JPS60142431A - 計算機 - Google Patents

計算機

Info

Publication number
JPS60142431A
JPS60142431A JP58250599A JP25059983A JPS60142431A JP S60142431 A JPS60142431 A JP S60142431A JP 58250599 A JP58250599 A JP 58250599A JP 25059983 A JP25059983 A JP 25059983A JP S60142431 A JPS60142431 A JP S60142431A
Authority
JP
Japan
Prior art keywords
arithmetic
unit
control
output
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP58250599A
Other languages
English (en)
Inventor
Hajime Kurii
栗井 甫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP58250599A priority Critical patent/JPS60142431A/ja
Publication of JPS60142431A publication Critical patent/JPS60142431A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】
〔発明の技術分野〕 本発明は単一の計算機を構成する機能部分の一部に障害
が発生した場合に、その計算機が制(財)している機器
に対して安全側に1作することを保障するフェイルセー
フシステム、あるいは障害が発生した場合にも、見掛は
上正常に計算機が動作することを保障するフォールト・
トレラント(耐障害性)システムに供する高信頼度の計
算機に関する。 〔発明の技術的背景およびその問題点〕鉄道の保安用信
号装置等は人命にかかわることから、機器のブ部に障害
が発生すると安全側に動作することを保障するフェイル
セーフシステムが定着している。このシステムはフェイ
ルセーフを保証するため特殊な論理素子と論理[DJ路
を採用することにより構成さねでおり、システムが遂行
する論理判断機能に比較して装置規模が大きくなるとい
う欠点を持っている。 また、プラント機器等を制御する計算機システムにおい
ては、高い信頼度が要求されることから、そこに用いら
れる計算機そのものは2重系あるいは3重系構成となっ
ている。ところが、このプラント制御システムは、上記
の鉄道保安用装置に比較して高度な処理が可能な反面、
複数の計算機の同期、照合のため信頼性の高い特殊な回
路を付〃口することが必要になり、これら回路を制御し
、障害を検出したときに採るべき処置のためのプログラ
ムは複雑になる。 このように、高信頼度を要求される装置は規模が大きく
なり、特殊な素子や回路(ハードウェア)を多数用し≧
なげればならない欠点がある。また、機能拡張の要求に
対して柔軟性に欠けるとv> 5欠点がある。 このため、本発明者らは特願昭58−163657.1
63658におV)て、単一のシステムを構成する複数
の演算制御ユニットを伝送路で結合し、この伝送路を介
して受渡しされる情報により各演算制御ユニットの同期
と相互監視を行い、障害のない演算側倒ユニットの出力
を外部に出力する計算機を提案した。しかしこねによh
ば、いずれかの演算側斜ユニットに障害があったときの
システムの再構成(残りの演算制菌ユニットで新たな単
一のシステムを再構成すること)が十分でない。 〔発明の目的〕 本発明は上記の従来技術の欠点を克服するためになさね
たもので、装置の機能部分の一部に障害が発生した場合
にもシステムを安全側に動作し、あるいは見掛は上正常
に動作させることができるようにすると共に、オペレー
タが容易にシステム再構成の指示をできるようにした操
作性、保全性の高い計算機を提供することを目的とする
。 〔発明の概要〕 上記の目的を実現するため本発明は、下記の如き計算機
を提供するものである。すなわち、複数の演算制御ユニ
ットを複数種類の伝送路で結合し、これら伝送路を介し
て受渡しされる情報により各演算制御ユニットの同期と
相互監視を行ない、正常な(障害のない)演算制御ユニ
ットの出力は多数決論理回路を介して外部へ出力する高
信頼度の計算機であり、オペレータの障害ユニットの切
離しおよびシステム再構成の指示により、障害のある演
算制御ユニットをシステムから切離し、他の一演算制瞬
ユニットにより新たなシステムを再構成できるようにし
た計n4!!である。 〔発明の実施例〕 以下、添付図面を参照して本発明のいくつかの実施例を
説明する。なお、以下の添付図面の説明において、同一
要素は同一符号で示しである。 第1図は本発明の一実施例の基本構成を示すブロック図
で、第1図(a)は演算制御ユニットが3つの場合を示
し、第1図(b)は2つの場合を示している。第1図(
at iおいて、計算機は同一の処理、動作をする3つ
の演算制閣ユニツF 1a* lb g lcおよび多
数決論理回路2を有しており、演算制御ユニッ) Ia
 I lb I ICはそれぞれ第1、第2の伝送線3
.4によって相互に結合されている。ここで、第1の伝
送線3は各演算制御二二ツ) la 、 lb。 ICが正常に動作していることを示す同期タイミングの
役目を兼ねた文書信号を伝送する。また、第2の伝送路
4は同期タイミング、各演算制御ユニットla 、 l
b 、 la間で照合するデータ、およびそれらの状轢
を示す3つの情報をシリアルに伝送する。 外部からのセンサ信号等は入力線5を介して演算制御ユ
ニツ) la 、 lb 、 ICに与えられ、所定の
演算の後にユニット出力線6を介して多数決論理回路2
に与えられる。多数決論理回路2は与えられた入力信号
に対して多数決論理にもとづいた出力を発生させ、これ
を制御出力87を介して外部の機器(図示しない)に与
えると共に、制御出力監視線8を介して各演算制御ユニ
ツ) la 、 lb 。 ICに帰還する。各演算制御ユニツ)1allbllC
はこれを自己の出力と照合し、監視する。なお、上記の
事情は第1図(b)においても同様である。 第2図は第1図の演算制御ユニット1aの内部構造を示
すブロック図である。演算制御ユニット1aは診断プロ
セッサ10.制御ゾロセラfilの2つのプロセッサを
有しており、第1の伝送線3は診断プロセッサ10に接
続され、第2の伝送線4は制御プロセッサ11に接続さ
れている。なお、第2の伝送線4は他の演算制御ユニツ
) lb 、 ICとの間に2本づつ設げられたシリア
ルパスBl 、 B2 。 CI 、 C2から成っているので、一方のシリアルパ
スに障害があっても他方のシリアル/モスにより情報伝
送を継続することができる。 制御プロセッサ11は入力線5を介して与えられた信号
を演算し、結果を制(財)プロセッサ出力線21を介し
てユニット出力リレー12に与える。また、診断プロセ
ッサ状整線四および制御プロセッサ状ゆ線nを介して診
断プロセッサ10との間で情報を。 受渡し、相互監視する。 ユニット出力リレー12は診断プロセッサ状整線斧、制
御プロセッサ状梗線z3、フェイルセーフOR回路13
およびユニット出力リレー制御線屑を介して与えられた
信号にもとづいて動作し、機器の障害を検出したいずれ
かのプロセッサがユニット出力リレー12の動作を禁止
する信号を送ると、ユニット出力リレー12は安全側に
固定される。なお、ユニット出力リレー12の状帖を示
す情報はユニット出力リレー状整線5を介して制御プロ
セラv11に与えられる。 診断プロセッサ10の主な働きは、第1に制御プロセッ
サ11の動作を監視すること、第2に演算制御ユニツ)
lHに点検装置(後述する)を設けてオンライン保守を
行なう際に、点検装置との間での情報交換を行なって予
防保全に供すること、および制御プロセッサ11へのコ
マンド出力を処理すること、第3に第1の伝送路3を介
して他の演算制御ユニツ) lb 、 ICを相互に監
視することである。 第3図は第2図の制御プロセッサ11の内部構造を示す
ブロック図である。制御ゾロセラv11はプロセッサ1
10、ローカルメモリ111、入出力コントローラ11
2 、113 、114および伝送コントローラ115
 、116により構成され、それらは内部/々ス117
により互いに接続されている。外部からの信および制御
ゾロセッサ出力線21を介してユニット出力リレー12
(第2図参照)に与えられる。入出力コントローラ11
3は診断プロセッサ10との相互監視のためにあり、伝
送コントローラ115 、 IILは他の演算制御ユニ
ツ) Ib 、 ICとの交信のためにある。 第4図は第2図の診断プロセッサ10の内部構造を示す
ブロック図である。診断プロセッサ10はプロセッサ1
01、入出力コントローラ102、ローカルメモリ10
3により構成され、それらは内部パス104によって互
いに接続されている。プロセッサ101はメモリ、シリ
アル入出力、ノぞラレル入出力機能等を有するワンチッ
プマイクロコンピュータによって構成することができる
。診断プロセッサ10の状叩を示す信号はプロセッサ1
01から出力され、診断プロセッサ状ゆ線ηを介して制
御プロセッサ11に与えられる。制御プロセッサ11の
状ゆを示す情報は制御プロセッサ状態線るを介して人出
カコントローラ102に与えられ、内部パス104を介
してプロセッサ101に取り込まれる。 第1の伝送路3はプロセッサ101に接続されており、
他の演算制御ユニットとの間で同期、監視のための情報
が受渡しされる。ローカルメモリ103は診断プロセッ
サ10がミ自己ユニットの制御プロセッサ11および他
の演算側倒ユニットを相互監視することによって得られ
た障害情報を記憶しておくためのものである。また、再
構成スイッチ106は当該演算制御ユニットを全体のシ
ステムから切離す指示をオペレータが与えるためのもの
であり、後述する点検装置からの信号はコマンド線10
7を介してプロセッサ101に与えられる。 第5図は演算制御ユニットに再構成手段を構成する点検
装置を接続したときのブロック図である。 診断プロセッサ10、制御プロセッサ11の状轢を示す
信号は診断プロセッサ状整線n1制純プロセッサ状暢線
nを介して点検装置115に与えられる。点検装置15
からオペレータによって入力された障害情報等の表示要
求は、点検入力線16を介して制御プロセッサー1に与
えられる。 第6図は第5図に示す点検装置の内部構造の説明図であ
る。点検装置15はプロセッサー51と、メモリー52
と、FDコントローラー53およびこれに直結された磁
気ディスク装置160と、入出力コントローラー54お
よびこれに直結されたプリンター61と、入出力コント
ローラ155 、156と、・シリアルコントローラー
57およびこれに直結されたコンソール158とにより
構成され、これらは内部/々ス170により互いに情報
の受渡しができるようにされている。そして、演算制御
ユニットとのインターフェースは、入出力コントローラ
155 、156とシリアルコントローラー57により
なされている。 オペレータがコンソール158によって演算制御ユ? ニットのメモリ内容の読出し、システムの立上げ、再構
成等を指示すると、その指示入力はシリアルコントロー
ラー57、コマンド線107を介して診断プロセッサー
0に与えられる。そして、この指示入力に対する応答出
力は、同一の経路を返送されてコンソール158で出力
表示される。 次に、第7図乃至第10図を参照して第1図乃至第6図
に示す実施例の動作を説明する。第7図は上記実施例の
動作を説明する状暢遷移図である。 演算制御二二ツ) la t lb I ICはいずれ
も第7図のいずれかの状輻を採ることができ、状仲間の
遷移はPijで示しである。なお、各状轡は下記の如く
なっている。 0:オフ(OFF)・・・・・・電源断あるいはユニッ
ト初期化処理中の状暢、 1:ウェイ)(WAIT)・・・・・・初期化処理が完
了し、自己診゛断結果が正常なとき、 2:相互診断(DIAG)・・・・・・他の演算制御ユ
ニットlと第11第2の伝送路3.4の相互診断と同期
合わせ、 3:3系運転(TMR)・・・・・・他の演算制御ユニ
ット1と並行動作する3重系状轢 4:2系運転(DMR)・・・・・・他のひとつの演算
制御ユニット1と並行動作する2重系状轢5:点検(T
EST )・・・・・・点検装置(図示せず)からの点
検要求により制御プロセッサlで診断プログラムを実行
中のとき、 6:ダウ7(DOWN)・・・・・・自ら障害を検出し
、オンライン運転不能になったとき、 上記状轢0〜6において、ユニッ)tl’)V−12を
介して外部機器に対し制御信号を出力するのは状轢3(
3系運転)、4(2系運転)のときの−人で、これ以外
の状轢のときにはユニット出力リレー12は安全側に固
定されている。 装置(計算機)を立上げるときの動作は次のようになる
。演算制御ユニットlに電源を投入すると、状110(
オフ)で自己診断プログラムにより自己の演算制御ユニ
ットの内部の機能がチェックされる。自己診断の結果、
障害が検出されないと・きは経路P。□を経由して状ゆ
1(ウェイト)に遷移し、ここで立上げの要求を待つ。 立上げスイッチ(図示しない)等により立上げ要求がか
けられると、経路P12を経由して状92(相互診断)
K遷移する。状g2において第1.第2の伝送路3゜4
を介して他の演算制御ユニット1との間で相互診断を実
行され、かつすべての演算制御ユニット1が同期して同
一の処理を行なうために同期がとらねる。そして、゛演
算制御ユニット1、第1、第2の伝送路3.4のすべて
が正常であるときは、経路P23を経由して状93(3
系運転)へ遷移する。 他のいずれかの演算制菌ユニット1に障害があったり、
第11第2の伝送路3,4の一ケ所に障害があるときは
経路P24を経由して状暢4(2系運転)へ遷移する。 他のいずれの演算制量ユニットlに対しても相互診断の
ための情報、同期のための情報を受け渡すことができな
いとき、および他の全ての演算制御ユニツ)1から自己
の演算制御ユニット1に障害があるという情報を受け取
ったときに、経路P26を経由して状轢6(ダウン)に
遷移する。 状fII43(3系這転)、4(2系運転)にある演算
制御ユニットlは、自己のユニット出力リレー12を動
作させて制御信号の出力を開始する。このようにして立
上げ動作が完了し、オンライン動作が開始される。 次に、装置(計算機)がオンライン運転状轢にあるとき
に障害が発生したときの動作は下記のようになる。ここ
で、状暢3(3系運転)における障害発生の検出法は次
のようなものがある。 ■ 診断プロセッサ10と制御プロセッサ11の相互監
視による障害検出 ■ 第2の伝送路4を介して受渡される照合データの不
一致による障害検出 ■ 第1、第2の伝送路3,4を介して受渡す同期タイ
ミングの不良、あるいは他の演算側倒ユニツ)1の動作
不良による障害検出(但し、第2の伝送路4は2重化さ
れているので、一方のみの障害はここで言う障害になら
ない)■ 自己のユニット出力リレー12の出力信号と
制御出力監視線8からの入力信号(多数決論理回路2か
らの帰還信号との不一致による障害検出〕■ ユニット
出力リレー状伸線5からの信号による障害検出 これら障害を積出すると障害部分の調査を行なう。そし
て、障害が自己の演算制御ユニットlの内部にあるとき
は、経路P36を経由して状暢6(ダウン)へ遷移−”
る。障害が他の演算開側1ユニットlにあるとき、もし
くは第11第2の伝送路3.4にあるときは、該演算制
御ユニット1を論理的に切離しく第11第2の伝送路3
,4を介して送られる情報を無視すること)、経路P3
4を経由して状暢4(2系運転)へ遷移する。他の2つ
の演算側(資)1ユニツ)1から自己の演算制御ユニッ
ト1に障害があると通知されたときも、経路P36を経
由して状部6(ダウン)へ遷移する。 このようにして、ひとつの演算制御ユニツ)1に障害が
あったときはこれが状部6(ダウン)へ遷移し、他の2
つの正常な演算側斜ユニット1によりオンライン運転が
継続される。 次に、2つの演算制御ユニッ)1が状暢4にあるときに
障害が発生した場合の装置(計算機)の動作は、下記の
ようになる。なお、障害の検出法は前記■〜■と同様で
ある。障害を検出したときは、2つの演算制御ユニツ)
1はいずれも経路P46を経由して状部6(ダウン)へ
遷移する。そして状暢6へ遷移した演算制御ユニツ)1
は、ユニット出力リレー制御線屑を介し
【自己のユニッ
ト出力リレー12の動作を停止させ、安全側へ固定する
。 次に、2つの演算制御ユニット1が状暢4(2系運転)
にあるとき、障害のある3番目の演算制御ユニット1に
代えて正常なユニットを加え、状部3(3系運転)に遷
移する場合の動作は下記のようになる(但し、詳細な動
作は後述する)。なお、3番目の演算制御ユニット1は
すでに状91(ウェイト)Kあるものとする。再構成ス
イッチ106をオンにすることにより、又は点検装置1
5から再構成コマンドを入力することにより装置再構成
の要求をかけると、3番目の演算制御ユニットlは状部
2(相互診断)に遷移し、第1.第2の伝送路3,4を
介して同期合わせすると共に装置再構成の情報の受渡し
を行なう。同期合わせが完了し、3つの演算制御ユニツ
htの間で照合すべき情報が一致したときは状部4(2
系運転)から経路P43を経由しであるいは状暢2(相
互診断)から経路P23を経由していずれも状@3(3
糸運転)に遷移する。 第8図は制御プロセッサ11の処理手順の説明図である
。制御プロセラfilの処理は3つのステージ(IN 
、 CAL 、 0UT)からなり、これらを一定周期
で実行している。第1のステージ(IN)は入力線5を
介して外部信号を入力する処理、第2のステージ(CA
L)は入力されたデータの演算処理、第3のステージ(
OUT)はユニット出力線6を介して制御信号を外部に
出力し、制御出力監視線8を介して自己の演算制御ユニ
ット1の出力値を監視する処理である。こわら処理の組
をサイクルと呼ぶ。 ひとつのサイクルの先頭(第1のステージ)では、第1
.第2の伝送路3.4を介して演算制剥ユニツ)1の同
期合せがなされ、同期がとられると各制御プロセッサ1
1は同時に外部信号を入力する。入力されたデータは第
2の伝送路4を介して他の演算制御ユニット1に送られ
、第1回目のデータ照合がなされる。そして、いずれの
データも一致しているときは自己の演算制量ユニツ)l
の出力を、また2つの演算制御ユニットlからのデータ
のみが一致しているときはその一致したデータをそれぞ
れ採用し、第2のステージへ進む。 第2のステージ(CAL)では、与えられたデータにも
とづく演算を実行すると同時に、必要に応じて第2回目
のデータ照合を行なう。 第3のステージ(OUT)では、演算結果と第2の伝送
路4を介して与えられるデータとについて3回目のデー
タ照合を行ない、多数決側のデータをユニット出力リレ
ー12を介して多数決論理回路2に送る。ここで再び多
数決がとられ、その出力は制御出力監視線8を介してユ
ニット出力リレー】2に出力したデータと比較される。 その結果、互いにデータが一致していれば、自己の演算
制御ユニツ)lのすべての機能と制御出力線7とが正常
であることがわかり、一致しなければいす灼かに障害が
あることがわかる。しかし、多数決論理回路2では各演
算制御ユニツ)Lの出力の多数決がとられるので、同時
に2ケ所で障害が発生していない限り、外部機器に対し
ては正しい信号を出力することになる。第3のステージ
の最後では、第1のステージの景初からの一連の処理に
おいて検出した障害の情報が、第2の伝送路4を介して
他の演算側層1ユニット1に通知される。 診断プロセッサ10は制御プロセッサ11と同一のサイ
クールで動作し、第りのステージの先頭と第3のステー
ジの末尾で診断プロセッサ状整線22、制御プロセッサ
状暢線nを介して監視情報の受渡しがなされる。なお、
これら状整線η、23のそれぞれ一本の信号線には交番
信号が流されているが、障害が発生したときは交番信号
の出力は停止される。この交番信号は第2図のフェイル
、セーフOR回路13を介してユニット出力リレー12
に送られ、この動作を制御する。交番信号が停止さねた
ときは、ユニット出力リレー12は安全側に固定される
。 第9図は第1図乃至第7図の実施例におけるシステムの
再構成動作の説明図である。再構成動作は以下の手順に
よって行う。なお、3つの演算制机ユニットをAユニッ
ト、Bユニット、Cユニットとして示し、A、Bユニッ
トがオンラインで動作中(第7図の状帖4)で、状1i
t(ウェイト)にあるAユニットを組込んで状部3(3
系運転)に遷移させ、システムを再構成させるものとす
る。 また、電9図中の■〜0は下記の手順■)@lに対応す
る。 ■ オペレータが再構成スイッチ10−6をオンにして
、任意の演算制御ユニットに再構成を指示すると、診断
プロセッサ10にこの指示が与えられる。オペレータが
点検装置15のコンソール158より再構成コマンドを
入力したときは、点検装置15のプロセッサ151は再
構成を指示するコードを生成し、これを診断プロセッサ
10に与える。 再構成要求のあった演算制御ユニットは第7図の状部2
(相互診断)に遷移する。 ■ 診断プロセッサ10は、BユニットとCユニットに
より発せら七、第1の伝送路3を介して受渡しされる同
期信号を入力し、同期合せを行う。 ■ Aユニットの診断プロセッサ10はB、Cユニット
との同期合せが完了したところで、診断プロセッサ状整
線nを介して制御プロセッサ11へ再構成の開始を要求
する信号を与える。 ■ 制御プロセッサ11は第2の伝送路4を介して、他
のすべての演算制御iMIユニットへ再構成が開始さね
たことを通知するコードを送信する。 ■ 再構成コードを受取った制御プロセッサ11は、再
構成が開始さねたことを制御□□1プロセッサ状轢線整
線介して診断プロセッサloへ通知スル。 ■ Aユニットの制御プロセッサは、第8図で説明した
ように入力線5を介して外部信号を入力し、所定の演算
を行う。演算結果は第2の伝送路4を介して照合される
。 ■ データ照合において一致が得らゎるときは、このこ
とを第2の伝送路4を介してBユニットとCユニットに
通知する。もし、あらかじめ定められだ時間内に■の手
順(ステップ)に到達しないならば、Aユニットにつな
がる第1%第2の伝送路3.4もしくは自己ユニットに
障害が発生していると考えられるのでAユニットは第7
図の状部6(ダウン)へ遷移させられる。 オンライン動作中のB、Cユニットはステップ■、■の
動作中に処理を無効にして、第7図の状@4(2系運転
)を継続する。 ■ BユニットとCユニットの制御プロセッサ11は上
記の通知を受取ると、BユニットとCユニットの間−の
みのデータ照合から、すべてのユニットの間のデータ照
合に移る。同時に自ユニットの診断プロセッサ」0へこ
れを通知する。Aユニットの制御プロセッサ11は、デ
ータ照合の結果一致が得られたことを自ユニットの診断
プロセッサ10へ通知する。 ■ Aユニットの診断プロセッサ10は、第7図の状態
2(相互診断)から状態3(3系運転)へ遷移すること
を、第1の伝送路3を介してすべての演算制御ユニット
へ通知する。この通知を受けたユニットは状態4(2系
運転)から状態3(3系運転)へ遷移する。 Q 再構成要求が点検装置15からのものであるときは
、診断プロセッサ10は点検装置15ヘコマンド線10
7を介して再構成完了を通知する。 0 その後は、すべての演算制菌ユニットが相互に監視
とデータ照合を行うことになる。 第10図は第1図乃至第7図の実施例における特定の演
算制御ユニットの切離し動作の説明図である。なお、全
てのユニットは第7図の状ユ3(3系運転)で動作して
いるとする。切離しの要求は、再構成スイッチ106を
オンにすることにより、または点検装置からコマンドを
入力することにより行える。再構成スイッチ106によ
ねば、それを設けた演算側倒ユニットのみを切離すこと
ができ、点検装置15によれば、任意の演算制御611
ユニツトを切離すことができる。 切離しの手順■〜■を以下順を追って説明する。 ■ オペレータは点検装置15により切離しコマンドを
入力し、Cユニットのり離しを指示する。 ■ Aユニットの診断プロセッサ10は、診断ゾロセラ
v22を介して側斜プロセツ+j11へ切離し要求と切
離すユニット名を通知する。 ■ 制御プロセッサ11は第2の伝送路4を介して、他
のすべての演算制御ユニットへ切離しのコードを伝送す
る。 ■ 切離しコードを受信したなら、自ユニットの切離し
または他ユニットの切離しにかかわりなく、切離しを承
認するコードを返送する。 ■ Aユニットの制御プロセッサ11は、制御プロセッ
サ状態線るを介して他のすべての演算制御ユニットから
切離し承認コードを受信したことを通知する。B、Cユ
ニットの制個1プロセッサ11は、切離しのコードを受
信したことを診断プロセラ−y′10に通知する。 ■ 切離しの対象となったCユニットは、それまで一定
周期で出力していた第1の伝送路3の信号の出力を停止
する。Bユニットの診断プロセッサ10は■のステップ
で得た切離し承認を、Cユニットにより出力する第1の
伝送路3の信号の停止によって確認する。 ■ 切離し要求をしだAユニットは、■のステップで切
離し承認を得たことと、■のステップで第1の伝送路3
の信号停止をしたこととKより。 点検装置115へ切離しが完了したことを通知する。 ■ Aユニット、Bユニットは第7図の状態3(3系運
転)から状り4(2系運転)へと遷移し、Cユニットは
状態3(3系運転)から状態6(ダウン)へと遷移する
。 点検装置15は今まで説明してきたように高信頼度の計
算機の再構成を要求できるだけでなく、任意のユニット
に記録されている障害情報を取出すことができる。オペ
レータがコンソール158よりメモリ内容の読出しコマ
ンドを入力すると、これがコマンド線107を介して診
断プロセッサ10に与えられる。診断プロセッサ10は
第4図に示したローカルメモリ103に記憶されている
障害情報を読出し、コマンド線107を介して点検装置
15に送る。 この動作は演電制御ユニットが、第7図に示したすべて
の状態において行うことができる。状1g13゜4(3
,2糸運転)であればシステムの予防保全に活用できる
し、状96(ダウン)であればその原因すなわち障害発
生部分を調べることができる。 さらに点検装置15によれば、任意の演算制御ユニット
で診断プログラムを実行させることもできる。要求され
た演算制御ユニットが状帖3(3系運転)であるときは
状部5(点検)へ遷移し、その他の演算開側lユニット
は状@4(2系運転)へ遷移する。 コンソール158より診断プログラムの実行を要求する
コマンドを入力すると、コマンド線107を介して演算
制御ユニットの診断プロセッサ10に通知される。診断
プロセッサ10は自己の診断ならば診断プログラムを実
行し、その結果をコマンド線107を介して点検装置1
5に送る。制御プロセッサ11の診断要求であるときは
、診断プロセッサ状部線22を介して診断プログラムの
実行な要求1−ろ。 側副ゾロセツfilは第5図で下したように、点検装置
15が生成する信号を点検入力線16を介して入力し、
診断プログラムを実行する。実行結果は制能1プロセッ
サ出力線21を介して出力される。点検装f#15は制
御プロセッサ出力線21の信号を調べ、期待さねる値で
あるか否かを確認する。このとき、診断グログラムを実
行中の演算制御ユニットは、ユニット出力リレー12を
安全側出力としているので、他の演算制御ユニットと多
数決論理(ロ)路2へ悪影響を与えることはない。 〔発明の効果〕 上記の如く本発明によれば、複数の演算側斜ユニットで
単一のシステムを構成し、これら演算制能1ユニットに
自己診断の機能と相互監視の機能を持たせ、更に障害の
ある演算側斜ユニットの切離しとシステムの再構成をオ
ペレータが指示できる再構成手段を備えるようにしたの
で、機能部分の一部に障害が発生した場合でもオペレー
タが容易にシステム再構成をさせることのできる高信頼
度の計算機な得ることができる。 また、再構成手段に障害情程の出力表示機能と自己診断
を要求する機能を持たせるようにすると、障害が発生し
たことをすみやかに検知することができるので、システ
ムの障害の予防保全を〕I4確に実行することができる
【図面の簡単な説明】
第1図は本発明の一実施例の基本構成のブロック図、第
2図は第1図の演算制菌ユニットの内部構造を示すブロ
ック図、第3図は第2図の制御プロセッサの内部構造を
示すブロック図、第4図は第2図の診断ゾロセッサの内
部構造を示すブロック図、第5図は第1図の演算制御ユ
ニットに点検装置を接続したときのブロック図、第6図
は第5図の点検装置の内部構造の説明図、第7図は第1
図乃至第6図の実施例の動作を説明する状帖遷移図、第
8図は第3図の制御プロセッサの処理手順の説明図、第
9図は第1図乃至第7図の実施例におけるシステムの再
構成動作の説明図、第10図は第1図乃至第7図の実施
例における特定の演算制御ユニットのり離′し勢作の説
明図である。 3・・・第1の伝送路、4・・・第2の伝送路、5・・
・入力線、6・・・ユニット出力線、7・・・制tll
ll出力線、8・・・制御出力監視線、16・・・点検
入力線、21・・・開開1プロセッサ出力線、n・・・
診断プロセラルー状犠線、田・・・制量プロセッサ状@
線、冴・・・ユニット出力リレー側斜線、郡・・・ユニ
ット出力リレー状ゆ線、106・・・再構成スイッチ、
107・・・コマンド線。 第1区(α〕 范1図(b) 第9図 第10図

Claims (1)

  1. 【特許請求の範囲】 l、単一のジーステム乞構成する複数の演算側(財)ユ
    ニットと、該演算側脚ユニット間で相互に同期、監視が
    できるように情報を受渡しする伝送路と、障害のない前
    記演算側脚ユニットの出カン外部に出力する多数決論理
    回路と、障害のある前記演算制仰ユニットヲ前記単一の
    システムかう切離し、他の該演算制御ユニットにより該
    単−のシステムを再構成する再構成手段とを備える計算
    機。 2、再構成手段は、演算潤製ユニットが保持する障害情
    報の出力表示と、該演算制量ユニットによる自己診断プ
    ログラムの実行指示をすることができるようにした特許
    請求の範囲第1項記載の計算機。 3再構成手段は、任意の演算制量ユニットに着脱自在に
    取り付けられている特許請求の範囲第1項もしくは第2
    項のいずれかに記載の計算機。
JP58250599A 1983-12-28 1983-12-28 計算機 Pending JPS60142431A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP58250599A JPS60142431A (ja) 1983-12-28 1983-12-28 計算機

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP58250599A JPS60142431A (ja) 1983-12-28 1983-12-28 計算機

Publications (1)

Publication Number Publication Date
JPS60142431A true JPS60142431A (ja) 1985-07-27

Family

ID=17210269

Family Applications (1)

Application Number Title Priority Date Filing Date
JP58250599A Pending JPS60142431A (ja) 1983-12-28 1983-12-28 計算機

Country Status (1)

Country Link
JP (1) JPS60142431A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04118136U (ja) * 1991-04-06 1992-10-22 ダイキン工業株式会社 液体分離装置
JPH11167599A (ja) * 1997-12-05 1999-06-22 Fujitsu Ltd 電子現金金庫

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04118136U (ja) * 1991-04-06 1992-10-22 ダイキン工業株式会社 液体分離装置
JPH11167599A (ja) * 1997-12-05 1999-06-22 Fujitsu Ltd 電子現金金庫

Similar Documents

Publication Publication Date Title
CN110351174A (zh) 一种模块冗余的安全计算机平台
KR100279204B1 (ko) 자동제어시스템에서현장제어장치의콘트롤러이중화제어방법및그장치
JPS60142431A (ja) 計算機
JPH04307633A (ja) 多重化制御装置
CN115328706A (zh) 双cpu冗余架构综合控制方法及系统
JPS59112306A (ja) プロセス制御システム
JPH0630069B2 (ja) 多重化システム
JPH09114507A (ja) プログラマブルロジックコントローラの二重化装置
JPH06245280A (ja) 情報伝送装置
JPS5931738B2 (ja) 計算機システムの並列三重系構成方法
JPS6055446A (ja) 計算機
JP3750146B2 (ja) 水平分散型ネットワークシステム
JPS6213700B2 (ja)
JPH0528544B2 (ja)
JPS6055447A (ja) 計算機
JPH0916426A (ja) 2ポートコンソールを持つフォールトトレラントコンピュータ
CN117002562A (zh) 一种基于嵌入式软件冗余的车载台
JPS6113627B2 (ja)
JPS6011901A (ja) 分散形制御装置のバツクアツプ装置
JPS59112349A (ja) 二重化演算システム
JPH09179836A (ja) 多重化計算機およびその障害検出処理方法
JPS615350A (ja) 計算機
JP2004334548A (ja) 分散型監視制御システムの故障監視システム
JPH02182054A (ja) マルチプロセッサシステム
JPH06282454A (ja) 自動故障診断方式