JP2608904B2 - 多重冗長誤検出システムおよびその使用方法 - Google Patents

多重冗長誤検出システムおよびその使用方法

Info

Publication number
JP2608904B2
JP2608904B2 JP62502726A JP50272687A JP2608904B2 JP 2608904 B2 JP2608904 B2 JP 2608904B2 JP 62502726 A JP62502726 A JP 62502726A JP 50272687 A JP50272687 A JP 50272687A JP 2608904 B2 JP2608904 B2 JP 2608904B2
Authority
JP
Japan
Prior art keywords
fault
data
bus
power
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP62502726A
Other languages
English (en)
Other versions
JPH01500307A (ja
Inventor
スミス・ステイーブン・イー
マーフイ,ケニース・ジエイ
Original Assignee
トリプレツクス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by トリプレツクス filed Critical トリプレツクス
Publication of JPH01500307A publication Critical patent/JPH01500307A/ja
Application granted granted Critical
Publication of JP2608904B2 publication Critical patent/JP2608904B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Hardware Redundancy (AREA)

Description

【発明の詳細な説明】 発明の技術的背景 この発明は、多重冗長誤検出システムに関するもので
あり、特に票決論理を使用する多重冗長プロセッサに関
するものである。三重モジュラ冗長(TMR)計算システ
ムは数念前から知られている。例えば米国特許第4,375,
683号明細書(Wensley,“Fault Tolerant Computationa
l System and Voter Circuit)にはTMR技術によるその
ようなシステムが記載されている。一般にTMRシステム
は計算機能が同期して動作する3個の同一モジュールに
よつて行われ、計算の結果は票決回路で比較される。も
しも一つのモジュールに何等かの理由で故障があると、
その結果は他の二つのモジュールからの正しい結果によ
り票決で排除される。
TMR原理はまた文献(“Proc.of the IEEE、第64巻、
第6号、1976年6月のWakerleyの論文)に記載されてい
る。別の背景技術として有用な文献としてはIEEE Tran
s.on Computers、第C−27巻、第6号、1978年6月のDa
viesおよびWakerleyの論文がある。
次の特許はこの発明の技術分野における技術の状態を
示している。
米国特許第3,356,837号明細書(Raymond)、 米国特許第3,501,743号明細書(Dryden)、 米国特許第3,538,498号明細書(Games他)、 米国特許第3,665,173号明細書(Bouricius他)、 米国特許第3,680,069号明細書(Neumann他)、 米国特許第3,783,250号明細書(Fletcher他)、 米国特許第3,805,235号明細書(Foster他)、 米国特許第3,848,116号明細書(Moder他)、 米国特許第4,270,715号明細書(Norton他)、 米国特許第4,356,546号明細書(Whiteside)、 米国特許第4,402,045号明細書(Krol)、 米国特許第4,497,059号明細書(Smith)、 次の特許は全体のシステムから電源を切断しない計算
モジュールの除去、交換に関するこの発明に関連した文
献である。
米国特許第3,993,935号明細書(Phillips他)、 米国特許第4,079,440号明細書(Ohnuma他)、 米国特許第4,454,552号明細書(Barnes他)、 米国特許第4,375,683号明細書(Wensley)に記載され
ているシステムのどのような従来の技術の多くの故障容
認システムの共通の欠点は、システム内の故障の検出が
票決回路からの正しい出るであることに依存することで
ある。もしも票決回路自身に故障があれば、故障の検出
論理もまた誤りとなる。別のシステムはこの問題に対処
するために各種の形態の多重票決回路を使用している。
しかしながら、従来のシステムはいずれも故障検出論理
装置それ自身内の故障検出の分野で完全に満足できるも
のはない。
したがつて、多重計算モジュール中の故障の検出だけ
ではなく、各モジュールと関連する故障決定論理装置内
の故障の検出をも行なうことのできる多重冗長多数票決
システムの必要性は依然として存在している。この発明
はこれを目的とするものである。
発明の概要 この発明は、故障の検出が多数決原理で行われる多重
故障検出モジュールを有する多重冗長コンピュータシス
テムに関するものである。簡単に言えば、一般的に、こ
の発明は、それぞれプロセッサとメモリと各計算装置間
のデータバスとを有している複数の計算装置と、メモリ
プロセッサとの間のデータパス上のデータを途中で受
け、それを対応するデータパスに送信する手段と、各計
算装置と共同しデータバスの全てから入力を受けてその
計算装置に単一の票決された出力を供給するように接続
された票決回路とを具備している。
この発明のシステムはまた、データバスの全てから入
力を受け、システムの故障の状態を示す状態ワードを発
生するように接続された各計算装置と共同する故障決定
論理装置と、各計算装置が票決された故障状態ワードを
供給されるように対応するデータバスと故障決定論理装
置を接続する手段とを備えている。
さらに詳しく説明すれば、この発明の例示された実施
例では、システムは三重冗長である。故障決定論理装置
は3個のデータバスから信号を受け、3個のラインにデ
ータバス間の承認を表わすバス比較出力信号を発生させ
るように接続されたバス比較論理装置を備えている。特
にバス比較論理装置からの3個の出力ラインはデータバ
ス信号の3個の可能な対のそれぞれの間の同一または不
同一を指示する。
故障決定論理装置はまたバス比較論理装置からのバス
比較出力信号を翻訳し、それから故障状態ワードを発生
させる手段を備えている。故障決定論理装置はまた計算
装置によりアドレス可能であり、故障検出論理装置に結
合されてバス比較出力信号の選択的設定を可能にし、故
障決定論理装置内の故障の検出を容易にするテストレジ
スタを有している。
この発明の図示した実施例はそれぞれ計算装置とバス
比較論理装置と故障決定論理装置とを有する3個のモジ
ュールを備えている。各モジュールはさらに全体のシス
テムから電源を切断することなくモジュールの除去また
は交換を可能にする電気・機械的手段を備えている。電
気・機械的手段はモジュールの挿入中に他の接続前に電
源の接続を確保し、モジュールの除去中他のラインの切
断後電源の遮断を確実にするために長さの長い電源接続
ピンを備え、さらにモジュールの実際の除去に先立つて
電気遮断信号を発生させる電気・機械的インターロック
を備え、それによつて遮断信号が順序正しくモジュール
の動作を終了させるために使用される。
この発明の方法によれば、三重冗長コンピュータシス
テムの故障決定論理装置中のエラーは3個の同期された
計算サブシステムの一つ中のエラー状態をシミュレート
し、3個のサブシステムのそれぞれと共同する故障決定
論理装置中の第1の故障状態条件のセットを発生させ、
3個の計算サブシステムのそれぞれ中へ多数決票決によ
り3個の関連するデータバス上へ第1の故障状態条件を
読み出し、第1の故障状態条件の読み出しの結果として
故障状態条件の第2のセットを発生させることによつて
検出され、第2の故障状態条件は不適切に動作する故障
決定論理装置の識別子を発生させる。
別の変形方法では、故障状態をシミュレートするステ
ップは、データバスの選択されたものに故意に不正確な
データワードを書き込み、それにより票決されたデータ
バスの読みは選択されたバスと関連する計算サブシステ
ム中のエラーの指示を発生し、第1の故障状態条件の読
み出しのステップは不適切に動作する故障決定論理装置
を示す。
別の変形方法では、故障状態をシミュレートするステ
ップは、故障決定論理装置中にバス比較信号の選択され
たセットを注入し、それにより第1の故障状態条件の読
み出しのステップはバス比較信号から予期された結果を
生成し、第1の故障状態条件の読み出しのステップは故
障決定論理装置自身中のエラーを示す第2の誤り状態条
件を発生する。
この発明の別の観点によれば、電力は複数の冗長電源
バスおよび同数の複数の電源共用回路により複数の電源
からシステムに供給される。システム中の多数の電気負
荷のそれぞれは全ての電源から電力を受けるが、システ
ムは負荷中または電源中の短絡その他の故障による障害
を受けない。各電力共用回路は電源からの各ラインに電
流制限回路を備え、負荷の短絡により生じた可能な過電
流状態から各電源を保護する。ダイオードもまた電源か
らの各ラインに設けられ、他の電源中の短絡に対して電
源が電流を供給することを阻止する。その出力は負荷の
1端子と結合され、別の電源から出力された電流と結合
される。
以上の説明から、この発明が冗長多重多数決票決コン
ピュータシステムの分野における大きな進歩を与えるも
のであることが認識されよう。特に、この発明は多重計
算装置の動作のチェックのみならず、計算装置のそれぞ
れと関連する故障検出論理装置の動作もまたチェックで
きる信頼性のある技術を提供する。この発明のその他の
態様および利点は添附図面と関連した以下の詳細な説明
から明瞭になるであろう。
図面の簡単な説明 第1図は、この発明による三重冗長コンピュータシス
テムのブロック図である。
第2a図は、この発明で使用される計算装置の簡単化し
たブロック図である。
第2b図は、第2a図に類似した簡単化したブロック図で
あり、冗長データバスを介してこの発明による三重冗長
コンピュータシステムと接続されるメモリからデータバ
スがどのように遮断されるかを示す。
第3図は、第1図のシステムのバス比較論理装置およ
び故障決定論理装置をより詳細に示すブロック図であ
る。
第4図は、第3図の比較論理装置の一つを示す部分的
ブロック図である。
第5図は、第3図の故障状態論理装置をに示す概略的
ブロック図である。
第6図は、第1図に示した3個の計算サブシステムの
一つのハードウエアブロック図である。
第7図は、この発明の各計算モジュールで使用された
プロセッサの種々のハードウエア状態を示すブロック図
である。
第8図は、モジュールの除去または交換中電気遮断を
発生するために使用される機械的インターロックを示す
簡単化した正面図である。
第9図は、“ホット”な除去または交換ができるよう
にモジュールがどのように構成されているかを示す図で
ある。
第10図は、この発明の三重冗長コンピュータシステム
と関連して使用される電源共用回路の簡単化したブロッ
ク図である。
好ましい実施例の説明 説明のために図示するように、この発明は、ある種の
コンピュータ故障から生じる計算エラーの可能性を減少
させるための多重計算回路および票決回路を使用する型
式の故障に影響されないコンピュータシステムに関する
ものである。典型的な実時間コンピュータ技術において
は、複雑な工業プロセス中の処理変数の監視および制御
において、計算装置はデジタルおよびアナログ入力信号
を受信し、デジタルおよびアナログ出力信号を発生す
る。第2a図に示すように、典型的なコンピュータシステ
ムはプロセッサ10と共同するメモリ12とを備えている。
入力および出力信号は14および16で示すようにプロセッ
サ10と通信し、コンピュータが行なうあらゆる機能はコ
ンピュータメモリ12の操作の直接の結果であると考える
ことができる。
プロセッサ10はメモリアドレスを運ぶアドレスライン
18およびメモリ12に蓄積されるデータワードのためのデ
ータ“書込み”通路20およびメモリ12に蓄積されたデー
タワードを検索するためのデータ“読出し”通路22とし
て考えることができるデータ路上でメモリ12と通信す
る。この発明のコンピュータシステムでは、三重化され
た計算装置のメモリから読み出されるデータは故障検出
のために監視され、後で多数決票決されたデータの形態
でプロセッサ10に戻る。三重化された計算装置の典型的
なものは第2b図に概念的な形態で示されている。メモリ
12からのデータワードはライン24で3個のデータバス26
の一つにへ伝送される。他の2個のデータバスは他の二
つの計算装置からデータを受け、3個のデータバスはも
しも3個の計算装置が正確に同期して動作するならば常
に同一のデータを伝送しなければならない。3個のデー
タバス上のデータが同一でないときだけが後述するテス
トプロセスである。データバス26は票決回路30にライン
28で別々の入力に供給され、この票決回路30はデータバ
ス26からのデータ信号の多数決票決したものを選択して
ライン32に単一の出力を出力する。プロセッサ10はライ
ン32上の票決されたデータを受信して、実際には多重計
算システムのメモリから“票決されたデータ”を受けて
いるのであるが、直接そのメモリから受けたように動作
する。
以上のデータ流の説明は、計算装置のハードウエアが
さらに詳細に説明されるときに理解できるように多少簡
単化してある。メモリ12との間のデータ路は、票決回路
30によつて処理されるために途中で取出される読取り路
22だけであるが、単一の両方向性バスとして構成されて
いる。
三重冗長コンピュータシステムは第1図に示され、3
個の計算装置40a,40bおよび40cを備えている。この説明
を通じて、添付した符号a,b,cは3個の計算サブシステ
ムの一つを識別するために使用されている。添付符号が
使用されないのはサブシステムのいずれであつてもよい
ときである。
コンピュータシステムはまた3個の票決回路30a,30b,
30c、バス比較論理装置を備えた3個の回路42a,42b,42
c、故障比較論理装置を備えた3個の回路44a,44b,44cお
よび3個のデータバス26a,26b,26cを具備している。各
計算装置40からのデータはライン24で対応するデータバ
ス26に送られる。3個のデータバス26の全てからのデー
タ信号はライン28によつて票決回路30aへ、また同様の
ライン28bおよび28cによつて票決回路30bおよび30cへ入
力される。各票決回路30は対応する計算装置40へ戻る出
力ライン32を有する。3個のサブシステムのそれぞれに
おいて、データバス26からのライン28はまたバス比較論
理装置42に入力として接続されている。この論理装置42
はライン46,48,50上にデータバス信号の種々の対がどの
ように比較されるかを示す3個の2進出力信号を発生す
る。ライン46はA=Bか否か、すなわちデータバス26a
および26b上の信号が等しいか否かを示す。同様にライ
ン48はB=Cか否か、ライン50はA=Cか否かを示す。
図に示されているように、これらのバス比較出力信号は
直接故障決定論理装置44に入力される。
以下さらに詳細に説明するように、故障決定論理装置
44はシステム全体の状態を示す故障状態ワードを発生す
る。この故障状態ワードは故障決定論理装置44からライ
ン52により読み出されてライン24上を対応するデータバ
ス26へ伝送される。システム中の他のデータによつて
も、故障状態データ信号はデータバス26からライン28に
より上を票決回路30に伝送され、票決回路30は故障状態
ベクトルの票決されたまたは多数決の信号を発生する。
この発明のこの態様によれば、故障状態情報は計算装置
40により各故障決定論理装置44から同時に読み出される
が、計算装置は故障状態の票決された形のものを得る。
バス比較論理装置42は表1に設定された可能な組合せ
に従ってライン46,48,50上に出力を生成する。
条件#1は出力A,B,Cの全てが等しい正常のものであ
る。他の7つの条件は何等かの故障を表わしている。例
えばモジュールAだけが故障していれば、B=Cライン
だけが真(1)であり、A=CおよびA=Bラインは偽
(0)である。これは条件#6として示されている。同
様に条件#7と条件#4はそれぞれモジュールBおよび
Cの故障を表わす。条件#2,#3,#5は比較器の故障を
表わしている。何故ならば、もしも比較器論理装置が適
切に動作しているならば、それらの状態は不可能である
からである。例えば条件#2に対して、A=BおよびB
=CであるのにA≠Cである状態はあり得ない。
バス比較論理装置42は第3図に示され、それには3個
の論理比較器60.1,60.2,60.3が設けられ、それらにデー
タバス26からの入力ライン28が接続されている。特にバ
ス26aおよび26bは論理比較器60.1に接続され、バス26b
および26cは論理比較器60.2に接続され、バス26aおよび
26cは論理比較器60.3に接続されている。論理比較器60.
1,60.2,60.3はそれぞれA=B,B=C,A=Cか否かを示す
出力を故障決定論理装置44へのライン46,48,50に生じ
る。論理比較器60の一つは第4図に詳細に示されてい
る。
データバス26はそれぞれ多ビツトバスであり、一方論
理比較器60からのライン46,48,50上の出力は単一の2進
信号てある。それ故、各論理比較器60は2組のN個の2
進入力を有し、Nはデータバス26上のワードのビツト数
である。例えば第4図に示すように、比較器入力はライ
ン62.1ないし62.Nおよび64.1ないし64.Nを有する。比較
器60はバスAのビツト1(62.1)をバスBのビツト1
(64.1)と比較しN(62.Nおよび64.N)までの全てのビ
ツトについて比較する。1ビツトの比較はバスAのビツ
トを反転させてアンドゲート66.1を使用してバスBのビ
ツトとアンド動作させ、またバスBのビツトを反転させ
てアンドゲート68.1を使用してバスAのビツトとアンド
動作させることによつて行われる。バスAとバスBのビ
ツトが等しければ、これらのアントセゲートの出力は
“0"であり、オアゲート70の出力も0であり、反転され
た出力A=Bは真(論理1)である。もしもバスAのビ
ツトがバスBからのビツトと異なるならば、アンドゲー
ト66.1または68.1のいずれかの出力は“1"となりオアゲ
ート70の出力も“1"となり反転された出力A=Bは論理
“0"(偽)である。
もしも、2個のバス26aおよび26bからのデータワード
が全てのビツト位置において同一であるならば、全ての
アンドゲート68は論理“0"出力を生成する。それ故オア
ゲート70は論理“0"出力を有し、ライン46上の出力は論
理“1"である。しかしながら、入力ワードが少なくとも
1ビツト位置で相違しているならば、少なくとも一つの
アンドゲート68は論理“1"出力を発生し、これはオアゲ
ート70を通過してA=B出力ライン46上に論理“0"信号
を生じる。もちろん他の論理比較器60.2および60.3も同
様に構成されている。
故障決定論理装置44もまた第3図により詳細に示され
ている。それは3個の排他的オア(XOR)ゲート72.1、7
2.2,72.3と、テストレジスタ74と、故障状態レジスタ76
と、故障状態論理装置78とを備えている。バス比較論理
装置42からの出力ライン46,48,50はそれぞれ3個の排他
的オアゲート72.1,72.2,72.3に入力として接続されてい
る。排他的オアゲートの他方の入力はテストレジスタ74
からライン80.1,80.2,80.3上を供給され、このテストレ
ジスタ74はライン82上をプロセッサ10から書込まれたデ
ータを有する。もしもテストレジスタ74がゼロであれ
ば、XORゲート72はライン46,48,50上の入力信号に何の
影響も与えず、XORゲート72の出力は故障状態論理装置7
8に入力として供給される。故障状態論理装置は故障状
態レジスタ76にライン84により出力を与え、それはライ
ン86で示したようにプロセッサ10から読み出されてもよ
い。テストレジスタの任意の位置の論理“1"はXORゲー
ト72の一つにより故障決定論理装置44に対する対応する
入力信号を論理的に反転させる効果を有する。これらの
潜在的に変形した入力はXORゲート721,72.2,72.3からの
ライン90,92,94上にA′=B′,B′=C′およびA′=
C′として示されている。
故障状態論理装置78は第5図に詳細に示されており、
それは表1に示された真値表の一つの可能構成である。
ライン90,92,94上の入力はインバータ96で反転されてラ
イン90′,92′,94′上に3個の反転された入力の並列の
セットを出力する。論理装置78からの出力は8個のアン
ドゲート100〜107およびオアゲート108に与えられる。
アンドゲート100ライン90,92,94からの入力を受けて、
故障がなく、システムが正常に動作しているとき“1"を
出力する。アンドゲート101はライン92,90′,94′から
の入力を受けて、Aモジュールが故障のとき“1"を出力
する。アンドゲート102はライン94,90′,92′からの入
力を受けて、Bモジュールが故障のとき“1"を出力す
る。アンドゲート103はライン90,92′,94′からの入力
を受けて、Cモジュールが故障のとき“1"を出力する。
アンドゲート104はライン92,94,90′からの入力を受け
て、比較器故障を示す不可能な条件に対してのみ“1"を
出力する。同様にアンドゲート105はライン90,94,92′
からの入力を受けて、比較器故障に対してのみ“1"を出
力し、アンドゲート106はライン90,92,94′からの入力
を受けて、他の比較器の故障が生じたときのみ“1"を出
力する。アンドゲート104,105,106からの出力はオアゲ
ート108でオア処理されて比較器の故障を示す単一の出
力信号を出力する。
最後のアンドゲート107はライン90′,92′,94′から
の入力を受けて、いずれか2つの計算装置の間に一致が
ない多重故障であるときのみ“1"を出力する。
故障状態論理装置78からの出力の6ビツトは任意の有
効な状態アイテムと共に故障状態レジスタ76に蓄積さ
れ、システムの動作中にプロセッサにより読み出すこと
ができる。この発明の重要な特徴は、故障状態レジスタ
が計算装置のプロセッサ中に読み込まれる方法である。
これは第6図のハードウエアブロック図中のデータフロ
ーを検討することによつて最もよく説明される。3個の
例示されたサブシステムのそれぞれの中のハードウエア
はプロセッサ10、メモリ12および追加的なプログラム可
能な読取り専用メモリ(PROM)110、票決回路30、バス
比較論理装置42、故障決定論理装置44、マルチプレクサ
112、タイミングおよび同期論理装置114、タイミングお
よび同期信号票決回路116、および遮断処理論理装置118
を備えている。またメモリ12、マルチプレクサ112、お
よび故障決定論理装置44に接続された第1の内部バス12
0、および票決回路30、プロセッサ10、およびPR“Mお
よびハードウエアレジスタ110に接続された第2の内部
バス122を備えている。2個の内部バス120および122は
バッファ124を介して互いに接続されている。この発明
のシステムの動作は第6図を参照した種々の交互のデー
タフロー経路の議論から認識されるであろう。
メモリへのデータ書込み これは比較的簡単なフロー経路であり、プロセッサ10
から第2の内部バス122へ延び、バッファ124を通り第1
の内部バス120へ至り、そこからメモリ12へ達する。
メモリからのデータの読み出し これは正常の票決されたメモリ読み出し動作である。
データはメモリ12から第1の内部バス120へ送られ、そ
こからマルチプレクサ112を通つてデータバス26の一つ
へ送られる。全てのデータバス26はそれから票決回路30
を通つて読み戻され、票決回路の出力は第2の内部バス
122を通つてプロセツサ10に送られる。状態によつて
は、プロセッサ10はメモリ12から票決されない読み出し
を行なう。これらの場合のデータフロー経路はメモリ12
から第1の内部バス120へ送られ、バッファ124を通って
第2の内部バス122へ、さらにそこからプロセッサ10へ
送られる。
テストレジスタへのデータの書込み プロセッサ10は故障決定論理装置44内のテストレジス
タにデータを書込むことができる。その経路はプロセッ
サ10から第2の内部バス122へ、そこからバッファ124を
通り第1の内部バス120へ、そこから故障決定論理装置4
4へ至る。
誤り状態レジスタからのデータの読取り これは、票決された故障状態情報がプロセッサ10によ
り読み取られる重要な経路である。経路は、故障決定論
理装置44から第1の内部バス120へ、そこからマルチプ
レクサ112を通り対応するデータバス26に至る。他の二
つのサブシステムは他の二つのデータバス26上の故障状
態のそれらの信号を同時に与える。票決回路30はデータ
バス26からの3個全ての故障状態をワードを読み取り、
その票決された出力を第2の内部バス122を介してプロ
セッサ10に送る。場合によつては、故障状態レジスタか
らの票決されない読取りが必要である。その場合のフロ
ー経路は故障決定論理装置44から第1の内部バス120
へ、そこからバッファ124を通り第2の内部バス122へ、
そして直接プロセッサ10へ至る。
通信モジュールとの間のデータの流れ 今まで説明してきた同じ票決原理がデータバスに結合
された通信モジュールとの間のデータの授受に適用でき
る。通信モジュール130は外部装置と通信するための別
の手段を備えている。出力信号は通信モジュールを通つ
て送信され、入力信号は通信モジュールを通つて受信さ
れる。しかしながら、プロセッサ10との直接の通信の代
りに、通路がデータバス26を通つて設定される。データ
入力に対して、通信モジュール130は外部で発生した入
力信号を3個のデータバス26に分配する。入力信号はデ
ータバス26から票決回路30に結合され、計算装置に入力
される。出力に対しては、各計算装置は出力データを第
2の内部バス122、バッファ124、第1の内部バス120、
マルチプレクサ112を経てデータバス26に送信する。マ
ルチプレクサ112は通信モジュール130にデータならびに
アドレス情報を伝送するために設けられる。通信モジュ
ール130はデータバス26から出力データを受け、それ自
身の票決回路(図示せず)を備え、システムの外部の所
望の目的装置に票決されたデータを与える。
各サブシステムのプロセッサ10は票決回路30、バス比
較論理装置42、および故障決定論理装置44について周期
的試験を行なうようにプログラムされている。バス比較
試験はデータバス26の一つに故意に不正確なデータワー
ドを与え、故障状態レジスタを読むことによつて故障の
指示をチェックすることによつて行われる。例えばサブ
システムAがそのデータバス26a上に不正確なデータワ
ードを有するとする。これはAモジュールが故障である
ことを示す故障状態ベクトルを生成する。しかしなが
ら、もしもサブシステムの一つのバス比較論理装置42が
故障であるならば、これは故障のある比較論理装置を有
するサブシステム中に形成される不正確なエラー診断を
生じる。2個のサブシステムはモジュールA中の故障を
正確に示す故障状態レジスタを有し、一方第3のものは
他の状態を示す。これらのレジスタがデータバス26を通
つて読み戻されるとき、少なくとも2個のサブシステム
中のバス比較論理装置42は故障モジュールの識別子を示
す出力を発生する。例として、モジュールC中のバス比
較論理装置42が入力に関係なくそのA=B出力に常に論
理“1"発生させる故障を有するとする。もしも故障がモ
ジュールAをシミュレートするならば、データバス26a
上に不正確なデータを置くことによつて、3個のサブシ
ステム中のバス比較論理装置42から次の出力を生じる。
モジュールAおよびBはB=C出力ラインが論理“1"
であるときのみそれらのバス比較論理装置から適切な出
力を生じる。これはモジュールAが故障であることを示
す故障状態ビツトに変換される。故障したモジュールC
は“比較器エラー”を示すが、どの比較器がエラーであ
るかの指示はなにも伝達しない故障状態ビツトに変換す
る不正確な結果を生じる。故障状態レジスタ76の票決さ
れた読取り動作が故障状態情報の検索に使用されると
き、各サブシステムからの故障状態ベクトルは各データ
バス26へ伝送され、それらのバスから票決回路30および
バス比較論理装置42へ読込まれる。バス26aおよび26bは
モジュールAが故障であることの適切な指示を伝送し、
バス26cは比較器エラーの指示を伝送するから、この場
合エラーはバス26cにある。この時バス比較論理装置42
の力は次のとおりである。
この例におけるそのエラー状態はA=Bライン上の
“1"出力を生成するものについて生じるから、故障して
もモジュールCは正しい結果を生じる。いずれにせよ、
モジュールの少なくとも大多数のものはモジュールCが
故障であることを示す出力を生じる。この状態ワードは
それから故障決定論理装置から読み出されて、故障のバ
ス比較論理装置の識別子が得られる。
以上をまとめると、比較論理装置中の故障はデータバ
スの一つに故意に不正確なデータワードを与え、その結
果の故障状態ワードを故障決定論理装置から読み取るこ
とによつて検出される。一つより多くのバス比較論理装
置42にエラーがあれば、故障状態の票決された読みはシ
ミュレートされたデータエラー状態と一致したエラーを
示す。故障状態レジスタの票決された読みを行なうプロ
セスはそれ自身故障状態レジスタ中に新しい状態を生成
する。もしもバス比較論理装置42に全く故障がないなら
ば、モジュールは全て状態レジスタからのモジュールA
エラー条件を読むから、故障状態レジスタの新しい状態
はエラーがないことを示す。しかしながら、バス比較論
理装置またはモジュールの一つの故障決定論理装置に故
障があるならば、状態レジスタ中の第1の状態を読み取
ることによつて生成された故障状態レジスタの新しい状
態は、故障バス比較論理装置または故障決定論理装置を
有するモジュール中のエラーを示す。本質的に試験は故
障決定論理装置自身の完全性をチェックする方法を与え
る。
プロセッサ10によつて周期的に行われる別のルーチン
試験は故障決定論理装置をチェックする効果を有する。
各プロセッサ10は3ビツトテストレジスタ中に1組のテ
ストベクトル書込む。各テストベクトルは表1に示され
た条件をシミュレートする。表1に示された適当な特性
は故障状態レジスタが読み出されるときに期待される。
通常の状態において、バス比較論理装置42からの出力ラ
イン46,48,50の全てが論理“1"であり、5oがないことを
示す。故障状態をシミュレートするために、テストレジ
スタは所望のパターンのビツト補数を負荷される。例え
ば、モジュールAの故障は次のバス比較出力により示さ
れる。
A=B 0 B=C 1 A=C 0 XORゲートは論理“1"がテストレジスタ中にあるとき
バス比較出力信号の補数または反転を生じるように動作
するから、出力信号中の正常の1−1−1パターンはテ
ストレジスタ中の所望のパターンの補数を与えることに
よつて所望のパターンに変換されることができる。与え
られた例においては、0−1−0パターンはテストレジ
スタ中の補数のパターン1−0−1によつてシュミレー
トされることができる。表1の他の出力形態も同様にシ
ュミレートされる。前述のように、データエラーがシュ
ミレートされる試験はまた故障決定論理装置中のエラー
を識別する。例えば、テストレジスタがモジュールAの
故障をシミュレートするパターン1−0−1で負荷され
るとする。これは、故障決定論理装置44が正確に動作す
るものとすれば、3個のモジュール中のモジュールAの
故障を示す故障状態ベクトルを発生する。しかしなが
ら、モジュールBの故障決定論理装置中に正しいもので
はない故障状態を生じる故障があるとする。その故障状
態ワードが故障決定論理装置から読み取られると、テス
トレジスタは一時的にクリアされ、故障状態レジスタか
らの期待された主入力読みはモジュールA中の(シミュ
レートされた)故障があることを示す。この票決された
読取りプロセス自身がこの場合にはモジュールB中のエ
ラーを示す新しい故障状態ワードを発生し、どのモジュ
ールが故障決定論理装置中のエラーを有するかを識別す
る。
今まで深く議論していないこの発明の1態様は、3個
のモジュールの同期に関するものである。明らかに、3
個のモジュールが同期して動作することは臨界的に重要
である。同期には3つの別々の概念が含まれる。すなわ
ち、共通のクロック信号を使用するタイムベースの設
定、行われなければならない制御機能においてプロセッ
サにより使用される1ミリ秒のような比較的長い期間を
有する共通の実時間クロックの設定、およびスタート・
アップまたは初期化中のモジュールの同期である。
タイムベースクロック発生器はそれ自身の10メガヘル
ツクロック出力および2個の他のモジュールのそれらを
受けるように接続された各モジュール中の位相票決回路
(図示せず)を備えている。位相票決出力は水晶発振器
を制御し、また増幅器と共同してモジュール用のクロッ
ク信号を発生させる。この装置は各モジュールで発生さ
れた同期した10メガヘルツのクロック信号を提供する。
実時間クロック信号は10メガヘルツのクロック信号から
もつと遅い実時間クロック信号を生成するため通常のク
ロック分割チェインにより発生される。再び票決原理が
使用されて、3個全てのモジュールからの実時間クロッ
クパルスが同期されることを確実にする。
スタート・アップは同期の特別の場合を表わす。モジ
ュールは最初に別々に電力を供給される。第7図は、電
力低下状態131、待機状態132、故障状態134、リセット
状態136および走行状態138を含むプロセッサ10の各種の
ハードウエア状態を示している。電力低下状態は電源電
圧のいずれかが有効でなくなつた場合になる。電力の回
復においてプロセッサはリセット状態136への転移を行
なう。リセット状態136では、プロセッサは他のモジュ
ールと同期せずにソフトウエアを実行するが、データの
票決を行なうことは許容しない。プロセッサは“リセッ
ト要求”を出すことによつて走行状態138に入ることの
許可を要求する。ただ一つのモジュールからのリセット
要求は何の効果も生じないが、もしも他のプロセッサも
またリセット要求を出力すると、これは“票決リセッ
ト”を指令し、それは全てのプロセッサに共通に出力さ
れる。票決リセットの効果は全てのプロセッサを遮断
し、それらの全てから遮断承諾が受信されるまでそれら
を保持することである。その時、プロセッサは開放され
て同時に走行状態に入る。走行状態においてはプロセッ
サは完全に同期しデータの票決を行なう。
故障状態はハードの故障または過渡的故障の発生に入
り、プロセッサの同期を失わせ、無効のデータを実行さ
せる。故障のモジュールは故障のクリアを試みて自動的
なリセット状態に入るように試みるが、もしも故障が持
続するならば、再び故障状態に入る。
待機状態は、電源の故障、モジュールの除去または票
決多数の欠如のような何等かの顕著な事件の早期監視を
行なう待機遮断の発生に入る。待機状態は予期された事
件の一つの前に臨界的なデータを保護するために使用さ
れる一時的なものである。待機処理の終了においてリセ
ット状態への転移がある。
この発明の重要な態様によれば、全体のシステムの電
力を低下させることなくモジュールの交換を可能にする
能力を有する。換言すれば、この発明のシステムはモジ
ュールの“ホット”な除去および交換を許容し、その場
合各モジュールは計算装置、票決回路30、バス比較論理
装置42および故障決定論理装置44を含んでいる。もしも
モジュールのいずれかが故障し、その故障がすでに説明
したようにして検出されたならば、理想的には故障のモ
ジュールは除去されてシステムが出力するデータの完全
性を失うことなく、システムが制御される外部プロセス
の遮断をすることなく置換えられなければならない。残
念ながら、電源がシステムに供給されている間にモジュ
ールの除去および交換を行なうことは多くの顕著な問題
を与える。特に、システムはモジュールの除去および交
換中に発生する疑似信号により生じるエラーを受け易
い。
二つのメカニズムが除去および交換中の不適切な動作
および疑似信号からシステムを保護するために使用され
る。第8図に示すように、140に示される各モジュール
はねじ固定装置142よりなる電気機械的インターロック
によりその動作位置に固定される。ねじ固定装置142は
ねじ部142bで終わる長い軸142aと、中間の直径の拡大し
た部分142cとを有し、この拡大した部分142cはカムとし
て作用する。ねじ固定装置142がその固定された位置に
あるとき、カム部分142cはマイクロスイッチ144をその
二つの動作状態の一方にする。ねじ固定装置142が除去
されるとき、カム部分142cによりマイクロスイッチ144
は他方の状態にされ、プロセッサに対して遮断信号を発
生する。遮断信号はモジュールが実際にシステムから除
去される前にマイクロプロセッサの動作を終了させるた
めに使用される。これにより、除去されるモジュールは
除去過程中の以下なる疑似動作を行なうことも阻止され
る。
挿入および除去中のモジュール内の回路の適切な動作
を維持するために、回路に供給される直流電源が維持さ
れながら、除去、交換仮定が行われなければならない。
第9図に示す第2のメカニズムこの目的で使用される。
モジュール140は入力/出力(I/O)コネクタ146を備
え、それは通常の電力入力ピン148および延長された長
さの第2の電力入力ピン150を有する。長いピン150はモ
ジュールが装置中に設置されるとき電源接続が最初に行
われ、モジュールが除去されるときに最後に遮断される
ことを保証する。長いピン150を介して供給される電力
は内部直列インダクタまたは直列抵抗152を通つて接続
され、それでなければ発生する可能性のある瞬間的な電
源サージを消去する。回路はインダクタまたは抵抗152
の電流制限効果によりゆつくりと充電され、短いピン14
8が接触するときインダクタまたは抵抗152は自動的にバ
イパスされる。
モジュール交換のプロセスは、すでに動作中の他のモ
ジュールと交換されたモジュールが完全に同期されるま
ではもちろん完了しない。新しいモジュールが挿入さ
れ、電力が供給された後、同期が前に説明したスタート
・アップ動作と類似した方法で行われる。しかしなが
ら、この過程は全く同じではない。それは3個のモジュ
ールが同時にスタートするのではないからである。この
場合に新しいモジュールは最初にメモリ中に蓄積された
プログラムまたはデータを有しない。新しいモジュール
が一度タイムベースおよび他の2個のモジュールと実時
間同期を設定されると、“リセット要求”を送り、2個
のモジュールがそれら自身の“リセット要求”を送るの
を待つ。走行状態138で動作しているモジュールは周期
的に“リセット要求”を送り新しいモジュールが走行状
態138に入るための窓またはタイムスロットを与える。
“票決されたリセット”を受けると、新しいモジュール
は走行状態138に入り、他の2個のモジュールと関連し
て動作し、それらの票決されたデータを使用して適当な
プログラムの実行を決定する。新しいモジュールは最初
はそのメモリに何も有していないから、正しいデータを
発生せず、他の2個のモジュールによつて票決される。
他のモジュールのメモリと一致するために新しいモジュ
ールのメモリを負荷することがまだ残つている。
このプロセスは全てのモジュールによる“背景”作業
として行われる。動作モジュールにより行われる他の処
理に付加して実行される背景作業はメモリ位置を読取
り、その内容を再びメモリ中に書込む。これらの読取り
および書込みを行なうソフトウエアは票決回路30を使用
して3個のモジュール全てにおいて一斉に実行される。
このようにして、動作モジュールの“良好な”メモリ中
の内容は新しいメモリ中にコピーされる。新しいモジュ
ールの全てのメモリが再び蓄積されたならば、新しいモ
ジュールは、すでに説明したようにエラーが故障検出論
理装置により検出されるまで他のモジュールと一致して
票決することができる。
第10図には、多数の電源の一つが故障したときにもそ
の負荷の電源の供給を継続することのできる、この発明
のシステムに有利に使用できる電源共用回路のブロック
図が示されている。この発明のこの態様によれば、電力
は、1組の冗長電源供給バス上を3個の別々の電源160
a,160b,160cからシステム中の種々の機能ユニット中の
電気負荷に供給される。一つがブロック162として示さ
れているシステム中の各電気負荷は電力共用回路164を
介して電力を供給されている。数個の負荷および対応す
る電力共用回路が1組の冗長電源供給バスに接続される
こともできる。
各電源160は共に電源供給バスを形成する正の電圧の
出力ライン166a,166b,166cおよび負の電圧の出力ライン
168a,168b,168cを有する。負の電圧の出力ライン168は
共通に接地点に接続され、負荷162の一方の端子もまた
接地されている。正の電圧の出力ライン166はそれぞれ
電力共用回路164の全てに接続され、電力共用回路164の
一つが図示されている。
電力共用回路164は3個の電流制限回路170および3個
のダイオード172を備えている。各電源ライン166は電流
制限回路170およびダイオード172を通つて直列に接続さ
れている。ダイオード172の負またはカソード端子は共
通に接続されて負荷162に接続されている。
電流は電源供給バス166から電流制限回路170およびダ
イオード172を通つて負荷162に流れる。電源160からの
電流は負荷162において加算的に結合される。もしもい
ずれかの電源に電流を供給できないような故障が生じる
と、残りの電源が負荷電流を一定に維持するのに必要な
追加の電流を供給する。さらに、もしもいずれかの電源
または電力バスがその正負の端子間で短絡を生じると、
これはシステムの動作に悪影響を及ぼさない。それは電
流が他の電源から供給され続けられ、ダイオード172が
適切に動作している電源から短絡している部分に電流が
流れるのを阻止するからである。それ故残る良好な電源
は何等付加的な負荷を経験しない。
最後に、もしも負荷が電源システムから過大な電流を
引き出すような故障を生じたならば、出力される全体の
電流は電流制限回路170によつて制限される。これは一
つの負荷回路の故障が全体の電源システムの電力を負荷
として使用し、他の負荷に対する電力が奪われることを
阻止する。
以上の説明から明らかなように、この発明は故障を許
容するコンピュータシステムの分野における大きな利点
を示すものである。特に、この発明は多重計算装置中の
故障を検出するのみならずまた故障決定論理装置中の故
障も検出する多重冗長コンピュータシステムを与えるも
のである。この発明のシステムはまた全体システムを遮
断しないで故障のモジュールを除去または交換する手段
を含んでいる。この発明の1実施例が説明のために詳細
に記載されているけれども、種々の変形がこの発明の技
術的範囲を逸脱することなく行われることが可能であ
る。したがつて、この発明は以下の請求の範囲によつて
のみ限定されるべきものである。
フロントページの続き (56)参考文献 特開 昭61−98450(JP,A) 特開 昭61−55745(JP,A) 特開 昭52−131438(JP,A) 特開 昭56−82953(JP,A) 実開 昭49−65103(JP,U) 米国特許4079440(US,A) 米国特許4454552(US,A)

Claims (20)

    (57)【特許請求の範囲】
  1. 【請求項1】それぞれプロセッサおよびメモリと、その
    プロセッサおよびメモリ間のデータ路とを有する複数の
    同期された計算装置と、 各計算装置の1つと関連する複数のデータバスと、 各計算装置に設けられ、メモリとその関連するプロセッ
    サとの間のデータ路上のデータを受け、その受けたデー
    タを計算装置に関連するデータバスに伝送する手段と、 各計算装置の1つと関連し、複数のデータバスの全てか
    ら入力を受けてその関連する計算装置に単一の票決され
    た出力を供給するようにそれぞれ接続された複数の票決
    回路と、 各計算装置の1つと関連し、複数のデータバスの全てか
    ら入力を受けてシステムの任意の故障状態を示す故障状
    態ワードをそれぞれ発生するようにそれぞれ接続された
    複数の故障決定論理回路と、 各計算装置と関連し、故障決定論理回路から故障状態ワ
    ードを周期的に読取って、関連するデータバスと関連す
    る票決回路を介して関連する計算装置とに供給する手段
    とを具備し、 故障決定論理回路の多数決により決定されたシステムの
    任意の故障状態を示す票決された故障状態ワードが、各
    計算装置に周期的に供給されることを特徴とする多重冗
    長コンピュータシステム。
  2. 【請求項2】計算装置の数が3である請求の範囲第1項
    記載のコンピュータシステム。
  3. 【請求項3】システムの電気的負荷が複数の負荷に分割
    され、 システムは複数の別々の電源と複数の電力共用回路とを
    具備し、各負荷が任意に選択された組合わせの電源から
    電力を受けることができるように各負荷に電源の全てを
    結合している請求の範囲第1項記載のコンピュータシス
    テム。
  4. 【請求項4】各電力共用回路は、 負荷が短絡した場合に任意の電源により供給される電流
    を制限するために各電力供給ラインの1つに接続された
    複数の電流制限回路と、 1つの電源から他の電源への電流の流れを阻止するため
    に各電力供給ラインの1つに接続された複数のダイオー
    ドとを具備している請求の範囲第3項記載のコンピュー
    タシステム。
  5. 【請求項5】各故障決定論理回路は、 データバスから信号を受け、複数のデータバスにより運
    ばれるデータ値が一致するか否かを示すバス比較出力信
    号を発生させるように接続されたバス比較論理回路と、 バス比較論理回路からのバス比較出力信号を受け、各計
    算装置に対する故障状態ワードをそれから発生する手段
    を含む故障状態論理回路とを具備している請求の範囲第
    1項記載のコンピュータシステム。
  6. 【請求項6】計算装置の数が3である請求の範囲第5項
    記載のコンピュータシステム。
  7. 【請求項7】各故障決定論理回路の故障状態論理回路
    は、関連する計算装置によりアドレス可能であり、故障
    決定論理回路に結合されたテストレジスタと、バス比較
    出力信号を選択的に設定する手段とをさらに具備して、
    故障決定論理回路中の故障の検出を容易にしている請求
    の範囲第5項記載のコンピュータシステム。
  8. 【請求項8】計算装置の数が3である請求の範囲第7項
    記載のコンピュータシステム。
  9. 【請求項9】それぞれプロセッサおよびメモリと、その
    プロセッサおよびメモリ間のデータ路とを有する3つの
    同期された計算装置と、 各計算装置の1つと関連する3つのデータバスと、 メモリとプロセッサとの間のデータ路上のデータを受
    け、それを対応するデータバスに伝送する手段と、 各計算装置の1つと関連し、3つのデータバスの全てか
    ら入力を受けてその計算装置に単一の票決された出力を
    供給するように接続された3つの票決回路と、 3つのデータバスにそれぞれ接続され、データバス信号
    の各可能な対の間の一致または一致でない状態を示す3
    つのバス比較出力信号を出力する3つのバス比較論理回
    路と、 各計算装置の1つと関連し、その関連するバス比較論理
    回路からのバス比較信号を入力として受けるようにそれ
    ぞれ接続され、システムの任意の故障状態を示す故障状
    態ワードを発生するように動作する3つの故障決定論理
    回路と、 各計算装置と関連し、故障決定論理回路から故障状態ワ
    ードを周期的に読取って、関連するデータバスと関連す
    る票決回路を介して関連する計算装置とに供給する手段
    とを具備し、 故障決定論理回路の多数決により決定されたシステムの
    任意の故障状態を示す票決された故障状態ワードが、各
    計算装置に周期的に供給されることを特徴とする三重冗
    長コンピュータシステム。
  10. 【請求項10】各故障決定論理回路は、関連する計算装
    置によりアドレス可能であり、故障決定論理回路に結合
    されたテストレジスタと、バス比較出力信号を選択的に
    設定する手段とをさらに具備して、故障決定論理回路中
    の故障の検出を容易にしている請求の範囲第9項記載の
    コンピュータシステム。
  11. 【請求項11】それぞれ計算装置、バス比較論理回路お
    よび故障決定論理回路を含む3つのモジュールを具備し
    て構成され、 各モジュールは、全体のシステムの電力を遮断すること
    なくモジュールの除去および交換を可能にする手段をさ
    らに具備している請求の範囲第10項記載のコンピュータ
    システム。
  12. 【請求項12】電力を遮断することなくモジュールの除
    去および交換を可能にする手段は、モジュールの挿入中
    に他の接続の前に確実に電源と接続し、モジュールの除
    去中に他のラインの遮断後に電源の遮断を行うことが確
    実に行われるために長さの長い電源接続ピンを具備して
    いる請求の範囲第11項記載のコンピュータシステム。
  13. 【請求項13】電力を遮断することなくモジュールの除
    去および交換を可能にする手段は、モジュールの実際の
    除去に先立って電気遮断信号を発生し、それにより電気
    遮断信号が通常の方法によるモジュールの動作を終了さ
    せるために使用されるようにした電気・機械的インター
    ロックを具備している請求の範囲第11項記載のコンピュ
    ータシステム。
  14. 【請求項14】システムの電気的負荷が複数の負荷に分
    割され、 システムは複数の別々の電源と複数の電力共用回路とを
    具備し、各負荷が任意のまたはすべての電源から電力を
    受けることができるように各負荷に電源の全てを結合し
    ている請求の範囲第9項記載のコンピュータシステム。
  15. 【請求項15】各電力共用回路は、 負荷が短絡した場合に任意の電源により供給される電流
    を制限するために各電力供給ラインの1つに接続された
    複数の電流制限回路と、 1つの電源から他の電源への電流の流れを阻止するため
    に各電力供給ラインの1つに接続された複数のダイオー
    ドとを具備している請求の範囲第3項記載のコンピュー
    タシステム。
  16. 【請求項16】電源の数は3であり、 各電力共用回路は、3つの各電源に接続された3つの電
    流制限回路と、各電流制限回路と直列に接続された3つ
    のダイオードとを具備し、ダイオードは電気負荷の1つ
    に共通に接続されている請求の範囲第15項記載のコンピ
    ュータシステム。
  17. 【請求項17】3つの同期した計算サブシステムの1つ
    におけるエラー状態をシミュレートし、 3つの計算サブシステムのそれぞれと関連する故障決定
    論理回路中に第1の故障状態条件の結果セットを発生さ
    せ、 3つの関連するデータバスに第1の故障状態条件を読出
    し、多数決票決して3つの計算サブシステムのそれぞれ
    に供給し、 第1の故障状態条件の読出しの結果として、故障決定論
    理回路中に第2の故障状態条件を発生させるステップを
    具備し、 第2の故障状態条件は、不適切に動作している故障決定
    論理回路の識別子であることを特徴とする三重冗長コン
    ピュータシステム中の故障決定論理回路中の故障を検出
    する方法。
  18. 【請求項18】故障状態をシミュレートするステップ
    は、故意に正確でないデータワードをデータバスの選択
    された1つに書込み、それによりそのデータバスのバス
    比較が選択されたバスに関連する計算サブシステム中の
    故障表示を発生させるステップを含み、 第1の故障状態条件を読出すステップは、不適切に動作
    する故障決定論理回路を示すステップを含む請求の範囲
    第17項記載の方法。
  19. 【請求項19】故障状態をシミュレートするステップ
    は、バス比較信号の選択されたセットを故障決定論理回
    路中に供給するステップを含み、 第1の故障状態条件を読出すステップは、バス比較信号
    から期待される結果を読出し、故障決定論理回路中の任
    意の故障を示す第2の故障状態条件を発生させるステッ
    プを含む請求の範囲第17項記載の方法。
  20. 【請求項20】3つの同期された計算サブシステムの1
    つのエラー状態をシミュレートする手段と、 3つの計算サブシステムのそれぞれに関連する故障決定
    論理回路中に第1の故障状態条件の結果セットを生成す
    る手段と、 3つの関連するデータバスに第1の故障状態条件を読出
    し、多数決票決して3つの計算サブシステムのそれぞれ
    に供給する手段と、 第1の故障状態条件の読出しの結果として、故障決定論
    理回路中に第2の故障状態条件を生成する手段とを具備
    し、 第2の故障状態条件は、不適切に動作している故障決定
    論理回路の識別子であることを特徴とする3重冗長コン
    ピュータシステムの故障決定論理回路におけるエラーを
    検出する装置。
JP62502726A 1986-04-03 1987-04-03 多重冗長誤検出システムおよびその使用方法 Expired - Lifetime JP2608904B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US06/847,956 US4967347A (en) 1986-04-03 1986-04-03 Multiple-redundant fault detection system and related method for its use
US847,956 1986-04-03

Publications (2)

Publication Number Publication Date
JPH01500307A JPH01500307A (ja) 1989-02-02
JP2608904B2 true JP2608904B2 (ja) 1997-05-14

Family

ID=25301942

Family Applications (1)

Application Number Title Priority Date Filing Date
JP62502726A Expired - Lifetime JP2608904B2 (ja) 1986-04-03 1987-04-03 多重冗長誤検出システムおよびその使用方法

Country Status (8)

Country Link
US (1) US4967347A (ja)
EP (1) EP0273043B1 (ja)
JP (1) JP2608904B2 (ja)
KR (1) KR950005527B1 (ja)
AU (1) AU7357187A (ja)
CA (1) CA1285073C (ja)
DE (1) DE3751600T2 (ja)
WO (1) WO1987006037A1 (ja)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATA189988A (de) * 1988-07-25 1994-08-15 Philips Nv Elektronische baugruppen aufweisendes system mit mindestens einem mikroprozessor
JP2608593B2 (ja) * 1988-08-26 1997-05-07 ファナック株式会社 故障診断方法
DE58908047D1 (de) * 1989-04-25 1994-08-18 Siemens Ag Verfahren zur Synchronisation von Datenverarbeitungsanlagen.
EP0457308B1 (en) * 1990-05-18 1997-01-22 Fujitsu Limited Data processing system having an input/output path disconnecting mechanism and method for controlling the data processing system
GB9121540D0 (en) * 1991-10-10 1991-11-27 Smiths Industries Plc Computing systems and methods
JP3063334B2 (ja) * 1991-12-19 2000-07-12 日本電気株式会社 高信頼度化情報処理装置
US5349654A (en) * 1992-02-20 1994-09-20 The Boeing Company Fault tolerant data exchange unit
US5428769A (en) * 1992-03-31 1995-06-27 The Dow Chemical Company Process control interface system having triply redundant remote field units
US5337414A (en) * 1992-09-22 1994-08-09 Unisys Corporation Mass data storage and retrieval system
JP3229070B2 (ja) * 1993-06-01 2001-11-12 三菱電機株式会社 多数決回路及び制御ユニット及び多数決用半導体集積回路
JPH07129426A (ja) * 1993-10-29 1995-05-19 Hitachi Ltd 障害処理方式
US5452441A (en) * 1994-03-30 1995-09-19 At&T Corp. System and method for on-line state restoration of one or more processors in an N module redundant voting processor system
KR0152168B1 (ko) * 1994-04-15 1998-10-01 모리시다 요이치 반도체 기억장치
US5515282A (en) * 1994-04-25 1996-05-07 The Boeing Company Method and apparatus for implementing a databus voter to select flight command signals from one of several redundant asynchronous digital primary flight computers
US5623596A (en) * 1994-05-09 1997-04-22 Apple Computer, Inc. Power fault protection in a computer system having multiple power supplies
US5557738A (en) * 1994-05-09 1996-09-17 Apple Computer, Inc. Power system configuration and recovery from a power fault condition in a computer system having multiple power supplies
US5548715A (en) * 1994-06-10 1996-08-20 International Business Machines Corporation Analysis of untestable faults using discrete node sets
US6591374B1 (en) * 1995-12-22 2003-07-08 Cisco Technology, Inc. Method and apparatus for forcing system components to temporarily enter a standby mode of operation during switching events
EP0813151A4 (en) * 1995-12-27 1999-03-31 Koken Kk CONTROL DEVICE
US6141769A (en) 1996-05-16 2000-10-31 Resilience Corporation Triple modular redundant computer system and associated method
US5884022A (en) 1996-06-03 1999-03-16 Sun Microsystems, Inc. Method and apparatus for controlling server activation in a multi-threaded environment
US6161202A (en) * 1997-02-18 2000-12-12 Ee-Signals Gmbh & Co. Kg Method for the monitoring of integrated circuits
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
US5923830A (en) * 1997-05-07 1999-07-13 General Dynamics Information Systems, Inc. Non-interrupting power control for fault tolerant computer systems
US6035416A (en) * 1997-10-15 2000-03-07 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
DE19815263C2 (de) * 1998-04-04 2002-03-28 Astrium Gmbh Vorrichtung zur fehlertoleranten Ausführung von Programmen
DE19831720A1 (de) * 1998-07-15 2000-01-20 Alcatel Sa Verfahren zur Ermittlung einer einheitlichen globalen Sicht vom Systemzustand eines verteilten Rechnernetzwerks
EP1157324A4 (en) * 1998-12-18 2009-06-17 Triconex Corp PROCESS AND DEVICE FOR PROCESSING CONTROL USING A MULTIPLE REDUNDANT PROCESS CONTROL SYSTEM
GB2348034A (en) * 1999-03-17 2000-09-20 Westinghouse Brake & Signal An interlocking for a railway system
US6732300B1 (en) * 2000-02-18 2004-05-04 Lev Freydel Hybrid triple redundant computer system
DE10036598A1 (de) * 2000-07-27 2002-02-14 Infineon Technologies Ag Anordnung zur Überwachung des ordnungsgemäßen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
JP2004127163A (ja) * 2002-10-07 2004-04-22 Renesas Technology Corp マルチプロセッサシステム
US7467326B2 (en) * 2003-02-28 2008-12-16 Maxwell Technologies, Inc. Self-correcting computer
US20050046440A1 (en) * 2003-08-29 2005-03-03 Alcatel Fault tolerant vital power supply system
US7209809B2 (en) * 2003-10-15 2007-04-24 The Boeing Company Method and apparatus for obtaining high integrity and availability in multi-channel systems
WO2005120805A1 (en) * 2004-06-08 2005-12-22 Hyo-Geun Nam Multilayer synthetic resin pipe having spiral ribs, and extrusion molding method and apparatus for manufacturing the same
US7514907B2 (en) * 2005-05-24 2009-04-07 Satcon Technology Corporation Device, system, and method for providing a low-voltage fault ride-through for a wind generator farm
DE102005054587A1 (de) * 2005-11-16 2007-05-24 Robert Bosch Gmbh Programmgesteuerte Einheit und Verfahren zum Betreiben derselbigen
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US20070300115A1 (en) * 2006-06-01 2007-12-27 Ramyanshu Datta Apparatus and method for accelerating test, debug and failure analysis of a multiprocessor device
US8200947B1 (en) * 2008-03-24 2012-06-12 Nvidia Corporation Systems and methods for voting among parallel threads
US8049529B2 (en) * 2008-07-30 2011-11-01 Raytheon Company Fault triggerred automatic redundancy scrubber
US8564616B1 (en) 2009-07-17 2013-10-22 Nvidia Corporation Cull before vertex attribute fetch and vertex lighting
US8542247B1 (en) 2009-07-17 2013-09-24 Nvidia Corporation Cull before vertex attribute fetch and vertex lighting
US8384736B1 (en) 2009-10-14 2013-02-26 Nvidia Corporation Generating clip state for a batch of vertices
US8976195B1 (en) 2009-10-14 2015-03-10 Nvidia Corporation Generating clip state for a batch of vertices
US8365024B2 (en) * 2010-02-26 2013-01-29 Honeywell International Inc. High integrity data bus fault detection using multiple signal components
US8054208B2 (en) 2010-03-30 2011-11-08 Honeywell International Inc. Re-configurable multipurpose analog interface
US8782299B2 (en) 2010-04-27 2014-07-15 Honeywell International Inc. Re-configurable multi-purpose digital interface
US8390324B2 (en) 2010-09-20 2013-03-05 Honeywell International Inc. Universal functionality module
ES2379239B1 (es) * 2010-10-07 2013-04-16 Universidad Del Pais Vasco - Euskal Herriko Unibertsitatea Sistema votador.
US8769360B2 (en) * 2010-10-14 2014-07-01 International Business Machines Corporation Dynamic detection and identification of the functional state of multi-processor cores
US8799707B2 (en) * 2011-06-28 2014-08-05 Mitsubishi Heavy Industries, Ltd. Redundant system
US8856590B2 (en) * 2012-01-07 2014-10-07 Compunetix, Inc. Reliable compute engine, method and apparatus
US8868989B2 (en) * 2012-07-12 2014-10-21 Freescale Semiconductor, Inc. System for testing error detection circuits
US8996953B2 (en) 2013-03-01 2015-03-31 International Business Machines Corporation Self monitoring and self repairing ECC
US9362913B1 (en) 2014-09-26 2016-06-07 Altera Corporation Circuitry for implementing multi-mode redundancy and arithmetic functions
US10481963B1 (en) * 2016-06-29 2019-11-19 Amazon Technologies, Inc. Load-balancing for achieving transaction fault tolerance
CN109109906B (zh) * 2018-08-06 2024-03-19 北京电铁海丰技术发展有限公司 一种报警装置
US11734966B1 (en) 2020-10-15 2023-08-22 Ethernovia Inc. Recursive system layer analysis for achieving functional safety
US11803180B2 (en) 2020-10-15 2023-10-31 Ethernovia Inc. Determining diagnostic coverage for achieving functional safety
CN114253383A (zh) * 2021-11-17 2022-03-29 中国北方车辆研究所 一种带故障检测定位功能的冗余供电电路和方法
CN114185291B (zh) * 2021-12-02 2023-07-11 杭州和利时自动化有限公司 一种输出控制系统
US11996843B2 (en) * 2022-01-03 2024-05-28 Texas Instruments Incorporated Redundant analog built-in self test
CN115276923B (zh) * 2022-08-05 2024-03-26 浙江中控技术股份有限公司 冗余通信电路和故障确定方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4079440A (en) 1977-01-19 1978-03-14 Hitachi, Ltd. Printed circuit board capable of being inserted and withdrawn on on-line status
US4454552A (en) 1982-05-17 1984-06-12 General Electric Company Printed circuit board connection system

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1308497A (en) * 1970-09-25 1973-02-21 Marconi Co Ltd Data processing arrangements
RO63302A (fr) * 1971-02-23 1978-08-15 Int Standard Electric Corp Dispositif pour le control continu le fonctionnement tu traitement des informations et l'emission des telegrammes des donnees,aux instalations de chemin de fer commandes pal un ordinateur de proces
DE2202231A1 (de) * 1972-01-18 1973-07-26 Siemens Ag Verarbeitungssystem mit verdreifachten systemeinheiten
US3783250A (en) * 1972-02-25 1974-01-01 Nasa Adaptive voting computer system
JPS4965103U (ja) * 1972-09-20 1974-06-07
CH556576A (de) * 1973-03-28 1974-11-29 Hasler Ag Einrichtung zur synchronisierung dreier rechner.
US3993935A (en) * 1974-12-16 1976-11-23 Xerox Corporation Printed circuit board connection
US4015246A (en) * 1975-04-14 1977-03-29 The Charles Stark Draper Laboratory, Inc. Synchronous fault tolerant multi-processor system
JPS52131438A (en) * 1976-04-27 1977-11-04 Mitsubishi Electric Corp Multiplication driving system
JPS5682953A (en) * 1979-12-10 1981-07-07 Nec Corp Fault detecting circuit
US4330826A (en) * 1980-02-05 1982-05-18 The Bendix Corporation Synchronizer and synchronization system for a multiple computer system
US4375683A (en) * 1980-11-12 1983-03-01 August Systems Fault tolerant computational system and voter circuit
GB2124414B (en) * 1982-07-22 1985-09-18 Standard Telephones Cables Ltd Majority decision ula
US4593396A (en) * 1982-10-08 1986-06-03 August Systems Process for a fault-tolerant data processing system with error detection and resistance to fault propagation
JPS5985153A (ja) * 1982-11-08 1984-05-17 Hitachi Ltd 冗長化制御装置
US4562575A (en) * 1983-07-07 1985-12-31 Motorola, Inc. Method and apparatus for the selection of redundant system modules
US4607330A (en) * 1983-11-29 1986-08-19 Parallel Computers, Inc. Fault-tolerant power supply system
US4570261A (en) * 1983-12-09 1986-02-11 Motorola, Inc. Distributed fault isolation and recovery system and method
JPS60254249A (ja) * 1984-05-30 1985-12-14 Nec Corp 擬以故障発生方式
JPS6155745A (ja) * 1984-08-28 1986-03-20 Nippon Signal Co Ltd:The 故障検知回路
NL8403147A (nl) * 1984-10-16 1986-05-16 Philips Nv Dataverwerkingssysteem dat is opgebouwd uit drie dataverwerkingsmodules.

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4079440A (en) 1977-01-19 1978-03-14 Hitachi, Ltd. Printed circuit board capable of being inserted and withdrawn on on-line status
US4454552A (en) 1982-05-17 1984-06-12 General Electric Company Printed circuit board connection system

Also Published As

Publication number Publication date
US4967347A (en) 1990-10-30
KR880701407A (ko) 1988-07-27
EP0273043A4 (en) 1990-11-28
CA1285073C (en) 1991-06-18
EP0273043B1 (en) 1995-11-15
EP0273043A1 (en) 1988-07-06
DE3751600D1 (de) 1995-12-21
DE3751600T2 (de) 1996-05-02
AU7357187A (en) 1987-10-20
KR950005527B1 (ko) 1995-05-25
WO1987006037A1 (en) 1987-10-08
JPH01500307A (ja) 1989-02-02

Similar Documents

Publication Publication Date Title
JP2608904B2 (ja) 多重冗長誤検出システムおよびその使用方法
US6216236B1 (en) Processing unit for a computer and a computer system incorporating such a processing unit
US6038684A (en) System and method for diagnosing errors in a multiprocessor system
US7890797B2 (en) Vehicle including a processor system having fault tolerance
EP0817052B1 (en) Faulty module location in a fault tolerant computer system
US5664089A (en) Multiple power domain power loss detection and interface disable
US5251227A (en) Targeted resets in a data processor including a trace memory to store transactions
US5640508A (en) Fault detecting apparatus for a microprocessor system
EP0287302B1 (en) Cross-coupled checking circuit
JPH052654A (ja) マイクロコンピユータの故障検知方法および回路
EP0349539A1 (en) METHOD AND DEVICE FOR DIGITAL LOGICAL SYNCHRONISM MONITORING.
US20060242456A1 (en) Method and system of copying memory from a source processor to a target processor by duplicating memory writes
JP3063334B2 (ja) 高信頼度化情報処理装置
JP3069585B2 (ja) データ処理装置における目標指定リセット法
US20240185938A1 (en) Glitch detection
JPH0916426A (ja) 2ポートコンソールを持つフォールトトレラントコンピュータ
Kim et al. Strategies for structured and fault-tolerant design of recovery programs
JP5730173B2 (ja) 自己診断機能付き装置
Lee et al. Design Of A Fault-Tolerant Microprocessor
JPH06168151A (ja) 2重化計算機システム
JPH06259270A (ja) プロセッサ異常判定回路
Kim Department of Computer science State University of New York Binghamton, New York 13901 H. Hecht J. Huang and M. Naghibzadeh
JPH06139091A (ja) 高信頼度化情報処理装置