FR2654852A1 - Process for monitoring the operation of at least two microprocessors - Google Patents
Process for monitoring the operation of at least two microprocessors Download PDFInfo
- Publication number
- FR2654852A1 FR2654852A1 FR8915226A FR8915226A FR2654852A1 FR 2654852 A1 FR2654852 A1 FR 2654852A1 FR 8915226 A FR8915226 A FR 8915226A FR 8915226 A FR8915226 A FR 8915226A FR 2654852 A1 FR2654852 A1 FR 2654852A1
- Authority
- FR
- France
- Prior art keywords
- microprocessors
- cycles
- data
- comparison
- cycle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1695—Error detection or correction of the data by redundancy in hardware which are operating with time diversity
Abstract
Description
La présente invention concerne les procédés de surveillance du fonctionnement d'au moins deux microprocesseurs montés en coopération, soit par un montage dit "en parallèle", soit par un montage dit "en redondance", afin d'assurer une bonne sécurité à la commande des systèmes qu'ils sont amenés à piloter, par exemple ceux qui sont utilisés dans tous les dispositifs automatiques, notamment pour la commande des véhicules de transport sur rails. The present invention relates to the methods of monitoring the operation of at least two microprocessors mounted in cooperation, either by a so-called "parallel" arrangement, or by a so-called "redundant" arrangement, in order to ensure good control security. systems which they are brought to control, for example those which are used in all automatic devices, in particular for the control of rail transport vehicles.
Cette technique de montage de microprocesseurs souvent désignée par les hommes de l'art en la matière par "architecture biprocesseur homogène n est, dans son principe général, bien connue. La structure de ce type de montage comporte deux microprocesseurs identiques aptes à délivrer en sortie des données par cycles d'émissions périodiques, et deux bus de liaison reliant les sorties des deux microprocesseurs aux systèmes qu'ils doivent piloter.Pour assurer à la commande de ces systèmes la sécurité désirée, ce type de structure comporte en outre des moyens permettant d'avoir en permanence une comparaison des données véhiculées par les deux bus, c'est-à-dire un comparateur de bus dont les deux entrées de comparaison sont respectivement reliées aux deux bus, ce comparateur délivrant, sur sa sortie de comparaison, un signal qui est une image du résultat de la comparaison des données véhiculées simultanément par les deux bus. Quand l'un des deux microprocesseurs a un fonctionnement anormal, le comparateur constate une disparité entre les deux ensembles de données véhiculées par les deux bus. Il délivre alors, à sa sortie, un signal qui permet d'alerter et/ou de commander les moyens de sécurité pour éviter que le système piloté ne reçoive des informations erronées. This microprocessor mounting technique often referred to by those skilled in the art as "homogeneous biprocessor architecture n is, in its general principle, well known. The structure of this type of mounting comprises two identical microprocessors capable of delivering output data by periodic emission cycles, and two link buses connecting the outputs of the two microprocessors to the systems they must control. To ensure the control of these systems the desired security, this type of structure also includes means allowing to have a permanent comparison of the data carried by the two buses, that is to say a bus comparator, the two comparison inputs of which are respectively connected to the two buses, this comparator delivering, on its comparison output, a signal which is an image of the result of the comparison of the data carried simultaneously by the two buses. When one of the two microprocessors in abnormal operation, the comparator notes a disparity between the two sets of data carried by the two buses. It then delivers, at its output, a signal which makes it possible to alert and / or to control the safety means to prevent the piloted system from receiving erroneous information.
Cette structure donne a priori de bons résultats, mais présente cependant un inconvénient majeur : le risque de non émission, par le comparateur, d'un signal d'alerte, alors que le fonctionnement des deux microprocesseurs est incorrect. Pour prévenir ce risque, le comparateur est réalisé avec des éléments présentant toute la fiabilité voulue. Le résultat est bien entendu atteint, mais au détriment de l'encombrement du dispositif et, surtout, de son prix de revient. This structure gives a priori good results, but nevertheless has a major drawback: the risk of non-emission, by the comparator, of an alert signal, while the operation of the two microprocessors is incorrect. To prevent this risk, the comparator is made with elements having all the desired reliability. The result is of course achieved, but at the expense of the bulk of the device and, above all, its cost price.
La présente invention a pour but de mettre en oeuvre un procédé de surveillance du fonctionnement d'une structure à au moins deux microprocesseurs pour la commande de dispositifs automatiques, qui permette d'obtenir des résultats aussi fiables que ceux donnés par des systèmes selon l'art antérieur et une réalisation de dispositifs de surveillance moins encombrants et moins coûteux, par le fait que les moyens essentiels pour cette réalisation comportent des éléments électroniques moins nombreux et moins cortex que ceux entrant dans la composition du comparateur rappelé ci-dessus. The object of the present invention is to implement a method for monitoring the operation of a structure with at least two microprocessors for controlling automatic devices, which makes it possible to obtain results as reliable as those given by systems according to the invention. prior art and an embodiment of less bulky and less costly monitoring devices, by the fact that the essential means for this embodiment comprise fewer and less cortex electronic elements than those used in the composition of the comparator recalled above.
Plus précisément, la présente invention a pour objet un procédé de surveillance du fonctionnement de deux microprocesseurs montés en parallèle ou en redondance, pour la commande de systèmes automatiques, lesdits microprocesseurs émettant des données en cycles successifs, chaque cycle émis étant différent du cycle précédent, caractérisé par le fait qu'il consiste à
- décaler l'émission de l'un des deux microprocesseurs par rapport à l'émission de l'autre, de façon que les cycles émis par les deux microprocesseurs soient déphasés d'une valeur donnée,
- comparer les données des cycles respectivement émis par les deux microprocesseurs, et à
- émettre des signaux de comparaison représentatifs du résultat de ladite comparaison, cesdits signaux de comparaison étant aptes à prendre deux états différents correspondant respectivement à des données identiques et à des données différentes.More specifically, the subject of the present invention is a method for monitoring the operation of two microprocessors mounted in parallel or in redundancy, for controlling automatic systems, said microprocessors transmitting data in successive cycles, each cycle transmitted being different from the previous cycle, characterized by the fact that it consists of
- shift the emission of one of the two microprocessors with respect to the emission of the other, so that the cycles transmitted by the two microprocessors are out of phase with a given value,
- compare the data of the cycles respectively emitted by the two microprocessors, and
- send comparison signals representative of the result of said comparison, said comparison signals being able to take two different states corresponding respectively to identical data and to different data.
D'autres caractéristiques et avantages de la présente invention apparattront au cours de la description suivante donnée en regard des dessins annexés à titre illustratif, mais nullement limitatif, dans lesquels
La figure l représente un schéma synoptique d'un mode de réalisation d'une architecture biprocesseur permettant de mettre en oeuvre le procédé selon l'invention,
La figure 2 représente un ensemble de courbes permettant d'expliciter le procédé selon l'invention,
Les figures 3 et 4 représentent respectivement deux modes de réalisation d'un élément entrant dans la composition de la structure selon la figure l, et
La figure 5 représente un mode de réalisation d'un détail de l'élément selon la figure 4.Other characteristics and advantages of the present invention will appear during the following description given with reference to the drawings annexed by way of illustration, but in no way limitative, in which
FIG. 1 represents a block diagram of an embodiment of a biprocessor architecture making it possible to implement the method according to the invention,
FIG. 2 represents a set of curves making it possible to explain the method according to the invention,
FIGS. 3 and 4 respectively represent two embodiments of an element entering into the composition of the structure according to FIG. 1, and
FIG. 5 represents an embodiment of a detail of the element according to FIG. 4.
L'invention se rapporte à un procédé de surveillance du fonctionnement de deux microprocesseurs montés en parallèle ou en redondance, pour la commande de systèmes automatiques. La figure l représente un schéma synoptique d'une architecture biprocesseur permettant de mettre en oeuvre ce procédé. La structure biprocesseur schématiquement illustrée comporte deux microprocesseurs l, 2 alimentés de façon connue par tout moyen, notamment, chacun, par une horloge 3, 4 dont les sorties sont respectivement reliées à leurs entrées d'alimentation, ces deux microprocesseurs étant simultanément mis en fonctionnement au moyen d'un organe de commande illustré par un interrupteur 5 dont la sortie est reliée à leurs entrées de commande. The invention relates to a method for monitoring the operation of two microprocessors mounted in parallel or in redundancy, for controlling automatic systems. FIG. 1 represents a block diagram of a biprocessor architecture making it possible to implement this method. The biprocessor structure schematically illustrated comprises two microprocessors 1, 2 supplied in a known manner by any means, in particular each by a clock 3, 4 whose outputs are respectively connected to their power inputs, these two microprocessors being simultaneously put into operation by means of a control member illustrated by a switch 5, the output of which is connected to their control inputs.
Les sorties 6, 7, respectivement des deux microprocesseurs l, 2, sont respectivement reliées à des conducteurs 8, 9 bien connus en eux-mêmes et que les techniciens dénomment par le terme de "bus qui est devenu un terme générique. The outputs 6, 7, respectively of the two microprocessors 1, 2, are respectively connected to conductors 8, 9 well known in themselves and which the technicians denote by the term "bus which has become a generic term.
Dans le cadre de la mise en oeuvre du procédé selon l'invention, ces deux microprocesseurs sont choisis pour émettre des données en cycles successifs, chaque cycle émis étant différent du cycle précédent, étant entendu que, pour la sécurité de la commande des dispositifs automatiques pilotés par cette structure biprocesseur, chaque cycle émis par un microprocesseur est identique au cycle correspondant émis par l'autre. In the context of the implementation of the method according to the invention, these two microprocessors are chosen to transmit data in successive cycles, each cycle transmitted being different from the previous cycle, it being understood that, for the security of the control of the automatic devices controlled by this biprocessor structure, each cycle emitted by a microprocessor is identical to the corresponding cycle emitted by the other.
Le procédé selon l'invention se caractérise essentiellement par le fait que l'émission des cycles de l'un des deux microprocesseurs est décalée par rapport à l'émission des cycles de l'autre, de façon que les cycles émis soient déphasés d'une valeur donnée. Sur la figure 2, courbe A, est représenté un exemple de cycles 18 véhiculés sur le bus 8, tandis que la courbe B représente les cycles 19 qui sont véhiculés sur le bus 9. Les émissions sont bien décalées l'une par rapport à l'autre, le déphasage des cycles 18 et 19 illustré étant égal à un demi-cycle. Plus précisément, dans l'exemple illustré, les cycles 18 sont en retard de phase par rapport aux cycles 19. The method according to the invention is essentially characterized by the fact that the emission of the cycles of one of the two microprocessors is offset with respect to the emission of the cycles of the other, so that the cycles transmitted are out of phase with a given value. In FIG. 2, curve A, an example of cycles 18 conveyed on bus 8 is shown, while curve B represents cycles 19 which are conveyed on bus 9. The emissions are well offset one with respect to l 'other, the phase shift of cycles 18 and 19 illustrated being equal to half a cycle. More specifically, in the example illustrated, the cycles 18 are lagging phase with respect to the cycles 19.
Les deux bus 8, 9 sont reliés à un système de commande automatique comportant, par exemple, des mémoires tampons 21, 22. The two buses 8, 9 are connected to an automatic control system comprising, for example, buffer memories 21, 22.
Dans le cadre du procédé selon l'invention, les données véhiculées par les deux bus 8, 9 sont comparées dans un comparateur de bus 23 monté en parallèle sur les deux bus 8, 9, ses deux entrées de comparaison 24, 25 étant respectivement connectées à ces deux bus. In the context of the method according to the invention, the data carried by the two buses 8, 9 are compared in a bus comparator 23 mounted in parallel on the two buses 8, 9, its two comparison inputs 24, 25 being respectively connected to these two buses.
Le comparateur 23 compare les deux ensembles de données des cycles 18, 19 respectivement émis par les deux microprocesseurs 1, 2 et émet à sa sortie 26 des signaux de comparaison représentatifs du résultat de la comparaison. The comparator 23 compares the two data sets of the cycles 18, 19 respectively transmitted by the two microprocessors 1, 2 and emits at its output 26 comparison signals representative of the result of the comparison.
Comme illustré sur la figure 2, les deux ensembles de cycles 18, 19 sont déphasés d'un demi-cycle. Les demi-cycles 18-1 et 19-2 sont identiques parce qu'ils appartiennent à des cycles identiques, tandis que les demi-cycles 18-2 et 19-1 sont différents, car appartenant, eux, à des cycles différents. Pour les demi-cycles identiques, les signaux de comparaison délivrés par le comparateur 23 à sa sortie 26 ont un niveau 27, tandis que les signaux de comparaison délivrés pour les demi-cycles différents ont un autre niveau 28. Le signal global 29 prend ainsi la forme représentée sur la courbe C de la figure 2, celle d'un signal carré, dont les demi-périodes dépendent de la valeur du déphasage entre les émissions des cycles 18 et 19. As illustrated in FIG. 2, the two sets of cycles 18, 19 are phase shifted by half a cycle. Half-cycles 18-1 and 19-2 are identical because they belong to identical cycles, while half-cycles 18-2 and 19-1 are different because they belong to different cycles. For identical half-cycles, the comparison signals delivered by comparator 23 at its output 26 have a level 27, while the comparison signals delivered for different half-cycles have another level 28. The global signal 29 thus takes the form represented on curve C of FIG. 2, that of a square signal, the half-periods of which depend on the value of the phase shift between the emissions of cycles 18 and 19.
Dans l'exemple de déphasage choisi égal à un demi-cycle, les demi-périodes du signal carré global sont égales. In the example of phase shift chosen equal to half a cycle, the half-periods of the global square signal are equal.
Un signal de comparaison de forme carrée est l'image d'un bon fonctionnement des deux microprocesseurs et, si l'un des deux microprocesseurs, ou les deux, ne fonctionnent pas correctement, le signal obtenu à la sortie 26 du comparateur perd sa forme carrée. A square-shaped comparison signal is the image of a good functioning of the two microprocessors and, if one or both of the two microprocessors do not function properly, the signal obtained at output 26 of the comparator loses its shape square.
Cependant, pour obtenir une sécurité encore plus grande dans la surveillance du fonctionnement de l'ensemble des deux microprocesseurs, le procédé consiste en outre, et avantageusement, à étudier la récurrence des deux états 27, 28 dans le signal de comparaison global 29 délivré à la sortie 26 du comparateur 23, par rapport à au moins une récurrence de référence. However, to obtain even greater security in monitoring the operation of all of the two microprocessors, the method also consists, and advantageously, of studying the recurrence of the two states 27, 28 in the global comparison signal 29 delivered to the output 26 of the comparator 23, with respect to at least one reference recurrence.
Dans un mode de mise en oeuvre avantageux, la ou les récurrences de référence sont élaborées à partir des signaux représentatifs des cycles de données 18, 19 véhiculés sur les bus 8, 9. Dans l'exemple illustré par les deux courbes D et E de la figure 2, cette récurrence est celle des signaux carrés 41, 42 correspondant à la récurrence des cycles véhiculés par les bus 8 et 9. In an advantageous embodiment, the reference recurrence (s) are produced from the signals representative of the data cycles 18, 19 carried on the buses 8, 9. In the example illustrated by the two curves D and E of In FIG. 2, this recurrence is that of the square signals 41, 42 corresponding to the recurrence of the cycles carried by the buses 8 and 9.
C'est pour cela que le système de mise en oeuvre du procédé illustré sur la figure 1 comporte en outre un circuit de validation 30 dont l'entrée 31 est reliée à la sortie 26 du comparateur 23, et dont deux entrées d'alimentation 32, 33 sont respectivement reliées aux deux bus 8, 9. De cette façon, les signaux de comparaison émis par le comparateur sont analysés pour étudier leur récurrence, par rapport à celle des cycles véhiculés dans les deux bus. This is why the system for implementing the method illustrated in FIG. 1 also includes a validation circuit 30, the input 31 of which is connected to the output 26 of the comparator 23, and including two supply inputs 32 , 33 are respectively connected to the two buses 8, 9. In this way, the comparison signals emitted by the comparator are analyzed to study their recurrence, compared to that of the cycles carried in the two buses.
Une récurrence identique à celle des cycles émis permet de conclure à un bon fonctionnement des microprocesseurs, mais aussi du comparateur et du circuit de validation. Par contre un résultat correspondant à une différence par rapport à la récurrence de référence est représentatif d'un mauvais fonctionnement. A recurrence identical to that of the transmitted cycles makes it possible to conclude that the microprocessors, but also the comparator and the validation circuit, are functioning properly. On the other hand, a result corresponding to a difference with respect to the reference recurrence is representative of a malfunction.
Le circuit de validation 30 délivre ainsi, sur ses sorties 34, 35, un signal représentatif du résultat de la comparaison des récurrences des différents signaux. Ce signal peut être exploité comme signal d'alarme, et même comme signal d'arrêt de la commande du système automatique piloté par les deux microprocesseurs 1 et 2. The validation circuit 30 thus delivers, on its outputs 34, 35, a signal representative of the result of the comparison of the recurrences of the different signals. This signal can be used as an alarm signal, and even as a stop signal for the control of the automatic system controlled by the two microprocessors 1 and 2.
Sur la courbe F de la figure 2, est représenté un signal 43 image de l'étude qui peut être effectuée dans le circuit de validation 30 et à partir duquel peut etre déterminé le signal d'alarme, comme défini ci-avant. La forme illustrée de ce signal 43 est celle obtenue si les signaux 29, 41 et 42 ont la forme illustrée sur cette figure 2 et elle est représentative d'un bon fonctionnement du système dans son ensemble. On the curve F of FIG. 2, a signal 43 image of the study is represented which can be carried out in the validation circuit 30 and from which the alarm signal can be determined, as defined above. The illustrated form of this signal 43 is that obtained if the signals 29, 41 and 42 have the form illustrated in this FIG. 2 and it is representative of a good functioning of the system as a whole.
Ce signal image 43 est analysé dans le circuit de validation 30 qui délivre à ses sorties 34, 35 des signaux de commande appliqués, par exemple, aux entrées de blocage ou de validation 44, 45 respectivement des deux microprocesseurs 1 et 2, mais aussi aux entrées 46, 47 d'un circuit de commande de mise en arrêt 48 de l'ensemble du système automatique piloté par les deux microprocesseurs. Ce circuit de commande de mise en arrêt 48 couramment dénommé, par les techniciens, chien de garde peut être un relais amplificateur de commande de coupure, par exemple de l'alimentation en énergie du système automatique. This image signal 43 is analyzed in the validation circuit 30 which delivers to its outputs 34, 35 control signals applied, for example, to the blocking or validation inputs 44, 45 respectively of the two microprocessors 1 and 2, but also to the inputs 46, 47 of a shutdown control circuit 48 of the entire automatic system controlled by the two microprocessors. This shutdown control circuit 48 commonly called, by technicians, watchdog can be an amplification control relay relay, for example of the power supply of the automatic system.
Les figures 3 à 5 sont relatives à des modes de réalisation plus particulièrement du circuit de validation 30 défini ci-avant. FIGS. 3 to 5 relate to embodiments more particularly of the validation circuit 30 defined above.
Le décalage ou la mise en quadrature des cycles des deux microprocesseurs est obtenu par la commande d'une synchronisation de type handshake des deux microprocesseurs en utilisant leurs signaux caractéristiques. The shift or the quadrature of the cycles of the two microprocessors is obtained by controlling a handshake type synchronization of the two microprocessors using their characteristic signals.
Pour l'exemple, le Demandeur a mis en oeuvre le procédé au moyen de deux microprocesseurs vendus dans le commerce sous la référence commerciale MOTOROLA 68000 dont il a utilisé les signaux caractéristiques, à savoir les signaux référencés:
- AS : Adress Strobe
- DTACK : Data Transfer ACKnowledge
- et l'information A=B résultat de la comparaison des deux bus obtenu à la sortie 26 du comparateur de bus 23.For the example, the Applicant has implemented the method by means of two microprocessors sold commercially under the commercial reference MOTOROLA 68000 of which it has used the characteristic signals, namely the signals referenced:
- AS: Address Strobe
- DTACK: Data Transfer ACKnowledge
- and the information A = B result of the comparison of the two buses obtained at output 26 of the bus comparator 23.
Ce fonctionnement en quadrature de cycle est assuré par exemple au moyen d'un microprogramme implanté dans une mémoire 50 du type ROM , qui est l'élément essentiel du circuit de validation 30, comme illustré sur la figure 3. Cette mémoire ROM contrôle de façon séquentielle les changements d'état des signaux AS et DTACK des deux microprocesseurs et le résultat A=B de la comparaison dans le même cycle. Ce microprogramme active les acquittements DTACK envers chaque microprocesseur pour leur permettre de passer alternativement au cycle suivant. Cette fonction de séquencement est décrite dans la mémoire
ROM sous forme de graphe d'état qui décrit la microséquence type. Tout écart de cette séquence amène le graphe dans un état puits 51, figure 3.La place puits" 51 peut être décomposée sous forme de graphes pour améliorer la disponibilité par tolérance aux fautes.This cycle quadrature operation is ensured for example by means of a microprogram implanted in a memory 50 of the ROM type, which is the essential element of the validation circuit 30, as illustrated in FIG. 3. This ROM memory controls so sequential changes of state of the AS and DTACK signals of the two microprocessors and the result A = B of the comparison in the same cycle. This firmware activates the DTACK acknowledgments to each microprocessor to allow them to switch alternately to the next cycle. This sequencing function is described in the memory
ROM in the form of a state graph which describes the typical microsequence. Any deviation from this sequence brings the graph into a well state 51, FIG. 3. The well place "51 can be broken down into graphs to improve availability by fault tolerance.
L'état initial est choisi de manière à acquitter un microprocesseur, par exemple le microprocesseur 1, en premier. The initial state is chosen so as to acknowledge a microprocessor, for example microprocessor 1, first.
L'implantation du microprogramme est faite dans une mémoire
ROM dont une partie du bus données 56, figure 3, est rebouclée sur la partie basse du bus adresse 57, pour faciliter le séquencement et assurer la récurrence définie ci-avant. A chaque place du graphe est associée une case mémoire 58 qui contient l'adresse de la place suivante et les actions à activer. L'accès à chaque case mémoire provoque l'acquittement de l'un des deux signaux DTACK pour maintenir la quadrature du cycle et prédispose la place suivante à l'aide de la partie données rebouclée sur la partie basse du bus adresse. Les autres cases seront chargées par le contenu de la place puits" ou poubelle qui sera rebouclée sur elle-même.Les transitions du graphe représentent les changements des états des entrées reliées à la partie haute du bus adresse.The implantation of the firmware is done in a memory
ROM of which a part of the data bus 56, FIG. 3, is looped back to the lower part of the address bus 57, to facilitate sequencing and ensure the recurrence defined above. Each place in the graph is associated with a memory box 58 which contains the address of the next place and the actions to be activated. Access to each memory box causes the acknowledgment of one of the two DTACK signals to maintain the quadrature of the cycle and predisposes the next place using the data part looped back to the lower part of the address bus. The other boxes will be loaded by the content of the well space "or bin which will be looped back on itself. The transitions of the graph represent the changes in the states of the inputs connected to the upper part of the address bus.
L'erreur dans une séquence due, soit à une défaillance matérielle, soit à un mauvais résultat du comparateur des bus, se traduit par l'arrêt du système en plaçant le microprogramme dans l'état "puits" dans lequel les deux signaux DTACKs seront figés, ce qui aura pour conséquence de bloquer l'évolution du programme d'application. The error in a sequence due, either to a hardware failure, or to a poor result of the bus comparator, results in the system stopping by placing the firmware in the "sink" state in which the two DTACKs signals will be frozen, which will have the effect of blocking the evolution of the application program.
Le système ne pourra être débloqué que par l'application d'un signal "RESET" à l'entrée 59 du circuit de validation 30 élaboré par exemple au moyen de l'interrupteur de commande 5 défini ci-avant. The system can only be released by the application of a "RESET" signal to input 59 of the validation circuit 30 developed for example by means of the control switch 5 defined above.
La réalisation avantageuse qui a été choisie et réalisée par le Demandeur, comme illustré sur les figures 1 et 4, comporte en fait deux mémoires ROMs 52, 53 contenant chacune des microprogrammes de cons rôle et de séquencement complémentés, excepté les états dits "poubelles". Les sorties DTACK des deux ROMs sont comparées à l'aide de portes "OU exclusif 54, 55 de sécurité dont les sorties sont utilisées comme horloge de séquencement des deux ROMs, figure 4, la figure 5 donnant un exemple de réalisation d'une telle porte "OU exclusif" de sécurité 54, 55. The advantageous embodiment which has been chosen and produced by the Applicant, as illustrated in FIGS. 1 and 4, in fact comprises two ROM memories 52, 53 each containing complementary role and sequencing firmware, except for the so-called "trash" states . The DTACK outputs of the two ROMs are compared using security OR gates 54, 55 whose outputs are used as the sequencing clock of the two ROMs, FIG. 4, FIG. 5 giving an example of embodiment of such a security "exclusive OR" door 54, 55.
La figure 5 représente un exemple de réalisation d'une porte "OU exclusif de sécurité connue en elle-m#me et qui, schématiquement, comporte quatre diodes 60-63 montées en pont recevant sur leur point milieu 64, 65 les deux signaux à comparer, les deux autres points 66, 67 étant reliés respectivement aux collecteur 68 et émetteur 69 d'un transistor 70 dont la base 71 reçoit les signaux de cadencement des mémoires ROMs. Le collecteur 68 constitue la sortie de la porte "OU" 54, 55. FIG. 5 represents an exemplary embodiment of an exclusive security OR gate known in itself and which, schematically, comprises four diodes 60-63 mounted in a bridge receiving at their midpoint 64, 65 the two signals to compare, the two other points 66, 67 being respectively connected to the collector 68 and emitter 69 of a transistor 70 whose base 71 receives the timing signals from the ROM memories. The collector 68 constitutes the output of the "OR" gate 54, 55.
Claims (4)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR8915226A FR2654852A1 (en) | 1989-11-21 | 1989-11-21 | Process for monitoring the operation of at least two microprocessors |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR8915226A FR2654852A1 (en) | 1989-11-21 | 1989-11-21 | Process for monitoring the operation of at least two microprocessors |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR2654852A1 true FR2654852A1 (en) | 1991-05-24 |
Family
ID=9387580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR8915226A Pending FR2654852A1 (en) | 1989-11-21 | 1989-11-21 | Process for monitoring the operation of at least two microprocessors |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR2654852A1 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2396361A1 (en) * | 1977-06-29 | 1979-01-26 | Siemens Ag | DIGITAL DATA PROCESSING INSTALLATION, ESPECIALLY FOR RAILWAY SECURITY TECHNOLOGY |
| GB2019622A (en) * | 1978-04-14 | 1979-10-31 | Lucas Industries Ltd | Digital computing apparatus |
| US4255809A (en) * | 1979-11-02 | 1981-03-10 | Hillman Dale A | Dual redundant error detection system for counters |
| JPS5818756A (en) * | 1981-07-24 | 1983-02-03 | Hitachi Ltd | Comparing and inspecting circuit |
-
1989
- 1989-11-21 FR FR8915226A patent/FR2654852A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2396361A1 (en) * | 1977-06-29 | 1979-01-26 | Siemens Ag | DIGITAL DATA PROCESSING INSTALLATION, ESPECIALLY FOR RAILWAY SECURITY TECHNOLOGY |
| GB2019622A (en) * | 1978-04-14 | 1979-10-31 | Lucas Industries Ltd | Digital computing apparatus |
| US4255809A (en) * | 1979-11-02 | 1981-03-10 | Hillman Dale A | Dual redundant error detection system for counters |
| JPS5818756A (en) * | 1981-07-24 | 1983-02-03 | Hitachi Ltd | Comparing and inspecting circuit |
Non-Patent Citations (1)
| Title |
|---|
| PATENT ABSTRACTS OF JAPAN, vol. 7, no. 93 (P-192)[1238], 19 avril 1983; & JP-A-58 18 756 (HITACHI SEISAKUSHO K.K.) 03-02-1983 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0699997B1 (en) | Method for identification of faults in a complex system | |
| EP1764694B1 (en) | Redundant control method and apparatus for fail safe computers | |
| FR2566555A1 (en) | INTERCONNECTABLE COMPUTER NETWORK FOR REAL-TIME WORK | |
| EP2235632B1 (en) | Secured system for data transmission | |
| EP0724218B1 (en) | Fault tolerant computer apparatus | |
| FR2794876A1 (en) | Dynamic reconfiguration of information processing system after detection of failure of component; brings system to coherent state using special programs then components are reallocated, and component at risk isolated | |
| FR2925191A1 (en) | HIGH INTEGRITY DIGITAL PROCESSING ARCHITECTURE WITH MULTIPLE SUPERVISED RESOURCES | |
| EP0233221A1 (en) | Apparatus and method for detecting time-related faults. | |
| FR2654852A1 (en) | Process for monitoring the operation of at least two microprocessors | |
| FR2760109A1 (en) | METHOD AND DEVICE FOR THE EXECUTION BY A SINGLE PROCESSOR OF MULTIPLE FUNCTIONS OF DIFFERENT CRITICITY LEVELS, WITH HIGH OPERATING SAFETY | |
| WO2010091787A1 (en) | Method for communication between two automotive electronic computers and associated device | |
| FR2701775A1 (en) | Method and device for protecting a serial bus against short circuits. | |
| FR2844892A1 (en) | Method of optimizing the functioning of real-time clock for microcontrollers, includes generation of re-initializing command when duration of separation of successive commands exceeds particular range | |
| FR3024932A1 (en) | METHOD FOR TRANSMITTING DATA WITH IMPROVED ROBUSTNESS AND SET OF DEVICES FOR IMPLEMENTING IT | |
| FR2505582A1 (en) | SYSTEM FOR PHASING DIGITAL TRAINS AND ITS APPLICATION TO THE SWITCHING OF THESE TRAINS | |
| FR3082960A1 (en) | ELECTRONIC ARCHITECTURE OF MOTOR VEHICLE WITH REDUNDANCY OF POWER SUPPLY AND INTER-COMPUTER COMMUNICATION NETWORKS. | |
| FR2647998A1 (en) | SYSTEM FOR TRANSMITTING CONTROL / MONITOR SIGNALS | |
| FR2707773A1 (en) | Integrated circuit of the hidden mask microcontroller type containing a generic test program, test station and corresponding manufacturing method. | |
| EP2251789B1 (en) | Input/output module for sensors and/or actuators exchanging information with two central processing units | |
| EP3991029A1 (en) | Method of dialogue with a computer on an on-board bus of a vehicle | |
| EP0573314B1 (en) | Control unit or programmable control | |
| EP2693338B1 (en) | Method for monitoring the coordinated execution of tasks sequenced by an electronic card having at least two processors synchronised on the same clock | |
| EP3844575A1 (en) | High-availability electrical switch: control of a simplex actuation chain by redundant control | |
| CN115136517A (en) | Method and system for performing time synchronization | |
| FR3046861A1 (en) | SYNCHRONIZATION METHOD, DEVICE AND VEHICLE THEREFOR |