JP3009504B2 - フォールトトレラント・コンピュータ・システム - Google Patents
フォールトトレラント・コンピュータ・システムInfo
- Publication number
- JP3009504B2 JP3009504B2 JP3156532A JP15653291A JP3009504B2 JP 3009504 B2 JP3009504 B2 JP 3009504B2 JP 3156532 A JP3156532 A JP 3156532A JP 15653291 A JP15653291 A JP 15653291A JP 3009504 B2 JP3009504 B2 JP 3009504B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- control
- output
- cpu
- fail
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
Description
【0001】
【産業上の利用分野】本発明は、制御システムに適用さ
れるCPU部(中央処理装置部)のみをデュアル化した
フォールトトレラント・コンピュータ・システムに関す
る。
れるCPU部(中央処理装置部)のみをデュアル化した
フォールトトレラント・コンピュータ・システムに関す
る。
【0002】
【従来の技術】従来、高信頼度が要求される制御システ
ムでは、フォールトトレラント・コンピュータ・システ
ムとして、図2(a)に示すように、同一処理を行う多
重の制御用コンピュータにより対処していた。
ムでは、フォールトトレラント・コンピュータ・システ
ムとして、図2(a)に示すように、同一処理を行う多
重の制御用コンピュータにより対処していた。
【0003】図2に示す制御システムでは、#1〜#4
の複数の制御用コンピュータ101が内蔵のCPU部1
02により同一処理を行い、それぞれが与える#1〜#
4の出力103を多数決部104で比較し、多数決結果
をシステム出力105としている。正常時は各出力10
3は同一内容である。図2中、Cは同一のCPU実行タ
スクを示す。
の複数の制御用コンピュータ101が内蔵のCPU部1
02により同一処理を行い、それぞれが与える#1〜#
4の出力103を多数決部104で比較し、多数決結果
をシステム出力105としている。正常時は各出力10
3は同一内容である。図2中、Cは同一のCPU実行タ
スクを示す。
【0004】そして、多数決処理において1フェイルが
発生、例えば#1のコンピュータが故障したと判断した
場合は、図2(b)に示すように故障したコンピュータ
を分離し、残りの#2〜#4のコンピュータの出力10
3を多数決処理して、システム出力105を得る。
発生、例えば#1のコンピュータが故障したと判断した
場合は、図2(b)に示すように故障したコンピュータ
を分離し、残りの#2〜#4のコンピュータの出力10
3を多数決処理して、システム出力105を得る。
【0005】更に、2フェイルが発生、例えば#2のコ
ンピュータが故障したと判断した場合は、図2(c)に
示すように、このコンピュータも分離し、残りの#3,
#4のコンピュータ103の出力の平均値を多数決部1
04で求め、システム出力105とする。
ンピュータが故障したと判断した場合は、図2(c)に
示すように、このコンピュータも分離し、残りの#3,
#4のコンピュータ103の出力の平均値を多数決部1
04で求め、システム出力105とする。
【0006】
【発明が解決しようとする課題】このように従来の高信
頼度が要求される制御システムでは同一処理を行う多重
コンピュータにより対処しているため、1FO(FO:
フェイル・オペラティブ)を実現するには制御用コンピ
ュータ101が3台の3重系が必要であり、また2FO
を実現するには図2の如く制御用コンピュータ101が
4台の4重系が必要である。そのため、実行可能なタス
クの割りに、制御システムの重量増大を招いていた。
頼度が要求される制御システムでは同一処理を行う多重
コンピュータにより対処しているため、1FO(FO:
フェイル・オペラティブ)を実現するには制御用コンピ
ュータ101が3台の3重系が必要であり、また2FO
を実現するには図2の如く制御用コンピュータ101が
4台の4重系が必要である。そのため、実行可能なタス
クの割りに、制御システムの重量増大を招いていた。
【0007】本発明は上述した従来技術の問題点を解消
したフォールトトレラント・コンピュータ・システムを
提供することを目的とする。
したフォールトトレラント・コンピュータ・システムを
提供することを目的とする。
【0008】
【課題を解決するための手段】本発明によるフォールト
トレラント・コンピュータ・システムの構成は、多重系
をなす制御用コンピュータの中のCPU部をデュアル化
し、通常は同一制御用コンピュータ中のそれぞれのCP
U部に別々のタスクを実行させ、制御用コンピュータの
出力間の多数決により1フェイルを検出し、1フェイル
検出後は、それぞれのCPU部に同一のタスクを実行さ
せ、各制御用コンピュータ中のCPU部の出力を相互に
比較してセカンド・フェイルを検出することを特徴とす
るものである。
トレラント・コンピュータ・システムの構成は、多重系
をなす制御用コンピュータの中のCPU部をデュアル化
し、通常は同一制御用コンピュータ中のそれぞれのCP
U部に別々のタスクを実行させ、制御用コンピュータの
出力間の多数決により1フェイルを検出し、1フェイル
検出後は、それぞれのCPU部に同一のタスクを実行さ
せ、各制御用コンピュータ中のCPU部の出力を相互に
比較してセカンド・フェイルを検出することを特徴とす
るものである。
【0009】
【作用】通常は各制御用コンピュータ中でデュアル化さ
れた各CPU部が別々のタスクを実行しており、多数決
によりいずれかのコンピュータが故障であるかを検出す
る(1フェイル検出)。1フェイルを検出したら、故障
コンピュータは分離され、残りの各制御用コンピュータ
中のCPU部が同一のタスクを実行し、コンピュータ毎
にそのCPU部の出力間の相互比較をして故障であるか
否かを検出する(セカンド・フェイル検出)。セカンド
・フェイル検出後は、故障コンピュータは分離される。
これにより、正常時には、従来のコンピュータ・システ
ムに比べて2倍のタスクを実行することができる。ま
た、3重コンピュータによる2FOを実現することがで
きる。
れた各CPU部が別々のタスクを実行しており、多数決
によりいずれかのコンピュータが故障であるかを検出す
る(1フェイル検出)。1フェイルを検出したら、故障
コンピュータは分離され、残りの各制御用コンピュータ
中のCPU部が同一のタスクを実行し、コンピュータ毎
にそのCPU部の出力間の相互比較をして故障であるか
否かを検出する(セカンド・フェイル検出)。セカンド
・フェイル検出後は、故障コンピュータは分離される。
これにより、正常時には、従来のコンピュータ・システ
ムに比べて2倍のタスクを実行することができる。ま
た、3重コンピュータによる2FOを実現することがで
きる。
【0010】
【実施例】以下、本発明の一実施例を図1に基づいて説
明する。図1(a)に示す実施例のフォールトトレラン
ト・コンピュータ・システムには、3台の制御用コンピ
ュータ1〜3と、多数決部10とがある。また、各制御
用コンピュータ1〜3には、それぞれデュアル化したC
PU部4と5,6と7,8と9があり、且つそれぞれ出
力相互比較部11〜13がある。
明する。図1(a)に示す実施例のフォールトトレラン
ト・コンピュータ・システムには、3台の制御用コンピ
ュータ1〜3と、多数決部10とがある。また、各制御
用コンピュータ1〜3には、それぞれデュアル化したC
PU部4と5,6と7,8と9があり、且つそれぞれ出
力相互比較部11〜13がある。
【0011】通常、3台の制御用コンピュータ1〜3に
おいて、各制御用コンピュータ内の2つのCPU部は互
いに別々のタスクA,Bを実行している。例えば、CP
U部4,6,8はタスクAを実行し、CPU部5,7,
9はタスクBを実行する。そして、3台の制御用コンピ
ュータ1〜3の出力4A,5B,6A,7B,8A,9
Bがそれぞれの出力相互比較部11,12,13を素通
りして多数決部10に与えられ、タスクAに関する出力
4A,6A,8Aについて多数決が行われ、またタスク
Bに関する出力5B,7B,9Bについても多数決が行
われ、システム出力14A,14Bが多数決の結果得ら
れる。
おいて、各制御用コンピュータ内の2つのCPU部は互
いに別々のタスクA,Bを実行している。例えば、CP
U部4,6,8はタスクAを実行し、CPU部5,7,
9はタスクBを実行する。そして、3台の制御用コンピ
ュータ1〜3の出力4A,5B,6A,7B,8A,9
Bがそれぞれの出力相互比較部11,12,13を素通
りして多数決部10に与えられ、タスクAに関する出力
4A,6A,8Aについて多数決が行われ、またタスク
Bに関する出力5B,7B,9Bについても多数決が行
われ、システム出力14A,14Bが多数決の結果得ら
れる。
【0012】ここで、例えば制御用コンピュータ1が故
障して、他の制御用コンピュータ2及び3の出力と異な
る場合は、1フェイルとして、多数決部10により制御
用コンピュータ1が故障と判断され、他から分離され
る。図1(b)参照。
障して、他の制御用コンピュータ2及び3の出力と異な
る場合は、1フェイルとして、多数決部10により制御
用コンピュータ1が故障と判断され、他から分離され
る。図1(b)参照。
【0013】この1フェイル検出後は、図1(b)に示
すように、残りの制御用コンピュータ2と3は、各CP
U部6,7,8,9で同一タスクA′を実行する。但
し、タスクA′の作業量はタスクAとタストBの和の作
業量以下とする(A′≦A+B)。この場合、一方の制
御用コンピュータ2ではCPU部6の出力6A′とCP
U部7の出力7A′とが出力相互比較部12によって比
較され、他方の制御用コンピュータ3でもCPU部8の
出力8A′とCPU部9の出力9A′とが出力相互比較
部13によって比較される。そして正常な場合(6A′
=7A′,8A′=9A′)は、各制御用コンピュータ
2,3の出力12A′(=6A′=7A′)、13A′
(=8A′=9A′)が多数決部10に与えられ、12
A′または13A′がシステム出力14A′とされる。
すように、残りの制御用コンピュータ2と3は、各CP
U部6,7,8,9で同一タスクA′を実行する。但
し、タスクA′の作業量はタスクAとタストBの和の作
業量以下とする(A′≦A+B)。この場合、一方の制
御用コンピュータ2ではCPU部6の出力6A′とCP
U部7の出力7A′とが出力相互比較部12によって比
較され、他方の制御用コンピュータ3でもCPU部8の
出力8A′とCPU部9の出力9A′とが出力相互比較
部13によって比較される。そして正常な場合(6A′
=7A′,8A′=9A′)は、各制御用コンピュータ
2,3の出力12A′(=6A′=7A′)、13A′
(=8A′=9A′)が多数決部10に与えられ、12
A′または13A′がシステム出力14A′とされる。
【0014】正常でない場合、例えば一方の制御用コン
ピュータ2内で、一方のCPU部6が故障して他方のC
PU部7の出力7A′と異なる出力6A′を出した場合
は、セカンド・フェイルとして、出力相互比較部12に
より制御用コンピュータ2が故障したと判断され、他方
の制御用コンピュータ3から分離される。図1(c)参
照。
ピュータ2内で、一方のCPU部6が故障して他方のC
PU部7の出力7A′と異なる出力6A′を出した場合
は、セカンド・フェイルとして、出力相互比較部12に
より制御用コンピュータ2が故障したと判断され、他方
の制御用コンピュータ3から分離される。図1(c)参
照。
【0015】セカンド・フェイルの検出後は、図1
(c)に示すように、残りの制御用コンピュータ3の出
力13A′が多数決部10を素通りしてシステム出力1
4A′とされる。なお、その後、2つのCPU部8,9
の出力8A′と9A′が異なればシステムは停まる。
(c)に示すように、残りの制御用コンピュータ3の出
力13A′が多数決部10を素通りしてシステム出力1
4A′とされる。なお、その後、2つのCPU部8,9
の出力8A′と9A′が異なればシステムは停まる。
【0016】
【発明の効果】本発明によれば、多重系をなす制御用コ
ンピュータの中のCPU部をデュアル化し、通常は同一
制御用コンピュータ中のそれぞれのCPU部に別々のタ
スクを実行させ、制御用コンピュータの出力間の多数決
により1フェイルを検出し、1フェイル検出後は、それ
ぞれのCPU部に同一のタスクを実行させ、各制御用コ
ンピュータ中のCPU部の出力を相互に比較してセカン
ド・フェイルを検出するので、3重の制御用コンピュー
タによって2フェイル・オペラティブ(2FO)のフォ
ールトトレラント・コンピュータ・システムの実現が可
能となり、従来の4重の制御用コンピュータによるシス
テムよりも、大幅な重量軽減が期待できる。しかも、正
常時には従来の2倍のタスクを実行できる。
ンピュータの中のCPU部をデュアル化し、通常は同一
制御用コンピュータ中のそれぞれのCPU部に別々のタ
スクを実行させ、制御用コンピュータの出力間の多数決
により1フェイルを検出し、1フェイル検出後は、それ
ぞれのCPU部に同一のタスクを実行させ、各制御用コ
ンピュータ中のCPU部の出力を相互に比較してセカン
ド・フェイルを検出するので、3重の制御用コンピュー
タによって2フェイル・オペラティブ(2FO)のフォ
ールトトレラント・コンピュータ・システムの実現が可
能となり、従来の4重の制御用コンピュータによるシス
テムよりも、大幅な重量軽減が期待できる。しかも、正
常時には従来の2倍のタスクを実行できる。
【図1】本発明の実施例を示すフォールト処置推移図。
【図2】従来例を示すフォールト処理推移図。
1,2,3 制御用コンピュータ 4,5,6,7,8,9 CPU部 10 多数決部 11,12,13 出力相互比較部
───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) G06F 11/16 - 11/20 G06F 15/177
Claims (1)
- 【請求項1】 多重系をなす制御用コンピュータの中の
CPU部をデュアル化し、通常は同一制御用コンピュー
タ中のそれぞれのCPU部に別々のタスクを実行させ、
制御用コンピュータの出力間の多数決により1フェイル
を検出し、1フェイル検出後は、それぞれのCPU部に
同一のタスクを実行させ、各制御用コンピュータ中のC
PU部の出力を相互に比較してセカンド・フェイルを検
出することを特徴とするフォールトトレラント・コンピ
ュータ・システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3156532A JP3009504B2 (ja) | 1991-06-27 | 1991-06-27 | フォールトトレラント・コンピュータ・システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3156532A JP3009504B2 (ja) | 1991-06-27 | 1991-06-27 | フォールトトレラント・コンピュータ・システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH056287A JPH056287A (ja) | 1993-01-14 |
| JP3009504B2 true JP3009504B2 (ja) | 2000-02-14 |
Family
ID=15629854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP3156532A Expired - Fee Related JP3009504B2 (ja) | 1991-06-27 | 1991-06-27 | フォールトトレラント・コンピュータ・システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3009504B2 (ja) |
-
1991
- 1991-06-27 JP JP3156532A patent/JP3009504B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH056287A (ja) | 1993-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8886994B2 (en) | Radiation hard and fault tolerant multicore processor and method for ionizing radiation environment | |
| US6393582B1 (en) | Error self-checking and recovery using lock-step processor pair architecture | |
| JP7351933B2 (ja) | エラーリカバリ方法及び装置 | |
| US5764660A (en) | Processor independent error checking arrangement | |
| JPH03131939A (ja) | 高信頼性コンピュータ診断システム | |
| JP3211878B2 (ja) | 通信処理制御手段及びそれを備えた情報処理装置 | |
| JP3009504B2 (ja) | フォールトトレラント・コンピュータ・システム | |
| JP2915528B2 (ja) | センサ・データの故障検出・信号選択装置 | |
| JPH0375834A (ja) | パリティの置換装置及び方法 | |
| EP0686921B1 (en) | Decentralized system and multiprocessor system | |
| US6915450B2 (en) | Method and apparatus for arbitrating transactions between domains in a computer system | |
| JPH08287030A (ja) | 多重系計算機システムの自動再起動装置および方法 | |
| JP2813480B2 (ja) | センサ再構成制御方式 | |
| JPH06124213A (ja) | コンピュータのフォールト・トレラント方式 | |
| JP3061998B2 (ja) | コンピュータのフォールト・トレラント方式 | |
| JPH01310422A (ja) | マイクロコンピュータのリセット回路 | |
| JP2790511B2 (ja) | 装置内監視切替方式 | |
| JPS58225401A (ja) | プロセス入出力システム | |
| JPS6155699B2 (ja) | ||
| JPS5864553A (ja) | 二重化演算システム | |
| JPS5941066A (ja) | 制御装置のデ−タ照合方法 | |
| JPH0581056A (ja) | 電子計算機の二重化方式 | |
| JPS61134846A (ja) | 電子計算機システム | |
| JPH0855040A (ja) | システム運転方法 | |
| GODDARD | Coverage as a trade-off issue in system architectural design |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 19991102 |
|
| LAPS | Cancellation because of no payment of annual fees |