FR2627607A1 - Central processor for industrial control computer - uses buffers between processor and system bus, which are sent to high impedance state if processor fault is detected - Google Patents

Central processor for industrial control computer - uses buffers between processor and system bus, which are sent to high impedance state if processor fault is detected Download PDF

Info

Publication number
FR2627607A1
FR2627607A1 FR8802129A FR8802129A FR2627607A1 FR 2627607 A1 FR2627607 A1 FR 2627607A1 FR 8802129 A FR8802129 A FR 8802129A FR 8802129 A FR8802129 A FR 8802129A FR 2627607 A1 FR2627607 A1 FR 2627607A1
Authority
FR
France
Prior art keywords
processor
output
monostable
monitoring circuit
fault
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR8802129A
Other languages
French (fr)
Other versions
FR2627607B1 (en
Inventor
Michel Paugam
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SODETEG TAI
Original Assignee
SODETEG TAI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SODETEG TAI filed Critical SODETEG TAI
Priority to FR8802129A priority Critical patent/FR2627607B1/en
Publication of FR2627607A1 publication Critical patent/FR2627607A1/en
Application granted granted Critical
Publication of FR2627607B1 publication Critical patent/FR2627607B1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The computer includes a central processor unit (10) and a monitoring circuit (24) which emits a fault indication signal in the event of a malfunction of the processor. The central processor unit is connected to a system bus. The processor is connected to the bus through buffers (15, 19) and a storage unit (20), each having an inhibit input (15, 191, 201), controlled by the monitoring circuit (24) so as to cause them to present a high impedance output to the system bus in the event of a processor fault, thus isolating the faulty processor from the bus. ADVANTAGE - Provides increased security in industrial controllers incorporating reserve processor by isolating faulty processor from bus to prevent it interfering with operation of reverse processor.

Description

UNITE CENTRALE D'ORDINATEUR
DE COMMANDE
L'invention est relative a une unité centrale d'un ordinateur de commande.CENTRAL COMPUTER UNIT
CONTROL
The invention relates to a central unit of a control computer.

Dans le domaine industriel, les ordinateurs (ou calculateurs ) sont souvent utilisés pour la commande et la gestion d'installations industrielles ou analogues. Ils ont alors le même rôle que les automates programmables. In the industrial field, computers (or computers) are often used for the control and management of industrial or similar installations. They then have the same role as the programmable logic controllers.

Un tel ordinateur comprend une unité centrale à processeur, notamment un microprocesseur, qui est en liaison avec les organes à contrôler et à commander par l'intermédiaire d'un bus
Le plus souvent, l'unité centrale est dotée d'un circuit de surveillance appelé "chien de gardez qui délivre un signal d'alarme et/ou d'arrêt en cas d'incident du processeur.Such a computer comprises a central processor unit, in particular a microprocessor, which is in connection with the members to be monitored and controlled via a bus
Most often, the central unit is equipped with a monitoring circuit called a "watchdog" which delivers an alarm and / or stop signal in the event of a processor incident.

Ce circuit de surveillance comporte en général un monostable qui est réarmé en permanence par le processeur si ce dernier fonctionne correctement. Lors d'une défaillance, qui se traduit par un défaut de réarmement du monostable; la sortie de ce dernier change d'état, ce qui actionne une alarme
Pour augmenter la fiabilité du fonctionnement d'un ordinateur, on a déjà proposé de doter un tel appareil de deux unités centrales identiques, dont une seule fonctionne en condition normale, alors que l'autre est mise en service quand la première présente un défaut de fonctionnement.This monitoring circuit generally comprises a monostable which is permanently reset by the processor if the latter is functioning correctly. In the event of a failure, which results in a fault in resetting the monostable; the output of the latter changes state, which activates an alarm
To increase the reliability of the operation of a computer, it has already been proposed to provide such an apparatus with two identical central units, only one of which operates under normal conditions, while the other is put into service when the first has a defect in operation.

L'inventeur a constaté qu'avec les calculateurs connus, en cas de mise en service de l'unité centrale de secours, le fonctionnement de ce calculateur reste malgré tout perturbé. The inventor has found that with known computers, in the event of the central emergency unit being put into service, the operation of this computer remains disturbed despite everything.

L'invention remédie à cet inconvénient. The invention overcomes this drawback.

Elle est caractérisée en ce que l'unité centrale est reliée au bus par l'intermédiaire de tampons dont chacun présente une entrée de commande d'inhibition reliée à la sortie qui, en cas d'incident du processeur, détectée par le circuit de surveillance, amène la sortie de chacun de ces tampons à un état de haute impédance. It is characterized in that the central unit is connected to the bus by means of buffers, each of which has an inhibition control input connected to the output which, in the event of a processor incident, detected by the monitoring circuit , brings the output of each of these buffers to a high impedance state.

De cette manière, le processeur défectueux est complètement isolé du bus et les signsux qu'il engendre ne risquent donc pas de perturber le fonctionnement du calculateur alors que l'unité centrale de secours est mise en service. Cette mise en service de l'unité centrale de secours s'effectue grâce à une liaison du circuit de surveillance de l'unité centrale principale avec l'unité centrale de secours. In this way, the faulty processor is completely isolated from the bus and the signsux that it generates therefore do not risk disturbing the operation of the computer while the central backup unit is put into service. This commissioning of the central backup unit is carried out through a connection of the monitoring circuit of the main central unit with the central backup unit.

Par ailleurs, on a constaté que dans les calculateurs connus (à une ou deux unités centrales) des incidents fugitifs pouvaient provoquer des déclenchements intempestifs du circuit de surveillance, ce qui est particulièrement gênant quand le calculateur ne comporte qu une seule unité centrale. Furthermore, it has been found that in known computers (with one or two central units) fugitive incidents could cause inadvertent trips of the monitoring circuit, which is particularly troublesome when the computer has only one central unit.

Ainsi, selon un autre de ses aspects, l'invention concerne une unité centrale à circuit de surveillance qui est caractérisée en ce que ce circuit de surveillance comporte deux monostables montés de façon telle qu en cas de défaut le premier monostable déclenche, d'une part, un programme de contrôle dans le processeur et, d'autre part, le second monostable, un signal de défaut n'étant engendré que si, à l'issue de la période du second monostable, la sortie du premier monostable indique encore un défaut. Thus, according to another of its aspects, the invention relates to a central unit with monitoring circuit which is characterized in that this monitoring circuit comprises two monostables mounted in such a way that in the event of a fault the first monostable trips, of a on the one hand, a control program in the processor and, on the other hand, the second monostable, a fault signal being generated only if, at the end of the period of the second monostable, the output of the first monostable still indicates a default.

Un tel circuit de surveillance augmente la durée qui sépare l'incident de l'arrêt de fonctionnement de l'unité centrale et met à profit cette augmentation de durée pour faire fonctionner un programme de contrôle qui peut remédier à l'incident perturbateur. Such a monitoring circuit increases the duration which separates the incident from the stoppage of operation of the central unit and takes advantage of this increase in duration to operate a control program which can remedy the disturbing incident.

D'autres caractéristiques et avantages de l'invention apparaîtront avec la description de certains de ses modes de réalisation, celle-ci étant effectuée en se référant aux dessins ci-annexés sur lesquels
- la figure 1 est un schéma sous forme de blocs d'une unité centrale selon l'invention,
- la figure 2 est un schéma d'un circuit de surveillance selon l'invention, et
- les figures 3a à 3d sont des diagrammes expliquant le. fonctionnement du circuit de la figure 2.Other characteristics and advantages of the invention will appear with the description of some of its embodiments, this being carried out with reference to the accompanying drawings in which
FIG. 1 is a diagram in the form of blocks of a central unit according to the invention,
FIG. 2 is a diagram of a monitoring circuit according to the invention, and
- Figures 3a to 3d are diagrams explaining the. operation of the circuit of figure 2.

L'unité centrale comporte un microprocesseur 10, par exemple un microprocesseur à 16 bits, qui, de façon classique, est relié à un circuit d'horloge il et à un générateur 12 de signaux de commande. The central unit comprises a microprocessor 10, for example a 16-bit microprocessor, which, in a conventional manner, is connected to a clock circuit 11 and to a generator 12 of control signals.

Le bus 13 de données sortant du microprocesseur 10 est relié à une ligne 14 par l'intermédiaire d'un tampon 15 dont la sortie -152, à laquelle est connectée la ligne 14, peut présenter trois états : les deux états binaires classiques et, en plus, un état à haute impédance Ce tampon est, par exemple, le circuit de référence 74 LS 645 de la Société TEXAS
INSTRUMENTS.The data bus 13 leaving the microprocessor 10 is connected to a line 14 by means of a buffer 15 whose output -152, to which the line 14 is connected, can have three states: the two conventional binary states and, in addition, a high impedance state This buffer is, for example, the reference circuit 74 LS 645 from the company TEXAS
INSTRUMENTS.

Le bus d'adresses 16 sortant du microprocesseur 10 est connecté à une autre ligne 17 par l'intermédiaire d'un mémorisateur 20 dont la sortie 171 peut, comme la sortie 152 du tampon 15, présenter trois états dont un état de haute impédance. Ce mémorisateur 20 est, par exemple, le circuit de type 74 LS 373 de la Société TEXAS INSTRUMENTS. The address bus 16 leaving the microprocessor 10 is connected to another line 17 by means of a memory 20 the output 171 of which, like the output 152 of the buffer 15, can have three states including a high impedance state. This memorizer 20 is, for example, the type 74 LS 373 circuit of the TEXAS INSTRUMENTS company.

La sortie 121 du générateur 12 est également connectée à une ligne 18 par l'intermédiaire d'un autre tampon 19 dont la sortie 192, comme les sorties 152 et 171, est susceptible d'occuper trois états dont un état de haute impédance. The output 121 of the generator 12 is also connected to a line 18 by means of another buffer 19, the output 192 of which, like the outputs 152 and 171, is capable of occupying three states including a state of high impedance.

Le tampon 15, le mémorisateur 20 et le tampon 19 présentent chacun une entrée d'inhibition respectivement 151, 201 et 191. Buffer 15, memory 20 and buffer 19 each have an inhibit input 151, 201 and 191 respectively.

Les lignes 14, 17 et 18 sont connectées, de façon classique, à un bus auquel sont raccordées, notamment, les cartes d'entrée-sortie et de mémoire. Lines 14, 17 and 18 are conventionally connected to a bus to which are connected, in particular, the input-output and memory cards.

Le bus d'adresses 16 est par ailleurs connecté à l'entrée 221 d'un circuit programmable 22 assurant le décodage des adresses d'éléments périphériques parmi lesquels un circuit 23 de gestion de huit niveaux d'interruption et un circuit 24 de surveillance. The address bus 16 is also connected to the input 221 of a programmable circuit 22 ensuring the decoding of the addresses of peripheral elements including a circuit 23 for managing eight interrupt levels and a circuit 24 for monitoring.

Le circuit de survefflance 24 est un circuit à un ou à deux monostables comme on le décrira plus loin en relation avec la figure 2. The monitoring circuit 24 is a one or two monostable circuit as will be described later in relation to FIG. 2.

Ce circuit 24 comporte une sortie 241 qui est connectée, d'une part, aux entrées d'inhibition 151, 191, 201 des tampons 15 et 19 et du mémorisateur 20 et, d'autre part, à l'entrée du microprocesseur d'une unité centrale Identique (non représentée) qui est connecté su même. bus. This circuit 24 has an output 241 which is connected, on the one hand, to the inhibition inputs 151, 191, 201 of the buffers 15 and 19 and of the memory 20 and, on the other hand, to the input of the microprocessor an identical central unit (not shown) which is connected on the same. bus.

Le microprocesseur 10 est programmé pour engendrer périodiquement les adresses des éléments périphériques 23, 24.... The microprocessor 10 is programmed to periodically generate the addresses of the peripheral elements 23, 24 ...

Quand le circuit 22 de décodage détecte l'adresse du circuit 24 il lui fournit, sur son entrée 242, une impulsion qui permet de maintenir le signal sur la sortie 241 à un état déterminé, par exemple ltétat haut. Ce signal représente le fonctionnement normal du microprocesseur 10:
Un incident se traduira généralement par un défaut du programme générateur d'adresses. Dans ces conditions le monostable ne sera pas réarmé et le signal sur la sortie 24 tombera à l'état bas, ce qui déclenchera, d'une part, l'inhibition des tampons 15 et 19 et du mémorisateur 20 et, d'autre part, la mise en service de la seconde unité centrale.When the decoding circuit 22 detects the address of the circuit 24 it supplies it, on its input 242, with a pulse which makes it possible to maintain the signal on the output 241 in a determined state, for example the high state. This signal represents the normal operation of the microprocessor 10:
An incident will generally result in a defect in the address generator program. Under these conditions the monostable will not be reset and the signal on output 24 will fall low, which will trigger, on the one hand, the inhibition of buffers 15 and 19 and of the memory 20 and, on the other hand , the commissioning of the second central unit.

Ainsi les signaux perturbateurs que pourrait produire le microprocesseur 10 ne seront pas transmis vers le bus, les sorties 152, 17 sorties 152, 171 et 192 des tampons et du mémorisateur étant à haute impédance. Autrement dit le microprocesseur 10 en défaut se trouve isolé du bus. En même temps la seconde unité centrale, ou unité centrale de secours, est mise en service, ce qui permet un fonctionnement sans interruption du calculateur. Thus, the disturbing signals that the microprocessor 10 could produce will not be transmitted to the bus, the outputs 152, 17 outputs 152, 171 and 192 of the buffers and of the memory device being of high impedance. In other words, the faulty microprocessor 10 is isolated from the bus. At the same time, the second central unit, or central back-up unit, is put into service, which allows uninterrupted operation of the computer.

Dans le mode de réalisation représenté sur la figure 2 le circuit de surveillance 24 comporte deux monostables 30 et 31 séparés par une bascule 32. In the embodiment shown in FIG. 2, the monitoring circuit 24 includes two monostables 30 and 31 separated by a rocker 32.

L'entrée 242 est l'entrée A du monostable 30. La sortie Q de ce monostable 30 est reliée à l'entrée d'horloge H de la bascule 32. La sortie Q de cette bascule 32 est connectée å l'entrée B du second monostable 31. The input 242 is the input A of the monostable 30. The output Q of this monostable 30 is connected to the clock input H of the flip-flop 32. The output Q of this flip-flop 32 is connected to the input B of the second monostable 31.

La sortie Q de la bascule 32 est aussi reliée, par l'intermédiaire d'un inverseur 34, à la première entrée d'une porte ET 33 dont la seconde entrée 332 est connectée à la sortie Q du monostable 31
La sortie de la porte ET 33 constitue la sortie 241 du circuit de surveillance 24.The Q output of the flip-flop 32 is also connected, via an inverter 34, to the first input of an AND gate 33, the second input 332 of which is connected to the Q output of the monostable 31
The output of the AND gate 33 constitutes the output 241 of the monitoring circuit 24.

Le fonctionnement est le suivant
En l'absence d'incident la sortie Q du premier monostable 30 est à l'état bas 40 (figure 3a). Les impulsions sur l'entrée 242 permettent de maintenir cette sortie Q à l'état bas. Dans ces conditions, la sortie Q de la bascule 32 est également à l'état bas (figure 3b) et, de même, la sortie Q du monostable 31 est à l'état bas. Le signal sur l'entrée 331 de la porte 33 est alors à l'état haut (figure 3d) du fait de la présence de l'inverseur 34.The operation is as follows
In the absence of an incident, the output Q of the first monostable 30 is in the low state 40 (FIG. 3a). The pulses on input 242 keep this output Q low. Under these conditions, the output Q of the flip-flop 32 is also in the low state (FIG. 3b) and, similarly, the output Q of the monostable 31 is in the low state. The signal on input 331 of gate 33 is then in the high state (FIG. 3d) due to the presence of the inverter 34.

En cas d'incident, c'est-à-dlre si l'entrée 241 du premier monostable 30 ne reçoit pas d'impulsion de réenclenchement pendant la période de ce monostable, sa sortie Q passe à l'état haut 41 (figure 3a). Il en résulte que les sorties Q de la bascule 32 (figure 3b) et du second monostable 31 (figure 3c) passent à l'état haut et l'entrée de la porte 33 passe à l'état bas (figure 3d). In the event of an incident, that is to say if the input 241 of the first monostable 30 does not receive a reset pulse during the period of this monostable, its output Q goes to the high state 41 (FIG. 3a ). It follows that the outputs Q of the flip-flop 32 (FIG. 3b) and of the second monostable 31 (FIG. 3c) pass to the high state and the input of the gate 33 passes to the low state (FIG. 3d).

A l'issue de sa période T (figure 3c) le second monostable 31 voit sa sortie Q passer à ltétat bas. Si, à ce moment, la sortie Q du premier monostable 30 est encore à l'état haut 41, l'entrée 331 de la porte ET 33 est encore à l'état bas (figure 3d), les deux entrées de cette porte ET sont alors au même niveau, ce qui entraîne un signal sur la sortie de cette porte. Ce signal de sortie constitue un signal de défaut qui commande l'isolement du microprocesseur 10 du bus et le fonctionnement de la seconde carte d'unité centrale. At the end of its period T (FIG. 3c), the second monostable 31 sees its output Q pass to the low state. If, at this time, the output Q of the first monostable 30 is still in the high state 41, the input 331 of the AND gate 33 is still in the low state (FIG. 3d), the two inputs of this AND gate are then at the same level, which causes a signal on the output of this door. This output signal constitutes a fault signal which controls the isolation of the microprocessor 10 from the bus and the operation of the second central unit card.

Avant l'écoulement de la période T du second monostable, les entrées de la porte ET 33 sont ê des niveaux différents. Il n'y a alors pas de signal de défaut sur la sortie 241.  Before the end of the period T of the second monostable, the inputs of the AND gate 33 are at different levels. There is then no fault signal on output 241.

La sortie Q du monostable 30 est reliée, par une connexion 50 (figure 2), au microprocesseur 10 qui déclenche un programme de contrôle mettant en route des procédures, sous forme de logiciels, pouvant mettre fin. à l'incident. The output Q of the monostable 30 is connected, by a connection 50 (FIG. 2), to the microprocessor 10 which triggers a control program initiating procedures, in the form of software, which can terminate. to the incident.

L'incident peut ainsi être réparé avant l'écoulement de la période T. Une telle situation a été représentée par les diagrammes en traits interrompus sur les figures 3a à 3d. On voit que, dans ce cas, la sortie Q du monostable 30 passe à l'état bas 42 (figure 3a) avant l'écoulement du temps T. Il en résulte que, de même, la sortie Q de la bascule 32 passe, au même moment, à l'état bas et l'entrée 331 de la porte ET passe aussi à cet Instant à l'état haut. Ainsi lorsque la sortie Q (figure 3c) du second monostable 31 repasse à l'état bas les deux entrées de la porte ET sont à des niveaux différents, ce qui empêche l'émission d'un signal de défaut sur #la sortie 241.  The incident can thus be repaired before the end of period T. Such a situation has been represented by the broken line diagrams in FIGS. 3a to 3d. It can be seen that, in this case, the output Q of the monostable 30 goes to the low state 42 (FIG. 3a) before the passage of time T. It follows that, likewise, the output Q of the flip-flop 32 passes, at the same time, in the low state and the input 331 of the AND gate also changes to this Instant in the high state. Thus when the output Q (FIG. 3c) of the second monostable 31 returns to the low state the two inputs of the AND gate are at different levels, which prevents the emission of a fault signal on #the output 241.

Le circuit de surveillance à deux monostables qui est représenté sur la figure 2 peut être utilisé indépendamment de la disposition qui, en cas d'incident, consiste à isoler le microprocesseur du bus.  The monitoring circuit with two monostables which is shown in FIG. 2 can be used independently of the arrangement which, in the event of an incident, consists in isolating the microprocessor from the bus.

Claims (6)

REVENDICATIONS 1. Ordinateur comprenant une unité centrale à processeur (10) et un circuit de surveillance (24) qui émet un signal de défaut en cas de mauvais fonctionnement du processeur (10), l'unité centrale étant reliée à un bus, caractérisé en ce que qu'il comporte des moyens pour isoler, par établissement d'une haute impédance, le processeur (10) du bus quand le circuit de surveillance (24) émet un signal de défaut. 1. Computer comprising a central processor unit (10) and a monitoring circuit (24) which emits a fault signal in the event of malfunction of the processor (10), the central unit being connected to a bus, characterized in that that it comprises means for isolating, by establishing a high impedance, the processor (10) from the bus when the monitoring circuit (24) emits a fault signal. 2. Ordinateur selon la revendication 1, caractérisé en ce que le processeur (10) est relié au bus par l'intermédiaire de circuits (15, 19, 20) tels que tampon(s) et/ou inémorisateur(s) dont chacun présente une entrée (151, 191, 201) d'inhibition commandée par le circuit de surveillance (24) de façon à présenter sur sa sortie une haute impédance en cas de défaut. 2. Computer according to claim 1, characterized in that the processor (10) is connected to the bus via circuits (15, 19, 20) such as buffer (s) and / or timer (s) each of which has an inhibition input (151, 191, 201) controlled by the monitoring circuit (24) so as to present on its output a high impedance in the event of a fault. 3. Ordinateur selon la revendication 1, caractérisé en ce qu'il comporte deux unités centrales identiques et en ce que le circuit de surveillance (24) de l'une commande la mise en fonctionnement de l'autre en cas de défaut. 3. Computer according to claim 1, characterized in that it comprises two identical central units and in that the monitoring circuit (24) of one controls the operation of the other in the event of a fault. 4. Ordinateur selon l'une quelconque des revendications précédentes, caractérisé en ce que le circuit de surveillance (24) comporte deux monostables (30, 31), le premier monostable déclenchant, en cas de défaut, d'une part, un contrôle dans le processeur 10) et, d'autre part, le second monostable (31), un signal de défaut n'étant engendré par le circuit de surveillance que si, à l'issue de la période (T) du second monostable (31), la sortie du premier monostable indique encore un défaut. 4. Computer according to any one of the preceding claims, characterized in that the monitoring circuit (24) comprises two monostables (30, 31), the first monostable triggering, in the event of a fault, on the one hand, a check in processor 10) and, secondly, the second monostable (31), a fault signal being generated by the monitoring circuit only if, at the end of the period (T) of the second monostable (31) , the output of the first monostable still indicates a fault. 5. Ordinateur selon la revendication 4, caractérisé en ce que la sortie (Q) du premier monostable (30) est reliée à l'entrée d'horloge (H) d'une bascule (32) dont la sortie (Q) est connectée à l'entrée (B) du second monostable (31), cette sortie de la bascule (32) étant reliée à la première entrée (331) d'une porte ET (33) par l'intermédiaire d'un inverseur (34), la seconde entrée (332) de cette porte ET (33) étant connectée å la sortie (Q) du second monostable (31).  5. Computer according to claim 4, characterized in that the output (Q) of the first monostable (30) is connected to the clock input (H) of a flip-flop (32) whose output (Q) is connected at the input (B) of the second monostable (31), this output of the rocker (32) being connected to the first input (331) of an AND gate (33) via an inverter (34) , the second input (332) of this AND gate (33) being connected to the output (Q) of the second monostable (31). 6. Ordinateur selon l'une quelconque des revendications précédentes, caractérisé en ce que le circuit de surveillance (24) est connecté à la sortie d'adresses du processeur (10).  6. Computer according to any one of the preceding claims, characterized in that the monitoring circuit (24) is connected to the address output of the processor (10).
FR8802129A 1988-02-23 1988-02-23 CENTRAL CONTROL COMPUTER UNIT Expired - Fee Related FR2627607B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR8802129A FR2627607B1 (en) 1988-02-23 1988-02-23 CENTRAL CONTROL COMPUTER UNIT

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR8802129A FR2627607B1 (en) 1988-02-23 1988-02-23 CENTRAL CONTROL COMPUTER UNIT

Publications (2)

Publication Number Publication Date
FR2627607A1 true FR2627607A1 (en) 1989-08-25
FR2627607B1 FR2627607B1 (en) 1993-03-12

Family

ID=9363501

Family Applications (1)

Application Number Title Priority Date Filing Date
FR8802129A Expired - Fee Related FR2627607B1 (en) 1988-02-23 1988-02-23 CENTRAL CONTROL COMPUTER UNIT

Country Status (1)

Country Link
FR (1) FR2627607B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2648930A1 (en) * 1989-06-23 1990-12-28 Ansaldo Spa SWITCHING CARD OF A SPECIALIZED PROCESSOR FROM THE COMMUNICATION BUS OF A COMPUTERIZED SYSTEM CONSISTING OF SEVERAL SPECIALIZED PROCESSORS
FR2648929A1 (en) * 1989-06-23 1990-12-28 Ansaldo Spa SWITCHING MODULE FOR PAIRS OF APPROVED PROCESSORS CONNECTED BY AT LEAST ONE COMMUNICATION BUS

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0127072A2 (en) * 1983-05-20 1984-12-05 Olympus Optical Co., Ltd. Control system with a microprocessor
US4488303A (en) * 1982-05-17 1984-12-11 Rca Corporation Fail-safe circuit for a microcomputer based system
DE3335548A1 (en) * 1983-09-29 1985-04-18 Siemens AG, 1000 Berlin und 8000 München Monitoring device for a data processing system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4488303A (en) * 1982-05-17 1984-12-11 Rca Corporation Fail-safe circuit for a microcomputer based system
EP0127072A2 (en) * 1983-05-20 1984-12-05 Olympus Optical Co., Ltd. Control system with a microprocessor
DE3335548A1 (en) * 1983-09-29 1985-04-18 Siemens AG, 1000 Berlin und 8000 München Monitoring device for a data processing system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ELECTRONICS INTERNATIONAL, vol. 55, no. 23, 17 novembre 1982, page 146, New York, US; D.STERN: "Redundancy increases microprocessor reliability" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2648930A1 (en) * 1989-06-23 1990-12-28 Ansaldo Spa SWITCHING CARD OF A SPECIALIZED PROCESSOR FROM THE COMMUNICATION BUS OF A COMPUTERIZED SYSTEM CONSISTING OF SEVERAL SPECIALIZED PROCESSORS
FR2648929A1 (en) * 1989-06-23 1990-12-28 Ansaldo Spa SWITCHING MODULE FOR PAIRS OF APPROVED PROCESSORS CONNECTED BY AT LEAST ONE COMMUNICATION BUS

Also Published As

Publication number Publication date
FR2627607B1 (en) 1993-03-12

Similar Documents

Publication Publication Date Title
EP0535761B1 (en) Method for failure detection and passivation in a data processing system and data processing system suitable for its implementation
EP2366237B1 (en) Secure avionics equipment and associated method of making secure
FR2724026A1 (en) METHOD AND DEVICE FOR THE IDENTIFICATION OF TROUBLES IN A COMPLEX SYSTEM
FR2808353B1 (en) REDUNDANT INPUT/OUTPUT MANAGEMENT DEVICE, IN PARTICULAR COMPUTER ROUTING
FR2704329A1 (en) Security system with microprocessor, applicable in particular to the field of rail transport.
EP0724218A1 (en) Fault tolerant computer architecture
FR2863734A1 (en) DISC NETWORK SYSTEM AND INTERFACE CONVERTER
FR2627607A1 (en) Central processor for industrial control computer - uses buffers between processor and system bus, which are sent to high impedance state if processor fault is detected
JP2003501948A (en) Circuits for performing secure data transmission in circular bus systems, etc.
FR2844892A1 (en) Method of optimizing the functioning of real-time clock for microcontrollers, includes generation of re-initializing command when duration of separation of successive commands exceeds particular range
CA1257698A (en) System for providing a centralized control of multiple radiocommunication and radionavigation equipments aboard an aircraft
EP1417582A2 (en) Electronic circuit assembly comprising means for decontaminating error-contaminated parts
KR970004795B1 (en) Protection against loss or corruption of data upon switchover of a replicated system
US20060072251A1 (en) Safety system
FR2707773A1 (en) Integrated circuit of the hidden mask microcontroller type containing a generic test program, test station and corresponding manufacturing method.
FR2526601A1 (en) SYSTEM FOR POWER SUPPLYING AN APPARATUS INTENDED TO COOPERATE WITH A REMOVABLE ELECTRONIC SUPPORT SUCH AS A CARD AND APPARATUS EQUIPPED WITH SUCH A SYSTEM
EP0535760B1 (en) Method and apparatus of time discrimination between faults in a hierarchical data processing system
EP1533947B1 (en) Apparatus for unidirectinal connection in an Ethernet network
JPS6398242A (en) Series data exchanger
EP0636984B1 (en) Method and device for checking the data in a computer
EP0606809B1 (en) Safety control system
FR2688330A1 (en) ALARM DETECTION SYSTEM FOR A REDUNDANT CONFIGURATION CIRCUIT.
FR2632740A1 (en) Double-relay input-output device for control of security appts. - uses dual relays to provide input and output interfacing between devices in security system and microcomputer
JP3012561B2 (en) Signal holding circuit and method
FR2888365A1 (en) CONTROL AND COMMUNICATION UNIT BETWEEN A TERMINAL AND A MICROCIRCUIT CARD

Legal Events

Date Code Title Description
ST Notification of lapse