DE4010109C2 - Duplexrechnersystem - Google Patents
DuplexrechnersystemInfo
- Publication number
- DE4010109C2 DE4010109C2 DE4010109A DE4010109A DE4010109C2 DE 4010109 C2 DE4010109 C2 DE 4010109C2 DE 4010109 A DE4010109 A DE 4010109A DE 4010109 A DE4010109 A DE 4010109A DE 4010109 C2 DE4010109 C2 DE 4010109C2
- Authority
- DE
- Germany
- Prior art keywords
- computer system
- unit
- signal
- control
- duplex
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2025—Failover techniques using centralised failover control functionality
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/17—Interprocessor communication using an input/output type connection, e.g. channel, I/O port
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2236—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Hardware Redundancy (AREA)
Description
Die Erfindung betrifft ein Duplexrechnersystem nach
dem Oberbegriff des Patentanspruchs 1. Ein solches
Duplexrechnersystem hat in Doppel- oder Duplexanordnung
vorgesehene Rechnersysteme, die mit einer gemeinsamen
Kommunikationsleitung (auch Stütz- bzw. Hauptbus
genannt) verbunden sind, und eine Anzahl von mit den
Rechnersystemen zu verbindenden Ein/Ausgabe- bzw.
E/A-Einheiten. Insbesondere betrifft die Erfindung ein
Duplexrechnersystem eines Redundanz-Bereitschaftstyps,
bei dem ein Rechnersystem mit der eigentlichen Aufgabe
oder Arbeit befaßt ist, sich also in einem Steuerstatus
befindet, während das andere Rechnersystem in einem
Bereitschaftsstatus oder -zustand für den Fall von
Störung im ersteren Rechnersystem steht, speziell ein
Duplexrechnersystem, das zwischen den beiden
Rechnersystemen nicht mit unabhängigen Einrichtungen
zur Durchführung der Duplexsteuerung, um eines der
beiden Rechnersysteme in einem Steuerzustand und das
andere Rechnersystem im Bereitschaftszustand zu halten,
versehen ist.
Ein bekanntes Duplexrechnersystem des Duplexredundanztyps
wird als Möglichkeit zur Verbesserung der Zuverlässigkeit
der Steuerung eingesetzt (vgl. z. B.
US-PSen 3 503 048, 3 562 761 und 3 864 670).
Fig. 1 zeigt in einem Blockschaltbild den Aufbau
eines Ausführungsbeispiels für ein bekanntes Duplexrechnersystem
nach der US-PS 3 864 670. Ein hierzu ähnliches
Duplexrechnersystem ist im übrigen aus der US-PS
3 303 474 bekannt.
Dieses bekannte Duplexrechnersystem besteht aus zwei
Rechnersystemen (Prozessoreinheiten) FC1 und FC2, einer
Duplexsteuereinheit DXC zur Überwachung der Arbeitsweise
dieser Rechnersysteme und einer Anzahl von Ein/Ausgabe-
bzw. E/A-Einheiten IO1 bis IOn, die über einen
Bus mit den beiden Rechnersystemen verbunden sind.
Die Duplexsteuereinheit DXC nimmt Bereit-Signale
RDY0 und RDY1 ab, die in erster Linie von den Selbstdiagnoseergebnissen
(wie Speicherzugriffsprüfung zum
Erfassen von Paritätsfehlern oder Nichtansprechen, den
arithmetischen oder Rechenprüfungen oder den E/A-Ansprechprüfungen)
zum Anzeigen des Operations- oder Betriebszustands
von den beiden Rechnersystemen zur Durchführung
der Duplexsteueroperationen erhalten werden, in
denen das eine der Rechnersysteme zunächst im Steuerzustand
und das andere Rechnersystem im Bereitschaftszustand
gehalten wird, so daß das in Bereitschaft befindliche
Rechnersystem an der Bereitschaftsseite auf den
Steuerzustand bzw. -status umgeschaltet wird, falls das
im Steuerzustand befindliche Rechnersystem gestört wird.
Das das Steuerrecht besitzende und im Steuerzustand
befindliche Rechnersystem führt die Daten-Übertragungen
oder Kommunikationen mit einem Rechnersystem höheren
Rangs bzw. einem übergeordneten Rechnersystem aus oder
gibt das Steuerrechenergebnis zu verschiedenen E/A-Einheiten
IOi aus.
Das in Bereitschaft befindliche Rechnersystem führt
nicht die Steuerrechenoperationen oder die Kommunikationen
bzw. Datenübertragungen, aber die Selbstdiagnose
oder die Datenbasisangleichungen aus, so daß er zur
Glättung des Umschaltens des Steuervorrechts in Bereitschaft
bleiben kann.
Das bekannte Duplexrechnersystem mit dem beschriebenen
Aufbau muß mit einer Duplexsteuereinheit DXC zwischen
den beiden Rechnern versehen sein, wodurch sein
Aufbau kompliziert wird. Noch ungünstiger ist dabei ein
Problem, daß dann, wenn eines der Rechnersysteme für
die Durchführung der Steueroperationen benutzt oder ein
Rechnersystem aus dem Duplexrechnersystem herausgenommen
wird, ein Stellschalter zur Anzeige dieses Zustands
betätigt werden muß.
Ein anderes Duplexrechnersystem ohne Duplexsteuerung
zwischen den beiden Rechnersystemen ist in WO 86/00439
beschrieben. Bei diesem Duplexrechnersystem kann aber
nicht erwartet werden, daß Störungen am einen Rechnersystem
keinen Einfluß auf das andere Rechnersystem haben,
oder daß es einfach zu einem Einzelsystem modifiziert
werden könnte, das durch nur ein Rechnersystem
gesteuert wird.
Im Hinblick auf die geschilderten Probleme liegt damit
der Erfindung die Aufgabe zugrunde, ein Duplexrechnersystem
zu schaffen, bei dem eine Duplexsteuerung möglich
ist, ohne eine unabhängige Duplexsteuereinheit zwischen
den beiden Rechnersystemen vorzusehen, und bei
dem eine in einem Rechnersystem auftretende Störung keinen
Einfluß auf die Operationen des anderen Rechnersystems
ausübt. Diese Aufgabe wird bei einem Duplexrechnersystem
nach dem Oberbegriff des Patentanspruchs 1
erfindungsgemäß durch die in dessen kennzeichnendem
Teil enthaltenen Merkmale gelöst. Vorteilhafte Weiterbildungen
der Erfindung ergeben sich aus den Unteransprüchen.
Die Erfindung ermöglicht ein Duplexrechnersystem,
das die Duplexanordnung, auch bei Störungen bezüglich
seiner eigenen Kommunikationsschnittstelle und einem
Stütz- oder Haupt-Bus umzuschalten vermag, ohne einen
Einfluß auf die Übertragungen des Duplexrechnersystems
auszuüben, so daß die Betriebszuverlässigkeit verbessert
ist. Ein Programm kann einfach von einem Rechnersystem
höheren Rangs umgeladen werden.
Im folgenden sind bevorzugte Ausführungsformen der Erfindung
im Vergleich zum Stand der Technik anhand der
Zeichnung näher erläutert. Es zeigt
Fig. 1 ein Blockschaltbild des Aufbaus eines bekannten
Duplexrechnersystems,
Fig. 2 eine auseinandergezogene perspektivische
Darstellung der Anordnung des Gesamtsystems,
auf das sich die Erfindung bezieht,
Fig. 3 ein Blockschaltbild eines in der Steuereinheit
(MFC) nach Fig. 2 vorgesehenen Duplex
rechnersystems gemäß einer Ausführungsform
der Erfindung,
Fig. 4 ein Schaltbild der Verbindungen der einzelnen
Duplexsteuereinheiten in erstem und zweitem
Rechnersystem nach Fig. 2,
Fig. 5 ein Blockschaltbild einer anderen Ausführungsform
der Erfindung,
Fig. 6 ein Blockschaltbild noch einer anderen Aus
führungsform der Erfindung,
Fig. 7 ein Blockschaltbild noch einer anderen Aus
führungsform der Erfindung,
Fig. 8 ein Ablaufdiagramm zur Darstellung der Lade
operationen von den Kommunikationen
beim System nach Fig. 7,
Fig. 9 ein Blockschaltbild einer weiteren Ausfüh
rungsform der Erfindung zur Darstellung der
Beziehungen mit einer Anzahl von mit einer
Kommunikationsleitung ver
bundenen E/A-Einheiten,
Fig. 10 ein Blockschaltbild eines Beispiels für eine
Schaltung zur Realisierung einer Funktion
zum Wiederauslesen von Signalen
auf Signalleitungen einer Verbindungs- oder
Übertragungs-Schnittstelleneinheit bei der
Ausführungsform nach Fig. 9,
Fig. 11 ein Zeitsteuerdiagramm für die Operationen
der Signal-Wiederauslesefunktion an der
Übertragungs-Schnittstelleneinheit,
Fig. 12 eine Darstellung eines Adreßplans für eine
Zentraleinheit (CPU) in jedem Rechnersystem,
Fig. 13 ein Blockschaltbild noch einer weiteren Aus
führungsform der Erfindung und
Fig. 14 ein Blockschaltbild zur Darstellung des
Konzepts der Datenangleichoperationen beim System
nach Fig. 13.
Fig. 1 ist eingangs bereits erläutert worden.
Fig. 2 veranschaulicht das Konzept bzw. den Aufbau
eines Gesamtsystems, auf das die Erfindung angewandt
ist. Ein übergeordneter Rechner MIF höheren Rangs
(Fig. 2) dient als Mensch-Maschinenschnittstelle oder
Operatorstation und weist eine(n) Kathodenstrahlröhren-
Anzeigeeinheit bzw. -Bildschirm und ein Tastenfeld
auf. Mit diesem Rechner MIF höheren Rangs
ist ein Drucker PRT verbunden.
Eine mit dem Rechner MIF über eine Kommunikations- bzw. Übertragungsleitung (Stützbus)
L1 verbundene Steuereinheit MFC besitzt eine Rückkopplungs
funktion und eine Folgesteuerfunktion zum Steuern
bzw. Regeln eines Prozesses sowie eine Funktion zum
Ausführen bzw. Auflösen von arithmetischen Gleichungen
und enthält das Duplexrechnersystem gemäß der Erfindung.
Die Übertragungsleitung L1 ist ausgelegt zum Zir
kulieren oder Umlaufenlassen eines Daten-Übertragungs
rechts (oder Dirigier- bzw. Kontroll-Rahmens bzw.
-Felds) zwischen den einzelnen Steuereinheiten, so daß
die das Übertragungsrecht übernehmende Steuereinheit
unter Benutzung der Übertragungsleitung L1 eine Daten-
Übertragung oder Kommunikation durchführen kann.
Eine mit der Steuereinheit MFC verbundene Signalkondi
tioniereinheit SC besitzt eine Funktion als Schnitt
stelle für eine Vielfalt von im Einsatzfeld und einer
Steuerkonsole angeordneten Sensoren.
Die Steuereinheit MFC ist weiterhin unmittelbar mit
einer Fern-Ein/Ausgabe- bzw. -E/A-Einheit und einer Anzahl
von Sortierern bzw. Programmgebern PLC verbunden.
Fig. 3 zeigt eine Ausführungsform des in der Steuer
einheit MFC nach Fig. 2 vorgesehenen Duplexrechner
systems. Dabei sind in Duplexanordnung angeordnete
erste und zweite Rechnersysteme FC1 und FC2
vorgesehen, die mit der an den Rechner höheren Rangs
oder übergeordneten Rechner angeschlossenen Übertragungsleitung
L1 verbunden sind und jeweils im wesentlichen
den gleichen Innenaufbau aufweisen.
In jedem der ersten und zweiten Rechnersysteme FC1 und
FC2 sind eine Zentral- oder Prozessoreinheit
(CPU) 1 und eine Kommunikationsschnittstelle
2 für die Kommunikationsleitung L1 vorgesehen,
die mit der Zentraleinheit 1 über einen internen Bus
IBS verbunden ist.
Die Kommunikationsleitung L1 wendet die Dirigier-Paßmethode
(baton pass) oder Kontrollpaßmethode (token pass
method) an, bei welcher das Übertragungsrecht für den
Zugriff zu ihr sequentiell von den einzelnen, arbeitenden,
an sie angeschlossenen Rechnersystemen und anderen
Systemen übernommen wird, so daß
das System die Übertragung ausführen kann, wenn es das
Übertragungsrecht bzw. den "Kontrollrahmen" erhält.
In der Zentraleinheit 1 ist eine Bereitsignal-Erzeugungseinheit
14 zum Ausgeben eines Bereit-Signals auf
der Grundlage des Inhalts einer Selbstdiagnose vorgesehen.
Eine Entscheidungseinheit 16 spricht auf ein Signal
von einer Leseeinheit 26 einer noch
zu beschreibenden Übertragungs-Schnittstelle an, um die
Operation der Bereitsignal-Erzeugungseinheit 14 auf der
Grundlage der Größe des empfangenen Signals zu steuern.
Eine Duplexsteuereinheit 15 spricht auf das Bereitsignal
an, um zu steuern bzw. zu bestimmen, ob sie in
einen Betriebszustand (an der Steuer
seite) oder einen Bereitschaftszustand gebracht wird.
Die Übertragungs-Schnittstelle 2 enthält eine Kontroll
detektoreinheit 24 zum Überwachen des Signals auf der
Kommunikationsleitung L1 zur Feststellung, daß der
das Übertragungsrecht der Kommunikationsleitung L1 anzeigende
Kontrollrahmen zu sich selbst umläuft
oder zirkuliert, einen Kontrollempfangszähler 25
zum Inkrementieren des Inhalts des Kontrollrahmens
um 1, wenn dies durch die Kontrolldetektoreinheit
24 detektiert wird, und eine Leseeinheit 26 zum Auslesen
des Inhalts des Kontrollempfangszählers 25 für die Über
tragung von Daten über den internen Bus IBS zur
Entscheidungseinheit 16.
Fig. 4 veranschaulicht in einem Schaltbild die Verbindungs
beziehungen der Duplexsteuereinheit 15 in jedem
der ersten und zweiten Rechnersysteme FC1 und FC2 gemäß
Fig. 2.
Jedes Rechnersystem umfaßt NAND-Glieder G10 und G20 zum
Eingeben von Bereit-Signalen CPURDY von der Bereitsignal-
Erzeugungseinheit 14. Die beiden NAND-Glieder sind
zu einem Flipflopkreis geschaltet, indem ihre Ausgänge
an die Eingangsklemmen oder -anschlüsse von NAND-Gliedern
des jeweils anderen Rechnersystems geschaltet
sind.
Als Ergebnis aktiviert das an der einen Seite angeordnete
Rechnersystem zum früheren Aktivieren des Bereit-
Signals CPURDY ein Steuererlaubnissignal DCS zum Erlangen
des Steuerrechts, so daß es in den Betriebszustand
gelangt, während das Rechnersystem an der anderen Seite
in einen Bereitschaftszustand übergeht, so daß damit
die Duplexschaltoperationen durchgeführt werden.
Die Operationen bzw. Arbeitsweise des Systems mit dem
beschriebenen Aufbau sind nachstehend erläutert. Hierbei
sei angenommen, daß sich das erste Rechnersystem
FC1 im Betriebszustand befindet, während sich das zweite
Rechnersystem FC2 im Bereitschaftszustand befindet.
Wenn im ersten Rechnersystem FC1 ein Bedarf für Daten-
Übertragung auftritt, kann dieses System die Übertragungsoperation
ausführen, wenn der Kontrollrahmen vor
liegt, d. h. wenn der Kontrolldetektoreinheit 24 den Kontroll
rahmen empfängt. Wenn die Übertragungsoperation (d. h.
die Übermittlung) beendet ist, wird der Kontrollrahmen
zu einem nächsten Übertragungssystem übermittelt.
Falls das Übertragungssystem einen an sich selbst
adressierten Kontrollrahmen empfängt, während keine
Datenübertragung angefordert ist, wird der Kontroll
rahmen augenblicklich zum nächsten Rechnersystem über
tragen.
Hierbei überwacht das Rechnersystem, das den Kontroll
rahmen übermittelt hat, das Signal auf der Übertragungs
leitung zwecks Detektierung eines Fehlers dergestalt,
daß die Kommunikationsschnittstelle 2 des nächsten
Rechnersystems gestört ist, so daß es unmöglich
ist, den übertragenen bzw. übermittelten Kontrollrahmen
zu übertragen oder den Übertragungsrahmen entsprechend
der Übertragungsanforderung oder aber dem Kontroll
rahmen zum nächsten Rechnersystem übermitteln.
Falls ein solcher Fehler festgestellt wird, korrigiert
das Rechnersystem die Bestimmung des Kontrollrahmens
nach Maßgabe vorbestimmter Regeln und übermittelt den
Kontrollrahmen mit der korrigierten Bestimmung zu dem
Rechnersystem, das ihn empfangen oder abnehmen kann.
Falls somit eines der verschiedenen, mit der Übertragungs
leitung L1 verbundenen Rechnersysteme oder eines
der anderen Systeme gestört ist, wird es aus der Umlauf
routine des Kontrollrahmens herausgenommen, so daß
letzterer zwischen dem Rechner oder anderen Systemen in
normalen Operationen umlaufen kann.
In einem normalen Rechnersystem detektiert die Kontrolldetektoreinheit
24 den Kontrollrahmen zu jedem Umlauf
zeitpunkt zwecks Aktualisierung des Inhalts des
Kontrollempfangszählers 25.
Die Leseeinheit 26 liest den Inhalt des Kontrollempfangszählers
25 aus, um ihn über den internen Bus IBS
zur Entscheidungseinheit 16 zu übermitteln.
Die Entscheidungseinheit 16 überwacht den übertragenen
Inhalt des Kontrollempfangszählers 25 und entscheidet,
daß sich die Kommunikationsschnittstelle 2 im
Normalbetrieb befindet, wenn dieser Inhalt in jedem vor
bestimmten Zeitintervall aktualisiert wird, das für
einen einmaligen Umlauf des Kontrollrahmens erforderlich
ist. Wenn dagegen der Inhalt des Kontrollempfangszählers
25 während einer Zeitspanne, die länger
ist als das vorbestimmte Intervall, nicht aktualisiert
wird, entscheidet die Entscheidungseinheit 16, daß der
Kontrollrahmen aufgrund einer Störung in der Kommunikations
schnittstelle 2 nicht empfangen oder
übertragen werden kann.
Wenn die Entscheidungseinheit 16 entscheidet, daß die
Kommunikationsschnittstelle 2 gestört ist, liefert
sie das Bereitsignal zum Inaktivieren des Bereitsignals
CPURDY zur Duplexsteuereinheit 15.
Wenn das Bereitsignal CPURDY durch die Duplexsteuer
einheit 15 inaktiviert ist, wird das
Ausgangssignal des NAND-Glieds G10 invertiert, um den
aus den NAND-Gliedern G10 und G20 bestehenden Flip
flopkreis zu invertieren. Als Ergebnis wird das Steuer
erlaubnissignal DCS zum zweiten Rechnersystem FC2
aktiviert, um eine Umschaltung so durchzuführen, daß sich
diese betreffende Seite im Betriebszustand zur Wiederaufnahme
der Übertragungsfunktion befindet.
Außerdem wird das im Bereitschaftszustand befindliche
zweite Rechnersystem FC2 veranlaßt, die vorgenannten
Operationen der Entscheidungseinheit 16 durchzuführen.
Durch die Diagnose der Kommunikationsschnittstelle
2 an der Bereitschaftsseite wird der Diagnoserahmen
über die Übertragungsleitung L1 übertragen und wieder
empfangen, unter der Voraussetzung, daß die Operationen
der Kommunikationsschnittstelle des im
Betriebszustand befindlichen Rechnersystems normal
sind.
Fig. 5 veranschaulicht eine andere Ausführungsform der
Erfindung, bei welcher die Kommunikationsschnittstelle
2 jedes Rechnersystems mit der Übertragungs
leitung L1 über die Kopplereinheit 3 verbunden ist, die
mit einem Sperrschalter 4 zur Unterbrechung der
Übertragungs- und Empfangsfunktionen für Wartungszwecke
versehen ist.
Weiterhin werden Status- oder Zustandssignale zur Anzeige
der Verbindungszustände des Sperrschalters 4 zu
den einzelnen Entscheidungseinheiten 16 von erstem und
zweitem Rechnersystem FC1 bzw. FC2 zugespeist.
Die Kopplereinheit 3 moduliert oder demoduliert die
übermittelten oder empfangenen Signale. Andererseits
wird der Sperrschalter 4 für Sperrzustand für z. B.
Wartungszwecke geschlossen, um die Übertragungs- und
Empfangsvorgänge zu sperren. In diesem Zustand wird das
betreffende Rechnersystem, z. B. bei Störung, aus dem
Betrieb in der Umlaufroutine des Kontrollrahmens
herausgenommen.
Bei dieser Ausführungsform entscheidet die Entscheidungs
einheit 16, ob der Inhalt des Kontrollempfangs
zählers 25 in einem vorbestimmten Zeitintervall aktua
lisiert wird oder nicht, falls das Status- oder Zustands
signal vom Sperrschalter 4 den Sperrzustand nicht
anzeigt, und sie entscheidet, daß die Operationen der
Kontrolldetektoreinheit 24 normal sind, auch wenn der Inhalt
des Kontrollempfangszählers 25 nicht im vorbestimmten Zeitintervall
aktualisiert worden ist, falls das Statussignal
vom Sperrschalter 4 den Sperrzustand anzeigt.
Bei dieser Ausführungsform können etwaige Störungen der
Kommunikationsschnittstelle auch dann genau detektiert
bzw. erfaßt werden, wenn der Sperrschalter 4 zum Unter
brechen der Übertragungs- und Empfangsfunktionen für
Wartungszwecke oder dergleichen vorgesehen ist.
Nebenbei bemerkt, ist der Kontrollrahmen für Umlauf
auf der Kommunikationsleitung L1 bei den vorstehend
beschriebenen Ausführungsformen nur von einer einzigen
Art. Unabhängig davon ist jedoch die Erfindung auch auf
ein System anwendbar, bei dem ein Diagnose-Kontrollposten
für Diagnose zum automatischen Herausnehmen des gestörten
Systems zusätzlich zum normalen Kontrollposten bereit
gestellt wird, welcher das Übertragungsrecht angibt, so
daß er für eine konstante Zeitspanne zirkuliert bzw. im
Umlauf gehalten werden kann. Bei diesem System kann
insbesondere der Inhalt des Kontrollempfangszählers im Fall des
Diagnose-Kontrollpostens so belassen werden, wie er ist,
und er braucht nur im Fall der Erfassung des normalen
Kontrollpostens aktualisiert zu werden.
Bei der beschriebenen Ausführungsform können Störungen
der Kommunikationsschnittstellen ohne ungünstigen
Einfluß auf die Daten-Übertragungen erfaßt werden,
so daß ein augenblickliches Umschalten auf die redundante
Duplexeinheit möglich ist.
Da weiterhin der Sperrschalter zum Sperren der Übertragungs-
und Empfangsfunktionen für Wartungszwecke
vorgesehen ist, können Störungen der Kommunikations
schnittstelle ohne ungünstigen Einfluß auf den
Zustand dieses Schalters erfaßt werden.
Fig. 6 zeigt in einem Blockschaltbild noch eine andere
Ausführungsform des erfindungsgemäßen Duplexrechnersystems.
Bei dieser Ausführungsform richten sich die
Überlegungen auf den Einzelsystemaufbau, der aus nur
einem einzigen Rechnersystem gebildet werden kann.
Erstes und zweites Rechnersystem FC1 und FC2 umfassen
eine Zentraleinheit (CPU) 10 zum Ausgeben eines Signals
(CPURDY0) für die Anzeige des Status oder Zustands, in
welchem die Rechenoperationen, Steuervorgänge und Ent
scheidungen normalerweise ausgeführt werden können,
eine Kommunikationsschnittstelle 2 zum Ausgeben
eines Signals (COMRDY) für die Angabe oder Anzeige des
Zustands, in welchem normalerweise eine Kommunikation
mit einem übergeordneten Rechner
über die Kommunikationsleitung L1 durchführbar ist, sowie
einen Zeitgeber TM zum Ausgeben eines Zeitablaufsignals
(T1) nach Ablauf einer konstanten Zeitspanne
(z. B. 5 s) nach der Aktivierung des Systems.
Logikschaltungen 150, jeweils für Duplexsteuerungen,
dienen zum Ausgeben eines Signals (DCS) zum Übertragen
des Steuerrechts auf eines der Rechnersysteme. Jede
dieser Logikschaltungen besteht aus fünf Torgliedern.
Insbesondere besteht die Logikschaltung aus einem Torglied
G11 (oder G21), dessen eine Eingangsklemme von
der Kommunikationsschnittstelle 2 her mit dem
Signal (COMRDY) gespeist wird, das anzeigt, daß seine
Operationen normal ausführbar sind, und an
dessen andere Eingangsklemme vom Zeitgeber TM das Zeit
ablaufsignal (T1) angelegt wird, ein Torglied T12 (bzw.
T22) zur Abnahme des Signals vom Torglied T11 (bzw.
T21) und eines von einem Inverter IN11 (bzw. IN22)
gelieferten Signals zur Anzeige, daß das Steuerrecht der
betreffenden Seite zugewiesen ist, ein Torglied G13
(bzw. G23) zur Abnahme des Signals vom Torglied G12
(bzw. G22) und eines Signals (CPURDY1) von der Zentral
einheit des Rechnersystems an der Gegenseite über einen
Inverter IN22 (bzw. IN12) und einen Inverter IN13 (bzw.
IN23) zur Anzeige, daß die Operationen normal ausgeführt
werden können, und ein Torglied G14 (bzw. G24),
das mit einem Signal G13 (bzw. G23) und von der Zentral
einheit 10 mit einem Signal (CPURDY0) zur Anzeige,
daß die Operationen normal ausgeführt werden können, gespeist
wird, sowie ein Torglied G10 (oder G20), das ein
Signal vom Torglied G14 (bzw. G24) und ein Signal
(DCS1) zur Anzeige, daß das Steuerrecht der Gegenseite
zugewiesen ist, abnimmt.
Hierbei sind die Ausgänge DCS1 der Torglieder G10 und
G20 in den beiden Rechnersystemen FC1 bzw. FC2 jeweils
an den Eingang der anderen Torglieder angelegt, so daß
sie einen Flipflopkreis bilden.
Wenn die beiden Rechnersysteme bereit sind, erfolgt
daher eine erste Ankunft bevorzugt an der betreffenden
Seite, falls dieser das Steuerrecht zum Anstiegszeit
punkt übertragen ist. Diese erste Ankunft des Signals
COMRDY wird auch auf Kosten des
Steuerrechts bevorzugt, wenn die beiden Seiten nicht
bereit sind. Den beiden Rechnersystemen wird somit das
Steuerrecht nicht gleichzeitig zugewiesen.
Die Logikschaltung 150 ist so ausgelegt, daß die
Bedingungen für die Erlangung und das Fallenlassen des
Steuerrechts durch die einzelnen Signale nach den folgenden
Formeln (1) bzw. (2) ausgedrückt sind, wenn ihr
das Steuerrecht zugewiesen oder nicht zugewiesen ist.
Hierzu gibt der Zusatz "0" zu den Signalen an, daß die
Signale vom steuerseitigen Rechnersystem ausgegeben
werden, während der Zusatz "1" angibt, daß die Signale
vom Rechnersystem an der gesteuerten Seite ausgegeben
werden.
Umschaltzustand (für Erhöhungen von DCS0) von Nicht-
Steuerrecht → Steuerrecht:
und
Umschaltzustand (für Verringerung von DSC0) von Steuer
recht → Nicht-Steuerrecht:
Die Operationen des erläuterten Systems sind nachstehend
im Zusammenhang mit den getrennten Operationen der
Erhöhung und Verringerung des Signals DCS0 beschrieben,
welches das Vorhandensein oder die Zuweisung des
Steuerrechts angibt:
< Operationen zum Erhöhen von DCS0: DCS0 = 0 → 1 <
Die Logikfunktionen zum Erhöhen von DCS sind durch
Formel (1) ausgedrückt.
In dieser Formel (1) steht der erste Ausdruck für den
Normalzustand, in welchem DCS0 erhöht wird, falls das
gesteuerte Rechnersystem FC das Steuerrecht nicht erlangt
hat (DCS1 = 0) und falls das steuernde Rechner
system seine Zentraleinheit in den Bereitzustand
(CPURDY0 = 1) versetzt hat.
Der zweite Ausdruck gibt an, daß eine oder jede der
Zentraleinheiten 10 der beiden Rechnersysteme das Steuer
recht erlangt hat, auch wenn beide Systeme nicht bereit
sind, um die Kommunikationsschnittstelle 2
für Daten-Übertragung bzw. Kommunikation zu befähigen,
und er diktiert die die Erfindung kennzeichnenden
Operationen.
Falls sich der Inhalt des Speichers bei Stromzufuhr
verflüchtigt hat, wird der Bereitzustand nicht herbei
geführt, sofern nicht der Speicher mit dem Programm
durch die Kommunikationen vom überge
ordneten Rechner geladen wird. Infolgedessen sind für
eine konstante Zeitspanne nach der Stromzufuhr die Zentral
einheiten (CPU) 10 der beiden Rechnersysteme nicht
bereit, so daß weder eines der Rechnersysteme das Steuer
recht mit bzw. nach der Bedingung gemäß dem ersten
Ausdruck von der Formel (1) erlangen, noch die Kommunikations
schnittstelle das Programm übertragen und
laden kann.
Wenn die konstante Zeitspanne nach der Stromzufuhr ver
strichen ist, zählt der Zeitgeber TM hoch, um das Signal
T1 auf die Größe bzw. den Wert "1" zu erhöhen. In
folgedessen kann dann, wenn die Kommunikationsschnitt
stelle 2 bereit ist, das Steuerrecht nach dem
zweiten Ausdruck von Formel (1) erlangt werden, unter
der Voraussetzung, daß die Gegenseite das Steuerrecht
nicht besitzt, sondern ihre Zentraleinheit nicht bereit
ist.
Wenn sie das Steuerrecht erlangt, wird die Kommunikations
schnittstelle des Rechnersystems für die
Kommunikation befähigt, um das von den
Verbindungen mit dem übergeordneten Rechner kommende
Programm zu laden.
Die Zentraleinheit 10, in die somit das Programm geladen
wird, gelangt damit in den Bereitzustand (CPURDY0 =
1) für normale Operationen.
< Operationen zum Verringern von DCS0: DCS0 = 1 → 0 <
Die Logikfunktionen zum Verringern oder Herabsetzen des
Signals DCS0, welches das Vorliegen des Steuerrechts
angibt, sind durch Formel (2) ausgedrückt.
Formel (2) realisiert das Fallenlassen
des Steuerrechts nur in dem Fall, daß die Zentraleinheit
des das Steuerrecht besitzenden Rechnersystems
nicht bereit ist, und in dem Fall, in welchem die Zentral
einheit des gesteuerten Gegen-Rechnersystems bereit
ist.
Falls jedoch das Gegen- oder Partner-Rechnersystem das
Steuerrecht aus irgendeinem Grund in dem Zustand erlangt
hat, in welchem das steuernde Rechnersystem das
Steuerrecht erlangt hat, wird - obgleich nicht üblich -
das Steuerrecht gemäß dem ersten Ausdruck der Formel
(2) aufgegeben bzw. fallengelassen. Aufgrund dieser Logik
funktionen wird das Steuerrecht den beiden Rechner
systemen nicht gleichzeitig erteilt.
Im folgenden ist weiterhin der Grund dafür beschrieben,
weshalb der Status oder Zustand der Kommunikations
schnittstelle 2 in den Logikfunktionen zum Ver
ringern von DCS0 nicht konditioniert ist.
Insbesondere kann in Abhängigkeit vom Betriebszustand,
wie Initialisierung beim Wirksamwerden
der Zentraleinheit eine Initialisierungsanweisung aus
gegeben werden, um die Kommunikationsschnittstelle
in den Nichtbereitzustand zu bringen, wenn das Signal
CPURDY0 nicht erhöht ist. In diesem Zustand wird
das Steuerrecht nicht übertragen.
Nach dem Start der normalen Operationen wird außerdem
die Zentraleinheit durch die Diagnose (einschließlich
der Überwachung des Status oder Zustands von COMRDY)
der Kommunikationsschnittstelle durch die Zentral
einheit befähigt, die Störung der Kommunikations
schnittstelle zu erfassen, um damit das Signal
CPURDY0 auf "0" (d. h. den Nichtbereitzustand) zu
verringern.
Falls das im Steuerzustand befindliche Rechnersystem in
seinem Arbeitsverlauf einer Störung
unterliegt, wird infolge der beschriebenen Operationen
der aus den beiden Torgliedern G10 und G20 bestehende
Flipflopkreis invertiert, um die Operationen auf das
Rechnersystem umzuschalten, das sich bis zu diesem Zeit
punkt im Bereitschaftszustand befunden hat. Wenn unter
diesen Bedingungen das Rechnersystem an der Seite, an
welcher die Störung aufgetreten ist, z. B. für Instand
setzungszwecke herausgenommen oder ausgebaut wird,
bleibt der Zustand des Signals CPURDY1 von der Seite
des gestörten Gegenstücks her unverändert, so daß der
Flipflopkreis nicht invertiert und damit kein Einfluß
auf den Betrieb oder den Ablauf des Systems ausgeübt
wird.
Bei dieser Ausführungsform wird eines der beiden Rechner
systeme, auch wenn sie sich im Nichtbereitzustand
befinden, zur Erlangung des Steuerrechts befähigt, und
zwar durch Hinzufügung der einfachen Logikschaltung und
durch Umschalten des Steuerrechts unter Berücksichtigung
des von der Gegen-Zentraleinheit kommenden Zustands
signals CPURDY, so daß die Vorgänge des Ladens
des Programms und der Datenbasis ohne Notwendigkeit für
eine spezielle Operation ausgeführt werden können.
Fig. 7 veranschaulicht eine weitere Ausführungsform der
Erfindung. Bei diesem Duplexrechnersystem müssen die
Operationen der Zentraleinheit einmal unterbrochen werden,
wenn in die Zentraleinheit das Programm vom über
geordneten Rechner z. B. über die Kommunikationsschnitt
stelle geladen wird. Dies ist deshalb der Fall,
weil die Zentraleinheit "weglaufen" kann, falls das
Programm während ihres Betriebs umgeschrieben wird.
Diese Ausführungsform ist so ausgelegt, daß das Laden
des Programms am Duplex-Rechnersystem durch die Kommunikationen
bzw. Übertragungsverbindungen ohne ungünstige
Beeinflussung des Umschaltens des Steuerrechts
durchgeführt werden kann.
Gemäß Fig. 7 geben die Zentraleinheiten 10 von erstem
und zweitem Rechnersystem FC1 bzw. FC2 das Signal
CPURDY0 aus, das anzeigt, daß nicht nur die vorbestimmten
Rechenoperationen, Steuerungen und Entscheidungen,
sondern auch die Operationen nach Selbstdiagnose normal
durchgeführt werden können. Die Kommunikations
schnittstelle (im folgenden einfach auch als
Schnittstelle bezeichnet) 2 umfaßt eine Stopsignalaus
gabeeinheit C1, die auf einen "Stop"-Befehl vom überge
ordneten Rechner her ein Signal STOP0 zur Gegen-Zentral
einheit für die Beendigung von deren Operationen und
ein Stopsignal CSTOP zur Zentraleinheit dieser Seite
nach dem Anhalten oder Abschalten der Gegen-Zentraleinheit
liefert, und eine Wiederstartsignal-Ausgabeeinheit
C2, die auf einen "Wiederstart"-Befehl vom übergeordneten
Rechner, wenn sich das Gesamtsystem im Stopzustand
befindet, ein Signal CRESTART zum früheren Wiederstarten
ihrer Zentraleinheit liefert.
Die Duplexsteuereinheit 15 weist einen ähnlichen Aufbau wie
den nach Fig. 6 auf.
Für diese Ausführungsform sind im folgenden die Operationen
für den Fall beschrieben, daß das über die Verbindungen
vom übergeordneten Rechner kommende oder gelieferte
Programm geladen werden soll.
Zunächst sei angenommen, daß das erste Rechnersystem
FC1 das Steuerrecht besitzt und die Steueroperationen
ausführt. In diesem Zustand wird der "Stop"-Befehl vor
dem Laden des Programms vom übergeordneten Rechner
übermittelt.
Die Stopsignal-Ausgabeeinheit C1 in der Schnittstelle 2
an der Seite des Rechnersystems FC1 gibt das Stopsignal
STOP0, wenn sie den "Stop"-Befehl empfängt, zur Zentral
einheit 10 des Rechnersystems F2 an der Partner-
oder Gegenseite aus. In Abhängigkeit von diesem Stopsignal
beendet die Zentraleinheit 10 im Rechnersystem
an der Bereitschaftsseite augenblicklich ihre
Operationen.
Nachdem die Zentraleinheit 10 ihre Operationen einge
stellt hat, liefert die Stopsignal-Ausgabeeinheit C1
sodann das Stopsignal CSTOP zur Zentraleinheit 10 an
ihrer Seite. In Abhängigkeit von diesem Stopsignal beendet
die Zentraleinheit 10 augenblicklich ihre
Operationen.
Unter diesen Bedingungen befinden sich die einzelnen
Zentraleinheiten in den beiden Rechner
systemen in ihren Stopzuständen, so daß die beiden
davon ausgegebenen Signale CPURDY0 und CPURDY1 ver
ringert werden. Infolgedessen sind die
Umschaltbedingungen für das Steuerrecht gemäß den vor
her angegebenen Formeln (1) und (2) nicht erfüllt, so
daß das Steuerrecht nicht umgeschaltet bzw. übertragen
wird.
Wenn die Rechner in die Stopzustände gelangen, kann das
Laden des Programms mittels der Übertragungsverbindungen
durchgeführt werden, um das Programm vom übergeordneten
Rechner über diese Verbindungen in die Rechnersysteme
zu laden.
Wenn das Laden des Programms über die Übertragungsver
bindungen beendet ist, wird der "Wiederstart"-Befehl
vom übergeordneten Rechner über die Kommunikationsleitung
L1 übermittelt. Wenn die Schnittstelle 2 den "Wieder
start"-Befehl empfängt, liefert die Wiederstart-Signal
ausgabeeinheit C2 zur Zentraleinheit 10 das Signal
CRESTART zum früheren Wiederstarten der Zentraleinheit
an ihrer Seite, welche das Steuerrecht besitzt.
In Abhängigkeit von diesem Wiederstartsignal RESTART
gibt die Zentraleinheit 10 das Signal CPURDY0 aus, und
sie leitet die Steuerrechenoperationen ein. Nachdem
Steueroperationen eingegeben worden sind, liefert die
Zentraleinheit 10 das Wiederstartsignal RESTART0 zur
Zentraleinheit 10 des Rechnersystems an der Gegenseite,
um diese Zentraleinheit 10 wieder in Betrieb zu
setzen. Wenn diese Zentraleinheit 10 wieder in Betrieb
gesetzt ist, geht diese Seite augenblicklich auf die
Bereitschaftsoperation über, weil sich das Signal
CPURDY0 bereits im Setzzustand befindet.
Fig. 8 ist ein Ablaufdiagramm für die Ladeoperationen
von den beschriebenen Kommunikationen bzw. Übertragungs
verbindungen, wobei diese Figur die Zustände der
einzelnen Rechnersysteme FC1 und FC2 in den einzelnen
Schritten verdeutlicht.
Mittels dieser Vorgänge kann das Laden des Programms
mittels der bzw. über die Verbindungen
ohne Umschalten des Steuerrechts zu den Stop- und Wieder
startzeitpunkten der einzelnen Rechnersysteme stattfinden.
Der Aufbau der Duplexsteuereinheit 15 für die Durchführung
dieser Operationen ist - nebenbei bemerkt - nicht
auf die Anordnung gemäß Fig. 7 beschränkt, vielmehr
kann z. B. der Zeitgeber TM weggelassen werden.
Fig. 9 veranschaulicht in einem Blockschaltbild das
Konzept der Auslegung der Beziehungen zu den Ein/Ausgabe-
bzw. E/A-Einheiten, die mit der Kommunikationsleitung
L1 (d. h. dem Haupt- oder Stütz-Bus) verbunden sind.
Bei dieser Ausführungsform ist die Anordnung so getroffen,
daß dieser Bus L1 derart gemeinsam belegt werden
kann, daß das Duplex-Umschalten auch im Fall von
Störungen an diesem Bus L1 durchführbar ist.
Die Duplexstruktur aufweisenden Rechnersysteme FC1 und
FC2 gemäß Fig. 9 sind mit der Kommunikationsleitung (d. h.
Bus) L1 verbunden, wobei mehrere E/A-Einheiten IO1 und
IOn mit diesem Bus L1 verbunden sind.
Jedes dieser Duplex-Rechnersysteme FC1 und FC2 enthält
einen Speicher MU, der über einen internen Bus IBS mit
der Zentraleinheit 10 und der Kommunikationsschnitt
stelle 2 verbunden ist.
Wenn die Zentraleinheit 10 einen Zugriff zum Bus L1
herstellt, wirkt die Schnittstelle 2 zum erneuten Aus
lesen der zum Bus L1 ausgegebenen Signale (oder Daten)
auf den einzelnen Signalleitungen, um diese Signale
(bzw. Daten) zu vergleichen und damit zu prüfen, ob sie
das Signal zum Bus L1 einwandfrei ausgeben kann oder
nicht. Wenn das Wiederausleseergebnis eine Nichtkoinzidenz
oder Nichtübereinstimmung zeigt, unterbricht
die Schnittstelle 2 ihren Zugriff und informiert die
Zentraleinheit 10 davon, daß während des Wiederauslesens
ein Fehler aufgetreten ist.
Fig. 10 zeigt ein Beispiel für eine Schaltung zum Realisieren
der Funktion für das Wiederauslesen des Signals
auf der Signalleitung in der Schnittstelle 2.
Die Anordnung gemäß Fig. 10 enthält einen Empfänger 211
zum Auslesen der Signale auf den einzelnen Daten
leitungen auf den Bus L1 und einen Treiber 212 zum
Übertragen bzw. Übermitteln der Ausgangsdaten von der
Zentraleinheit 10 zum Bus L1. Ein Komparator 213 dient
zum Vergleichen der zum Bus L1 ausgegebenen Daten und
der von den einzelnen Signalleitungen des Busses L1
wiederausgelesenen Daten, während ein Taktsteuerkreis
214 zur Ausgabe der Wiederauslesefehler auf der Grund
lage des Vergleichsergebnisses des Komparators 213
dient.
Es sei nun angenommen, daß die beiden in Duplexanordnung
vorliegenden Rechnersysteme FC1 und FC2 Normal
operationen ausführen (d. h. die beiden Bereitsignale RDY
von den einzelnen Zentraleinheiten 10 aktiv sind bzw.
anliegen), und daß das Rechnersystem FC1 die Steuer
operation ausführt, während sich das Rechnersystem FC2 im
Bereitschaftszustand befindet.
Die Ursachen für Fehler in den Wiederausleseprüfungen der Kommunikationsleitung bzw.
des Busses L1 lassen sich wie folgt klassifizieren:
- a) interne Störung der Übertragungs-Schnittstellen einheit im System an der betreffenden eigenen Seite;
- b) Störungen des Bustreibers und Empfängers der Systeme an dieser Seite und an der Gegenseite sowie der E/A-Einheiten IO1 bis IOn und
- c) Störungen am Haupt-Bus L1.
Hierbei treten die Störungen gemäß (b) und (c) in beiden
Systemen gemeinsam auf, weil die einzelnen Rechnersysteme
an den gemeinsamen Bus L1 angeschlossen sind.
Wie im folgenden beschrieben werden wird, funktioniert
die vorliegende Ausführungsform wirksam im Fall von
Störungen der oben unter a) angegebenen Art.
Im folgenden seien Störungen betrachtet, bei denen die
Schnittstelle 2 des Rechnersystems FC1 zum Bus L1
gestört ist, so daß die richtigen Signale nicht zum Bus
L1 übertragen werden können.
Wenn in diesem Fall das Rechnersystem FC1 einen Zugriff
zur E/A-Einheit herstellt, werden die Fehler erfaßt
oder erkannt, um den Zugriff zur Wiederauslesefunktion
der Schnittstelle 2 zu unterbrechen. Außerdem wird dabei
die Zentraleinheit 10 von dem Auftreten der Wieder
ausleseprüffehler informiert.
Fig. 11 veranschaulicht in einem Zeitsteuerdiagramm die
Operationen der erwähnten Wiederauslesefunktion an der
Schnittstelle
2.
Das Rechnersystem FC1 überträgt die
Ausgabedaten zur E/A-Einheit (vgl. Fig. 11a). Diese
Ausgabedaten werden in Form eines Ausgabe-Freigabesignals
OE (vgl. Fig. 11b) über den Treiber 212 zum Bus
L1 (vgl. Fig. 11c) ausgegeben.
Die so zum Bus L1 ausgegebenen Ausgabedaten werden über
den Empfänger 211 wieder ausgelesen (vgl. Fig. 11d),
um im Komparator 213 mit den Ausgabedaten verglichen
zu werden.
Gemäß Fig. 11e gibt dieses Vergleichsergebnis, wenn
Koinzidenz vorliegt, an, daß das GLEICH- oder EQUAL-
Ausgangssignal aktiv wird und damit keinen Fehler anzeigt;
im Fall einer Nichtkoinzidenz wird das EQUAL-
Ausgangssignal inaktiv, um damit das Auftreten eines
Wiederauslesefehlers anzuzeigen.
Gemäß Fig. 10 besteht der Taktsteuerkreis 214 aus einem
Flipflop zum Ausgeben des Wiederauslesefehlersignals
(vgl. Fig. 11g) zur Zentraleinheit 10 mit dem Wieder
auslesezeittakt (vgl. Fig. 11f).
In Abhängigkeit von dem von der Schnittstelle 2 gelieferten
Wiederauslesefehlersignal macht die Zentral
einheit 10 das Ergebnis ihrer Diagnose nicht "bereit",
und sie unterbricht die Zugriffs- und Steueroperationen
zur Verhinderung der Übertragung fehlerhafter Daten zur
E/A-Einheit.
Wenn das Bereit-Signal CPURDY von der Zentraleinheit 10
inaktiv wird bzw. abfällt, stellt die Duplexsteuereinheit
15 eine Entscheidung an Hand der Zustände der
einzelnen Rechnersysteme FC1 und FC2 an, um das Duplex
steuersignal DCS zur Übertragung des Steuerrechts auf
das Rechnersystem FC2 auszugeben. Als Ergebnis leitet
das bisher im Bereitschaftszustand befindliche Rechner
system FC2 seine Steueroperationen für die Fortführung
der Funktion des gesamten Systems ein.
Für die vorher unter a) angegebenen Störungen werden
somit die ausgegebenen Daten zur Erfassung des Fehlers
wieder ausgelesen. Wenn dieser Fehler erfaßt
wird, wird der Zugriff unterbrochen, und zwar
durch Entscheidung, daß die Störungen die Schnitt
stelleneinheit am System dieser betreffenden Seite
betreffen, wobei die Zentraleinheit das Bereitsignal
CPURDY zum Umschalten des Duplexsystems verringert.
Die Zentraleinheit 10 erfaßt die Fehler (wie solche
aufgrund von Störungen im Inneren der Rechnersysteme,
z. B. Paritätsfehler der ausgelesenen oder Auslesedaten,
kein Ansprechen auf den Zugriff oder Unfähigkeit zur
Übernahme des Bus- bzw. Steuerrechts), welche von den
vorher genannten Wiederauslesefehlern in Verbindung mit
dem Zugriff zum Bus L1 verschieden sind, und sie ver
ringert oder verkleinert das Auslesesignal CPURDY zum
Umschalten des Duplexsystems.
Im Fall von Störungen der oben angegebenen Klassen b)
und c) stellt die Zentraleinheit ebenfalls derartige
Fehler fest, und sie verringert oder senkt das Auslese
signal CPURDY zum Umschalten des Duplexsystems. Da in
diesem Fall die Störungen der Klassen b) und c) un
weigerlich beide Systeme betreffen, stellt das Rechner
system, welches die Steueroperationen neu aufgenommen
hat, einen Zugriff zum Bus L1 her, um die Wiederaus
lesefehler herbeizuführen bzw. zu erfassen, so daß die
betreffende Zentraleinheit das Bereitsignal verkleinert.
Infolgedessen werden die Funktionen des Gesamtsystems
unterbrochen.
Wenn die Kommunikationsschnittstelle 2 gemäß
Fig. 9 so ausgelegt ist, daß sie das das Vorhandensein
oder Fehlen des Steuerrechts von der Duplexsteuereinheit
15 angebende Signal (gestrichelte Linien)
empfängt und ihr die folgenden Funktionen gegeben sind,
kann verhindert werden, daß Störungen in einem Rechner
system einen Einfluß auf das andere Rechnersystem
haben.
Hierbei handelt es sich um folgende Funktionen: Eine
Funktion zum Sperren der Zugriffe zu den E/A-Einheiten
IO1 bis IOn, falls das Steuerrecht nicht dem Rechner
system an dieser betreffenden Seite der Schnittstelle
2 zugewiesen ist; und die Funktion zum Markieren
der Daten in dem vom Adreßbereich der Speichereinheit
MU verschiedenen Bereich, von der Zentraleinheit
an dieser Seite abgenommen, für den Zugriff vom Bus L1
und zum Sperren des Einschreibzugriffes.
Fig. 12 veranschaulicht einen Adreßplan für die Zentral
einheit 10 in jedem Rechnersystem FC1 und FC2. Jedes
Rechnersystem FC1 oder FC2 enthält seinen internen
Speicher an Adressen $ 000 000 bis $ 1 FF FFF. Bereiche
$ 200 000 bis $ 9 FF FFF sind dem Haupt-Bus L1 zugewiesen.
Hiervon sind die internen Speicher des Rechnersystems
an der Partner- oder Gegenseite den Bereichen $ 200 000
bis $ 3 FF FFF zugewiesen, während E/A-Bereiche für die
gesteuerten Eingaben/Ausgaben $ 800 000 bis $ BFF FFF
zugewiesen sind.
Die Kommunikationsschnittstelle 2 besitzt die
folgenden Funktionen:
- a) Sequentiellfunktion zur Übernahme des Bus-Masterrechts,
- b) Bus-Masterfunktion und
- c) Bus-Slavefunktion.
Hierbei befähigt die Bus-Masterfunktion den E/A-Bereich
des Adreßplans gemäß Fig. 12 für einen Zugriff
nur durch das das Steuerrecht ausübende Rechnersystem.
Dies ist deshalb der Fall, weil das Rechnersystem, das
aufgrund einer Störung das Steuerrecht verloren hat,
die fehlerhaften Daten nicht zu E/A-Einheiten ausgeben
soll, welche die direkte Steuerausgabe bzw. das
Steuerausgangssignal überträgt.
Andererseits ermöglicht die Bus-Slavefunktion den Zugriff
vom Bus L1 für das Einschreiben. Dies dient zum
Schutze der Operationen der Zentraleinheit vor einem
Zugriff von außen her mittels Hardware.
Außerdem spricht die Bus-Slavefunktion auf die Adressen
$ 200 000 bis $ 3 FF FFF des Busses L1 an, und die Zugriffe
zum internen Speicher werden für die bzw. an den
Adressen ($ 0 bis $ 1 FF FFF) durchgeführt, die durch
Subtrahieren von $ 200 000 gebildet sind, um
den Adreßplan gemäß Fig. 12 zu realisieren.
Zunächst sei angenommen, daß sich das Rechnersystem FC1
im Steuerzustand oder -status befindet (mit tatsächlicher
Arbeit befaßt ist), während sich das Rechnersystem
FC2 im Bereitzustand befindet. In diesem Zustand
führt das Rechnersystem FC1 an der gesteuerten
Seite die Steueroperationen gemäß dem im internen
Speicher der Speichereinheit MU abgespeicherten
Programm durch.
In diesen Operationen werden die Eingabedaten aus den
E/A-Einheiten IO1 bis IOn über den Bus L ausgelesen und
den erforderlichen Berechnungen unterworfen. Danach
werden die Ausgabedaten über den Bus L1 zu den E/A-
Einheiten IO1 bis IOn übertragen.
Das an der Bereitschaftsseite befindliche Rechner
system FC2 führt die Bereitschaftsoperationen erst dann
aus, wenn die Hardware, das Programm und die Daten als
normal entschieden sind. Zunächst werden
nach dem Stand der Operationen des steuernden Rechner
systems FC1 dessen Programm und Daten über den Bus L1
ausgelesen und im Speicher MU des Rechnersystems FC2 an
der Bereitschaftsseite abgespeichert. Nach dem Abspeichern
dieses Programms und der Daten werden die Bereitschafts
operationen eingeleitet.
Wenn in diesem Bereitschaftszustand das Rechnersystem
FC1 an der Steuerseite aus irgendeinem Grund einer Störung
unterliegt, werden die Daten egalisiert bzw. angeglichen,
um die Steueroperationen ruckfrei bzw.
sprungfrei fortzusetzen. Während der Steueroperationen
des steuernden Rechnersystems unterliegen insbesondere
die Daten und Parameter einer momentanen Änderung, wobei
das Rechnersystem an der Steuerseite die für die
Bereitschaftsseite nötigen Daten und Parameter in vor
bestimmten Positionen speichert, wenn die Steuerung
ausgeführt wird. Diese Daten und Parameter werden in
der Speichereinheit MU von dieser Seite her sequentiell
im Rechnersystem FC2 an der Bereitschaftsseite
über den Bus L1 kopiert.
Aufgrund dieser Operationen stehen dem Bereitschafts-
Rechnersystem FC2 stets die für das gleiche Programm
und die Steuerung wie beim steuernden Rechnersystem FC1
nötigen Daten und Parameter zur Verfügung, so daß es fort
laufend und stufenlos die Steueroperationen fortzusetzen
vermag, falls im Steuer-Rechnersystem
eine Störung auftreten sollte.
Die Operationen im Fall einer Störung im Bereitschafts-
Rechnersystem FC2 sind nachstehend erläutert.
Zunächst sei ein Fall betrachtet, in welchem das
Bereitschafts-Rechnersystem einer Störung in Form einer
Abweichung unterworfen ist, so daß fortlaufend willkürliche
Adreßeinschreiboperationen hervorgerufen werden.
Diese genannten Operationen werden sodann durch die genannten
Bus-Master- und Bus-Slavefunktionen der
Kommunikationsschnittstelle 2 blockiert, so daß sie
keinen Einfluß auf die Steueroperationen des Systems
haben.
Für den Zugriff zu den E/A-Einheiten hat - genauer
gesagt - das Rechnersystem FC2 selbst kein Steuerrecht,
so daß es wegen der Grenze bezüglich seiner Hardware
den Zugriff nicht durchführen kann. Außerdem kann auch
das Einschreiben in die Speichereinheit MU des steuernden
Rechnersystems FC1 aufgrund der Hardware nicht
durchgeführt werden, so daß die Steueroperation des
steuernden Rechnersystems FC1 nicht beeinflußt wird.
Gemäß der vorliegenden Beschreibung können außerdem
sämtliche Bereiche nicht für den oder in den Speicher
im Rechnersystem an der Gegenseite eingeschrieben werden.
Die Anordnung kann jedoch so abgewandelt werden,
daß nur die für die Steueroperationen erforderlichen
Programm-, Daten- und Parameterbereiche nicht einge
schrieben werden können, während in die Speichereinheit
für die Angleichoperationen eingeschrieben werden
kann.
Bei dieser Ausführungsform haben Störungen des einen
Rechnersystems keinen Einfluß auf die Steueroperationen
des anderen Rechnersystems, so daß damit die Zuverlässig
keit verbessert werden kann.
Außerdem werden die Kopieroperationen für Daten und
Parameter über die Duplexsteuereinheiten 15 ausgeführt,
die speziell für diese Zwecke in den einzelnen Rechner
systemen vorgesehen sind. Die Software kann jedoch von
beiden Rechnern gemeinsam benutzt werden, indem identische
Adressen von den beiden Rechnersystemen zu den
einzelnen Duplexsteuereinheiten vorgesehen werden.
Fig. 13 veranschaulicht noch eine weitere Ausführungs
form der Erfindung, die so ausgelegt ist, daß die Egali
sierung oder Angleichung der vom Steuerzustand zum
Bereitschaftszustand zu schaltenden Daten geglättet
bzw. vergleichmäßigt wird.
Beide Rechnersysteme FC1 und FC2 enthalten jeweils
einen Egalisier- oder Angleichpuffer 151, in dem die
zwischen den beiden Rechnersystemen zu egalisierenden
bzw. anzugleichenden Daten gespeichert werden sollen
und der z. B. im Randomspeicher bzw. RAM des Rechner
systems vorgesehen ist. Eine Datenstörungs-Detektorein
heit 152 dient zum Detektieren oder Erfassen einer Störung
von Daten, die im Angleichpuffer 151 gespeichert
sind, und eine Kennzeicheneinheit 153 wird gesetzt, wenn durch die
Datenstörungs-Detektoreinheit 152 eine Störung festgestellt wird.
Die Duplexsteuereinheit 15 ist so ausgelegt, daß sie
dann, wenn das Steuerrecht umgeschaltet oder übertragen
werden soll, auf die Kennzeicheneinheit 153 Bezug nimmt,
um das Steuerrecht umzuschalten, wenn das Kennzeichen
nicht gesetzt (AUS) ist, und das Steuerausgangssignal
nach Ablauf einer vorbestimmten Zeitspanne zu übermitteln,
wenn das Kennzeichen gesetzt (EIN) ist.
Der Duplexsteuereinheit 15 werden folgende Signale
zugespeist: Das Bereitsignal CPUREDY von ihrer eigenen
Zentraleinheit 10, das Bereitsignal CPUREDY von der
Zentraleinheit 10 des Rechners an der Partner- oder
Gegenseite, das Bereitsignal COMRDY zur Anzeige, daß
die Kommunikationsschnittstelle 2 ihre Operationen
normal ausführen kann, und das Signal von der Kennzeicheneinheit
153. Entsprechend dem jeweiligen Status oder
Zustand dieser Signale gibt die Duplexsteuereinheit 15
ein Duplexsteuer-Umschaltsignal DCS so aus, daß jedes
oder eines der Rechnersysteme die tatsächliche Arbeit
übernehmen kann.
Fig. 14 veranschaulicht das Konzept der Datenegalisier-
bzw. -angleichoperationen. Hierbei ist vorausgesetzt,
daß sich das Rechnersystem FC1 im Steuerzustand befindet
(mit der tatsächlichen oder eigentlichen Arbeit befaßt
ist), während sich das Rechnersystem FC2 im Bereit
schaftszustand befindet. In diesem Zustand werden
im Angleichpuffer 151 des Rechnersystems FC1 an der
Steuerseite die anzugleichenden Daten zwischen einer
Startmarke SDM und einer Endemarke EDM abgespeichert.
Das Bereitschafts-Steuersystem FC2 liest die Größe
eines Zeigers PO des Angleichpuffers 151 an der Steuer
seite aus. Wenn die ausgelesene Größe einer vorherigen
Größe gleich ist, entscheidet das Rechnersystem FC2 auf
das Fehlen neuer Angleichdaten, und es führt die Angleich
operationen nicht aus. Wenn sich die Größe des
Zeigers ändert, werden die Daten, die im Angleichpuffer
151 zwischen Startmarke SDM und Endemarke EDM
gespeichert sind und für Initialisierungszwecke ange
glichen werden sollen, vom Rechnersystem FC1 an der
Steuerseite kopiert.
Die anzugleichenden Daten bestehen aus Adressen und
Daten, die zwischen die Start- und die Endemarke ein
gefügt sind. Das Bereitschafts-Rechnersystem FC2
kopiert die zwischen Start- und Endemarke befindlichen
Daten an einer bezeichneten Adresse, wenn die Endemarke
EDM in den kopierten Daten festgestellt wird.
Die Datenstörungs-Detektoreinheit 152 des Bereitschafts-
Rechnersystems FC2 detektiert die Fehler oder Mängel
der Start- oder der Endemarke und die Störungen der
Daten im Angleichpuffer, falls dieser voll belegt ist
(falls die Stapel-Aktualisierung an der Steuerseite
früher stattfindet als die Angleichausführung an der
Bereitschaftsseite), mittels der Fehler des ausgelesenen
Zeigers oder der Aktualisierung des Zeigers des
Angleichpuffers an der Steuerseite. Wenn diese Störungen
festgestellt werden, wird die Kennzeicheneinheit 153 gesetzt
(bzw. auf EIN geschaltet).
Die beschriebenen Angleichoperationen werden jederzeit
im Rechner an der Bereitschaftsseite ausgeführt, so daß
das Umschalten des Steuerrechts mit einem beliebigen
Zeittakt unterbrochen wird.
Wenn beispielsweise die Zentraleinheit des Steuer-
Rechnersystems FC1 abnormal arbeitet, geht das Signal
CPUREDY0 auf "nicht bereit" über, so daß die Duplex
steuereinheit 15 in Abhängigkeit davon das Signal DCS
zum Umschalten des Steuerrechts invertiert, um die tat
sächliche oder eigentliche Arbeit auf das Rechnersystem
FC2 zu übertragen, das sich bis zu diesem Zeitpunkt im
Bereitschaftszustand befand.
Beim Umschalten des Duplexsystems bezieht sich die
Duplexsteuereinheit 15 des bis zu diesem Zeitpunkt im
Bereitschaftszustand befindlichen Rechnersystems FC2 auf
die Kennzeicheneinheit 153 zum augenblicklichen Einleiten des
Umschaltens des Steuerrechts, falls das Kennzeichen
nicht gesetzt (AUS) ist.
Wenn die Kennzeicheneinheit 153 dagegen nicht gesetzt (AUS)
ist, wird die Duplexsteuereinheit 15 für eine vorbestimmte
Zeitspanne von z. B. einer Minute unterbrochen,
und sie arbeitet daraufhin zum Übertragen des Steuer
ausgangssignals oder -ausgangs.
Während dieser einminütigen Unterbrechung erfolgt eine
"Leerlauf"-Operation für die Durchführung der Initialisierung
der erforderlichen Daten oder dergleichen oder
des Ladens des Programms und des Abschaltens (AUS) des
Kennzeichens. Wenn nachher das Steuerausgangssignal von
dem Rechnersystem, welches das Steuerrecht erlangt hat,
nach Ablauf einer Minute übertragen wird, werden die
Steuerungen oder Steuervorgänge auf einen Status bzw.
Zustand ähnlich demjenigen, in welchem der Betriebszustand
nach Ablauf einer Minute eingetreten ist, umgeschaltet,
um den Nachteil zu vermeiden, daß ein unerwartetes
Steuerausgangssignal zur Steuerplatine oder
-konsole übertragen wird.
Während bei den beschriebenen Ausführungsformen die
Kommunikationsleitung L1 mit einer Einzelstruktur ausgelegt
ist, kann sie auch eine Duplexstruktur aufweisen.
Claims (8)
1. Duplexrechnersystem mit zwei Rechnersystemen, von denen
eines in einem Steuerstatus und das andere in einem Bereitschaftsstatus
ist, und mit einer Kommunikationsleitung
des Kontrollübertragungstyps (Token-Passing-Typ),
bei der Kommunikationsfunktionen dann ausgeführt werden,
wenn ein ein Kommunikationsrecht darstellender Kontrollrahmen
(Token-Rahmen) zu einem der Rechnersysteme zirkuliert
wird, deren jedes eine Zentraleinheit (1) hat,
dadurch gekennzeichnet, daß jedes Rechnersystem außerdem
aufweist:
- - eine Kontrolldetektoreinheit (Token-Detektoreinheit) (24) zum Erfassen eines zu dem Rechnersystem adressierten Kontrollrahmens,
- - einen Kontrollempfangszähler (Token-Empfangszähler) (25)
zum Speichern eines Wertes und zum Fortschreiben
des Wertes, wenn die Kontrolldetektoreinheit (24) den
Kontrollrahmen erfaßt,
wobei die Zentraleinheit (1) eine Entscheidungseinheit (16) zum Auslesen des im Kontrollempfangszähler (25) gespeicherten Wertes und eine Bereitsignal-Erzeugungseinheit (14), die abhängig von einem Befehlssignal von der Entscheidungseinheit (16) ein Bereitsignal liefert, hat, und - - eine Duplexsteuereinheit (15), die abhängig von dem Bereitsignal das eine Rechnersystem den Steuerstatus oder den Bereitschaftsstatus annehmen läßt, wobei:
- - die Entscheidungseinheit (16) die Bereitsignal-Erzeugungseinheit (14) das zur Duplexsteuereinheit (15) übertragene Bereitsignal abschalten läßt, falls der im Kontrollempfangszähler (25) gespeicherte Wert nach Ablauf einer vorbestimmten Zeitdauer nicht fortgeschrieben wird.
2. Duplexrechnersystem nach Anspruch 1, gekennzeichnet durch:
eine Kopplereinheit (3) zum Koppeln jedes der beiden Rechnersysteme mit der Kommunikationsleitung und mit einem Sperrschalter (4), der die Kopplereinheit (3) anweist, die Kommunikationsfunktionen zu sperren, wobei:
die Entscheidungseinheit (16), falls der im Kontrollempfangszähler (25) gespeicherte Wert nach Ablauf der vorbestimmten Zeitdauer nicht fortgeschrieben wird, ein solches Umschalten der Duplexsteuerung anweist, daß das bisher im Bereitschaftsstatus befindliche Rechnersystem den Steuerstatus unter der Bedingung annimmt, daß der Sperrschalter (4) nicht das Sperren der Kommunikationsfunktionen befiehlt.
eine Kopplereinheit (3) zum Koppeln jedes der beiden Rechnersysteme mit der Kommunikationsleitung und mit einem Sperrschalter (4), der die Kopplereinheit (3) anweist, die Kommunikationsfunktionen zu sperren, wobei:
die Entscheidungseinheit (16), falls der im Kontrollempfangszähler (25) gespeicherte Wert nach Ablauf der vorbestimmten Zeitdauer nicht fortgeschrieben wird, ein solches Umschalten der Duplexsteuerung anweist, daß das bisher im Bereitschaftsstatus befindliche Rechnersystem den Steuerstatus unter der Bedingung annimmt, daß der Sperrschalter (4) nicht das Sperren der Kommunikationsfunktionen befiehlt.
3. Duplexrechnersystem nach Anspruch 1, gekennzeichnet durch:
eine Kommunikationsschnittstelle (2) zum Kommunizieren mit einem Hauptrechneranschluß und zum Ausgeben eines Signales (COMRDY), das anzeigt, daß dessen Operationen normal ausführbar sind,
einen Zeitgeber (TM) in der Duplexsteuereinheit (15) zum Ausgeben eines Zeitablaufsignalen (T1) nach Ablauf einer vorbestimmten Zeitdauer ab der Stromzufuhr zu dem Duplexrechnersystem und
eine Logikschaltung (150) zum Ausgeben eines Signals aufgrund von von dieser empfangenen Signalen und zum Empfangen eines Signals (CPURDY0), das anzeigt, daß die Operationen der Zentraleinheit (1) des einen Rechnersystems normal ausführbar sind, des Signals (COMRDY), da anzeigt, daß die Operation der Kommunikationsschnittstelle (2) normal ausführbar ist, des Zeitablaufsignals (T1) vom Zeitgeber (TM), eines Signals (CPURDY1), das anzeigt, daß die Operationen der Zentraleinheit (1) des anderen Rechnersystems normal ausführbar sind, eines Signals (DCS0), das anzeigt, daß ein Steuerrecht zu dem einen Rechnersystem gehört, und eines Signals (DCS1), das anzeigt, daß das Steuerrecht zu dem anderen Rechnersystem gehört.
eine Kommunikationsschnittstelle (2) zum Kommunizieren mit einem Hauptrechneranschluß und zum Ausgeben eines Signales (COMRDY), das anzeigt, daß dessen Operationen normal ausführbar sind,
einen Zeitgeber (TM) in der Duplexsteuereinheit (15) zum Ausgeben eines Zeitablaufsignalen (T1) nach Ablauf einer vorbestimmten Zeitdauer ab der Stromzufuhr zu dem Duplexrechnersystem und
eine Logikschaltung (150) zum Ausgeben eines Signals aufgrund von von dieser empfangenen Signalen und zum Empfangen eines Signals (CPURDY0), das anzeigt, daß die Operationen der Zentraleinheit (1) des einen Rechnersystems normal ausführbar sind, des Signals (COMRDY), da anzeigt, daß die Operation der Kommunikationsschnittstelle (2) normal ausführbar ist, des Zeitablaufsignals (T1) vom Zeitgeber (TM), eines Signals (CPURDY1), das anzeigt, daß die Operationen der Zentraleinheit (1) des anderen Rechnersystems normal ausführbar sind, eines Signals (DCS0), das anzeigt, daß ein Steuerrecht zu dem einen Rechnersystem gehört, und eines Signals (DCS1), das anzeigt, daß das Steuerrecht zu dem anderen Rechnersystem gehört.
4. Duplexrechnersystem nach Anspruch 3, dadurch gekennzeichnet, daß die Logikschaltung
(150) anzeigt, daß das Steuersystem das Steuerrecht
- (a) erlangt durch Setzen des Signals (DCS0), das anzeigt, daß das Steuerrecht zu dem einen Rechnersystem gehört, auf einen Wert "1", falls die Bedingungen der folgenden Formel (1) dann erfüllt sind, wenn das Steuerrecht nicht bereits zu dem einen Rechnersystem gehört (DCS0=0):
- (b) aufgibt durch Setzen des Signals (DCS0), das anzeigt, daß das Steuerrecht zu dem einen Rechnersystem gehört, auf einen Wert "0", falls die Bedingungen der folgenden Formel (2) dann erfüllt sind, wenn das Steuerrecht bereits zu dem einen Rechnersystem gehört (DCS0=1):
5. Duplexrechnersystem nach Anspruch 3, ddurch gekennzeichnet,
daß
- - die Duplexsteuereinheit (15) entscheidet, welches Rechnersystem das Steuerrecht erlangt, aufgrund des Signals (CPURDY0), das anzeigt, daß die Operationen der Zentraleinheit (1) des einen Rechnersystems normal ausführbar sind, des Signals (CPURDY1), das anzeigt, daß die Operationen der Zentraleinheit (1) des anderen Rechnersystems normal ausführbar sind, des Signals (DCS0), das anzeigt, daß das Steuerrecht zu dem einen Reechnersystem gehört, und des Signals (DCS1), das anzeigt, daß das Steuerrecht zu dem anderen Rechnersystem gehört, und
- - die Kommunikationsschnittstelle (2) mit dem Hauptrechneranschluß kommuniziert, um ein Signal (STOP0) auszugeben, das die Operationen der Zentraleinheit (1) des anderen Rechnersystems stoppt, falls die Kommunikationsschnittstelle (2) einen "Stopp"-Befehl von dem Hauptrechneranschluß empfängt, und ein Signal zum Wiederstarten der Zentraleinheit (1) des anderen Rechnersystems ausgibt, bevor die Zentraleinheit des einen Rechnersystems wiedergestartet wird, falls die Kommunikationsschnittstelle (2) einen "Wiederstart"-Befehl von dem Hauptrechneranschluß empfängt, während das Duplexrechnersystem in einem Stopp-Status ist.
6. Duplexrechnersystem nach Anspruch 1, gekennzeichnet durch
einen Stützbus (L1) und eine Vielzahl von E/A-Einheiten (IO1-IOn), die durch die Rechnersysteme zu steuern sind, wobei jedes Rechnersystem außerdem einen mit der Zentraleinheit (1) über einen internen Bus verbundenen Speicher (MU) aufweist und die Duplexsteuereinheit (15) entscheidet, ob Steueroperationen der Zentraleinheit (1) aufgrund eines Selbstdiagnoseergebnisses von der Zentraleinheit (1) des einen Rechnersystems oder eines Selbstdiagnoseergebnisses von der Zentraleinheit des anderen Rechnersystems auszuführen sind, und durch
eine Kommunikationsschnittstelle (2), die mit dem internen Bus und dem Stützbus (L1) verbunden ist und Daten wiederzulesen vermag, die zu jeder einer Anzahl von Signalleitungen des Stützbusses (L1) ausgegeben sind, wenn die Zentraleinheit (1) des einen Rechnersystems einen Zugriff auf den Stützbus (L1) ausübt, um einen Zugriff des Stützbusses (L1) zu unterbrechen, falls die Ausgangsdaten und die wiedergelesenen Daten nicht übereinstimmen, und um die Zentraleinheit des anderen Rechnersystems zu informieren, daß ein Fehler während des Wiederlesens aufgetreten ist, wobei:
die Zentraleinheit (1) des einen Rechnersystems ihre Operationen durch Annehmen des Selbstdiagnoseergebnisses als nicht bereit stoppt, falls sie den wiedergelesenen Fehler empfängt.
einen Stützbus (L1) und eine Vielzahl von E/A-Einheiten (IO1-IOn), die durch die Rechnersysteme zu steuern sind, wobei jedes Rechnersystem außerdem einen mit der Zentraleinheit (1) über einen internen Bus verbundenen Speicher (MU) aufweist und die Duplexsteuereinheit (15) entscheidet, ob Steueroperationen der Zentraleinheit (1) aufgrund eines Selbstdiagnoseergebnisses von der Zentraleinheit (1) des einen Rechnersystems oder eines Selbstdiagnoseergebnisses von der Zentraleinheit des anderen Rechnersystems auszuführen sind, und durch
eine Kommunikationsschnittstelle (2), die mit dem internen Bus und dem Stützbus (L1) verbunden ist und Daten wiederzulesen vermag, die zu jeder einer Anzahl von Signalleitungen des Stützbusses (L1) ausgegeben sind, wenn die Zentraleinheit (1) des einen Rechnersystems einen Zugriff auf den Stützbus (L1) ausübt, um einen Zugriff des Stützbusses (L1) zu unterbrechen, falls die Ausgangsdaten und die wiedergelesenen Daten nicht übereinstimmen, und um die Zentraleinheit des anderen Rechnersystems zu informieren, daß ein Fehler während des Wiederlesens aufgetreten ist, wobei:
die Zentraleinheit (1) des einen Rechnersystems ihre Operationen durch Annehmen des Selbstdiagnoseergebnisses als nicht bereit stoppt, falls sie den wiedergelesenen Fehler empfängt.
7. Duplexrechnersystem nach Anspruch 1, gekennzeichnet durch
einen Stützbus (L1) und eine Vielzahl von E/A-Einheiten (IO1-IOn), die durch die Rechnersysteme zu steuern sind, wobei jedes Rechnersystem außerdem einen Speicher (MU) aufweist, auf den ein Zugriff von der Zentraleinheit (11, 12) und vom Stützbus (L1) ausgeübt werden kann und die Duplexsteuereinheit (15) ein den Betriebsstatus anzeigendes und wenigstens von der Zentraleinheit des einen Rechnersystems kommendes Bereitsignal überwacht und steuert, welches der beiden Rechnersysteme einen Steuerstatus annehmen soll, während das andere Rechnersystem einen Bereitschaftsstatus annimmt, und
eine Kommunikationsschnittstelle (2), die mit dem Stützbus (L1) gekoppelt ist, um einen Zugriff zu den E/A-Einheiten zu sperren, falls ein Steuerrecht von der Duplexsteuereinheit (15) nicht erhalten wird, um Daten in einem Bereich abzulegen, der - von der Zentraleinheit des einen Rechnersystems aus gesehen - von dem Adreßbereich des Speichers (MU) verschieden ist, für einen Zugriff durch die Zentraleinheit des anderen Rechnersystems über den Stützbus, und um einen Schreibzugriff zu sperren.
einen Stützbus (L1) und eine Vielzahl von E/A-Einheiten (IO1-IOn), die durch die Rechnersysteme zu steuern sind, wobei jedes Rechnersystem außerdem einen Speicher (MU) aufweist, auf den ein Zugriff von der Zentraleinheit (11, 12) und vom Stützbus (L1) ausgeübt werden kann und die Duplexsteuereinheit (15) ein den Betriebsstatus anzeigendes und wenigstens von der Zentraleinheit des einen Rechnersystems kommendes Bereitsignal überwacht und steuert, welches der beiden Rechnersysteme einen Steuerstatus annehmen soll, während das andere Rechnersystem einen Bereitschaftsstatus annimmt, und
eine Kommunikationsschnittstelle (2), die mit dem Stützbus (L1) gekoppelt ist, um einen Zugriff zu den E/A-Einheiten zu sperren, falls ein Steuerrecht von der Duplexsteuereinheit (15) nicht erhalten wird, um Daten in einem Bereich abzulegen, der - von der Zentraleinheit des einen Rechnersystems aus gesehen - von dem Adreßbereich des Speichers (MU) verschieden ist, für einen Zugriff durch die Zentraleinheit des anderen Rechnersystems über den Stützbus, und um einen Schreibzugriff zu sperren.
8. Duplexrechnersystem nach Anspruch 1, gekennzeichnet durch
einen Stützbus (L1) und eine Vielzahl von E/A-Einheiten (IO1-IOn), die durch die Rechnersysteme zu steuern sind, wobei jedes Rechnersystem außerdem aufweist:
einen Angleichpuffer (151) zum Speichern von anzugleichenden Daten,
eine Datenstörungs-Detektoreinheit (152) zum Erfassen einer Störung der im Angleichpuffer (151) gespeicherten Daten,
eine Kennzeicheneinheit (153), die setzbar (EIN) ist, wenn durch die Datenstörungs-Detektoreinheit (152) eine Störung erfaßt wird, und
die Duplexsteuereinheit (15), die sich auf die Kennzeicheneinheit (153) bezieht, wenn das Steuerrecht umgeschaltet werden soll, um das Umschalten des Steuerrechts bei nicht gesetztem Kennzeichen (AUS) einzuleiten und eine Steuerausgabe nach Ablauf einer vorbestimmten Zeitdauer durchzuführen, wenn das Kennzeichen gesetzt (EIN) ist.
einen Stützbus (L1) und eine Vielzahl von E/A-Einheiten (IO1-IOn), die durch die Rechnersysteme zu steuern sind, wobei jedes Rechnersystem außerdem aufweist:
einen Angleichpuffer (151) zum Speichern von anzugleichenden Daten,
eine Datenstörungs-Detektoreinheit (152) zum Erfassen einer Störung der im Angleichpuffer (151) gespeicherten Daten,
eine Kennzeicheneinheit (153), die setzbar (EIN) ist, wenn durch die Datenstörungs-Detektoreinheit (152) eine Störung erfaßt wird, und
die Duplexsteuereinheit (15), die sich auf die Kennzeicheneinheit (153) bezieht, wenn das Steuerrecht umgeschaltet werden soll, um das Umschalten des Steuerrechts bei nicht gesetztem Kennzeichen (AUS) einzuleiten und eine Steuerausgabe nach Ablauf einer vorbestimmten Zeitdauer durchzuführen, wenn das Kennzeichen gesetzt (EIN) ist.
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1085615A JP2965255B2 (ja) | 1989-04-04 | 1989-04-04 | 二重化制御演算システム |
| JP10136289A JP3291729B2 (ja) | 1989-04-20 | 1989-04-20 | 二重化計算機システム |
| JP1215378A JP2985188B2 (ja) | 1989-08-22 | 1989-08-22 | 二重化計算機システム |
| JP1300616A JPH03160529A (ja) | 1989-11-18 | 1989-11-18 | 二重化計算機システム |
| JP1318228A JPH03177933A (ja) | 1989-12-07 | 1989-12-07 | 二重化計算機システム |
| JP1323086A JPH03184128A (ja) | 1989-12-13 | 1989-12-13 | 二重化計算機システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE4010109A1 DE4010109A1 (de) | 1990-10-11 |
| DE4010109C2 true DE4010109C2 (de) | 1996-12-12 |
Family
ID=27551657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE4010109A Expired - Fee Related DE4010109C2 (de) | 1989-04-04 | 1990-03-29 | Duplexrechnersystem |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US5638507A (de) |
| KR (1) | KR920008284B1 (de) |
| BR (1) | BR9001530A (de) |
| DE (1) | DE4010109C2 (de) |
| GB (1) | GB2231987B (de) |
| NL (1) | NL193573C (de) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100195065B1 (ko) * | 1996-06-20 | 1999-06-15 | 유기범 | 데이타 통신망 정합장치 |
| JP2830857B2 (ja) * | 1996-09-09 | 1998-12-02 | 三菱電機株式会社 | データストレージシステム及びデータストレージ管理方法 |
| US6742136B2 (en) * | 2000-12-05 | 2004-05-25 | Fisher-Rosemount Systems Inc. | Redundant devices in a process control system |
| ITTO20020160A1 (it) * | 2002-02-25 | 2003-08-25 | Magneti Marelli Sistemi Elettr | Disposizione circuitale in un modulo elettronico di controllo per la conversione tra protocolli di comunicazione. |
| KR100474704B1 (ko) * | 2002-04-29 | 2005-03-08 | 삼성전자주식회사 | 데이터의 버스트 동시쓰기가 가능한 프로세서 이중화 장치 |
| US7117390B1 (en) * | 2002-05-20 | 2006-10-03 | Sandia Corporation | Practical, redundant, failure-tolerant, self-reconfiguring embedded system architecture |
| JP4182948B2 (ja) * | 2004-12-21 | 2008-11-19 | 日本電気株式会社 | フォールト・トレラント・コンピュータシステムと、そのための割り込み制御方法 |
| JP4666258B2 (ja) * | 2006-01-11 | 2011-04-06 | 横河電機株式会社 | データアクセスシステム |
| US9767181B2 (en) * | 2009-11-30 | 2017-09-19 | Bmc Software, Inc. | Extending a database recovery point at a disaster recovery site |
| CN102497288A (zh) * | 2011-12-13 | 2012-06-13 | 华为技术有限公司 | 一种双机备份方法和双机系统实现装置 |
| US11016449B2 (en) * | 2015-07-23 | 2021-05-25 | Mitsubishi Electric Corporation | Duplexing process control device |
| CN107885621B (zh) * | 2017-12-11 | 2021-03-30 | 中国兵器装备集团自动化研究所 | 一种基于飞腾平台的热备计算机 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3303474A (en) * | 1963-01-17 | 1967-02-07 | Rca Corp | Duplexing system for controlling online and standby conditions of two computers |
| SE313849B (de) * | 1966-03-25 | 1969-08-25 | Ericsson Telefon Ab L M | |
| US3864670A (en) * | 1970-09-30 | 1975-02-04 | Yokogawa Electric Works Ltd | Dual computer system with signal exchange system |
| US4270168A (en) * | 1978-08-31 | 1981-05-26 | United Technologies Corporation | Selective disablement in fail-operational, fail-safe multi-computer control system |
| US4276593A (en) * | 1979-03-30 | 1981-06-30 | Beckman Instruments, Inc. | Transfer system for multi-variable control units |
| US4500951A (en) * | 1981-01-07 | 1985-02-19 | Hitachi, Ltd. | Plant control system |
| US4491946A (en) * | 1981-03-09 | 1985-01-01 | Gould Inc. | Multi-station token pass communication system |
| US4521871A (en) * | 1982-04-12 | 1985-06-04 | Allen-Bradley Company | Programmable controller with back-up capability |
| US4872106A (en) * | 1983-04-06 | 1989-10-03 | New Forney Corp. | Industrial process control system with back-up data processors to take over from failed primary data processors |
| US5058056A (en) * | 1983-09-12 | 1991-10-15 | International Business Machines Corporation | Workstation takeover control |
| US4607256A (en) * | 1983-10-07 | 1986-08-19 | Honeywell, Inc. | Plant management system |
| US4823256A (en) * | 1984-06-22 | 1989-04-18 | American Telephone And Telegraph Company, At&T Bell Laboratories | Reconfigurable dual processor system |
| US4623883A (en) * | 1984-12-10 | 1986-11-18 | Ncr Corporation | Automatic communications switch |
| US4984240A (en) * | 1988-12-22 | 1991-01-08 | Codex Corporation | Distributed switching architecture for communication module redundancy |
-
1990
- 1990-03-23 NL NL9000692A patent/NL193573C/nl not_active IP Right Cessation
- 1990-03-27 KR KR1019900004120A patent/KR920008284B1/ko not_active Expired
- 1990-03-28 GB GB9006970A patent/GB2231987B/en not_active Expired - Fee Related
- 1990-03-29 DE DE4010109A patent/DE4010109C2/de not_active Expired - Fee Related
- 1990-03-30 US US07/502,202 patent/US5638507A/en not_active Expired - Lifetime
- 1990-04-03 BR BR909001530A patent/BR9001530A/pt not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| US5638507A (en) | 1997-06-10 |
| NL193573B (nl) | 1999-10-01 |
| NL9000692A (nl) | 1990-11-01 |
| GB9006970D0 (en) | 1990-05-23 |
| NL193573C (nl) | 2000-02-02 |
| GB2231987A (en) | 1990-11-28 |
| DE4010109A1 (de) | 1990-10-11 |
| GB2231987B (en) | 1993-05-19 |
| BR9001530A (pt) | 1991-04-23 |
| KR920008284B1 (ko) | 1992-09-26 |
| KR900016885A (ko) | 1990-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE3486257T2 (de) | Synchrones dezentralisiertes Verarbeitungssystem. | |
| DE60302184T2 (de) | Fehlertolerantes Computersystem, Verfahren zur Resynchronisierung desselben und zugehöriges Resynchronisierungs-Programm | |
| DE3781486T2 (de) | Verfahren zur stossfreien umschaltung von aktiven einheiten zu ersatzeinheiten in datenverarbeitungsanlagen und datenverarbeitungsanlage zur durchfuehrung dieses verfahrens. | |
| DE3486148T2 (de) | Fehlertolerantes Übertragungssteuersystem. | |
| DE3214328C2 (de) | ||
| DE3485820T2 (de) | Doppelspeichersystem mit reservestromversorgung. | |
| DE3629178C2 (de) | ||
| DE3789176T2 (de) | Mikroprozessor zur Datentransferwiederholung. | |
| DE4010109C2 (de) | Duplexrechnersystem | |
| CH654943A5 (de) | Pruefeinrichtung fuer mikroprogramme. | |
| DE2319753B2 (de) | Anordnung zur Datenverarbeitung mittels in Mikroprogrammierung betriebener Prozessoren | |
| DE4317729A1 (de) | Programmierbare Steuereinheit | |
| DE68922440T2 (de) | Gerät und Verfahren zur gleichzeitigen Einreichung von Fehlerunterbrechung und Fehlerdaten zu einem Unterstützungsprozessor. | |
| DE3508291A1 (de) | Realzeit-datenverarbeitungssystem | |
| DE3382810T2 (de) | Mikroprozessorsysteme für Frankiermaschinenanordnungen | |
| DE1574598C3 (de) | Steuereinrichtung für Fernmelde-, insbesondere Fernsprechvermittlungsanlagen | |
| DE3501592A1 (de) | Verfahren und vorrichtung zur wiederherstellung des normalzustands im bewegungsablauf einer maschine | |
| DE10231938A1 (de) | Computersystem mit mehreren Sicherungs-Verwaltungsprozessoren zur Handhabung eines Ausfalls eines eingebetteten Prozessors | |
| DE3201768A1 (de) | Job-verarbeitungsverfahren | |
| DE2461592C3 (de) | Anordnung zur Durchführung von Wartungsoperationen bei einem Datenverarbeitungssystem | |
| DE3750045T2 (de) | Unterbrechungssteuerungsvorrichtung für eine virtuelle Maschine mit einer Vielzahl von Verarbeitungseinheiten. | |
| DE68921334T2 (de) | Gerät zur programmierten vorübergehenden Aufhebung des Prozessorbetriebs zum Wiederversuch, zur Rückgewinnung und zum Austesten. | |
| DE2336020B2 (de) | Adressen-berechnungsschaltung fuer paritaetsfehler-korrekturprogramme | |
| DE3780306T2 (de) | Adapterbusschalter zur verbesserung der verfuegbarkeit einer steuereinheit. | |
| DE2657897A1 (de) | Externes geraet, das die ureingabe fest gespeichert enthaelt, fuer elektronische datenverarbeitungsanlagen mit einem zentralen speicher |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| D2 | Grant after examination | ||
| 8320 | Willingness to grant licences declared (paragraph 23) | ||
| 8364 | No opposition during term of opposition | ||
| 8339 | Ceased/non-payment of the annual fee |