RU2264648C2 - Reserved two-processor computer system - Google Patents

Reserved two-processor computer system Download PDF

Info

Publication number
RU2264648C2
RU2264648C2 RU2003135005/09A RU2003135005A RU2264648C2 RU 2264648 C2 RU2264648 C2 RU 2264648C2 RU 2003135005/09 A RU2003135005/09 A RU 2003135005/09A RU 2003135005 A RU2003135005 A RU 2003135005A RU 2264648 C2 RU2264648 C2 RU 2264648C2
Authority
RU
Russia
Prior art keywords
processor
input
channel
output
counter
Prior art date
Application number
RU2003135005/09A
Other languages
Russian (ru)
Other versions
RU2003135005A (en
Inventor
Г.Г. Бахирев (RU)
Г.Г. Бахирев
В.Н. Русанов (RU)
В.Н. Русанов
С.Н. Абросимов (RU)
С.Н. Абросимов
Original Assignee
Российская Федерация в лице Министерства Российской Федерации по атомной энергии
Федеральное государственное унитарное предприятие Научно-исследовательский институт измерительных систем им. Ю.Е. Седакова
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Российская Федерация в лице Министерства Российской Федерации по атомной энергии, Федеральное государственное унитарное предприятие Научно-исследовательский институт измерительных систем им. Ю.Е. Седакова filed Critical Российская Федерация в лице Министерства Российской Федерации по атомной энергии
Priority to RU2003135005/09A priority Critical patent/RU2264648C2/en
Publication of RU2003135005A publication Critical patent/RU2003135005A/en
Application granted granted Critical
Publication of RU2264648C2 publication Critical patent/RU2264648C2/en

Links

Images

Landscapes

  • Hardware Redundancy (AREA)

Abstract

FIELD: computer science.
SUBSTANCE: device has comparison circuit, two system generators, two starting setting circuits, two identical channels, each of which has microprocessor unit, commutation device, Or circuit, error counter, pulse generator, time analyzer of intactness, trigger, OR-NOT circuit, outputs of commutation devices of both channels are combined and are output of device.
EFFECT: higher reliability.
8 dwg

Description

Предлагаемое изобретение относится к вычислительной технике и может быть использовано при построении надежных вычислительно-управляющих систем.The present invention relates to computer technology and can be used to build reliable computing and control systems.

Известна двухпроцессорная вычислительная система [1], содержащая два процессора и двухканальное устройство управления, передающее в процессоры управляющие и разрешающие сигналы. В соответствии с этими сигналами один из процессоров используется в качестве главного, а второй - в качестве подчиненного. Выбор процессора осуществляет главная схема управления. Если позиционные сигналы имеют определенное значение в течение установленного времени, взводится триггер. Двухканальное устройство управления анализирует сигналы от двух главных схем управления и автоматически назначает главный и подчиненный процессоры.Known dual-processor computing system [1], containing two processors and a two-channel control device that transmits control and enable signals to the processors. In accordance with these signals, one of the processors is used as the main one, and the second as a slave. The choice of processor is carried out by the main control circuit. If the positional signals have a certain value within the set time, the trigger is cocked. The two-channel control device analyzes the signals from the two main control circuits and automatically assigns the main and slave processors.

Недостаток системы в том, что используется статический сигнал готовности для выбора процессора (при «зависании» программы процессора сигнал сохраняется). При выборе основного и дублирующего процессора не используется информация о количестве сбоев каждого процессора.The disadvantage of the system is that it uses a static ready signal to select a processor (when the processor program “hangs”, the signal is saved). When choosing a primary and backup processor, information about the number of failures of each processor is not used.

Известна система с резервным процессором для управления технологическим процессом [2]. Система содержит первичный процессор для управления технологическим процессом через совокупность устройств ввода/вывода. Первичный процессор содержит центральный процессор и запоминающее устройство (ЗУ) и функционирует в соответствии с прикладной программой. ЗУ хранит запись о текущем состоянии системы с параметрами текущей операции, необходимыми для работы прикладной программы. Резервный процессор содержит ЗУ и может находиться либо в активном режиме, либо в резервном режиме. В активном режиме он полностью заменяет первичный процессор. В резервном режиме он периодически записывает в буфер ЗУ информацию о текущем состоянии, поступающую через двухпортовое ЗУ от первичного процессора. При этом запись проверяется на отсутствие ошибок. Блок управления первичного процессора работает независимо от данных о состоянии системы. Он может вырабатывать сигнал неисправности и переводить резервный процессор в активный режим.A known system with a backup processor for process control [2]. The system contains a primary processor for controlling the process through a set of input / output devices. The primary processor comprises a central processor and a storage device (memory) and operates in accordance with an application program. The memory stores a record of the current state of the system with the parameters of the current operation necessary for the application to work. The standby processor contains the memory and can be either in active mode or in standby mode. In active mode, it completely replaces the primary processor. In standby mode, it periodically writes to the memory buffer information about the current state coming through the dual-port memory from the primary processor. In this case, the record is checked for errors. The primary processor control unit operates independently of system status data. It can generate a fault signal and put the standby processor in active mode.

Недостаток системы в том, что при выходе двухпортового ЗУ из строя резервный процессор не получит данных. Возможен только однократный переход «первичный-вторичный».The disadvantage of the system is that when the dual-port memory device fails, the backup processor will not receive data. Only a single transition "primary-secondary" is possible.

Известна устойчивая к отказам вычислительная система (прототип) с двумя процессорами, попеременно выполняющими функции главного и подчиненного процессоров [3]. Вычислительная система состоит из двух процессоров (каналов), схемы начальной установки, подключенной к входу процессора каждого канала, системного генератора, выход которого подключен к входу процессора каждого канала и схемы управления. Каждый процессор может работать в автономном режиме главного процессора и в режиме подчиненного процессора, контролирующего работу другого процессора. Работа в режиме главного процессора заключается в обычном выполнении инструкций и функции ввода/вывода; в подчиненном режиме процессор выполняет те же инструкции, что и главный процессор, только все линии, по которым осуществляется вывод данных, отключены. Кроме того, в подчиненном режиме схема сравнения, встроенная в процессор, сверяет результаты выходных данных обоих процессоров. Схема управления через определенные интервалы времени осуществляет переключение режимов работы процессоров для контроля процессорами друг друга. Если возникает несоответствие, то подчиненный процессор сигнализирует схеме управления об ошибке. Схема управления пытается восстановить синхронность работы процессоров, вызывая в обоих процессорах внешнее прерывание. Если же процессор вышел из строя и был в это время подчиненным процессором, то в таком случае схема будет работать без подчиненного процессора в течение времени, равного периоду переключения режимов работы процессоров. Затем неисправный процессор будет переведен в режим главного, а исправный - в режим подчиненного, где неисправность главного процессора уже будет обнаружена.Known fault tolerant computing system (prototype) with two processors, alternately performing the functions of the main and slave processors [3]. A computing system consists of two processors (channels), an initial installation circuit connected to the processor input of each channel, a system generator whose output is connected to the processor input of each channel, and a control circuit. Each processor can work in stand-alone mode of the main processor and in the mode of a slave processor that controls the operation of another processor. Work in the main processor mode consists in the usual execution of instructions and input / output functions; in slave mode, the processor executes the same instructions as the main processor, only all lines through which data is output are turned off. In addition, in the slave mode, a comparison circuit built into the processor checks the output of both processors. The control circuit at certain time intervals switches the operating modes of the processors to control each other's processors. If a mismatch occurs, the slave processor signals an error to the control circuit. The control circuit tries to restore the synchronism of the processors, causing an external interrupt in both processors. If the processor crashed and at that time was a slave processor, then in this case the circuit will work without a slave processor for a time equal to the period of switching the processor operating modes. Then, the failed processor will be transferred to the master mode, and the healthy processor will be transferred to the slave mode, where a malfunction of the main processor will be detected.

Недостаток системы в том, что при отказе системного генератора, который является общим для двух процессоров, отказывает вся система. В случае использования отдельных генераторов для каждого процессора возникнет рассинхронизация. Рассинхронизация также может наступить при неодновременном поступлении входных данных от приемных устройств.The disadvantage of the system is that when a system generator, which is common to two processors, fails, the entire system fails. In the case of using separate generators, a desynchronization will occur for each processor. Unsynchronization can also occur when the input data from the receiving devices is not received simultaneously.

Технический результат - повышение надежности системы за счет периодического решения диагностической задачи в каждом канале, временного анализа исправности, определения числа сбоев и выбора канала по сравнению с накопленной информации о количестве сбоев в каждом канале.The technical result is to increase the reliability of the system by periodically solving the diagnostic problem in each channel, temporarily analyzing the health, determining the number of failures and selecting a channel compared to the accumulated information about the number of failures in each channel.

Технический результат достигается тем, что в резервированную двухпроцессорную вычислительную систему, содержащую два идентичных канала, в каждом из которых первый выход процессора подключен к первому входу коммутатора, системный генератор, выход которого подключен к первому входу процессора первого канала, схему начальной установки, выход которой подключен ко второму входу процессора первого канала, в первый и второй каналы введены импульсный генератор, элемент ИЛИ, временной анализатор исправности, счетчик сбоев, триггер, элемент ИЛИ-НЕ, выход которого подключен ко второму входу коммутатора, второй выход процессора через элемент ИЛИ подключен к первому входу триггера и ко второму входу временного анализатора исправности, выход триггера подключен к первому входу элемента ИЛИ-НЕ, второй вход процессора соединен со вторым входом элемента ИЛИ и вторым входом счетчика сбоев, выход импульсного генератора через временной анализатор исправности подключен к первому входу счетчика сбоев и ко второму входу триггера, второй выход счетчика сбоев подключен ко второму входу элемента ИЛИ-НЕ, а также введены системный генератор, выход которого подключен к первому входу процессора второго канала, схема начальной установки, выход которой подключен ко второму входу процессора второго канала и схема сравнения, первый вход которой подключен к первому выходу счетчика сбоев первого канала, второй вход схемы сравнения подключен к первому выходу счетчика сбоев второго канала, первый выход схемы сравнения подключен к третьему входу элемента ИЛИ-НЕ первого канала, второй выход схемы сравнения подключен к третьему входу элемента ИЛИ-НЕ второго канала, выходы коммутаторов соединены и являются выходом системы.The technical result is achieved in that in a redundant dual-processor computing system containing two identical channels, in each of which the first output of the processor is connected to the first input of the switch, the system generator, the output of which is connected to the first input of the processor of the first channel, the initial installation circuit, the output of which is connected a pulse generator, an OR element, a temporary health analyzer, a failure counter, a trigger, an IL element are introduced into the second input of the processor of the first channel, the first and second channels -NOT, whose output is connected to the second input of the switch, the second processor output through the OR element is connected to the first input of the trigger and to the second input of the temporary health analyzer, the trigger output is connected to the first input of the OR-NOT element, the second processor input is connected to the second input of the OR element and the second input of the fault counter, the output of the pulse generator through a temporary health analyzer is connected to the first input of the fault counter and to the second input of the trigger, the second output of the fault counter is connected to the second input OR OR, and also introduced a system generator whose output is connected to the first input of the processor of the second channel, the initial installation circuit, the output of which is connected to the second input of the processor of the second channel and the comparison circuit, the first input of which is connected to the first output of the failure counter of the first channel, the second input of the comparison circuit is connected to the first output of the failure counter of the second channel, the first output of the comparison circuit is connected to the third input of the OR element of the first channel, the second output of the comparison circuit is connected to the third input of ment NOR second channel, and switches the outputs are connected to the output of the system.

На фиг.1 приведена структурная схема предлагаемой системы.Figure 1 shows the structural diagram of the proposed system.

На фиг.2 приведена временная диаграмма работы системы после выхода из начального состояния.Figure 2 shows the timing diagram of the system after exiting the initial state.

На фиг.3 приведена временная диаграмма работы системы при сбое в процессоре 5 первого канала 1.Figure 3 shows the timing diagram of the system during a failure in the processor 5 of the first channel 1.

На фиг.4. приведена временная диаграмма работы системы при отказе процессора 5 второго канала 1.In figure 4. The time diagram of the system when the processor 5 of the second channel 1 fails.

На фиг.5 приведен пример реализации временного анализатора исправности 8.Figure 5 shows an example implementation of a temporary analyzer health 8.

На фиг.6 - его временная диаграмма.Figure 6 is its timing diagram.

На фиг.7 приведен пример реализации счетчика сбоев 10.7 shows an example implementation of the failure counter 10.

На фиг.8 - его временная диаграмма.On Fig - its timing diagram.

Резервированная двухпроцессорная вычислительная система, показанная на фиг.1, содержит два идентичных канала 1, два идентичных системных генератора 2, две идентичные схемы начальной установки 3 и схему сравнения 4. Каждый канал 1 содержит процессор 5, подключенный к элементу ИЛИ 6, импульсный генератор 7, подключенный к временному анализатору исправности 8, который подключен к триггеру 9 и счетчику сбоев 10, элемент ИЛИ-НЕ 11, подключенный к коммутатору 12, кроме того, процессор 5 подключен к коммутатору 12, элемент ИЛИ 6 подключен к временному анализатору исправности 8 и триггеру 9, к элементу ИЛИ-НЕ 11 подключены триггер 9, счетчик сбоев 10 и схема сравнения 4. К схеме сравнения 4 подключены счетчики сбоев 10 каждого канала 1. Также в системе соответствующий системный генератор 2 подключен к процессору 5 соответствующего канала 1, соответствующая схема начальной установки 3 подключена к процессору 5, элементу ИЛИ 6 и счетчику сбоев 10 соответствующего канала 1. Выходы коммутаторов 12 каждого канала 1 соединены и являются выходом системы.The redundant dual-processor computing system shown in FIG. 1 contains two identical channels 1, two identical system generators 2, two identical initial setup circuits 3 and a comparison circuit 4. Each channel 1 contains a processor 5 connected to an OR element 6, a pulse generator 7 connected to a temporary health analyzer 8, which is connected to a trigger 9 and a failure counter 10, an OR-NOT 11 element connected to a switch 12, in addition, the processor 5 is connected to a switch 12, the OR element 6 is connected to a temporary analysis health indicator 8 and trigger 9, trigger 9, failure counter 10, and comparison circuit 4 are connected to the OR-NOT element 11. The failure counters 10 of each channel 1 are connected to comparison circuit 4. Also in the system, the corresponding system generator 2 is connected to processor 5 of the corresponding channel 1, the corresponding initial installation circuit 3 is connected to the processor 5, the OR element 6 and the failure counter 10 of the corresponding channel 1. The outputs of the switches 12 of each channel 1 are connected and are the output of the system.

Система работает следующим образом.The system operates as follows.

Перед началом работы для каждого канала 1 соответствующей схемой начальной установки 3 формируется сигнал сброса, поступающий на процессор 5, счетчик сбоев 10 и через элемент ИЛИ 6 на временной анализатор исправности 8 и триггер 9. Во время работы процессор 5 периодически формирует сигнал исправности, который через элемент ИЛИ 6 поступает на временной анализатор исправности 8 и триггер 9. В случае отсутствия сигнала исправности от процессора 5 в течение определенного интервала времени временной анализатор исправности 8 формирует импульс, поступающий на счетчик сбоев 10 и триггер 9. Каждый канал 1 выдает параллельный код количества сбоев процессора 5 с выхода счетчика сбоев 10 на схему сравнения 4 и принимает от нее сигнал выбора канала, выдает данные на выход канала через коммутатор 12 при наличии сигнала разрешения, формируемого элементом ИЛИ-НЕ 11 по сигналам от триггера 9, счетчика сбоев 10 и схемы сравнения 4.Before starting work for each channel 1, the corresponding resetting circuit 3 generates a reset signal that arrives at processor 5, a failure counter 10, and through an OR 6 element to a temporary health analyzer 8 and trigger 9. During operation, processor 5 periodically generates a health signal, which, through OR element 6 is fed to a temporary health analyzer 8 and trigger 9. In the absence of a health signal from processor 5 during a certain time interval, a temporary health analyzer 8 generates a pulse, falling on the counter of failures 10 and trigger 9. Each channel 1 gives a parallel code of the number of failures of the processor 5 from the output of the counter of failures 10 to the comparison circuit 4 and receives a channel selection signal from it, provides data to the channel output through the switch 12 in the presence of a permission signal generated element OR NOT 11 according to the signals from trigger 9, failure counter 10 and comparison circuit 4.

После прохождения сигнала RES от схемы начальной установки 3 в процессоре 5 каждого канала одновременно с основной задачей периодически выполняется диагностическая задача, которая в случае успешного ее выполнения формирует короткий импульс исправности TestOK, поступающий через элемент ИЛИ 6 на временной анализатор исправности 8 и триггер 9.After the RES signal passes from the initial setup circuit 3 in the processor 5 of each channel, the diagnostic task is periodically performed at the same time as the main task, which, if successful, generates a short TestOK health pulse, which passes through the OR 6 element to the temporary health analyzer 8 and trigger 9.

Импульсный генератор 7 служит для тактирования временного анализатора исправности 8, не требует стабильной частоты и может быть выполнен как релаксационная схема на логическом элементе.The pulse generator 7 serves to clock a temporary analyzer of health 8, does not require a stable frequency, and can be performed as a relaxation circuit on a logic element.

Временной анализатор исправности 8 представляет собой счетчик импульсов, поступающих от импульсного генератора 7. Сброс счетчика происходит по сигналу исправности от процессора 5 или сигналу сброса схемы начальной установки 3. На фиг.5 приведен пример реализации временного анализатора исправности на счетчике в коде Грея по модулю четыре; на фиг.6 - его временная диаграмма. Сигнал RESTART формируется элементом ИЛИ 6 из сигналов TestOK процессора 5 и RES схемы начальной установки 3.The temporary health analyzer 8 is a counter of pulses from the pulse generator 7. The counter is reset by the health signal from processor 5 or by the reset signal of the initial setup 3. Figure 5 shows an example of the implementation of a temporary health analyzer on the counter in Gray code modulo four ; figure 6 is its timing diagram. The RESTART signal is generated by the OR element 6 from the TestOK signals of the processor 5 and RES of the initial installation circuit 3.

Для известного периода Т диагностической задачи, который определяется инерционностью управляемого объекта, частота F импульсного генератора 7 определяются из соотношенияFor a known period T of the diagnostic problem, which is determined by the inertia of the controlled object, the frequency F of the pulse generator 7 is determined from the relation

Figure 00000002
Figure 00000002

где N - максимальное число импульсов до заполнения счетчика временного анализатора исправности (на фиг.5 и 6 принято N=3).where N is the maximum number of pulses until the counter of the temporary health analyzer is filled (N = 3 is accepted in FIGS. 5 and 6).

Для расширения функциональных возможностей импульсный генератор 7 может быть выполнен перестраиваемым, например, с помощью управляемого делителя частоты.To expand the functionality of the pulse generator 7 can be made tunable, for example, using a controlled frequency divider.

Сбоем процессора 5 считается отсутствие импульса исправности в интервале времениFailure of processor 5 is considered the absence of a health pulse in the time interval

Figure 00000003
Figure 00000003

При отказе процессора 5 импульсы TestERR от временного анализа неисправности 8 будут идти с периодомIf processor 5 fails, TestERR pulses from a temporary analysis of fault 8 will go with a period

Figure 00000004
Figure 00000004

Триггер 9 служит для блокировки прохождения данных из канала сигналом BLOCK в случае прихода от временного анализатора исправности 8 импульса TestERR. При поступлении сигнала RESTART от элемента ИЛИ 6 триггер 9 разблокирует канал.Trigger 9 is used to block the passage of data from the channel by the BLOCK signal in the event that a TestERR pulse is received from the temporary analyzer. When a RESTART signal is received from the OR element 6, trigger 9 unlocks the channel.

Счетчик сбоев 10 выставляет код COD количества сбоев канала и представляет собой счетчик импульсов TestERR, поступающих от временного анализатора исправности 8. Обнуление счетчика происходит по сигналу сброса RES схемы начальной установки 3. В случае прихода от временного анализатора исправности М импульсов TestOK счетчик сбоев блокирует канал сигналом FAIL. Поступление в счетчик сбоев М импульсов считается отказом канала. На фиг.7 приведен пример реализации счетчика сбоев при М=3; на фиг.8 - его временная диаграмма.Failure counter 10 sets the COD code for the number of channel failures and is a counter of TestERR pulses received from the temporary health analyzer 8. The counter is reset by the reset signal RES of the initial setup 3. If a pulse from the temporary analyzer is operational, the TestOK malfunction counter blocks the channel with a signal FAIL. The receipt of M pulses in the failure counter is considered a channel failure. Figure 7 shows an example implementation of the failure counter at M = 3; on Fig is its timing diagram.

Схема сравнения 4 - комбинационная схема по сравнению кодов COD1 и COD2 из счетчика сбоев 10 двух каналов 1 формирует сигналы выбора

Figure 00000005
и
Figure 00000006
для каждого канала 1. Схема сравнения 4 может быть реализована на ИС КР1533СП1.Comparison scheme 4 - a combinational circuit comparing COD 1 and COD 2 codes from the failure counter 10 of two channels 1 generates selection signals
Figure 00000005
and
Figure 00000006
for each channel 1. Comparison scheme 4 can be implemented on the IP KR1533SP1.

Коммутатор 12 представляют собой формирователь с тремя состояниями на выходе и может быть выполнен на ИС КР1533АП(3,4), КР1534АП (3-5).The switch 12 is a shaper with three states at the output and can be performed on the IP KR1533AP (3,4), KR1534AP (3-5).

Исходное состояние системы (см. фиг.2) устанавливается сигналом RES схемы начальной установки 3, поступающим на процессор 5, счетчик сбоев 10 (устанавливает код COD количества сбоев в «0» и сигнал отказа FAIL в '0') и через элемент ИЛИ 6 на временной анализатор исправности 8 и триггер 9 (устанавливает сигнал блокировки канала BLOCK в '0'). Во время окончания сигнала RES периодически в процессоре 5 каждого канала запускается диагностическая (контрольная) задача с заранее известным интервалом времени для ее решения. При нормальной работе процессора, т.е. получении правильного результата диагностической задачи в течение фиксированного интервала времени, процессор 5 каждого канала 1 формирует сигналы исправности TestOK, которые через элемент ИЛИ 6 поступают на сброс временного анализатора исправности 8 и на сброс триггера 9. Частота импульсного генератора 7 выбирается таким образом, чтобы за время решения диагностической задачи на временной анализатор исправности не могло поступить импульсов больше N-1, где N - максимальное число импульсов до заполнения счетчика временного анализатора. Таким образом, если диагностические задачи периодически решаются обоими процессорами и формируются сигналы исправности, то не происходит заполнение счетчика временного анализатора и на выходе временного анализатора исправности 8 не формируется сигнал сбоя TestERR. Схема сравнения 4, анализируя коды COD1 и COD2 количества сбоев от каждого канала 1 (все они равны нулю), выбирает первый канал 1 сигналами

Figure 00000005
(равен '0') и
Figure 00000007
(равен '1'), поступающими на элемент ИЛИ-НЕ 11 соответствующих каналов 1. В первом канале 1 сигнал OE1 от элемента ИЛИ-НЕ 11 поступает на коммутатор 12 и, таким образом, на выходной шине устройства находятся данные/команды от процессора 5 первого канала 1.The initial state of the system (see Fig. 2) is set by the signal RES of the initial installation circuit 3 supplied to the processor 5, the failure counter 10 (sets the COD of the number of failures to “0” and the failure signal FAIL to “0”) and via the OR element 6 to a temporary analyzer of health 8 and trigger 9 (sets the BLOCK channel lock signal to '0'). During the end of the RES signal, a diagnostic (control) task is started periodically in the processor 5 of each channel with a predetermined time interval for its solution. During normal processor operation, i.e. After receiving the correct diagnostic task result for a fixed time interval, the processor 5 of each channel 1 generates TestOK service signals, which, through the OR element 6, are sent to reset the temporary service analyzer 8 and to reset the trigger 9. The frequency of the pulse generator 7 is selected so that over time To solve the diagnostic problem, a pulse with a temporary health analyzer could not receive pulses greater than N-1, where N is the maximum number of pulses before filling the counter of a temporary analyzer. Thus, if the diagnostic tasks are periodically solved by both processors and health signals are generated, then the counter of the temporary analyzer does not fill up and the TestERR fault signal is not generated at the output of the temporary health analyzer 8. Comparison scheme 4, analyzing the COD 1 and COD 2 codes of the number of failures from each channel 1 (they are all equal to zero), selects the first channel 1 by signals
Figure 00000005
(equal to '0') and
Figure 00000007
(equal to '1') being received by OR-NO element 11 of the respective channels 1. In the first channel 1 signal OE 1 of OR-NO element 11 is supplied to the switch 12 and thus data / commands from the CPU are output to the device bus 5 of the first channel 1.

В случае сбоя в работе любого процессора 5, например первого канала 1 (см. фиг.3), диагностическая задача не может быть решена в заданном интервале времени и, следовательно, сигнал исправности TestOK1 от процессора 5 через выбранный интервал времени не поступит на временной анализатор исправности 8. При этом счетчик импульсов временного анализатора исправности 8 в процессе заполнения сформирует сигнал TestERR1, который поступит на счетчик сбоев 10, увеличивая его значение (COD1) на единицу, триггер 9, который установит сигнал блокировки BLOCK1 в '1' (до прихода следующего импульса исправности TestOK1 от процессора 5), запрещая прохождение данных от процессора первого канала 1. Схема сравнения 4, анализируя коды COD1 (равен '1') и COD2 (равен '0') ошибок от счетчика сбоев 10 каждого канала 1, сигналами

Figure 00000005
(равен '1') и
Figure 00000008
(равен '0'), поступающими на элемент ИЛИ-НЕ 11 соответствующих каналов 1, выбирает второй канал 1. Во втором канале 1 сигнал ОЕ2 от элемента ИЛИ-НЕ 11 поступает на коммутатор 12 и, таким образом, на выходной шине устройства находятся данные/команды от процессора 5 второго канала 1.In the event of a malfunction of any processor 5, for example, the first channel 1 (see Fig. 3), the diagnostic problem cannot be solved in a given time interval and, therefore, the test signal TestOK 1 from processor 5 after a selected time interval will not arrive at the time health analyzer 8. At the same time, the pulse counter of the temporary health analyzer 8 during the filling process will generate a signal TestERR 1 , which will go to the fault counter 10, increasing its value (COD 1 ) by one, trigger 9, which will set the BLOCK 1 lock signal to '1' (before the next health pulse TestOK 1 from the processor 5), prohibiting the passage of data from the processor of the first channel 1. Comparison scheme 4, analyzing the codes COD 1 (equal to '1') and COD 2 (equal to '0') errors from the failure counter 10 of each channel 1, by signals
Figure 00000005
(equal to '1') and
Figure 00000008
(equal to '0'), arriving at the OR-NOT 11 element of the corresponding channels 1, selects the second channel 1. In the second channel 1, the ОЕ 2 signal from the OR-NOT 11 element is sent to the switch 12 and, thus, are located on the output bus of the device data / instructions from processor 5 of second channel 1.

В случае отказа в работе любого процессора 5, например второго канала 1 (см. фиг.4), сигнал исправности TestOK2 перестает поступать на временной анализатор исправности 8, счетчик импульсов которого в процессе заполнения формирует периодически импульсы TestERR2, которые поступают на счетчик сбоев 10, который, достигая максимального значения (равного трем), формирует сигнал отказа FAIL2, триггер 9, который устанавливает сигнал блокировки BLOCK в '1'. Схема сравнения 4, анализируя коды COD1 (равен '1') и COD2 (равен '3') ошибок от счетчика сбоев 10 каждого канала 1, сигналами

Figure 00000005
(равен '0') и
Figure 00000009
(равен '1'), поступающими на элемент ИЛИ-НЕ 11 соответствующих каналов 1, выбирает первый канал 1. В первом канале 1 сигнал OE1 от элемента ИЛИ-НЕ 11 поступает на коммутатор 12 и, таким образом, на выходной шине устройства находятся данные/команды от процессора 5 первого канала 1.In the event of a failure in the operation of any processor 5, for example, the second channel 1 (see Fig. 4), the health signal TestOK 2 ceases to be sent to the temporary health analyzer 8, the pulse counter of which periodically generates TestERR 2 pulses during the filling process, which arrive at the failure counter 10, which, reaching a maximum value (equal to three), generates a failure signal FAIL 2 , trigger 9, which sets the BLOCK lock signal to '1'. Comparison scheme 4, analyzing the codes COD 1 (equal to '1') and COD 2 (equal to '3') errors from the failure counter 10 of each channel 1, by signals
Figure 00000005
(equal to '0') and
Figure 00000009
(equal to '1'), arriving at the OR-NOT 11 element of the corresponding channels 1, selects the first channel 1. In the first channel 1, the OE 1 signal from the OR-NOT 11 element is sent to the switch 12 and, thus, are located on the output bus of the device data / commands from processor 5 of the first channel 1.

Источники информацииSources of information

1. Патент 87333685, Япония, МКИ G 06 F 11/20, 1987 г.1. Patent 87333685, Japan, MKI G 06 F 11/20, 1987

2. Патент 4872106, США, МКИ G 06 F 15/00, 1989 г.2. Patent 4872106, USA, MKI G 06 F 15/00, 1989.

3. Патент 94296302, США, МКИ G 06 F 11/00, 1994 г. (прототип).3. Patent 94296302, USA, MKI G 06 F 11/00, 1994 (prototype).

Claims (1)

Резервированная двухпроцессорная вычислительная система, содержащая два идентичных канала, в каждом из которых первый выход процессора подключен к первому входу коммутатора, системный генератор, выход которого подключен к первому входу процессора первого канала, схему начальной установки, выход которой подключен ко второму входу процессора первого канала, отличающаяся тем, что в первый и второй каналы введены импульсный генератор, элемент ИЛИ, временной анализатор исправности, счетчик сбоев, триггер, элемент ИЛИ-НЕ, выход которого подключен ко второму входу коммутатора, второй выход процессора через элемент ИЛИ подключен к первому входу триггера и ко второму входу временного анализатора исправности, выход триггера подключен к первому входу элемента ИЛИ-НЕ, второй вход процессора соединен со вторым входом элемента ИЛИ и вторым входом счетчика сбоев, выход импульсного генератора через временной анализатор исправности подключен к первому входу счетчика сбоев и ко второму входу триггера, второй выход счетчика сбоев подключен ко второму входу элемента ИЛИ-НЕ, а также введены системный генератор, выход которого подключен к первому входу процессора второго канала, схема начальной установки, выход которой подключен ко второму входу процессора второго канала, и схема сравнения, первый вход которой подключен к первому выходу счетчика сбоев первого канала, второй вход схемы сравнения подключен к первому выходу счетчика сбоев второго канала, первый выход схемы сравнения подключен к третьему входу элемента ИЛИ-НЕ первого канала, второй выход схемы сравнения подключен к третьему входу элемента ИЛИ-НЕ второго канала, выходы коммутаторов соединены и являются выходом системы.A redundant dual-processor computing system containing two identical channels, in each of which the first output of the processor is connected to the first input of the switch, a system generator whose output is connected to the first input of the processor of the first channel, the initial installation circuit, the output of which is connected to the second input of the processor of the first channel, characterized in that a pulse generator, an OR element, a temporary health analyzer, a failure counter, a trigger, an OR-NOT element, the output of which is under is connected to the second input of the switch, the second processor output through the OR element is connected to the first input of the trigger and to the second input of the temporary health analyzer, the trigger output is connected to the first input of the OR-NOT element, the second input of the processor is connected to the second input of the OR element and the second input of the failure counter , the output of the pulse generator through a temporary health analyzer is connected to the first input of the fault counter and to the second input of the trigger, the second output of the fault counter is connected to the second input of the OR-NOT element, and also given a system generator whose output is connected to the first input of the processor of the second channel, an initial installation circuit, the output of which is connected to the second input of the processor of the second channel, and a comparison circuit, the first input of which is connected to the first output of the failure counter of the first channel, the second input of the comparison circuit is connected to the first output of the failure counter of the second channel, the first output of the comparison circuit is connected to the third input of the OR element of the first channel, the second output of the comparison circuit is connected to the third input of the OR channel of the second Nala, the outputs of the switches are connected and the output of the system.
RU2003135005/09A 2003-12-02 2003-12-02 Reserved two-processor computer system RU2264648C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2003135005/09A RU2264648C2 (en) 2003-12-02 2003-12-02 Reserved two-processor computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2003135005/09A RU2264648C2 (en) 2003-12-02 2003-12-02 Reserved two-processor computer system

Publications (2)

Publication Number Publication Date
RU2003135005A RU2003135005A (en) 2005-05-27
RU2264648C2 true RU2264648C2 (en) 2005-11-20

Family

ID=35824200

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2003135005/09A RU2264648C2 (en) 2003-12-02 2003-12-02 Reserved two-processor computer system

Country Status (1)

Country Link
RU (1) RU2264648C2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2460121C1 (en) * 2011-08-22 2012-08-27 Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" Backed-up dual-processor computer system
RU2481619C1 (en) * 2011-12-28 2013-05-10 Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" Redundancy device
RU2771211C1 (en) * 2021-07-12 2022-04-28 Акционерное общество "Научно-исследовательский институт "Субмикрон" (АО "НИИ "Субмикрон") Cold standby computing system
RU2778366C1 (en) * 2021-09-14 2022-08-17 Александр Сергеевич Букирёв Reservation method of channels of structural and functional modules of airborne digital computers on the basis of intelligent diagnostic system under conditions of integrated modular avionics

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2460121C1 (en) * 2011-08-22 2012-08-27 Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" Backed-up dual-processor computer system
RU2481619C1 (en) * 2011-12-28 2013-05-10 Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" Redundancy device
RU2771211C1 (en) * 2021-07-12 2022-04-28 Акционерное общество "Научно-исследовательский институт "Субмикрон" (АО "НИИ "Субмикрон") Cold standby computing system
RU2778366C1 (en) * 2021-09-14 2022-08-17 Александр Сергеевич Букирёв Reservation method of channels of structural and functional modules of airborne digital computers on the basis of intelligent diagnostic system under conditions of integrated modular avionics

Also Published As

Publication number Publication date
RU2003135005A (en) 2005-05-27

Similar Documents

Publication Publication Date Title
KR101728581B1 (en) Control computer system, method for controlling a control computer system, and use of a control computer system
US4937741A (en) Synchronization of fault-tolerant parallel processing systems
US8527681B2 (en) Data processing system, data processing method, and apparatus
US5572620A (en) Fault-tolerant voter system for output data from a plurality of non-synchronized redundant processors
US5144230A (en) Method and system for testing integrated circuits by cycle stealing
EP1082660A2 (en) Fault tolerant computing system using instruction counting
RU2527191C1 (en) Backed-up multichannel computer system
CN110413456B (en) Triple redundant data step-by-step voting system and method
US4866713A (en) Operational function checking method and device for microprocessors
CN104765587A (en) System and method for synchronizing processors to the same calculation point
RU2264648C2 (en) Reserved two-processor computer system
JP6556373B2 (en) Fault tolerant system
RU2460121C1 (en) Backed-up dual-processor computer system
US6675320B1 (en) Method and device for synchronizing and testing a processor and a monitoring circuit
AU711166B2 (en) Clock selector system
CN113485185B (en) Method for N times redundancy control system
RU2029365C1 (en) Three-channel asynchronous system
RU2058679C1 (en) Information system monitoring and backup device
Schwabl et al. A survey of MARS
RU2580791C2 (en) Device for majority selection of signals (3 versions)
RU2481619C1 (en) Redundancy device
SU1134940A1 (en) Device for checking synchronization units
SU1397917A1 (en) Two-channel device for checking and restoring processor systems
SU960826A1 (en) Digital unit checking device
SU744578A1 (en) Device for control of exchange mode of majority redundancy system

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner
PC43 Official registration of the transfer of the exclusive right without contract for inventions

Effective date: 20190710