ITMI20082068A1 - Sistema elettronico per il rilevamento di un guasto - Google Patents

Sistema elettronico per il rilevamento di un guasto

Info

Publication number
ITMI20082068A1
ITMI20082068A1 IT002068A ITMI20082068A ITMI20082068A1 IT MI20082068 A1 ITMI20082068 A1 IT MI20082068A1 IT 002068 A IT002068 A IT 002068A IT MI20082068 A ITMI20082068 A IT MI20082068A IT MI20082068 A1 ITMI20082068 A1 IT MI20082068A1
Authority
IT
Italy
Prior art keywords
redundancy
data
receive
electronic
devices
Prior art date
Application number
IT002068A
Other languages
English (en)
Inventor
Massimo Baleani
Alberto Ferrari
Marco Losi
Leonardo Mangeruca
Original Assignee
Parades S C A R L
St Microelectronics Srl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Parades S C A R L, St Microelectronics Srl filed Critical Parades S C A R L
Priority to ITMI2008A002068A priority Critical patent/IT1391785B1/it
Priority to US12/616,690 priority patent/US8127180B2/en
Publication of ITMI20082068A1 publication Critical patent/ITMI20082068A1/it
Application granted granted Critical
Publication of IT1391785B1 publication Critical patent/IT1391785B1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/845Systems in which the redundancy can be transformed in increased performance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Monitoring And Testing Of Transmission In General (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Automatic Cycles, And Cycles In General (AREA)

Description

“Sistema elettronico per il rilevamento di un guastoâ€
Campo tecnico dell’invenzione
La presente invenzione riguarda in generale un sistema elettronico per effettuare la comunicazione fra una pluralità di dispositivi elettronici. Più in particolare, la presente invenzione riguarda un sistema elettronico con architettura di tipo “masterslave†per il rilevamento di un guasto nel sistema stesso.
Tecnica nota
Sono noti dei sistemi elettronici con architettura “master-slave†(“padrone-schiavo†) in grado di rilevare un guasto di uno dei dispositivi “master†(“padrone†). Questo à ̈ realizzato ad esempio replicando il dispositivo master principale con un dispositivo master di ridondanza, il quale à ̈ sincronizzato con il dispositivo master principale. Un controllore effettua (per esempio, ad ogni periodo del segnale d’orologio del sistema) un confronto fra i dati generati dal dispositivo master principale e quelli generati dal dispositivo master replicato: nel caso venga rilevato un valore diverso fra i dati generati dal dispositivo master principale e quello di ridondanza, il controllore genera un segnale d’errore che indica un guasto di uno dei master .
Questi sistemi hanno lo svantaggio di essere in grado di rilevare solo un guasto del master, ma non sono in grado di rilevare errori di altre parti del sistema elettronico.
Breve sommario dell’invenzione
La presente invenzione riguarda un dispositivo elettronico adattatore come definito nella annessa rivendicazione 1 e da una forma di realizzazione preferita descritta nella rivendicazione dipendente 2.
Forma oggetto della presente invenzione anche un sistema elettronico definito nella annessa rivendicazione 3 e nelle forme di realizzazione preferite descritte nelle rivendicazioni dipendenti da 4 a 11.
I vantaggi della presente invenzione sono i seguenti:
- Ã ̈ possibile rilevare un guasto nel percorso fra i master e gli slave, come ad esempio:
• errori o guasti dei canali di comunicazione fra i master e gli slave;
• un guasto dell’arbitro dei master, che potrebbe bloccare l’accesso di un master ai dispositivi slave e consentire l’accesso agli slave solo ad altri master oppure l’arbitro potrebbe elevare la priorità di un master ritardando così l’accesso agli slave per gli altri master;
• un guasto dei selettori dei dati trasmessi dai master, che può causare la selezione di un master scorretto;
• un guasto dei decodificatori degli indirizzi trasmessi dai master per selezionare lo slave, dato che i decodificatori potrebbero generare erroneamente gli indirizzi che identificano gli slave, causando ad esempio la selezione dello slave sbagliato oppure impedendo la selezione di uno slave;
• un guasto di componenti collegati ai dispositivi slave: ad esempio, nel caso in cui il dispositivo slave sia una memoria, tale componente à ̈ un controllore della memoria;
• un guasto del controllore dell’interrupt collegato agli slave per mezzo di un canale di comunicazione d’interrupt per ricevere l’indicazione di un interrupt dagli slave: ad esempio, il controllore dell’interrupt genera l’indicazione di un interrupt di una periferica che in realtà non c’à ̈ stato oppure genera l’indicazione di un interrupt di una periferica diversa da quella che in realtà ha generato l’interrupt.
Breve descrizione dei disegni
Ulteriori caratteristiche ed i vantaggi dell’invenzione risulteranno dalla descrizione che segue di una forma di realizzazione preferita e di sue varianti fornita a titolo esemplificativo con riferimento ai disegni allegati, in cui:
- la Figura 1A mostra schematicamente un sistema elettronico secondo una prima forma di realizzazione dell’invenzione;
- la Figura 1B mostra schematicamente una variante del sistema elettronico secondo la prima forma di realizzazione dell’invenzione;
- la Figura 2 mostra schematicamente un sistema elettronico secondo una seconda forma di realizzazione dell’invenzione;
- la Figura 3 mostra schematicamente un sistema elettronico secondo una terza forma di realizzazione dell’invenzione;
- la Figura 4 mostra schematicamente un sistema elettronico secondo una quarta forma di realizzazione dell’invenzione;
- la Figura 5A mostra schematicamente un sistema elettronico secondo una quinta forma di realizzazione dell’invenzione;
- la Figura 5B mostra schematicamente un sistema elettronico secondo una variante della quinta forma di realizzazione dell’invenzione;
- la Figura 6 mostra schematicamente un’altra variante del sistema elettronico secondo la prima forma di realizzazione dell’invenzione.
Descrizione dettagliata dell’invenzione
Con riferimento alla figura 1A, viene mostrato un sistema elettronico 50 secondo la prima forma di realizzazione dell’invenzione.
Il sistema elettronico 50 comprende:
- una prima pluralità di dispositivi elettronici 1, 2, ... (indicati rispettivamente anche con M0, M1, ...)
- una seconda pluralità di dispositivi elettronici 3, 4, ... (indicati rispettivamente anche con M0_r, M1_r, ...);
- canali di comunicazione 30, 31, ..., 40, 41, ...;
- un dispositivo 10 ed un dispositivo di ridondanza 11;
- un controllore 5;
- uno o più dispositivi 20, 21, ... (indicati rispettivamente anche con S0, S1, ...).
La prima pluralità di dispositivi 1, 2, ... à ̈ tale da trasmettere dati sui canali di comunicazione 30, 31, ... La seconda pluralità di dispositivi 3, 4, ... à ̈ tale da trasmettere dati di ridondanza sui canali di comunicazione 40, 41, ...; in particolare, il dispositivo 3 della seconda pluralità à ̈ tale da trasmettere dati che sono ridondanti rispetto ai dati trasmessi dal dispositivo 1 della prima pluralità, allo scopo di rilevare un guasto nel sistema 50, come verrà spiegato meglio in seguito. Analogamente, il dispositivo 4 della seconda pluralità à ̈ tale da trasmettere dati che sono ridondanti rispetto ai dati trasmessi dal dispositivo 2 della prima pluralità, allo scopo di rilevare un guasto nel sistema 50.
Si osservi che con il termine “dati†si intende sia dati di informazione (ad esempio, dati da scrivere in una memoria) sia dati di controllo (ad esempio, dati di controllo di una memoria, come gli indirizzi della memoria).
Si osservi inoltre che con l’espressione dati di “ridondanza†trasmessi dal dispositivo 3 della seconda pluralità si intende che detto dispositivo 3 della seconda pluralità à ̈ tale da trasmettere (in un certo intervallo di tempo) gli stessi dati del rispettivo dispositivo 1 della prima pluralità quando non ci sono guasti del dispositivo 1 e 3. Ad esempio, non ci sono guasti di eventuali dispositivi collegati prima del dispositivo 1 della prima pluralità e tali da trasmettere dati verso il dispositivo 1 e non ci sono guasti di eventuali dispositivi collegati prima del dispositivo 3 della seconda pluralità e tali da trasmettere dati verso il dispositivo 3, quindi il dispositivo 1 riceve gli stessi dati del dispositivo 3: se non ci sono guasti del dispositivo 1 e del dispositivo 3, il dispositivo 3 à ̈ tale da trasmettere (in un certo intervallo di tempo) gli stessi dati del dispositivo 1. Se invece c’à ̈ un guasto del dispositivo 1 della prima pluralità (e, più in generale, di eventuali dispositivi collegati prima del dispositivo 1) o del dispositivo 3 della seconda pluralità (e, più in generale, di eventuali dispositivi collegati prima del dispositivo 3), i dati trasmessi dal dispositivo 3 della seconda pluralità sono diversi dai dati trasmessi dal dispositivo 1 della prima pluralità. Considerazioni analoghe sono applicabili anche ai “dati di ridondanza†trasmessi dagli altri dispositivi M1_r, ... della seconda pluralità.
I dispositivi 1, 2, ... della prima pluralità sono quindi replicati rispettivamente con i dispositivi 3, 4, ... della seconda pluralità.
Il dispositivo 10 à ̈ tale da ricevere in ingresso (per mezzo dei canali di comunicazione 30, 31, ...) i dati trasmessi dalla prima pluralità di dispositivi 1, 2, ... ed à ̈ tale da fornire una uscita di primi dati D selezionati dai dati trasmessi dalla prima pluralità di dispositivi 1, 2, ... (ad esempio, selezionare i dati trasmessi dal dispositivo 1), come verrà spiegato più in dettaglio in seguito. Si osservi che la rappresentazione del dispositivo 10 in figura 1A à ̈ solo funzionale e quindi il dispositivo 10 può essere realizzato fisicamente con uno o più blocchi, come verrà spiegato più in dettaglio in seguito.
Il dispositivo di ridondanza 11 à ̈ tale da ricevere (per mezzo dei canali di comunicazione 40, 41, ...) i dati di ridondanza trasmessi dalla seconda pluralità di dispositivi 3, 4, ... ed à ̈ tale da fornire una uscita di primi dati di ridondanza D_r selezionati dai dati trasmessi dalla seconda pluralità di dispositivi 3, 4, ... (ad esempio, selezionare i dati di ridondanza trasmessi dal dispositivo 3), come verrà spiegato più in dettaglio in seguito. Si osservi che la rappresentazione del dispositivo di ridondanza 11 in figura 1A à ̈ solo funzionale e quindi il dispositivo di ridondanza 11 può essere realizzato fisicamente con uno o più blocchi, come verrà spiegato più in dettaglio in seguito. Il dispositivo di ridondanza 11 ha la funzione di replicare una o più funzionalità dei dispositivi lungo il percorso dei dati (o indirizzi) compreso fra la prima pluralità di dispositivi 1, 2, ... ed i dispositivi 20, 21, ..., come verrà spiegato meglio in seguito. Pertanto il sistema 50 comprende:
- un percorso per accedere al dispositivo 20, dove il percorso à ̈ definito dalle uscite della prima pluralità di dispositivi 1, 2, ... (in particolare, dalle porte a cui sono collegati i dispositivi 1, 2,...), dai canali di comunicazione 30, 31, ... e dal dispositivo 10 (in particolare, fino all†̃uscita del dispositivo 10);
- un corrispondente percorso di ridondanza (o replicato) per accedere allo stesso dispositivo 20, dove il percorso di ridondanza à ̈ definito dalle uscite della seconda pluralità di dispositivi 3, 4,... (in particolare, dalle porte a cui sono collegati i dispositivi 3, 4,...), dai canali di comunicazione 40, 41, ... e dal dispositivo di ridondanza 11 (in particolare, fino all’uscita del dispositivo di ridondanza 11): tale percorso di ridondanza consente di rilevare guasti nel sistema 50 ed in particolare guasti nell’accesso al dispositivo 20, come verrà spiegato più in dettaglio in seguito.
Analoghe considerazioni possono essere applicate per l’accesso ai dispositivi 21, ...
Il controllore 5 à ̈ tale da ricevere i primi dati D selezionati dal dispositivo 10 ed i primi dati di ridondanza D_r selezionati dal dispositivo di ridondanza 11 ed à ̈ tale da generare da questi un segnale d’errore E indicativo di un guasto nel sistema 50, in particolare un guasto di un dispositivo elettronico della prima pluralità o un guasto del dispositivo 10. Il controllore 5 ha quindi la funzione di rilevare un guasto del sistema 50, ad esempio per mezzo del confronto fra i primi dati D selezionati dal dispositivo 10 ed i primi dati di ridondanza D_r selezionati dal dispositivo di ridondanza 11. Inoltre il controllore 5 à ̈ tale da trasmettere i primi dati selezionati D o i primi dati di ridondanza selezionati D_r al dispositivo 20.
Si osservi che il sistema elettronico 50 mostra schematicamente un dispositivo 10, un dispositivo di ridondanza 11 ed un controllore 5 elettricamente associati al dispositivo 20. Più in generale, il sistema 50 comprende una pluralità di dispositivi 20, 21, ... e ad ogni dispositivo 20, 21, ... à ̈ associato un dispositivo avente la stessa funzionalità del dispositivo 10, un dispositivo avente la stessa funzionalità del dispositivo di ridondanza 11 ed un controllore avente la stessa funzionalità del controllore 5.
Il dispositivo 10, il dispositivo di ridondanza 11 ed il controllore 5 sono indicati in seguito con dispositivo elettronico adattatore 70, che à ̈ collegato alla prima ed alla seconda pluralità di dispositivi elettronici ed al dispositivo 20. Preferibilmente, il dispositivo elettronico adattatore 70 à ̈ un unico componente, che può essere realizzato in software (ad esempio, in linguaggio VHDL= Very high-speed integrated circuit Hardware Description Language, con una macro) o può essere realizzato in hardware con un circuito integrato (o in parte di esso).
Nel caso di una pluralità di dispositivi 20, 21,..., ognuno di questi à ̈ collegato ad un corrispondente dispositivo elettronico adattatore, cioà ̈ il dispositivo 20 à ̈ collegato al dispositivo adattatore 70, il dispositivo 21 à ̈ collegato al dispositivo adattatore 71 (per semplicità non mostrato in figura 1A) realizzato analogamente al dispositivo adattatore 70, ...
Allo scopo di spiegare l’invenzione si suppone che il sistema 50 sia tale da funzionare secondo un’architettura di sistema “master-slave†(“padroneschiavo†), in cui:
- i dispositivi 1, 2, ... sono tali da funzionare come “master†(“padrone†) e verranno indicati in seguito rispettivamente con M0, M1, ..., dove con master si intende che i dispositivi M0, M1, ... sono in grado di iniziare una comunicazione verso i dispositivi “slave†(“schiavo†) 20, 21,...;
- i dispositivi 3, 4, ... sono tali da funzionare come master di ridondanza rispettivamente dei dispositivi 1, 2, ... e verranno quindi indicati in seguito rispettivamente con M0_r, M1_r, ..., ..., dove con master si intende che i dispositivi M0_r, M1_r, ... sono in grado di iniziare una comunicazione verso i dispositivi “slave†20, 21,...;
- i dispositivi 20, 21, ... sono tali da funzionare come “slave†(come una periferica o una memoria) e verranno indicati in seguito rispettivamente con S0, S1,..., dove con “slave†si intende che i dispositivi S0, S1, ... non sono in grado di iniziare una comunicazione.
Per esempio, i master M0, M1, ..., M0_r, M1_r, … sono dei processori e lo slave S0 à ̈ una periferica ed in particolare à ̈ una memoria (RAM, Flash) in cui i processori sono atti a scrivere dati e da cui possono leggere dati.
In base all’architettura master-slave, il dispositivo 10 à ̈ realizzato con un arbitro 6 tale da ricevere i dati trasmessi dai master M0, M1, ... e tale da generare da questi un segnale di abilitazione S1; il dispositivo 10 comprende inoltre un selettore 7 tale da ricevere i dati trasmessi dai master M0, M1, ... e tale da selezionare uno dei dati trasmessi dai master M0, M1, ... in funzione del segnale di abilitazione S1. L’arbitro 6 ha la funzione di stabilire quale dei master M0, M1, ... à ̈ autorizzato ad accedere in un certo intervallo di tempo (tipicamente, in un certo periodo del segnale d’orologio del sistema 50) allo slave S0 e questo può avvenire in base a diversi criteri. Il selettore 7 ha quindi la funzione di selezionare i dati trasmessi dal master (per esempio, M0) autorizzato dall’arbitro 6 ad accedere allo slave S0. Per esempio, l’arbitro 6 ha la funzione di stabilire quale dei master M0, M1, ... à ̈ autorizzato ad accedere in un certo intervallo di tempo allo slave S0 secondo uno dei seguenti criteri:
- ad ogni master à ̈ assegnata una priorità fissata e diversa da quella degli altri master (ad esempio, il master M0 ha la priorità più alta, il master M1 ha priorità più bassa di M0, e quindi i master successivi hanno priorità decrescenti). In questo caso, l’arbitro 6 à ̈ tale da autorizzare il master che ha la priorità più alta;
- ai master sono assegnati rispettivi intervalli di tempo (di uguale durata) in cui il rispettivo master à ̈ abilitato ad accedere allo slave S0 e questi intervalli di tempo sono ripetuti periodicamente, in base ad un segnale d’orologio.
Analogamente, nell’architettura master-slave il dispositivo di ridondanza 11 à ̈ realizzato con un arbitro di ridondanza 9 tale da ricevere i dati di ridondanza trasmessi dai master di ridondanza M0_r, M1_r, ... e tale da generare da questi un segnale di abilitazione di ridondanza S1_r; il dispositivo di ridondanza 11 comprende inoltre un selettore di ridondanza 8 tale da ricevere i dati di ridondanza trasmessi dai master di ridondanza M0_r, M1_r, ... e tale da selezionare uno dei dati di ridondanza trasmessi dai master di ridondanza M0_r, M1_r, ... in funzione del segnale di abilitazione di ridondanza S1_r. L’arbitro di ridondanza 9 ha la funzione di stabilire quale dei master di ridondanza M0_r, M1_r, ... à ̈ autorizzato ad accedere in un certo intervallo di tempo allo slave S0, in base ai diversi criteri indicati in precedenza. Il selettore di ridondanza 8 ha quindi la funzione di selezionare i dati di ridondanza trasmessi dal master di ridondanza (per esempio, M0_r) autorizzato dall’arbitro di ridondanza 9. Nell’architettura master-slave il controllore 5 ha la funzione di rilevare un guasto del sistema 50, ad esempio un guasto di un dispositivo elettronico della prima pluralità, oppure un guasto dell’arbitro 6 oppure un guasto del selettore 7.
Sarà ora descritto il funzionamento del sistema elettronico 50 di figura 1A, nell’ipotesi di architettura master-slave. Per semplicità, si suppone che il sistema elettronico 50 comprenda i due master M0, M1, i due corrispondenti master di ridondanza M0_r, M1_r, l’arbitro 6 ed il corrispondente arbitro di ridondanza 9, il selettore 7 ed il corrispondente selettore di ridondanza 8, il controllore 5 ed uno slave S0; si suppone inoltre che i master M0, M1, M0_r, M1_r siano dei processori, che lo slave S0 sia una memoria e che i processori effettuino operazioni di scrittura nella memoria S0.
Il processore M0 trasmette sul canale di comunicazione 30 i dati da scrivere nella memoria S0 ed i segnali di controllo della memoria S0 ed il processore M0_r trasmette sul canale di comunicazione 40 gli stessi dati da scrivere nella memoria S0 e gli stessi segnali di controllo della memoria S0. Il processore M0 à ̈ quindi replicato dal processore M0_r e questo può essere ottenuto in vari modi: per esempio, il processore M0_r esegue lo stesso codice del processore M0 e riceve ad ogni periodo del segnale d’orologio gli stessi dati d’ingresso del processore M0, generando così gli stessi dati d’uscita (nell’esempio, gli stessi dati da scrivere nella memoria S0 e gli stessi segnali di controllo della memoria S0) che sono trasmessi sul canale di comunicazione 40.
Analogamente, il processore M1 trasmette sul canale di comunicazione 31 altri dati da scrivere nella memoria S0 ed altri segnali di controllo della memoria ed il processore M1_r trasmette sul canale di comunicazione 41 gli stessi altri dati da scrivere nella memoria S0 e gli stessi altri segnali di controllo.
L’arbitro 6 riceve dal canale 30 i dati (trasmessi dal processore M0) da scrivere nella memoria S0 ed i segnali di controllo della memoria S0, riceve dal canale 31 gli altri dati (trasmessi dal processore M1) da scrivere nella memoria S0 e gli altri segnali di controllo della memoria S0 e stabilisce (in base ai criteri indicati in precedenza) per ogni periodo del segnale d’orologio quale processore autorizzare (fra M0 ed M1) alla scrittura nella memoria S0. Si supponga per esempio che l’arbitro 6 autorizzi il processore M1 (che ha per esempio una priorità maggiore del processore M0) alla scrittura dei dati nella memoria S0: l’arbitro 6 genera quindi il segnale di abilitazione S1 che ha un valore tale per cui il selettore 7 seleziona sulla sua uscita i dati (del processore M1) da scrivere nella memoria S0 ed i segnali di controllo della memoria S0.
Analogamente, l’arbitro di ridondanza 9 riceve dal canale 40 i dati di ridondanza (trasmessi dal processore M0_r) ed i segnali di controllo di ridondanza, riceve dal canale 41 gli altri dati di ridondanza (trasmessi dal processore M1_r) e gli altri segnali di controllo di ridondanza e stabilisce (in base ai criteri indicati in precedenza) per ogni periodo del segnale d’orologio quale processore di ridondanza autorizzare (fra M0_r ed M1_r). Nell’esempio si à ̈ supposto che l’arbitro 6 autorizzi il processore M1 alla scrittura dei dati nella memoria S0 e quindi anche l’arbitro di ridondanza 9 autorizza il processore di ridondanza M1_r e genera il segnale di abilitazione S1_r che ha un valore tale per cui il selettore di ridondanza 8 seleziona sulla sua uscita i dati (del processore di ridondanza M1_r) di ridondanza ed i segnali di controllo di ridondanza.
Pertanto il controllore 5 riceve in ingresso i dati da scrivere ed i segnali di controllo del processore M1, riceve sull’altro ingresso i dati di ridondanza ed i segnali di controllo di ridondanza del processore di ridondanza M1_r, effettua un confronto fra i dati da scrivere ed i dati di ridondanza e verifica se sono uguali, effettua un confronto fra i segnali di controllo ed i segnali di controllo di ridondanza e verifica se sono uguali:
- se entrambi i confronti sono uguali, non à ̈ stato rilevato nessun guasto nel sistema 50, cioà ̈ nessun guasto del processore M1 e nessun guasto nel percorso dal processore M1 alla memoria S0: in questo caso il controllore 5 non genera nessun segnale d’errore E;
- se almeno uno dei confronti non à ̈ uguale, c’à ̈ stato almeno un guasto nel sistema 50: il guasto può avvenire nel processore M1 oppure sul canale di comunicazione 30 oppure nell’arbitro 6 oppure nel selettore 7. In questo caso il controllore 5 genera un segnale d’errore E che indica un guasto nel sistema elettronico 50.
Nel caso non venga rilevato nessun guasto nel sistema 50, il controllore 5 trasmette i dati (trasmessi inizialmente dal processore M1 o M1_r) alla memoria S0, dove vengono scritti.
La figura 1B mostra un ulteriore sistema elettronico 150 analogo a quello 50 di figura 1A, in cui però il controllore 105 à ̈ posto in parallelo al dispositivo 20 (indicato anche con S0 per indicare che à ̈ un dispositivo slave). Si osservi che nella presente descrizione blocchi, componenti o moduli identici o analoghi sono indicati nelle figure con i medesimi riferimenti numerici.
Secondo questa variante della prima forma di realizzazione mostrata in figura 1B, il selettore 107 à ̈ tale da ricevere i dati trasmessi dai master M0, M1, ... e tale da selezionare uno dei dati trasmessi dai master M0, M1, ... in funzione del segnale di abilitazione S1; inoltre l’uscita del selettore 107 à ̈ collegata sia al controllore 105, sia al dispositivo slave S0, in modo tale da trasmettere i dati selezionati sia al controllore 105, sia al dispositivo slave S0.
Il dispositivo slave S0 à ̈ quindi tale da ricevere i dati selezionati dal selettore 107 (e non dal controllore 105 come nella prima forma di realizzazione di figura 1A) ed il controllore 105 non à ̈ collegato al dispositivo slave S0 (ed à ̈ tale da generare il segnale d’errore E indicativo del guasto nel sistema, come spiegato in precedenza).
La figura 2 mostra un sistema elettronico 250 secondo una seconda forma di realizzazione dell’invenzione analoga alla prima forma di realizzazione di figura 1A, in cui però il sistema elettronico 250 comprende un ulteriore dispositivo elettronico 215 che non ha un dispositivo replicato nella seconda pluralità; nell’ipotesi in cui l’architettura del sistema 250 sia di tipo masterslave, il dispositivo elettronico 215 à ̈ tale da funzionare come master e viene quindi indicato con M2.
In base alla seconda forma di realizzazione dell’invenzione, il dispositivo 210 à ̈ tale da ricevere in ingresso (per mezzo dei canali di comunicazione 30, 31, 232 ...) i dati trasmessi dalla prima pluralità di dispositivi 1, 2, ... ed i dati trasmessi dall’ulteriore dispositivo elettronico 215 ed à ̈ tale da fornire una uscita di primi dati D200 selezionati dai dati trasmessi dalla prima pluralità di dispositivi 1, 2, ... e dall’ulteriore dispositivo 215. Il dispositivo di ridondanza 211 à ̈ tale da ricevere (per mezzo dei canali di comunicazione 40, 41, 232...) i dati di ridondanza trasmessi dalla seconda pluralità di dispositivi 3, 4, ... ed i dati trasmessi dall’ulteriore dispositivo elettronico 215 ed à ̈ tale da fornire una uscita di primi dati di ridondanza D200_r selezionati dai dati trasmessi dalla prima pluralità di dispositivi 1, 2, ... e dall’ulteriore dispositivo 215.
Nel caso particolare di architettura del sistema 250 di tipo master-slave, il dispositivo 215 Ã ̈ un master M2. In questo caso, il dispositivo 210 Ã ̈ realizzato con un arbitro 206 tale da ricevere i dati trasmessi dai master M0, M1 e dal master M2 e tale da generare da questi un segnale di abilitazione S201; il dispositivo 210 comprende inoltre il selettore 207 tale da ricevere i dati trasmessi dai master M0, M1 e dal master M2 e tale da selezionare uno dei dati trasmessi dai master M0, M1, M2 in funzione del segnale di abilitazione S201_r. Analogamente, il dispositivo di ridondanza 211 Ã ̈ realizzato con un arbitro di ridondanza 209 tale da ricevere i dati di ridondanza trasmessi dai master di ridondanza M0_r, M1_r e dal master M2 e tale da generare da questi un segnale di abilitazione di ridondanza S201_r; il dispositivo di ridondanza 211 comprende inoltre un selettore di ridondanza 208 tale da ricevere i dati di ridondanza trasmessi dai master di ridondanza M0_r, M1_r e dal master M2 e tale da selezionare uno dei dati di ridondanza trasmessi dai master di ridondanza M0_r, M1_r e dal master M2 in funzione del segnale di abilitazione di ridondanza S201_r.
Il sistema elettronico 250 secondo la seconda forma di realizzazione dell’invenzione ha il vantaggio di consentire l’utilizzo nello stesso sistema sia di dispositivi replicati (1,3; 2,4 in figura 2), sia di dispositivi non replicati (215 in Figura 2), mantenendo la possibilità di rilevare un guasto dei dispositivi replicati e mantenendo anche la possibilità di rilevare un guasto dell’arbitro 206 o del selettore 207 sia nel caso di dati trasmessi dai dispositivi replicati, che nel caso di dati trasmessi dai dispositivi non replicati.
La figura 3 mostra un sistema elettronico 350 secondo una terza forma di realizzazione dell’invenzione analoga alla prima forma di realizzazione di figura 1A, in cui però il sistema elettronico 350 comprende un ulteriore percorso di ridondanza compreso fra le uscite di una terza pluralità di dispositivi elettronici 316, 317, ... ed il dispositivo 20.
In base alla terza forma di realizzazione dell’invenzione, il sistema 350 comprende la terza pluralità di dispositivi elettronici 316, 317, ... e comprende un altro dispositivo di ridondanza 311 tale da ricevere (per mezzo dei canali di comunicazione 350, 351, ...) gli ulteriori dati di ridondanza trasmessi dalla terza pluralità di dispositivi 316, 317, ... e tale da selezionare da questi ulteriori primi dati di ridondanza D300_r1 (ad esempio, selezionare i dati di ridondanza trasmessi dal dispositivo 316). Il dispositivo di ridondanza 311 ha la funzione di replicare una o più funzionalità dei dispositivi lungo il percorso dei dati (o indirizzi) compreso fra la prima pluralità di dispositivi 1, 2, ... ed i dispositivi 20, 21, ...
Il controllore 305 à ̈ tale da ricevere i primi dati D300 selezionati dal dispositivo 10, i primi dati di ridondanza D300_r selezionati dal dispositivo di ridondanza 11 e gli ulteriori primi dati di ridondanza D300_r1 selezionati dall’ulteriore dispositivo di ridondanza 311 ed à ̈ tale da generare da questi un segnale d’errore E3 indicativo di un guasto nel sistema 350. Il controllore 305 ha quindi la funzione di rilevare un guasto del sistema 350. Inoltre il controllore 305 à ̈ tale da trasmettere (nel caso non venga rilevato nessun guasto nel sistema 350) al dispositivo 20 i primi dati D300 oppure i primi dati di ridondanza D300_r oppure gli ulteriori primi dati di ridondanza D300_r1.
Nell’ipotesi in cui l’architettura del sistema 350 sia di tipo master-slave, i dispositivi elettronici 316, 317, ... della terza pluralità sono tali da funzionare come master e vengono quindi indicati rispettivamente con M0_r1, M1_r1, ...
In particolare, i dispositivi master M0_r1, M1_r1, ... sono tali da funzionare come master di ridondanza dei dispositivi master M0, M1, ... (analogamente a quanto spiegato in precedenza per i dispositivi master M0_r, M1_r, ...) e sono quindi tali da trasmettere ulteriori dati di ridondanza corrispondenti ai dati trasmessi dai dispositivi master M0, M1, ...
Il dispositivo di ridondanza 311 comprende un arbitro di ridondanza 309 tale da ricevere i dati di ridondanza trasmessi dai master di ridondanza M0_r1, M1_r1, ... e tale da generare da questi un altro segnale di abilitazione di ridondanza S301_r; il dispositivo di ridondanza 311 comprende inoltre un selettore di ridondanza 308 tale da ricevere gli ulteriori dati di ridondanza trasmessi dai master di ridondanza M0_r1, M1_r1, ... e tale da selezionare uno dei dati di ridondanza trasmessi dai master di ridondanza M0_r1, M1_r1, ... in funzione del segnale di abilitazione di ridondanza S301_r. L’arbitro di ridondanza 309 ha la funzione di stabilire quale dei master di ridondanza M0_r1, M1_r1, ... à ̈ autorizzato ad accedere in un certo intervallo di tempo allo slave S0, in base ai diversi criteri indicati in precedenza. Il selettore di ridondanza 308 ha quindi la funzione di selezionare i dati di ridondanza trasmessi dal master di ridondanza (per esempio, M0_r1) autorizzato dall’arbitro di ridondanza 309.
Confrontando il sistema elettronico 50 della prima realizzazione dell’invenzione di figura 1A rispetto al sistema elettronico 350 della terza realizzazione dell’invenzione mostrata in figura 3, quest’ultima ha il vantaggio di garantire il corretto funzionamento del sistema in caso di presenza di un guasto. Infatti il sistema 350 à ̈ in grado non solo di rilevare un guasto nel sistema, ma anche di mascherare un guasto. Per esempio, à ̈ possibile che venga rilevato un guasto nel percorso compreso fra i master M0, M1, .. e lo slave S0 (ad esempio, si guasto l’arbitro 6): in questo caso il controllore 305 riceve (ad un certo istante di tempo) dai selettori 8 e 308 dei valori che sono fra di loro uguali, mentre riceve dal selettore 7 un valore che à ̈ diverso dai valori ricevuti dai selettori 8 e 308. Il controllore 305 à ̈ quindi in grado di rilevare che c’à ̈ stato un guasto nel percorso compreso fra i master M0, M1, ... e lo slave S0 (nell’esempio, il guasto à ̈ nell’arbitro 6) ed à ̈ in grado di mascherare il guasto utilizzando il valore ricevuto dai selettori 8 o 308.
La figura 4 mostra un sistema elettronico 450 secondo una quarta forma di realizzazione dell’invenzione analoga alla prima forma di realizzazione di figura 1A, in cui però il sistema elettronico 450 comprende un dispositivo ritardatore 460 collegato fra l’uscita del selettore 7 ed il controllore 405 ed il dispositivo slave S0. Il ritardatore 460 ha la funzione di introdurre un ritardo sui primi dati D selezionati dal selettore 7: questo ha il vantaggio di ridurre la probabilità che avvenga contemporaneamente un guasto su un master e sul corrispondente master di ridondanza (ad esempio, su M1 e su M1_r).
La figura 5 mostra un sistema elettronico 550 secondo una quinta forma di realizzazione dell’invenzione analoga alla prima forma di realizzazione di figura 1A, in cui però il sistema elettronico 550 à ̈ tale da funzionare secondo almeno due modalità:
- una prima modalità di funzionamento in cui i dispositivi 503, 504, ... hanno la funzione di replicare rispettivamente i dispositivi 1, 2, ..., come spiegato in precedenza per i dispositivi 3, 4, ... della prima realizzazione di figura 1A;
- una seconda modalità di funzionamento in cui i dispositivi 503, 504, ... sono tali da funzionare in parallelo ai dispositivi 1, 2, ...: nel caso di architettura del sistema 550 di tipo master-slave, i dispositivi master M0, M1, ..., M3, M4, ... possono trasmettere nello stesso intervallo di tempo (ad esempio, nello stesso ciclo del segnale d’orologio) dati fra di loro indipendenti indirizzati allo stesso dispositivo slave S0, ma solo uno dei master M0, M1, ..., M3, M4, ... à ̈ autorizzato (per mezzo dei dispositivi 510 e 511) ad accedere in un certo intervallo di tempo al dispositivo slave S0.
Il dispositivo 510 à ̈ tale da ricevere (per mezzo dei canali di comunicazione 30, 31, ..., 540, 541, ...) sia i dati trasmessi dalla prima pluralità di dispositivi 1, 2, ..., sia i dati trasmessi dalla seconda pluralità di dispositivi 503, 504, ... ed à ̈ tale da fornire una uscita di primi dati D500 selezionati dai dati trasmessi dalla prima pluralità di dispositivi 1, 2, ...; inoltre, il dispositivo 510 comprende un ingresso 500 tale da ricevere l’indicazione della prima o della seconda modalità di funzionamento per ogni dispositivo 1, 2, ..., 503, 504, ... e comprende un’altra uscita 515 collegata ad un ingresso del blocco 505 per fornire un segnale S503 indicativo del funzionamento del blocco 505 come controllore o come selettore (e, in quest’ultimo caso, indicativo di quali dati selezionare fra quelli trasmessi dai dispositivi della prima pluralità). Analogamente, il dispositivo 511 à ̈ tale da ricevere (per mezzo dei canali di comunicazione 30, 31, ..., 540, 541, ...) sia i dati trasmessi dalla prima pluralità di dispositivi 1, 2, ..., sia i dati trasmessi dalla seconda pluralità di dispositivi 503, 504, ... ed à ̈ tale da fornire una uscita di ulteriori primi dati D501 selezionati dai dati trasmessi dalla seconda pluralità di dispositivi 503, 504, ...; inoltre, il dispositivo 511 comprende l’ingresso 500 tale da ricevere l’indicazione della prima o della seconda modalità di funzionamento per ogni dispositivo 1, 2, ..., 503, 504, ... e comprende un’altra uscita 516 collegata ad un ingresso del blocco 505 per fornire un segnale S504 indicativo del funzionamento del blocco 505 come controllore o come selettore (e, in quest’ultimo caso, indicativo di quali dati selezionare fra quelli trasmessi dai dispositivi della seconda pluralità).
Vantaggiosamente, quando un dispositivo della prima pluralità à ̈ tale da operare nella prima modalità di funzionamento, il segnale sull’ingresso 500 à ̈ tale da indicare anche il corrispondente dispositivo replicato della seconda pluralità.
Preferibilmente, il sistema 550 à ̈ tale da essere configurato per funzionare in base ad una terza modalità di funzionamento che comprende sia dispositivi della prima pluralità replicati con corrispondenti dispositivi della seconda pluralità (ad esempio, il master M0 à ̈ replicato con il master M3), sia dispositivi della prima pluralità che funzionano in parallelo a dispositivi della seconda pluralità (nell’esempio, il master M1 lavora in parallelo al master M4, cioà ̈ il master M1 à ̈ tale da trasmettere nello stesso intervallo di tempo dati indipendenti dai dati trasmessi dal master M4).
Il blocco 505 ha la funzione di controllore per rilevare un guasto del sistema 550 quando funziona nella prima modalità, di selettore quando il sistema 550 funziona nella seconda modalità, sia di controllore sia di selettore quando funziona nella terza modalità. In particolare:
- quando il sistema 550 à ̈ tale da funzionare nella prima modalità di funzionamento, il blocco 505 à ̈ tale da ricevere il segnale S503 sull’ingresso 515 indicativo del funzionamento del blocco 505 come controllore, à ̈ tale da ricevere i primi dati D500 selezionati dal dispositivo 510, i primi dati D501 selezionati dal dispositivo 511, à ̈ tale da generare un segnale d’errore E5 indicativo di un guasto nel sistema 550 e (se non ci sono stati guasti nel sistema 550) à ̈ tale da trasmettere al dispositivo 20 i primi dati D500 ricevuti dal dispositivo 510 oppure gli ulteriori primi dati D501 ricevuti dal dispositivo 511;
- quando il sistema 550 à ̈ tale da funzionare nella seconda modalità di funzionamento, il blocco 505 à ̈ tale da ricevere il segnale S503 sull’ingresso 515 indicativo del funzionamento del blocco 505 come selettore (ed indicativo di quali dati selezionare fra quelli trasmessi dai dispositivi della prima pluralità), à ̈ tale da ricevere i primi dati D500 selezionati dal dispositivo 510, à ̈ tale da ricevere il segnale S504 sull’ingresso 516 indicativo del funzionamento del blocco 505 come selettore (ed indicativo di quali dati selezionare fra quelli trasmessi dai dispositivi della seconda pluralità), à ̈ tale da ricevere i primi dati D501 selezionati dal dispositivo 511 ed à ̈ tale da trasmettere al dispositivo 20 i primi dati D500 o D501 ricevuti dal dispositivo 510 o 511 in base al valore dei segnali S503 ed S504;
- quando il sistema 550 à ̈ tale da funzionare nella terza modalità di funzionamento, il blocco 505 à ̈ tale da ricevere durante il funzionamento il segnale S503 sull’ingresso 515 indicativo del funzionamento del blocco 505 come controllore o selettore (e, in quest’ultimo caso, indicativo di quali dati selezionare fra quelli trasmessi da un dispositivo della prima pluralità), à ̈ tale da ricevere i primi dati D500 selezionati dal dispositivo 510, à ̈ tale da ricevere il segnale S504 sull’ingresso 516 indicativo del funzionamento del blocco 505 come controllore o selettore (e, in quest’ultimo caso, indicativo di quali dati selezionare fra quelli trasmessi da un dispositivo della seconda pluralità), à ̈ tale da ricevere i primi dati D501 selezionati dal dispositivo 511, à ̈ tale da generare un segnale d’errore E5 indicativo di un guasto nel sistema 550 ed à ̈ tale da trasmettere al dispositivo 20 i primi dati D500 o D501 ricevuti dal dispositivo 510 o 511.
Preferibilmente, la configurazione del sistema 550 può essere cambiata dinamicamente fra la prima, la seconda e la terza modalità di funzionamento, cambiando il valore del segnale sull’ingresso 500 dell’arbitro 506 e 509.
Nell’ipotesi di architettura del sistema 550 di tipo master-slave, il dispositivo 510 à ̈ realizzato con un arbitro 506 tale da ricevere i dati trasmessi dai master M0, M1,..., M3, M4,... e tale da generare da questi un segnale di abilitazione S501 ed il segnale S503; il dispositivo 510 comprende inoltre un selettore 507 tale da ricevere i dati trasmessi dai master M0, M1, ... e tale da selezionare i dati trasmessi da uno dei master M0, M1, ..., in funzione del segnale di abilitazione S501. L’arbitro 506 ha la funzione di stabilire quale dei master (o coppie di master) M0, M1, ..., M3, M4, ... à ̈ autorizzato ad accedere in un certo intervallo di tempo (tipicamente, in un certo periodo del segnale d’orologio del sistema 550) allo slave S0, in base ai diversi criteri indicati in precedenza. Il selettore 507 ha quindi la funzione di selezionare i dati trasmessi dal master (M0 o M1) autorizzato dall’arbitro 506 ad accedere allo slave S0. Analogamente, nell’architettura master-slave il dispositivo 511 à ̈ realizzato con un altro arbitro 509 tale da ricevere i dati trasmessi dai master M0, M1, ..., M3, M4, ... e tale da generare da questi un altro segnale di abilitazione S502 e l’altro segnale S504; il dispositivo 511 comprende inoltre un altro selettore 508 tale da ricevere i dati trasmessi dai master M3, M4, ... e tale da selezionare i dati trasmessi da uno dei master M3, M4, ... in funzione del segnale di abilitazione S502. L’arbitro 509 ha la funzione di stabilire quale dei master (o coppie di master) M0, M1, ..., M3, M4, ... à ̈ autorizzato ad accedere in un certo intervallo di tempo (tipicamente, in un certo periodo del segnale d’orologio del sistema 550) allo slave S0, in base ai diversi criteri indicati in precedenza. Il selettore 508 ha quindi la funzione di selezionare i dati trasmessi dal master (M3 o M4) autorizzato dall’arbitro 509.
Si osservi che l’arbitro 506 à ̈ tale da ricevere i dati trasmessi dai master M0, M1, ..., M3, M4, ..., mentre il selettore 507 à ̈ tale da ricevere solo i dati trasmessi dai master M0, M1, ...; analogamente, l’arbitro 509 à ̈ tale da ricevere i dati trasmessi dai master M0, M1, ..., M3, M4, ..., mentre il selettore 508 à ̈ tale da ricevere solo i dati trasmessi dai master M3, M4, ... In altre parole, ogni dispositivo master à ̈ collegato con un solo selettore: questo ha il vantaggio di ridurre i costi del sistema 550 (perché vengono ridotti i collegamenti fra i dispositivi nel sistema 550), consentendo al tempo stesso di funzionare correttamente nella prima, seconda o terza modalità.
Per esempio, si supponga che il sistema 550 funzioni nella terza modalità e sia configurato in modo che il master M3 trasmetta dati di ridondanza rispetto ai dati trasmessi dal master M0 e che i master M1 ed M4 trasmettano dati indipendenti fra di loro (e dai master M0-M3). In questo esempio, l’arbitro 506 considera i dati trasmessi da M0 ed M3 come una unica richiesta (cioà ̈ come una coppia M0-M3) ed effettua l’arbitraggio fra la coppia M0-M3, il master M1 ed il master M4, autorizzando la coppia M0-M3 oppure il master M1 oppure il master M4 all’accesso dello slave S0; analogamente, nello stesso intervallo di tempo l’arbitro 511 considera i dati trasmessi da M0 ed M3 come una unica richiesta (cioà ̈ come una coppia M0-M3) ed effettua l’arbitraggio fra la coppia M0-M3, il master M1 ed il master M4, autorizzando la coppia M0-M3 oppure il master M1 oppure il master M4 all’accesso dello slave S0:
- se viene autorizzata la coppia M0-M3, il selettore 507 seleziona (per mezzo del segnale S501 ricevuto dall’arbitro 506) i dati trasmessi da M0, mentre il selettore 508 seleziona (per mezzo del segnale S502 ricevuto dall’arbitro 509) i dati trasmessi da M3, il blocco 505 riceve dall’ingresso 515 il segnale S503 indicativo del funzionamento come controllore, confronta i dati trasmessi da M0 ed M3 per rilevare eventuali guasti nel sistema 550 e (se non rileva guasti) trasmette allo slave S0 i dati D500 o D501; - se viene autorizzato il master M1, il selettore 507 seleziona (per mezzo del segnale S501 ricevuto dall’arbitro 506) i dati trasmessi da M1, il blocco 505 riceve dall’ingresso 515 il segnale S503 indicativo del funzionamento come selettore ed indicativo della selezione dei primi dati D500, seleziona i primi dati D500 e li trasmette allo slave S0;
- se viene autorizzato il master M4, il selettore 508 seleziona (per mezzo del segnale S502 ricevuto dall’arbitro 509) i dati trasmessi da M4, il blocco 505 riceve dall’ingresso 515 il segnale S504 indicativo del funzionamento come selettore ed indicativo della selezione degli ulteriori primi dati D501, seleziona gli ulteriori primi dati D501 e li trasmette allo slave S0.
Preferibilmente, quando il sistema 550 à ̈ tale da funzionare nella terza modalità, il tipo di accesso dei master dipende dal dispositivo slave e non dipende dal dispositivo master. Per esempio:
- la coppia di master M0-M3 accede allo slave S0 utilizzando un percorso di ridondanza, mentre lo stesso master M0 accede ad un altro slave S1 in parallelo al master M3;
- la coppia di master M1-M4 accede allo slave S0 utilizzando un percorso di ridondanza, mentre lo stesso master M1 accede all’altro slave S1 in parallelo al master M4.
La figura 5B mostra un sistema elettronico 650 analogo a quello 550 di figura 5A, in cui però il blocco 605 à ̈ posto in parallelo al dispositivo 20. In questo caso, il blocco 605 à ̈ tale da funzionare solo come controllore (negli intervalli di tempo indicati dai segnali S603 ed S604) ed il selettore 607 à ̈ tale da ricevere sia i dati trasmessi dai master M0, M1, ... , sia i dati trasmessi dai master M3, M4, ..., in modo che tutti i master M0, M1,..., M3, M4,... possano accedere allo slave S0.
Si osservi inoltre che la prima realizzazione di figura 1A mostra per semplicità solo i dispositivi 10, 11, 5 (e quindi un solo dispositivo adattatore 70) necessari per realizzare l’invenzione fra la prima e la seconda pluralità di dispositivi 1,2, ..., 3,4,... ed il dispositivo 20, ma ulteriori dispositivi analoghi al 10, 11, 5 (e quindi un ulteriore dispositivo adattatore analaghi al 70) sono necessari nel caso si voglia realizzare l’invenzione anche fra la prima e la seconda pluralità di dispositivi 1,2, ..., 3,4,... ed il dispositivo 21 (più in generale, le stesse considerazioni possono essere applicate ad eventuali altri dispositivi 22, 23, ...). Analoghe considerazioni possono essere applicate alle altre realizzazioni dell’invenzione mostrate nelle figure da 1B a 6.
Si osservi che l’invenzione può essere applicata più in generale per rilevare guasti di dati che provengono da dispositivi replicati (i master M0, M1,... negli esempi illustrati in precedenza) e che sono trasmessi verso dispositivi che non sono replicati (gli slave S0, S1,... negli esempi illustrati in precedenza). Con riferimento in particolare alla figura 6, l’invenzione può essere applicata al caso di un guasto di uno o più controllori dell’interrupt 771, 772,... (indicati anche con Int0, Int1,...): questi sono collegati da una parte al canale di comunicazione dell’interrupt 780 e dall’altra parte sono collegati rispettivamente ai dispositivi 1, 2, .... I controllori dell’interrupt 771, 772, ... hanno la funzione di ricevere dal canale di comunicazione dell’interrupt 780 il segnale d’interrupt generato da uno degli slave S0, S1,... e di trasmetterlo ai rispettivi dispositivi 1, 2,... I controllori dell’interrupt 771, 772, ... sono replicati con rispettivi controllori di ridondanza dell’interrupt 773, 774, ... (indicati anche con Int0_r, Int1_r, ...), i quali sono collegati rispettivamente ai dispositivi 3, 4, ... Nel caso di un guasto del controllore dell’interrupt Int0 (ad esempio, il controllore dell’interrupt Int0 genera l’indicazione di un interrupt del dispositivo 20 che in realtà non c’à ̈ stato oppure genera l’indicazione di un interrupt del dispositivo 20 ma in realtà l’interrupt à ̈ stato generato dal dispositivo 21), il dispositivo 1 (che si suppone essere un processore) esegue il codice corrispondente alla procedura di servizio dell’interrupt del dispositivo 20; al contrario, il controllore di ridondanza dell’interrupt Int0_r collegato al dispositivo 3 non riceve l’indicazione di un interrupt del dispositivo 20 e quindi il dispositivo 3 non esegue il codice corrispondente alla procedura di servizio dell’interrupt del dispositivo 20. Di conseguenza, il controllore 5 riceve i primi dati D diversi dai primi dati di ridondanza D_r e quindi rileva che c’à ̈ stato un guasto nel sistema 750.
Vantaggiosamente, ogni dispositivo master delle diverse realizzazioni dell’invenzione à ̈ collegato con un decodificatore (non mostrato nelle figure) che ha la funzione di ricevere i dati trasmessi dal master, di ricevere gli indirizzi che identificano i dispositivi slave e di verificare se il dispositivo master ha richiesto una operazione consentita sul dispositivo slave indirizzato:
- in caso affermativo, il decodificatore trasmette i dati ricevuti dal master (eventualmente modificati) sul canale di comunicazione e tali dati contenderanno (con gli altri master) l’accesso al dispositivo slave;
- in caso negativo, il decodificatore trasmette al dispositivo master l’indicazione che non à ̈ possibile eseguire tale operazione sul dispositivo slave e non trasmette i dati ricevuti dal master sul canale di comunicazione.
Si osservi che il significato dei dispositivi della prima e seconda (o terza) pluralità non à ̈ limitato solo ai dispositivi (ad esempio, processori) che realizzano la logica di generazione e trasmissione dei dati, ma può comprendere anche eventuali altri dispositivi di controllo (ad esempio, i decodificatori, i controllori dell’interrupt, i controllori di una memoria slave) che sono replicati, cioà ̈ tali da trasmettere dati e dati di ridondanza verso un dispositivo che non à ̈ replicato.
Vantaggiosamente, viene ridotta la probabilità di guasti comuni fra:
- un dispositivo della prima pluralità ed il percorso compreso fra un dispositivo della prima pluralità ed il dispositivo 20; e
- un dispositivo della seconda pluralità ed il percorso di ridondanza compreso fra il corrispondente dispositivo della seconda pluralità ed il dispositivo 20.
Questo à ̈ ottenuto utilizzando opportuni accorgimenti durante il processo di sintesi e/o di posizionamento dei blocchi sintetizzati in un circuito integrato.
Con riferimento in particolare alla figura 1A, il dispositivo 10 ed il dispositivo di ridondanza 11 sono sintetizzati in base ad almeno uno dei seguenti criteri:
1. vengono utilizzate celle diverse della libreria tecnologica utilizzata dal processo di sintesi. Per esempio, il dispositivo 10 Ã ̈ sintetizzato utilizzato solo celle di tipo NOR per realizzare la logica combinatoria ed il dispositivo di ridondanza 11 Ã ̈ sintetizzato utilizzato solo celle di tipo NAND. In questo modo vengono sintetizzati segnali interni diversi fra il dispositivo 10 ed il dispositivo di ridondanza 11.
2. la posizione e/o l’orientamento dei terminali dati d’ingresso/uscita del dispositivo 10 nel circuito integrato à ̈ diversa dalla posizione e/o dall’orientamento dei terminali dati d’ingresso/uscita del dispositivo di ridondanza 11 nel circuito integrato.
3. la posizione e/o l’orientamento dei terminali d’alimentazione del dispositivo 10 nel circuito integrato à ̈ diversa dalla posizione e/o dall’orientamento dei terminali d’alimentazione del dispositivo di ridondanza 11 nel circuito integrato.
4. la posizione dell’albero del segnale d’orologio del dispositivo 10 nel circuito integrato à ̈ diversa dalla posizione dell’albero del segnale d’orologio del dispositivo di ridondanza 11 nel circuito integrato.
5. la posizione e/o l’orientamento del dispositivo 10 nel circuito integrato à ̈ diversa dalla posizione e/o dall’orientamento del dispositivo di ridondanza 11 nel circuito integrato: per esempio, il dispositivo 10 à ̈ sintetizzato in una posizione sufficientemente lontana dalla posizione del dispositivo di ridondanza 11. In questo modo i segnali d’alimentazione del dispositivo 10 sono diversi dai segnali d’alimentazione del dispositivo di ridondanza 11 e/o l’albero del segnale d’orologio del dispositivo 10 à ̈ diverso dall’albero del segnale d’orologio del dispositivo di ridondanza 11 e/o la temperatura del dispositivo 10 à ̈ diversa dalla temperatura del dispositivo di ridondanza 11.
Il dispositivo elettronico adattatore ed il sistema elettronico secondo l’invenzione può essere utilizzato nel settore aeronautico o automobilistico, dove à ̈ importante garantire che guasti che avvengono nel sistema elettronico siano rilevati in tempo reale (in modo da poter attivare un meccanismo alternativo, eventualmente anche meccanico) o siano automaticamente protetti a livello elettronico. Ad esempio, nel settore automobilistico à ̈ importante rilevare un guasto dei sistemi elettronici che migliorano la sicurezza del veicolo, in particolare dei freni, come l’ABS (Anti-lock Brake System= sistema anti-bloccaggio del freno), l’ESP (Electronic Stability Control= controllo della stabilità elettronico) e l’EPS (Electric Power Steering= servosterzo elettronico).
Vantaggiosamente, il sistema elettronico secondo l’invenzione à ̈ realizzato in un circuito integrato.

Claims (11)

  1. Rivendicazioni 1. Dispositivo elettronico adattatore (70) comprendente: - un dispositivo (10) ed un dispositivo di ridondanza (11) atti a ricevere rispettivamente dati da una prima pluralità (M0, M1) di dispositivi elettronici e dati di ridondanza da una seconda pluralità (M0_r, M1_r) di dispositivi elettronici ed a selezionare da questi rispettivamente primi dati (D) e primi dati di ridondanza (D_r); - un controllore (5) atto a ricevere i primi dati (D) selezionati ed i primi dati di ridondanza (D_r) selezionati ed a generare da questi un segnale d’errore (E) indicativo di un guasto di un dispositivo elettronico della prima pluralità (M0, M1) oppure di un guasto del dispositivo (10).
  2. 2. Dispositivo elettronico adattatore (70) secondo la rivendicazione 1, in cui: - il dispositivo (10) comprende: • un arbitro (6) atto a ricevere i dati ed a generare da questi un segnale di abilitazione (S1); • un selettore (7) atto a ricevere i dati ed a selezionare da questi i primi dati (D) in funzione del segnale di abilitazione (S1); - il dispositivo di ridondanza (11) comprende: • un arbitro di ridondanza (9) atto a ricevere i dati di ridondanza ed a generare da questi un segnale di abilitazione di ridondanza (S1_r); • un selettore di ridondanza (8) atto a ricevere i dati di ridondanza ed a selezionare da questi i primi dati di ridondanza (D_r) in funzione del segnale di abilitazione di ridondanza (S1_r); ed in cui il segnale d’errore (E) à ̈ indicativo di un guasto di un dispositivo elettronico della prima pluralità (M0, M1), oppure di un guasto dell’arbitro (6) oppure di un guasto del selettore (7).
  3. 3. Sistema elettronico (50) comprendente il dispositivo elettronico adattatore (70) secondo la rivendicazione 1 o 2 e comprendente la prima pluralità (M0, M1) di dispositivi elettronici e la seconda pluralità (M0_r, M1_r) di dispositivi elettronici atti a trasmettere rispettivamente i dati ed i corrispondenti dati di ridondanza, in cui il controllore (5) à ̈ ulteriormente atto a trasmettere i primi dati (D) selezionati o i primi dati di ridondanza (D_r) selezionati, il sistema comprendente ulteriormente un altro dispositivo (S0) atto a ricevere i dati trasmessi dal controllore.
  4. 4. Sistema elettronico (150) comprendente il dispositivo elettronico adattatore (170) secondo la rivendicazione 1 o 2 e comprendente la prima pluralità (M0, M1) di dispositivi elettronici e la seconda pluralità (M0_r, M1_r) di dispositivi elettronici atti a trasmettere rispettivamente i dati ed i corrispondenti dati di ridondanza, il sistema comprendente ulteriormente un altro dispositivo (S0) atto a ricevere dal selettore (107) i primi dati selezionati.
  5. 5. Sistema elettronico (250) secondo la rivendicazione 3 o 4, il sistema comprendente ulteriormente un primo dispositivo (M2) atto a trasmettere dati diversi dai dati trasmessi dai dispositivi della seconda pluralità, ed in cui il dispositivo (210) ed il dispositivo di ridondanza (211) sono ulteriormente atti a ricevere i dati trasmessi dal primo dispositivo ed a selezionare rispettivamente i primi dati ed i primi dati di ridondanza dai dati, dai dati di ridondanza e dai dati trasmessi dal primo dispositivo.
  6. 6. Sistema elettronico (350) secondo almeno una delle rivendicazioni da 3 a 5, il sistema comprendente ulteriormente: - una terza pluralità (M0_r1, M1_r1) di dispositivi elettronici atti a trasmettere altri dati di ridondanza corrispondenti ai dati trasmessi dalla prima pluralità di dispositivi elettronici; - un altro dispositivo di ridondanza (311) atto a ricevere gli altri dati di ridondanza ed a selezionare da questi altri primi dati di ridondanza (D300_r1); in cui il controllore (305) à ̈ ulteriormente atto a ricevere gli altri primi dati di ridondanza (D300_r1) ed a generare il segnale d’errore (E3) in funzione dei primi dati (D300) selezionati, dei primi dati di ridondanza (D300_r) selezionati e degli altri primi dati di ridondanza (D300_r1) selezionati.
  7. 7. Sistema elettronico (350) secondo la rivendicazione precedente, in cui l’altro dispositivo di ridondanza (311) comprende: - un altro arbitro di ridondanza (309) atto a ricevere gli altri dati di ridondanza ed a generare da questi un altro segnale di abilitazione di ridondanza (S301_r); - un altro selettore di ridondanza (308) atto a ricevere gli altri dati di ridondanza ed a selezionare da questi gli altri primi dati di ridondanza (D300_r1) in funzione dell’altro segnale di abilitazione di ridondanza (S301_r).
  8. 8. Sistema elettronico (450) secondo almeno una delle rivendicazioni da 3 a 7, il sistema comprendente ulteriormente un ritardatore (460) dei primi dati (D) selezionati.
  9. 9. Sistema elettronico (550) secondo almeno una delle rivendicazioni da 3 a 8, in cui: - l’arbitro (506) à ̈ ulteriormente atto a ricevere i dati di ridondanza trasmessi dalla seconda pluralità di dispositivi elettronici e l’arbitro di ridondanza (509) à ̈ ulteriormente atto a ricevere i dati trasmessi dalla prima pluralità di dispositivi elettronici; - l’arbitro (506) e l’arbitro di ridondanza (509) comprendono un ingresso (500) per ricevere un segnale indicativo di una prima o di una seconda modalità di funzionamento della prima e della seconda pluralità di dispositivi elettronici, in cui nella prima modalità di funzionamento i dispositivi elettronici della seconda pluralità sono atti a trasmettere dati di ridondanza corrispondenti ai dati trasmessi dai dispositivi elettronici della prima pluralità, ed in cui nella seconda modalità di funzionamento i dispositivi elettronici della seconda pluralità sono atti a trasmettere dati indipendenti rispetto ai dati trasmessi dai dispositivi elettronici della prima pluralità.
  10. 10. Sistema elettronico (50; 150; 250; 350; 450; 550; 650) secondo almeno una delle rivendicazioni da 3 a 9, il sistema comprendente ulteriormente canali di comunicazione (30, 31; 40, 41) fra la prima pluralità di dispositivi elettronici (M0, M1) ed il dispositivo (10) e fra la seconda pluralità di dispositivi elettronici (M0,r, M1_r) ed il dispositivo di ridondanza (11), in cui il segnale d’errore (E) à ̈ ulteriormente indicativo di un guasto dei canali di comunicazione.
  11. 11. Sistema elettronico secondo almeno una delle rivendicazioni da 3 a 10, in cui il sistema à ̈ atto ad operare secondo una architettura “master-slave†, in cui la prima pluralità di dispositivi elettronici sono “master†, la seconda pluralità di dispositivi elettronici sono “master†di ridondanza, l’altro dispositivo (S0) à ̈ “slave†, l’arbitro à ̈ atto a generare il segnale di abilitazione (S1) indicativo del “master†della prima pluralità autorizzato ad accedere allo “slave†, l’arbitro di ridondanza à ̈ atto a generare il segnale di abilitazione di ridondanza (S1_r) indicativo del “master†di ridondanza della seconda pluralità autorizzato, e lo “slave†(S0) à ̈ atto a ricevere i dati trasmessi dal “master†autorizzato.
ITMI2008A002068A 2008-11-21 2008-11-21 Sistema elettronico per il rilevamento di un guasto IT1391785B1 (it)

Priority Applications (2)

Application Number Priority Date Filing Date Title
ITMI2008A002068A IT1391785B1 (it) 2008-11-21 2008-11-21 Sistema elettronico per il rilevamento di un guasto
US12/616,690 US8127180B2 (en) 2008-11-21 2009-11-11 Electronic system for detecting a fault

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ITMI2008A002068A IT1391785B1 (it) 2008-11-21 2008-11-21 Sistema elettronico per il rilevamento di un guasto

Publications (2)

Publication Number Publication Date
ITMI20082068A1 true ITMI20082068A1 (it) 2010-05-22
IT1391785B1 IT1391785B1 (it) 2012-01-27

Family

ID=41280453

Family Applications (1)

Application Number Title Priority Date Filing Date
ITMI2008A002068A IT1391785B1 (it) 2008-11-21 2008-11-21 Sistema elettronico per il rilevamento di un guasto

Country Status (2)

Country Link
US (1) US8127180B2 (it)
IT (1) IT1391785B1 (it)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE520079T1 (de) * 2007-05-25 2011-08-15 Freescale Semiconductor Inc Datenverarbeitungssystem, datenverarbeitungsverfahren und vorrichtung
MX2013007360A (es) * 2010-12-22 2014-01-08 Ge Energy Power Conversion Technology Ltd Arquitectura de comunicaciones para proporcionar comunicacion de datos, sincronizacion y deteccion de fallas entre modulos aislados.
JP5682392B2 (ja) * 2011-03-22 2015-03-11 富士通株式会社 情報処理装置、制御装置および異常ユニット判定方法
US9489434B1 (en) 2012-01-17 2016-11-08 Amazon Technologies, Inc. System and method for replication log branching avoidance using post-failover rejoin
US8843441B1 (en) 2012-01-17 2014-09-23 Amazon Technologies, Inc. System and method for maintaining a master replica for reads and writes in a data store
US9069827B1 (en) 2012-01-17 2015-06-30 Amazon Technologies, Inc. System and method for adjusting membership of a data replication group
US9116862B1 (en) 2012-01-17 2015-08-25 Amazon Technologies, Inc. System and method for data replication using a single master failover protocol
US9547546B2 (en) * 2012-03-12 2017-01-17 Nxp Usa, Inc. Interrupt supervision system, processing system and method for interrupt supervision
AT515454A3 (de) * 2013-03-14 2018-07-15 Fts Computertechnik Gmbh Verfahren zur Behandlung von Fehlern in einem zentralen Steuergerät sowie Steuergerät
US9632492B2 (en) 2015-01-23 2017-04-25 Rockwell Automation Asia Pacific Business Ctr. Pte., Ltd. Redundant watchdog method and system utilizing safety partner controller
US9934117B2 (en) * 2015-03-24 2018-04-03 Honeywell International Inc. Apparatus and method for fault detection to ensure device independence on a bus
DE102015211458A1 (de) 2015-06-22 2016-12-22 Robert Bosch Gmbh Verfahren und Vorrichtung zum Absichern einer Programmzählerstruktur eines Prozessorsystems und zum Überwachen der Behandlung einer Unterbrechungsanfrage
JP6736398B2 (ja) * 2016-07-15 2020-08-05 株式会社ジェイテクト 車両用制御装置
US10564662B2 (en) * 2017-06-12 2020-02-18 GM Global Technology Operations LLC Systems and methods for determining pedal actuator states
US10467007B1 (en) * 2017-08-08 2019-11-05 Bae Systems Information And Electronic Systems Integration Inc. Core for controlling multiple serial peripheral interfaces (SPI's)
KR102111295B1 (ko) * 2018-02-05 2020-05-15 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
US11144374B2 (en) * 2019-09-20 2021-10-12 Hewlett Packard Enterprise Development Lp Data availability in a constrained deployment of a high-availability system in the presence of pending faults
DE102020124731A1 (de) * 2020-09-23 2022-03-24 Volocopter Gmbh Verfahren zum Betreiben eines Fluggeräts, Regelungsarchitektur für ein Fluggerät und Fluggerät mit einer solchen

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3770948A (en) * 1972-05-26 1973-11-06 Gte Automatic Electric Lab Inc Data handling system maintenance arrangement
US4156929A (en) * 1976-11-09 1979-05-29 Westinghouse Electric Corp. Digital monitoring system
EP0496509A1 (en) * 1991-01-19 1992-07-29 Lucas Industries Public Limited Company Control system
US5732209A (en) * 1995-11-29 1998-03-24 Exponential Technology, Inc. Self-testing multi-processor die with internal compare points

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3864670A (en) * 1970-09-30 1975-02-04 Yokogawa Electric Works Ltd Dual computer system with signal exchange system
US4774709A (en) * 1986-10-02 1988-09-27 United Technologies Corporation Symmetrization for redundant channels
US4816990A (en) * 1986-11-05 1989-03-28 Stratus Computer, Inc. Method and apparatus for fault-tolerant computer system having expandable processor section
US4805107A (en) * 1987-04-15 1989-02-14 Allied-Signal Inc. Task scheduler for a fault tolerant multiple node processing system
EP0306211A3 (en) * 1987-09-04 1990-09-26 Digital Equipment Corporation Synchronized twin computer system
JP2500038B2 (ja) * 1992-03-04 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション マルチプロセッサ・コンピュ―タ・システム、フォ―ルト・トレラント処理方法及びデ―タ処理システム
FR2721122B1 (fr) * 1994-06-14 1996-07-12 Commissariat Energie Atomique Unité de calcul à pluralité de calculateurs redondants.
US5630056A (en) * 1994-09-20 1997-05-13 Stratus Computer, Inc. Digital data processing methods and apparatus for fault detection and fault tolerance
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
US6556583B1 (en) * 1998-02-24 2003-04-29 Yokogawa Electric Corporation Communication system and communication control method
US7036059B1 (en) * 2001-02-14 2006-04-25 Xilinx, Inc. Techniques for mitigating, detecting and correcting single event upset effects in systems using SRAM-based field programmable gate arrays
US6704887B2 (en) * 2001-03-08 2004-03-09 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for improved security in distributed-environment voting
US6928583B2 (en) * 2001-04-11 2005-08-09 Stratus Technologies Bermuda Ltd. Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US20030043824A1 (en) * 2001-08-31 2003-03-06 Remboski Donald J. Vehicle active network and device
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
US6925578B2 (en) * 2001-09-29 2005-08-02 Hewlett-Packard Development Company, L.P. Fault-tolerant switch architecture
EP1359485B1 (de) * 2002-05-03 2015-04-29 Infineon Technologies AG Steuer- und Überwachungssystem
US7444565B1 (en) * 2003-11-24 2008-10-28 Itt Manufacturing Enterprises, Inc. Re-programmable COMSEC module
US7627781B2 (en) * 2004-10-25 2009-12-01 Hewlett-Packard Development Company, L.P. System and method for establishing a spare processor for recovering from loss of lockstep in a boot processor
DE102004058288A1 (de) * 2004-12-02 2006-06-08 Robert Bosch Gmbh Vorrichtung und Verfahren zur Behebung von Fehlern bei einem Prozessor mit zwei Ausführungseinheiten
ATE447513T1 (de) * 2005-02-28 2009-11-15 Delphi Tech Inc Bremssystem mit einer fehlertoleranten kommunikationsknoten-architektur
ATE403185T1 (de) * 2005-09-16 2008-08-15 Siemens Transportation Systems Redundanzkontrollverfahren und vorrichtung für sichere rechnereinheiten
US20070260939A1 (en) * 2006-04-21 2007-11-08 Honeywell International Inc. Error filtering in fault tolerant computing systems
US7434096B2 (en) * 2006-08-11 2008-10-07 Chicago Mercantile Exchange Match server for a financial exchange having fault tolerant operation
DE102006048171A1 (de) * 2006-10-10 2008-04-17 Robert Bosch Gmbh Verfahren zum Neubooten eines Signalverarbeitungssystems
US7958394B1 (en) * 2007-04-04 2011-06-07 Xilinx, Inc. Method of verifying a triple module redundant system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3770948A (en) * 1972-05-26 1973-11-06 Gte Automatic Electric Lab Inc Data handling system maintenance arrangement
US4156929A (en) * 1976-11-09 1979-05-29 Westinghouse Electric Corp. Digital monitoring system
EP0496509A1 (en) * 1991-01-19 1992-07-29 Lucas Industries Public Limited Company Control system
US5732209A (en) * 1995-11-29 1998-03-24 Exponential Technology, Inc. Self-testing multi-processor die with internal compare points

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
M. BALEANI ET AL: "Fault-Tolerant Platforms for Automotive Safety-Critical Applications", PROCEEDINGS OF THE 2003 INTERNATIONAL CONFERENCE ON COMPILER, ARCHITECTURE AND SYNTHESIS FOR EMBEDDED SYSTEMS (CASES '03), 30 October 2003 (2003-10-30) - 1 November 2003 (2003-11-01), San Josè, California, USA, pages 170 - 177, XP002556968 *

Also Published As

Publication number Publication date
IT1391785B1 (it) 2012-01-27
US20100131801A1 (en) 2010-05-27
US8127180B2 (en) 2012-02-28

Similar Documents

Publication Publication Date Title
ITMI20082068A1 (it) Sistema elettronico per il rilevamento di un guasto
US10761925B2 (en) Multi-channel network-on-a-chip
KR100369492B1 (ko) 임계안전도제어시스템용마이크로프로세서시스템
US20080046603A1 (en) Line Diagnostic Device, Bus System, Line Diagnostic Method, Bus System Control Method, and Line Diagnostic Program
KR101558687B1 (ko) 직렬 통신 테스트 장치, 시스템 및 방법
US9207661B2 (en) Dual core architecture of a control module of an engine
JP6280359B2 (ja) プログラマブルコントローラ
JP2008009795A (ja) 診断装置,回線診断方法及び回線診断プログラム
US20110043323A1 (en) Fault monitoring circuit, semiconductor integrated circuit, and faulty part locating method
JPH01188953A (ja) 障害の許容範囲があるデータ保全装置及びその方法
JP2015018414A (ja) マイクロコンピュータ
US20130061094A1 (en) Apparatus and Method for the Protection and for the Non-Destructive Testing of Safety-Relevant Registers
RU2411570C2 (ru) Способ и устройство для сравнения данных в вычислительной системе, включающей в себя по меньшей мере два исполнительных блока
KR101560497B1 (ko) 락스텝으로 이중화된 프로세서 코어들의 리셋 제어 방법 및 이를 이용하는 락스텝 시스템
JP2022500311A (ja) 車両制御システム
US7237653B2 (en) Elevator controller
JP2013250690A (ja) データ処理装置、マイクロコントローラ、およびデータ処理装置の自己診断方法
US9128838B2 (en) System and method of high integrity DMA operation
KR20100086211A (ko) 차량용 게이트웨이 장치
CN109491842B (zh) 用于故障安全计算系统的模块扩展的信号配对
JP5025402B2 (ja) 高安全制御装置
KR20200110956A (ko) 차량의 이중화 시스템과, 그 전원 공급 장치 및 방법
JP2010102565A (ja) 二重化制御装置
JPWO2009034653A1 (ja) 回路、その制御方法及び処理装置
US20150169426A1 (en) Task Based Voting For Fault-Tolerant Fail Safe Computer Systems