JPS61221903A - バツクアツプ制御方法 - Google Patents
バツクアツプ制御方法Info
- Publication number
- JPS61221903A JPS61221903A JP61063839A JP6383986A JPS61221903A JP S61221903 A JPS61221903 A JP S61221903A JP 61063839 A JP61063839 A JP 61063839A JP 6383986 A JP6383986 A JP 6383986A JP S61221903 A JPS61221903 A JP S61221903A
- Authority
- JP
- Japan
- Prior art keywords
- software
- backup
- fault
- memory
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operations
- G06F11/1479—Generic software techniques for error detection or fault masking
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1666—Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
産業上の利用分野
本発明はソフトウェアエラーに対応する技術に係り、と
くに航空機の操縦装置の如き生命の安全に関係する装置
におけるバックアップ技術に関する。
くに航空機の操縦装置の如き生命の安全に関係する装置
におけるバックアップ技術に関する。
従来の技術
ソフトウェアエラーが生じてもデジタル装置が引続き正
しく動作する能力が現代のコンピュータ装置において強
く望まれており、またこれは航空機の主飛行制御装置の
如き、生命の安全に関係する装置においては必須条件に
なっている。ソフトウェアエラーはプロセッサがプログ
ラム内で停止してしまいその作業を完全に遂行しない形
、あるいは作業を遂行するのが早過ぎて、10グラムの
全てを実行しない形をとって現れる。リダンダントなハ
ードウェア及び選択切換構成はハードウェアフォールト
に対しては保護を与えるが、ソフトウェアフォールトに
対してはリダンダントなコンピュータが同一のソフトウ
ェアでプログラムされている場合保護をしない。すなわ
ち、リダンダントなチャンネルの各々が事実上同じ瞬間
に同一のソフトウェアフォールトを生ずることになる。
しく動作する能力が現代のコンピュータ装置において強
く望まれており、またこれは航空機の主飛行制御装置の
如き、生命の安全に関係する装置においては必須条件に
なっている。ソフトウェアエラーはプロセッサがプログ
ラム内で停止してしまいその作業を完全に遂行しない形
、あるいは作業を遂行するのが早過ぎて、10グラムの
全てを実行しない形をとって現れる。リダンダントなハ
ードウェア及び選択切換構成はハードウェアフォールト
に対しては保護を与えるが、ソフトウェアフォールトに
対してはリダンダントなコンピュータが同一のソフトウ
ェアでプログラムされている場合保護をしない。すなわ
ち、リダンダントなチャンネルの各々が事実上同じ瞬間
に同一のソフトウェアフォールトを生ずることになる。
技術の現状のソフトウェア妥当性評価試験ではソフトウ
ェアフォールトが含まれていないことを保証するような
手段あるいは技術は実現できていない。
ェアフォールトが含まれていないことを保証するような
手段あるいは技術は実現できていない。
むしろ、経験の示すところではソフトウェアエラーは徹
底的にその妥当性が評価試験流のソフトウェアでも引続
き残存している。
底的にその妥当性が評価試験流のソフトウェアでも引続
き残存している。
発明が解決しようとする問題点
これに対するバックアップ装置として単純なアナログ装
置や、異なったプログラムを有する追加のデジタル装置
、あるいは機械的手段が設けられている。これらのバッ
クアップ装置への切換えは主デジタル装置のリダンダン
トなチャンネル間で不一致が生じた場合になされるのが
一般的である。
置や、異なったプログラムを有する追加のデジタル装置
、あるいは機械的手段が設けられている。これらのバッ
クアップ装置への切換えは主デジタル装置のリダンダン
トなチャンネル間で不一致が生じた場合になされるのが
一般的である。
このようなバックアップシステムはハードウェアを相当
多数追加せねばならず、これに伴い価格。
多数追加せねばならず、これに伴い価格。
重量、電力消費、及び熱放散の面で問題点を有する。ま
たアナログ及び機械式バックアップ装置では主デジタル
装置によって通常実行される非常に複雑で非線形な動作
に対し、その動作がこれらの単純な微分に限定されてい
る。
たアナログ及び機械式バックアップ装置では主デジタル
装置によって通常実行される非常に複雑で非線形な動作
に対し、その動作がこれらの単純な微分に限定されてい
る。
本発明は最小のハードウェアを追加するだけで、ソフト
ウェアエラーが生じてもデジタルコンピュータ装置の動
作を正しく続行させる手段を提供することを目的とする
。
ウェアエラーが生じてもデジタルコンピュータ装置の動
作を正しく続行させる手段を提供することを目的とする
。
問題点を解決するための手段
本発明では少なくとも−のリダンダントなコンピュータ
のメモリ中の分離された部分にバックアップソフトウェ
アが設けられる。この第2のプログラムは主プログラム
と基本的に同一の機能を実行するが、共通のソフトウェ
アエラーを避けるためにプログラムが変えられている。
のメモリ中の分離された部分にバックアップソフトウェ
アが設けられる。この第2のプログラムは主プログラム
と基本的に同一の機能を実行するが、共通のソフトウェ
アエラーを避けるためにプログラムが変えられている。
第2のプログラムへの切換えは自動的に行なっても、あ
るいは操作者(パイロット)が異常を検出した場合に手
動で行なってもよい。自動的な切換えは少なくともn−
1のコンピュータが(nレベルのりダンダンシーを有す
る場合)ソフトウェアフォールト状態を示した場合にな
される。コンピュータモニタはコンピュータのサイクル
タイムが正しくない(長ずきるか短かすぎる)ことを検
出するデユーティサイクルタイマでも、リーズナブルネ
ス試験器でも、アナログ比較モデルでも、あるいはこれ
らの組合わせであってもよい。モニタの複雑さ及び精度
は個々の用途で異なるが、一般にモニタはそれらが検出
しようとしているのと同一のソフトウェアフォールトに
より動作不能にされないためにハードウェアによって構
成する必要がある。バックアップモードプログラムをア
センブル/コンパイルするのに使われるアセンブラある
いはコンパイラもまた共通モードのソフトウェアフォー
ルト源となるアセンブラ/コンパイラフォールトの可能
性を除くためプログラムを変えである。
るいは操作者(パイロット)が異常を検出した場合に手
動で行なってもよい。自動的な切換えは少なくともn−
1のコンピュータが(nレベルのりダンダンシーを有す
る場合)ソフトウェアフォールト状態を示した場合にな
される。コンピュータモニタはコンピュータのサイクル
タイムが正しくない(長ずきるか短かすぎる)ことを検
出するデユーティサイクルタイマでも、リーズナブルネ
ス試験器でも、アナログ比較モデルでも、あるいはこれ
らの組合わせであってもよい。モニタの複雑さ及び精度
は個々の用途で異なるが、一般にモニタはそれらが検出
しようとしているのと同一のソフトウェアフォールトに
より動作不能にされないためにハードウェアによって構
成する必要がある。バックアップモードプログラムをア
センブル/コンパイルするのに使われるアセンブラある
いはコンパイラもまた共通モードのソフトウェアフォー
ルト源となるアセンブラ/コンパイラフォールトの可能
性を除くためプログラムを変えである。
本発明によるバックアップ制御方法ではバックアップソ
フトウェアが少なくとも−のりダンダントコンピュータ
のメモリ中の分離された部分に設けられる。バックアッ
ププログラムは主プログラムと基本的には同一の機能を
実行するが、共通に発生するソフトウェアエラーを防ぐ
ためプログラム方法を変えである。バックアッププログ
ラムへの切換はモニタに応答して自動的に行なうことも
、また操作者(すなわちパイロット)により、異常が検
出された場合に手動で行なうこともできる。
フトウェアが少なくとも−のりダンダントコンピュータ
のメモリ中の分離された部分に設けられる。バックアッ
ププログラムは主プログラムと基本的には同一の機能を
実行するが、共通に発生するソフトウェアエラーを防ぐ
ためプログラム方法を変えである。バックアッププログ
ラムへの切換はモニタに応答して自動的に行なうことも
、また操作者(すなわちパイロット)により、異常が検
出された場合に手動で行なうこともできる。
実施例
本発明の他の目的、特徴、及び利点は以下の説明より明
らかになろう。
らかになろう。
第1図は4つのコンピュータチャンネルA−Dを有する
コンピュータを用いた操縦制御袋W110を示す。各チ
ャンネルはプロセッサ部12と、それに協働する入/出
力バードウェア14と、メモリ16とを有する。メモリ
16は2つの部分に分割されている。部分18は通常の
装置動作の際にアクセスされる主ソフトウェアを含む。
コンピュータを用いた操縦制御袋W110を示す。各チ
ャンネルはプロセッサ部12と、それに協働する入/出
力バードウェア14と、メモリ16とを有する。メモリ
16は2つの部分に分割されている。部分18は通常の
装置動作の際にアクセスされる主ソフトウェアを含む。
部分20はそれと同じではないバックアップソフトウェ
アを含み、これは主ソフトウェアが故障した場合にだけ
アクセスされる。モニタ22は主ソフトウェアの故障を
判定するのに使用される。モニタ22は例えばデユーテ
ィサイクルタイマ、リーズナブルネス試験器、あるいは
アナログ比較モデル等である。
アを含み、これは主ソフトウェアが故障した場合にだけ
アクセスされる。モニタ22は主ソフトウェアの故障を
判定するのに使用される。モニタ22は例えばデユーテ
ィサイクルタイマ、リーズナブルネス試験器、あるいは
アナログ比較モデル等である。
4つのチャンネルA〜Dはリダンダントであり、各々は
主及びバックアップソフトウェアのコピーをそれぞれの
メモリ16内に有している。コンピュータ装置iioは
公知のハードウェアあるいはソフトウェアによる選択切
換動作を実行し°、最も適切に選択された信号をパイロ
ットや感知器等からの信号等よりなる入力信号26に応
じて航空機の操縦翼面アクチュエータの如き制御を受け
る装置24へ出力する。本発明はいかなる数のチャンネ
ルに対しても適用でき、またバックアップソフトウェア
は−のチャンネルにのみ設けてもよいことに注意すべき
である。
主及びバックアップソフトウェアのコピーをそれぞれの
メモリ16内に有している。コンピュータ装置iioは
公知のハードウェアあるいはソフトウェアによる選択切
換動作を実行し°、最も適切に選択された信号をパイロ
ットや感知器等からの信号等よりなる入力信号26に応
じて航空機の操縦翼面アクチュエータの如き制御を受け
る装置24へ出力する。本発明はいかなる数のチャンネ
ルに対しても適用でき、またバックアップソフトウェア
は−のチャンネルにのみ設けてもよいことに注意すべき
である。
第2図はコンピュータ装@10の各チャンネル、例えば
チャンネルAで使用される典型的なモニタタ22の詳細
な回路図である。これはまたチャンネルB、C及びDで
使用されるモニタ22でも同様である。オアゲート30
A(添字rAJはこれがチャンネルAと協働するもので
あることを示す)はウォッチドッグタイマ32A、短い
デユーティ−サイクルタイマ34A、及び他の保護状態
を示すライン36八1の信号に応答する。これらのいず
れもがオアゲート30Aに、ライン40A上に出力され
てチャンネルへのパワーを遮断する信号を発生させる。
チャンネルAで使用される典型的なモニタタ22の詳細
な回路図である。これはまたチャンネルB、C及びDで
使用されるモニタ22でも同様である。オアゲート30
A(添字rAJはこれがチャンネルAと協働するもので
あることを示す)はウォッチドッグタイマ32A、短い
デユーティ−サイクルタイマ34A、及び他の保護状態
を示すライン36八1の信号に応答する。これらのいず
れもがオアゲート30Aに、ライン40A上に出力され
てチャンネルへのパワーを遮断する信号を発生させる。
チャンネルAのリレー42Aはライン40A上の信号に
応じて状態を変化させ、チャンネルへ牽遮断する。同様
なオアゲート308〜30D及びリレー42B〜42D
が他のチャンネルB−Dにもそれぞれ設けられている。
応じて状態を変化させ、チャンネルへ牽遮断する。同様
なオアゲート308〜30D及びリレー42B〜42D
が他のチャンネルB−Dにもそれぞれ設けられている。
エニタ22の切換ロジックはソフトウェアフォールトに
対して独立になるようハードウェアによって実行せねば
ならない。
対して独立になるようハードウェアによって実行せねば
ならない。
切換部分44Aは各々リレー42A〜42Dにより開閉
される2つの接点群46A〜46D。
される2つの接点群46A〜46D。
48A〜48Dを含み、これらは第2図に示すようにど
れか3つのチャンネルが故障した場合ライン49Aを介
してアンド回路50Aに信号を出力するように構成され
ている。
れか3つのチャンネルが故障した場合ライン49Aを介
してアンド回路50Aに信号を出力するように構成され
ている。
別の切換部分52Aは各々リレー42A〜420により
開閉される第3の接点群54A〜54Dを含み、これら
は並列に接続されている。このためとれか−のチャンネ
ルの故障は比較!558Aを駆動する積分器56Aの如
きタイマを始動させ、その結果所定の時間(↑ref
) 、すなわち全てのチャンネルにおいて共通モードの
ソフトウェアフォールトが出現するまでを表わす時間が
経過するまでの間、信号がアンド回路50Aへ出力され
る(タイマ56Aは例えばロータブレーキを「オン」に
するような状態等によりリセットされる)。共通モード
フォールトの同時発生が近い将来にはi生しないと判断
される場合にはT refを無限大に設定することがで
きる。これによりバックアップソフトウェアがnのソフ
トウェアのうちn−1が動作不能になった場合に起動す
るこが可能になる。
開閉される第3の接点群54A〜54Dを含み、これら
は並列に接続されている。このためとれか−のチャンネ
ルの故障は比較!558Aを駆動する積分器56Aの如
きタイマを始動させ、その結果所定の時間(↑ref
) 、すなわち全てのチャンネルにおいて共通モードの
ソフトウェアフォールトが出現するまでを表わす時間が
経過するまでの間、信号がアンド回路50Aへ出力され
る(タイマ56Aは例えばロータブレーキを「オン」に
するような状態等によりリセットされる)。共通モード
フォールトの同時発生が近い将来にはi生しないと判断
される場合にはT refを無限大に設定することがで
きる。これによりバックアップソフトウェアがnのソフ
トウェアのうちn−1が動作不能になった場合に起動す
るこが可能になる。
アンド回路50Aは切換部分44A及び比較器58Aよ
りの信号にのみ応答し、飛行に必須な装置が動作されて
いる場合(これはヘリコプタでの実施の場合ロータブレ
ーキの解放によって感知され、ライン61上の信号によ
って示される)ライン60A上に信号を出力する(ライ
ン61はチャンネルA−Dにわたり全て共通である)。
りの信号にのみ応答し、飛行に必須な装置が動作されて
いる場合(これはヘリコプタでの実施の場合ロータブレ
ーキの解放によって感知され、ライン61上の信号によ
って示される)ライン60A上に信号を出力する(ライ
ン61はチャンネルA−Dにわたり全て共通である)。
切換部分64Aは各リレー42A〜420により制御さ
れる一群の接点66A〜66Dを含む。
れる一群の接点66A〜66Dを含む。
これらは直列に構成され、従って4つのチャンネルA−
Dのソフトウェアが全て故障した場合ライン68Aに信
号を出力する。
Dのソフトウェアが全て故障した場合ライン68Aに信
号を出力する。
オアゲート70Aはアンドゲート50Aの出力及び切換
部分64Aの出力に応答してライン12八に信号を出力
し、これによりいずれの偶発事態が生じてもバックアッ
プモードの動作が開始される。
部分64Aの出力に応答してライン12八に信号を出力
し、これによりいずれの偶発事態が生じてもバックアッ
プモードの動作が開始される。
ライン72Aの信号はまたオアゲート70Aへ入るライ
ン73上の手動オーバーライド信号によっても出力され
る。
ン73上の手動オーバーライド信号によっても出力され
る。
ライン72A上の信号はアンド回路74Aがライン76
Aより入力される安全解除信号により安全解除された場
合チャンネル八にマスク不能ハードウェア割込み信号と
して供給される。A−Dの各チャンネルにマスク不能ハ
ードウェア割込み要求がなされるとCPU12はそれが
現在実行している命令をそれが何であれ完了した後マス
ク不能側込み命令に応答する。次いでハードウェア転送
ロジックがマスク不能割込命令に応答してバックアップ
メモリバンクに切換えを行なう。CPUはこの後バック
アップメモリの所定のロケーションで「割込みモード動
作」を開始する。今の場合割込みモード動作ルーチンは
実際にはバックアップソフトウェアである。この切換ロ
ジックはプロセッサの既知の状態においてバックアップ
メモリ中の既知のロケーションへの一体的切換を行なう
。
Aより入力される安全解除信号により安全解除された場
合チャンネル八にマスク不能ハードウェア割込み信号と
して供給される。A−Dの各チャンネルにマスク不能ハ
ードウェア割込み要求がなされるとCPU12はそれが
現在実行している命令をそれが何であれ完了した後マス
ク不能側込み命令に応答する。次いでハードウェア転送
ロジックがマスク不能割込命令に応答してバックアップ
メモリバンクに切換えを行なう。CPUはこの後バック
アップメモリの所定のロケーションで「割込みモード動
作」を開始する。今の場合割込みモード動作ルーチンは
実際にはバックアップソフトウェアである。この切換ロ
ジックはプロセッサの既知の状態においてバックアップ
メモリ中の既知のロケーションへの一体的切換を行なう
。
バックアップ装置は例えば再イニシヤライズ等により装
置を再イニシヤライズする必要がある。フォールトが疑
われる状態も、これらは不良ソフトウェアのフォールト
を示している可能性があるのでリセットすることができ
る。またアクチュエータ位置(航空機内の)について計
算されたコマンドを同期させて過渡的効果を減少させ、
さらにこのコマンドをある程度の期間バックアップメモ
リコマンドに混合することが望ましい。
置を再イニシヤライズする必要がある。フォールトが疑
われる状態も、これらは不良ソフトウェアのフォールト
を示している可能性があるのでリセットすることができ
る。またアクチュエータ位置(航空機内の)について計
算されたコマンドを同期させて過渡的効果を減少させ、
さらにこのコマンドをある程度の期間バックアップメモ
リコマンドに混合することが望ましい。
航空機の操縦装置等ではバックアップソフトウェアは単
純な制御則のものでよい。一般に制御則が簡単であれば
その妥当性を評価試験するのが容易になる。またバック
アップソフトウェアは全てのコンピュータに設けること
ができるが、実際には唯一つのコンピュータに設けてバ
ックアップソフトウェアの切換えに伴なう選択切換操作
や他の繁雑さを回避するのが好ましい。
純な制御則のものでよい。一般に制御則が簡単であれば
その妥当性を評価試験するのが容易になる。またバック
アップソフトウェアは全てのコンピュータに設けること
ができるが、実際には唯一つのコンピュータに設けてバ
ックアップソフトウェアの切換えに伴なう選択切換操作
や他の繁雑さを回避するのが好ましい。
バックアップ装置に加えなければならない入/出力イン
ターフェース、デジタル論理回路、また各チャンネル毎
に設けらる新たなソフトウェアの数は限られている。
ターフェース、デジタル論理回路、また各チャンネル毎
に設けらる新たなソフトウェアの数は限られている。
パイロットがバックアップモード(76A)を安全解除
した場合、FSG (飛行制御装置)は以下の−又は複
数の状態が生じるまでは通常のモードで動作を継続する
: 1、パイロットがバックアップへの移行を開始する。
した場合、FSG (飛行制御装置)は以下の−又は複
数の状態が生じるまでは通常のモードで動作を継続する
: 1、パイロットがバックアップへの移行を開始する。
2 所定の時間間隔Trefの経過後n−1の制御装置
チャンネル出力が断たれる。
チャンネル出力が断たれる。
3、nの制御装置チャンネル出力が断たれる。
バックアップモードへの転送ロジックは上記のリストの
中よりいずれかの動作要求状m信号を選択し、チャンネ
ル中の−又は複数のプロセッサへのマスク不要割込要求
を動作させる。マスク不能割込みに対する反作用として
、命令のためのバックアップメモリにジャムトランスフ
ァーが生じることが考えられる。同じトランスファーは
他のチャンネルでも別個に生じる。
中よりいずれかの動作要求状m信号を選択し、チャンネ
ル中の−又は複数のプロセッサへのマスク不要割込要求
を動作させる。マスク不能割込みに対する反作用として
、命令のためのバックアップメモリにジャムトランスフ
ァーが生じることが考えられる。同じトランスファーは
他のチャンネルでも別個に生じる。
第3図を参照するに、各チャンネル共NMIにハードウ
ェア割込装置80を介して応答し、装置80は以下のシ
ーケンス動作を生じる:1、メモリバンクが主メモリバ
ンク82からバックアップメモリバンク84に切換られ
る。
ェア割込装置80を介して応答し、装置80は以下のシ
ーケンス動作を生じる:1、メモリバンクが主メモリバ
ンク82からバックアップメモリバンク84に切換られ
る。
2 適当なバックアップソフトウェア開始アドレス(バ
ックアップメモリバンク中に存在する)がプログラムカ
ウンタ86に転送される。
ックアップメモリバンク中に存在する)がプログラムカ
ウンタ86に転送される。
a CPU88がその時点でプログラムカウンタ中に
記憶されているバックアップ10グラムの開始アドレス
の次の命令を実行する。
記憶されているバックアップ10グラムの開始アドレス
の次の命令を実行する。
第1図は本発明を使用した制a装置のブロック系統図、
第2図は本発明によるモニタの概略図、第3図は本発明
の一部を詳細に示すブロック系統図である。 10・・・制御装置、12・・・プロセッサ、14・・
・入/出力バードウェア、16・・・メモリ、18.2
0・・・メモリ部分、22・・・モニタ、24・・・!
IJWJを受ける装置、26・・・入力信号、30A、
70A・・・オアゲート、32A・・・ウオツチドツク
タイマ、34A・・・デユーティサイクルタイマ、36
A、40A。 49A、60A、61.68A、72A、73゜76A
・・・ライン、42A・・・リレー、44A、52A。 64A・・・切換部分、46A〜46D、48A〜48
D、54A〜54D、66A〜66D・・・接点、50
A、74A・・・アンド回路、56A・・・タイマ、5
8A・・・比較器、80・・・ハードウェア割込装置、
82・・・主メモリバンク、84・・・バックアップメ
モリバンク、86・・・プログラムカウンタ、88・・
・CPU0 特許出願人 ユナイテッド チクノロシーズ−〜 一
第2図は本発明によるモニタの概略図、第3図は本発明
の一部を詳細に示すブロック系統図である。 10・・・制御装置、12・・・プロセッサ、14・・
・入/出力バードウェア、16・・・メモリ、18.2
0・・・メモリ部分、22・・・モニタ、24・・・!
IJWJを受ける装置、26・・・入力信号、30A、
70A・・・オアゲート、32A・・・ウオツチドツク
タイマ、34A・・・デユーティサイクルタイマ、36
A、40A。 49A、60A、61.68A、72A、73゜76A
・・・ライン、42A・・・リレー、44A、52A。 64A・・・切換部分、46A〜46D、48A〜48
D、54A〜54D、66A〜66D・・・接点、50
A、74A・・・アンド回路、56A・・・タイマ、5
8A・・・比較器、80・・・ハードウェア割込装置、
82・・・主メモリバンク、84・・・バックアップメ
モリバンク、86・・・プログラムカウンタ、88・・
・CPU0 特許出願人 ユナイテッド チクノロシーズ−〜 一
Claims (5)
- (1) ソフトウエアフォールトが生じた場合にそのソ
フトウエアに従つて制御されている装置のバックアップ
制御を行なう方法であつて; メモリ中に主ソフトウエアを設け; メモリ中の分離された部分に設計を変えられたバック
アップソフトウエアを設け; 通常の動作モードでは主ソフトウエアを実行し; 主ソフトウエアのフォールトを感知し;さらに フォールトの感知に対応してバックアップソフトウエ
アを実行することを特徴とするバックアップ制御方法。 - (2) フォールトの感知に対応してマスク不能割込要
求信号を発生し; マスク不能割込要求信号が発生された時点で主ソフト
ウエア中で実行されていたいかなる命令も完了し、次い
でマスク不能割込要求信号に応答し;さらに マスク不能割込要求信号に対応してバックアップソフ
トウエアを実行することを特徴とする特許請求の範囲第
1項記載の方法。 - (3) フォールトの感知に対応してメモリの分離され
た部分にジャムトランスファーを行なう特許請求の範囲
第1項記載の方法。 - (4) バックアップソフトウエアは主ソフトウエアよ
りも簡単である特許請求の範囲第1項記載の方法。 - (5) nチャンネルを有するリダンダントなコンピュ
ータ装置において; 各チャンネルのメモリ中に主ソフトウエアと同一の複
製ソフトウエアを設け; 少なくとも一のチャンネルのメモリの分離された部分
に同じではないバックアップソフトウエアを設け; 通常の動作モードでは主ソフトウエアを実行し; 主ソフトウエアのフォールトを感知し;さらに フォールトの感知に対応してバックアップソフトウエ
アを実行することを特徴とする特許請求の範囲第1項記
載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US715132 | 1976-08-17 | ||
| US71513285A | 1985-03-22 | 1985-03-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS61221903A true JPS61221903A (ja) | 1986-10-02 |
Family
ID=24872788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP61063839A Pending JPS61221903A (ja) | 1985-03-22 | 1986-03-20 | バツクアツプ制御方法 |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JPS61221903A (ja) |
| DE (1) | DE3609267A1 (ja) |
| FR (1) | FR2579339B1 (ja) |
| GB (1) | GB2172722B (ja) |
| IT (1) | IT1188453B (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0265366B1 (en) * | 1986-10-24 | 1995-06-28 | United Technologies Corporation | An independent backup mode transfer method and mechanism for digital control computers |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5255347A (en) * | 1975-10-30 | 1977-05-06 | Nippon Denso Co Ltd | Fail-safe system of control computer |
| JPS598004A (ja) * | 1982-07-07 | 1984-01-17 | Hitachi Ltd | フエイル・セ−フ回路 |
| JPS6091401A (ja) * | 1983-10-24 | 1985-05-22 | Mazda Motor Corp | 自動車のコントロ−ル装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB1560554A (en) * | 1976-03-10 | 1980-02-06 | Smith Industries Ltd | Control systems |
| US4404647A (en) * | 1978-03-16 | 1983-09-13 | International Business Machines Corp. | Dynamic array error recovery |
| JPS5810246A (ja) * | 1981-07-13 | 1983-01-20 | Nissan Motor Co Ltd | 車両用ディジタル制御装置 |
| DE3133304A1 (de) * | 1981-08-22 | 1983-03-03 | Robert Bosch Gmbh, 7000 Stuttgart | Verfahren zur erhoehung der zuverlaessigkeit von halbleiterspeichern in kraftfahrzeugen |
| EP0096510B1 (en) * | 1982-06-03 | 1988-07-27 | LUCAS INDUSTRIES public limited company | Control system primarily responsive to signals from digital computers |
| US4787041A (en) * | 1985-08-01 | 1988-11-22 | Honeywell | Data control system for digital automatic flight control system channel with plural dissimilar data processing |
-
1986
- 1986-03-12 GB GB8606033A patent/GB2172722B/en not_active Expired
- 1986-03-18 IT IT19782/86A patent/IT1188453B/it active
- 1986-03-19 DE DE19863609267 patent/DE3609267A1/de not_active Ceased
- 1986-03-20 JP JP61063839A patent/JPS61221903A/ja active Pending
- 1986-03-21 FR FR868604061A patent/FR2579339B1/fr not_active Expired - Lifetime
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5255347A (en) * | 1975-10-30 | 1977-05-06 | Nippon Denso Co Ltd | Fail-safe system of control computer |
| JPS598004A (ja) * | 1982-07-07 | 1984-01-17 | Hitachi Ltd | フエイル・セ−フ回路 |
| JPS6091401A (ja) * | 1983-10-24 | 1985-05-22 | Mazda Motor Corp | 自動車のコントロ−ル装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2172722A (en) | 1986-09-24 |
| DE3609267A1 (de) | 1986-10-09 |
| IT8619782A1 (it) | 1987-09-18 |
| FR2579339B1 (fr) | 1992-09-18 |
| FR2579339A1 (fr) | 1986-09-26 |
| IT1188453B (it) | 1988-01-14 |
| GB8606033D0 (en) | 1986-04-16 |
| GB2172722B (en) | 1989-06-28 |
| IT8619782A0 (it) | 1986-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4890284A (en) | Backup control system (BUCS) | |
| JPH0792765B2 (ja) | 入/出力コントローラ | |
| CN102822807A (zh) | 控制计算机系统、用于控制控制计算机系统的方法及控制计算机系统的使用 | |
| EP1854008A2 (en) | Generic software fault mitigation | |
| CA2336045C (en) | Controller or engine controller, engine and method for adjusting a control or drive system or an engine | |
| JPH10513286A (ja) | プログラム制御回路の機能をモニタするための処理及び回路構成 | |
| JPS61221903A (ja) | バツクアツプ制御方法 | |
| US8831912B2 (en) | Checking of functions of a control system having components | |
| GB1560554A (en) | Control systems | |
| JP2557990B2 (ja) | 二重系切換装置 | |
| JPS6029982B2 (ja) | 疑似障害発生装置 | |
| JPH04109303A (ja) | 調節制御装置 | |
| JPH04245309A (ja) | 制御用ディジタルコントローラ | |
| JPS6091415A (ja) | デイジタル制御装置 | |
| Murphy et al. | Backup control system (BUCS) | |
| CN119270713A (zh) | 一种用于车载台的ema控制系统 | |
| JP2836084B2 (ja) | 計算機の検査装置 | |
| JP2778691B2 (ja) | バス監視回路 | |
| JPS6263343A (ja) | 周辺制御装置 | |
| JPS6341903A (ja) | 制御装置のバツクアツプ方式 | |
| JP3055906B2 (ja) | 緊急動作方式 | |
| JPS62204346A (ja) | 2重系切換システム | |
| JPH02278457A (ja) | デジタル情報処理装置 | |
| JPH04241038A (ja) | 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法 | |
| JPH05342076A (ja) | 二重書構成のファイル装置 |