JP2002024049A - Computer for controlling space machine - Google Patents
Computer for controlling space machineInfo
- Publication number
- JP2002024049A JP2002024049A JP2000212100A JP2000212100A JP2002024049A JP 2002024049 A JP2002024049 A JP 2002024049A JP 2000212100 A JP2000212100 A JP 2000212100A JP 2000212100 A JP2000212100 A JP 2000212100A JP 2002024049 A JP2002024049 A JP 2002024049A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- redundant
- timeout
- standby
- watchdog timer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は宇宙機制御用計算機
に関し、特にコールドスタンバイの待機冗長系を有する
宇宙機制御用計算機において片系異常発生時における待
機冗長系への切換制御回路に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a spacecraft control computer, and more particularly to a switching control circuit for a spacecraft control computer having a cold standby standby redundant system when a single system error occurs.
【0002】[0002]
【従来の技術】従来、この種の宇宙機制御用計算機にお
いては、宇宙機に搭載され、コールドスタンバイの待機
冗長系を有している。この宇宙機制御用計算機では主系
及び冗長系のいずれかが必ず動作している必要があるた
め、運用系側の計算機に問題が生じた場合、自動的に運
用系側計算機を停止した後に待機冗長系側の計算機を起
動する機能を有している。2. Description of the Related Art Conventionally, this kind of spacecraft control computer is mounted on a spacecraft and has a standby redundancy system of cold standby. In this spacecraft control computer, either the main system or the redundant system must be operating. Therefore, if a problem occurs in the active computer, the standby computer is automatically stopped before the standby computer is stopped. It has a function to start the computer on the system side.
【0003】しかしながら、片側の系に恒久的な障害が
発生した場合、障害が発生した系で動作することは危険
が伴うため、正常な系のみで動作することが要求され、
このため、自動的な切換が起こらないように制御される
ことが要求される。[0003] However, if a permanent failure occurs in one of the systems, it is required to operate only in a normal system, because it is dangerous to operate in the system in which the failure has occurred.
For this reason, it is required to be controlled so that automatic switching does not occur.
【0004】この要請に応えるために、例えば特開平0
2−123842号公報に開示された技術では、故障中
の系への切換を防止することが提案されている。この公
報記載の技術では故障が発生した系の情報をメモリに格
納し、運用中の系から切換要求を受信した場合に、待機
冗長系が起動時にメモリ内容を参照してから起動するこ
とによって、恒久的な故障が発生した系を起動しないよ
うにしている。To meet this demand, for example, Japanese Patent Laid-Open
In the technique disclosed in Japanese Patent Application Laid-Open No. 2-123842, it is proposed to prevent switching to a system in failure. In the technology described in this publication, information on a system in which a failure has occurred is stored in a memory, and when a switching request is received from an operating system, the standby redundant system refers to the contents of the memory at startup and then starts up. The system where a permanent failure has occurred is not started.
【0005】[0005]
【発明が解決しようとする課題】上述した従来の宇宙機
制御用計算機の待機冗長系への切換制御では、待機系が
恒久的に故障している場合、運用系が一時的に機能喪失
して切換要求を発生しても、待機系への切換が行われな
いため、システム全体として機能が喪失してしまう状態
となる。しかしながら、宇宙機のようにシステム全体の
機能喪失が許容されない場合、このような状態は許容さ
れないという問題がある。In the above-described conventional switching control of the spacecraft control computer to the standby redundant system, when the standby system is permanently out of order, the operating system temporarily loses its function and switches. Even if a request is issued, switching to the standby system is not performed, so that the function of the entire system is lost. However, when the loss of function of the entire system is not allowed as in a spacecraft, there is a problem that such a state is not allowed.
【0006】また、宇宙環境においては軌道上に存在し
ている高エネルギ粒子によって、ソフトウェアの内容や
レジスタ等の一時データの内容がビット反転によって書
換えられ、計算機が暴走状態に陥り、系としては故障し
ていないが、一時的に機能を喪失する可能性を排除する
ことができない。In a space environment, the contents of software and the contents of temporary data such as registers are rewritten by bit inversion due to high-energy particles existing in orbit, causing a computer to run out of control and cause a system failure. However, the possibility of temporary loss of function cannot be ruled out.
【0007】この場合、運用系の計算機全体を再起動す
ることによって復帰することが可能であるが、上記のシ
ステムでは運用系から待機系への切換要求信号が発生し
た状態で停滞してしまい、外部からの操作なしでは自動
的に再起動することもできないという問題もある。[0007] In this case, it is possible to recover by restarting the entire operation system computer. However, in the above system, the system is stagnated in a state where a switching request signal from the operation system to the standby system is generated. There is also a problem that it cannot be restarted automatically without an external operation.
【0008】そこで、本発明の目的は上記の問題点を解
消し、待機系が恒久的な故障状態で運用される状態にお
いて運用系の一時的な機能障害に対して運用系の再起動
によって機能を継続することができる宇宙機制御用計算
機を提供することにある。Accordingly, an object of the present invention is to solve the above-mentioned problems, and to provide a function by restarting the active system in response to a temporary functional failure of the active system when the standby system is operated in a permanent failure state. To provide a spacecraft control computer capable of continuing the above.
【0009】[0009]
【課題を解決するための手段】本発明による宇宙機制御
用計算機は、運用系とコールドスタンバイの待機冗長系
とから構成される宇宙機制御用計算機であって、2種類
のタイムアウト時間が設定されたウォッチドッグタイマ
を備え、第1のタイムアウト時間のタイムアウトによっ
て系の切換を行い、第2のタイムアウト時間のタイムア
ウトによって前記系の切換が行われなかったことを検出
するようにしている。SUMMARY OF THE INVENTION A spacecraft control computer according to the present invention is a spacecraft control computer comprising an active system and a cold standby standby redundant system. A dog timer is provided to switch the system by the timeout of the first timeout period, and to detect that the switching of the system is not performed by the timeout of the second timeout period.
【0010】すなわち、本発明の宇宙機制御用計算機
は、主系側及び冗長系側の各計算機内に、異なるタイム
アウト時間で動作する2個のウォッチドッグタイマを設
けたことを特徴としている。That is, the spacecraft control computer of the present invention is characterized in that two watchdog timers operating with different timeout periods are provided in each of the computers on the main system side and the redundant system side.
【0011】運用系の計算機で動作するソフトウェアは
自系の動作状態を定期的にセルフチェックして動作に問
題がないと判定することができる場合にのみ、2つのウ
オッチドッグタイマを同時にリセットする。1つ目のウ
ォッチドッグタイマはタイムアウトが発生した場合、冗
長系側に切換要求信号を出力し、2つ目のウオッチドッ
グタイマは1つ目のウオッチドッグタイマよりも長いタ
イムアウト時間を有しており、タイムアウトが発生した
場合、自系の計算機を再起動する信号を発生する。The software operating on the active computer resets the two watchdog timers at the same time only when it is possible to periodically self-check the operating state of the own computer and determine that there is no problem in the operation. When a timeout occurs, the first watchdog timer outputs a switching request signal to the redundant system, and the second watchdog timer has a longer timeout period than the first watchdog timer. When a timeout occurs, a signal for restarting the computer of the own system is generated.
【0012】本発明の宇宙機制御用計算機では、1つ目
のウォッチドッグタイマがタイムアウトすることによっ
て発生した切換要求信号が待機冗長系の恒久的な故障等
で受け入れられなかったことを2つ目のウォッチドッグ
タイマで検知し、自系の計算機を再起動することを可能
としている。In the computer for controlling a spacecraft according to the present invention, the second request that the switching request signal generated by the time out of the first watchdog timer is not accepted due to a permanent failure of the standby redundant system or the like is accepted. Detected by the watchdog timer, it is possible to restart its own computer.
【0013】よって、待機冗長系の計算機が恒久的な故
障で起動が抑制されている場合において運用系側の計算
機が一時的な機能喪失に陥っても、運用系側の計算機の
再起動によって機能を回復し、引き続き動作を継続する
ことが可能になる。Therefore, even if the computer in the active system temporarily loses its function when the computer in the standby redundant system is permanently activated and its startup is suppressed, the function is restarted by the computer in the active system. And operation can be continued.
【0014】つまり、待機系が恒久的な故障状態にあり
かつ切換要求に応答できない運用形態において、運用系
が宇宙機に特有の一時的な機能喪失状態に陥った場合で
も、自動的に待機系が起動されないことを検知し、運用
系を再起動することによって機能を復帰させることが可
能となる。That is, in an operation mode in which the standby system is in a permanent failure state and cannot respond to the switching request, even if the operation system falls into a temporary loss of function peculiar to the spacecraft, the standby system is automatically set. It is possible to return the function by detecting that is not activated and restarting the active system.
【0015】[0015]
【発明の実施の形態】次に、本発明の一実施例について
図面を参照して説明する。図1は本発明の一実施例によ
る宇宙機制御用計算機の構成を示すブロック図である。
図1において、本発明の一実施例による宇宙機制御用計
算機は主系計算機1と冗長系計算機2とから構成されて
いる。Next, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a spacecraft control computer according to one embodiment of the present invention.
In FIG. 1, a spacecraft control computer according to an embodiment of the present invention includes a main computer 1 and a redundant computer 2.
【0016】主系計算機1は計算機11と、ウォッチド
ッグタイマA12と、ウォッチドッグタイマB13と、
フリップフロップ(以下、F/Fとする)14,16
と、ORゲート15と、ANDゲート17と、立下り検
出ワンショットパルス生成回路(OSG)18とから構
成されている。ここで、ウォッチドッグタイマB13の
タイムアウト時間はウォッチドッグタイマA12のタイ
ムアウト時間よりも長く設定されている。The main computer 1 includes a computer 11, a watchdog timer A12, a watchdog timer B13,
Flip-flops (hereinafter referred to as F / F) 14, 16
, An OR gate 15, an AND gate 17, and a fall detection one-shot pulse generation circuit (OSG) 18. Here, the timeout time of the watchdog timer B13 is set longer than the timeout time of the watchdog timer A12.
【0017】また同様に、冗長系計算機2は計算機21
と、ウォッチドッグタイマA22と、ウォッチドッグタ
イマB23と、F/F24,26と、ORゲート25
と、ANDゲート27と、立下り検出ワンショットパル
ス生成回路28とから構成されている。Similarly, the redundant computer 2 is
, A watchdog timer A22, a watchdog timer B23, F / Fs 24 and 26, and an OR gate 25
, An AND gate 27, and a falling detection one-shot pulse generation circuit 28.
【0018】主系計算機1及び冗長系計算機2のウォッ
チドッグタイマA12,22のタイムアウト時に出力さ
れるパルス信号は切換要求信号102,202として冗
長系計算機2及び主系計算機1の起動許可信号204,
104とANDゲート27,17で論理積演算された後
に、F/F26,16のリセット信号に接続される。The pulse signals output when the watchdog timers A 12 and 22 of the main computer 1 and the redundant computer 2 time out are switched request signals 102 and 202, and the activation permission signals 204 and 204 of the redundant computer 2 and the main computer 1 are transmitted.
After the AND operation is performed by the AND gates 27 and 17, the signals are connected to the reset signals of the F / Fs 26 and 16.
【0019】また、F/F26,16の出力信号は冗長
系計算機2及び主系計算機1の停止信号205,105
として、ウォッチドッグタイマB23,13のタイムア
ウト信号である再起動パルス203,103とORゲー
ト25,15で論理和演算され、計算機21,11のリ
セット信号206,106として接続される。The output signals of the F / Fs 26 and 16 are the stop signals 205 and 105 of the redundant computer 2 and the main computer 1, respectively.
The OR operation is performed by OR gates 25 and 15 with restart pulses 203 and 103, which are timeout signals of watchdog timers B23 and B13, and connected as reset signals 206 and 106 of computers 21 and 11, respectively.
【0020】さらに、立下り検出ワンショット回路2
8,18は停止信号205,105の立下りを検出した
結果を停止解除パルス207,107として、主系計算
機1及び冗長系計算機2のF/F16,26のセット入
力として接続される。Further, a falling detection one-shot circuit 2
Numerals 8 and 18 are connected as set inputs of the F / Fs 16 and 26 of the main computer 1 and the redundant computer 2 as stop release pulses 207 and 107, respectively, as a result of detecting the fall of the stop signals 205 and 105.
【0021】一方、切換要求信号102,202は主系
計算機1及び冗長系計算機2のF/F15,25のリセ
ット入力に接続される。F/F15,25の初期値はH
(ハイレベル)側に設定されており、初期状態では起動
許可信号104,204に影響を与えないが、一旦故障
が発生すると、主系計算機1及び冗長系計算機2の起動
許可信号104,204がリセットされる。On the other hand, the switching request signals 102 and 202 are connected to reset inputs of the F / Fs 15 and 25 of the main computer 1 and the redundant computer 2. The initial value of F / F15, 25 is H
It is set to the (high level) side and does not affect the start permission signals 104 and 204 in the initial state, but once a failure occurs, the start permission signals 104 and 204 of the main computer 1 and the redundant computer 2 are changed. Reset.
【0022】このため、主系計算機1及び冗長系計算機
2に故障が発生した場合には、この信号の効果によって
他系からの停止解除パルス207,107がANDゲー
ト17,27によって無視されるようになり、再起動し
ないように制御することができる。Therefore, when a failure occurs in the main computer 1 and the redundant computer 2, the stop release pulses 207 and 107 from other systems are ignored by the AND gates 17 and 27 due to the effect of this signal. And can be controlled not to restart.
【0023】図2は図1の冗長系計算機2が正常の場合
の動作を示すタイミングチャートである。これら図1及
び図2を参照して図1の主系計算機1及び冗長系計算機
2がともに正常に動作可能である状態における動作につ
いて説明する。FIG. 2 is a timing chart showing the operation when the redundant computer 2 of FIG. 1 is normal. The operation in a state where both the main computer 1 and the redundant computer 2 of FIG. 1 can operate normally will be described with reference to FIGS.
【0024】通常状態では主系計算機1が運用され、こ
の状態で宇宙機(図示せず)の制御が行われる。この状
態では冗長系側計算機2の停止信号205はセットされ
た状態であり、計算機21はリセット信号206が継続
的に入力された状態となるため、動作を停止している。In the normal state, the main computer 1 is operated, and in this state, control of the spacecraft (not shown) is performed. In this state, the stop signal 205 of the redundant computer 2 is set, and the computer 21 stops operating because the reset signal 206 is continuously input.
【0025】また、主系計算機1では定期的に内部の動
作状態を監視し、問題がなければクリア信号101を発
生し、ウォッチドッグタイマA12及びウォッチドッグ
タイマB13のクリアを行う。このため、これらウォッ
チドッグタイマA12及びウォッチドッグタイマB13
のタイムアウト信号である切換要求パルス102と再起
動パルス103とについては発生することはない。The main computer 1 periodically monitors the internal operation state, and if there is no problem, generates a clear signal 101 to clear the watchdog timer A12 and the watchdog timer B13. Therefore, the watchdog timer A12 and the watchdog timer B13
Does not occur for the switching request pulse 102 and the restart pulse 103 which are the time-out signals.
【0026】この状態で計算機11に故障が発生した場
合、定期的な動作監視の結果であるタイマのクリア動作
が停止する。その場合、まず、ウオッチドッグタイマA
12のタイムアウトが発生し、切換要求パルス102が
冗長系計算機2に入力される。また同時に、F/F14
がリセットされ、起動許可信号104がL(ローレベ
ル)側(禁止)に設定される。If a failure occurs in the computer 11 in this state, the clearing operation of the timer, which is the result of the periodic operation monitoring, stops. In that case, first, watchdog timer A
Twelve timeouts occur, and the switch request pulse 102 is input to the redundant computer 2. At the same time, F / F14
Is reset, and the activation permission signal 104 is set to the L (low level) side (inhibited).
【0027】冗長系計算機2の起動許可信号204の初
期値はH側(許可側)であるため、切換要求パルス10
2はそのままF/F26のリセット入力に入力される。
その結果、冗長系計算機2のF/F26がリセットされ
て停止信号205が解除され、計算機21に入力されて
いるリセット信号206も同時に解除される。Since the initial value of the activation permission signal 204 of the redundant computer 2 is on the H side (permission side), the switching request pulse 10
2 is directly input to the reset input of the F / F 26.
As a result, the F / F 26 of the redundant computer 2 is reset, the stop signal 205 is released, and the reset signal 206 input to the computer 21 is also released at the same time.
【0028】したがって、計算機21が起動され、冗長
系計算機2が動作を開始することとなる。また、停止信
号205の解除は立下り検出ワンショットパルス生成回
路28によって検出され、停止解除パルス207が主系
計算機1に入力される。Accordingly, the computer 21 is started, and the redundant computer 2 starts operating. The release of the stop signal 205 is detected by the falling detection one-shot pulse generation circuit 28, and the stop release pulse 207 is input to the main computer 1.
【0029】停止解除パルス207は主系計算機1のF
/F16のセット信号に接続されているため、主系計算
機1の停止信号105が設定される。よって、計算機1
1に入力されるリセット信号106が設定されるため、
計算機11の動作が停止し、主系計算機1と冗長系計算
機2との切換が行われることになる。The stop release pulse 207 is transmitted to F
/ F16, the stop signal 105 of the main computer 1 is set. Therefore, Calculator 1
Since the reset signal 106 input to 1 is set,
The operation of the computer 11 stops, and the switching between the main computer 1 and the redundant computer 2 is performed.
【0030】尚、その後にウォッチドッグタイマB13
のタイムアウトが発生し、再起動パルス103が発生す
るが、ORゲート15で論理和演算されている停止信号
105が設定されているため、この効果は現れない。After that, the watchdog timer B13
Occurs, and the restart pulse 103 is generated. However, this effect does not appear because the stop signal 105, which is the OR operation performed by the OR gate 15, is set.
【0031】図3は図1の冗長系計算機1が恒久的故障
の場合の動作を示すタイミングチャートである。これら
図1及び図3を参照して冗長系計算機1が恒久的故障の
場合の動作について説明する。FIG. 3 is a timing chart showing the operation when the redundant computer 1 of FIG. 1 has a permanent failure. The operation in the case where the redundant computer 1 has a permanent failure will be described with reference to FIGS.
【0032】主系計算機1に故障が発生した後の場合、
F/F14の起動許可信号204がL側(禁止)に設定
されていることによって、切換要求パルス202は無視
される。この状態で、動作中である計算機21に一時的
な機能喪失が発生した場合の動作を以下に説明する。After a failure occurs in the main computer 1,
Since the activation permission signal 204 of the F / F 14 is set to the L side (prohibited), the switching request pulse 202 is ignored. The operation in the case where a temporary loss of function occurs in the operating computer 21 in this state will be described below.
【0033】この状態では、計算機21の動作状態モニ
タの結果、クリア信号201が途絶するため、まずウォ
ッチドッグタイマA22がタイムアウトする。このた
め、切換要求パルス202が発生して冗長系計算機2に
入力されるが、冗長系計算機1の起動許可信号104が
L側(禁止)に設定されているため、F/F16が動作
せず、停止信号105は解除されない。よって、冗長系
計算機1は動作せず、停止解除パルス107の発生も行
われない。In this state, since the clear signal 201 is interrupted as a result of monitoring the operation state of the computer 21, the watchdog timer A22 first times out. For this reason, the switching request pulse 202 is generated and input to the redundant computer 2, but the F / F 16 does not operate because the activation permission signal 104 of the redundant computer 1 is set to the L side (prohibited). , The stop signal 105 is not released. Therefore, the redundant computer 1 does not operate, and the stop release pulse 107 is not generated.
【0034】この後、ウォッチドッグタイマB23が遅
れてタイムアウトする。これによって、再起動パルス2
03が発生するが、この場合には停止信号205が設定
されていないために、計算機21のリセット信号206
として入力されることになる。したがって、計算機21
が再起動して、一時的な機能喪失から復帰することがで
きる。Thereafter, the watchdog timer B23 times out with a delay. Thereby, the restart pulse 2
03 occurs. In this case, since the stop signal 205 is not set, the reset signal 206
Will be entered as Therefore, the computer 21
Can restart and recover from a temporary loss of function.
【0035】本発明の一実施例において、1つの計算機
に2つのウォッチドッグタイマを有する代わりに、2種
類のタイムアウトを持つ単独のウォッチドッグタイマを
利用した場合も、上記と同様の効果を得ることが可能で
ある。In the embodiment of the present invention, the same effect as described above can be obtained even when a single watchdog timer having two types of timeouts is used instead of having two watchdog timers in one computer. Is possible.
【0036】このように、主系計算機1とコールドスタ
ンバイの冗長系計算機2とを有する宇宙機制御用計算機
において、タイムアウト時間の異なる2つのウォッチド
ッグタイマA12,22及びウォッチドッグタイマB1
3,23を備えることで、冗長系計算機2が恒久的な故
障状態で運用されても、主系計算機1の一時的な機能障
害に対して、主系計算機1の再起動によって機能を継続
することができる。As described above, in the spacecraft control computer having the main computer 1 and the cold standby redundant computer 2, the two watchdog timers A12 and 22 and the watchdog timer B1 having different timeout periods are used.
With the provision of 3 and 23, even when the redundant computer 2 is operated in a permanent failure state, the function is continued by restarting the main computer 1 in response to a temporary functional failure of the main computer 1. be able to.
【0037】尚、本発明は上記の実施例に限定されず、
本発明の技術思想の範囲内において、上記の実施例が適
宜変更され得ることは明らかである。The present invention is not limited to the above embodiment,
It is clear that the above embodiments can be modified as appropriate within the scope of the technical idea of the present invention.
【0038】[0038]
【発明の効果】以上説明したように本発明によれば、運
用系とコールドスタンバイの待機冗長系とから構成され
る宇宙機制御用計算機であって、2種類のタイムアウト
時間が設定されたウォッチドッグタイマを備え、第1の
タイムアウト時間のタイムアウトによって系の切換を行
い、第2のタイムアウト時間のタイムアウトによって系
の切換が行われなかったことを検出することによって、
待機系が恒久的な故障状態で運用される状態において運
用系の一時的な機能障害に対して運用系の再起動によっ
て機能を継続することができるという効果がある。As described above, according to the present invention, there is provided a spacecraft control computer including an active system and a cold standby standby redundant system, wherein a watchdog timer in which two types of timeout times are set. By switching the system by the timeout of the first timeout period, and detecting that the system was not switched by the timeout of the second timeout period,
In a state where the standby system is operated in a permanent failure state, there is an effect that the function can be continued by restarting the active system for a temporary functional failure of the active system.
【図1】本発明の一実施例による宇宙機制御用計算機の
構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of a spacecraft control computer according to an embodiment of the present invention.
【図2】図1の冗長系計算機が正常の場合の動作を示す
タイミングチャートである。FIG. 2 is a timing chart showing an operation when the redundant computer in FIG. 1 is normal.
【図3】図1の冗長系計算機が恒久的故障の場合の動作
を示すタイミングチャートである。FIG. 3 is a timing chart showing an operation when the redundant computer of FIG. 1 has a permanent failure;
1 主系計算機 2 冗長系計算機 11,21 計算機 12,22 ウォッチドッグタイマA 13,23 ウォッチドッグタイマB 14,16,24,26 フリップフロップ 15,25 ORゲート 17,27 ANDゲート 18,28 立下り検出ワンショットパルス生成回路 1 Primary computer 2 Redundant computer 11,21 Computer 12,22 Watchdog timer A 13,23 Watchdog timer B 14,16,24,26 Flip-flop 15,25 OR gate 17,27 AND gate 18,28 Falling Detection one-shot pulse generation circuit
Claims (3)
系とから構成される宇宙機制御用計算機であって、2種
類のタイムアウト時間が設定されたウォッチドッグタイ
マを有し、第1のタイムアウト時間のタイムアウトによ
って系の切換を行い、第2のタイムアウト時間のタイム
アウトによって前記系の切換が行われなかったことを検
出するようにしたことを特徴とする宇宙機制御用計算
機。1. A spacecraft control computer comprising an active system and a standby redundant system for cold standby, comprising: a watchdog timer in which two types of timeout times are set; A computer for spacecraft control, characterized in that the system switching is performed by the system and that the system switching is not performed is detected by the timeout of the second timeout period.
ウトに応答して機能喪失が発生した側の計算機の機能を
再起動によって復帰させるようにしたことを特徴とする
請求項1記載の宇宙機制御用計算機。2. The spacecraft control computer according to claim 1, wherein in response to the timeout of the second timeout period, the function of the computer on which the function loss has occurred is restored by restarting. .
異なるウォッチドッグタイマに設定するようにしたこと
を特徴とする請求項1または請求項2記載の宇宙機制御
用計算機。3. The spacecraft control computer according to claim 1, wherein the two types of timeout periods are set to different watchdog timers.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000212100A JP2002024049A (en) | 2000-07-13 | 2000-07-13 | Computer for controlling space machine |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000212100A JP2002024049A (en) | 2000-07-13 | 2000-07-13 | Computer for controlling space machine |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002024049A true JP2002024049A (en) | 2002-01-25 |
Family
ID=18708062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000212100A Pending JP2002024049A (en) | 2000-07-13 | 2000-07-13 | Computer for controlling space machine |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002024049A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007116930A1 (en) * | 2006-04-07 | 2007-10-18 | Daikin Industries, Ltd. | Control process stop method |
| JP2008140198A (en) * | 2006-12-04 | 2008-06-19 | Hitachi Ltd | Failover method and its computer system |
| JP2008183912A (en) * | 2007-01-26 | 2008-08-14 | Mitsubishi Electric Corp | Control device for satellite mounting |
-
2000
- 2000-07-13 JP JP2000212100A patent/JP2002024049A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007116930A1 (en) * | 2006-04-07 | 2007-10-18 | Daikin Industries, Ltd. | Control process stop method |
| JP2008140198A (en) * | 2006-12-04 | 2008-06-19 | Hitachi Ltd | Failover method and its computer system |
| JP2008183912A (en) * | 2007-01-26 | 2008-08-14 | Mitsubishi Electric Corp | Control device for satellite mounting |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7085959B2 (en) | Method and apparatus for recovery from loss of lock step | |
| KR100928187B1 (en) | Fault-safe structure of dual processor control unit | |
| JP2002024049A (en) | Computer for controlling space machine | |
| JP4467651B2 (en) | Method for operating a communication channel via a dynamic blocking and / or initiating operation in a mixed master / slave subscriber environment, and a system configured to implement such a method | |
| US5572663A (en) | Highly reliable information processor system | |
| JP3536293B2 (en) | Redundant computer equipment | |
| JP2010128511A (en) | Microcomputer, and method for taking action for fail-safe | |
| KR100194979B1 (en) | Determination of Operation Mode of Redundant Processor System | |
| JP2998804B2 (en) | Multi-microprocessor system | |
| JP3724034B2 (en) | Control circuit for production equipment | |
| JPH11134209A (en) | Fault tolerant controler | |
| US5896048A (en) | Method for determining active/stand-by mode for use in a duplicated system | |
| JP2002032239A (en) | Multiplexing system | |
| JP2006276947A (en) | Power supply control device and power supply control method | |
| JP4957068B2 (en) | Redundant system switching method | |
| JPH05341803A (en) | Duplex switching device for programmable controller | |
| JPH04148246A (en) | Watchdog timer | |
| JPH06139091A (en) | High reliability information processor | |
| JPH10143393A (en) | Diagnosis and processing device | |
| JPH11265321A (en) | Fault restoring method central processing unit and central processing system | |
| JP2020071492A (en) | Information processing system | |
| JPH06168151A (en) | Duplex computer system | |
| JPH0588926A (en) | Automatic switching circuit for monitor and control system | |
| JPH04171539A (en) | Duplex computer system | |
| JP2005327284A (en) | Multiplexing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070614 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090302 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090317 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090609 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090803 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090825 |