JPS63113701A - 制御用デジタルコンピュータにおける独立したバックアップモードへの切換方法及び機構 - Google Patents

制御用デジタルコンピュータにおける独立したバックアップモードへの切換方法及び機構

Info

Publication number
JPS63113701A
JPS63113701A JP26364087A JP26364087A JPS63113701A JP S63113701 A JPS63113701 A JP S63113701A JP 26364087 A JP26364087 A JP 26364087A JP 26364087 A JP26364087 A JP 26364087A JP S63113701 A JPS63113701 A JP S63113701A
Authority
JP
Japan
Prior art keywords
signal
switching
memory
processor
line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP26364087A
Other languages
English (en)
Inventor
バルチャンドラ ラムチャンドラ タルピュール
エドワード エム オスカーソン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
RTX Corp
Original Assignee
United Technologies Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by United Technologies Corp filed Critical United Technologies Corp
Publication of JPS63113701A publication Critical patent/JPS63113701A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 産業上の利用分野 本発明は制御用デジタルコンピュータにおける切換方法
及び機構に係り、特に主プログラムメモリとバックアッ
ププログラムメモリとの間でのプログラムメモリの切換
方法及び切換機構に関する。
従来の技術 近年デジタルマイクロプロセッサの能力が増大した結果
例えば航空機用途の高性能制御用冗長デジタルコンピュ
ータシステムが実現されている。
これらの強力で信頼性の高いシステムは複雑な演口及び
制i11機能を実行するばかりでなくハードウェアの故
障が発生しても高い信頼性をもって故障したシステム要
素を検出し、隔離し、さらに再構成することができる。
しかし、システム中で使われるラフ1〜ウエアがまずま
ず複雑になってくるにつれ、ソフトウェアに関する信頼
性及びソフトウェア故障に対する許容性についての要求
が厳しくなっている。特に、いわゆるジェネリックなソ
フトウェア故障ないし誤りに対する保護についで強い要
求が存在する。全ヂャンネルで同一のソフトウェアを使
用する冗長デジタルシステムはこの種の誤りに対し特に
脆弱である。これは全てのチャンネルが予測されない同
じ誤動作を行なった場合に発生し、その結果、システム
全体が故障してしまう。従って、デジタル制御システム
をジェネリックソフトウェア故障から保護する技術に対
する根本的な需要が存在する。
ジェネリックソフトウェア故障に対する保護機構として
は様々のものがある。例えば主デジタルシステムのバッ
クアップとしてアナログコンピュータが使われることが
ある。またジェネリックソフトウェア故障が検出された
場合にスイッチオンされる「本来的に」異なったソフト
ウェアを使用する方法もある。この場合は別のソフトウ
ェアパッケージが装置の制御を維持するのに使われる。
この方法は極めて費用的に有効であるが、これはこの別
のソフトウェアがプログラムメモリを除いて同一のチ↑
lンネルハードウエアを共用するからである。
バックアップメモリ中に貯えられている別のソフトウェ
アは切換機構によって接続されたり切離されたりする。
明らかに、共通モードのソフトウェア故障が存在する場
合におけるシステム全体の信頼性はこの切換機構の信頼
性及び誤り許容性にかかつている。従って、ジェネリッ
クソフトウェア故障に対する保護の問題はデジタルコン
ピュータ用の信頼性の高い、独立した、誤り許容性を右
するバックアップモード切換1m 176を実現する問
題と密接に関連している。
発明が解決しようとする問題点 本発明の目的は主プログラムメモリからバックアッププ
ログラムメモリへのチャンネルのソフトウェアとは独立
した切換機構を提供するにある。
換言すれば、切換動作はソフトウェア制御から独立した
ハードウェア機構によってなされねばならない。
本発明の他の目的は全チャンネルをバックアップモード
にほぼ同時に切換えまたその逆を行なう切換方法及び機
構を提供するにある。この切換は共通モードのハードウ
ェア故障が生じる可能性があるため中央転送コントロー
ラによって行なうことはできない。
本発明の別の目的は滑らかで過渡性の誤りのない切換機
構及び方法、すなわち主メモリとバックアップメモリと
の間での切換の際過渡性の誤りや不完全なルーチンある
いは明らかな誤り等、切換動作の結梁システムが失われ
てしまうような故障を生じない切換機構及び方法を提供
するにある。
本発明の他の目的はチャンネルサブセットにおいて電力
供給が停止した場合にも不確定な動作をすることがない
、冗長システムの切IIJ!n構及び方法を提供するに
ある。換言すれば、本発明によれば、切換動作は−B開
始されてしまうと制御システム全体において永久的に続
き(VH除されるまでは)、ザブセットチャンネルにお
いてその後停電などの過渡性の事故が生じても影響され
ない。
本発明の他の目的はいわゆるジェネリックソフトウェア
故障が検出された場合及び/又は利用者による直接の要
求がなされた場合に応答動作する切換機構及び方法を提
供するにある。
問題点を解決するための手段 要約すると、本発明ではバックアップソフトウェアへの
切換要求が検出されるとこれに応じてノンマスカブル割
込み入力信号がプロセッサに供給される。その際プロセ
ッサは現に実行中のマシンサイクルが終了した後で切換
機構に切換信号を出力する。切換機構によるバックアッ
プソフトウェアへの切換は切換信号が供給されてからで
なければ開始されない。
本発明による切換方法及び機構では過半数のチャンネル
がジェネリックソフトウェア故障を検出した場合に(切
断要求の発生、利用者の要求、あるいはその他の機構に
よって)全チャンネルのブロセツυにノンマスカブル割
込み信号が送られ;これに応じて各プロセッサがそれぞ
れ割込み信号を受取った時点で実行中のマシンサイクル
を終えた後純粋なハードウェア駆動信号である確認応答
信号を発し、この確認応答信号によってプロセッサのプ
ログラムメモリが主プログラムメモリからバックアップ
プログラムメモリに切換えられる。
本発明ではまた切換方法及び機構が「システム」の状態
を記憶し、各チャンネルで給電の回復後各チャンネルが
このシステムの状態に戻される。このため本発明方法及
び機構ではシステムによる制御を失う(切1111i)
ことなくまた過渡的効果を生じることなく切換えを行な
うことが可能になる。
本発明による方法及び機構は主プログラムメモリに対し
てシャドウあるいはバックアップメモリを設ける技術を
使用する。このシャドウないしバックアップメモリ中に
収められたプログラムは主メモリ中のプログラムとは同
一でなく主ソフトウェア中のジェネリックソフトウェア
故障に対する保護を与える。本発明の鍵となる要素はソ
フトウェアによりディスエーブル化することができない
ノンマスカブルAll込みを使用する点である。切換え
は滑らかに過渡的効果を生じることなく実行される。シ
ステムはいったんバックアップモードに切換えられると
操作者すなわちパイロットがバックアップシステムを解
除して主モードに過渡的効果を生じることなく戻すまで
はこの状態に留まる。
本発明の他の目的、特徴及び利点は図示の最も好ましい
実施例に関する詳mな説明より明らかとなろう。
実施例 第1図は信頼性を向上させるため複数の冗長チャンネル
を備えた冗長チャンネルデジタルコンピュータ制御シス
テム10を示す。
各チャンネルは一般的に3つの主要部分、すなわち入/
出力(Ilo>ポート12.110インターフエース1
4.及び典型的にはマイクロプロセッサであるプロセッ
サ16より構成される。各チャンネルのプロセッサ16
は通常はデータ、制御及びアドレスライン20.22を
介して主メモリスペース18をインターフェースする。
本発明による方法及びRmではバックアップ制御システ
ム(BUC8)切換Ia横がアドレス及びデータライン
20とデータ及びアドレスライン22との間に動作的に
挿入され、主プログラムメモリ中におけるジェネリック
ソフトウェア故障の発生の如きいくつかの状態が生じる
と主メモリ18中のプログラムをバックアップメモリ2
4中のプログラムによりδ検する。バックアップモード
においてはアドレス及びデータライン26及びデータ及
びアドレスライン22がアドレス及びデータライン20
.22のかわりに使われる。すなわちBUC8切換機構
26は第1図の各チャンネル内に設けられた転送を実行
する機能を有する手段である。
各チャンネルはノンマスカブル割込み発生装置(コント
ローラ)28が設けられBUC8切換膿構26とプロセ
ッサ16との間でライン30上に様々な信号を供給しま
た供給される。
第2図はライン32上の様々な優先的割込み信号に応じ
てプロセッサ16に様々な割込み信号を供給するチャン
ネル割込みコントローラ28を示す。これらの割込み信
号にはライン35上にジェネリックソフトウェア故障検
出/指示器35aから出力される信号に応じてライン3
4上に形成されるノンマスカブル割込み要求信号が含ま
れる。
検出/指示器35aはBUC8切換機構26の一部をな
す。ライン35上の信号はジェネリックソフトウェア故
障が検出された場合あるいは要求があった場合にライン
35b上の要求信号に応じて送られる。ライン35cに
は様々なチャンネル故障(明所)信号が供給されこれら
の信号はそれぞれ対応するチャンネルの状態を示す。ラ
イン34上の信号は様々な状態のうちでも特に例えばジ
ェネリックソフトウェア故障が検出された場合にプロセ
ッサ16に送られる。
プロセッサ16はマシンサイクルが動的に変化できるも
のであるのが典型的で、マシンサイクルは例えば1クロ
ック周期から10クロック周期まで変化できる。かかる
一連のマシンサイクルの例を第3(a)図に示す。図示
の例では第3(b)図の波形36で示すNMI(ノンマ
スカブル割込み)要求信号がプロセッサに送られる。プ
ロッセッサ16が割込みコントローラ28に直ちに確認
応答信号を返送した場合はプロセッサが何らかの重要な
タスク、例えば第3(a)図のマシンサイクル信号よっ
て概略的に示すメモリの7ドレツシング等を行なってい
る最中に割込みがなされたことを意味する。本発明によ
りBUC3切換礪構26が正しく動作するためには確認
応答信号がプロセッサ16が通常の読出し/書込み動作
を妨げられないような時にのみ送られるようにすること
が必須である。第3(C)図はプ[1セツザ16が確実
に先のマシンサイクル38を終了している特別な時41
にのみ発生する第2図のライン42上の確認応答信号に
対応する確認応答信号波形40を示す。こうすることに
よりプロセッサの通常の読出し/書込み動作に対する干
渉が回避される。
第3(d)図はNMI  ACKマシンリイクル41に
おいてバックアップメモリへの切換がなされることを示
す。すなわち以後のマシンサイクル41aではバックア
ップメモリがアクセスされる。
状態変化点41bはプロセッサが主メモリをアクセスす
る状態からバックアップメモリをアクセスする状態へ移
行する境界点をあらわす。実際の切換えはライン42上
のIJJa応答信号により開始される。確認応答信号は
通常は状態ラッチ・42aに入力され、一方この状態ラ
ッチ42はライン42bを介してリンク44に切換信号
を出力し、この切換信号に応じてリンク44の位置が破
線46で示した位置に切換えられる。
第2図では5ucs切換機構26は本発明の理解を助け
るため機能的にしか示されていない。第2図に示す機構
は単純な単極双投スイッチと同じ機能を実行し、ブレー
ク ビフォア メイクあるいはメイク ビフォア ブレ
ーク動作あるいはそれらの中間的な動作を行なう。償構
26の機能は勿論ソフトウェアによる介入なしにライン
42上の確認応答信号に応じてプロセッサ゛のアドレス
/データライン22の接続を主メモリに至るライン20
からバックアップメモリに至るライン26aに切換える
ことにある。これは「リンク」44の位置を第2図に示
した9匿から先に説明したように同じI[26内の破線
で示した第2の位置46に切換えることによってなされ
る。勿論、以上の説明は機能的な説明であってこれを実
行する実際の手段の正確な説明を意図するものではない
。実際の回路においては第2図の機構26の改能は適当
な時に異なったメモリを選択するプロセツザヂップによ
って実行される。すなわち、第2図はBUC8切換機構
の機能をわかりやすく示すための図にすぎないことを理
解すべきである。
第4図はBUC8V′J換別構26を示す図であり機構
26への入力信号及び出力信号、またBUC8切換機構
のプロセッサに対するインターフェース動作をわかりや
すく示す。
例えばパイロット等が5ucs切換様横26をイネーブ
ルしたい場合、スイッチを操作することによりライン4
8上に5ucsアーミング(イネーブル)信号が供給さ
れる。この信号が供給されない限り主メモリとバックア
ップメモリとの間の切換えは決して生じない。
また、パイロットがジェネリックソフトウェア故障の検
出に無関係に切換えを行ないたい場合はライン50上に
BUCSエンゲージ信号を形成する。この信号はパイロ
ットが希望した場合、あるいはジェネリックソフトウェ
ア故障の存在を感じた場合に1動でBUC8切換機構2
6を作動させるためのものである。
またBUC3切換機構26は4系統ヂ17ンネルシステ
ムの場合4つのチャンネルの給電状態信号52にも応答
して動作する。この給電状態信号52の各々は4系統チ
ヤンネルシステムの4本の冗長チャンネルの一の給電状
態をそれぞれあられす。
切換機構26は給電が回復されると主動作モードでのチ
ャンネル動作を開始できるように設計されている。、4
本のライン52のうちの−は以下説明する4本のPOR
状態信号ライン70の−に接続される。その際ライン7
0上の状態信号の−が信号ライン52の−を介してBL
JC8切換機構へ帰還される。図中の信号ライン70と
信号ライン52との間の切れ目はPOR状態信号の入力
側への帰還が迂回した経路を辿ってなされてもよいこと
をあられし、この場合チャンネル外の経路や信号調整手
段をざらに間に挿入してもよい。
またBLJC8切換機構26は各々4系統システム中の
4本のチャンネルのうち自身のチャンネルをも含む一の
チャンネルの切断状態をあらわすライン54上の4つの
切断状態信号よりなる信号群に応じても動作する。ここ
で、チャンネルが主モードで動作している際に過半数の
チャンネルが切断されていると判断されるとBUCSモ
ードへの転送が生じる。
BtJC3切換礪横26はまた各々4系統システムのチ
ャンネルの一のモード状態を示すライン56上の4つの
信号よりなる信号群に対しても応答動作する。ライン5
2上の信号に基いて過半数の動作中のチャンネルがBU
CSモードで動作していると判定された場合は主メモリ
モードのまま動作し続けている個々のチャンネルがB 
LJ CSモードに切換えられる。またーのモード状f
g信号が先にライン52について説明したのと同じよう
にしてBUC8切換機構の出力側より出力されるのがわ
かる。その際に説明した内容はこの場合にもあてはまる
入力ライン5/lにおいてはライン52及び56の場合
のような複数の出力信号のうちの−が入力ライン上に複
数の入力信号の−として戻されることがない。しかし、
BUC8II7J換機構26にこれらの信号を生じる必
要な回路を含ませてもよい。
第4図の実施例ではこれらの回路は他の部分(図示せず
)に形成されている。換言すれば、ライン70及び72
上に(if号を出力する回路は第4図のBUC8切換例
横26では機構26内に含まれるように丞されているが
、この回路は信号54の源を示していない第4図の場合
と同じく図示しない伯の部分に設けてもよい。これらの
要素はBUCS切換機構の内側にでも外側にでも自在に
移すことができ、本発明の必須の要件ではない。
BUC8切換機構26はまたチャンネルへの給電が開始
され主動作モードで動作が開始されることを示すライン
58上のパワーオンリセット(POR)信号にも応答し
て動作する。これによりBUC8切換機構26はPOR
信号が供給された直後は必ず主メモリ18を使用するよ
うになる。
ブロセツ916はライン62を介して切換機構にCPU
コマンド転送信号を供給する。ライン62上の信号の目
的は試験のためCPUにより制御された切換を実行する
と共にソフトウェア制御される独立した切換手段を提供
することにある。
ライン64上の切断検出イネーブル信号はシステムのP
oRの後BUC8への移行をディスマーブル化してシス
テムが主モードで動作することを可能にする。ライン6
5上の信号は第2回目の切断解除を可能にする。
ライン66上のノンマスカブル割込み要求信号がBUC
8切換機構からプロセラ4ノに供給される。
この信号の作用は第2図のライン34上の信号の作用と
似ているが、後右が第2図の割込みコントローラ28か
ら供給されるのに対し前者は第4図の5ucs切換態構
自体から出力される点が異なる。機能的には両者に差は
ない。プロセッサ16はライン68上に確認応答信号を
メエリの読出し/書込み動作が妨げられない適当な瞬間
に出力する。
ライン70上の4つのPOR状態信号よりなる信号群は
一のチャンネルのPOR状態を伯の各チャンネルに伝え
るためのもので、このため一のチャンネルの信号がその
チャンネルも含めて(ライン56上の信号)他の各々の
チャンネルに供給される。
ライン72上の4つのチャンネルモード状態信号よりな
る信号群は各々それらを形成した特定のBLJC3切換
礪構と協働するチャンネルのモード状態をあられし、こ
れらの信号はシステム中の全チャンネルに供給される(
これらの−がライン56上に出力される。) ライン74上のBUCSエンゲージ状態点灯信号はその
時々でバックアップメモリが使われているか否かを示す
指示灯を点灯させるだめの信号である。
ライン76上のBUCSアーミング状態点灯信号はパイ
ロットが5ucsをアーミング状態にしたか否かを表示
する指示灯を点灯させるためのものである。
ライン78上の切断解除アーミング用うッヂ信号は切断
されたチャンネルの能力を回復し、出力の切断を解除し
、新たなモードの動作を再開するために切断解除機構(
図示せず)を再アーミングするためのものである。モー
ド状態信号はライン79上に出力されてプロセッサに供
給される。この信号は2つのチップ選択信号のうらどち
らが作用しているかを決める。どちらのチップ選択信号
が作用しているかに応じて主メモリ18又はバックアッ
プメモリ24の−が選択される。換言すれば、ライン7
9上の信号は5ucs切換機構26からの究極的な出力
信号であると化えることができる。
第5図はBLJC8切換機構の一実施例の内部を示す図
である。第5図に示す実施例はハードウェアにより実現
されているが、これは例えば第6図に示すフローチャー
トの動作を実行するブロセツυ及びプログラムメモリを
使用して実現することもできる。ただし、かかるプログ
ラムは主及びバックアップモードに対して独立である必
要がある。
すなわち、この場合のソフトウェアは主モードであれバ
ックアップモードであれ処理機能あるいは □メモリ機
能を共有することができない。この即由で5ucsはハ
ードウェアにより実現した方がより信頼性に富み又費用
的にも支くなる。従って第6図のフローチャートは主と
して本発明機構により実行される論即ステップをわかり
やすく図示することを主な目的とする図にすぎない。
第5図は第4図中の入力信号及び出力信号の全てを示す
。ライン48上のBUCSアーミング信号はこの信号の
レベルをライン82上の条件的バックアップアーミング
信号及びライン58上のPOR信号に応答動作するOR
ゲート84に適合したレベルに調整するバックアップア
ーミング調整回路80に供給される。これら2つの非同
期信号のいずれか一方が存在する場合、ORゲート84
はライン86にD形フリ之ブ70ツブのR8入力端子に
供給される信号を出力する。ただし、このD形フリップ
フロップでは非同期入力信号が同期入力信号よりも優先
される。このフリップフロップのQ出力端子の出力信号
レベルはライン9o上にハイレベル入力信号が加えられ
た場合(ライン92上のクロック信号に引続いて)ハイ
になるがライン86上にハイレベル信号が現われるとオ
ーバーライドされてローになる。これがBtJC8tt
l構がアーミングされていない場合あるいはPORが存
在する場合にノンマスカブル割込み信号が形成する方法
である。
チャンネル切断検出多数決回路94は4系統システム中
の4つの、信号54のうち過半数すなわち3以上が切断
状態を示した場合ライン95上のクロック信号及び前記
複数のチャンネル切断状態信号54に応じてANDゲー
ト98に供給される信号をライン96上に出力する。A
NDゲート98にはまた第4図のブロセッリ16からラ
イン64を介して切断検出イネーブル信号が供給される
ANDゲート98がORゲート102にライン100を
介して出力信号を出力するためにはライン96とライン
64の両方に信号が印加される必要がある。
第4図のライン56上の複数の信号は多数決回路104
に供給され、回路104は3以上のチャンネルモード状
態信号がすなわち4系統ヂヤンネルシステム中の過半数
のチャンネルが5ucsモードである場合にORゲート
102にライン106を介して出力信号を出力する。こ
の場合、以下より訂細に説明するように問題のチャンネ
ルもまたBUC811−−ドになることが要求され、こ
の目的のためにORゲート102にライン106を介し
て信号が出力される。
ライン50上の5ucs工ンゲージ信号はパイロットが
操縦席でスイッチ108を操作することにより供給され
る。パイロット要求信号調整回路110はライン50上
のエンゲージ信号に応じてORゲート102に適合され
た調整済出力信号をライン110に出力する。すなわち
回路110は例えば直流にボルトの電圧をTTLに適合
した直流5ボルトの電圧まで減少させる。
ORゲート102はまたライン62上のCPUにより形
成された切換コマンド信尼にも応答動作する。この信号
は先に説明した如きジェネリックソフトウェア故障が発
生した場合にチャンネルをシステムに接合させるあるい
は無条件に転送をおこなうための経路を可能にする。
D形フリップフロップ88は、過半数のチャンネルが切
断状態にある場合、過半数のチャンネルがBUC8状因
にある場合、パイロットが要求した場合、あるいはCP
Uより切換コマンドが出された場合に第4図のプロセッ
サ16にライン66を介してノンマスカブル割込み信号
を供給する。
勿論、これらの状態によりバックアップメモリへの切換
が実際に実行されるに先立ってR3入力の制御によりバ
ックアップシステムがあらがじめアーミング(イネーブ
ル)されている必要がある。
ライン66上のノンマスカブル割込み信号がプロセッサ
に送られるとプロセッサはライン68にNMI確認相当
信号を出力しこのNMI確認応答信号はNMI信号自体
と共にANDゲート114に送られる。このANDゲー
ト114はNMI信号及びNMI確認応答信号が共に存
在する場合に限り出力信号をライン116を介して別の
D形フリップフロップ118に供給する。これにより、
バックアップメモリが選択されるよりもi’fffにプ
ロセッサがその動作を終了していることが保翻される。
D形フリップフロップ118はう1′ン120を介して
出力信号を信号バッファモジュール122へ供給する。
この信号バッファモジュール122はライン82上のバ
ックアップアーミング信号、   。
ライン58上のPot≧信号、ライン112上のパイロ
ット要求信号、及びライン65」一の第2の切断解除試
行信号等を含む多数の信号に対しても応答動作する。
信号バッファモジュール122はライン78上に切断解
除アーミングラッチ信号を、ライン76上にBUCSア
ーミング状態表示灯信号を、ライン74上にBUCSエ
ンゲージ状態表示灯信号を、ライン72上にチャンネル
モード状態信号を、ライン70上にPOR状態信号を、
そしてライン79上に最も重要なチップ選択切換信号を
夫々出力する。
第4図のBUC8切換機構は第5図では特に一のハード
ウェアによって実現された側を示しであるがこれを第5
図のハードウェアと類似した他のハードウェアによって
構成することも可能である。
この場合様々なゲートアレー及び個々の部品を使用して
もよい。また切換機構26を第6図に示した命令の紺を
実行する別のマイクロプロセッサによって実現してもよ
い。ただし、このマイクロプロセッサはメモリスペース
18及び24中の主及びバックアップソフトウェアプロ
グラムを共用してはならない。
すなわら、第4図の5ucs切換様構26は実際にはC
P tJと、第6図のプログラムステップを永久的にメ
モリ中に保持するROMと、RAMと、データバスと、
制御バスと、アドレスバスと、その他必要な部分とを内
部に含むプロセッサによって構成してもよい。
第6図の70−ヂャートはステップ130で開始され、
次いでステップ132でその切換機構が形成されている
特定のチャンネルが給電されているか否かが判定される
。否である場合、ステップ132がこの切換制御される
チャンネルが給電されるようになるまでくりかえされる
。チャンネルが給電されていると判定されると次にステ
ップ134でチャンネル動作が主動作モードで開始され
る。換言すれば、ステップ134ではバックアップメモ
リ24でなく主メモリ18が使用される。
次いでステップ136が実行されBtJC8がアーミン
グされているか否かが判、定される。否であればF3U
C3が実際にアーミングされるまでステップ136がく
りかえされる。5ucsがアーミングされていると判定
されるとステップ138が次に実行されパイロットによ
ってBUC8切換要求がなされたか否か、すなわち第5
図のライン50上の信号が存在するか否かが判定される
。否であれば次にステップ140が実行されて過半数の
チャンネルが切断されているか否か、すなわちライン5
4上の過半数の信号が切断状態をあられしているか否か
が判定される。否であれば次いでステップ142が実行
されてCPUがBUC8切換要求を行なったか否か、す
なわち第4図及び第5図においてライン62上に信号が
存在するか否かが判定される。否であればステップ14
4が次に実行され給電中のチャンネルの過半数がBUC
8状懇にあるか否かが判定される。否であればステップ
146が次いで実行されBUCSモードがなおもアーミ
ングされているか否かが判定される。
BUCSモードが引続きアーミングされた状態にあるな
らばステップ138,140,142゜144のいずれ
かのステップでBUCSモードへの切換えが適当である
と判定されるまでステップ138.140,142及び
144がくりかえし実行される。さらに上記各ステプで
BUCSモードへ切換ねるべきであると判定されるとス
テップ148が実行され、一方BUCSモードがちはや
アーミングされていないと判定されるとステップ150
が次に実行されてチャンネルが主メモリ18を使用して
いるかバックアップメモリ24を使用しているかが判定
される。
ステップ138〜144のうちの−でBUCSモードへ
切換わるべきであると判定されるとステップ148が実
行されチャンネルが既にBUCSモードにあるか否かが
判定される。否であればステップ152が次に実行され
BUCSモードへの切換えがなされチャンネルはBtJ
CSモードで動作を始める。一方ヂヤンネルが既にBL
JCSモードにある場合はステップ152は不要でステ
ップ154が直接に実行されそのチャンネルの給電が停
止しているか否かが判定される。給電が停止していれば
次いでステップ132が実行されチャンネルへの給電が
再開され主モードでの動作が再開されるのを持つ。一方
チヤンネルの給電が停止していない場合はステップ14
6が次に実行されBUC8がなおアーミングされたまま
であるか否かが判定される。
BUC8がもはやアーミングされていなければステップ
150でチャンネルがなおりUCSモードにあるか否か
が判定される。チャンネルがなおもBUCSモードにあ
る場合はステップ156が次いで実行され、主モードへ
の切換えが実行されてチャンネルの動作が主モードで再
開される。−方ステップ150でチャンネルがもはやB
LICSモードにないことが判定されるとステップ15
6を実行することなくステップ136への切換えが直ち
になされる。いずれにせよ、ステップ150又はステッ
プ156の後でステア136が実行されBUCSモード
がアーミングされているか否かが判定される。
このようにしてプログラムは終ることなく実行されBt
JCSモードへの移行あるいはBtJCSモードからの
脱出がなされる。
以上、本発明を最良の実施例について説明したが、本発
明の思想及’ff要旨内で様々な変形、変更、省略、追
加が可能である。
【図面の簡単な説明】
第1図は本発明が各チャンネルにて実施されている冗長
デジタルコンピュータ制御システムを示す図、第2図は
本発明の思想を機能的に図示した図、第3図は第2図の
切換機能の動作をわかりやすくするためのタイミング図
、第4図は本発明切換機構に協働する様々な入出力信号
を丞す本発明によるBLIC8切換機能のバードウIア
実施例を示す図、第5図は第4図切換機構のハードウェ
ア構成を示す概略的ブロック図、第6図は第4図切換機
構をブロセッ勺で実施した場合にこのブ0セッサが実行
する論理ステップを示す概略的フローヂャートである。 12・・・I10ポート、14・・・I10インターフ
ェース、16・・・ブロセツザ、18・・・主メモリ、
20.22.26.26a、30.32.34゜35.
35b、35c、42.42b、48゜50.54.5
6.58,62.64〜66゜70.72.74.76
.78.79.82゜86.90.92.95,96,
100,106゜112.116.120・・・ライン
、24・・・バックアップメモリ、28・・・ノンマス
カブル割込みコントローラ、35a・・・ジェネリック
ソフトウェア故障検出/指示器、40・・・確認応答信
号、41・・・NMIACKマシンサイクル、41a・
・・マシンサイクル、41b・・・状態変化点、42a
・・・状態ラッチ、44.46・・・リンク、52・・
・給電状f誤信号、80.110−・・調整回路、84
.102・OR’7’−ト、88,118・・・フリッ
プ70ツブ、94゜104・・・多数決回路、98.1
14・・・ANDゲート、108・・・スイッチ、12
2・・・バッファモジュール。 特許出願人 ユナイテッド チクノロシーズFIG、 
 /

Claims (7)

    【特許請求の範囲】
  1. (1)切換要求信号に応じてプロセッサに割込み信号を
    供給し; 該割込み信号に応じてかつ該プロセッサが該割込み信号
    を供給された時点で実行中のマシンサイクルが終了した
    後で切換信号を形成し該切換信号によりプロセッサのプ
    ログラムメモリを主プログラムメモリからバックアップ
    プログラムメモリに切換える段階よりなることを特徴と
    する制御用デジタルコンピュータにおける独立したバッ
    クアップモードへの切換方法。
  2. (2)割込み信号を切換要求信号に応じてプロセッサ中
    のアンインタラプタブル割込み機能を有する割込みポー
    トに供給する手段と; 該割込み信号に応じてかつ該プロセッサが該割込み信号
    を供給された時点で実行中のマシンサイクルが終了した
    後でプロセッサのプログラムメモリを主プログラムメモ
    リからバックアッププログラムメモリに切換える切換動
    作を開始させる切換信号を供給する手段とよりなること
    を特徴とする制御用デジタルコンピュータにおけるプロ
    グラムメモリの切換装置。
  3. (3)多チャンネルシステム中の一のチャンネル中のプ
    ロセッサの動作を主メモリ中に格納された主プログラム
    を使用するモードから別のメモリ中に格納された別のプ
    ログラムを使用するモードに切換えることにより主プロ
    グラムを使用するモードで誤作動が生じた場合に該誤動
    作の発生を示す信号に応じて該別のプログラムを使って
    所望の動作を実行する方法であつて; 一又は複数のチャンネル中において誤動作の発生を示す
    信号の存在を吟味し; 過半数のチャンネルに誤動作の発生を示す該信号が存在
    している場合に割込み信号を形成し;該割込み信号に応
    じてプロセッサに該プロッセッサが現に実行中の動作を
    完了させた後主メモリから別のメモリへの切換えが完了
    するまでの間その他の動作ステップを一時的に中止させ
    ;該プロセッサが該その他の動作ステップを一時的に中
    止するのに応じて確認応答符号を形成し; 該確認応答信号に応じてプロッセッサを主メモリから切
    離し; 該プロセッサを該別のメモリに接続する段階よりなるこ
    とを特徴とする方法。
  4. (4)停電の後で給電が再開される際に信号の処理が停
    電前にどのメモリが使われていたかには関係なく所定の
    スタートアップメモリを使用して動作が再開される段階
    をさらに含むことを特徴とする特許請求の範囲第3項記
    載の方法。
  5. (5)外部の利用者からの要求信号が供給された場合過
    半数のチャンネルに誤動作をあらわす該信号が生じてい
    なくてもシステム中の複数のチャンネルを主メモリモー
    ドに切換える段階をさらに含むことを特徴とする特許請
    求の範囲第5項記載の方法。
  6. (6)該主メモリから該別のメモリへの切換えが一度生
    じた後は過半数のチャンネル中に誤動作が生じているこ
    とを示す信号が対応して過半数形成されてもその都度切
    換信号が形成されるのを阻止する段階をさらに含むこと
    を特徴とする特許請求の範囲第3項記載の方法。
  7. (7)切換えはチャンネル中において冗長メモリ切換機
    構によつてなされることを特徴とする特許請求の範囲第
    3項記載の方法。
JP26364087A 1986-10-24 1987-10-19 制御用デジタルコンピュータにおける独立したバックアップモードへの切換方法及び機構 Pending JPS63113701A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US92261786A 1986-10-24 1986-10-24
US922617 1986-10-24

Publications (1)

Publication Number Publication Date
JPS63113701A true JPS63113701A (ja) 1988-05-18

Family

ID=25447332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP26364087A Pending JPS63113701A (ja) 1986-10-24 1987-10-19 制御用デジタルコンピュータにおける独立したバックアップモードへの切換方法及び機構

Country Status (3)

Country Link
EP (1) EP0265366B1 (ja)
JP (1) JPS63113701A (ja)
DE (1) DE3751374T2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02297601A (ja) * 1989-05-11 1990-12-10 Sanyo Electric Co Ltd 洗濯機等の電気機器
JPH03131902A (ja) * 1989-10-18 1991-06-05 Mitsubishi Electric Corp 産業用制御装置
CN100338337C (zh) * 2002-06-07 2007-09-19 三菱重工业株式会社 汽轮机转子叶片组件及其组装方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE516953C2 (sv) 1999-09-22 2002-03-26 Saab Ab Datoranordning med säkerhetsfunktion
TWI312965B (en) * 2003-02-26 2009-08-01 Novatek Microelectronics Corp Micro-system for burn-in system program from a plug-able subsystem to main memory and method thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4358823A (en) * 1977-03-25 1982-11-09 Trw, Inc. Double redundant processor
JPS56166000A (en) * 1980-05-27 1981-12-19 Mitsubishi Electric Corp Duplicated memory
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
GB2172722B (en) * 1985-03-22 1989-06-28 United Technologies Corp Backup control system (bucs)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02297601A (ja) * 1989-05-11 1990-12-10 Sanyo Electric Co Ltd 洗濯機等の電気機器
JPH03131902A (ja) * 1989-10-18 1991-06-05 Mitsubishi Electric Corp 産業用制御装置
CN100338337C (zh) * 2002-06-07 2007-09-19 三菱重工业株式会社 汽轮机转子叶片组件及其组装方法

Also Published As

Publication number Publication date
EP0265366A3 (en) 1990-05-16
EP0265366A2 (en) 1988-04-27
DE3751374D1 (de) 1995-08-03
DE3751374T2 (de) 1995-11-09
EP0265366B1 (en) 1995-06-28

Similar Documents

Publication Publication Date Title
KR100566339B1 (ko) 폴트 톨러런트 컴퓨터 시스템, 그 재동기화 방법, 및 그 재동기화 프로그램을 갖는 컴퓨터 판독가능 저장매체
US5185877A (en) Protocol for transfer of DMA data
US4941087A (en) System for bumpless changeover between active units and backup units by establishing rollback points and logging write and read operations
US5802265A (en) Transparent fault tolerant computer system
US6049893A (en) System and method for synchronously resetting a plurality of microprocessors
US7853819B2 (en) Method and device for clock changeover in a multi-processor system
US7493517B2 (en) Fault tolerant computer system and a synchronization method for the same
JPH0792765B2 (ja) 入/出力コントローラ
WO1997022930A9 (en) Transparent fault tolerant computer system
US5048022A (en) Memory device with transfer of ECC signals on time division multiplexed bidirectional lines
US5163138A (en) Protocol for read write transfers via switching logic by transmitting and retransmitting an address
KR100258079B1 (ko) 밀결합 결함 허용 시스템에서 메모리 버스 확장에 의한 동시 쓰기 이중화 장치
JP4182948B2 (ja) フォールト・トレラント・コンピュータシステムと、そのための割り込み制御方法
US5128943A (en) Independent backup mode transfer and mechanism for digital control computers
EP0411805A2 (en) Bulk memory transfer during resync
JP3774826B2 (ja) 情報処理装置
JPS63113701A (ja) 制御用デジタルコンピュータにおける独立したバックアップモードへの切換方法及び機構
US5572663A (en) Highly reliable information processor system
EP0416732B1 (en) Targeted resets in a data processor
JPH06242979A (ja) 二重化コンピュータ装置
KR100228306B1 (ko) 핫-스탠바이 이중화 장치 및 그의 구현 방법
JP2590239B2 (ja) ロック回路のロック取得方法
JP2645880B2 (ja) システムクロック二重化方式
JPH03222020A (ja) マルチマイクロプロセッサシステムのリセット方式
JP3055906B2 (ja) 緊急動作方式