JP3511033B2 - Fault tolerant computer equipment - Google Patents
Fault tolerant computer equipmentInfo
- Publication number
- JP3511033B2 JP3511033B2 JP01240895A JP1240895A JP3511033B2 JP 3511033 B2 JP3511033 B2 JP 3511033B2 JP 01240895 A JP01240895 A JP 01240895A JP 1240895 A JP1240895 A JP 1240895A JP 3511033 B2 JP3511033 B2 JP 3511033B2
- Authority
- JP
- Japan
- Prior art keywords
- central processing
- processing unit
- period
- check pulse
- stop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【発明の詳細な説明】
【0001】
【産業上の利用分野】この発明は、例えば宇宙空間を航
行する飛翔体(衛星)において、姿勢制御システムなど
のように高い信頼性を要求されるシステムに適した故障
容認計算機装置に関する。
【0002】
【従来の技術】一般に各種システムの制御装置には、計
算機が使用されるが、特に高い信頼性を必要とすシステ
ムでは、2台の中央処理装置を全く同じように動作させ
ている。そして通常は主系の中央処理装置でシステム制
御を行ない、主系の中央処理装置に異常が生じた場合は
副系の中央処理装置に切換えて運転するという手法が採
用される。この場合、主系の中央処理装置は電源が切ら
れシステムダウンされ、副系の中央処理装置が代わって
システム制御を行なうように切替わる。
【0003】これを実現する方法として従来は、ウオッ
チドッグカウンタを用いた診断装置が利用されている。
上記の診断装置は、図3に示す様に一定の周期で動作期
間、停止期間を交互に繰返して動作する中央処理装置か
ら出力されるパルスを監視している。中央処理装置は停
止期間に同期してこのパルスを出力するが、このパルス
がカウンタのクリアパルスとして利用される。カウンタ
は、中央処理装置から一定周期のクリアパルスが供給さ
れなくなると、カウント値が所定値以上になりその中央
処理装置が暴走状態にあるものと判断し、中央処理装置
の電源をオフするように構成されている。
【0004】
【発明が解決しようとする課題】しかしながら、上記の
異常判断手段では、中央処理装置がクリアパルスを連続
して出力するような暴走状態(図3に破線で示すよう
に、クリアパルスが前記一定周期とは無関係に出力され
ている)となった場合はこれを検出することが不可能で
ある。これは、カウンタが常にクリアされるためそのカ
ウント内容が増加しないからである。そこで、この発明
では、中央処理装置の暴走状態を更に適確に診断するこ
とのできるの故障容認計算機装置を提供することを目的
とする。
【0005】
【課題を解決するための手段】本発明によれば、演算処
理期間(動作中)と空き期間(停止中)を交互に含む一
定のサイクルで計算処理を実行するように設定され、前
記演算処理期間(動作中)と空き期間(停止中)を識別
した識別信号を出力する中央処理装置と、この中央処理
装置の前記一定のサイクル中の前記空き期間に同期させ
られた独自の停止チェックパルスを発生すると共に、該
停止チェックパルスの発生を前記一定のサイクルで繰り
返し行う停止チェックパルス発生手段と、前記停止チェ
ックパルスと前記識別信号が供給され、前記中央処理装
置の暴走により前記停止チェックパルスの発生時点に前
記識別信号が前記演算処理期間を示す場合に前記中央処
理装置の電源をオフする検出手段とを具備したことを特
徴とする故障容認計算機装置が得られる。
【0006】
【作用】上記の手段により、中央処理装置が暴走した場
合は、停止チェックパルスと停止状態を示す識別信号の
論理積が得られないので、適確に中央処理装置の暴走状
態を検出できるものである。
【0007】
【実施例】以下この発明の実施例を図面を参照して説明
する。図1はこの発明の一実施例を示すもので、例えば
衛星の姿勢制御装置に使用される。中央処理装置10
1、102は、共通のバス103を介して共通のランダ
ムアクセスメモリ(RAM)104、リードオンリーメ
モリ(ROM)105に接続される。更に、中央処理装
置101、102は、外部装置(被制御対象となるアク
チュエータホイール、ガスジェットスラスタ等)10
6、種々のデータ収集のための入力装置107に接続さ
れる。
【0008】中央処理装置101、102は、それぞれ
演算処理期間(動作中)と空き期間(停止中)を交互に
含む一定のサイクルで計算処理を実行する装置であり、
演算処理期間(動作中)と空き期間(停止中)を識別し
た識別信号Aを出力する。この識別信号は、それぞれ中
央処理装置101、102に対応して設けられた、異常
監視回路11、12に供給される。
【0009】中央処理装置101側の監視動作を代表し
て説明する。異常監視回路11は、この中央処理装置1
01の前記一定のサイクル中の前記空き期間(停止中)
に同期させられた独自の停止チェックパルスを発生する
と共に、該停止チェックパルスの発生を前記一定のサイ
クルで繰り返し行う停止チェックパルス発生手段を有す
る(この停止チェックパルス発生手段の停止チェックパ
ルスの発生動作は、図2の停止チェックパルスを参照す
れば明らかである)。さらに、この停止チェックパルス
発生手段からの停止チェックパルスはチェック手段に供
給される。このチェック手段は、前記識別信号と停止チ
ェックパルスとの論理積をとり、その論理演算の結果に
応じて中央処理装置の電源制御信号Bを得る。このチェ
ック手段により停止状態が確認されれば、このチェック
手段は中央処理装置101の動作を継続させ、逆に動作
状態が確認されれば中央処理装置101が暴走している
ものと判断しこの中央処理装置101の電源をオフす
る。中央処理装置101の電源がオフされた場合は、こ
れに代わって同じ演算を行なう中央処理装置102がシ
ステムを運転するようになる。
【0010】図2はこの発明の装置の動作例を示すタイ
ムチャートである。中央処理装置が正常に動作していれ
ば、識別信号Aが中央処理装置の動作停止を示すレベル
(例えば0)にあるときに停止チェックパルスが発生す
る。このときは例えばカウンタクリアパルスが得られ
る。また、中央処理装置が暴走状態にあり、識別信号が
動作状態を示すレベル(例えば1)に有るとき停止チェ
ックパルスが発生すると、カウンタクリアパルスは得ら
れず、カウンタのカウント値が増加する。このカウンタ
のカウント値が増加すると、中央処理装置の電源をオフ
するための電源制御信号Bが得られる。
【0011】図2では、中央処理装置が暴走状態となっ
てから、2回目のサイクルで電源をオフするように示し
ているが、これは更に数サイクル遅れて電源をオフする
ように設定してもよい。特に、宇宙空間のような特殊な
雰囲気の中では、例えば一方の処理装置に放射線が当
り、データの一部が0から1、または1から0に変わる
ことが想定できる。このような単発的、偶発的なエラー
は、処理装置自体をリセットすると正常状態に戻る場合
があるから、直ぐに電源をオフせずにリセットしてみる
期間を与えてもよい。また、上記の説明では、異常監視
回路11について説明したが、異常監視回路12も中央
処理装置102に対して同様な監視を行なっている。
【0012】
【発明の効果】以上説明したようにこの発明は、中央処
理装置の暴走状態を更に適確に診断することのできる故
障容認計算機装置を提供することができる。Description: BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system requiring high reliability, such as an attitude control system, for an aircraft (satellite) navigating in outer space. A suitable fault tolerant computer device. 2. Description of the Related Art Generally, a computer is used as a control device of various systems. In a system requiring high reliability, two central processing units operate in exactly the same manner. . Normally, a system is adopted in which system control is performed by the main central processing unit, and when an abnormality occurs in the main central processing unit, the system is switched to the sub central processing unit for operation. In this case, the power of the main central processing unit is turned off and the system is shut down, and the system is switched so that the sub central processing unit performs system control instead. Conventionally, a diagnostic device using a watchdog counter has been used as a method for realizing this.
As shown in FIG. 3, the diagnostic apparatus monitors a pulse output from a central processing unit that operates by alternately repeating an operation period and a stop period at a constant cycle. The central processing unit outputs this pulse in synchronization with the suspension period, and this pulse is used as a clear pulse of the counter. When the counter does not supply a clear pulse of a predetermined period from the central processing unit, the counter determines that the count value is equal to or more than a predetermined value and the central processing unit is in a runaway state, and turns off the power of the central processing unit. It is configured. [0004] The present invention is, however, in the above abnormality judgment means, a runaway state as a central processing unit continuously outputs clear pulse (as indicated by the broken line in FIG. 3
In addition, a clear pulse is output irrespective of the fixed period.
When it becomes a by which) it is impossible to detect this. This is because the counter is always cleared and the count does not increase. Therefore, an object of the present invention is to provide a fault-tolerant computer device capable of more accurately diagnosing a runaway state of a central processing unit. According to the present invention , calculation processing is set to be performed in a fixed cycle including an arithmetic processing period (during operation) and a vacant period (during stop) alternately. the arithmetic processing period and (in operation) and a central processing unit for outputting an identification signal identifying the idle period (stopped), the unique stop which is synchronized with the idle period of a constant cycle of the central processing unit A check pulse is generated and the
The generation of a stop check pulse is repeated in the fixed cycle.
Return stop check pulse generating means, the stop check pulse and the identification signal are supplied, and the central processing unit runs away and the central processing unit runs out of control when the identification signal indicates the arithmetic processing period at the time of occurrence of the stop check pulse. JP by comprising a detecting means for turning off the power of the processing unit
As a result, a fault-tolerant computer device is obtained . According to the above means, when the central processing unit runs away, the logical product of the stop check pulse and the identification signal indicating the stopped state cannot be obtained, so that the runaway state of the central processing unit can be accurately detected. You can do it. An embodiment of the present invention will be described below with reference to the drawings. FIG. 1 shows an embodiment of the present invention, which is used, for example, in a satellite attitude control device. Central processing unit 10
1 and 102 are connected to a common random access memory (RAM) 104 and a read-only memory (ROM) 105 via a common bus 103. Further, the central processing units 101 and 102 include an external device (an actuator wheel to be controlled, a gas jet thruster, etc.) 10
6. Connected to input device 107 for collecting various data. The central processing units 101 and 102 execute calculation processing in a fixed cycle including an arithmetic processing period (during operation) and an idle period (during stop), respectively.
An identification signal A that identifies an arithmetic processing period (during operation) and an idle period (during stop) is output. This identification signal is supplied to abnormality monitoring circuits 11 and 12 provided corresponding to the central processing units 101 and 102, respectively. The monitoring operation of the central processing unit 101 will be described as a representative. The abnormality monitoring circuit 11 includes the central processing unit 1
01 the idle period during the constant cycle (during suspension)
To generate a unique stop check pulse that made me synchronized with the
At the same time, the generation of the stop check pulse is
A stop check pulse generating means that repeats the stop check pulse (the stop check pulse
Refer to the stop check pulse in FIG.
It is clear if you do). Further, the stop check pulse from the stop check pulse generating means is supplied to the check means. The check means calculates the logical product of the identification signal and the stop check pulse, and obtains the power control signal B of the central processing unit according to the result of the logical operation. If the stop state is confirmed by the check means, the check means continues the operation of the central processing unit 101. Conversely, if the operation state is confirmed, it is determined that the central processing unit 101 is running out of control. The power of the processing apparatus 101 is turned off. When the power of the central processing unit 101 is turned off, the central processing unit 102 that performs the same operation instead of this operates the system. FIG. 2 is a time chart showing an operation example of the apparatus of the present invention. If the central processing unit is operating normally, a stop check pulse is generated when the identification signal A is at a level (for example, 0) indicating that the operation of the central processing unit is stopped. At this time, for example, a counter clear pulse is obtained. Further, when the central processing unit is in the runaway state and the identification signal is at the level indicating the operating state (for example, 1) and the stop check pulse is generated, the counter clear pulse is not obtained and the count value of the counter increases. When the count value of this counter increases, a power control signal B for turning off the power of the central processing unit is obtained. FIG. 2 shows that the power is turned off in the second cycle after the central processing unit goes out of control, but this is set so that the power is turned off with a delay of several cycles. Is also good. In particular, in a special atmosphere such as outer space, for example, it is assumed that one of the processing devices is irradiated with radiation, and a part of data changes from 0 to 1 or from 1 to 0. Since such a single or accidental error may return to a normal state when the processing device itself is reset, a period for resetting the power without immediately turning off the power may be given. Further, in the above description, the abnormality monitoring circuit 11 has been described, but the abnormality monitoring circuit 12 also performs similar monitoring on the central processing unit 102. As described above, the present invention can provide a fault-tolerant computer device capable of more accurately diagnosing a runaway state of a central processing unit.
【図面の簡単な説明】
【図1】この発明の一実施例を示す構成説明図。
【図2】図1の装置の動作説明の為に示したタイムチャ
ート。
【図3】従来の装置の動作を説明するのに示したタイム
チャート。
【符号の説明】
101、102…中央処理装置。
103…データバス。
104…RAM。
105…ROM。
106…出力装置。
107…入力装置。
11、12…異常監視装置。BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a configuration explanatory view showing one embodiment of the present invention. FIG. 2 is a time chart shown for explaining the operation of the apparatus of FIG. 1; FIG. 3 is a time chart for explaining the operation of the conventional device. [Description of Signs] 101, 102: Central processing unit. 103 ... data bus. 104 RAM. 105 ROM. 106 ... Output device. 107 ... Input device. 11, 12 ... abnormality monitoring device.
フロントページの続き (72)発明者 五日市 敦 神奈川県川崎市幸区小向東芝町1番地 株式会社東芝小向工場内 (56)参考文献 特開 昭63−232857(JP,A) 特開 昭63−313245(JP,A) 特開 昭59−139462(JP,A) 特開 平2−210555(JP,A) 特開 平2−181240(JP,A) 特開 昭63−313246(JP,A) 実開 昭57−175240(JP,U) (58)調査した分野(Int.Cl.7,DB名) G06F 11/00 G06F 11/28 - 11/34 JSTPLUSファイル(JOIS)Continuation of the front page (72) Inventor Atsushi Itsukaichi 1 Kosuka Toshiba-cho, Saiwai-ku, Kawasaki-shi, Kanagawa Prefecture Inside the Komukai Plant of Toshiba Corporation (56) References JP-A-63-232857 (JP, A) JP-A-63 JP-A-313245 (JP, A) JP-A-59-139462 (JP, A) JP-A-2-210555 (JP, A) JP-A-2-181240 (JP, A) JP-A-63-313246 (JP, A) (Japanese) Shokai 57-175240 (JP, U) (58) Fields investigated (Int. Cl. 7 , DB name) G06F 11/00 G06F 11/28-11/34 JSTPLUS file (JOIS)
Claims (1)
止中)を交互に含む一定のサイクルで計算処理を実行す
るように設定され、前記演算処理期間(動作中)と空き
期間(停止中)を識別した識別信号を出力する中央処理
装置と、この中央処理装置の前記一定のサイクル中の前
記空き期間に同期させられた独自の停止チェックパルス
を発生すると共に、該停止チェックパルスの発生を前記
一定のサイクルで繰り返し行う停止チェックパルス発生
手段と、前記停止チェックパルスと前記識別信号が供給
され、前記中央処理装置の暴走により前記停止チェック
パルスの発生時点に前記識別信号が前記演算処理期間を
示す場合に前記中央処理装置の電源をオフする検出手段
とを具備したことを特徴とする故障容認計算機装置。(57) [Claims 1] The calculation processing is set to be executed in a fixed cycle including an arithmetic processing period (during operation) and a vacant period (during stop) alternately. a central processing unit for outputting an identification signal identifying the idle period (stopped) and (during operation), prior to the in certain cycles of the central processing unit
Serial as well as generating its own stop check pulse which is synchronized to the free period, the occurrence of the stop check pulse
Stop check pulse generation that is repeated in a fixed cycle
Means , the stop check pulse and the identification signal are supplied, and the central processing unit is turned off when the identification signal indicates the arithmetic processing period at the time when the stop check pulse is generated due to runaway of the central processing unit. A fault tolerant computer device comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01240895A JP3511033B2 (en) | 1995-01-30 | 1995-01-30 | Fault tolerant computer equipment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01240895A JP3511033B2 (en) | 1995-01-30 | 1995-01-30 | Fault tolerant computer equipment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH08202588A JPH08202588A (en) | 1996-08-09 |
| JP3511033B2 true JP3511033B2 (en) | 2004-03-29 |
Family
ID=11804443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP01240895A Expired - Fee Related JP3511033B2 (en) | 1995-01-30 | 1995-01-30 | Fault tolerant computer equipment |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3511033B2 (en) |
-
1995
- 1995-01-30 JP JP01240895A patent/JP3511033B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH08202588A (en) | 1996-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR20030082983A (en) | Method of recovering a flight critical computer after a radiation event | |
| US5469447A (en) | Apparatus for selecting a valid signal from a plurality of redundant measured and modelled sensor signals | |
| JP3511033B2 (en) | Fault tolerant computer equipment | |
| US5301171A (en) | Cross-monitored pair of clocks for processor fail-safe operation | |
| JP2002287997A (en) | Multiple system processing method | |
| JP7360277B2 (en) | aircraft control system | |
| JP3529994B2 (en) | Verification circuit | |
| JP3164360B2 (en) | Microprocessor circuit device having watchdog circuit and method of monitoring flow of processor program | |
| JP2654072B2 (en) | Fault tolerant computer equipment | |
| JP3432249B2 (en) | Signal monitoring method | |
| JPH113293A (en) | Computer system | |
| JP2558728B2 (en) | Abnormal interrupt processing device | |
| JPS6343770B2 (en) | ||
| Roques et al. | Fault-tolerant computer for the automated transfer vehicle | |
| Yashiro et al. | A high assurance on-line recovery technology for a space on-board computer | |
| JP3204177B2 (en) | Fault diagnosis device for waveform shaping circuit | |
| JP2774595B2 (en) | Operation monitoring device for CPU system | |
| KR100289098B1 (en) | Device for integrally processing interrupt signal | |
| JPS6213153Y2 (en) | ||
| JPH03244987A (en) | Device for detecting abnormal fan operation | |
| JPH05225162A (en) | Runaway detecting system for multi-cpu system | |
| JPH02130658A (en) | Fault processing system | |
| JPH0148565B2 (en) | ||
| JPH0651935U (en) | Failure management device in multi-CPU system | |
| JPH03216748A (en) | Remote channel device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20031008 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100116 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |