JPH08202588A - Failure tolerant computer device - Google Patents
Failure tolerant computer deviceInfo
- Publication number
- JPH08202588A JPH08202588A JP7012408A JP1240895A JPH08202588A JP H08202588 A JPH08202588 A JP H08202588A JP 7012408 A JP7012408 A JP 7012408A JP 1240895 A JP1240895 A JP 1240895A JP H08202588 A JPH08202588 A JP H08202588A
- Authority
- JP
- Japan
- Prior art keywords
- central processing
- processing unit
- period
- identification signal
- operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
(57)【要約】
【目的】この発明は、中央処理装置の暴走状態を適確に
診断し得るようにすることにある。
【構成】演算処理期間(動作中)と空き期間(停止中)
を交互に含む一定のサイクルで計算処理を実行するよう
に設定して、前記演算処理期間(動作中)と空き期間
(停止中)を識別した識別信号を出力する中央処理装置
101,102に対し、この中央処理装置101,10
2の前記一定のサイクルに同期させられ、前記空き期間
に独自で停止チェックパルスを発生するカウンタを設
け、前記停止チェックパルスと前記識別信号が供給さ
れ、前記中央処理装置101,102の暴走により前記
停止チェックパルスの発生時点に前記識別信号が装置の
動作状態を示す場合に前記中央処理装置101,102
の電源をオフするようにして、所期の目的を達成したも
のである。
(57) [Summary] [Object] The present invention is to enable accurate diagnosis of a runaway state of a central processing unit. [Structure] Arithmetic processing period (operating) and vacant period (stopped)
To the central processing units 101 and 102 which are set so as to execute the calculation processing in a constant cycle including alternately, and which outputs an identification signal for identifying the arithmetic processing period (operating) and the idle period (stopped). , The central processing units 101, 10
2 is provided with a counter that is synchronized with the fixed cycle of 2 and generates a stop check pulse independently in the idle period, the stop check pulse and the identification signal are supplied, and the central processing unit 101, 102 runs out of control. When the identification signal indicates the operating state of the device at the time of generation of the stop check pulse, the central processing units 101, 102
By turning off the power, the intended purpose is achieved.
Description
【0001】[0001]
【産業上の利用分野】この発明は、例えば宇宙空間を航
行する飛翔体(衛星)において、姿勢制御システムなど
のように高い信頼性を要求されるシステムに適した故障
容認計算機装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a fault-tolerant computer apparatus suitable for a system requiring high reliability such as an attitude control system in a flying body (satellite) that travels in outer space.
【0002】[0002]
【従来の技術】一般に各種システムの制御装置には、計
算機が使用されるが、特に高い信頼性を必要とすシステ
ムでは、2台の中央処理装置を全く同じように動作させ
ている。そして通常は主系の中央処理装置でシステム制
御を行ない、主系の中央処理装置に異常が生じた場合は
副系の中央処理装置に切換えて運転するという手法が採
用される。この場合、主系の中央処理装置は電源が切ら
れシステムダウンされ、副系の中央処理装置が代わって
システム制御を行なうように切替わる。2. Description of the Related Art Generally, a computer is used as a control device for various systems, but in a system that requires particularly high reliability, two central processing units operate in exactly the same manner. Then, usually, the system is controlled by the main system central processing unit, and when an abnormality occurs in the main system central processing unit, it is switched to the sub system central processing unit to operate. In this case, the main system central processing unit is switched off to shut down the system, and the sub system central processing unit switches to perform system control instead.
【0003】これを実現する方法として従来は、ウオッ
チドッグカウンタを用いた診断装置が利用されている。
上記の診断装置は、図3に示す様に一定の周期で動作期
間、停止期間を交互に繰返して動作する中央処理装置か
ら出力されるパルスを監視している。中央処理装置は停
止期間に同期してこのパルスを出力するが、このパルス
がカウンタのクリアパルスとして利用される。カウンタ
は、中央処理装置から一定周期のクリアパルスが供給さ
れなくなると、カウント値が所定値以上になりその中央
処理装置が暴走状態にあるものと判断し、中央処理装置
の電源をオフするように構成されている。As a method for realizing this, a diagnostic device using a watchdog counter has been conventionally used.
As shown in FIG. 3, the above-mentioned diagnostic device monitors a pulse output from a central processing unit that operates by alternately repeating an operation period and a stop period at a constant cycle. The central processing unit outputs this pulse in synchronization with the stop period, and this pulse is used as a clear pulse for the counter. When the central processing unit stops supplying a clear pulse of a certain period, the counter judges that the central processing unit is in a runaway state and the central processing unit is turned off, and turns off the power of the central processing unit. It is configured.
【0004】[0004]
【発明が解決しようとする課題】しかしながら、上記の
異常判断手段では、中央処理装置がクリアパルスを連続
して出力するような暴走状態(図3に破線で示す)とな
った場合はこれを検出することが不可能である。これ
は、カウンタが常にクリアされるためそのカウント内容
が増加しないからである。そこで、この発明では、中央
処理装置の暴走状態を更に適確に診断することのできる
の故障容認計算機装置を提供することを目的とする。However, in the above-mentioned abnormality judging means, when the central processing unit is in a runaway state (shown by a broken line in FIG. 3) such that the clear pulse is continuously output, this is detected. Impossible to do. This is because the counter is always cleared and its count content does not increase. Therefore, an object of the present invention is to provide a fault-tolerant computer system capable of more accurately diagnosing the runaway state of the central processing unit.
【0005】[0005]
【課題を解決するための手段】演算処理期間(動作中)
と空き期間(停止中)を交互に含む一定のサイクルで計
算処理を実行するように設定され、前記演算処理期間
(動作中)と空き期間(停止中)を識別した識別信号を
出力する中央処理装置に対し、この中央処理装置の前記
一定のサイクルに同期させられ、前記空き期間に独自で
停止チェックパルスを発生するカウンタを設ける。そし
て前記停止チェックパルスと前記識別信号が供給され、
前記中央処理装置の暴走により前記停止チェックパルス
の発生時点に前記識別信号が装置の動作状態を示す場合
に前記中央処理装置の電源をオフする検出手段を設ける
ものである。[Means for Solving the Problem] Calculation processing period (during operation)
A central processing that is set to perform calculation processing in a constant cycle that alternately includes a free period and a free period (stopped), and outputs an identification signal that identifies the arithmetic processing period (operating) and the free period (stopped). The apparatus is provided with a counter that is synchronized with the fixed cycle of the central processing unit and that independently generates a stop check pulse during the idle period. Then, the stop check pulse and the identification signal are supplied,
A detection means is provided for turning off the power of the central processing unit when the identification signal indicates the operating state of the device when the stop check pulse is generated due to the runaway of the central processing unit.
【0006】[0006]
【作用】上記の手段により、中央処理装置が暴走した場
合は、停止チェックパルスと停止状態を示す識別信号の
論理積が得られないので、適確に中央処理装置の暴走状
態を検出できるものである。When the central processing unit runs out of control by the above means, the logical product of the stop check pulse and the identification signal indicating the stopped state cannot be obtained, so that the runaway state of the central processing unit can be accurately detected. is there.
【0007】[0007]
【実施例】以下この発明の実施例を図面を参照して説明
する。図1はこの発明の一実施例を示すもので、例えば
衛星の姿勢制御装置に使用される。中央処理装置10
1、102は、共通のバス103を介して共通のランダ
ムアクセスメモリ(RAM)104、リードオンリーメ
モリ(ROM)105に接続される。更に、中央処理装
置101、102は、外部装置(被制御対象となるアク
チュエータホイール、ガスジェットスラスタ等)10
6、種々のデータ収集のための入力装置107に接続さ
れる。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 shows an embodiment of the present invention, which is used, for example, in a satellite attitude control device. Central processing unit 10
1, 102 are connected to a common random access memory (RAM) 104 and a read only memory (ROM) 105 via a common bus 103. Further, the central processing units 101 and 102 are external devices (actuator wheels to be controlled, gas jet thrusters, etc.) 10
6. Connected to an input device 107 for collecting various data.
【0008】中央処理装置101、102は、それぞれ
演算処理期間(動作中)と空き期間(停止中)を交互に
含む一定のサイクルで計算処理を実行する装置であり、
演算処理期間(動作中)と空き期間(停止中)を識別し
た識別信号Aを出力する。この識別信号は、それぞれ中
央処理装置101、102に対応して設けられた、異常
監視回路11、12に供給される。Each of the central processing units 101 and 102 is a device for executing a calculation process in a constant cycle including an arithmetic processing period (operating) and an idle period (stopped) alternately.
An identification signal A for identifying the arithmetic processing period (operating) and the free period (stopped) is output. This identification signal is supplied to the abnormality monitoring circuits 11 and 12 provided corresponding to the central processing units 101 and 102, respectively.
【0009】中央処理装置101側の監視動作を代表し
て説明する。異常監視回路11は、識別信号Aが動作停
止を示す期間に同期して独自で停止チェックパルスを発
生する停止チェックパルス発生手段を有する。さらに、
この停止チェックパルス発生手段からの停止チェックパ
ルスはチェック手段に供給される。このチェック手段
は、前記識別信号と停止チェックパルスとの論理積をと
り、その論理演算の結果に応じて中央処理装置の電源制
御信号Bを得る。このチェック手段により停止状態が確
認されれば、このチェック手段は中央処理装置101の
動作を継続させ、逆に動作状態が確認されれば中央処理
装置101が暴走しているものと判断しこの中央処理装
置101の電源をオフする。中央処理装置101の電源
がオフされた場合は、これに代わって同じ演算を行なう
中央処理装置102がシステムを運転するようになる。The monitoring operation on the side of the central processing unit 101 will be described as a representative. The abnormality monitoring circuit 11 has a stop check pulse generating means for independently generating a stop check pulse in synchronization with a period in which the identification signal A indicates that the operation is stopped. further,
The stop check pulse from the stop check pulse generating means is supplied to the check means. This checking means calculates the logical product of the identification signal and the stop check pulse, and obtains the power supply control signal B of the central processing unit according to the result of the logical operation. If the check means confirms the stopped state, the check means continues the operation of the central processing unit 101. On the contrary, if the operation state is confirmed, it is determined that the central processing unit 101 is out of control, and this central processing unit The power of the processing device 101 is turned off. When the power of the central processing unit 101 is turned off, the central processing unit 102, which performs the same calculation, operates the system instead.
【0010】図2はこの発明の装置の動作例を示すタイ
ムチャートである。中央処理装置が正常に動作していれ
ば、識別信号Aが中央処理装置の動作停止を示すレベル
(例えば0)にあるときに停止チェックパルスが発生す
る。このときは例えばカウンタクリアパルスが得られ
る。また、中央処理装置が暴走状態にあり、識別信号が
動作状態を示すレベル(例えば1)に有るとき停止チェ
ックパルスが発生すると、カウンタクリアパルスは得ら
れず、カウンタのカウント値が増加する。このカウンタ
のカウント値が増加すると、中央処理装置の電源をオフ
するための電源制御信号Bが得られる。FIG. 2 is a time chart showing an operation example of the apparatus of the present invention. If the central processing unit is operating normally, a stop check pulse is generated when the identification signal A is at a level (for example, 0) indicating that the central processing unit stops operating. At this time, for example, a counter clear pulse is obtained. Further, if the stop check pulse occurs when the central processing unit is in a runaway state and the identification signal is at a level (for example, 1) indicating the operating state, the counter clear pulse is not obtained and the count value of the counter increases. When the count value of this counter increases, a power control signal B for turning off the power of the central processing unit is obtained.
【0011】図2では、中央処理装置が暴走状態となっ
てから、2回目のサイクルで電源をオフするように示し
ているが、これは更に数サイクル遅れて電源をオフする
ように設定してもよい。特に、宇宙空間のような特殊な
雰囲気の中では、例えば一方の処理装置に放射線が当
り、データの一部が0から1、または1から0に変わる
ことが想定できる。このような単発的、偶発的なエラー
は、処理装置自体をリセットすると正常状態に戻る場合
があるから、直ぐに電源をオフせずにリセットしてみる
期間を与えてもよい。また、上記の説明では、異常監視
回路11について説明したが、異常監視回路12も中央
処理装置102に対して同様な監視を行なっている。In FIG. 2, the central processing unit is shown to be turned off in the second cycle after it has gone into a runaway state. However, this is set so that the power is turned off after a few more cycles. Good. In particular, in a special atmosphere such as outer space, for example, it is assumed that one of the processing devices is irradiated with radiation, and a part of the data changes from 0 to 1 or from 1 to 0. Such a sporadic or accidental error may return to a normal state when the processing device itself is reset, and thus a period for resetting the power without turning off the power supply may be provided immediately. In the above description, the abnormality monitoring circuit 11 has been described, but the abnormality monitoring circuit 12 also performs similar monitoring on the central processing unit 102.
【0012】[0012]
【発明の効果】以上説明したようにこの発明は、中央処
理装置の暴走状態を更に適確に診断することのできる故
障容認計算機装置を提供することができる。As described above, the present invention can provide a fault tolerant computer system capable of more accurately diagnosing the runaway state of the central processing unit.
【図1】この発明の一実施例を示す構成説明図。FIG. 1 is a structural explanatory view showing an embodiment of the present invention.
【図2】図1の装置の動作説明の為に示したタイムチャ
ート。FIG. 2 is a time chart shown for explaining the operation of the apparatus of FIG.
【図3】従来の装置の動作を説明するのに示したタイム
チャート。FIG. 3 is a time chart shown for explaining the operation of the conventional device.
101、102…中央処理装置。 103…データバス。 104…RAM。 105…ROM。 106…出力装置。 107…入力装置。 11、12…異常監視装置。 101, 102 ... Central processing unit. 103 ... Data bus. 104 ... RAM. 105 ... ROM. 106 ... Output device. 107 ... Input device. 11, 12 ... Abnormality monitoring device.
Claims (1)
止中)を交互に含む一定のサイクルで計算処理を実行す
るように設定され、前記演算処理期間(動作中)と空き
期間(停止中)を識別した識別信号を出力する中央処理
装置と、 この中央処理装置の前記一定のサイクルに同期させら
れ、前記空き期間に独自の停止チェックパルスを発生す
るカウンタと、 前記停止チェックパルスと前記識別信号が供給され、前
記中央処理装置の暴走により前記停止チェックパルスの
発生時点に前記識別信号が前記動作期間を示す場合に前
記中央処理装置の電源をオフする検出手段とを具備した
ことを特徴とする故障容認計算機装置。1. An arithmetic processing period (operating) and an idle period (stopped) are set so as to perform calculation processing in a fixed cycle alternately, and the arithmetic processing period (operating) and idle period (stop) are set. A central processing unit that outputs an identification signal that identifies (medium), a counter that is synchronized with the fixed cycle of the central processing unit, and that generates a unique stop check pulse during the empty period; An identification signal is supplied, and detection means is provided for turning off the power of the central processing unit when the identification signal indicates the operation period at the time of generation of the stop check pulse due to runaway of the central processing unit. A fault-tolerant computer device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01240895A JP3511033B2 (en) | 1995-01-30 | 1995-01-30 | Fault tolerant computer equipment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01240895A JP3511033B2 (en) | 1995-01-30 | 1995-01-30 | Fault tolerant computer equipment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH08202588A true JPH08202588A (en) | 1996-08-09 |
| JP3511033B2 JP3511033B2 (en) | 2004-03-29 |
Family
ID=11804443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP01240895A Expired - Fee Related JP3511033B2 (en) | 1995-01-30 | 1995-01-30 | Fault tolerant computer equipment |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3511033B2 (en) |
-
1995
- 1995-01-30 JP JP01240895A patent/JP3511033B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP3511033B2 (en) | 2004-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5491787A (en) | Fault tolerant digital computer system having two processors which periodically alternate as master and slave | |
| KR19990036222A (en) | Microprocessor Systems for Critical Safety Control Systems | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| US4691126A (en) | Redundant synchronous clock system | |
| JP2001063492A (en) | Electronic control unit for vehicle safety control unit | |
| CN117425881A (en) | Control devices and assistance systems for vehicles | |
| EP0743600B1 (en) | Method and apparatus for obtaining high integrity and availability in a multi-channel system | |
| US6526527B1 (en) | Single-processor system | |
| US7328235B2 (en) | Multiple processing method | |
| KR100279204B1 (en) | Dual Controlling Method of Local Controller for An Automatic Control System and an Equipment thereof | |
| RU2411570C2 (en) | Method and device to compare data in computer system, including at least two actuator units | |
| JPH08202588A (en) | Failure tolerant computer device | |
| JPH08115235A (en) | Control device abnormality detection device and method thereof | |
| JP2654072B2 (en) | Fault tolerant computer equipment | |
| JPH08202589A (en) | Information processor and fault diagnostic method | |
| US12461831B2 (en) | Method for operating a control unit | |
| JPS5911455A (en) | Redundancy system of central operation processing unit | |
| JPS6091415A (en) | Digital controller | |
| JP2007011639A (en) | INPUT / OUTPUT CONTROL DEVICE, INFORMATION CONTROL DEVICE, INPUT / OUTPUT CONTROL METHOD, AND INFORMATION CONTROL METHOD | |
| JP2004503868A (en) | Apparatus and method for synchronizing a system of a plurality of connected data processing facilities | |
| JPS6288047A (en) | Interface controller | |
| Yashiro et al. | A high assurance on-line recovery technology for a space on-board computer | |
| JPS6113627B2 (en) | ||
| JP2818437B2 (en) | Fault detection circuit | |
| JP2578186B2 (en) | Diagnosis method of failure detection circuit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20031008 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100116 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |