JP2768693B2 - 2台のプロセッサを有するコンピュータシステムを監視する装置 - Google Patents
2台のプロセッサを有するコンピュータシステムを監視する装置Info
- Publication number
- JP2768693B2 JP2768693B2 JP63193588A JP19358888A JP2768693B2 JP 2768693 B2 JP2768693 B2 JP 2768693B2 JP 63193588 A JP63193588 A JP 63193588A JP 19358888 A JP19358888 A JP 19358888A JP 2768693 B2 JP2768693 B2 JP 2768693B2
- Authority
- JP
- Japan
- Prior art keywords
- processor
- processors
- signal
- monitoring
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Automation & Control Theory (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- Debugging And Monitoring (AREA)
- Hardware Redundancy (AREA)
Description
【発明の詳細な説明】 <産業上の利用分野> 本発明は2台のプロセッサを有するコンピュータシス
テムを監視する装置に係り、さらに詳細には2台のプロ
セッサがデータ線と制御線を介して別体の入出力ポート
によって互いに固定的に接続されている、特に内燃機関
に供給する混合気を定める2台のプロセッサを有するコ
ンピュータシステムを監視する装置に関するものであ
る。
テムを監視する装置に係り、さらに詳細には2台のプロ
セッサがデータ線と制御線を介して別体の入出力ポート
によって互いに固定的に接続されている、特に内燃機関
に供給する混合気を定める2台のプロセッサを有するコ
ンピュータシステムを監視する装置に関するものであ
る。
<従来の技術> 機能分離型のマルチコンピュータシステムが知られて
おり、このシステムではメインコンピュータが障害のな
い状態の通常駆動で駆動されて、必要なチェック機能及
び制御機能に関するすべての仕事を賄う。サブコンピュ
ータは非常用コンピュータとしてだけ用いられ、メイン
コンピュータが機能しなくなった場合に非常機能を受持
ち、それによって少なくとも限定された機能だけは維持
することができる。非常事態が生じない限りは、非常用
コンピュータは普通は使用されない。このようなシステ
ムでは、いずれにしろメインコンピュータの監視が行わ
れる。適当な監視装置によって障害あるいは故障が検出
された場合には、非常用コンピュータがメインコンピュ
ータの仕事の一部あるいは全範囲をカバーする。
おり、このシステムではメインコンピュータが障害のな
い状態の通常駆動で駆動されて、必要なチェック機能及
び制御機能に関するすべての仕事を賄う。サブコンピュ
ータは非常用コンピュータとしてだけ用いられ、メイン
コンピュータが機能しなくなった場合に非常機能を受持
ち、それによって少なくとも限定された機能だけは維持
することができる。非常事態が生じない限りは、非常用
コンピュータは普通は使用されない。このようなシステ
ムでは、いずれにしろメインコンピュータの監視が行わ
れる。適当な監視装置によって障害あるいは故障が検出
された場合には、非常用コンピュータがメインコンピュ
ータの仕事の一部あるいは全範囲をカバーする。
ドイツ特願P3539407.2においては、内燃機関の特性量
を制御する2つのプロセッサを有するコンピュータシス
テムが記載されている。2つのコンピュータには二重の
ゲートが設けられており、一方のゲートからはメインコ
ンピュータへ、他方のゲートからは非常用コンピュータ
へ測定値が供給される。2つのコンピュータは同一の仕
事を処理する能力を有するように構成されている。もち
ろんこの場合に実現される非常機能は、主としてセンサ
の信号を2つのプロセッサに供給し、あるいは非常の場
合に2つのプロセッサの出力信号を最終処理段に供給す
ることである。監視装置によって該当するプロセッサに
障害が検出されると、アンドゲートを介して燃料供給量
を制御する最終処理段が遮断される。
を制御する2つのプロセッサを有するコンピュータシス
テムが記載されている。2つのコンピュータには二重の
ゲートが設けられており、一方のゲートからはメインコ
ンピュータへ、他方のゲートからは非常用コンピュータ
へ測定値が供給される。2つのコンピュータは同一の仕
事を処理する能力を有するように構成されている。もち
ろんこの場合に実現される非常機能は、主としてセンサ
の信号を2つのプロセッサに供給し、あるいは非常の場
合に2つのプロセッサの出力信号を最終処理段に供給す
ることである。監視装置によって該当するプロセッサに
障害が検出されると、アンドゲートを介して燃料供給量
を制御する最終処理段が遮断される。
しかし上記の明細書では、同一の仕事をする2つのプ
ロセッサの主機能および非常機能をどのように監視する
かということについての詳しい説明はなされていない。
特に2つのプロセッサが場合によっては非同期駆動でま
ったく異なる目的に利用される場合にも、複数のプロセ
ッサにどのようにして互いに監視させることができるか
ということについては、まったく言及されていない。
ロセッサの主機能および非常機能をどのように監視する
かということについての詳しい説明はなされていない。
特に2つのプロセッサが場合によっては非同期駆動でま
ったく異なる目的に利用される場合にも、複数のプロセ
ッサにどのようにして互いに監視させることができるか
ということについては、まったく言及されていない。
従って本発明の課題は、2つのプロセッサを用いて作
動する制御装置にできるだけ簡単であって、しかも強力
な安全機能を設け、特に障害のない状態にあっても2つ
のプロセッサが同じ程度で同じ権利をもってシステム全
体の作業を処理することができるようにすることであ
る。従って、障害が発生しない限りは、2つプロセッサ
間でデータの交換が行われ、かつ行うことができなけれ
ばならない。一方のプロセッサが故障した場合あるいは
データ伝送にエラーが生じただけの場合にもシステム全
体を使用に供することができるようにするためには、発
生したエラーを識別することが必要である。エラーを識
別したら、プロセッサはそれぞれエラーの種類に従って
適宜対処し、システムを使用に供することができるよう
にしなけらばならない。
動する制御装置にできるだけ簡単であって、しかも強力
な安全機能を設け、特に障害のない状態にあっても2つ
のプロセッサが同じ程度で同じ権利をもってシステム全
体の作業を処理することができるようにすることであ
る。従って、障害が発生しない限りは、2つプロセッサ
間でデータの交換が行われ、かつ行うことができなけれ
ばならない。一方のプロセッサが故障した場合あるいは
データ伝送にエラーが生じただけの場合にもシステム全
体を使用に供することができるようにするためには、発
生したエラーを識別することが必要である。エラーを識
別したら、プロセッサはそれぞれエラーの種類に従って
適宜対処し、システムを使用に供することができるよう
にしなけらばならない。
<課題を解決するための手段> 上記の課題を解決するために本発明によれば、2つの
プロセッサが同一の権利をもって監視を行い、かつこの
監視が2つのプロセッサ間で周期的に行われる一連のデ
ータ交換の途中のある種のシェークハンド駆動で行われ
る構成が採用されている。すなわち、 2つのプロセッサがデータ線及び制御線を介して周期
的なデータ及び命令交換をするときまでは、互いに独立
して作動可能であって、それぞれのプロセッサに動的な
監視信号を出力する第1の出力端子が設けられており、
それぞれのプロセッサに他方のプロセッサの前記監視信
号を認識する第1の入力端子が設けられており、両プロ
セッサの前記第1の入力端子と出力端子がそれぞれ互い
に接続されており、前記動的な監視信号は、両プロセッ
サにおいてプログラム処理上に故障がない場合には、そ
れぞれ所定のパルスデューティー比と所定の周波数を有
し、いずれかのプロセッサにおいてプログラム処理上に
故障がある場合には、故障を有する方のプロセッサの監
視信号のパルスデューティー比がプログラム処理上に故
障がない場合に比べて変化している構成が採用されてい
る。
プロセッサが同一の権利をもって監視を行い、かつこの
監視が2つのプロセッサ間で周期的に行われる一連のデ
ータ交換の途中のある種のシェークハンド駆動で行われ
る構成が採用されている。すなわち、 2つのプロセッサがデータ線及び制御線を介して周期
的なデータ及び命令交換をするときまでは、互いに独立
して作動可能であって、それぞれのプロセッサに動的な
監視信号を出力する第1の出力端子が設けられており、
それぞれのプロセッサに他方のプロセッサの前記監視信
号を認識する第1の入力端子が設けられており、両プロ
セッサの前記第1の入力端子と出力端子がそれぞれ互い
に接続されており、前記動的な監視信号は、両プロセッ
サにおいてプログラム処理上に故障がない場合には、そ
れぞれ所定のパルスデューティー比と所定の周波数を有
し、いずれかのプロセッサにおいてプログラム処理上に
故障がある場合には、故障を有する方のプロセッサの監
視信号のパルスデューティー比がプログラム処理上に故
障がない場合に比べて変化している構成が採用されてい
る。
<作用> 本発明によればプロセッサは、例えば2つのプロセッ
サの一方の1/0バスに発生した障害が除去された後、あ
るいは2つのプロセッサの一方が全体として連続的に使
用されてない場合に、それぞれ互いに再起動し合うこと
ができる。この場合に、プロセッサの障害を非常に迅速
に検出することができるという効果が得られる。
サの一方の1/0バスに発生した障害が除去された後、あ
るいは2つのプロセッサの一方が全体として連続的に使
用されてない場合に、それぞれ互いに再起動し合うこと
ができる。この場合に、プロセッサの障害を非常に迅速
に検出することができるという効果が得られる。
本発明の好ましい実施例によれば、2つのプロセッサ
は完全に互いに独立して作動することもでき、互いに直
接接続する必要がなくあるいは共通の1/0バスを使用し
なければならないということもなく、種々のクロック周
波数で互いに非同期で駆動することができる。さらに、
本発明によれば2つのプロセッサが互いに同一の権限で
監視し合うことによって、エラーが発生した場合にその
エラーの場所を突き止めることができる。すなわち本発
明装置によれば、一方のプロセッサに障害が発生したの
か、あるいはプロセッサの周辺機器に障害が発生したの
かを識別することができる。このために前述の2つのプ
ロセッサ間における周期的なデータ交換が、監視機能の
証明回路として利用される。
は完全に互いに独立して作動することもでき、互いに直
接接続する必要がなくあるいは共通の1/0バスを使用し
なければならないということもなく、種々のクロック周
波数で互いに非同期で駆動することができる。さらに、
本発明によれば2つのプロセッサが互いに同一の権限で
監視し合うことによって、エラーが発生した場合にその
エラーの場所を突き止めることができる。すなわち本発
明装置によれば、一方のプロセッサに障害が発生したの
か、あるいはプロセッサの周辺機器に障害が発生したの
かを識別することができる。このために前述の2つのプ
ロセッサ間における周期的なデータ交換が、監視機能の
証明回路として利用される。
<実施例> 本発明の実施例を図面に示し、以下で詳細に説明す
る。
る。
第1図によれば、第1のプロセッサ10にはデータバス
とコントロールバス17に信号を供給するポート11が設け
られている。プロセッサ10は同時に、図では概略的に示
されている入出力(1/0)バス16にも信号を供給してい
る。同様に第2のプロセッサ20にも同じデータバスとコ
ントロールバス17に信号を供給するポート21が設けられ
ている。このプロセッサ20はさらに1/0バス26と接続さ
れている。プロセッサ10には2つの出力端子12と13が設
けられており、これらの端子はリード線33と34を介して
プロセッサ20の第1の入力端子24と第1のノアゲート29
の第1のポンプ回路27ないしは第1の出力を制御する。
本実施例にあっては、プロセッサ10の出力端子12からは
ウオッチドッグ信号(監視信号)が出力され、出力端子
13からはソフトウエアリセット信号が出力される。さら
にプロセッサ10には2つの入力端子14と15が設けられて
おり、これらの入力端子はリード線36ないし37を介して
プロセッサ20の第1の出力22ないしノアゲート32の出力
信号によって制御される。プロセッサ10の入力端子14は
プロセッサ20のウオッチドッグ信号を受信し、入力端子
15はリセット信号の受信に用いられる。プロセッサ20に
は前述の入力端子24の他に同様に第2の入力端子25も設
けられており、この入力端子25は第2のナンドゲート31
の出力信号によって制御される。プロセッサ10の入力端
子14及び15と同様に、プロセッサ20の入力端子24と25も
プロセッサ10のウオッチドッグ信号ないしリセット信号
を受信するのに用いられる。プロセッサ10の出力端子13
と同様に、プロセッサ20にもすでに述べた出力端子22の
他にさらに出力端子23が設けられており、この出力端子
23はリード線38を介してノアゲート30の第1の入力端子
を制御する。同様にプロセッサ10の出力端子13はリード
線34を介して第1のノアゲート29の第1の入力端子を制
御する。第1のポンピング回路27の出力信号はノアゲー
ト29の第2の入力端子に印加され、ノアゲート29の出力
信号はリード線41を介して第2のノアゲート31の第1の
入力端子を制御する。同様に、第2のポンピング回路28
の出力信号は第3のノアゲート30の第2の入力端子に印
加され、第3のノアゲート30の出力信号はすでに述べた
第4のノアゲート32の第1の入力端子を制御する。ノア
ゲート31と32のそれぞれ第2の入力端子には、装置に電
源が投入されたときに共通のリード線18を介して初期化
信号(パワーオンパルス)が印加される。
とコントロールバス17に信号を供給するポート11が設け
られている。プロセッサ10は同時に、図では概略的に示
されている入出力(1/0)バス16にも信号を供給してい
る。同様に第2のプロセッサ20にも同じデータバスとコ
ントロールバス17に信号を供給するポート21が設けられ
ている。このプロセッサ20はさらに1/0バス26と接続さ
れている。プロセッサ10には2つの出力端子12と13が設
けられており、これらの端子はリード線33と34を介して
プロセッサ20の第1の入力端子24と第1のノアゲート29
の第1のポンプ回路27ないしは第1の出力を制御する。
本実施例にあっては、プロセッサ10の出力端子12からは
ウオッチドッグ信号(監視信号)が出力され、出力端子
13からはソフトウエアリセット信号が出力される。さら
にプロセッサ10には2つの入力端子14と15が設けられて
おり、これらの入力端子はリード線36ないし37を介して
プロセッサ20の第1の出力22ないしノアゲート32の出力
信号によって制御される。プロセッサ10の入力端子14は
プロセッサ20のウオッチドッグ信号を受信し、入力端子
15はリセット信号の受信に用いられる。プロセッサ20に
は前述の入力端子24の他に同様に第2の入力端子25も設
けられており、この入力端子25は第2のナンドゲート31
の出力信号によって制御される。プロセッサ10の入力端
子14及び15と同様に、プロセッサ20の入力端子24と25も
プロセッサ10のウオッチドッグ信号ないしリセット信号
を受信するのに用いられる。プロセッサ10の出力端子13
と同様に、プロセッサ20にもすでに述べた出力端子22の
他にさらに出力端子23が設けられており、この出力端子
23はリード線38を介してノアゲート30の第1の入力端子
を制御する。同様にプロセッサ10の出力端子13はリード
線34を介して第1のノアゲート29の第1の入力端子を制
御する。第1のポンピング回路27の出力信号はノアゲー
ト29の第2の入力端子に印加され、ノアゲート29の出力
信号はリード線41を介して第2のノアゲート31の第1の
入力端子を制御する。同様に、第2のポンピング回路28
の出力信号は第3のノアゲート30の第2の入力端子に印
加され、第3のノアゲート30の出力信号はすでに述べた
第4のノアゲート32の第1の入力端子を制御する。ノア
ゲート31と32のそれぞれ第2の入力端子には、装置に電
源が投入されたときに共通のリード線18を介して初期化
信号(パワーオンパルス)が印加される。
監視すべき2つのプロセッサ10と20は、例えばEガス
システム(電子燃料供給量制御装置)においては、マス
タープロセッサとスレイブプロセッサとして形成するこ
とができる。その場合には、2つのプロセッサはバス17
を介しての非同期で、かつ周期的なデータないし命令交
換までは互いに独立して作動することができる。
システム(電子燃料供給量制御装置)においては、マス
タープロセッサとスレイブプロセッサとして形成するこ
とができる。その場合には、2つのプロセッサはバス17
を介しての非同期で、かつ周期的なデータないし命令交
換までは互いに独立して作動することができる。
第1図に示す装置の機能を第2図と第3図を用いて説
明する。障害が発生した場合には、2つのプロセッサ10
と20のウオッチドッグ出力端子12と22に発生するそれぞ
れ所定周波数と所定のデューティー比を有するウオッチ
ドッグパルスが、それぞれ他方のプロセッサ20と10の該
当するウオッチドッグ検出端子24と14に供給される。第
2図によれば、この種のウオッチドッグパルスはそれぞ
れより高い周波数パルスをもちい他方のプロセッサによ
って検出される(ストローブサンプリング)。おもに受
信側でウオッチドッグ信号の有無、デューティー比及び
パルス周波数を正確に検出することによって、エラーを
動的に見て迅速かつ静的に見て確実に検出することがで
きる。そのため、第2図aに示す例えば40msの長さの周
期と50%のデューティー比を有するウオッチドッグ信号
は、第2図bに示す周期の間例えば8回すなわち等分さ
れた8つの時点でサンプリングされ、プログラムに従っ
てこれらのとびとびの時点TA1〜TA8において通常駆動
時に予測される信号と比較される。一致した場合には、
受信したプロセッサによってウオッチドッグ信号を出力
したプロセッサの機能に誤りがないことが確認される。
ウオッチドッグ信号の予測される値と実際の値とが一致
しているかどうか互いに監視し合うことによって、2つ
のプロセッサ10と20の機能が秩序どうりであるか否かが
監視されるが、これをリード線33と37のみを介して行う
ことは、簡単なソフトウエアルーチンを使って行うこと
ができる。
明する。障害が発生した場合には、2つのプロセッサ10
と20のウオッチドッグ出力端子12と22に発生するそれぞ
れ所定周波数と所定のデューティー比を有するウオッチ
ドッグパルスが、それぞれ他方のプロセッサ20と10の該
当するウオッチドッグ検出端子24と14に供給される。第
2図によれば、この種のウオッチドッグパルスはそれぞ
れより高い周波数パルスをもちい他方のプロセッサによ
って検出される(ストローブサンプリング)。おもに受
信側でウオッチドッグ信号の有無、デューティー比及び
パルス周波数を正確に検出することによって、エラーを
動的に見て迅速かつ静的に見て確実に検出することがで
きる。そのため、第2図aに示す例えば40msの長さの周
期と50%のデューティー比を有するウオッチドッグ信号
は、第2図bに示す周期の間例えば8回すなわち等分さ
れた8つの時点でサンプリングされ、プログラムに従っ
てこれらのとびとびの時点TA1〜TA8において通常駆動
時に予測される信号と比較される。一致した場合には、
受信したプロセッサによってウオッチドッグ信号を出力
したプロセッサの機能に誤りがないことが確認される。
ウオッチドッグ信号の予測される値と実際の値とが一致
しているかどうか互いに監視し合うことによって、2つ
のプロセッサ10と20の機能が秩序どうりであるか否かが
監視されるが、これをリード線33と37のみを介して行う
ことは、簡単なソフトウエアルーチンを使って行うこと
ができる。
例えば、簡単なルーチンのフローチャートを第3図に
示す。第3図には詳しく図示されていないが、好ましく
はソフトウエアで形成されるサンプリングカウンタが設
けられており、このカウンタは受信側のプロセッサにお
いてウオッチドッグ信号の基本周波数の何倍もの周波数
で増分される。スタート命令48によって所定のサンプリ
ング時点TAでウオッチドッグ信号の瞬間的なレベルの
検出49が行われる。ここでは単純に信号状態がHlGH
(H)であるかLOW(L)であるかの判別が行われる。
例えばフローチャートの右半分は、信号状態Hが検出さ
れたことを前提としている。次にフラグ50においてその
前のサンプリング時点で同じ信号状態Hがすでに存在し
ていたかどうかの判定が行われる。例えばウオッチドッ
グ信号の通常の基本周波数の8倍の周波数がサンプリン
グ周波数として用いられた場合には、前記の判定の結果
がノーであるとフラグ53に進んで、サンプリングカウン
タの計数状態が4より小さいかどうかの判定が行われ
る。フラグ50の判定の結果がイエスであると、フラグ51
に進んでサンプリングカウンタの計数状態が6より小さ
いかどうかの判定が行われる。フラグ53の判定がノーで
あるとサンプリングカウンタはゼロにリセットされる。
フラグ51の判定がイエスであるとサンプリングカウンタ
は1だけカウントアップされ、その後でウオッチドッグ
信号のその時の状態が次のフラグ50に関するレベル値と
してメモリに格納される。フラグ53の判定がイエスの場
合ないしはフラグ51の判定がノーの場合には、ステップ
54において誤ったウオッチドッグ信号が存在すると考え
られ(周波数エラー、デューテーィー比エラー、定常的
に一定の値となってしまう等)、サンプリングカウンタ
を増分することなく、そのときのウオッチドッグ信号状
態が次のフラグ50のレベル値としてステップ56でメモリ
に格納される。ウオッチドッグ信号Lについては、対称
線58に関して対称なフローチャートの左半分が使用さ
れ、同様な操作が行われる。従って2つのプロセッサ10
と20の相互監視は、接続回路を介在させることなく、プ
ロセッサ10と20のウオッチドッグ出力端子12ないし22と
対応するウオッチドッグ検出信号入力端子24ないし14と
を直接接続することによって、すなわち完全に自主的に
行うことができる。
示す。第3図には詳しく図示されていないが、好ましく
はソフトウエアで形成されるサンプリングカウンタが設
けられており、このカウンタは受信側のプロセッサにお
いてウオッチドッグ信号の基本周波数の何倍もの周波数
で増分される。スタート命令48によって所定のサンプリ
ング時点TAでウオッチドッグ信号の瞬間的なレベルの
検出49が行われる。ここでは単純に信号状態がHlGH
(H)であるかLOW(L)であるかの判別が行われる。
例えばフローチャートの右半分は、信号状態Hが検出さ
れたことを前提としている。次にフラグ50においてその
前のサンプリング時点で同じ信号状態Hがすでに存在し
ていたかどうかの判定が行われる。例えばウオッチドッ
グ信号の通常の基本周波数の8倍の周波数がサンプリン
グ周波数として用いられた場合には、前記の判定の結果
がノーであるとフラグ53に進んで、サンプリングカウン
タの計数状態が4より小さいかどうかの判定が行われ
る。フラグ50の判定の結果がイエスであると、フラグ51
に進んでサンプリングカウンタの計数状態が6より小さ
いかどうかの判定が行われる。フラグ53の判定がノーで
あるとサンプリングカウンタはゼロにリセットされる。
フラグ51の判定がイエスであるとサンプリングカウンタ
は1だけカウントアップされ、その後でウオッチドッグ
信号のその時の状態が次のフラグ50に関するレベル値と
してメモリに格納される。フラグ53の判定がイエスの場
合ないしはフラグ51の判定がノーの場合には、ステップ
54において誤ったウオッチドッグ信号が存在すると考え
られ(周波数エラー、デューテーィー比エラー、定常的
に一定の値となってしまう等)、サンプリングカウンタ
を増分することなく、そのときのウオッチドッグ信号状
態が次のフラグ50のレベル値としてステップ56でメモリ
に格納される。ウオッチドッグ信号Lについては、対称
線58に関して対称なフローチャートの左半分が使用さ
れ、同様な操作が行われる。従って2つのプロセッサ10
と20の相互監視は、接続回路を介在させることなく、プ
ロセッサ10と20のウオッチドッグ出力端子12ないし22と
対応するウオッチドッグ検出信号入力端子24ないし14と
を直接接続することによって、すなわち完全に自主的に
行うことができる。
接続素子27〜32は、前述の動的なウオッチドッグ信号
の分析及びデータバス17と接続されて、監視の確実性を
向上させる以下のような機能を満たすことができる。す
なわち、プロセッサ20は、3つの信号路すなわちバス17
上の信号路とリード線33上のウオッチドッグ信号とリー
ド線34上のソフトウエアリセット信号の組合せの変化か
ら生じる信号プロトコルを論理的に処理して、プロセッ
サ10のエラーを監視する。同様にプロセッサ10も3つの
信号路すなわちバス17上の信号路とリード線17上のウオ
ッチドッグ信号とリード線38上のソフトウエアリセット
信号の組合せから生じる信号プロトコルを論理的に処理
することによって、プロセッサ20のエラーを監視する。
の分析及びデータバス17と接続されて、監視の確実性を
向上させる以下のような機能を満たすことができる。す
なわち、プロセッサ20は、3つの信号路すなわちバス17
上の信号路とリード線33上のウオッチドッグ信号とリー
ド線34上のソフトウエアリセット信号の組合せの変化か
ら生じる信号プロトコルを論理的に処理して、プロセッ
サ10のエラーを監視する。同様にプロセッサ10も3つの
信号路すなわちバス17上の信号路とリード線17上のウオ
ッチドッグ信号とリード線38上のソフトウエアリセット
信号の組合せから生じる信号プロトコルを論理的に処理
することによって、プロセッサ20のエラーを監視する。
プロセッサ10と20は固定のタイムパターンでデータを
周期的に交換する。まず、プロセッサ10(マスタープロ
セッサとして)がバス17を介してプロセッサ20(スレー
ブプロセッサとして)にデータをリクエストする。プロ
セッサ20は所定のサイクル時間に基づいてデータリクエ
ストを待っている。その結果、プロセッサ20からプロセ
ッサ10へのデータ伝送が行われないでいると、当該プロ
セッサはそのことを認識する。すなわちプロセッサ10の
場合には自らのデータリクエストに対してデータ伝送の
応答がないことを認識し、プロセッサ20の場合にはサイ
クル時間が経過してもプロセッサ10からのデータリクエ
ストがないことを認識する。従ってバス17は同バスに搬
送される信号並びにその信号と元になる信号プロトコル
との比較と共に、2つのプロセッサを互いに監視するた
めの双方向の監視機能を形成する。
周期的に交換する。まず、プロセッサ10(マスタープロ
セッサとして)がバス17を介してプロセッサ20(スレー
ブプロセッサとして)にデータをリクエストする。プロ
セッサ20は所定のサイクル時間に基づいてデータリクエ
ストを待っている。その結果、プロセッサ20からプロセ
ッサ10へのデータ伝送が行われないでいると、当該プロ
セッサはそのことを認識する。すなわちプロセッサ10の
場合には自らのデータリクエストに対してデータ伝送の
応答がないことを認識し、プロセッサ20の場合にはサイ
クル時間が経過してもプロセッサ10からのデータリクエ
ストがないことを認識する。従ってバス17は同バスに搬
送される信号並びにその信号と元になる信号プロトコル
との比較と共に、2つのプロセッサを互いに監視するた
めの双方向の監視機能を形成する。
各プロセッサはそれぞれ他方のプロセッサが休止して
いる場合にそのプロセッサを再スタートさせることがで
きる(ソフトウエアリセット)。リセットパルスをプロ
セッサ20ないし10へ通じるリード線34ないし38へ出力す
るのは、プロセッサ10ないし20がその入力端子14ないし
24に印加されるプロセッサ20ないし10のウオッチドッグ
信号がすでに述べたようにエラーを有していることを識
別することが前提となる。ポンピング回路27と28の入力
端子にエラーのないウオッチドッグ信号が入力される
と、同回路の出力端子には静的な論理レベル(ここでは
例えばL)が発生する。ウオッチドッグ信号が欠落し、
あるいは静的な信号値をとると、ポンピング回路27と28
の出力端子にはそれぞれ他方の論理レベルが発生する。
従ってリセットパルスを送出するプロセッサのウオッチ
ドッグ信号にエラーがない場合には、それぞれのプロセ
ッサ10ないし20から送出されるLレベルを有するソフト
ウエアリセットパルスはノアゲート29と31ないし30と32
を介して他方のプロセッサ20ないし10に伝送される。
いる場合にそのプロセッサを再スタートさせることがで
きる(ソフトウエアリセット)。リセットパルスをプロ
セッサ20ないし10へ通じるリード線34ないし38へ出力す
るのは、プロセッサ10ないし20がその入力端子14ないし
24に印加されるプロセッサ20ないし10のウオッチドッグ
信号がすでに述べたようにエラーを有していることを識
別することが前提となる。ポンピング回路27と28の入力
端子にエラーのないウオッチドッグ信号が入力される
と、同回路の出力端子には静的な論理レベル(ここでは
例えばL)が発生する。ウオッチドッグ信号が欠落し、
あるいは静的な信号値をとると、ポンピング回路27と28
の出力端子にはそれぞれ他方の論理レベルが発生する。
従ってリセットパルスを送出するプロセッサのウオッチ
ドッグ信号にエラーがない場合には、それぞれのプロセ
ッサ10ないし20から送出されるLレベルを有するソフト
ウエアリセットパルスはノアゲート29と31ないし30と32
を介して他方のプロセッサ20ないし10に伝送される。
このようにして、故障したプロセッサが原因不明の状
態で他方の作動可能なプロセッサにリセットパルスを送
出することは不可能になる。あるいは、例えばこの種の
システムのスイッチを入れ、作動させる場合に、それぞ
れソフトウエアリセットパルスを送出する代わりに、H
レベルを有する共通の初期化信号(パワーオン)を2つ
のノアゲート31と32を介して両方のプロセッサに同時に
送ることも可能である。従って2つのプロセッサ間で行
われるソフトウエアリセット信号の交換は、2つのプロ
セッサが互いに監視し合う他の監視機能を示す。これら
の監視機能を検出することによってエラーのある駆動状
態の認識だけでなく、さらにこの種のエラーの場所を突
き止めることも可能であって、これについては後述す
る。
態で他方の作動可能なプロセッサにリセットパルスを送
出することは不可能になる。あるいは、例えばこの種の
システムのスイッチを入れ、作動させる場合に、それぞ
れソフトウエアリセットパルスを送出する代わりに、H
レベルを有する共通の初期化信号(パワーオン)を2つ
のノアゲート31と32を介して両方のプロセッサに同時に
送ることも可能である。従って2つのプロセッサ間で行
われるソフトウエアリセット信号の交換は、2つのプロ
セッサが互いに監視し合う他の監視機能を示す。これら
の監視機能を検出することによってエラーのある駆動状
態の認識だけでなく、さらにこの種のエラーの場所を突
き止めることも可能であって、これについては後述す
る。
例えばプロセッサ10が、プロセッサ20に対してデータ
をリクエストしたのにデータ伝送が行われないことを認
識し、あるいはプロセッサ20が伝送サイクルが経過して
もプロセッサ10からデータリクエストが行われないこと
を認識し、しかも両プロセッサが同じように、それぞれ
他方のプロセッサからはエラーのないウオッチドッグ信
号が送出され、従って活動していることを認識している
場合には、バス17の制御線に故障があることが認識され
る。これに対して、データ線の故障の場合には、まだデ
ータ伝送は可能である。データ線の故障は、プロセッサ
10がプロセッサ20にチェックワードを送出し、プロセッ
サ20がプロセッサ10に誤ったチェックワードを返すこと
によって認識される。その場合にプロセッサ10は、プロ
セッサ20がデータ交換に関する伝送プロトコルを維持し
ており、プロセッサ20のウオッチドッグ信号が誤りのな
い状態で存在するこを認識するが、誤ったチェックワー
ドを処理することによってデータバスのデータ線に障害
があるという結論を出す。プロセッサ20は、プロセッサ
10が伝送プロトコルを維持しており、そのウオッチドッ
グ信号の誤りのない状態で存在していることを認識し、
同様にデータバスにエラーが存在するという結論を出
す。
をリクエストしたのにデータ伝送が行われないことを認
識し、あるいはプロセッサ20が伝送サイクルが経過して
もプロセッサ10からデータリクエストが行われないこと
を認識し、しかも両プロセッサが同じように、それぞれ
他方のプロセッサからはエラーのないウオッチドッグ信
号が送出され、従って活動していることを認識している
場合には、バス17の制御線に故障があることが認識され
る。これに対して、データ線の故障の場合には、まだデ
ータ伝送は可能である。データ線の故障は、プロセッサ
10がプロセッサ20にチェックワードを送出し、プロセッ
サ20がプロセッサ10に誤ったチェックワードを返すこと
によって認識される。その場合にプロセッサ10は、プロ
セッサ20がデータ交換に関する伝送プロトコルを維持し
ており、プロセッサ20のウオッチドッグ信号が誤りのな
い状態で存在するこを認識するが、誤ったチェックワー
ドを処理することによってデータバスのデータ線に障害
があるという結論を出す。プロセッサ20は、プロセッサ
10が伝送プロトコルを維持しており、そのウオッチドッ
グ信号の誤りのない状態で存在していることを認識し、
同様にデータバスにエラーが存在するという結論を出
す。
例えばプロセッサ10が作動していない場合には、プロ
セッサ20は伝送サイクルの経過後にプロセッサ10がデー
タリクエストして来ないことと同プロセッサ10のウオッ
チドッグ信号の欠落を認識する。プロセッサ20は前記2
つの状態を認識するとプロセッサ10に障害があると判断
する。そしてプロセッサ20はプロセッサ10にリセットパ
ルスを送出する。プロセッサ10が再び能動化されるとす
ぐに、プロセッサ10からはエラーのないウオッチドッグ
信号が出力され、プロセッサ20をデータをリクエストす
る。プロセッサ10が能動化されないと、ウオッチドッグ
信号の出力はなく、かつプロセッサ20に対するデータリ
クエストも行われないので、プロセッサ20は所定のプロ
グラムに従って反応する。プロセッサ20についても逆に
同様なことが行われる。
セッサ20は伝送サイクルの経過後にプロセッサ10がデー
タリクエストして来ないことと同プロセッサ10のウオッ
チドッグ信号の欠落を認識する。プロセッサ20は前記2
つの状態を認識するとプロセッサ10に障害があると判断
する。そしてプロセッサ20はプロセッサ10にリセットパ
ルスを送出する。プロセッサ10が再び能動化されるとす
ぐに、プロセッサ10からはエラーのないウオッチドッグ
信号が出力され、プロセッサ20をデータをリクエストす
る。プロセッサ10が能動化されないと、ウオッチドッグ
信号の出力はなく、かつプロセッサ20に対するデータリ
クエストも行われないので、プロセッサ20は所定のプロ
グラムに従って反応する。プロセッサ20についても逆に
同様なことが行われる。
例えばプロセッサ20からウオッチドッグ信号が出力さ
れないと、それをプロセッサ10が認識する。プロセッサ
20がプロセッサ10からのデータリクエストに正しく応答
すると、プロセッサ10はプロセッサ20が能動状態であっ
て、プロセッサ20のウオッチドッグ信号出力端子にエラ
ーがあることを認識する。データバス17を介してプロセ
ッサ10はこの情報をプロセッサ20に伝達する。逆にプロ
セッサ10のウオッチドッグ信号にエラーが発生した場合
には、それをプロセッサ20が認識して該当する情報をプ
ロセッサ10に伝達する。
れないと、それをプロセッサ10が認識する。プロセッサ
20がプロセッサ10からのデータリクエストに正しく応答
すると、プロセッサ10はプロセッサ20が能動状態であっ
て、プロセッサ20のウオッチドッグ信号出力端子にエラ
ーがあることを認識する。データバス17を介してプロセ
ッサ10はこの情報をプロセッサ20に伝達する。逆にプロ
セッサ10のウオッチドッグ信号にエラーが発生した場合
には、それをプロセッサ20が認識して該当する情報をプ
ロセッサ10に伝達する。
なお、以上の実施例において、障害がない場合には、
両プロセッサから出力される監視信号はほぼ同一のパル
スデューティー比と周波数を有するように構成すること
ができる。
両プロセッサから出力される監視信号はほぼ同一のパル
スデューティー比と周波数を有するように構成すること
ができる。
また、障害がない場合には、両監視信号間に所定の位
相ずれが存在し、この位相ずれはいずれかのプロセッサ
においてプログラム処理に障害が発生すると失われてし
まうように構成することができる。
相ずれが存在し、この位相ずれはいずれかのプロセッサ
においてプログラム処理に障害が発生すると失われてし
まうように構成することができる。
また、2つのプロセッサのうち少なくとも一方が、デ
ータ線及び制御線17に無関係の他のデータバス16、26と
接続されているように構成することができる。
ータ線及び制御線17に無関係の他のデータバス16、26と
接続されているように構成することができる。
さらに、2つのプロセッサが異なる周波数で駆動可能
であるように構成することができる。
であるように構成することができる。
また、データ線及び制御線を介して出力されるデータ
線上のデータ伝送を検査するチェックワードが方向に関
して異なるように構成することができる。
線上のデータ伝送を検査するチェックワードが方向に関
して異なるように構成することができる。
また、障害が存在しない限りにおいて、2つのプロセ
ッサの一方がマスタープロセッサとして優先的に駆動可
能であって、他方がスレーブプロセッサとして低い順位
で駆動可能であり、障害が検出されると、2つのプロセ
ッサの各々が同一の能力でほぼ同一の非常機能を果たす
ように構成することができる。
ッサの一方がマスタープロセッサとして優先的に駆動可
能であって、他方がスレーブプロセッサとして低い順位
で駆動可能であり、障害が検出されると、2つのプロセ
ッサの各々が同一の能力でほぼ同一の非常機能を果たす
ように構成することができる。
さらに、各プロセッサのリセット/再スタート信号を
受信する第2の入力端子15、25が、それぞれ他方のプロ
セッサのソフトウエアリセット信号を出力する第2の出
力端子13、23と動的に接続されるように構成することが
できる。
受信する第2の入力端子15、25が、それぞれ他方のプロ
セッサのソフトウエアリセット信号を出力する第2の出
力端子13、23と動的に接続されるように構成することが
できる。
また、一方のプロセッサにおいてプログラム処理に故
障が発生した場合には、同プロセッサは障害がない状態
のときに比べて単位時間当りより多くのソフトウエアリ
セット信号を発生させることによって停止させることが
でき、この多数のソフトウエアリセットパルスは障害の
ない方のプロセッサから発生されるように構成すること
ができる。
障が発生した場合には、同プロセッサは障害がない状態
のときに比べて単位時間当りより多くのソフトウエアリ
セット信号を発生させることによって停止させることが
でき、この多数のソフトウエアリセットパルスは障害の
ない方のプロセッサから発生されるように構成すること
ができる。
<発明の効果> 従って本発明装置においては、2つのプロセッサが互
いに独立して作動するにもかかわらず、高度の確実性を
もって互いに監視し合うことができる。プロセッサはプ
ログラムされた種々のフェイルセイフ・ルーチンに従い
それぞれエラーの種類に応じて種々に応答することがで
きる。またエラーの位置が特定されるので、例えば一方
のプロセッサが作動しなくなったときにまだ機能してい
る他方のプロセッサによって再スタートさせる(リセッ
ト)ことにより、前記エラーを除去することができる。
再スタート(リセット)の試みが成功しなかった場合に
は、故障したプロセッサないしは誤作動するプロセッサ
を継続的に休止させる方法もある。総じてエラーが発生
した場合にソフトウエアを用いて種々に応答することが
できるようになっているので、システム全体の使用範囲
を著しく拡大することができる。エラーの検出を利用し
て例えば自動車の運転者にエラーを報告し、あるいは特
に自動車関係の仕事で照会することのできるエラーメモ
リに格納することもできるのは当然でる。さらに、本発
明による装置は、図示の実施例とは異なり2つのプロセ
ッサ間でのデータ交換が別体のポート11と21間に固定配
置された専用のバス17を介してではなく、システムバス
あるいは一般に検出した測定量を格納ないしは処理結果
を読み出すシステムバスの一部を介して行われるような
2つのプロセッサシステムに使用することも可能であ
る。
いに独立して作動するにもかかわらず、高度の確実性を
もって互いに監視し合うことができる。プロセッサはプ
ログラムされた種々のフェイルセイフ・ルーチンに従い
それぞれエラーの種類に応じて種々に応答することがで
きる。またエラーの位置が特定されるので、例えば一方
のプロセッサが作動しなくなったときにまだ機能してい
る他方のプロセッサによって再スタートさせる(リセッ
ト)ことにより、前記エラーを除去することができる。
再スタート(リセット)の試みが成功しなかった場合に
は、故障したプロセッサないしは誤作動するプロセッサ
を継続的に休止させる方法もある。総じてエラーが発生
した場合にソフトウエアを用いて種々に応答することが
できるようになっているので、システム全体の使用範囲
を著しく拡大することができる。エラーの検出を利用し
て例えば自動車の運転者にエラーを報告し、あるいは特
に自動車関係の仕事で照会することのできるエラーメモ
リに格納することもできるのは当然でる。さらに、本発
明による装置は、図示の実施例とは異なり2つのプロセ
ッサ間でのデータ交換が別体のポート11と21間に固定配
置された専用のバス17を介してではなく、システムバス
あるいは一般に検出した測定量を格納ないしは処理結果
を読み出すシステムバスの一部を介して行われるような
2つのプロセッサシステムに使用することも可能であ
る。
第1図は本発明装置のブロック図、第2図(a)と
(b)は動的なウオッチドッグ信号の検出を模式的に示
す説明図、第3図は第2図に示す検出プログラムのフロ
ーチャート図である。 11、21……ポート、12、22……出力端子、 13、23……出力端子、14、24……入力端子 15、25……入力端子、16……データバス、 17……データ線及び制御線、 27、28……ポンピング回路
(b)は動的なウオッチドッグ信号の検出を模式的に示
す説明図、第3図は第2図に示す検出プログラムのフロ
ーチャート図である。 11、21……ポート、12、22……出力端子、 13、23……出力端子、14、24……入力端子 15、25……入力端子、16……データバス、 17……データ線及び制御線、 27、28……ポンピング回路
フロントページの続き (72)発明者 トーマス・リーエマン ドイツ連邦共和国 7582 ビューラータ ール・ハーベルクシュトラーセ 119ア ー (56)参考文献 実開 昭60−50556(JP,U) 実開 昭57−194149(JP,U) (58)調査した分野(Int.Cl.6,DB名) G06F 15/16 G06F 11/30
Claims (11)
- 【請求項1】2つのプロセッサがポート(11、21)によ
ってデータ線及び制御線(17)を介して互いに固定的に
接続されている、2つのプロセッサを有するコンピュー
タシステムを監視する装置において、 2つのプロセッサが前記データ線及び制御線を介して周
期的にデータ及び命令交換をするときまでは、互いに独
立して作動可能であって、 それぞれのプロセッサに動的な監視信号を出力する第1
の出力端子(12、22)が設けられており、 それぞれのプロセッサに他方のプロセッサの前記監視信
号を認識する第1の入力端子(14、24)が設けられてお
り、 両プロセッサの前記第1の入力端子(14、24)と出力端
子(22、12)がそれぞれ互いに接続されており、 前記動的な監視信号は、両プロセッサにおいてプログラ
ム処理上に故障がない場合には、それぞれ所定のパルス
デューティー比と所定の周波数を有し、 いずれかのプロセッサにおいてプログラム処理上に故障
がある場合には、故障を有する方のプロセッサの監視信
号のパルスデューティー比がプログラム処理上に故障が
ない場合に比べて変化していることを特徴とする2つの
プロセッサを有するコンピュータシステムを監視する装
置。 - 【請求項2】各プロセッサの前記各第1の出力端子(1
2、33、22、37)がポンピング回路(27、28)の入力端
子に接続されており、前記ポンピング回路の出力端子か
らは静的な監視信号を取り出すことができ、 それぞれソフトウエアリセット信号を出力するための第
2の出力端子(13、23)が設けられており、 各プロセッサにはそれぞれ他方のプロセッサのリセット
/再スタート信号を受信するための第2の入力端子(1
5、25)が設けられており、 各第2の入力端子(15、25)の前段にはそれぞれ3つの
入力端子を有する論理回路(30、32、29、31)が設けら
れており、前記3つの入力端子のそれぞれ第1の入力端
子(38、34)はそれぞれ他方のプロセッサのソフトウエ
アリセット信号を出力するための前記第2の出力端子
(23、13)と接続され、論理回路の第2の入力端子はそ
れぞれ他方のプロセッサによって制御される(22、12)
ポンピング回路(28、27)の出力端子と接続されてお
り、 前記論理回路(30、32、29、31)の第3の入力端子には
電源線(18)を介して初期化信号を供給することができ
ることを特徴とする特許請求の範囲第1項に記載の装
置。 - 【請求項3】障害がない場合には、両プロセッサから出
力される監視信号はほぼ同一のパルスデューティー比と
周波数を有することを特徴とする特許請求の範囲第1項
に記載の装置。 - 【請求項4】障害がない場合には、両監視信号間に所定
の位相ずれが存在し、この位相ずれはいずれかのプロセ
ッサにおいてプログラム処理に障害が発生すると失われ
てしまうことを特徴とする特許請求の範囲第3項に記載
の装置。 - 【請求項5】2つのプロセッサのうち少なくとも一方
が、前記データ線及び制御線(17)に無関係の他のデー
タバス(16、26)と接続されていることを特徴とする特
許請求の範囲第1項に記載の装置。 - 【請求項6】2つのプロセッサが異なる周波数で駆動可
能であることを特徴とする特許請求の範囲第1項に記載
の装置。 - 【請求項7】前記データ線及び制御線(17)を介して出
力される前記データ線上のデータ伝送を検査するチェッ
クワードが方向に関して異なることを特徴とする特許請
求の範囲第1項に記載の装置。 - 【請求項8】前記論理回路がそれぞれ2つの直列のカス
ケード回路(29、31)、(30、32)から形成されること
を特徴とする特許請求の範囲第2項に記載の装置。 - 【請求項9】障害が存在しない限りにおいて、2つのプ
ロセッサの一方がマスタープロセッサとして優先的に駆
動可能であって、他方がスレーブプロセッサとして低い
順位で駆動可能であり、 障害が検出されると、2つのプロセッサの各々が同一の
能力でほぼ同一の非常機能を果たすことを特徴とする特
許請求の範囲第1項〜第8項のいずれか1項に記載の装
置。 - 【請求項10】各プロセッサのリセット/再スタート信
号を受信する第2の入力端子(15、25)が、それぞれ他
方のプロセッサのソフトウエアリセット信号を出力する
第2の出力端子(13、23)と動的に接続されていること
を特徴とする特許請求の範囲第1項〜第9項のいずれか
1項に記載の装置。 - 【請求項11】一方のプロセッサにおいてプログラム処
理に故障が発生した場合には、同プロセッサは障害がな
い状態のときに比べて単位時間当りより多くのソフトウ
エアリセット信号を発生させることによって停止させる
ことができ、この多数のソフトウエアリセットパルスは
障害のない方のプロセッサから発生されることを特徴と
する特許請求の範囲第10項に記載の装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19873726489 DE3726489C2 (de) | 1987-08-08 | 1987-08-08 | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug |
| DE3726489.3 | 1987-08-08 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0261755A JPH0261755A (ja) | 1990-03-01 |
| JP2768693B2 true JP2768693B2 (ja) | 1998-06-25 |
Family
ID=6333397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63193588A Expired - Lifetime JP2768693B2 (ja) | 1987-08-08 | 1988-08-04 | 2台のプロセッサを有するコンピュータシステムを監視する装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2768693B2 (ja) |
| DE (1) | DE3726489C2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4004709C2 (de) * | 1990-02-15 | 1999-01-07 | Bosch Gmbh Robert | Rechnersystem |
| DE69227272T2 (de) * | 1991-04-16 | 1999-03-11 | Nec Corp | Multiprozessorssystem |
| DE4117393A1 (de) * | 1991-05-28 | 1992-12-03 | Kloeckner Humboldt Deutz Ag | Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine |
| JPH064353A (ja) * | 1992-06-17 | 1994-01-14 | Sumitomo Electric Ind Ltd | 複数のマイクロコンピュータの相互監視回路 |
| DE4438714A1 (de) * | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
| EP1086408B1 (de) * | 1998-06-10 | 2003-01-29 | Siemens Aktiengesellschaft | Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung |
| FR2838532B1 (fr) * | 2002-04-10 | 2004-07-30 | Airbus France | Systeme et procede de controle de plusieurs actionneurs |
| JP2014102662A (ja) * | 2012-11-19 | 2014-06-05 | Nikki Co Ltd | マイクロコンピュータ暴走監視装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4610013A (en) * | 1983-11-08 | 1986-09-02 | Avco Corporation | Remote multiplexer terminal with redundant central processor units |
| DE3539407A1 (de) * | 1985-11-07 | 1987-05-14 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
-
1987
- 1987-08-08 DE DE19873726489 patent/DE3726489C2/de not_active Expired - Lifetime
-
1988
- 1988-08-04 JP JP63193588A patent/JP2768693B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| DE3726489A1 (de) | 1989-02-16 |
| JPH0261755A (ja) | 1990-03-01 |
| DE3726489C2 (de) | 1995-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2880165B2 (ja) | 2つのプロセッサからなる自動車のコンピュータシステムを監視する装置 | |
| US5491787A (en) | Fault tolerant digital computer system having two processors which periodically alternate as master and slave | |
| JP3255693B2 (ja) | 自動車のマルチコンピュータシステム | |
| JP3330971B2 (ja) | 自動車の制御装置 | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| US9707908B2 (en) | Driving device | |
| JP2001063492A (ja) | 車両安全制御装置の電子制御装置 | |
| US6067586A (en) | Method for checking a first processor performing functions by a data word received and stored, and modified after performing a given function, and monitored by a second processor | |
| JP2768693B2 (ja) | 2台のプロセッサを有するコンピュータシステムを監視する装置 | |
| JPH11250029A (ja) | 少なくとも2つのプロセッサからなるコンピュータ装置のモニタ方法および装置 | |
| JPS5968004A (ja) | 車載用コンピユ−タのフエイルセ−フ方法 | |
| JP5094777B2 (ja) | 車載用電子制御装置 | |
| JP6563047B2 (ja) | 警報処理回路および警報処理方法 | |
| JPH01298446A (ja) | ダブルマイコンシステム暴走防止回路 | |
| JP4422076B2 (ja) | データ処理装置、電子制御ユニット、ならびに自動車 | |
| JPH04215140A (ja) | コンピュータ装置 | |
| JP2998804B2 (ja) | マルチマイクロプロセッサシステム | |
| JPH08287030A (ja) | 多重系計算機システムの自動再起動装置および方法 | |
| JP3830837B2 (ja) | センサ自己診断信号適正処理機能付き車載電子制御回路 | |
| JP2000259444A (ja) | データ処理装置及びその試験方法 | |
| US7016995B1 (en) | Systems and methods for preventing disruption of one or more system buses | |
| JP4613019B2 (ja) | コンピュータシステム | |
| US10671027B2 (en) | Electronic component monitoring method and apparatus | |
| JP2500217Y2 (ja) | I/oカ―ド異常検出システム | |
| JPH0273451A (ja) | 制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090410 Year of fee payment: 11 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090410 Year of fee payment: 11 |