DE3751374T2 - Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren. - Google Patents

Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren.

Info

Publication number
DE3751374T2
DE3751374T2 DE19873751374 DE3751374T DE3751374T2 DE 3751374 T2 DE3751374 T2 DE 3751374T2 DE 19873751374 DE19873751374 DE 19873751374 DE 3751374 T DE3751374 T DE 3751374T DE 3751374 T2 DE3751374 T2 DE 3751374T2
Authority
DE
Germany
Prior art keywords
signal
channel
program memory
providing
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19873751374
Other languages
English (en)
Other versions
DE3751374D1 (de
Inventor
Edward M Oscarson
Bhalchandra Ramchandra Tulpule
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
RTX Corp
Original Assignee
United Technologies Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by United Technologies Corp filed Critical United Technologies Corp
Publication of DE3751374D1 publication Critical patent/DE3751374D1/de
Application granted granted Critical
Publication of DE3751374T2 publication Critical patent/DE3751374T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Die Erfindung bezieht sich auf Transferverfahren und -mechanismen für digitale Steuercomputer und mehr insbesondere auf Verfahren und Mechanismen zum Transferieren zwischen einem Hauptprogrammspeicher und einem Reserveprogrammspeicher.
  • In den letzten Jahren haben die zunehmenden Fähigkeiten von digitalen Mikroprozessoren zu der Realisierung von redundanten digitalen Hochleistungssteuercomputersystemen geführt, z.B. für Avionik-Zwecke. Diese leistungsfähigen und zuverlässigen Systeme können komplexe Berechnungen ausführen und komplexe Steuerfunktionen erfüllen sowie die Systemelemente mit einem hohen Grad an Zuverlässigkeit in Gegenwart von Hardwareausfällen erkennen, isolieren und umkonfigurieren. Die zunehmende Komplexität der in den Systemen residenten Software hat jedoch zu dem Verlangen nach Softwarezuverlässigkeit und Fehlertoleranz geführt. Insbesondere gibt es ein starkes Verlangen nach Schutz vor dem sogenannten generischen Softwareausfall oder -fehler. Redundante digitale Systeme, bei denen in allen Kanälen identische Software benutzt wird, sind für diesen Typ von Fehler besonders anfällig. Das ist der Fall, wenn alle Kanäle dieselbe fehlerhafte Aktivität entwickeln, die nicht vorhergesagt werden kann und zum Systemausfall führen kann. Es gibt deshalb einen grundlegenden Bedarf an Techniken, die das digitale Steuersystem vor generischen Softwareausfällen schützen können.
  • Der Mechanismus zum Schutz gegen generische Softwareausfälle kann viele Formen annehmen. Zum Beispiel können analoge elektronische Computer als Reserven für das digitale Hauptsystem benutzt werden. Eine alternative Lösung beinhaltet die Verwendung von alternativer "in situ"-Software, die im Falle eines erkannten generischen Softwareausfalls eingeschaltet wird. In diesem Fall ist das alternative Softwarepaket dafür verantwortlich, den Verlust der Steuerung des Systems zu verhindern. Diese Lösung ist ziemlich kosteneffektiv, da die alternative Software sich dieselbe Kanalhardware teilt, mit Ausnahme des Programmspeichers. Ein Beispiel dieses Standes der Technik ist in der GB-A-2 172 722 beschrieben, welche den Stand der Technik angibt, der in dem Oberbegriff der unabhängigen Ansprüche erwähnt ist.
  • Die alternative Software, die in einem Reservespeicher resident ist, kann mit Hilfe eines Transfermechanismus ein- oder ausgeschaltet werden. Es ist klar, daß die Zuverlässigkeit des gesamten Systems in Gegenwart von generischen Softwaregleichtaktfehlern von der Zuverlässigkeit und der Fehlertoleranz des Transfermechanismus abhängig ist. Deshalb ist das Problem des Schutzes vor generischen Softwareausfällen eng verbunden mit dem Bedarf an einem zuverlässigen, unabhängigen, fehlertoleranten Reservebetriebstransfermechanismus für digitale Steuercomputersysteme.
  • Das Ziel der vorliegenden Erfindung ist es, einen Transfermechanismus und ein Transferverfahren für ein redundantes System zu schaffen, in welchem eine unzweideutige Leistung in Gegenwart eines Stromausfalls in einer Untergruppe von Kanälen erbracht wird.
  • Dieses Ziel wird gemäß der Erfindung durch ein Verfahren und eine Vorrichtung der unabhängigen Ansprüche durch die Merkmale des kennzeichnenden Teils derselben erreicht. Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen beansprucht.
  • Das Verfahren und die Vorrichtung nach der vorliegenden Erfindung sorgen für das Transferieren von dem Hauptprogrammspeicher auf einen alternativen oder Reserveprogrammspeicher, der von der Software des Kanals unabhängig ist. Mit anderen Worten, der Transfer erfolgt über einen Hardwaremechanismus, der frei von irgendeiner Softwaresteuerung ist.
  • Das Transferverfahren und der Transfermechanismus nach der vorliegenden Erfindung sorgen für das Transferieren von sämtlichen Kanälen in die und aus der Reservebetriebsart mit nahezu Gleichzeitigkeit. Es ist klar, daß das nicht durch eine zentrale Transfersteuerung erfolgen kann, und zwar wegen der Möglichkeit eines Gleichtakthardwareausfalls.
  • Der Transfermechanismus und das Transferverfahren nach der vorliegenden Erfindung sorgen für saubere, transientenfreie Transfers, d.h. der Transferprozeß zwischen dem Haupt- und dem Reserveprogrammspeicher erzeugt keine transienten Vorgänge oder läßt keine unvollendeten Routinen oder scheinbaren Ausfälle zurück, die zu einem Verlust des Systems nach dem Transfer führen können.
  • Nachdem ein Transfer stattgefunden hat, ist er für das Steuersystem als ein Ganzes in Gegenwart von jeglichen Stromausfalltransienten in einer Untergruppe von Kanälen, die folgen können, permanent (bis zur Abschaltung).
  • Der Transfermechanismus und das Transferverfahren nach der vorliegenden Erfindung sprechen auf die erkannten Auftritte des sogenannten generischen Softwarefehlers und/oder den Auftritt von direkten Benutzertransferanforderungen an.
  • Gemäß einem Aspekt der vorliegenden Erfindung senden das Transferverfahren und der Transfermechanismus, wenn sie aktiviert sind, eine nichtmaskierbare Unterbrechung zu sämtlichen Kanalprozessoren, wenn eine Mehrheit von Kanälen (mit Hilfe einer Trennanforderung, einer Benutzeranforderung oder irgendeines anderen Mechanismus) einen generischen Softwareausfall erkennt; jeder der Prozessoren sendet dann ein Quittungssignal als Antwort auf die nichtmaskierbare Unterbrechung nach dem Abschluß des Maschinenzyklus, in welchem er zu der Zeit eingeschaltet wird, zu der er die Unterbrechung empfängt; das Quittungssignal, welches ein rein hardwaregesteuertes Signal ist, wird dann benutzt, um den Programmspeicher des Signalprozessors von einem Hauptprogrammspeicher zu einem Reserveprogrammspeicher zu transferieren.
  • Das Transferverfahren und der Transfermechanismus erinnern sich an den "System"-Zustand und bringen den Kanal nach jeder Wiederherstellung der Stromversorgung des Kanals in den Systemzustand zurück. Auf diese Weise sorgen das Transferverfahren und der Transfermechanismus für einen transientenfreien Transfer ohne Verlust an Steuerung (Abtrennung) durch das System.
  • Das Verfahren und der Mechanismus nach der vorliegenden Erfindung benutzen die Technik der Schaffung eines Mitschreib- oder Reservespeichers für den Hauptprogrammspeicher. Das Programm, das in dem Mitschreib- oder Reservespeicher enthalten ist, wird von dem Programm in dem Hauptspeicher verschieden sein, um einen Schutz gegen einen generischen Softwareausfall in der Hauptsoftware zu schaffen. Ein Schlüsselelement dieser Lösung ist die Verwendung einer nichtmaskierbaren Unterbrechung, die durch die Software nicht unwirksam gemacht werden kann. Der Transfer ist sauber und transientenfrei. Nachdem das System in die Reservebetriebsart transferiert worden ist, wird es in der Reservebetriebsart bleiben, sofern nicht die Bedienungsperson, z.B. der Pilot, das Reservesystem für eine transientenfreie Rückkehr zu der Hauptbetriebsart unwirksam macht.
  • Diese und andere Ziele, Merkmale und Vorteile der vorliegenden Erfindung werden im Lichte der ausführlichen Beschreibung einer besten Ausführungsform derselben deutlicher werden, die in den beigefügten Zeichnungen dargestellt ist, in denen:
  • Fig. 1 eine Darstellung eines redundanten digitalen Computersteuersystems ist, in welchem die vorliegende Erfindung in jedem Kanal ausgebildet ist;
  • Fig. 2 eine funktionale Darstellung des erfinderischen Konzepts der vorliegenden Erfindung ist;
  • Fig. 3 ein Zeitsteuerdiagramm ist, welches als eine Hilfe zum Verständnis der Realisierung des in Fig. 2 dargestellten Transfermechanismus präsentiert wird;
  • Fig. 4 eine Darstellung einer Hardwarerealisierung des BUCS- Transfermechanismus nach der vorliegenden Erfindung ist, die insbesondere die verschiedenen Eingangs- und Ausgangssignale zeigt, welche mit einem solchen Transfermechanismus verbunden sein können;
  • Fig. 5 eine vereinfachte Blockschaltbilddarstellung einer Hardwarerealisierung des Transfermechanismus nach Fig. 4 ist; und
  • Fig. 6 eine vereinfachte Flußdiagrammdarstellung der logischen Schritte ist, welche durch eine Signalprozessorrealisierung des Transfermechanismus nach Fig. 4 ausgeführt werden würden.
    • Bester Weg zur Ausführung der Erfindung
  • Fig. 1 ist eine Darstellung eines digitalen Computersteuersystems 10, das mehrere redundante Kanäle hat, die zur Systemzuverlässigkeit benutzt werden.
  • Jeder Kanal ist allgemein so dargestellt, daß er drei Hauptkomponenten hat, d.h. Eingang/Ausgang (E/A) 12, eine E/A-Schnittstelle 14 und einen Signalprozessor 16, üblicherweise einen Mikroprozessor. Jeder Signalprozessor 16 in jedem Kanal wird normalerweise mit einem Hauptspeicherplatz 18 über Daten-, Steuer- und Adreßleitungen 20, 22 verkehren. Bei dem Verfahren und dem Mechanismus nach der vorliegenden- Erfindung kann ein Reservesteuersystem (Backup Control System oder BUCS)- Transfermechanismus funktional zwischen Adreß- und Datenleitungen 20 sowie Daten- und Adreßleitungen 22 angeordnet sein, um die Substitution eines Reservespeichers 24 anstelle des Hauptspeichers 18 in Gegenwart von mehreren Bedingungen zu gestatten, zu welchen ein generischer Softwarefehler in dem Hauptprogrammspeicher gehören. In der Reservebetriebsart werden die Adreß- und Datenleitungen 26 sowie die Daten- und Adreßleitungen 22 anstelle der Adreß- und Datenleitungen 20, 22 benutzt. Ein BUCS- Transfermechanismus 26 ist innerhalb jedes Kanals in Fig. 1 als die Einrichtung funktional gezeigt, durch die der Transfer bewirkt wird.
  • Ein Nichtmaskiererbare-Unterbrechung (Non-Maskable-Interrupt oder NMI)-Generator 28 ist in jedem Kanal zum Liefern und Empfangen von verschiedenen Signalen über eine Signalleitung 30 zwischen dem BUCS-Transfermechanismus 26 und dem Signalprozessor 16 gezeigt.
  • In Fig. 2, auf die nun Bezug genommen wird, ist eine Kanalunterbrechungssteuerung 28 gezeigt, die auf mehrere Prioritätsunterbrechungssignale auf einer Leitung 32 anspricht, um die verschiedenen, Unterbrechungen dem Signalprozessor 16 zu liefern. Diese werden ein Nichtmaskierbare-Unterbrechung-Anforderungssignal auf einer Leitung 34 umfassen, welches aufgrund des Vorhandenseins eines Signals auf einer Leitung 35 aus einem Detektor/Anzeiger 35a für einen generischen Softwareausfall erzeugt wird. Der Detektor/Anzeiger 35a kann Teil des BUCS-Transfermechanismus 26 sein. Das Signal auf der Leitung 35 wird gesendet entweder wenn ein generischer Softwareausfall erkannt wird oder wenn es verlangt wird, was durch ein Anforderungssignal auf einer Leitung 35b angezeigt wird. Eine Anzahl von Kanalausfall (Abtrennung)-Signalen wird auf einer Leitung 35c geliefert, die jeweils den Status ihres zugeordneten Kanals angeben. Das Signal auf der Leitung 34 wird zu dem Prozessor 16 gesendet, wenn unter anderen Bedingungen z.B. ein generischer Softwareausfall erkannt wird.
  • Der Signalprozessor 16 wird einen Maschinenzyklus haben, der üblicherweise dynamisch verändert werden kann, z.B. von einer Taktperiode auf zehn Taktperioden. Eine Serie von derartigen Maschinenzyklen ist in Fig. 3(a) gezeigt. In dem dargestellten Fall wird ein NMI-Anforderungssignal zu dem Signalprozessor gesendet, wie es in Fig. 3(b) durch ein Schwingungsabbild 36 gezeigt ist. Wenn eine sofortige Quittung durch den Signalprozessor 16 zu der Unterbrechungssteuerung 28 zurückgeleitet wird, dann könnte der Signalprozessor in der Mitte der Ausführung von irgendeiner vitalen Aufgabe wie der Adressierung des Speichers, was allgemein durch einen Maschinenzyklus 38 in Fig. 3(a) gezeigt ist, unterbrochen sein. Es ist wesentlich für den richtigen Betrieb des BUCS-Transfermechanismus 26 nach der vorliegenden Erfindung, daß das Quittungssignal nur während einer Zeitspanne gesendet wird, in welcher der Signalprozessor 16 nicht in seiner normalen Lese-/Schreibaktivität gestört wird. Daher zeigt Fig. 3(c) ein Quittungssignalschwingungsabbild 40, welches einem Quittungssignal auf einer Leitüng 42 in Fig. 2 entspricht, wie es nur während einer speziellen Zeitspanne 41 auftritt, während welcher der Signalprozessor den vorherigen Maschinenzyklus 38 garantiert vollendet hat, so daß eine Störung der normalen Lese/Schreibaktivität des Signalprozessors vermieden wird. Fig. 3(d) zeigt, daß der Transfer zu dem Reservespeicher außerdem während des NMI-ACK (Quittung)-Maschinenzyklus 41 bewirkt wird, so daß der nächste folgende Maschinenzyklus 41a auf den Reservespeicher zugreift. Ein Übergang 41b zeigt eine Transfergrenze zwischen dem Zugriff des Signalprozessors auf den Hauptspeicher im Gegensatz zu dem auf den Reservespeicher an. Der tatsächliche Transfer wird durch das Quittungssignal auf der Leitung 42 eingeleitet. Das Quittungssignal würde normalerweise in einen Zustandszwischenspeicher 42a eingegeben werden, der seinerseits ein Transfersignal auf einer Leitung 42b an ein Verbindungsglied 44 abgibt, welches daraufhin aus seiner dargestellten Position in die durch gestrichelte Linien 46 dargestellte Position umschaltet.
  • In Fig. 2, auf die wieder Bezug genommen wird, ist zu beobachten, daß der BUCS-Transfermechanismus 26 nur funktional gezeigt ist, um bei dem Verständnis der Erfindung zu helfen. Der Mechanismus ist in Fig. 2 als ein simpler einpoliger Umschalter dargestellt, bei welchem es sich um einen Umschaltkontakt mit Unterbrechung, um einen unterbrechungslosen Umschaltkontakt oder um irgendeine Variation davon handeln kann. Die Funktion besteht selbstverständlich darin, auf das Quittungssignal ACK auf der Leitung 42 ohne Softwareintervention anzusprechen, um eine Umschaltung der Adreß-/Datenleitungen 22 des Signalprozessors von einer Verbindung mit dem Hauptspeicher über die Leitung 20 auf eine Verbindung mit dem Reservespeicher über die Leitungen 26a zu bewirken. Das erfolgt durch Ändern der Position des "Verbindungsglieds" 44 aus der in Fig. 2 gezeigten Position in eine zweite Position 46, die innerhalb des Mechanismus 26 durch gestrichelte Linien gezeigt ist, wie es oben dargelegt worden ist. Selbstverständlich ist diese rein funktionale Beschreibung nicht eine akkurate Beschreibung der tatsächlichen Einrichtung, durch die das in Wirklichkeit bewirkt werden würde. In einer wirklichen Schaltung würde die Funktion des in Fig. 2 gezeigten Mechanismus 26 einfach durch den Chip des Signalprozessors 16 erfüllt werden, der einen anderen Speicher zur richtigen Zeit auswählt, wie es hier erläutert worden ist. Es dürfte somit klar sein, daß Fig. 2 lediglich als eine Hilfe für das Verständnis der Funktion des BUCS-Transfermechanismus präsentiert wird.
  • In Fig. 4, auf die nun Bezug genommen wird, ist ein BUCS-Transfermechanismus 26 auf eine Art und Weise gezeigt, welche die Signale besser veranschaulicht, die in ihn eingegeben und aus ihm abgegeben werden, und wie der BUCS-Transfermechanismus mit dem Signalprozessor verkehrt.
  • Ein BUCS-Entsichernsignal auf einer Leitung 48 wird, z.B., von einem durch den Piloten betätigten Schalter geliefert, der anzeigt, daß der Pilot wünscht, daß der BUCS-Transfermechanismus 26 freigegeben wird. In Abwesenheit dieses aktivierten Signals wird ein Transfer zwischen Haupt- und Reservespeicher niemals erfolgen.
  • Ein BUCS-Einschaltsignal auf einer Leitung 50 wird ebenfalls, z.B. durch den Piloten, an die verschiedenen Kanäle abgegeben, um einen Transfer ungeachtet der Erkennung eines generischen Softwarefehlers vorzunehmen. Dieses Signal wird an den Reservetransfermechanismus zur manuellen Betätigung immer dann abgegeben, wenn der Pilot einen Transfer wünscht oder das Vorhandensein eines generischen Softwareausfalls wahrnimmt.
  • Der BUCS-Transfermechanismus 26 wird außerdem in einem Vierkanalsystem auf eine Gruppe von vier redundanten Kanalleistungsstatussignalen 52 ansprechen, von denen jedes den Leistungsstatus von einem der vier redundanten Kanäle in dem Vierersystem angibt. Der Transfermechanismus ist dafür ausgelegt, bei der Wiedereinschaltung der Stromversorgung immer die Kanalaktivität in der Hauptbetriebsart zu beginnen. Eine der vier Signalleitungen 52 wird mit einer von vier POR-Statussignalleitungen 70, die im folgenden beschrieben sind, beginnen und mit derselben identisch sein. Eines der Statussignale auf der Leitung 70 wird lediglich zurück in den BUCS-Transfermechanismus über eine der Signalleitungen 52 geleitet. Eine Unterbrechung 52a in der Signalleitung 52 ist von ihrem Ursprung auf der Signalausgangsleitung 70 aus gezeigt, um anzuzeigen, daß das Zurückleiten des POR-Statussignals zu dem Eingang ziemlich umständlich sein kann und das Herumleiten außen um den Kanal beinhalten kann und außerdem eine nichtgezeigte Signalkonditionierung umfassen kann.
  • Der BUCS-Transfermechanismus 26 spricht außerdem auf eine Gruppe von vier Abtrennstatussignalen auf einer Leitung 54 an, die jeweils den Abtrennstatus von einem der vier Kanäle in dem Vierersystem einschließlich seines eigenen Kanals anzeigen. Wenn festgestellt wird, daß eine Mehrheit der Kanäle gegenwärtig abgetrennt ist, dann wird ein Transfer zu der BUCS-Betriebsart gemacht, wenn der Kanal zu der Zeit in der Hauptbetriebsart gearbeitet hat.
  • Der BUCS-Transfermechanismus 26 spricht außerdem auf eine Gruppe von vier Signalen auf einer Leitung 56 an, von denen jedes den Betriebsartstatus von einem der Kanäle in dem Vierersystem angibt. Wenn festgestellt wird, daß eine Mehrheit von mit Strom versorgten Kanälen, was durch Bezugnahme auf die Signale auf der Leitung 52 ermittelt wird, gegenwärtig in der BUCS-Betriebsart ist, wird ein Kanal in die BUCS-Betriebsart transferiert, wenn er gegenwärtig noch in der Hauptspeicherbetriebsart ist. Es ist zu erkennen, daß eines der Betriebsartstatussignale an einem Ausgang des BUCS-Transfermechanismus auf einer Signalleitung 72 auf eine Weise abgegeben wird, die der in Verbindung mit einer der Signalleitungen 52 bereits beschriebenen gleicht. Dieselben Bemerkungen gelten hier.
  • Es ist auch zu erkennen, daß die Vielzahl an Eingangssignalen, die über die Eingangsleitung 54 eingegeben werden, nicht eines derjenigen Vielzahl von Signalen hat, welche an dem Ausgang abgegeben werden, wie bei einem der Signale in jedem der Fälle, die den Eingangssignalleitungen 52 und 56 entsprechen. Es ist jedoch klar, daß der BUCS-Transfermechanismus 26 die notwendige Schaltungsanordnung zum Abgeben dieser Signale enthalten könnte. In der in Fig. 4 gezeigten Ausführungsform sind sie jedoch irgendwo anders (nicht dargestellt) angeordnet worden. Es ist somit klar, daß, obgleich die Schaltungsanordnung zum Abgeben der Signale auf den Leitungen 70 und 72 in dem BUCS-Transfermechanismus 26 nach Fig. 4 enthalten ist, sie ebenso einfach irgendwo anders und nicht dargestellt auf dieselbe Weise vorgesehen werden könnten, weshalb die Quelle der Signale 54 in Fig. 4 nicht gezeigt worden ist. Diese Entitäten sind frei in den BUCS- Transfermechanismus und aus demselben transferierbar und bilden keinen wesentlichen Teil der vorliegenden Erfindung.
  • Der BUCS-Transfermechanismus 26 spricht auch auf ein POR ("power-on-reset" oder Nullsetzen beim Einschalten der Stromversorgung)-Signal auf einer Leitung 58 an, um anzuzeigen, daß die Stromversorgung des Kanals soeben eingeschaltet worden ist und daß der Kanal die Aktivität in der Hauptbetriebsart beginnen sollte. Der BUCS-Transfermechanismus 26 wird also gewährleisten, daß der Hauptspeicher 18 unmittelbar nach dem Empfang eines POR- Signals benutzt wird.
  • Der Signalprozessor 16 liefert ein von der CPU befohlenes Transfersignal auf einer Leitung 62 zu dem Transfermechanismus. Die Funktion des Signals auf der Leitung 62 ist es, für einen durch die CPU eingeleiteten Transfer zum Testen zu sorgen sowie ein alternatives Transfervehikel bereitzustellen, das durch Software gesteuert wird. Ein Abtrennerkennungsfreigabesignal auf einer Leitung 64 wird außerdem für den Zweck geliefert, einen Transfer auf das BUCS nach einem System-POR zu sperren, d.h., einen Anfangssystembetrieb in der Hauptbetriebsart zu gestatten. Ein Signal auf einer Leitung 65 gestattet einen zweiten Versuch zum Anschließen.
  • Ein nichtmaskierbares Unterbrechungsanforderungssignal auf einer Leitung 66 wird an den Signalprozessor aus dem BUCS-Transfermechanismus abgegeben. Die Funktion dieses Signals ist der des Signals auf der Leitung 34 in Fig. 2 ähnlich, mit der Ausnahme, daß es in Fig. 4 von dem BUCS-Transfermechanismus selbst statt von einer Unterbrechungssteuerung 28 wie in Fig. 2 geliefert wird. Funktional gibt es keinen Unterschied. Der Signalprozessor 16 sendet eine Quittung auf einer Leitung 68 in dem richtigen Augenblick, so daß seine Lese-/Schreiboperationen mit dem Speicher nicht gestört werden.
  • Eine Gruppe von vier POR-Statussignalen wird auf einer Leitung 70 geliefert, eines für jeden der Kanäle, einschließlich eines für sich selbst (vgl. die Signalleitung 56), zu dem Zweck, den POR-Status dieses besonderen Kanals für jeden der anderen Kanäle anzuzeigen.
  • Eine Gruppe von vier Kanalbetriebsartstatussignalen auf einer Leitung 72, von denen jedes den Betriebsartstatus des besonderen Kanals anzeigt, welcher dem besonderen BUCS-Transfermechanismus zugeordnet ist, aus welchem sie hervorgehen, wird ebenfalls an alle Kanäle in dem System abgegeben (eines dieser Signale erscheint auf der Leitung 56).
  • Ein BUCS-Einschaltlampensignal wird auf einer Leitung 74 geliefert, um eine Anzeigelampe mit Strom zu versorgen, die anzeigt, ob der Reservespeicher in einem besonderen Zeitpunkt benutzt wird oder nicht.
  • Ein BUCS-Entsichert-Lampensignal auf einer Leitung 76 wird geliefert, um eine Lampe mit Strom zu versorgen, die anzeigt, ob der Pilot das BUCS entsichert hat.
  • Ein Anschließen-Entsichern-Zwischenspeichersignal auf einer Leitung 78 wird geliefert, um einen Anschließmechanismus (nicht gezeigt) wieder zu entsichern, für den Zweck, die Fähigkeit eines abgetrennten Kanals wiederherzustellen, seine Ausgänge anzuschließen und mit dem Betrieb in einer neuen Betriebsart zu beginnen. Ein Betriebsartstatussignal wird auf einer Leitung 79 an den Signalprozessor abgegeben. Dieses Signal bestimmt, welches von zwei Chipauswählsignalen aktiv ist. In Abhängigkeit davon, welches Chipauswählsignal aktiv ist, wird entweder der Hauptspeicher 18 oder der Reservespeicher 24 ausgewählt. Das Signal auf der Leitung 79 kann daher als das endgültige Ausgangssignal des BUCS-Transfermechanismus 26 aufgefaßt werden.
  • Fig. 5 ist eine Darstellung von einer Ausführungsform des inneren Aufbaus eines BUCS-Transfermechanismus. Es sei angemerkt, daß die in Fig. 5 gezeigte Ausführungsform eine Hardwareausführungsform ist. Dem Fachmann ist jedoch klar, daß eine Ausführungsform, bei der ein Signalprozessor und ein Programmspeicher benutzt werden, die z.B. gemäß dem Flußdiagramm in Fig. 6 ausgebildet sind, statt dessen ebenso verwendet werden könnte. Es ist jedoch klar, daß ein solches Programm sowohl von der Haupt- als auch von der Sekundärbetriebsart unabhängig sein muß. Die Software kann sich daher nicht Verarbeitungsfunktionen oder Speicherfunktionen entweder mit der Hauptbetriebsart oder mit der Sekundärbetriebsart teilen. Aus diesen Gründen ist das BUCS üblicherweise zuverlässiger und kostengünstiger als eine Hardwareausführungsform. Deshalb wird Fig. 6 hauptsächlich als eine Hilfe für das Verständnis und zum Veranschaulichen eines Satzes von logischen Schritten, die bei der Realisierung der vorliegenden Erfindung ausgeführt werden könnten, nützlich sein.
  • In Fig. 5 sind alle Eingangssignale und Ausgangssignale, die in Fig. 4 gezeigt sind, dargestellt. Ein BUCS-Entsichernsignal wird auf der Leitung 48 an eine Reserveentsichern-konditionierschaltung 80 abgegeben, die das Signal auf, einen Pegel bringt, der mit dem Eingang einer ODER-Schaltung 84 kompatibel ist, die auf das bedingte Reserveentsichernsignal auf der Leitung 82 und auf das POR-Signal auf der Leitung 58 anspricht. In Gegenwart von einem dieser beiden asynchronen Signale gibt die ODER-Schaltung ein Signal auf einer Leitung 86 an den RS-Eingang eines D- Flipflops mit asynchroner Priorität gegenüber den synchronen Eingangssignalen ab. Der Q-Ausgang des Flipflops wird in Gegenwart eines Signals mit hohem Pegel auf einer Leitung 90 hoch sein (angeführt von einem Taktsignal auf einer Leitung 92), es wird aber übersteuert, um einen niedrigen Pegel an dem Q-Ausgang in Gegenwart eines hohen Signals auf der Leitung 86 zu erzeugen. Das dient dem Zweck, eine nichtmaskierbare Unterbrechung in Abwesenheit des ensicherten BUCS-Mechanismus oder in Gegenwart eines POR zu erzeugen.
  • Ein Kanalabtrenndetektormajoritätsvotierer 94 spricht auf ein Taktsignal auf einer Leitung 95 und auf die Kanalabtrennstatutssignale 54 an und gibt ein Ausgangssignal auf einer Leitung 96 an eine UND-Schaltung 98 in Gegenwart von drei oder mehr Signalen, d.h. der Majorität der vier Signale 54 bei einem Vierkanalsystem ab, welche einen Trennzustand anzeigen. Die UND-Schaltung 98 spricht auch auf ein Abtrennerkennungsfreigabesignal auf der Leitung 64 aus dem Prozessor 16 in Fig. 4 an. Sowohl das Signal auf der Leitung 96 als auch das Signal auf der Leitung 64 muß vorhanden sein, bevor die UND-Schaltung 98 ein Ausgangssignal auf einer Leitung 100 an eine ODER-Schaltung 102 abgeben wird.
  • Diese Signale, die durch die Leitung 56 in Fig. 4 gezeigt sind, werden an einen Mehrheitsvotierer 104 angelegt, der ein Ausgangssignal auf einer Leitung 106 an die ODER-Schaltung 102 abgibt, wenn drei oder mehr als drei der Kanalbetriebsartstatussignale anzeigen, daß drei oder mehr Signale, d.h. die Majorität der Kanäle in einem Vierkanalsystem in der BUCS-Betriebsart sind. In diesem Fall wäre es erforderlich, daß der bewußte Kanal ebenfalls in der BUCS-Betriebsart ist und daß das Signal auf der Leitung 106 für diesen Zweck an die ODER-Schaltung 102 abgegeben wird, wie es unten ausführlicher beschrieben ist.
  • Das BUCS-Einschaltsignal auf der Leitung 50 wird geliefert, wenn der Pilot einen Schalter 108 in dem Cockpit betätigt. Ein Pilotanforderungssignalkonditionierer 110 spricht auf das Einschaltsignal auf der Leitung 50 an und liefert ein konditioniertes Ausgangssignal auf einer Leitung 112, welches so konditioniert ist, daß es mit der ODER-Schaltung 102 kompatibel ist, z.B. eine Signalskalierung von einer hohen Gleichspannung von 12 Volt auf eine TTL-kompatible Gleichspannung von 5 Volt.
  • - Die ODER-Schaltung 102 spricht außerdem auf das durch die CPU erzeugte Transferbefehlssignal auf der Leitung 62- an. Dieses Signal gestattet einen Weg, der den Kanal dem System folgen läßt oder unilateral den Transfer im Falle eines generischen Softwareausfalls ausführen läßt, wie oben beschrieben.
  • Das D-Flipflop 88 gibt das nichtmaskierbare Unterbrechungssignal auf der Leitung 66 an den Prozessor 16 in Fig. 4 in Gegenwart entweder einer Majorität der Kanäle in Trennung, einer Majorität der Kanäle im BUCS, einer Pilotanforderung oder eines CPU-Transferbefehls ab. Selbstverständlich muß das Reservesystem entsichert werden, bevor irgendeine dieser Bedingungen tatsächlich zu einem Transfer auf den Reservespeicher führen wird, was an dem RS-Eingang gesteuert wird.
  • Nachdem das nichtmaskierbare Unterbrechungssignal NMI auf der Leitung 66 zu dem Signalprozessor gesendet worden ist, wird der Prozessor mit einem NMI-Quittungssignal NMI ACK auf der Leitung 68 antworten, das zusammen mit dem NMI-Signal selbst an eine UND-Schaltung 114 angelegt wird, die ein Ausgangssignal auf einer Leitung 116 an ein weiteres D-Flipflop 118 nur dann anlegen wird, wenn sowohl das NMI- als auch das NMI-Quittungssignal vorhanden sind. Das gewährleistet, daß der Prozessor seine gegenwärtige Aktivität beendet hat, bevor der Reservespeicher ausgewählt wird.
  • Das D-Flipflop 118 wird ein Ausgangssignal auf einer Leitung 120 an einen Signalpuffermodul 122 anlegen, der außerdem auf eine Anzahl von Signalen anspricht, zu denen das Reserveentsichernsignal auf der Leitung 82, das POR-Signal auf der Leitung 58, das Pilotanforderungssignal auf der Leitung 112 und das Zweiter- Anschließversuch-Signal auf der Leitung 65 gehören.
  • Der Signalpuffermodul 122 liefert das Anschließentsichernzwischenspeichersignal auf der Leitung 78, das BUCS-Entsichert-Lampensignal auf der Leitung 76, das BUCS-Einschaltlampensignal auf der Leitung 74, die Kanalbetriebsartstatussignale auf der Leitung 72, die POR-Statussignale auf der Leitung 70 und, am wichtigsten, das Chipäuswählschaltsignal auf der Leitung 79.
  • Der BUCS-Transfermechanismus nach Fig. 4 ist zwar in Fig. 5 in einer besonderen Hardwareausführungsform dargestellt, es ist jedoch klar, daß viele andere Hardwareausführungsformen ähnlich der in Fig. 5 gezeigten sehr leicht realisiert werden können. Solche Realisierungen würden verschiedene Gate-Arrays und Realisierungen mit diskreten Komponenten beinhalten. Es wird auch möglich sein, den Transfermechanismus 26 mit Hilfe eines separaten Signalprozessors zu realisieren, indem eine Gruppe von Befehlen ähnlich den in Fig. 6 gezeigten benutzt wird, solange sie nicht gemeinsam auch entweder durch die Haupt- oder die Reservesoftwareprogramme benutzt wird, die in den Speichern 18, 24 resident sind.
  • Der BUCS-Transfermechanismus 26 nach Fig. 4 wird daher für die Zwecke von Fig. 6 tatsächlich ein Signalprozessor sein, der sämtliche notwendigen internen Komponenten für einen solchen Prozessor enthalten wird, einschließlich einer CPU, eines ROM zum Festhalten der in Fig. 6 dargestellten Programmschritte in einem permanenten Speicher, eines RAM, eines Datenbusses, eines Steuerbusses, eines Adreßbusses und sämtlicher anderen notwendigen Komponenten eines Signalprozessors.
  • Das Flußdiagramm, das in Fig. 6 dargestellt ist, beginnt mit einem Eintrittsschritt 130, nach welchem ein Schritt 132 anschließend ausgeführt wird, in welchem festgestellt wird, ob der besondere Kanal, in welchem sich der Transfermechanismus befindet, mit Strom versorgt ist oder nicht. Wenn nicht, wird der Schritt 132 ständig ausgeführt und erneut ausgeführt, bis festgestellt wird, daß der Kanal, der zum Transfer gesteuert wird, mit Strom versorgt ist. Nachdem diese Feststellung getroffen worden ist, wird anschließend ein Schritt 134 ausgeführt, in welchem die Kanalaktivität in der Hauptbetriebsart begonnen wird. Mit anderen Worten, es wird der Hauptspeicher 18 statt des Reservespeichers 24 benutzt.
  • Danach wird ein Schritt 136 ausgeführt, in welchem festgestellt wird, ob das BUCS entsichert ist oder nicht. Wenn nicht, wird der Schritt 136 ständig wieder ausgeführt, bis festgestellt wird, daß das BUCS tatsächlich entsichert ist. Nachdem diese Feststellung getroffen worden ist, wird anschließend ein Schritt 138 ausgeführt, in welchem festges,tellt wird, ob eine BUCS- Transferanforderung durch den Piloten gemacht worden ist, d.h., ob das Signal auf der Leitung 50 in Fig. 5 vorhanden ist oder nicht. Wenn nicht, wird anschließend ein Schritt 140 ausgeführt, in welchem festgestellt wird, ob eine Majorität der Kanäle abgetrennt ist oder nicht, d.h., ob eine Majorität der Signale auf den Leitungen 54 abgetrennt ist oder nicht. Wenn nicht, wird anschließend ein Schritt 142 ausgeführt, in welchem festgestellt wird, ob die CPU eine BUCS-Transferanforderung gemacht hat oder nicht, d.h., ob das Signal auf der Leitung 62 in den Fig. 4 und 5 vorhanden ist oder nicht. Wenn nicht, wird anschließend ein Schritt 144 ausgeführt, in welchem festgestellt wird, ob eine Majorität von gegenwärtig mit Strom versorgten Kanälen in dem BUCS vorhanden ist oder nicht. Wenn nicht, wird anschließend ein Schritt 146 ausgeführt, in welchem festgestellt wird, ob das BUCS noch entsichert ist oder nicht. Wenn dem so ist, werden die Schritte 138, 140, 142 und 144 immer wieder ausgeführt, bis durch einen der Schritte 138, 140, 142, 144 festgestellt wird, daß ein Transfer zu dem BUCS zweckmäßig ist, wie es durch das anschließende Ausführen eines Schrittes 148 angezeigt wird, oder ob das BUCS nicht länger entsichert ist, in welchem Fall ein Schritt 150 anschließend ausgeführt wird, um festzustellen, ob der Kanal den Hauptspeicher 18 oder den Reservespeicher 24 benutzt.
  • Wenn durch einen der Schritte 138-144 festgestellt wird, daß ein Transfer auf das BUCS zweckmäßig ist, dann wird der Schritt 148 ausgeführt, um festzustellen, ob der Kanal bereits in dem BUCS ist oder nicht. Wenn nicht, wird ein Schritt 152 ausgeführt, in welchem ein Transfer auf das BUCS vorgenommen wird und die Kanalaktivität in dieser Betriebsart begonnen wird. Wenn der Kanal bereits in dem BUCS war, dann wäre der Schritt 152 unnötig, und ein Schritt 154 wird direkt ausgeführt, in welchem festgestellt wird, ob in dem besonderen Kanal die Stromversorgung verlorengegangen ist oder nicht. Wenn dem so ist, wäre der nächste ausg.eführte- Schritt der Schritt 132, in welchem das Programm wartet, bis der Kanal wieder mit Strom versorgt wird und die Aktivität wieder in der Hauptbetriebsart begonnen wird. Wenn die Kanalstromversorgung nicht verlorengegangen war, dann würde als nächstes der Schritt 146 ausgeführt werden, in welchem festgestellt wird, ob das BUCS noch entsichert ist oder nicht.
  • Wenn das BUCS nicht mehr entsichert ist, dann wird in dem Schritt 150 festgestellt, ob der Kanal noch in dem BUCS ist oder nicht. Wenn dem so ist, wird anschließend ein Schritt 156 ausgeführt, in welchem ein Transfer auf die Hauptbetriebsart gemacht und die Kanalaktivität in dieser Betriebsart begonnen wird. Wenn in dem Schritt 150 festgestellt werden würde, daß der Kanal nicht länger in dem BUCS ist, dann würde ein Transfer direkt zu dem Schritt 136 gemacht, statt daß der Schritt 156 ausgeführt wird. In jedem Fall wird anschließend der Schritt 136 nach entweder dem Schritt 150 oder dem Schritt 156 ausgeführt, um festzustellen, ob das BUCS entsichert ist oder nicht.
  • Das Programm geht auf die oben beschriebene Art und Weise unbegrenzt weiter, und Transfers können in das und aus dem BUCS gemacht werden, wie angegeben.

Claims (5)

1. Signalverarbeitungsverfahren zur Verwendung in jedem von mehreren separat mit Strom versorgten Kanälen eines redundanten Kanalsystems, wobei jeder Kanal einen Hauptprogrammspeicher mit residenter Software zum Liefern von mehreren Steuerfunktionsprogrammbefehlen und zum Liefern von Systemanfahrfunktionsprogrammbefehlen für den zugeordneten Kanal und einen ungleichen Reserveprogrammspeicher mit residenter Software, die von der in dein Hauptprogrammspeicher residenten Software verschieden ist, zum Liefern von Programmbefehlen für die Steuerfunktionen des zugeordneten Kanals hat, gekennzeichnet durch die Schritte:
Gewinnen von Programmbefehlen aus dem Hauptprogrammspeicher für die Anfahroperation des zugeordneten Kanals;
Verarbeiten von Signalen unter der Steuerung der residenten Software eines unter den Speichern ausgewählten Speichers,
Überwachen der Kanalstromversorgung auf eine Unterbrechung hin und anschließendes Wiederherstellen derselben; und,
wenn das Wiederherstellen der Stromversorgung nach der Unterbrechung erkannt wird, Benutzen des Hauptprogrammspeichers als einen vorgewählten Anfahrspeicher unabhängig davon, welcher Speicher vor der Unterbrechung benutzt worden ist.
2. Signalverarbeitungsverfahren nach Anspruch 1, gekennzeichnet durch die Schritte:
Verarbeiten von Signalen unter der Steuerung der residenten Software des Haüptprogrammspeichers;
selektives Liefern eines Entsichernsignals, welches durch seine Gegenwart anzeigt, daß ein Transfer von der Verwendung des Hauptprogrammspeichers auf die Verwendung des Reserveprogrammspeichers gestattet ist, und das durch seine Abwesenheit anzeigt, daß ein solcher Transfer nicht gestattet ist;
Testen, auf das Vorhandensein des Entsichernsignals hin, des Vorhandenseins von Fehlersignalen, die einen unkorrekten Betrieb in einem oder mehreren Kanälen anzeigen;
Liefern eines Unterbrechungssignals in Gegenwart einer Majorität der Kanäle, die Fehlersignale liefern, was einen unkorrekten Betrieb anzeigt;
Gestatten, daß der Signalprozessor seine gegenwärtige Operation auf das Unterbrechungssignal hin beendet und dann weitere Signalverarbeitungsschritte zurückstellt, bis er beginnt, Programmbefehle aus dem Reserveprogrammspeicher zu gewinnen; Liefern eines Zurückstellungsguittungssignals in Gegenwart des die Ausführung von weiteren Schritten zurückstellenden Signalprozessors;
Aufhören, Programmbefehle für den Signalprozessor aus dem Hauptprogrammspeicher zu gewinnen, auf das Zurückstellungsquittungssignal hin;
Beginnen, nach dieser Beendigung, Programmbefehle für den Signalprozessor aus dem Reserveprogrammspeicher zu gewinnen; und Prüfen des ständigen Vorhandenseins des Entsichernsignals und Transferieren des Signalprozessors auf den Hauptprogrammspeicher bei dem Erkennen der Abwesenheit des Entsichernsignals, ungeachtet, bis das Entsichernsignal wieder erkannt wird, des anschließenden Vorhandenseins von Fehlersignalen in einer Majorität von Kanälen, die eine unkorrekte Hauptprogrammausführung darin anzeigen.
3. Verfahren nach Anspruch 2, weiter beinhaltend den Schritt:
Verhindern des Gewinnens von weiteren Befehlen aus dem Hauptprogrammspeicher nach dem Beginnen des Gewinnens von Befehlen aus dem Reserveprogrammspeicher, ausgenommen nach dem Erkennen, daß das Entsichernsignal abgeschaltet worden ist, oder nach einer Stromversorgungsunterbrechung.
4. Signalverarbeitungsvorrichtung (26) zur Verwendung in jedem von mehreren separat mit Strom versorgten Kanälen eines redundanten Kanalsystems, wobei jeder Kanal einen Hauptprogrammspeicher und einen ungleichen Reserveprogrammspeicher zur Verwendung in Gegenwart einer Anzeige eines Hauptprogrammausfalls, der einer Majorität der Kanäle gemeinsam ist, gekennzeichnet durch:
eine Einrichtung (58) zum Liefern eines Kanal-"Nullsetzen beim Einschalten der Stromversorgung" (POR)-Signals, welches entweder ein anfängliches Einschalten der Kanalstromversorgung oder eine Unterbrechung gefolgt von einer Wiedereinschaltung der Kanalstromversorgung anzeigt;
eine Abtrennvotiereinrichtung (94), die auf Abtrennstatussignale (54) aus jedem Kanal anspricht, um ein Unterbrechungssignal (96) in Gegenwart einer Majorität der Kanäle zu liefern, die einen Abtrennstatus anzeigen, wodurch ein Programmausfall angezeigt wird, der der Majorität der Kanäle gemeinsam ist; und
eine Einrichtung (88), die auf das Unterbrechungssignal (96) aus der Abtrennvotiereinrichtung (94) und auf das POR-Signal (58) anspricht, um normalerweise auf das Unterbrechungssignal (96) hin in Abwesenheit des POR-Signals (58) ein nichtmaskierbares Unterbrechungssignal (66) zu liefern, um diesen Kanal zu veranlassen, von dem Hauptprogrammspeicher auf den Reserveprogrammspeicher umzuschalten, und um das nichtmaskierbare Unterbrechungssignal (66) auf das Unterbrechungssignal (96) in Gegenwart des POR-Signals (58) hin nicht zu liefern;
wodurch die Signalverarbeitung immer beginnt, indem der Hauptprogrammspeicher als ein vorgewählter Anfahrprogrammspeicher benutzt wird, ungeachtet dessen, welcher Speicher davor benutzt worden ist.
5. Vorrichtung nach Anspruch 4, weiter mit:
einer Reservevotiereinrichtung (104), die auf Betriebsartstatussignale (56) aus jedem Kanal hin ein weiteres Unterbrechungssignal (106) in Gegenwart einer Majorität der Kanäle, die anzeigen, daß der Reserveprogrammspeicher in Gebrauch ist, liefert; wobei
die Einrichtung (88) zum Liefern des nichtmaskierbaren Unterbrechungssignals auch auf das andere Unterbrechungssignal (106) aus der Reservevotiereinrichtung (104) anspricht, um normalerweise auf das andere Unterbrechungssignal (106) hin in Abwesenheit des PoR-Signals (58) das nichtmaskierbare Unterbrechungssignal (66) zu liefern und um das nichtmaskierbare Unterbrechungssignal (66) auf das andere Unterbrechungssignal (106) in Gegenwart des POR- Signals hin nicht zu liefern.
DE19873751374 1986-10-24 1987-10-15 Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren. Expired - Fee Related DE3751374T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US92261786A 1986-10-24 1986-10-24

Publications (2)

Publication Number Publication Date
DE3751374D1 DE3751374D1 (de) 1995-08-03
DE3751374T2 true DE3751374T2 (de) 1995-11-09

Family

ID=25447332

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873751374 Expired - Fee Related DE3751374T2 (de) 1986-10-24 1987-10-15 Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren.

Country Status (3)

Country Link
EP (1) EP0265366B1 (de)
JP (1) JPS63113701A (de)
DE (1) DE3751374T2 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02297601A (ja) * 1989-05-11 1990-12-10 Sanyo Electric Co Ltd 洗濯機等の電気機器
JPH03131902A (ja) * 1989-10-18 1991-06-05 Mitsubishi Electric Corp 産業用制御装置
SE516953C2 (sv) 1999-09-22 2002-03-26 Saab Ab Datoranordning med säkerhetsfunktion
WO2003104616A1 (ja) * 2002-06-07 2003-12-18 三菱重工業株式会社 タービン動翼組立体及びその組立方法
TWI312965B (en) * 2003-02-26 2009-08-01 Novatek Microelectronics Corp Micro-system for burn-in system program from a plug-able subsystem to main memory and method thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4358823A (en) * 1977-03-25 1982-11-09 Trw, Inc. Double redundant processor
JPS56166000A (en) * 1980-05-27 1981-12-19 Mitsubishi Electric Corp Duplicated memory
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
GB2172722B (en) * 1985-03-22 1989-06-28 United Technologies Corp Backup control system (bucs)

Also Published As

Publication number Publication date
DE3751374D1 (de) 1995-08-03
EP0265366A2 (de) 1988-04-27
EP0265366B1 (de) 1995-06-28
JPS63113701A (ja) 1988-05-18
EP0265366A3 (en) 1990-05-16

Similar Documents

Publication Publication Date Title
DE3751600T2 (de) Dreifachredundantes fehlererkennungssystem und entsprechendes anwendungsverfahren.
DE68924119T2 (de) Verfahren und Vorrichtung zum Wiederanlauf nach einem Fehler in einem digitalen Rechnersystem.
DE60302184T2 (de) Fehlertolerantes Computersystem, Verfahren zur Resynchronisierung desselben und zugehöriges Resynchronisierungs-Programm
DE4317729A1 (de) Programmierbare Steuereinheit
DE2735397C2 (de) Überwachungseinrichtung für eine programmgesteuerte Maschine
DE4228755C2 (de) Unterbrechungseinrichtung für ein Mikroprozessorsystem und zugehöriges Verfahren
WO2011117155A1 (de) Redundante zwei-prozessor-steuerung und steuerungsverfahren
DE4112334C2 (de)
DE69019441T2 (de) Line Computer.
DE2319753B2 (de) Anordnung zur Datenverarbeitung mittels in Mikroprogrammierung betriebener Prozessoren
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE19504404C1 (de) Systemarchitektur
DE2210325A1 (de) Datenverarbeitungssystem
DE68922440T2 (de) Gerät und Verfahren zur gleichzeitigen Einreichung von Fehlerunterbrechung und Fehlerdaten zu einem Unterstützungsprozessor.
DE3336977C2 (de) Schaltungsanordnung zur Vermeidung eines HALT-Zustandes für einen Fahrzeugcomputer
EP0543821B1 (de) Einrichtung zur funktionsüberwachung externer synchronisations-baugruppen in einem mehrrechnersystem
DE68921334T2 (de) Gerät zur programmierten vorübergehenden Aufhebung des Prozessorbetriebs zum Wiederversuch, zur Rückgewinnung und zum Austesten.
DE2461592C3 (de) Anordnung zur Durchführung von Wartungsoperationen bei einem Datenverarbeitungssystem
DE19902031A1 (de) Steuergerät zur Steuerung sicherheitskritischer Anwendungen
EP0048991B1 (de) Verfahren und Anordnung zur Behandlung von Unterbrechungsbedingungen während des Arbeitsablaufes in Datenverarbeitungsanlagen mit Mikroprogrammsteuerung
DE3514079A1 (de) Ausfallsicherungskreis fuer ein steuerungssystem
DE4010109C2 (de) Duplexrechnersystem
DE3751374T2 (de) Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren.
EP0104490A2 (de) Verfahren und Vorrichtung zur Synchronisation von Datenverarbeitungsanlagen
EP0207051A2 (de) Mikrorechnersystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee