
in den Hauptspeicher einzuschreiben, ohne daß ein Fehler aufgetreten ist. Diese Programmprofile können dann im Rahmen des Mehrfachprogrammbetriebs
aufgerufen werden und zur Wiederaufnahme der im Multiprogrammbetrieb unterbrochenen Arbeit dienen. Besonders flexibel wird das Gesamtsystem , wenn
es in bezug auf die Rechner und deren Verbindung vollkommen symmetrisch ausgebildet ist.
Ein Ausführungsbeispiel der Erfindung wird nun an Hand der Zeichnung dargestellt,
die ein System aus zwei identischen Verarbeitungseinheiten mit Protokol!einrichtungen
und einem gemeinsamen Hauptspeicher zeigt.
Die Anordnung nach der Figur ist vollkommen symmetrisch und umfaßt zwei
Verarbeitungseinheiten (ZVE) 20 und 21, von denen jede für Mehrfachprogrammbetrieb
geeignet ist. Eine ZVE umfaßt hier mindestens ein Rechenwerk (Datenverarbeitungsteil)
und ein Leitwerk (Steuerteil). Die dargestellten Vorgänge können ebenso gut in Systemen mit mehr als zwei ZVEs verwirklicht werden.
Außerdem gelten die nachfolgend beschriebenen Prinzipien auch für asymmetrische Systeme, da diese als symmetrische Systeme aufgefaßt werden können,
bei denen entsprechende Einheiten weggelassen sind.
Die als Beispiel gewählte symmetrische Datenverarbeitungsanlage mit zwei ZVEs
umfaßt die folgenden Einheiten: einen Hauptspeicher 22, zwei ZVEs 20 und 21
UK967029 509886/0492
und zwei Protokolleinrichtungen 23 und 24.
Dateneingabe und -ausgabe in den bzw. aus dem Hauptspeicher 22 erfolgt unter
normalen Umständen über eine der ZVEs 20 oder 21; die Protokolleinrichtungen
und 24 haben keinen direkten Zugriff zum Hauptspeicher 22, sondern nur durch
eine der ZVEs. Für die vorliegende Beschreibung wird eine Unterteilung der ZVEs in drei Hauptteile angenommen: einen Steuerteil 25 (bzw. 26) mit einer
FehlererkennungsschaJtung, einen Datenverarbeitungsteil 27 (bzw. 28), und
einen Speicherteil 29 (bzw. 30) für die anstehenden Programmunterbrechungen, der aus einer Reihe von bistabilen Schaltungen besteht.
Das Teilungskonzept für jede ZVE ist so ausgelegt, daß der Inhalt des Steuer*
teils (25 bzw. 26) keinen Teil des Profils der zugehörigen ZVE (20 bzw. 21)
bildet, der Datenverarbeitungsteil (27 bzw. 28) nur Daten des laufenden Programms
für die ZVE (20 bzw. 21) enthält, und die Daten im Programmunterbrechungs-Speicher
(29 bzw. 30) sich auf andere Programme beziehen, mit denen die betreffende ZVE (20 bzw. 21) auch noch zu arbeiten hat, und die sehr gut
maskiert werden können. Jede der beiden Protokolleinrichtungen 23 und 24 besteht darstellungsgemäß aus folgenden Teilen: einem Abschnitt (31 bzw. 3t)
zum Speichern des Profils des zugeordneten Datenverarbeitungsteils, und einem Abschnitt (33 bzw. 34) zum Speichern des Profils des zugeordneten Speicherteils
für die anstehenden Programmunterbrechungen.
Es wird angenommen, daß jede ZVE mit einer Befehls-Wiederholungseinrichtung
ausgerüstet ist, und daß die Fehlererkennungsschaltung aus zwei Teilen besteht: einem Teil zur Fehlerfeststellung im Datenfluß der ZVE und einem Fehleranzeigeteil,
der auf eine wiederholte Fehlerfeststellung oder auf Stromausfall bzw. andere permanente Fehler anspricht und die Unbrauchbarkeit der ZVE anzeigt.
Der Feststellungsteil verhindert eine Eingabe von neuen Daten in die zugehörige
Protokolleinrichtung und leitet eine Befehls-Wiederholung ein, wenn ein Fehler entdeckt wird, und der Anzeigeteil betätigt den Steuerteil der anderen ZVE
zwecks Verarbeitung und Speicherung des Profils der eigenen ZVE, die als unbrauchbar bezeichnet wird. Beim Auftreten eines Fehlers wird eine Eingabe
der unsicheren Daten in die betreffende Protokolleinrichtung auf jeden Fall
UK967029 509 886 /0 492
verhindert. Die Anordnung arbeitet folgendermaßen:
Wenn in einer der ZVEs, z. B. der ZVE 20, ein Fehler auftritt, wird das letzte
zuverlässige Profil in der Protokolleinrichtung 23 fixiert, und es wird eine
Befehlswiederholung versucht. Wenn der festgestellte Fehler nicht verschwindet, beendet der Fehleranzeigeteil des Steuerteils 25 die Operation der ZVE 20 und
gibt ein Signal an den Steuerteil 26 der ZVE 21.
Die ZVE 21 beendet ihre laufenden Operationen und stellt den Inhalt ihres
Arbeitsbereiches im Hauptspeicher 22 auf übliche Weise durch Wegspeichern sicher, als wenn sie zu einer anderen Aufgabe umschalten würde. Der Inhalt
des Speicherabschnitts 30 für anstehende Programmunterbrechungen braucht nicht durch Wegspeichern sichergestellt zu werden. Danach adressiert die ZVE
die Protokolleinrichtung 23, um das Profil der ZVE 20 zu entnehmen und in einen geordneten Datenstrom umzuformen, und gibt diesen Datenstrom in den
Hauptspeicher 22 ein. Wenn die Profildaten durch diesen Datenstrom einmal sicher gespeichert sind, kann die ZVE 21 zu ihren eigenen Aufgaben zurückkehren.
Das gesamte Profil der ZVE 20 enthält den Stand der zugehörigen anstehenden
Programmunterbrechungen zum Fehlerzeitpunkt und die Maskierung dieser Unterbrechungen. Diese Informationen gelangen jedoch nicht zum Speicherteil
30 für die anstehenden Programmunterbrechungen der ZVE 21, sondern laufen nur durch den Datenverarbeitungsteil 28 der ZVE 21. Maskierte
Unterbrechungen, die von der ZVE 20 ignoriert würden, werden durch die ZVE 21 nicht ignoriert, und es wird eine genaue Aufstellung aller laufenden
Unterbrechungen in Reihenfolge der Priorität und der zugehörigen Maskierung vorgenommen.
Da das System symmetrisch angelegt ist, wird ein Ausfall der ZVE 21 genauso
behandelt wie ein solcher der ZVE 20. Außerdem kann eine ZVE so ausgelegt werden, daß sie ihr eigenes Profil durch Wegspeichern sicherstellt und anschließend
die Aufgaben der ausgefallenen ZVE von dem Punkt an übernimmt, an welchem das Profil der ausgefallenen ZVE gespeichert wurde.
UK 967 029
509886/0 49?
Wie bereits oben gesagt wurde, kann auch eine Anordnung mit drei oder mehr
ZVEs so eingerichtet werden, daß sie bei Auftreten von Fehlern die oben beschriebenen
Funktionen erfüllt. Eine genauere Darstellung erübrigt sich hier. Das gilt auch für nichtsymmetrische Anordnungen, die solche Funktionen erfüllen.
5 0 9 8 3 β /-η 4 9 ?
Claims (5)
- PATENTANSPRÜCHE(V) Ausfallgesicherte Datenverarbeitungsanlage, insbesondere für Echtzeitaufgaben, mit einem Hauptspeicher und mindestens einer ersten und einer zweiten Verarbeitungseinheit, von denen mindestens die erste mit einer Protokolleinrichtung zur laufenden Registrierung ihres Status und mit einer Fehlererkennungseinrichtung versehen ist, dadurch gekennzeichnet, daß beide Verarbeitungseinrichtungen Datenverarbeitungsteile (27, 28) und miteinander in Verbindung stehende Steuerteile (25, 26) aufweisen, daß der Eingang der Protokolleinrichtung (23) der ersten Einheit (20) mit dem DatenverarbeitungsteiI (27) der ersten Einheit (20) verbunden ist, daß der Ausgang der Protokolleinrichtung (23) der ersten Einheit mit dem Datenverarbeitungsteil (28) der zweiten Einheit (21) verbunden ist, daß die Fehlererkennungsschaltung im Steuerteil der ersten Einheit bei Auftreten eines permanenten Fehlers ein Signal an den Steuerteil der zweiten Einheit abgibt und daß der Datenverarbeitungsteil (28) der zweiten Einheit daraufhin den in der Protokolleinrichtung (23) der ersten Einheit registrierten Systemstatus (Programmprofil) aufnimmt und als Datensatz in den Hauptspeicher (22) einschreibt.
- 2. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß die zweite Verarbeitungseinheit (21) für Multiprogrammbetrieb ausgelegt ist und im Fehlerfall nach Übernahme des registrierten Systemstatus (Programmprofil) die in der ersten Verarbeitungseinheit unterbrochene Arbeit fortsetzt.
- 3. Datenverarbeitungsanlage nach einem oder beiden der Ansprüche 1 und 2, dadurch gekennzeichnet, daß beide Verarbeitungseinrichtungen (20, 21) identisch aufgebaut sind und jeweils eine Protokolleinrichtung (23, 24) besitzen und daß Verbindungen vorhanden sind derart, daß die Gesamtanlage symmetrisch ist.UK967029 509386/0492
- 4. Datenverarbeitungsanlage nach Anspruch 3, dadurch gekennzeichnet, daß beide Verarbeitungseinheiten neben den Datenverarbeitungsteilen (27, 28) je einen Speicherteil (29, 30) für anstehende Programmunterbrechungen enthalten, daß die Protokolleinrichtungen (23, 24) neben den ersten Protokollspeichern (31, 32) für die Datenverarbeitungsteile je einen zusätzlichen zweiten Protokollspeicher (33, 34) für die anstehenden unterbrochenen Programme aufweisen und daß Verbindungen zwischen den Datenverarbeitungsteilen (27, 28) und den zugeordneten ersten Protokollspeichern (23, 24) bzw. zwischen den Unterbrechungsspeichern (29, 30) und den zweiten P ro toko I !speichern (33, 34) bestehen.
- 5. Datenverarbeitungsanlage nach Anspruch 1, dadurch gekennzeichnet, daß die Fehlererkennungseinrichtung nach Feststellen eines Fehlers zuerst eine Operationswiederholung einleitet, und erst bei Feststellen eines permanenten Fehlers eine Übernahme des Programmproftts durch die zweite Verarbeitungseinheit anfordert.UK967 609880/0^9 2 ...ORK3INAL INSPECTED
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB34429/68A GB1163859A (en) | 1968-07-19 | 1968-07-19 | Data Processing Systems |
GB35457/68A GB1168414A (en) | 1968-07-19 | 1968-07-25 | Data Processing Systems |
Publications (3)
Publication Number | Publication Date |
---|---|
DE1966991A1 true DE1966991A1 (de) | 1976-02-05 |
DE1966991B2 DE1966991B2 (de) | 1978-10-05 |
DE1966991C3 DE1966991C3 (de) | 1979-05-31 |
Family
ID=26262285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE1966991A Expired DE1966991C3 (de) | 1968-07-19 | 1969-07-16 | Ausfallgesicherte Datenverarbeitungsanlage |
Country Status (8)
Country | Link |
---|---|
BE (1) | BE734986A (de) |
CH (1) | CH499157A (de) |
DE (1) | DE1966991C3 (de) |
ES (1) | ES369639A1 (de) |
FR (2) | FR2014655A1 (de) |
GB (2) | GB1163859A (de) |
NL (1) | NL6911126A (de) |
SE (1) | SE346170B (de) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5537641A (en) * | 1978-09-08 | 1980-03-15 | Fujitsu Ltd | Synchronization system for doubled processor |
US4507751A (en) * | 1982-06-21 | 1985-03-26 | International Business Machines Corporation | Method and apparatus for logging journal data using a log write ahead data set |
GB2132796A (en) * | 1982-11-25 | 1984-07-11 | Decca Ltd | Data logging system |
JPS6054052A (ja) * | 1983-09-02 | 1985-03-28 | Nec Corp | 処理継続方式 |
US5155678A (en) * | 1985-10-29 | 1992-10-13 | International Business Machines Corporation | Data availability in restartable data base system |
JPH07319738A (ja) * | 1994-05-23 | 1995-12-08 | Nec Commun Syst Ltd | 差分記録方式 |
US8812781B2 (en) * | 2005-04-19 | 2014-08-19 | Hewlett-Packard Development Company, L.P. | External state cache for computer processor |
-
1968
- 1968-07-19 GB GB34429/68A patent/GB1163859A/en not_active Expired
- 1968-07-25 GB GB35457/68A patent/GB1168414A/en not_active Expired
-
1969
- 1969-06-23 BE BE734986D patent/BE734986A/xx unknown
- 1969-06-25 FR FR6921611A patent/FR2014655A1/fr not_active Withdrawn
- 1969-06-25 FR FR6921617A patent/FR2014710A1/fr active Pending
- 1969-07-11 CH CH1062469A patent/CH499157A/de not_active IP Right Cessation
- 1969-07-16 DE DE1966991A patent/DE1966991C3/de not_active Expired
- 1969-07-17 ES ES369639A patent/ES369639A1/es not_active Expired
- 1969-07-18 SE SE10196/69A patent/SE346170B/xx unknown
- 1969-07-18 NL NL6911126A patent/NL6911126A/xx unknown
Also Published As
Publication number | Publication date |
---|---|
NL6911126A (de) | 1970-01-21 |
SE346170B (de) | 1972-06-26 |
DE1936251A1 (de) | 1970-01-22 |
FR2014655A1 (de) | 1970-04-17 |
CH499157A (de) | 1970-11-15 |
GB1168414A (en) | 1969-10-22 |
DE1966991B2 (de) | 1978-10-05 |
FR2014710A1 (de) | 1970-04-17 |
GB1163859A (en) | 1969-09-10 |
DE1936251B2 (de) | 1975-11-20 |
BE734986A (de) | 1969-12-01 |
ES369639A1 (es) | 1971-04-01 |
DE1966991C3 (de) | 1979-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2908316C2 (de) | Modular aufgebaute Multiprozessor-Datenverarbeitungsanlage | |
DE3048365C2 (de) | ||
EP0011685B1 (de) | Programmierbare Speicherschutzeinrichtung für Mikroprozessorsysteme und Schaltungsanordnung mit einer derartigen Einrichtung | |
DE2225841C3 (de) | Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers | |
DE3611223A1 (de) | Verfahren und vorrichtung zum verhindern einer blockierung in einem datenbank-verwaltungssystem | |
DE3336977C2 (de) | Schaltungsanordnung zur Vermeidung eines HALT-Zustandes für einen Fahrzeugcomputer | |
EP0057756A2 (de) | Anordnung zum Datenaustausch in parallel arbeitenden Multi-Mikrorechnersystemen | |
EP1019819B1 (de) | Programmgesteuerte einheit und verfahren zum debuggen derselben | |
DE19827432C2 (de) | Verfahren zur Speicherung von Rechner-Zustandsdaten bei einem Störfall, der ein anschließendes Wieder-Hochfahren des Rechners erfordert | |
DE2350229A1 (de) | Datenverarbeitungsanlage, insbesondere als steuereinrichtung fuer fernsprechvermittlungsanlagen | |
DE3514079A1 (de) | Ausfallsicherungskreis fuer ein steuerungssystem | |
DE1966991C3 (de) | Ausfallgesicherte Datenverarbeitungsanlage | |
DE2641700A1 (de) | Taktueberwachung in digitalsystemen | |
DE102013021231A1 (de) | Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät | |
EP1915686B1 (de) | Verfahren und vorrichtung zur festlegung eines startzustandes bei einem rechnersystem mit wenigstens zwei ausführungseinheiten durch markieren von registern | |
WO2019081308A1 (de) | Verfahren und halbleiterschaltkreis zum schützen eines betriebssystems eines sicherheitssystems eines fahrzeugs | |
DE4227784A1 (de) | Rechnersystem und verfahren zum beheben eines seitenfehlers | |
EP0182134A2 (de) | Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen | |
EP0151810A2 (de) | Verfahren und Schaltungsanordnung zum Prüfen eines Programms in Datenverarbeitungsanlagen | |
WO1999044135A1 (de) | Synchronisations- und/oder datenaustauschverfahren für sichere, hochverfügbare rechner und hierzu geeignete einrichtung | |
DE2507405A1 (de) | Verfahren und anordnung zum synchronisieren der tasks in peripheriegeraeten in einer datenverarbeitungsanlage | |
DE2014729A1 (de) | Datenverarbeitungssystem mit mindestens einer Datenverwendungseinheit | |
DE3104903A1 (de) | Anordnung zum datenaustausch parallel arbeitender mikrorechner | |
DE2048473C3 (de) | Mit einem Hauptdatenrechner verbundener Fehlerdatenrechner geringerer Leistungsfähigkeit | |
DE3400311C1 (de) | Datenverarbeitungseinrichtung mit einem Prozessor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C3 | Grant after two publication steps (3rd publication) | ||
8339 | Ceased/non-payment of the annual fee |