JPH07501642A - 多重障害時動作可能なフォールトトレラント・クロック - Google Patents

多重障害時動作可能なフォールトトレラント・クロック

Info

Publication number
JPH07501642A
JPH07501642A JP5510349A JP51034993A JPH07501642A JP H07501642 A JPH07501642 A JP H07501642A JP 5510349 A JP5510349 A JP 5510349A JP 51034993 A JP51034993 A JP 51034993A JP H07501642 A JPH07501642 A JP H07501642A
Authority
JP
Japan
Prior art keywords
clock
fault
signal
module
tolerant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP5510349A
Other languages
English (en)
Other versions
JP3445270B2 (ja
Inventor
クローズ,ジェイムズ・マイケル
イングルハート,マシュー・ジョン
Original Assignee
ハネウエル・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ハネウエル・インコーポレーテッド filed Critical ハネウエル・インコーポレーテッド
Publication of JPH07501642A publication Critical patent/JPH07501642A/ja
Application granted granted Critical
Publication of JP3445270B2 publication Critical patent/JP3445270B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1604Error detection or correction of the data by redundancy in hardware where the fault affects the clock signals of a processing unit and the redundancy is at or within the level of clock signal generation hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/04Generating or distributing clock signals or signals derived directly therefrom
    • G06F1/12Synchronisation of different clock signals provided by a plurality of clock generators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/88Monitoring involving counting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Hardware Redundancy (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるため要約のデータは記録されません。

Description

【発明の詳細な説明】 多重障害時動作可能なフォールトトレラント・クロ1り発明の分野 本発明は、ディジタル回路用のクロックに関するものである。より詳しくは、本 発明は、フォールトトレラントを有するクロックに関する。
発明の背景 システムにディジタル・フォールトトレラントを与えることは、7ステム障害が 重大な結果を招くことを考えれば不可欠である。このようなフォールトトレラン トを達成する一般的な方法は、タイムベース(時間基準)を同期させなければな らないコンビ二一夕のようなシステムまたはサブシステムやセンサに冗長性を持 たせることである。しかしながら、その場合、タイムベースの同期化がフォール トトレラントであることが必須である。また、実際にフォールトトレラント同期 化を行う方法または装置は、保守やトラブルシューティングによってシステム障 害予防を促進することができるように、潜在的障害検出機能及びリボ−ティング 機能が組み込まれるべきである。
並列に接続されたコンピユータ等からなる冗長サブシステムの集合の場合は、ど のサブシステムもタスク処理動作が池のサブシステムより進み過ぎたり、遅れ過 ぎたりしないことが重要である。/ステム間には同期化が必要であるが、そのよ うな同XII化は、フォールトトレラントでなければならず、かつ潜在的障害検 出機能及びリポ−ティング機能がなければならない。さらに、冗長構成要素の直 列接続(例えば冗長プロセッサと直列に接続された冗長センサ)は、情報を伝達 するために同期化を必要とする。
フォールトトレラント同期化には様々な方式がある。一部の低周波クロックを同 期させるのに適した方式では、同期化機構自体における変動によって生じるス牛 ニーを許容可能な程度とするような計算を行うようになっている。この場合、ク ロック周期は計算に必要な時間に比して非常に長い。このような方式は、ソフト ウェアで実行することができる。しかしながら、このようなソフトウェアによる やり方は、何台かのコンピュータがあって、それらが様々なタスクに専用に割り 当てられる一部のディジタルシステムのアーキテクチャについては不適合である 。このような状況において、同期化タスクを行わせるために、汎用コンビ二一夕 を少なくとも1台まるまる増設することは、専用のクロック回路を用いるのに比 べて非常に非効率的となる場合がある。
最小の専用クロック回路を設けることによりフォールトトレラント・クロックを 達成しようとする技法もある。このような技法のほとんどは、(3N+ I ) 個のクロックモジュールによりNff1障害時動作可能性が達成されるアルゴリ ズム(回路ではない)を使用する1つを除いて、単一障害時動作可能性しか得ら れない。
これまで、潜在的障害検出機能を具備したフォールトトレラント・クロックの技 術は知られていない。潜在的障害検出機能がない場合、フォールトトレラント・ クロックは、1つまたは2つ以上の潜在的障害が存在する状態で動作し続けるが 、ついにはさらに1つ障害が起こっただけで、太き(障害に影響される状態とな る。すなわち、クロックは、最終的にはもはやフォールトトレラントではなくな り、しかもそのような状況は検出されない。これは、フォールトトレラント・ク ロックとしては許容されるものではない。
発明の概要 本発明は、相互接続された4つの同じクロックモジュールを有するフォールトト レラント・クロックにある。このいわゆるカッドクロック(四重クロ1り)によ れば、単一障害時動作可能性が100%達成され、また二重障害時動作可能性が ほぼ100%が達成される。二重障害時に100%のフォールトトレラント性が 確保されないのは、同時に起こる、それも2つの別個のりロックモジュールで同 時に起こる二重障害で、無障害のモジュールが障害として認識することができ、 しかも悪質な障害、すなわちそれら2つの有障害モジニールが無障害のモノ一− ルを[騙すJように作用する障害の場合である。動作停止につながるのはこのよ うな二重障害である。
また、本発明のフォールトトレラント・クロックにおいては、3つ、4つまたは それ以上の障害、すなわちモジュール間の多数の通信回線が故障するような場合 にも、ある程度フォールトトレンランス性が確保される。
本発明によれば、フォールトトレラントな同時始動が行われる。パワーオン後、 カッドクロックは、外部、すなわちこのクロックによりサポートされるエレクト ロニクス系統の残りの部分には、同時にスタートするように見える。これは、モ ノコール間における(レディ)フラグの受渡し及び投票によって達成される。別 個のモジュールから外部へ送られる最初のクロックエツジは同時に起こる。この 同時始動はフォールトトレラントである。レディ(使用可能)回線上の障害はマ スクされ、最も可能性がある障害(例えば適切な時間内にレディ状態を示す信号 を出すことができない故障)が検出され、リポートされる。最悪の場合、始動回 路に多重障害があると、クロックが始動しないことがある。
本発明においては、フォールトトレラント動作診断装置が組み込まれる。この診 断装置は潜在的障害検出機能を有する。本願において「潜在的」障害とは、外部 から見る限りにおいて、クロ・1りの適切な挙動に影響を及ぼすことがない障害 をいう。潜在的障害検出は、4つの全てのクロ1クモジユールで独立して行われ る。所与のモジュールが、他のモジニールからの信号が誤っていると認識すると 、フォールトフラグがセブトされる。クロックの動作状態はフォールトフラグに よって決まる。重要な動作状態のfi類には、[障害なしjl 「二重障害時動 作可能」、「単一障害時動作可能」、「動作可能」及び「動作不能」などの状態 がある。このような動作状態の種類に関する情報は、保守スケジュール作成のた めに必要である。また、これらの動作状態を評価することができるようモジ、− ル間においてもフォールトフラグの交換が行われる。このような情報の交換自体 もフォールトトレラントである。
4つの各モジュールは、12のポイントッーポイント回線接続によって各々のク ロック信号を他の各モジニールへ送信する。フォールトトレラントな同時始動を 行うためにはさらに12のポイントッーポイント回線接続が必要である。フォー ルトフラグ情報を伝達するにはさらに12のポイントッーポイント回線接続が必 要である。また、各モジコールが相互接続を介して各々のフラグを自己宛に送る 場合は、フラグ通信用に全部で16の相互接続回線またはポイントッーポイント 回線接続が必要である。これらの接続態様によれば、モジュールを相互に全く同 じ関係とすることができる。
これらのモジコールは、受信した信号及び投票されたクロック出力の短時間のヒ ストリを記憶するために使用されるシフトレジスタが組み込まれ、これにより最 小限の組合せ論理を付加するだけであらゆる形の障害を検出することが可能であ る。不安定性の解消は、シフトレジスタの第1段によって自動的に行われる。
標準的なロードダブルカウンタ(loadable counter)が、デニ ーテイサイクルを容易に選択することが可能なりロック信号を発生させる。クロ ックモジュール回路全体は、小さな集積回路または最新の技術によるプログラマ ブル回路に容易に作り込むことができる。
一般に、本発明のクロックは、フ堵−ルトトレラント同時始動が可能な二重障害 時動作可能性/フェールセーフ動作及び二重障害時動作状態報告という条件を満 足するような設計が最も効率的な設計となる。また、本発明は、2つの周波数オ ブン璽ン、すなわちを1つの周波数とその倍数の周波数を出力することができ、 これらの周波数における同期ループ及び障害検出ループが設けられる。その低い 方の周波数の信号及び高い方の周波数の信号共フォールトトレラントである。
図面の簡単な説明 各々、図1a及び1bは、それぞれ本発明の4つのクロックモジ5−ル間の相互 接続及びそれらの各クロックモジコールのブロック図を示す。
図2は、クロックモジュールの要部の詳細なブロック図である。
図3は、4つのクロ/クモジュール及び、これらのモジニールと別途に任意に設 けることができる障害捕捉部(fault containment regt on)クロック受信器との接続間係を示すプロ1フ図である。
図4は、クロックモジコール、マイクロプロセッサ及び不揮発性メモリを組み込 んだシステムのブロック図である。
図5は、クロックモジュールのクロ・、クイネーブル回路の回路図である。
図6は、パワーオン時の初期タイミングシーケンス図である。
図7は、クロ1クモジユールのクロック発生器回路の回路図である。
図8は、クロックモジュールのり0.り受信器回路の回路図である。
図9は、クロック受信器回路の入カクロyクマネージャ回路の回路図である。
図10は、クロック受信器回路のデータコレクタ回路の回路図である。
図11は、クロ1り受信器回路の基準クロックマネージャ回路の回路図である。
図12は、クロックシステムの二重故障時動作可能構成におけるフォールトトレ ラント・リセット相互接続トポロジの説明図である。
図13は、単一故障時動作可能構成のトポロジの説明図である。
図14は、動作可能構成のトポロジの説明図である。
図15は、投票クロック信号の合成のタイミング図を示す。
図16aは、過渡的構成のトポロジの説明図である。
図16bは、安定状態の構成のトポロジの説明図である。
図17a及至17cは、それぞれ単方向リンクを有するトポロジの説明図である 。
図18aも単方向リンクを有するトポロジの説明図である。
図!8bは、単方向リンクを有しないトポロジの説明図である。
図+9a及至19cは、互いに等価な3つのネブトワークトポロジの1つをそれ ぞれ示す説明図である。
図208及至20Jは、10の双方向クロック構成のトポロジの中の1つ及びそ の安定性をそれぞれ示す説明図である図21は、プロークンベア構成のトポロジ の説明図である。
図22は、フォールトフラグ通信システムの機能ブロック図である。
図23は、フォールトフラグ通信のタイミング図である。
図248及び24bは、フォールトフラグ通信クロツクのブロック図及びそのク ロック位相のタイミング図である。
図26は、フォールトフラグ送信器の回路図である。
図26aは、−組のフォールトフラグ受信器を示す回路図である。
図266は、フォールトフラグ受信器詳細図である。
図27は、フォールトフラグ通信回線故障探知システムの回路図である。
図28a及び28bは、それぞれフォールトフラグ・パーマネントラッチ回路及 びその1ビット分のラッチ回路の詳細を示す回路図である。
図29は、カード及びカードの絶対番号と相対番号との対応関係をまとめた表で ある。
図30は、全てのクロyりに共通のフォールトフラグ順序付は表である。
図31a及至31fは、それぞれクロyり及びリセットンステムの動作判断のた めの組合せ論理回路の構成を示す回路図である。
実施例の説明 本発明は、あらゆる非同時性二重障害に対してフォールトトレラントを持たせる ことを目的として構成されたディジタルクロック回路にある。この回路は、最大 周波数誤差が100万分の140で、相互に200ナノ秒以内に同期したフォー ルトトレラントな4つの100ヘルツクロツク、最大周波数誤差が100万分の 140で、相互に1200ナノ秒以内に同期したフォールトトレラントな4つの 1600ヘルツクロツク、及び回路の状態を監視し、保守診断を行い易くするた めに使用される32のフォールトフラグ信号を供給する。
図1aには、4つのモジュール11% 12.13及び14及びこれらのモノニ ール間の相互接続回線を有するクロックlOが示されている。図11)は、モジ ュール11,12、+3または14のブロック図である。これらの各モジニール は、リセット手段16、クロ1り受信器(クロック受信器回路)20及びクロッ ク発生器(クロック発生器回路)18を有するクロック装置+15、及び動作診 断回路(動作診断手段、フォールトフラグ通信回路)17を有する。図2は、上 記各モジュール1L12.13または14の部分モジュール15を示す。また、 これらの各モジュールは、図22に示すようなフォールトフラグ通信回路17を 有する。上記各モジュールの4つの主要構成要素のうち、リセット手段またはフ ォールトトレラント・リセット回路またはクロ7クイネーブル回路16は、池の 全てのクロックモジコールへ同期した初期イネーブル信号を供給し、クロyり発 生器回路18は、100ヘルツ及び1600ヘルツのクロ1り信号を出力し、ク ロック受信器回路20は、他の3つのクロ、クモジュールからの入力クロックに よってこれら他のモジュールを監視し、クロ、り発生器回路18に同期化コマン ドを供給し、動作診断手段17は、他のモジコールの動作を診断する。また、ク ロック受信器20は、フォールトトレラント・クロック及び保守フラグFl、F J。
FK、FLを出力する。図3は、4つのフォールトトレラント・クロックをクロ ック受信器回路22へ出力するクロックモジュール11.+2.13及び14を 有する本発明の一実施例の構成140を示す。クロ・lり受信器22は、クロ/ クモジュールのクロック受信器20とほぼ同じであるが、クロック受信器22で は、組合せ論理装置64においてゲート13gを省いた点が若干具なっている( 図10)。図3の構成140において、クロック受信器22は1つの外部フォー ルトトレラント・クロック信号を出力する。
図4は、図1の詳細図で、4つのクロックモジュールの相互接続関係及び外部接 続関係が詳細に示されており、またこれらのクロック信号を用いる外部システム への適用を図るためのメモリ120及びプロセッサ24との相互接続関係が示さ れている。これら4つの同じモジュール間には、12ポイントツーポイント・ワ イヤテトラヘドロン(wire tetrahedron)型クロツク相互接続 アーキテクチャ、12ポイントツーポイント・Jイヤテトラへドロン型フォール トトレラント・リセット相互接続アーキテクチャ及び12ポイントツーポイント ・ワイヤ式動作状態相互接続アーキテクチャまたは16ポイントツーポイント・ ワイヤ式動作状態相互接続アーキテクチャが講じられている。このフォールトト レラント・クロック回路は、不安定状態に起因する全ての潜在的障害を排除する よう構成されている。回路内の様々なディジタル構成要素に関しては、セットア ツプ時間及び士−ルド時間の条件は満たされている。シフトレジスタを用いてク ロックの新しいヒストリが記録され、これによって障害検出及び信号同期化を行 うことが可能となる。
同期に要求される条件は、全ての対のクロ1クモジユールの100ヘルツ信号間 でスキューエラーが1000ナノ秒以下、全ての対のクロックモジュールの16 00ヘルツ信号間ではr*密な同期」が必要であり、ある特別のアプリケ−シリ ン、すなわち飛行データ慣性基準装置(Air Data rnertialR eference Unit(ADIRυ))用の場合は、周波数誤差が100 万分の200以下でなければならない。
各クロック発生器回路18は、各モジュールの100ヘルツ及び1600ヘルツ の同期したクロック信号を出力する。100ヘルツクロツク信号は、フォールト トレラント・クロック回路内だけで使用される。1600ヘルツクロック信号は 、HE X A D装置に供給される。また、各クロック受信器回路2oは、各 モジュールの100ヘルツ基準クロ・ツク信号を出力する。基準クロγり信号は 、マイクロプロセッサ24に供給される。HE X A D装置は、ジャイロス フーブ及び/または加速度計よりなる6つのセンサで構成され、6つのセンサの 中の2つが故障しても十分機能することができるようになっている6センサ装置 である。
クロック発生器18は、ロード値が周波数及びデニーティサイクルを制御するよ うに選択されるローダプルカウンタ56を有する。ローダプルカウンタ56及び カウンタ58からなる2段カウンタは、1600Hzと100Hzの同期したク ロック信号を供給する。本発明の新規な特徴の一つは、100Hzクロツクの立 ち上がりエツジ及び立ち下がりエツジでの同期化と、1600 HZ及び100 Hzクロγり出力のデ1−ティサイクルを50パーセントにしたことである。ま た、クロック発生器18にスロー障害検出組合せ論理袋W1116を設けたこと も新規な特徴である。最大許容スキニー及び最大許容周波数誤差を計算するには 、次の式が使用される。
スキュー(クロック発生器出力) 、、、 = 2 A T m + 2 T  *rctgスキニー(クロック受信器出力) −1−” Z Tl1FeLIV  (f r eQ) *1111 =A+2 (T++vcLw /T、 )こ こで、A=高周波水晶発振器の精度 T、=同期周期(同期後のエツジ間の公称経過時間)T□C□−高周波水晶発信 器A器の出力信号の周期これらの式は、クロlり受信1120の出力間のスキニ ーがクロック発生器18の出力間のスキニーより小さいことを示している。クロ ・7り受信器2oはマイクロプロセッサ24を駆動するので、クロック性能を判 断するためにはクロック受信器の100ヘルツ信号間のスキニーを用いるべきで ある。しかしながら、クロック発生器の1600ヘルツ出力間のス牛コー値は、 回路障害の試験を行うために用いられるので、非常に重要である。若干修正した クロック受信器回路22を各HE X A Dに付加することによって、HE  X A Dに供給される1600ヘルツ信号間のスキニーを上式1のスキニーか ら上式2のレベルまで低減することも可能である。クロック発生器回路18には 、100万分の100の精度の発振器が用いられる。上記の式1.2及び3は、 Tmtct*が小さいほどクロIり性能が改善されるということを示している。
高周波水晶発信器の出力周波数を10メガヘルツにすると、T□CL4は比較的 小さい値(この場合100ナノ秒)となり、しかもディジタル構成要素のタイミ ングのずれの問題を解消するのに十分な時間を確保することができる。100へ ルックロック信号の立ち上がりと立ち下がりの両エツジで同期を取ると(T、= 54す秒)、iooヘルツクロック信号のどちらか一方のエツジだけで同期を取 る場合(T*=10iす秒)と比較して、スキューを著しく小さくすることがで きる周波数の精度は水晶発振器の精度に関係する。
パラメータをA=100xlO−’、TaFCLI = 100 X 10−’ 、Ts−5x101とすると、前記の3つの方程式はそれぞれ下記のようになる ニスキュー(クロック発生器)m =1200nsecスキニー(受信器)su m =200nsec■(周波数)、、、=140ppm 図5のリセ−y )手段またはクロックイネーブル回路16は、最初の同期した イネーブル信号を全てのクロックモジュールに供給してクロ1り起動時に4つの モジュールを相互に確実に同期させると共に、クロ1クイネーブル回路16自体 内部の潜在的障害の有無を連続的に検出し、ラッチし、リポ−ティングし、不安 定性を解消するべく機能する。この回路、すなわちフォールトトレラントなリセ ット回路16は、リセット回路16におけるハードウェア障害を検出し、フォー ルトフラグをラッチする二重障害時動作可能な初期化障害検出論理を具現するた めの2/4投票器機構、及び回路初期化時に不安定性解消を図るためのマスター −スレーブ・フリ1ブフロブブ組合わせ回路を有する。このリセット手段または クロックイネーブル回路16は、組合せ論理装置!!106、障害検出リセット 回路108及びリセ・ットラッチ110からなる。クロックイネーブル回路16 は、最初のパワーオン後、クロックはこれにより駆動される全てのマイクロプロ セッサ24が完全に初期化されるまで動作すべきでなな(、また全てのクロック モジコールは最初に同期を取るべきであるというパワーオン時の多重タイミング の必要条件を満たす。
動作が開始されると、T=0において4クロツクプロセツサボードに電源が供給 される。この時、内部クロ1クリセ・1ト信号26が各々対応するクロックモジ コール11.12.13及び14内でアサート(能動化)される。信号26は、 フォールトトレラント・クロックを確実に非動作状態に保つためにマイクロプロ セッサ24の初期化期間を通してアサート状態に保たれる。マイクロプロセッサ 24は、ランダム要因のため、初期化が同時には完了しない。そのために、初期 化の最小完了時間TA及び最大完了時間T、が指定される。4つの内部クロック リセット信号26は少なくとも時間TIが経過するまでアサート状態に保つ必要 がある。診断ルーチンによっては、前のセブ7Wノからの未解消の障害を障害ラ ッチにロードするシステムの能力が要求されることもある。その場合は、クロッ クイネーブル障害ラッチには、内部クロメクリセット信号26が抑止されるでい る時、不揮発性メモリに記憶されたデータがロードされる。
11.12、+3及び14の各クロックモジニールは、マイクロプロセッサ24 の初期化後にアサートされる内部クロックイネーブル信号28を使用する。信号 28は、クロックモジュール11% 12.13及び14が確実に内部クロ1ク リセット信号26から解除されるよう、T、より十分後にアサートされる(最小 介入期間”’Te Ta)。ランダム要因のために、4つの内部クロックイネー ブル信号28は時間TcとT、の間アサートされる。
クロックイネーブル回路16は、その回路中の障害をマスクするよう構成されて いる。障害は、第2のクロックイネーブル信号を受け取ると同時に組合せ論理装 置1+06からの妥当性を確認されたクロックイネーブル信号30をアサートす る2/4投票器によってマスクされる。従って、クロックモジニール11,12 .13または14の中の1つがその内部クロックイネーブル信号29(パワーオ ンレディ信号)を余り早く受け取っても、その障害はそのモジュールのいずれの 妥当性確認済みクロックイネーブル信号30にも伝達されない。同様に、クロ・ ツクモジコール11.12.13及び14の中の2つが内部クロ/クイネーブル 信号29を全くアサートしない場合も、これら4つのクロックは、全てそれぞれ の妥当性確認済みクロ1クイネーブル信号30を発生させることができる。
クロ1クイネーブル回路16内の潜在的障害は、ンフトレジスタ36の出力31 .32.33及び34によって指示される16のフォールトフラグにより検出さ れ、リポ−ティングされる。これらの16のフォールトフラグは、単に保守を行 い易くするために入れられており、クロックの動作には全く影響を及ぼさない。
各モジュールは、外部クロックからのクロックイネーブル信号37.38及び3 9、及び内部クロックからのクロ・1クイネ一ブル信号29に対応する4つのフ ォールトフラグ31.32.33及び34を有する。クロック受信器2oがらの 妥当性確認済みクロ1り信号4oが対応するクロックイネーブル信号29.37 .38または39より前にアサートされると、フォールトフラグがアサートされ る。
検出された障害は、過渡的リポ−ティングを防ぐために全てラッチされる。
クロ1クイネーブル回路!6は、本来非同期であるから、これが速過ぎて内部イ ネーブル信号29についての障害の判断をすることができないということはない 。すなわち、内部クロックイネーブル信号29 t、−障害があるという結論を 出すまでに十分な時間的余裕がある。内部クロ・2クイネ一ブル信号29と対応 する故障信号くフォールトフラグ)34は、最初に、Nビット・ディジタルカウ ンタ42を介して妥当性確認済みクロック信号4oを遅延させることによってデ ィスエーブル化(無効化)される。カウンタ42による遅延が十分にするのに必 要な最小ビット数Nは次式によって与えられる:n= [10g= ((To  −Tc ) TatcLg ) ]ただし、7c=内部クロックイネーブル信号 アサートに必要な最小時間T、=内部クロりクィネーブ信号アサートに必要な最 大時間TllFe+4 =高周波発振器信号HF CL Kの周期クロックモジ ュール11.12.13または14がクロックイネーブル信号29.37.38 または39の中の少なくとも2つを受け取ると、妥当性確認済みクロ1クイネー ブル信号30がアサートされ、妥当性確認済みクロックイネーブル信号30は2 つのDフリップフロ1ブ46によってラッチされ、ローカルの(そのモジュール の)HFCLK信号44に同期される。内部の同期したクロックイネーブル信号 29はHFCLK信号44の次のエツジでアサートされる。クロックモジコール 11.12.13または14内の同期した全てのデバイスは、正エツジでトリガ ーされるので、不安定性は解消される。フリップフロ・1ブ46及びカウンタ4 2は、「早期の」パワーオン・リセット信号である内部クロックリセット信号1 12が入力される。
図6は、クロ・1クイネ一ブル回路16のパワーオン後の初期タイミング動作の シーケンスを示す。各モジュール11,12.13または14において、マイク ロプロセッサ24が初期化されるのは、早くとも、各内部クロックリセット信号 がアサートされるより時間εだけ前である。各マイクロプロセッサ24の初期化 は、この時間εの期間内の様々な時点で終了する。全てのマイクロプロセッサ2 4が初期化された後、あるいは最後のマイクロプロセッサが初期化された時、内 部クロックリセット信号がアサートされる。各モジュール11% 12.13及 び14において、内部クロックリセット信号がアサートされてから時間δ後に、 内部クロブクイネーブル信号がアサートされる。時間δは時間εより長い。
クロ・ツク発生器回路18は、クロック受信器回路20から受け取る同期化コマ ンド信号48及び50に従って動作する。コマンド信号48及び50がない時は 、クロyり発生器回路18は自走発振器として動作する。クロック発生器回路1 8は図7に詳細に示されている。クロック発生器回路18の出力には、他の3つ のクロックモジュールの100ヘルツクロック発生器出力52に厳密に同期した フォールトトレラントな100ヘルツ信号、及び他の3つのクロ1クモジユール の1600へルックロック発生器出力54に厳密に同期したフォールトトレラン トな1600ヘルツ信号54がある。
各々50%デユーティサイクルの100ヘルツと1600ヘルツのクロック信号 が必要であるが、これらのクロック信号は、この実施例ではタンデムカウンタ設 計よりなる17N分周段によって供給される。第2のカウンタ58は、1/32 分周段として機能し、100ヘルツ及び1600ヘルツ信号を両方とも供給する 。第2のカウンタ58の最下位ピットの周期は、最上位ビットの周期の16分の !である。策lのカウンタ56の最上位ビットのデコーティサイクルは50パー セントではないが、第2のカウンタ58の出力の5ビツトはほぼ50パーセント のデ1−ティサイクルを有する。第1のカウンタ56は、箪2のカウンタ58に 3200ヘルツの信号を供給する。この3200ヘルツ信号は、10メガヘルツ 水晶発振器HFCLKの出力信号44を3125分割することによって得られる 。第1のカウンタ56は、1/3125分周段として結線されている。クロ1り 受信器回路20は、正の基準エツジが入力されると、高周波水晶発振器(HFC LK)の信号44の1サイクルの間UPSYNC信号50をアサートする。信号 50の線を介しては、100Hzクロ1りが同期している場合、その値が立ち上 がり(上向き、正の)エツジにあるか、立ち下がり(下向き、負の)エツジにあ るかによって、それぞれlまたは0がロードされ、これによって次の半周期の間 にクロックがセットされる。信号5oによりlがロードされると、第1のカウン タ56は、0O1111001011* (4096+* 3125+、)l+ l:C’−ドされる一方、第20カウンタ58は最上位ビットが論理値lにセッ トされる。上記のロード値に対して高周波信号44のパルス入力が加算されてフ ルカウントに達する毎に、第1のカウンタ56が出力パルスを出す結果、第2の カウンタ58に公称3200ヘルツの信号60が供給される。クロック受信器回 路2oが、上記の正の基準エツジから5ミリ秒以内に負の基準エツジを受け取る と、HFCLK信号44の1サイクルの間DOWNSYNC信号48がアサート される。そして、第1のカウンタ56には001111001100mがロード され、第2のカウンタ58は全ビットが論理値0にセットされる。クロック受信 器2oに上記の正の基準上y′)から5ミリ秒以内に負の基準エツジが入力され ないと、第2の段のカウンタは基準信号とは無関係に単に「循環(rol 1  over)Jする。
その全ビットは論理値0にセットされる。クロック受信器回路2oの構成は図8 に示されている。クロック受信器回路20はフォールトトレラント・クロック回 路内部の障害を検出し、検出された障害を外部システム(すなわち不揮発性メモ リ)へリポ−ティングし、回路障害についての情報を用いて正しく設定された基 準信号を抽出し、同期化コマンド信号48及び50をクロック発生器回路18に 供給する。同期化コマンド信号48及び5oは基準信号に従って計算される。各 HEXAD装置にはクロック受信器回路20を若干修正した回路が設けられる。
クロ1り受信器20は、1600ヘルツの同期したクロック間のスキニーを低減 させるものである。
クロック受信器20は受信したクロ・1り及び妥当性確認済みクロックの最新の ヒストリをセーブするための新規な5ンフトレジスタアーキテクチヤを有する。
入力クロックマネージャ62は、フォールトフラグを生成するための新規な組合 せ論理装置、フォールトフラグラッチ手段及び不揮発性のメモリインタフェース を有する。データコレクタ組合せ論理装置64は、フォールトフラグに基づいて 入力クロックの適否を投票する。基準クロックマネージャ66は、同期化コマン ド信号48及び50を発生させるための組合せ論理及びチェ、り信号82及び8 8を発生させるための組合せ論理を有する。
クロック受信器回路20は、3つの主要構成回路を有する。まず、3つのモジュ ール間!00へルノクロyり信号および1つのモジュール内100ヘルツクロブ タ信号を同期させるための4つの入力クロックマネージャ62が設けられている 。また、入力クロツクマネージャ62は、障害を検出してリポ−ティングする。
データコレクタ64は、メジアン(中位信号)投票器アルゴリズムを実行する。
基準クロックマネージャ66は、コレクタ64の候補基準クロyり68からグリ ッチ(glitch;瞬間的誤信号)を除去する。また、マネージャ66は障害 検出を支援し、同期化コマノド信号48及び50をクロック発生器回路18に供 給する。入力クロックマネージャ62は、外部クロ7クモジコールから入力され る100へルックロックをローカルの(そのモジニールの)高周波タイムベース 11FCLK44に同期させる。また、入力クロックマネージャ62は、人力さ れる各100ヘルツ信号について障害を検出し、リポ−ティングする。既に同期 されている内部の(ローカル)100ヘルツ信号に対しても、障害検出及びリポ −ティング(通知)は実行される。図9は、入力クロックマネージャ66の構成 を示す。入力同期化は、/フトレジスタ68によって行われる。シフトレジスタ 68の第1の化カビノドはメディアン投票器アルゴリズムで用いられるデータコ レクタ64への同期した入力信号70である。
次に、障害検出/通知回路について説明する。考えられる障害検出の1つに過早 エツジの検出がある。例えば、入力クロックマネージャ62の入力に現れるクロ ック信号の1つのレベル遷移の経過について考えて見よう。HFCLK44の( n−1)サイクルが経過すると、信号E A RL Y CHE Cに(過早チ ェック)72がHFCLK44の1周期の間アサートされる。同時に、シフトレ ジスタ68の(n−1)番目の出カフ4が基準クロ7クマネージヤ66からの非 同期基準クロック信号76と比較される。これら2つの信号74と76が一致し ないか、互いに異なる場合は、EARLY FAULT(過早)信号78がアサ ートされる。EARLY FAULT信号78は、個々のどのクロック信号も基 準クロ1り信号76より所定値以上先行すべきではないという前提に基づいてい る。
クロックエツジを受け取ってからそのクロ1クエツジが進んでいるかどうかをチ ェックするまでの間に経過する時間の大きさはnの値、すなわち入力クロツクマ ネージャ62のビット数によって決まる。進んだクロックエツジはクロックモジ ュール11.12.13または14のうち、僅かに発信周波数が高い水晶発振器 を有するモジニールより生じると考えられるから、nの値は発振周波数の変動に よる許容範囲内のスキューに対応し得るよう十分大きな値を選択すべきである。
クロック発生器信号間の許容スキニーについての前出の式から、nは次式で与え られる値を有するべきである。
n = (2ATs + 27IIF(Lm ) / T++vcLxここで、 A=高周波水晶発振器の精度 T、−同期周期(同期後のエツジ間の公称経過時間)T□。、=高周波水晶発振 器の周期 ここで、4つのクロ1クモジユール11.12.13及び14は相互に同期して いるので、モノニール12のクロックJはモジュール11のクロック■の同期し たクロック遷移をほぼ瞬時に検出することが可能である。しかしながら、クロッ ク■はそれ自身のクロック遷移を観測するのにまるまるHFCLK44の1サイ クルだけ待たなければならない。この遅延を回避するため、内部クロック信号と 対応する入力り口・7クマネージヤ62は、そのシフトレジスタ68のビット数 を1つ少なくすることも可能である。
入力クロックマネージャ62は、基準クロック信号に対して個々のクロックのエ ツジが遅過ぎる場合にこれを検出するための回路を有する。言い換えると、クロ ックモジュール11,12、+3または14の入力のレベル遷移は、それらの各 モジニールの入力の遷移レベルからこれに対応する基準信号のレベル遷移までの 経過時間が許容できないほど大きい場合、通運(glossly 1ate)と みなされる。各モジュールのどの人力クロ1りもその基準クロックからの遅延が 過大であってはならない。
ここで、例えば、クロック障害なしの状況を考えてみよう。あるクロックモジュ ールが基準エツジを検出するということは、他のクロックモジュールのうち少な (とも2つで遷移が起こったばかりであるということを意味する。基準エツジを 検出したクロlクモジュールは、次にそれ自身の同期した信号を遷移させる。
この時までには、4つのモジュールのうち少なくとも3つが遷移し終えている。
その後、第4のクロックが、多(ともそれ自身のHF CL K 44の2サイ クルから成る投票器遅延後に遷移を生じる。この第4のモジュール自身のHFC LK44の1サイクルの間に、他の3つのモ;ニールでは第4のモジトルの遷移 が観測されるはずである。これに要する全経過時間は、HFCLK44の3サイ クル分の時間である。このように、クロlクモジュールでいったん基準エツジが 観測されたならば、その後1(F CL K 44の3サイクル以内に残りの遷 移が全て観測されるはずである。しかしながら、4つのモジニール11,12. 13及び14は、異なるHFCLK44を有するため、遅れ障害(late f ault)検出回路によって追加の許容範囲を設けなければならない。
基準クロック信号エツジが検出されると、基準クロック信号のエツジが発生して から数サイクル後に、基準クロックマネージャ66によってLATE CHEC K(通運チェック)信号82が発生する。LATE CHECK信号82は、E ARLY CHECK信号72と同様の方法で得られる。同期した入力信号70 と基準信号76との間に差があると、1.ATE DIFFER(遅れ差)信号 86がアサートされる。L A T E CHE CK信号82がアサートされ ているとき、これら2つの信号70と76の間に差があると、LATE FAU LT信号84も同時にセットされる。
クロ1り回路によって検出される障害の1つに、モジコール間100ヘルツ信号 のノイズがある。多くの場合、ノイズは自動的にマスクされ、過早エツジを検出 する回路62によって検出される。しかしながら、1つのエツジが入力されたあ る特殊な場合に、これと同時に2番目の入力がノイズによって壊乱されることが 起こり得る。そして3番目のエツジが到着しなかった場合は、基準クロ1りがノ イズ信号に追従し、それ自身が壊乱されてしまう。基準クロック信号の壊乱は、 クロ1り発生器回路18がその壊乱によって同期され、壊乱がマイクロプロセッ サ24に伝達されるので、全く許容されない。
そのために、基準クロックマネージャ66には、基準クロック信号がこのような ノイズによって壊乱されるのを防ぐための回路が設けられている。さらに、基準 クロックマネージャ66は、基準クロック信号を壊乱しようとする傾向を検出す ると、ノイズチェック信号88を瞬間的にアサートする。ノイズ性の入力は、そ の入力と同時に入力クロックマネージヤ62内のN0ISE HERE(ノイズ あり)信号90をにアサートする。N0ISE HERE信号90及びNotS E CHECK(ノイズチェック)信号88が同時に発生すると、対応する入力 クロ・1クマネージヤ62のN0ISE FAULT(ノイズ障害)信号92が アサートされる。
EARLY FAULT信号78、LATE FAULT信号84またはN。
ISE FAULT信号92が発生すると、FAULT IN(障害あり)信号 94が障害ラッチ96にアサートされる。障害う・ノチ96は、その出力が逆に 入力に接続されたDフリノブフロップであり、パワーオン期間全体を通して論理 値lをラッチする。さらに、前の七1/襲ンからの未解消の障害もパワーオンで ラッチ96にロードされ得る。このような未解消障害は、例えば不揮発性メモリ に記憶される。
データコレクタ64は、人カクロツクマネージャ62からのフォールトフラグ9 8及び同期したクロック信号70を累積してメディアン投票画法を実行する。
図1Oはデータコレクタ64の回線構成を示す。このフロータアルゴリズム(f loster algorithm)は、基本的には、障害クロ1り及び障害が ある場合にのみ入り込む内部信号を除き、互いに一致する信号のベア(一致信号 ベア)を探索する。
3つの外部クロ1り信号T、J及びKと内部クロック信号り、及びこれらに対応 するフォールトフラグFi 、Fj%Fk及びFlがデータコレクタ64に供給 されると、次式によって示されるようなある論理に従う基準クロック信号候補( CRC)68が出力される。
CRC=IJFi Fj +IKFi Fk +JKFj Fk +FI (F l +Fj +Fk)(I LFI +J LFj +KLFk )データコレ クタ64の出力信号68は、ノイズによって壊乱される場合がある。
これが出力信号68が基準クロック信号「候補」と称する所以である。
HE X A Dに設けられるクロック受信器は、フォールトトレラント・クロ Iり内のクロック受信器回路20とほぼ同じである。両者の唯一の違いは、HE  X ADではデータコレクタ64が若干修正されているという点である。HE XAD装置のクロック受信器の場合、4つのクロ1クモジユール11.12.1 3及び14は、全ての同じ役割を有するか、または外部/内部クロックの区別が ないのと同じように扱われる。従って、HEXADのクロック受信器用のデータ コレクタの投票アルゴリズムをは単に一致信号ベアを探索するだけである。HE XADのクロック受信器用のデータコレクタの基準クロνり信号候補は次式で表 される。
CRC=IJFi Fj +IにFi Fk+ILFI Fl +JKFj F k+JLFjFl +KLFk Fl 図xM準ツクロックマネージャ回路6の構成を示す。基準クロックマネージャ6 6は、例えば基準クロ1り信号候補68からノイズグリフチを除去する。基準ク ロック信号候補68でレベル遷移が起こると、排他的ORゲート100はHFC LK44の次の5サイクルの間に順次アサートされる。このアサートの期間中、 基準クロック信号候補68は口7クアウトされ、ンフトレジスタ102の入力は ンフトレノスタ102の最初のどノドに送られる。基準工y)の発生はそのすぐ 近くに少なくともの2つの入力エツジがあるということを意味するから、障害の ないクロックは、信号68の基準クロックエツジ候補が基準クロックマネージャ 66に再度入るまでには全て状態遷移するはずである。クロックモジコールで観 測される2番目のクロックエツジがノイズによって壊乱されると、3番目のエツ ジの発生前に基準クロック信号候N@68にグリッチが発生する。このようなグ リッチが発生すると、4つの各入力クロックマネージャ62のノイズチェyり信 号88がアサートされる。このようにして、ノイズ性の信号が検出され、フラグ を立てられる。また、基準クロ、クマネージャ66は、基準クロ7り信号上のレ ベル遷移の数サイクル後にLATE CHECK信号82を入力クロックマネー ジャ62に供給する。さらに、基準クロフクマネーノヤ66はクロック発生器回 路18に同期信号48及び50を供給し、ローカルのマイクロプロセッサ24に 同期した基準クロyり信号+04を供給し、非同期の基準クロック信号76を4 つの入力クロックマネージャ62に供給する。
クロック受信器20及びクロック発生器18の回路の100ヘルツ及び1600 ヘルツ出力は、クロック受信器回路20により供給されるフォールトフラグによ ってゲートされる。クロ1クモジユールは、クロlクモジュールがそのモジュー ル目体に障害があることを検出するか、他の3つのクロックモジュールに障害が あることを検出すると、その100ヘルツ及び1600ヘルツの出力信号を完全 に遮断する。さらに、いずれか第1のクロックモジュールが第2のクロlクモジ ュールに障害があることを検出すると、その第1のクロlクモジュールは、その 第2のクロックモジュールへの100ヘルツ出力を遮断する。
フォールトトレラント・クロ・yりを構成する4づのクロ・Iクモリコール11 .12.13及び14の相互接続はテトラヘドロン(四面体)盟であるというこ とができる。図12に示すように、四面体はクロック構成10のトポロジである 。
図1にも示すように、四面体の6稜は、それぞれ2つのモジコール間で各方向に クロック信号を伝達する2本のポイントッーポイントワイヤを有する。
一つのモジニールが他のいずれかのモジュールからのクロック信号に障害がある ことを検出すると、それ以後そのモジュールからの信号を無視し、そのモジュー ルへの同時通信を中止する。最初の動作、すなわち入力無視では、基本的にフォ ールトトレラント・クロック構成lOの2本の一方向回線の中の1本が削除され る。第2の動作、すなわち同時通信の中止は、上記他のクロックに障害検出を知 らせる効果があり、このクロックはこれによって残りの一方向回線を削除する。
一つのモジコールがそれ自体に欠陥があることを検出した場合は、そのモジトル 全体がシステムlOから切り離されるが、このことはノード、すなわち四面体の 頂点の1つが除去されることに相当する。
図12の各一方向リンクの削除は、受信モジコールにおけるフォールトフラグの 設定に相当する。図12に示す12本のリンクは、12のフォールトフラグに相 当する。また、各モジニールは各モジュール自体に欠陥があることを検出した時 これを指示するためのフラグを有し、これによってフォールトフラグの総数は1 6となる。そして、動作診断タスクは、これら16のフラグを検査することによ ってクロックシステムlO全体の動作状1を推測することである。
図12に示すように、四面体全体が完全な場合、すなわち障害が全く検出されな い場合は、クロック回路lOは全体として少なくとも二重障害時動作可能である 。図13に示すように、四面体の少な(とも1つの側面が完全な場合、クロック 回路10は全体として少なくとも単一障害時動作可能である。図14に示すよう に、四面体の少なくと61稜が完全な場合、クロック回路lOは全体として少な くとも動作可能である。
二重障害時動作可能状態においては、4つのクロック11.12.13及び14 は、全ての正常に動作し、かつ互いに同期した状態を維持する。単一障害時動作 可能状態においては、少なくとも3つのクロック(場合によっては4つ)が正常 に動作し、かつ互いに同期した状態を維持する。上記の少なくとも動作可能な状 態においては、少なくとも2つの(場合によってはそれ以上)クロックが正常に 動作し、かつ互いに同期した状態を維持する。上記の許容可能な障害数において 物理的障害の数がさらに多くなっても、回路が完全に故障するとは限らず、特に 多数の障害が1つのモジトル内だけで起こった場合は回路が完全にダウンするこ とはほとんどない。回路lOは、通信回線で接続された2つのクロックモジュー ルが正常に動作していれば、動作可能である。
クロック信号接続の他、フォールトトレラント・クロ1り10は、さらに2種類 の相互接続回線、すなわち7堵−ルトトレラントリセット及びフォールトフラグ の通信に関連する回線を有する。フォールトトレラントリセット回線は、クロッ クlOのものと基本的に同じである。フォールトトレラントリセット相互接続回 線は、図12に示すような四面体トポロジーを有する。
図12は、フォールトトレラントリセット相互接続のトポロジを示す。このリセ ット機構の場合、フォールトフラグは全て保守警報を発生させる。この警報は、 障害がリセット機構が故障してクロ7り回路lOが始動しなくなるほど多数累積 されるのを防ぐのに役立つ。しかも、緊急警報(dispatch alert )に関する判断を行うためにリセット回路の障害時動作状態の確認(すなわち回 路が単一障害時動作可能か単にフェールセーフであるだけかの確認)を行う必要 がない。いったんリセットが行われると、4つのクロックモジニール11.+2 .13及び14はリセット信号をラッチし、それ以後はリセット回路とは無関係 な状態に保たれる。ラッチは、クロック相互接続に関する動作診断がラッチに障 害が起こったとき緊急警報に関して正しい決定を行うようにしてクロックモジュ ールの障害捕捉部の一部になっている。要するに、リセットはその全ての機能を 始動時に完了するので、単にクロック回路10が始動したというだけでは、リセ ット機構に付随する障害に応答して緊急警報を発生させる必要がない。多重リセ ット障害によってカプトクロック10が始動しない場合は、当然緊急警報が発生 する。
各クロックモジニールは、それぞれのフォールトトレラント・クロックを投票ク ロック信号に同期させる(図15参尺)。投票されたクロック信号は、ローカル (そのクロック)のフォールトトレラント・クロックと3つの外部クロックの関 数になっている。各クロックモジュールは、各モジュールが検出した障害の数及 び種類によって決まる仕方によって投票する。図15には、4つの場合が示され ている。第1の場合(ケースりにおいては、あるクロックモジュールがそれ自体 及び他の3つの外部クロ1りが正常であると宣言すると、投票されたクロック信 号は3つの外部クロックの中の中位の信号になる。ケース2においては、あるク ロ1クモジユールがそれ自体は正常であるが、3つの外部クロ・1りの中の1つ が不良であると宣言すると、投票されたクロック信号はそのローカルのクロック 信号と2つの正常な外部クロック信号の中位の信号になる。ケース3においては 、あるクロックモジュールがそれ自体は正常であるが、3の外部クロックの中の 2つが不良であると宣言すると、投票されたクロック信号はその内部クロック信 号と正常な外部クロック信号のうち遅い方の信号になる。ケース4においては、 あるクロックモジュールが3つの外部クロック全部かまたはそのモジュール自体 のどちらかが不良であると宣言すると、投票された信号は出力されず、そのクロ 7クモジニールは動作不能になる。
フォールトトレラント設計においては、許容処理すべき障害の部類についていく つかの仮定を行う必要がある。フォールトトレラント・クロックの場合は、多数 の共通の回路障害が起こり得る。このような障害としては、物理的接続不良、完 全な集積回路障害、出力または入力バッファの多種多様な障害、回路基板の短絡 または開路障害、規定範囲外の緩慢なドリフトを含む発振器障害、基板外部の電 源装置故障等がある。単一の「物理的障害」という場合、その意味にはこれらの 障害のいずれか1つが含まれる。
クロック回路lOの説明から理解できるように、これらの障害は全て2つの共通 の特性、すなわち可観測性及び共有性を有する。指定された許容範囲外にあるク ロックエツジが観測されると、障害があることが観測可能である。すなわち、1 つ以上のクロックが他のクロ1りが指定された許容範囲外にあることを認識する ことができる。このようなりロックの指定許容範囲外挙動があると、フォールト フラグがセットされる。
共有性に関しては、1つの物理的障害があると、1つ以上のフォールトフラグが セットされるが、これらの全てのフラグは1つのクロ、りを共有する。例えば、 これらの各フォールトフラグが1つのクロックによる他のクロックから受け取っ た信号についての障害の「告発」であるとみなすと、単一の物理的障害からの全 てのフォールトフラグは1つクロックを共有することになる。すなわち、全ての 場合に1つのクロックが「原告」または「被告」になる。例えば、クロックlと 2がクロ・1り4に障害があると「告発」する一方、クロック4がクロ、ツク2 に障害があると「告発」するなどである。この場合の告発は全て、クロック4が 「原告」または「被告」として関与している。図30にこのような「被告」/「 原告」フォーマットを示す。
通常の障害はほとんど全て可観測性及び共有性を有するが、ある部類の特異な障 害は観測可能ではない。このような障害は、クロックモジュール回路の動作に影 響しないが、以後の動作可能性に影響することがあるクロ・ツクモジュール回路 内部の細部にある。その−例は、現在セットされておらず、セット不可能なよう な形を取るフォールトフラグラッチの障害である。このような障害は潜在的障害 である。ここで潜在的というのは、それらの障害は外部から見たフォールトトレ ラント・クロック出力の正確さに影響を及ぼさないという意味である。
全ての潜在的障害を検出することは実際上不可能であるが、保守警報及び/また は緊急警報を出し易くするために、最重要の障害及び起こり得る潜在的障害は全 て検出され、リポートされると共に、この実施例のクロック回路lOの設計によ れば、いくつかの潜在的障害が別の1つの障害の結果として突然顕在化するよう な極めて希な場合でもそれらの結果を許容処理することができるよう、フェール セーフになっている。
フォールトトレラント・クロ・ツクlOは、4つの)−ド、すなわち、図12に 示すように、12本の経路によって接続されたクロックモジュールとみなすこと ができ、この場合12本の経路は100ヘルツ信号を共用する。いずれか第1の クロックモジニールが第2のクロックモジュールから供給される信号が誤ってい ると判断すると、その第1のクロックモジュールは第2のクロックからの信号を 無視する。このことは、四面体からその経路の接続をなくすことによって異なる ネットワーク構成を得ることに相当する。クロックlOのネットワーク構成は過 渡的なものである。過渡構成は、それ以上障害がない場合においても安定構成に 変化する。その安定構成は、次の障害がない時は固定される。また、最終の安定 構成は、最初の過渡構成よりリンク数が少な(なっている。例えば、図16aで の構成は過渡構成である。モジュール4はモジュール2または3とは通信しない から、その妥当性確認済みクロ・1りは、モジュール4及びモジュールlにおい て受信される最も遅いクロックである。4つのクロlクモジュール11 (1) 、12(2)、13(3)及び14(4)は、周波数が相互に僅かに変化する傾 向がある。その結果、クロックモジュール14(4)は最も遅いクロックモジュ ールとなる。クロックモジュール14(4)は、その周波数誤差が十分許容範囲 内にある場合も、それ自身の自走クロック発生器に同期される。モジュール11 (1)、12(2)及び13(3)は相互に同期されており、その結果モジュー ル14(4)はネットワークlOの他のモジュールと同期が外れた状態になる。
−この状態が、図16bに示すような最終の安定構成である。
フォールトトレラント・クロックlOは、能動的リンク制御を実行する。クロッ クモジュール11.12.13及び14は双方向経路だけから成るネブトワーク トポロノを構成する。いずれか第1のクロックが第2のクロックをそのクロック に「障害がある」と宣言すると、その第1のクロックは第2のクロックを無視す るばかりでなく、そのクロックへのクロック信号送出も停止する。このようにし て、第2のクロックが実際には正常である場合、第2のクロックは第1のクロッ クに「障害がある」ことを宣言し、第2のクロックに真に障害がある場合は、既 に第1のクロックへの問い掛けを停止していることになる。いずれの場合も、最 終的には、一対のネットワークリンクが除去される結果となる。クロ、りlOの 解析は、単方向経路を有する全てのネットワークを除外すると極めて簡単になる 。ある第1のクロックモジュールが第2のクロックモジュールから入って来る信 号が誤っていると判断すると、第1のクロ1クモジコールは第2のモジュールか らの信号を無視する。これは、ネットワークからリンクを除去することに相当す る。多重障害が考えられる場合には、可能な回線構成が4,096通りある。
双方向経路のみによる構成に着目すると、図17a、b及びCに示すような単方 向経路を含む多数のネットワークトポロジを分析する必要がなくなる。
単方向経路がある場合は、過渡の一部の構成は、クロックlOの全7ステムの障 害に還元することができる。例えば、図18aにおいて、適当なランダムパラメ ータを与えると、クロックlと2はクロック3によって同期を外すことができ、 これによってクロyりlO全全体障害に帰着することが可能である。一方、図1 8bの構成は安定しており、池に障害がなければ、クロックモジュール11(1 )と12(2)は互いに同期した状態に保たれる。実際、双方向リンクのみを有 する全ての構成は、安定であるか、または安定したワーキングクロIり構成に還 元される。図18aの例は一般的ではない。はとんど場合、単方向リンクはクロ /りを不安定化せず、またその動作状態を変えることもない。
4.096のネットワーク構成があるため、このような多くのトポロジを試験す るのに必要な計算時間は法外な値になる。しかしながら、これらの構成の多くは 互いに等価である。例えば、図+9a、b及びCの3つの構成は等価である。
等優性を得るためには、これらのクロ1クモジコールをオーバーレイ・ネットワ ークトポロジの4次元回転によって並べ替える。このようにすると、図198、 b及びCの3つ回路は等価であるから、その中の1つだけ試験すればよい。また 、単方向経路を有するトポロジも全て除外される。その結果、−意の回路がlO だけ残り、それらの回路は全妥当時間以内で試験することができる。図20は、 これらのlOの双方向回線構成を示す。図20の構成1は、安定しており、障害 を除外し、4つのクロックモジュールは全て相互に同期した状態に保たれる。構 成2は安定している。構成3は、過渡構成であり、安定な構成5に変化する。構 成4は過11fti成であり、安定な構成9またはlOに変化する。構成3から 5.4から9及び1O16からto、7から9及びlOl及び8から10への矢 印は過渡構成から安定構成への変化を示す。
これらのクロック構成は、障害カバレジ(fault coverage)のレ ベルに従って分類する口とができる。構成4.6.7.8.9及び10は、シス テム1o全体の障害から1障害分だけ手前の状態にある。従って、これらの構成 は単に動作可能な状態であり、フェールセーフである。構成2.3及び5は、シ ステム1o全体の障害から少なくともの2障害分手前の状態にある。従って、こ れら3つの構成は単一障害時動作可能である。構成lは、二重障害時動作可能な 唯一の構成である。要するに、完全な四面体を含む構成は、全て二重障害時動作 可能であり、四面体の完全なl側面を含む構成は単一障害時動作可能であり、四 面体の1稜を含む構成は単に動作可能で、フェールセーフである。
図21は、隣合わない2稜に還元されたクロック回路を示し、分解されたペア構 成と見なされる。この構成は、各一対のクロックが違いに同期しており、全体の クロック構成が変化しないという意味で安定である。しかしながら、2つベアの クロックは違いに接続されておらず、また同期した状態に保たれてはいない。
通常は、速い方のクロ7クペアと遅い方のベアがある。これら2つのクロ1クベ アが互いに同期状態から離れ過ぎた時は、システムの同期を維持するために、2 つのペアの一方を「正常」なペアと見なす必要がある。クロック信号の受取り系 は、第1のペアを最も早いクロックとみなし、遅い方の2つのモジエールを投票 除外する。障害が起こると、クロック信号の受取り系は、第1のベアに代えて第 2のペアクロックに追従することが起こり得る。
動作診断回路(診断手段)(フォールトフラグ通信回路)17は、クロlり整相 回路+22、回線試験信号発生機能を有する送信@I26、フォールトフラグ受 信器128及びフォールトフラグラッチ回路130をフォールトトレラント状態 情報収集が可能なように組み合わせた点において新規な回路である。また、診断 手段17は動作状態推論のための無分岐組合わせ論理を有する。図22及至28 は、/ステムlOのフォールトフラグ通信回路17が詳細に示されている。図2 2は、フォールトフラグ通信回路17の機能ブロック図である。図23は、タイ ミング図である。図24a及びbは、クロ・lり位相手段122のを説明するた めの図である。図25はフラグ通信送信器126のブロック図である。図26a 及びbは、フォールトフラグ受信器を説明するための図である。図271よフォ ールトフラグ通信回線障害検出手段134の回路図である。また、図28a及び bは、フォールトフラグラッチ回路130の回路図である。
フォールトフラグは、各モジュールから他の全てのモジュールへ送られる。同じ 回線に全てのフラグを多重化すると、モジニールの間に12の一方向性ポインド ラ−ポイント接続を形成することになる。これらのモジ、−Jしを真1こ同等1 こする(カードケージにおけるそれらのスロットの位置にかかわらず)ため1こ 1!、各モジュールは、それ自信のフォールトフラグを基板外に送出し、送り返 させな(すればならず、その結果フォールトフラグ通信には全部で16本のポイ ント・ノーポイントワイヤの接続が必要となる。
各モジュールは、送信するための8つのフラグを有する。利用可能な同期した1 600ヘルツ信号を用いて、各モジュールは、100ヘルツクロック信号の2分 の1周期の間に8ビツトの信号(1600ヘルツ信号)を送信する。1600ヘ ルツの立ち上がりエツジと立ち下がりエツジを用いた綿密なタイミング図法1こ よれば、フォールトフラグ通信は確実にグリッチなしで行われる。100へIレ ノ信号の他の半周期は、「障害あり」に相当する論理レベルを送信するため1こ 用L%られる。このようにして、受信器は通信回線が「セットされた」フォール トフラグを送信することができるかどうかを監視することができる。
回線がフォールトフラを送信することができないときは受信回路11障害力fあ るかも知れないと仮定する。このように仮定することには、これら2つのモジュ ール間の通信を実際に障害があるときに障害ありとラベルすると0う望まし一1 効果がある0フオ一ルトフラグ通信/ステムは、フォールトフラグ;よ通常ベア で人力され、動作状態評価を控え目に行うことができ、フラグ通信障害1よ高( A確率で検出され、フォールトフラグ通信は、4チヤンネルの冗長性があるので 、フォールトトレラントである。フォールトフラグがセットされている時は、そ のフラグをセットしたモジュールはそのクロック出力を他方のモジ3−jレヘ送 信することを中止する。すなわち、モジュールの間の双方向性リンクがそっくり 除去されるOこの場合、正常動作中であれば、第2のモジニールがその1ノンク の除去(こ気付き、第2のフォールトフラグがセーyトされる。これが起こると 、動作状態は四面体の完全な稜にのみ依存するから、正しい診断がなされるため には、2つのフラグの一方だけは支障なく他のモジュールに伝達されなければな らない。
動作診断のタスクは、確かなことだけを決定することである。フォールトフラグ の通信に障害が生じると、診断では2つのクロックの間のクロ・ツクリンクの使 用可能性を確認することができないので、リンクに障害があると推定することが ある。フラグの真の状態を知ることは必ずしも必要ではない。クロックトポロジ における対応するリンクが信頼できないということを知ることができさえすれば よい。動作状態区分(稜が完全、側面が完全、四面体が完全)は、作動して(す ると分かるものを含み、障害があると分かるものは含まない。
2つのタイプのエラーとして、フラグがセットされていないとき伝達される「セ ットされたフラグ」及びフラグが実際にセフ)されてるとき伝達される「セット されていないフラグ」がある。この後者の状況の確率は、通信リンクが「セット されたフラグ」の論理レベルを送ることができるかどうかが絶えずチェ・ツクさ れるために小さい。実際、このような通信リンクの試験は、リンク上のアクティ ビティの50%を占める。障害時には最悪のケースが仮定される。すなわち、フ ラグの全てがセットされると仮定される。同様に、実際のフラグがセy )され ていないとき、「セットされたフラグ」が伝達されたとすると、その送信モジニ ールを含む通信障害の指示が出される結果となる。動作状態の特徴化は作動中で あると分かるものを含み、障害があると分かるものは含まないので、通信故障検 出は、フラグをセットすることによって実行される。
クロックは、4チヤンネルの冗長性を有し、クロyりの受信側システム(1様々 なプロセッサ基板の出力に関して投票を行う。1つのフォールトフラグ受信器に 障害があって、フラグがセットされると、対応するプロセッサは他のブロモ・1 すとは異なる状態評価を行うことができる。そして、クロックの受信側システム は、障害のあるそのプロセッサ基板を正しく呼び出して、保守警報を発生させる 。1つのフォールトフラグ送信器に障害があると、全ての受信器がフラグをセッ トする。これらのフラグは、1つのモジュール、すなわち送信モジニールを共有 することになる。全てのモジュールが同じ動作状態情報を引き出し、同じ基板に 全てのモジュールが関係する状態になる。この場合も、保守警報が出されるが、 これは回路が適切に動作していない場合においては適切なステップである。
4つの別個のプロセッサは、累積された32のフォールトフラグの4種類の異な るバージ謬ンを見てクロ、り回路10の動作状態を決定することができる。評価 関数はプール論理式から成る。各プロセッサは、プール論理式全体を評価する場 合、分岐することなく正しい状態結論に違する。分岐がないことによって、4つ のプロセッサは同数のマシンサイクルで評価を完了することができる。リセット 障害状態評価については、16のリヤ1トフオールトフラグが互いに論理的にO R処理されて、リセット保守警報フラグが生成される。
4つのクロアクモジュールのワンワイヤリング方式は、相互接続のためのいくつ かの技法の中の1つである。この説明においては、下記のようないくつかの用語 の定義を用いる。「カード位置番号」または「絶対番号」は、カード位置に基づ くクロックモジニールの番号である。すなわち、カードの4番目の位置にあるク ロックモジトルの絶対番号は4番である。「相対番号」は、他のクロックモジュ ールから見たクロックモジュールの番号である。各モジュールは、他のクロアク モジュールからの信号用の入力ビンを有する。例えば、モジュール2の第1の入 力の信号はモジュール3から供給されるかも知れない。もしそうであるならば、 モジュール3は、モジュール2によってクロ1り番号lと見なされる。すなわち 、モジュール2に対してはモジュール3の番号はlである。図29は、絶対的ナ ンバリングと相対的ナンバリングの対応関係を示す。この対応関係は、相互接続 結線の定義をなしている。
フォールトフラグの順序付けの仕方は、上記の相対ナンバリング法に相当する。
例えば、カード番号l上のモジュールは、その2番目の入力クロックに障害があ ることを発見すると、2番目のフォールトフラグをセットする。このことは、図 29によれば、カードl上のモジュールがカード3上のモジュールから受信した 信号上に障害があることを指示するということを意味する(図29の対応するボ ックス内にr3/2Jが書き込まれていることによる)。
フォールトフラグ通信システムは、16のフォールトフラグを取り込む。このよ うに取り込まれる16のフラグは、4つの全てのクロックモジュール上で同じ順 序になっている。カードlからの4ビツトは、16ビツトワードの最初の4ビツ トであり、カード2からの4ビツトは16ビブトワードの次の4ビツトであり、 以下も同様の対応関係になっている。このフォーマブトは障害ビットがどこから 送られて来たかを示し、図29には、ビットポシンクン及び障害ビットがどこか ら送られてきたかに基づいて、どのカードが関与しているかが示されており、こ れによって図30に示すような16のフォールトフラグの意味かが説明される。
各フォールトフラグは、「原告」クロックと「被告」クロ1りを伴う。図30に 示す各ビットにおいて、分子は被告クロックを示し、分母は原告クロックを示す 。図30には、図12におけるクロ・1り四面体の完全な四面体、完全な側面及 び完全な稜線に基づく回路の動作状態に関するプール論理式を示すための情報が 与えられている。ここで、flはに16ビツトのフォールトフラグワードの1番 目のビットを表すものとする。fiはflの補数を表すものとする。「+」はO Rを、「・」はANDを表示表すものとする。完全な四面体に相当する「二重障 害時動作可能」の状態は、例えば32FOという記号で表すことができ、次式で 与えられる: 52FO=fl≧f2≧f3≧f4≧≧≧≧flG各クロツクは、自らを障害あ りと指示しないことが必要である。1つの「単一障害時使用可能」状態は、「四 面体上のに1つの完全な側面がある」ということと等価である。四面体は、4つ の側面を有する。そして、「単一障害時使用可能性」の論理値を得るためには、 4つの側面の完全性を個別にチェックし、それらの結果をOR処理するだけでよ い。クロック2.3及び4にかかわる側面の完全性は、例えばS F234とい う記号で表すことができ、次式で与えられる:5F234= f 5≧f6≧f 8≧f9≧f11≧f12≧f14≧fls≧f16すなわち、この側面に含ま れないモジュールにかかわるものを除いてフォールトフラグワードの全てのビッ トがOR処理される。他の側面についての評価も同様に行われる。すると、[単 一障害時使用可能性」は、S IFO= S F234+ S F134+ S  F+24+ S F123で与えられる。同様に、クロックlと2との間の稜 の完全性は、例えば記号S E12で表すことができ、次式で与えられる:5E 12=fl≧f4≧f7≧f8 そして、[動作可能及びフェールセーフ」の状態は、例えば記号SOPで表すこ とができ、次式で与えられる: 5OP=SE+2 +5E13 +5EI4 +5E23 +5E24 +5E 34この動作診断は、特定モジュールに障害があるということを暗に意味するも のではない。この動作診断は、クロック回路IOの最小限のフォールトトレラン トを保証するものである。他の種類の保守診断のような診断は、ここで行われな かった障害分離を遂行しなければならないであろう。
要するに、本発明は、複数の同じモジニール11.12.13.14を有する多 重障害時動作可能なフォールトトレラント・クロックlOにある。各モジュール は、各々受信器20及びクロyり発生器18を含むクロ1り装jill15を有 する。また、各モジュールは、クロック装置115に接続されていてフォールト トレラントの同時始動を行うためのリセット手段16、及び各モジュール11. 12.13、+4のクロック装置115及びリセット手段16に接続されて0て これら複数のモジュール11.12.13.14クロyり装置115に関する障 害情報を収集する(フォールトトレラントモードにおいて)するための動作診断 手段17を有する。
各モジコール11.12.13.14のクロ1り装置115は、互(Aに他の各 モジュール11.+2.13.14のクロック装置+15に対する2つのポイン トッーポイント接続手段を有する。各モジュール11.+2.13.14のリセ ット手段16は、互いに他の各モジニール11.12.13.14のリセット手 段16に対する2つのポイントッーポイント接続手段を有する。これらの各モジ ュールの動作診断手段17は、互いに他のモジュール11,12.13.14の 動作診断手段17に対する2つのポイントッーポイント接続手段を有する。
各クロック装置1115の受信器20は、各クロyり装置115のポイノドノー ボイ/ト接続手段に接続されていて入力クロックの最新の履歴を記憶すると共ζ こ障害検出を実行するための複数の入力クロックマネージャ62を有する。各ク ロック装置115の受信器20の複数の入力クロックマネージャ62に接続され たデータコレクタ64は、障害が除去されたフォールトトレラント・クロック信 号である候補基準クロック信号を発生させる。データコレクタ64及び受信器2 0の複数の入力クロックマネージャ62とクロック発生器18に接続された基準 クロックマネージャ66は、基準フォールトトレラント・クロ1り入力信号11 g、同期信号48.50及び障害チェlクライミング信号76.82.88を発 生させる。ここで、これらのタイミング信号は、複数の入力クロックマネージャ 62が障害の有無をチェックするべきタイミングを指示する。
クロyり発生器18は、受信器20から同期信号48.50を受け取り、クロッ クイネーブル機構をリセットし、高周波クロック信号を分周し、コマンドが入力 されたときセルフリローディングする第1のカウンタ56;第1のカウンタ56 、クロックイネーブル機構及びリセット手段l「に接続されていて受信器2゜か ら同期信号48.50を受け取ると共に、各々1600及び100ヘルツ信号5 4.52を発生させるための第2のカウンタ58;及びクロ7り発生器18の第 1及び第2のカウンタ56.58に接続されていて受信器20から同期信号48 .50を受け取ると共に、クロック装置115で使用されるび外部高周波クロッ クのスロー障害を検出し、スロー障害信号146を入力クロックマネージャ62 へ送出す組合わせ論理手段116を有する。
リセット手段16またはクロックイネーブル手段16(図5)は、二重障害時動 作可能性またはフェールセーフ初朋化、4者択2投票器論理を達成するための組 合わせ論理手段を106有し、これは他のクロックモジュールからの3つの外部 クロックイネーブル信号37.38.39に接続された複数の入力を有し、また クロックイネーブル信号28を他のクロックモジュールへ供給すると共に、「早 期の」パワーオンレディト及びパワーオンレディであるフォールトトレラント・ クロックの外部へ内部クロ1クイネーブル信号3oを供給する出力を有する。
また、リセット手段16は、クロックイネーブル信号30をモジニールの水晶発 振器に同期させると共に、14源がオン状態の間クロ7りを「オン」位置にラッ チするためのリセットラッチ110を有し、その第1の入力はリセット手段16 の出力30に接続され、第2の入力は内部クロツクリセブ)112に接続されて いる。リセット障害検出論理回路108も、同様にリセット手段16の一部をな しており、オーバーオールクロック(全てのモジトルに対して全体的に作用し、 クロックの全体的収集をリセ−/)する)にかかわるハードウェア障害及び通信 障害を検出すると共に、他のモジュールからのクロメクイネーブル信号37.3 8.39に接続されかつ前回の障害ラッチ状態を記録する不揮発性のメモリ12 0に接続された入力を有し、フォールトフラグ信号が動作診断回路に接続された 出力を有し、さらに早期クロブクリセット(前に述べたように、早期クロフクリ セ1トパワーオルディに先行する)である内部クロブクリセットに接続された入 力を有する。
動作診断手段17またはフ堵−ルトフラグ通信システム17は、図22にクロ、 り装置15と共に示しである。図23は、動作診断手段17のクロック信号及び フォールトフラグ通信装置信号の波形タイミング図を示す。動作診断手段17( 図22−29>は、同じモジュールのフォールトトレラント・クロック出力52 から僅かに位相がずれたもう1つのクロック信号124を得るためにクロ1り整 相回路122(図22及び24)を有しくすなわち、この回路は、高低の周波数 を両方共使用するという点において独特であり、フォールトトレラント・モジュ ールのクロック出力にはより高い周波数のクロツクが必要である)、モジュール からの両方の周波数の信号52.54及びリセ7)回路110からの同期クロ、 クイネーブル信号29に接続された入力を有する。整相回路122は、1600 Hzクロ1りの立ち上がり工・yジを入力して100Hzクロツクにl/32サ イクルの遅延を与えるフリツブフロップである。
また、動作診断手段は、クロックモジュール11のフォールトフラグ状態を例え ば、他のモジュール12.13.14の動作診断手段17へ送信するためにフォ ールトフラグ通信送信器126(図22及び25)を有しくフラグを処理するク ロyクリセlト)、この場合各モジュール11.12.13.14は他のモジュ ールから独立した8つのフラグを有し、かつこれらの各モジュールは24のフラ グの他、それ自身の8つのフラグ、4つのクロックフラグ及び4つのり七ノドフ ラグを受け取り(各モジュールから1つずつ)、これらの各フラグは各モジュー ル自体及び他のモジュールを含めたモジュールによるオピニオンであり(4+4 x4)、各モジュール自体の入力はクロック整相回路122の出力及びリセ・ノ ド回路16とクロック受信器回路20からのフォールトフラグに接続されている 。
送信器+26は、他のモジュールの動作診断回路17へ7リアルデータを出力し 、各フラグは、受信器128に通信回線に障害があるかどうかを検出させる出力 である回線試験信号を発生させる機能を有する。通信回線が使用されていないと きにも動作中であると判断されると、これらの出力は通信回線を通る時間の50 /f−セントの間セットされる。
フォールトフラグ受信器128(図22及び26)も動作診断手段17の一部を なし、シリアルフォールトフラグデータをパラレルフラグデータに変換する(全 てのフォールトフラグを組合わせ論理回路132に同時に供給して処理すること ができるようにするために)役割を有する。受信31128の入力は、全てのモ ジュールのフォールトフラグ通信送信器126の出力及び同じモジュールのクロ ック整相回路122に接続され、出力は32ビツトフオールトフラグラツチ13 0 (図22.28)にtlfflされたパラレルフォールトフラグである。回 線障害検出回路134(図22及び27)は、フォールトフラグ通信回線がフォ ールトフラグを送信することができない時、これを検出する。論理回路132の 入力には、フォールトフラグ受信器128からのパラレルフォールトフラグ、及 びクロック整相回路122からのクロック信号(100Hzクロック信号−一モ ジュールにおけるフォールトトレラント・クロック信号)が接続されている。マ スター−スレーブ・フリツブフロ1プ136の出力は、そのモジュールのフラグ ラッチ130に供給される回線障害フラグである。
フォールトフラグラッチ130(図22.28)は、回線障害フラグとパラレル フォールトフラグを結合して、永久ラッチされる32ビツトのフォールトフラグ ワードを生成する役割を有する。ラッチ130の入力は、回線障害検出回路13 4からの回線障害フラグ、フォールトフラグ受信器128からのパラレルフォー ルトフラグと、クロ1り整相回路122からの100Hzフオールトトレラント ・クロックである。フォールトフラグラッチ130は、32ビツトのフォールト フラグワードをマイクロプロセッサ24または組合わせ論理回路(クロ1クンス テム及びクロ1クリセット機構が二重障害時動作可能モード、単一障害時動作可 能モードまたはゼロ障害時動作可能モードとなることを各々指示する前述の式で 示されるように、プール論理によるハードウェア、ファームウェアまたはソフト ウェアで実施される)へ出力し、各モジュール11.12.13.14は各々3 2ピツトワードを有する。
図31aは、出力S 2FOに対する16のクロックフォールトフラグ(FFC L)入力の論理142を示す。52FO=1であれば、クロノクンステムは二重 障害時動作可能である。図atbは、出力5R2FOに対する16のリセットフ ォールトフラグ(FFRL)入力の論理144を示す。5R2FO=1であれば 、クロ/クリセット機構は二重障害時動作可能である。始動またはリセット機構 用の障害検出システムは、クロック用の障害検出システムとは異なる。
図31cは、5IFO出力に用いられるクロックフォールトフラグ入力の論理を 示す。5IFO=1ならば、クロックンステムは、少なくとも単一障害時動作可 能である。FFCL Iは、図30に示すような順序付けの16ビツトワードF FCLの量番目の要素を表す。図316は、5RIFO出力に用いられるフォー ルトフラグ人力の論理を示す。5RIFO=1ならば、リセット回路は少なくと も単一障害時動作可能である。FFRLiの1番目の項は、16ビyトワードF FRLのi番目の要素を表す。図31cは、SOP出力に用いられるクロックフ ォールトフラグ入力の論理である。5OP=1であれば、クロノクンステムは少 なくとも動作可能でありかつフェールセーフである。図31fは、5HOP出力 に用いられるリセット回路フォールトフラグ入力の論理である。5HOP= 1 であれば、クロックリセット機構または回路は少なくとも動作可能でありかつフ ェールセーフである。
4つオーIL)l−Lう、ト・70..7FIo、4 二IT’専虫吟勧べ[町A匠を構幌 (□−蝿閣係 )7年を時勅都町醜rxk +泣 FIG、 72 FIG、 73 壜3横嵯 fI亀鴇V FIG、 76a FIG、 16b FIG、 17a FIG、 17b jトカ狗り;7トηす屯庁ン キう丘へリニ”’HJIの市4片2FIG、 1 8a FIG、 18b FIG、 79a FIG、 79b FIG、 79c FIG、27− FIG、20a FIG、20b FFCI(J)−PFc Ie+;4BnM訃、 l+e1,2,3. q+x  4UNE FAULTO:f”’ILLhat%j3 加h’j’7’z7” 6”l’iAυLT北tJ:’JLSFig、28b 52FO=1 杢70−1!”7−人テ4ra=−iλ%$h予ah * q  *tSR2FO=1:> ’7[3=−7′)ヒtY%?J4a二*Tit’l (%br16町六EFig、37θ

Claims (1)

  1. 【特許請求の範囲】 1.複数のクロックモジュール(11、12、13、14)よりなる多量障害時 動作可能フォールトトレラント・クロック(10)において、各クロックモジュ ールが: クロック発生器(18)と; 上記クロック発生器(18)に接続されたクロック受信器(20);上記クロッ ク受信器(20)に接続されたリセット手段(16)と;上記リセット手段(1 6)及び上記クロック受信器(20)に接続されたフォールトフラグ送信器(1 26)と; 上記フォールトフラグ送信器(126)に接続されたフォールトフラグ受信器( 128)と; 上記クロック発生器(18)、上記フォールトフラグ送信器(126)、及び上 記フォールトフラグ受信器(128)に接続されたクロック整相回路(122) と; 上記クロック整相回路(122)及び上記フォールトフラグ受信器(128)に 接続された回線障害検出器(134)と;上記クロック整相回路(122)、上 記フォールトフラグ受信器(20)及び上記回線障害検出器(134)に接続さ れた永久ラッチ(130)と;からなり、上記各クロックモジニールの上記リセ ット手段(16)、上記クロック受信器(20)、上記フォールトフラグ送信器 (126)、上記フォールトフラグ受信器(128)、上記クロック発生器(1 8)及び上記クロック発生器(18)を、上記複数のクロックモジュール(11 、12、13、14)の各他のクロックモジュールに接続したことを特徴とする 多量障害時動作可能フォールトトレラント・クロック。 2.複数のクロックモジェール(11、12、13、14)よりなる多重障害時 動作可能フォールトトレラント・クロック(10)において、各クロックモジュ ールが: クロック受信器(20)及びこのクロック受信器(20)に接続されたクロック 発生器(18)からなるクロック装置(115)と;上記複数のクロックモジュ ール(11、12、13、14)の各クロックモジュールの上記クロック装置( 115)の上記クロック受信器(20)及び上記クロック発生器(18)に接続 されて、上記クロック装置(115)をフォールトトレラントと同時始動させる リセット手段(16)と;上記複数のクロックモジュール(1112、13、1 4)の各クロックモジュールの上記クロック受信器(20)及び上記リセット手 段(16)に接続された動作診断手段(17)と; からなることを特徴とするフォールトトレラント・クロック(10)。 3.上記クロック受信器(20)が: 上記複数のクロックモジュール(11、12、13、14)の各クロックモジュ ールの各クロック装置(115)に接続された複数の入力クロックマネージャ( 62)と; 上記複数の入力クロックマネージャ(62)に接続されて、障害を除去したフォ ールトトレラント・クロック信号よりなる候補基準クロック信号(68)を発生 させるデータコレクタ(64)と; 上記コレクタ(64)及び上記複数の入力クロックマネージャ(62)と上記ク ロック発生器(18)に接続されていて、基準フォールトトレラント・クロック 入力信号、同期信号、及び上記複数の人力クロックマネージャ(62)が障害の 有無をチェックするタイミングを指示する障害チェックタイミング信号を発生さ せる基準クロックマネージャ(66)と;からなることを特徴とする請求項2記 載のフォールトトレラント・クロック(10)。 4.上記クロック発生器(18)が: 上記基準クロックマネージャ(66)及び上記リセット手段(16)に接続され て高周波信号を分周する第1のカウンタ(56)と;上記第1のカウンタ(56 )及び上記基準クロックマネージャ(66)と上記リセット手段(16)に接続 されて、特定周波数の信号を発生させる第2のカウンタ(58)と; 上記の第1及び第2のカウンタと、上記複数の人力クロックマネージャ(62) 及び上記基準クロックマネージャ(66)に接続されて、上記基準クロックマネ ージャ(66)から少なくとも1つ同期信号を受け取り、外部高周波信号のスロ ー障害を検出するための組合わせ論理手段(116)と;からなることを特徴と する請求項3記載のフォールトトレラント・クロック(10)。 5.上記リセット手段(16)が: 上記複数のクロックモジュール(11、12、13、14)の各クロックモジュ ールの他のリセット手段(16)に接続されて、上記複数のクロックモジュール (11、12、13、14)の各クロックモジュールの他のリセット手段(16 )にクロックイネーブル信号を供給する祖合わせ論理手段(106)と:上記ク ロック受信器(20)に接続されて、上記リセット手段(16)を発振器に同期 させると共に、上記クロック装置(115)をオン状態にラッチするリセットラ ッチ(110)と; 上記組合わせ論理手段(106)、上記リセットラッチ(110)及び上記クロ ック受信器(20)に接続されており、かつ上記複数のクロックモジュール(1 1、12、13、14)の各他のクロックモジュールの上記リセット手段(16 )に接続されて、上記リセット手段(16)の障害を検出するリセット障害検出 論理回路(108)と; からなることを特徴とする請求項4記載のフォールトトレラント・クロック(1 0)。 6.上記動作診断手段(17)が: 上記クロック発生器(18)及び上記リセット手段(16)に接続されて、フォ ールトトレラント・クロック信号に対して僅かに位相がずれたもう1つのクロッ ク信号を発生させるクロック整相手段(122)と;上記リセット手段(16) 、クロック整相手段(122)、上記クロック装置(115)、及び上記複数の クロックモジュール(11、12、13、14)の各他のクロックモジュールに に接続されて、上記複数のクロックモジュールの上記各クロックモジュールから 各他のクロックモジュールにフォールトフラグを送信するフォールトフラグ送信 器(126)と;上記複数のクロックモジュール(11、12、13、14)の 各クロックモジュール、上記フォールトフラグ送信器(126)、及び上記クロ ック整相手段(122)に接続されて、上記複数のクロックモジュール(11、 12、13、14)の各クロックモジュールの上記フォールトフラグ送信器(1 26)からフォールトフラグを受信する複数のフォールトフラグ受信器(128 )と;上記複数のフォールトフラグ受信器(128)及び上記クロック整相手段 (122)に接続されていて、フォールトフラグ送信及び受信の障害の有無を確 認するための回線故障検出器(134)と;上記回線故障検出器(134)、上 記複数のフォールトフラグ受信器(128)及び上記クロック整相手段(122 )に接続されて、上記多量障害時動作可能フォールトトレラント・クロック(l 0)の動作モードの指示信号を出力するフォールトフラグラッチ(130)と; からなることを特徴とする請求項5記載のフォールトトレラント・クロック(1 0)。 7.複数のクロックモジュール(11、12、13、14)よりなる多重障害時 動作可能フォールトトレラント・クロック(10)において、各クロックモジュ ールが: クロック信号を発生させるためのクロック手段(115)と;上記クロック手段 (115)に接続されて、上記クロック手段(115)をフォールトトレラント 同時始動させるリセット手段(16)と;よりなることを特徴とする多重障害時 動作可能フォールトトレラント・クロック。 8.複数のクロックモジュール(11、12、13、14)よりなる多重障害時 動作可能フォールトトレラント・クロック(10)において、各クロックモジュ ールが: クロック受信器(20)と上記クロック受信器(20)に接続されたクロック発 生器(18)とからなるクロック装置(115)と;上記クロック受信器(20 )及び上記複数のクロックモジュール(11、12、13、14)の各クロック モジュールの上記クロック装置(115)の上記クロック発生器(18)に接続 されて、上記クロック装置(115)をフォールトトレラント同時始動させるリ セット手段(16)と;からなることを特徴とする多重障害時動作可能フォール トトレラント・クロック。
JP51034993A 1991-11-27 1992-11-24 多重障害時動作可能なフォールトトレラント・クロック Expired - Fee Related JP3445270B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US07/800,904 US5404363A (en) 1991-11-27 1991-11-27 Two-fail-operational fault-tolerant multiple clock system
US800,904 1991-11-27
PCT/US1992/010435 WO1993011489A1 (en) 1991-11-27 1992-11-24 Multiple-fail-operational fault tolerant clock

Publications (2)

Publication Number Publication Date
JPH07501642A true JPH07501642A (ja) 1995-02-16
JP3445270B2 JP3445270B2 (ja) 2003-09-08

Family

ID=25179677

Family Applications (1)

Application Number Title Priority Date Filing Date
JP51034993A Expired - Fee Related JP3445270B2 (ja) 1991-11-27 1992-11-24 多重障害時動作可能なフォールトトレラント・クロック

Country Status (6)

Country Link
US (1) US5404363A (ja)
EP (1) EP0614552B1 (ja)
JP (1) JP3445270B2 (ja)
CA (1) CA2120333C (ja)
DE (1) DE69223990T2 (ja)
WO (1) WO1993011489A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6674315B2 (en) 2001-08-20 2004-01-06 Nec Corporation Clock signal generation device
WO2012124126A1 (ja) * 2011-03-11 2012-09-20 オムロン株式会社 相互監視システム、管理装置およびシステム

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537655A (en) * 1992-09-28 1996-07-16 The Boeing Company Synchronized fault tolerant reset
JPH0764957A (ja) * 1993-08-23 1995-03-10 Mitsubishi Electric Corp タイマ装置
US5537583A (en) * 1994-10-11 1996-07-16 The Boeing Company Method and apparatus for a fault tolerant clock with dynamic reconfiguration
US5557156A (en) * 1994-12-02 1996-09-17 Digital Instruments, Inc. Scan control for scanning probe microscopes
US5784386A (en) * 1996-07-03 1998-07-21 General Signal Corporation Fault tolerant synchronous clock distribution
KR100201333B1 (ko) * 1996-09-11 1999-06-15 유기범 클럭의 페일 판별 장치
US5923611A (en) * 1996-12-20 1999-07-13 Micron Technology, Inc. Memory having a plurality of external clock signal inputs
US6272647B1 (en) 1998-11-20 2001-08-07 Honeywell Inc. Fault tolerant clock voter with recovery
US7363546B2 (en) * 2002-07-31 2008-04-22 Sun Microsystems, Inc. Latent fault detector
US7089442B2 (en) * 2003-02-07 2006-08-08 Rambus Inc. Fault-tolerant clock generator
US7296170B1 (en) * 2004-01-23 2007-11-13 Zilog, Inc. Clock controller with clock source fail-safe logic
US8315274B2 (en) * 2006-03-29 2012-11-20 Honeywell International Inc. System and method for supporting synchronous system communications and operations
US7562247B2 (en) * 2006-05-16 2009-07-14 International Business Machines Corporation Providing independent clock failover for scalable blade servers
US8972772B2 (en) * 2011-02-24 2015-03-03 The Charles Stark Draper Laboratory, Inc. System and method for duplexed replicated computing
WO2012106929A1 (zh) * 2011-07-26 2012-08-16 华为技术有限公司 计算机系统及其配置时钟的方法
US9103845B2 (en) * 2013-03-08 2015-08-11 Freescale Semiconductor Inc. System and method for reducing offset variation in multifunction sensor devices
US9992010B2 (en) * 2015-11-24 2018-06-05 The Charles Stark Draper Laboratory, Inc. System and method for augmenting duplexed replicated computing
US10795783B2 (en) * 2017-10-16 2020-10-06 Microchip Technology Incorporated Fault tolerant clock monitor system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4239982A (en) * 1978-06-14 1980-12-16 The Charles Stark Draper Laboratory, Inc. Fault-tolerant clock system
DE3023624C1 (de) * 1980-06-24 1981-10-01 Siemens AG, 1000 Berlin und 8000 München Taktgebareanordnung zum Erzeugen von Stauerimpulsen fuer ein redundantes Datenverarbeitungssystem
US4386426A (en) * 1980-11-03 1983-05-31 Burlington Industries, Inc. Data transmission system
US4644498A (en) * 1983-04-04 1987-02-17 General Electric Company Fault-tolerant real time clock
US4696019A (en) * 1984-09-19 1987-09-22 United Technologies Corporation Multi-channel clock synchronizer
US4683570A (en) * 1985-09-03 1987-07-28 General Electric Company Self-checking digital fault detector for modular redundant real time clock
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
US4984241A (en) * 1989-01-23 1991-01-08 The Boeing Company Tightly synchronized fault tolerant clock
US4979191A (en) * 1989-05-17 1990-12-18 The Boeing Company Autonomous N-modular redundant fault tolerant clock system
US5233617A (en) * 1990-04-13 1993-08-03 Vlsi Technology, Inc. Asynchronous latch circuit and register

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6674315B2 (en) 2001-08-20 2004-01-06 Nec Corporation Clock signal generation device
WO2012124126A1 (ja) * 2011-03-11 2012-09-20 オムロン株式会社 相互監視システム、管理装置およびシステム
JP2012190358A (ja) * 2011-03-11 2012-10-04 Omron Corp 相互監視システム、管理装置およびシステム

Also Published As

Publication number Publication date
DE69223990D1 (de) 1998-02-12
US5404363A (en) 1995-04-04
EP0614552A1 (en) 1994-09-14
CA2120333A1 (en) 1993-06-10
WO1993011489A1 (en) 1993-06-10
JP3445270B2 (ja) 2003-09-08
DE69223990T2 (de) 1998-07-02
CA2120333C (en) 2003-10-14
EP0614552B1 (en) 1998-01-07

Similar Documents

Publication Publication Date Title
JPH07501642A (ja) 多重障害時動作可能なフォールトトレラント・クロック
US5349654A (en) Fault tolerant data exchange unit
Yoo et al. Polynomial-time verification of diagnosability of partially observed discrete-event systems
US5799022A (en) Faulty module location in a fault tolerant computer system
JP2608904B2 (ja) 多重冗長誤検出システムおよびその使用方法
US8161311B2 (en) Apparatus and method for redundant and spread spectrum clocking
US4920540A (en) Fault-tolerant digital timing apparatus and method
JPS58137056A (ja) フオルトトレラントバスプロトコ−ルを備えるデイジタルデ−タプロセツサ
KR19990063894A (ko) 여유도를 가지는 클럭 분산망의 운영과 관리
US4727548A (en) On-line, limited mode, built-in fault detection/isolation system for state machines and combinational logic
JPS5930288B2 (ja) クロツク信号監視方法
CN109491842A (zh) 用于故障安全计算系统的模块扩展的信号配对
US4551836A (en) Cross-copy arrangement for synchronizing error detection clock signals in a duplex digital system
JP4908334B2 (ja) 従属同期クロック信号生成装置
JPH11143790A (ja) 制御信号入出力装置
JPH11353348A (ja) テストケース作成装置及びテストケース作成方法
JP2677084B2 (ja) エラー検出機能付交番信号回路
FI72396C (fi) Foerfarande foer aostadkommande av ett elektroniskt system som tolererar fel samt motsvarande system.
Tulpule et al. Achieving fault tolerance in multichannel control systems
JPS5945304B2 (ja) 二線式通信装置における回線障害検出方式
JPH03108046A (ja) 情報送受装置内バス障害復旧方法
JPS62106501A (ja) フエイルセイフ方式故障判定回路
JPH0950305A (ja) プログラマブルコントローラおよびその故障検出方法
Krings Survivable Systems & Networks
JPH06259270A (ja) プロセッサ異常判定回路

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080627

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090627

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees