JPH0261755A - 2台のプロセッサを有するコンピュータシステムを監視する装置 - Google Patents
2台のプロセッサを有するコンピュータシステムを監視する装置Info
- Publication number
- JPH0261755A JPH0261755A JP63193588A JP19358888A JPH0261755A JP H0261755 A JPH0261755 A JP H0261755A JP 63193588 A JP63193588 A JP 63193588A JP 19358888 A JP19358888 A JP 19358888A JP H0261755 A JPH0261755 A JP H0261755A
- Authority
- JP
- Japan
- Prior art keywords
- processor
- processors
- signal
- monitoring
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 32
- 238000005086 pumping Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000010363 phase shift Effects 0.000 claims description 4
- 238000000034 method Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 abstract description 7
- WABPQHHGFIMREM-UHFFFAOYSA-N lead(0) Chemical compound [Pb] WABPQHHGFIMREM-UHFFFAOYSA-N 0.000 abstract description 5
- 230000003068 static effect Effects 0.000 abstract 2
- 238000005070 sampling Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 125000001246 bromo group Chemical group Br* 0.000 description 3
- 239000000446 fuel Substances 0.000 description 3
- 238000002485 combustion reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/24—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
- F02D41/26—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
- F02D41/266—Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Mechanical Engineering (AREA)
- Combustion & Propulsion (AREA)
- Chemical & Material Sciences (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
- Hardware Redundancy (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〈産業上の利用分野〉
本発明は2台のブロセ、ツサを有するコンピュータシス
テムを監視する装置に係り、さらに詳細には2台のプロ
セッサがデータ線と制御線を介して別体の入出力ポート
によって互いに固定的に接続されている、特に内燃機関
に供給する混合気を定める2台のプロセッサを有するコ
ンピュータシステムを監視する装置に関するものである
。
テムを監視する装置に係り、さらに詳細には2台のプロ
セッサがデータ線と制御線を介して別体の入出力ポート
によって互いに固定的に接続されている、特に内燃機関
に供給する混合気を定める2台のプロセッサを有するコ
ンピュータシステムを監視する装置に関するものである
。
〈従来の技術〉
機能分離型のマルチコンピュータシステムか知られてお
り、このシステムではメインコンピュータが障害のない
状態の通常駆動で駆動されて、必要なチエツク機能及び
制御機能に関するすべての仕事を賄う。サブコンピュー
タは非常用コンピュータとしてだけ用いられ、メインコ
ンピュータが機能しなくなった場合に非常機能を受持ち
、それによって少なくとも限定された機能だけは維持す
ることができる。非常事態が生じない限りは、非常用コ
ンピュータは普通は使用されない。このようなシステム
では、いずれにしろメインコンピュータの監視が行われ
る。過当な監視装置によって障害あるいは故障が検出さ
れた場合には、非常用コンピュータがメインコンピュー
タの仕事の一部あるいは全範囲をカバーする。
り、このシステムではメインコンピュータが障害のない
状態の通常駆動で駆動されて、必要なチエツク機能及び
制御機能に関するすべての仕事を賄う。サブコンピュー
タは非常用コンピュータとしてだけ用いられ、メインコ
ンピュータが機能しなくなった場合に非常機能を受持ち
、それによって少なくとも限定された機能だけは維持す
ることができる。非常事態が生じない限りは、非常用コ
ンピュータは普通は使用されない。このようなシステム
では、いずれにしろメインコンピュータの監視が行われ
る。過当な監視装置によって障害あるいは故障が検出さ
れた場合には、非常用コンピュータがメインコンピュー
タの仕事の一部あるいは全範囲をカバーする。
ドイツ特願P 3539407.2においては、内燃機
関の特性量を制御する2つのプロセッサを有するコンピ
ュータシステムが記載されている。2つのコンピュータ
には二重のゲートが設けられており、−方のゲートから
はメインコンピュータへ、他方のゲートからは非常用コ
ンピュータへ測定値が供給される。2つのコンピュータ
は同一の仕事を処理する能力を有するように構成されて
いる。もちろんこの場合に実現される非常機能は、主と
してセンサの信号を2つのプロセッサに供給し、あるい
は非常の場合に2つのプロセッサの出力信号を最終処理
段に供給することである。監視装置によって該当するプ
ロセッサに障害が検出されると、アンドゲートを介して
燃料供給量を制御する最終処理段が遮断される。
関の特性量を制御する2つのプロセッサを有するコンピ
ュータシステムが記載されている。2つのコンピュータ
には二重のゲートが設けられており、−方のゲートから
はメインコンピュータへ、他方のゲートからは非常用コ
ンピュータへ測定値が供給される。2つのコンピュータ
は同一の仕事を処理する能力を有するように構成されて
いる。もちろんこの場合に実現される非常機能は、主と
してセンサの信号を2つのプロセッサに供給し、あるい
は非常の場合に2つのプロセッサの出力信号を最終処理
段に供給することである。監視装置によって該当するプ
ロセッサに障害が検出されると、アンドゲートを介して
燃料供給量を制御する最終処理段が遮断される。
しかし上記の明細書では、同一の仕事をする2つのプロ
セッサの主機能および非常機能をどのように監視ずろか
ということについての詳しい説明はなされていない。特
に2つのプロセッサが場合によっては非同期駆動でまっ
たく異なる目的に利用される場合にも、複数のプロセッ
サにどのようにして互いに監視させることができるかと
いうことについては、まったく言及されていない。
セッサの主機能および非常機能をどのように監視ずろか
ということについての詳しい説明はなされていない。特
に2つのプロセッサが場合によっては非同期駆動でまっ
たく異なる目的に利用される場合にも、複数のプロセッ
サにどのようにして互いに監視させることができるかと
いうことについては、まったく言及されていない。
従って本発明の課題は、2つのプロセッサを用いて作動
する制御装置にできるだけ簡単であって、しかも強力な
安全機能を設け、特に障害のない状態にあっても2つの
プロセッサが同じ程度で同じ権利をもってシステム全体
の作業を処理することができるようにすることである。
する制御装置にできるだけ簡単であって、しかも強力な
安全機能を設け、特に障害のない状態にあっても2つの
プロセッサが同じ程度で同じ権利をもってシステム全体
の作業を処理することができるようにすることである。
従って、障害が発生しない限りは、2つプロセッサ間で
データの交換が行われ、かつ行うことかできなけれはな
らない。一方のプロセッサが故障した場合あるいはデー
タ伝送にエラーが生じただけの場合にもシステム全体を
使用に供することができるようにするためには、発生し
たエラーを識別することが必要である。エラーを識別し
たら、プロセッサはそれぞれエラーの種類に従って適宜
対処し、システムを使用に供することができるようにし
なけらはならない。
データの交換が行われ、かつ行うことかできなけれはな
らない。一方のプロセッサが故障した場合あるいはデー
タ伝送にエラーが生じただけの場合にもシステム全体を
使用に供することができるようにするためには、発生し
たエラーを識別することが必要である。エラーを識別し
たら、プロセッサはそれぞれエラーの種類に従って適宜
対処し、システムを使用に供することができるようにし
なけらはならない。
く課題を解決するための手段〉
上記の課題を解決するために本発明によれは、2つのプ
ロセッサが同一の権利をもって監視を行い、かつこの監
視が2つのプロセッサ間で周期的に行われる一連のデー
タ交換の途中のある種のシェークハンド駆動で行われる
構成が採用されている。すなわち、 2つのプロセッサがデータ線及び制御線を介して周期的
なデータ及び命令交換をするときまでは、互いに独立し
て作動可能であって、それぞれのプロセッサに動的な監
視信号を出力する第1の出力端子が設けられており、そ
れぞれのプロセッサに他方のプロセッサの前記監視信号
を認識する第1の入力端子が設けられており、両プロセ
ッサの前記第1の入力端子と出力端子がそれぞれ互いに
接続されており、前記動的な監視信号は、両プロセッサ
においてプログラム処理上に故障がない場合には、それ
ぞれ所定のパルスデューティ−比と所定の周波数を有し
、いずれかのプロセッサにおいてプログラム処理上に故
障がある場合には、故障を有する方のプロセッサの監視
信号のパルスデューティ−比がプログラム処理上に故障
かない場合に比べて変化している構成が採用されている
。
ロセッサが同一の権利をもって監視を行い、かつこの監
視が2つのプロセッサ間で周期的に行われる一連のデー
タ交換の途中のある種のシェークハンド駆動で行われる
構成が採用されている。すなわち、 2つのプロセッサがデータ線及び制御線を介して周期的
なデータ及び命令交換をするときまでは、互いに独立し
て作動可能であって、それぞれのプロセッサに動的な監
視信号を出力する第1の出力端子が設けられており、そ
れぞれのプロセッサに他方のプロセッサの前記監視信号
を認識する第1の入力端子が設けられており、両プロセ
ッサの前記第1の入力端子と出力端子がそれぞれ互いに
接続されており、前記動的な監視信号は、両プロセッサ
においてプログラム処理上に故障がない場合には、それ
ぞれ所定のパルスデューティ−比と所定の周波数を有し
、いずれかのプロセッサにおいてプログラム処理上に故
障がある場合には、故障を有する方のプロセッサの監視
信号のパルスデューティ−比がプログラム処理上に故障
かない場合に比べて変化している構成が採用されている
。
く作用〉
本発明によればプロセッサは、例えば2つのプロセッサ
の一方の170バスに発生した障害が除去された後、あ
るいは2つのプロセッサの一方が全体として連続的に使
用されてない場合に、それぞれ互いに再起動し合うこと
ができろ。この場合に、プロセッサの障害を非常に迅速
に検出することができるという効果が得られる。
の一方の170バスに発生した障害が除去された後、あ
るいは2つのプロセッサの一方が全体として連続的に使
用されてない場合に、それぞれ互いに再起動し合うこと
ができろ。この場合に、プロセッサの障害を非常に迅速
に検出することができるという効果が得られる。
本発明の好ましい実施例によれは、2つのブロセッサは
完全tこ互いに独立して作動することもでき、互いに直
接接続する必要がなくあるいは共通の170バスを使用
しなけれはならないということもなく、種々のクロック
周波数で互いに非同期で駆動することができる。さらに
、本発明によれば2つのプロセッサが互いに同一の権限
で監視し合うことによって、エラーが発生した場合にそ
のエラーの場所を突き止めることができる。すなわち本
発明装置によれは、一方のプロセッサに障害が発生した
のか、あるいはプロセッサの周辺機器に障害が発生した
のかを識別することができる。このために前述の2つの
プロセッサ間における周期的なデータ交換が、゛監視機
能の証明回路として利用される。
完全tこ互いに独立して作動することもでき、互いに直
接接続する必要がなくあるいは共通の170バスを使用
しなけれはならないということもなく、種々のクロック
周波数で互いに非同期で駆動することができる。さらに
、本発明によれば2つのプロセッサが互いに同一の権限
で監視し合うことによって、エラーが発生した場合にそ
のエラーの場所を突き止めることができる。すなわち本
発明装置によれは、一方のプロセッサに障害が発生した
のか、あるいはプロセッサの周辺機器に障害が発生した
のかを識別することができる。このために前述の2つの
プロセッサ間における周期的なデータ交換が、゛監視機
能の証明回路として利用される。
〈実施例〉
本発明の実施例を図面に示し、以下で詳細に説明する。
第1図によれは、第1のプロセッサlOにはデータバス
とコントロールバス17に信号を供給するポート11が
設けられている。プロセッサ10は同時に、図では概略
的に示されている人出力(10)バス16にも信号を供
給している。同様に第2のプロセッサ20にも同じデー
タバスとコントロールハス17に信号を供給するポート
21か設けられている。このプロセッサ20はさらにl
101〜ス26と接続されている。プロセッサ10には
2つの出力端子12と13が設けられており、これらの
端子はリード線33と34を介してプロセッサ20の第
1の入力端子24と第1のノアゲート29の第1のポン
プ回路27ないしは第1の出力を制御する。本実施例に
あっては、プロセッサ10の出力端子12からはウォッ
チドッグ信号(監視信号)が出力され、出力端子13か
らはソフトウェアリセット信号が出力される。ざらにプ
ロセッサlOには2つの入力端子14と15が設けられ
ており、これらの入力端子はリード線36ないし37を
介してプロセッサ20の第1の出力22ないしノアゲー
ト32の出力信号によって制御される。プロセッサlO
の入力端子14はプロセッサ20のウォッチドッグ信号
を受信し、入力端子15はリセット信号の受信に用いら
れる。プロセッサ20には前述の入力端子24の他に同
様に第2の入力端子25も設けられており、この入力端
子25は第2のナントゲート31の出力信号によって制
御される。プロセッサ100入力端子1.4及び15と
同様に、プロセッサ20の入力端子24と25もプロセ
ッサ10のウォッチドッグ信号ないしリセット信号を受
信するのに用いられる。
とコントロールバス17に信号を供給するポート11が
設けられている。プロセッサ10は同時に、図では概略
的に示されている人出力(10)バス16にも信号を供
給している。同様に第2のプロセッサ20にも同じデー
タバスとコントロールハス17に信号を供給するポート
21か設けられている。このプロセッサ20はさらにl
101〜ス26と接続されている。プロセッサ10には
2つの出力端子12と13が設けられており、これらの
端子はリード線33と34を介してプロセッサ20の第
1の入力端子24と第1のノアゲート29の第1のポン
プ回路27ないしは第1の出力を制御する。本実施例に
あっては、プロセッサ10の出力端子12からはウォッ
チドッグ信号(監視信号)が出力され、出力端子13か
らはソフトウェアリセット信号が出力される。ざらにプ
ロセッサlOには2つの入力端子14と15が設けられ
ており、これらの入力端子はリード線36ないし37を
介してプロセッサ20の第1の出力22ないしノアゲー
ト32の出力信号によって制御される。プロセッサlO
の入力端子14はプロセッサ20のウォッチドッグ信号
を受信し、入力端子15はリセット信号の受信に用いら
れる。プロセッサ20には前述の入力端子24の他に同
様に第2の入力端子25も設けられており、この入力端
子25は第2のナントゲート31の出力信号によって制
御される。プロセッサ100入力端子1.4及び15と
同様に、プロセッサ20の入力端子24と25もプロセ
ッサ10のウォッチドッグ信号ないしリセット信号を受
信するのに用いられる。
プロセッサ10の出力端子13と同様に、プロセッサ2
0にもすてに述べた出力端子22の他にさらに出力端子
23が設けられており、この出力端子23はリード線3
8を介してノアゲート30の第1の入力端子を制御する
。同様にプロセッサ10の出力端子13はリード線34
を介して第1のノアゲート29の第1の入力端子を制御
する。第1のポンピング回路27の出力信号はノアゲー
ト29の第2の入力端子に印加され、ノアゲート29の
出力信号はリード線41を介して第2のノアゲート31
の第1の入力端子を制御する。同様に、第2のポンピン
グ回路28の出力信号は第3のノアゲート30の第2の
入力端子に印加され、第3のノアゲート30の出力信号
はすでに述べた第4のノアゲート32の第1の入力端子
を制御する。
0にもすてに述べた出力端子22の他にさらに出力端子
23が設けられており、この出力端子23はリード線3
8を介してノアゲート30の第1の入力端子を制御する
。同様にプロセッサ10の出力端子13はリード線34
を介して第1のノアゲート29の第1の入力端子を制御
する。第1のポンピング回路27の出力信号はノアゲー
ト29の第2の入力端子に印加され、ノアゲート29の
出力信号はリード線41を介して第2のノアゲート31
の第1の入力端子を制御する。同様に、第2のポンピン
グ回路28の出力信号は第3のノアゲート30の第2の
入力端子に印加され、第3のノアゲート30の出力信号
はすでに述べた第4のノアゲート32の第1の入力端子
を制御する。
ファゾー)31と32のそれぞれ第2の入力端子には、
装置に電源が投入されたときに共通のリード線18を介
して初期化信号(パワーオンパルス)が印加される。
装置に電源が投入されたときに共通のリード線18を介
して初期化信号(パワーオンパルス)が印加される。
監視すべき2つのプロセッサlOと20は、例えばEガ
スシステム(電子燃料供給量制御装置)においては、マ
スタープロセッサとスレイブプロセッサとして形成する
ことができる。その場合には、2つのプロセッサはバス
17を介しての非同期で、かつ周期的なデータないし命
令交換までは互いに独立して作動することができる。
スシステム(電子燃料供給量制御装置)においては、マ
スタープロセッサとスレイブプロセッサとして形成する
ことができる。その場合には、2つのプロセッサはバス
17を介しての非同期で、かつ周期的なデータないし命
令交換までは互いに独立して作動することができる。
第1図に示す装置の機能を第2図と第3図を用いて説明
する。障害が発生した場合には、2つのプロセッサ10
と20のウォッチドッグ出力端子12と22に発生する
それぞれ所定周波数と所定のデユーティ−比を有するウ
ォッチドッグパルスが、それぞれ他方のプロセッサ20
と10の該当するウォッチドッグ検出端子24と14に
供給される。第2図によれば、この種のウォッチドッグ
パルスはそれぞれより高い周波数パルスをもちい他方の
プロセッサによって検出される(ストローブサンプリン
グ)。おもに受信側でウォッチドッグ信号の有無、デユ
ーティ−比及びパルス周波数を正確に検出することによ
って、エラーを動的に見て迅速かつ靜的に見て確実に検
出することができる。そのため、第2図aに示す例えば
40m5の長さの周期と50%のデユーティ−比を有す
るウォッチドッグ信号は、第2図1〕に示す周期の間例
えば8回すなわち等分された8つの時点でサンプリング
され、プログラムに従ってこれらのとびとびの時点TA
I〜TABにおいて通常駆動時に予測される信号と比較
される。一致した場合には、受信したプロセッサによっ
てウォッチドッグ信号を出力したプロセッサの機能に誤
りがないことが確認される。ウォッチドッグ信号の予測
される値と実際の値とが一致しているかどうか互いに監
視し合うことによって、2つのプロセッサ10と20の
機能が秩序どうりであるか否かが監視されるが、これを
リード線33と37のみを介して行うことは、簡単なソ
フトウェアルーチンを使って行うことができる。
する。障害が発生した場合には、2つのプロセッサ10
と20のウォッチドッグ出力端子12と22に発生する
それぞれ所定周波数と所定のデユーティ−比を有するウ
ォッチドッグパルスが、それぞれ他方のプロセッサ20
と10の該当するウォッチドッグ検出端子24と14に
供給される。第2図によれば、この種のウォッチドッグ
パルスはそれぞれより高い周波数パルスをもちい他方の
プロセッサによって検出される(ストローブサンプリン
グ)。おもに受信側でウォッチドッグ信号の有無、デユ
ーティ−比及びパルス周波数を正確に検出することによ
って、エラーを動的に見て迅速かつ靜的に見て確実に検
出することができる。そのため、第2図aに示す例えば
40m5の長さの周期と50%のデユーティ−比を有す
るウォッチドッグ信号は、第2図1〕に示す周期の間例
えば8回すなわち等分された8つの時点でサンプリング
され、プログラムに従ってこれらのとびとびの時点TA
I〜TABにおいて通常駆動時に予測される信号と比較
される。一致した場合には、受信したプロセッサによっ
てウォッチドッグ信号を出力したプロセッサの機能に誤
りがないことが確認される。ウォッチドッグ信号の予測
される値と実際の値とが一致しているかどうか互いに監
視し合うことによって、2つのプロセッサ10と20の
機能が秩序どうりであるか否かが監視されるが、これを
リード線33と37のみを介して行うことは、簡単なソ
フトウェアルーチンを使って行うことができる。
例えは、簡単なルーチンのフローチャートを第3図に示
す。第3図には詳しく図示されていないが、好ましくは
ソフトウェアで形成されるサンプリングカウンタが設け
られており、このカウンタは受信側のプロセッサにおい
てウォッチドッグ信号の基本周波数の何倍−もの周波数
で増分される。
す。第3図には詳しく図示されていないが、好ましくは
ソフトウェアで形成されるサンプリングカウンタが設け
られており、このカウンタは受信側のプロセッサにおい
てウォッチドッグ信号の基本周波数の何倍−もの周波数
で増分される。
スタート命令48によって所定のサンプリング時点TA
でウォッチドッグ信号の瞬間的なレベルの検出49が行
われる。ここでは単純に信号状態がHG)l(H)であ
るかLOW (L )であるかの判別が行われる。例え
はフローチャートの右半分は、信号状態Hが検出された
ことを前提としている。次にフラグ50においてその前
のサンプリング時点で同じ信号状態Hがすでに存在して
いたかどうかの判定が行われる。例えばウォッチドッグ
信号の通常の基本周波数の8倍の周波数がサンプリング
周波数として用いられた場合には、前記の判定の結果が
ノーであるとフラグ53に進んで、サンプリングカウン
タの計数状態が4より小さいかどうかの判定が行われる
。フラグ50の判定の結果がイエスであると、フラグ5
1に進んでサンプリングカウンタの計数状態が6より小
さいかどうかの判定が行われる。フラグ53の判定がノ
ーであるとサンプリングカウンタはゼロにリセットされ
る。フラグ51の判定がイエスであるとサンプリングカ
ウンタは1だけカウントアツプされ、その後でウォッチ
ドッグ信号のその時の状態が次のフラグ60に関するレ
ベル値としてメモリに格納される。
でウォッチドッグ信号の瞬間的なレベルの検出49が行
われる。ここでは単純に信号状態がHG)l(H)であ
るかLOW (L )であるかの判別が行われる。例え
はフローチャートの右半分は、信号状態Hが検出された
ことを前提としている。次にフラグ50においてその前
のサンプリング時点で同じ信号状態Hがすでに存在して
いたかどうかの判定が行われる。例えばウォッチドッグ
信号の通常の基本周波数の8倍の周波数がサンプリング
周波数として用いられた場合には、前記の判定の結果が
ノーであるとフラグ53に進んで、サンプリングカウン
タの計数状態が4より小さいかどうかの判定が行われる
。フラグ50の判定の結果がイエスであると、フラグ5
1に進んでサンプリングカウンタの計数状態が6より小
さいかどうかの判定が行われる。フラグ53の判定がノ
ーであるとサンプリングカウンタはゼロにリセットされ
る。フラグ51の判定がイエスであるとサンプリングカ
ウンタは1だけカウントアツプされ、その後でウォッチ
ドッグ信号のその時の状態が次のフラグ60に関するレ
ベル値としてメモリに格納される。
フラグ53の判定がイエスの場合ないしはフラグ51の
判定がノーの場合には、ステップ54において誤ったウ
ォッチドッグ信号が存在すると考えられ(周波数エラー
デユーチーイー比エラー定常的に一定の値となってし
まう等)、サンプリングカウンタを増分することなく、
そのときのウォッチドッグ信号状態が次のフラグ50の
レベル値としてステップ56でメモリに格納される。ウ
ォッチドッグ信号しについては、対称線58に関して対
称なフローチャートの左半分が使用され、同様な操作が
行われる。従って2つのプロセッサ10と20の相互監
視は、接続回路を介在させることなく、プロセッサIO
と20のウォッチドッグ出力端子12ないし22と対応
するウォッチドッグ検出信号入力端子24ないし14と
を直接接続することによって、すなわち完全に自主的に
行うことができる。
判定がノーの場合には、ステップ54において誤ったウ
ォッチドッグ信号が存在すると考えられ(周波数エラー
デユーチーイー比エラー定常的に一定の値となってし
まう等)、サンプリングカウンタを増分することなく、
そのときのウォッチドッグ信号状態が次のフラグ50の
レベル値としてステップ56でメモリに格納される。ウ
ォッチドッグ信号しについては、対称線58に関して対
称なフローチャートの左半分が使用され、同様な操作が
行われる。従って2つのプロセッサ10と20の相互監
視は、接続回路を介在させることなく、プロセッサIO
と20のウォッチドッグ出力端子12ないし22と対応
するウォッチドッグ検出信号入力端子24ないし14と
を直接接続することによって、すなわち完全に自主的に
行うことができる。
接続素子27〜32は、前述の動的なウォッチドッグ信
号の分析及びデータバス17と接続されて、監視の確実
性を向上させる以下のような機能を満たすことができる
。すなわち、プロセッサ20は、3つの信号路すなわち
バス17上の信号路とリード線33上のウォッチドッグ
信号とリード線34上のソフトウェアリセット信号の組
合せの変化から生じる信号プロトコルを論理的に処理し
て、プロセッサ10のエラーを監視する。同様にプロセ
ッサ10も3つの信号路すなわちバス17上の信号路と
リード線17上のウォッチドッグ信号とリード線38上
のソフトウェアリセット信号の組合せから生じる信号プ
ロトコルを論理的ζピ処理することによって、プロセッ
サ20のエラーを監視する。
号の分析及びデータバス17と接続されて、監視の確実
性を向上させる以下のような機能を満たすことができる
。すなわち、プロセッサ20は、3つの信号路すなわち
バス17上の信号路とリード線33上のウォッチドッグ
信号とリード線34上のソフトウェアリセット信号の組
合せの変化から生じる信号プロトコルを論理的に処理し
て、プロセッサ10のエラーを監視する。同様にプロセ
ッサ10も3つの信号路すなわちバス17上の信号路と
リード線17上のウォッチドッグ信号とリード線38上
のソフトウェアリセット信号の組合せから生じる信号プ
ロトコルを論理的ζピ処理することによって、プロセッ
サ20のエラーを監視する。
プロセッサ10と20は固定のタイムパターンでデータ
を周期的に交換する。まず、プロセッサ10(マスター
プロセッサとして)がバス17を介してプロセッサ20
(スレーブプロセッサとして)にデータをリクエストす
る。プロセッサ20は所定のサイクル時間に基づいてデ
ータリクエストを侍っている。その結果、プロセッサ2
0からプロセッサ10へのデータ伝送が行われないでい
ると、当該プロセッサはそのことを認識する。すなわち
プロセッサ10の場合には自らのデータリクエストに対
してデータ伝送の応答がないことを認識し、プロセッサ
20の場合にはサイクル時間が経過してもプロセッサ1
0からのデータリクエストがないことを認識する。従っ
てバス17は同バスに搬送される信号並びにその信号と
元になる信号プロトコルとの比較と共に、2つのプロセ
ッサを互いに監視するための双方向の監視機能を形成す
る。
を周期的に交換する。まず、プロセッサ10(マスター
プロセッサとして)がバス17を介してプロセッサ20
(スレーブプロセッサとして)にデータをリクエストす
る。プロセッサ20は所定のサイクル時間に基づいてデ
ータリクエストを侍っている。その結果、プロセッサ2
0からプロセッサ10へのデータ伝送が行われないでい
ると、当該プロセッサはそのことを認識する。すなわち
プロセッサ10の場合には自らのデータリクエストに対
してデータ伝送の応答がないことを認識し、プロセッサ
20の場合にはサイクル時間が経過してもプロセッサ1
0からのデータリクエストがないことを認識する。従っ
てバス17は同バスに搬送される信号並びにその信号と
元になる信号プロトコルとの比較と共に、2つのプロセ
ッサを互いに監視するための双方向の監視機能を形成す
る。
各プロセッサはそれぞれ他方のプロセッサが休止してい
る場合にそのプロセッサを再スタートさせることができ
る(ソフトウェアリセット)。リセットパルスをプロセ
ッサ20ないし10へ通じるリード線34ないし38へ
出力するのは、プロセッサ10ないし20がその入力端
子14ないし24に印加されるプロセッサ20ないし1
0のウォッチドッグ信号がすでに述べたようにエラーを
有していることを識別することが前提となる。ポンピン
グ回路27と28の入力端子にエラーのないウォッチド
ッグ信号が入力されると、同回路の出力端子には靜的な
論理レベル(ここでは例えばL)が発生する。ウォッチ
ドッグ信号が欠落し、あるいは靜的な信号値をとると、
ポンピング回路27と28の出力端子にはそれぞれ他方
の論理レベルが発生する。従ってリセットパルスを送出
するプロセッサのウォッチドッグ信号にエラーがない場
合には、それぞれのプロセッサ10ないし20から送出
されるLレベルを有するソフトウェアリセットパルスは
ノアゲート29と31ないし30と32を介して他方の
プロセッサ2oないし10に伝送される。
る場合にそのプロセッサを再スタートさせることができ
る(ソフトウェアリセット)。リセットパルスをプロセ
ッサ20ないし10へ通じるリード線34ないし38へ
出力するのは、プロセッサ10ないし20がその入力端
子14ないし24に印加されるプロセッサ20ないし1
0のウォッチドッグ信号がすでに述べたようにエラーを
有していることを識別することが前提となる。ポンピン
グ回路27と28の入力端子にエラーのないウォッチド
ッグ信号が入力されると、同回路の出力端子には靜的な
論理レベル(ここでは例えばL)が発生する。ウォッチ
ドッグ信号が欠落し、あるいは靜的な信号値をとると、
ポンピング回路27と28の出力端子にはそれぞれ他方
の論理レベルが発生する。従ってリセットパルスを送出
するプロセッサのウォッチドッグ信号にエラーがない場
合には、それぞれのプロセッサ10ないし20から送出
されるLレベルを有するソフトウェアリセットパルスは
ノアゲート29と31ないし30と32を介して他方の
プロセッサ2oないし10に伝送される。
このようにして、故障したプロセッサが原因不明の状態
で他方の作動可能なプロセッサにリセットパルスを送出
することは不可能になる。あるいは、例えはこの種のシ
ステムのスイッチを入れ、作動させる場合に、それぞれ
ソフトウェアリセットパルスを送出する代わりに、Hレ
ベルを有する共通の切間化信号(パワーオン)を2つの
ノアゲート31と32を介して両方のプロセッサに同時
に送ることも可能である。従って2つのプロセッサ間で
行われるソフトウェアリセット信号の交換は、2つのプ
ロセッサが互いに監視し合う他の監視機能を示す。これ
らの監視機能を検出することによってエラーのある駆動
状態の認識だけでなく、さらにこの種のエラーの場所を
突き止めることも可能であって、これについては後述す
る。
で他方の作動可能なプロセッサにリセットパルスを送出
することは不可能になる。あるいは、例えはこの種のシ
ステムのスイッチを入れ、作動させる場合に、それぞれ
ソフトウェアリセットパルスを送出する代わりに、Hレ
ベルを有する共通の切間化信号(パワーオン)を2つの
ノアゲート31と32を介して両方のプロセッサに同時
に送ることも可能である。従って2つのプロセッサ間で
行われるソフトウェアリセット信号の交換は、2つのプ
ロセッサが互いに監視し合う他の監視機能を示す。これ
らの監視機能を検出することによってエラーのある駆動
状態の認識だけでなく、さらにこの種のエラーの場所を
突き止めることも可能であって、これについては後述す
る。
例えばプロセッサ1oが、プロセッサ2oに対してデー
タをリクエストしたのにデータ伝送が行われないことを
認識し、あるいはプロセッサ2゜が伝送サイクルが経過
してもプロセッサ1oからデータリクエストが行われな
いことを認識し、しかも両プロセッサが同じように、そ
れぞれ他方のプロセッサからはエラーのないウォッチド
ッグ信号が送出され、従って活動していることを認識し
ている場合には、バス17の制御線に故障があることが
認識される。これに対して、データ線の故障の場合には
、まだデータ伝送は可能である。データ線の故障は、プ
ロセッサ1oがプロセッサ20にチェックワードを送出
し、プロセッサ2oがプロセッサ10に誤ったチェック
ワードを返すことによって認識される。その場合にプロ
セッサ10は、プロセッサ20がデータ交換に関する伝
送プロトコルを維持しており、プロセッサ2oのウォッ
チドッグ信号が誤りのない状態で存在するこを認識する
が、誤ったチェックワードを処理することによってデー
タバスのデータ線に障害があるという結論を出す。プロ
セッサ2oは、ブロセッサlOが伝送プロトコルを維持
しており、そのウォッチドッグ信号が誤りのない状態で
存在していることを認識し、同様にデータバスにエラー
が存在するという結論を出す。
タをリクエストしたのにデータ伝送が行われないことを
認識し、あるいはプロセッサ2゜が伝送サイクルが経過
してもプロセッサ1oからデータリクエストが行われな
いことを認識し、しかも両プロセッサが同じように、そ
れぞれ他方のプロセッサからはエラーのないウォッチド
ッグ信号が送出され、従って活動していることを認識し
ている場合には、バス17の制御線に故障があることが
認識される。これに対して、データ線の故障の場合には
、まだデータ伝送は可能である。データ線の故障は、プ
ロセッサ1oがプロセッサ20にチェックワードを送出
し、プロセッサ2oがプロセッサ10に誤ったチェック
ワードを返すことによって認識される。その場合にプロ
セッサ10は、プロセッサ20がデータ交換に関する伝
送プロトコルを維持しており、プロセッサ2oのウォッ
チドッグ信号が誤りのない状態で存在するこを認識する
が、誤ったチェックワードを処理することによってデー
タバスのデータ線に障害があるという結論を出す。プロ
セッサ2oは、ブロセッサlOが伝送プロトコルを維持
しており、そのウォッチドッグ信号が誤りのない状態で
存在していることを認識し、同様にデータバスにエラー
が存在するという結論を出す。
例えはプロセッサ10が作動していない場合には、プロ
セッサ20は伝送サイクルの経過後にプロセッサ10が
データリクエストして来ないことと同プロセッサ10の
ウォッチドッグ信号の欠落を認識する。プロセッサ20
は前記2つの状態を認識するとブロモ・・フサlOに障
害があると判断する。そしてプロセッサ20はブロモ・
・lす10にリセットパルスを送出する。プロセッサ1
0が再び能動化されるとすぐに、プロセッサ1.0から
はエラーのないウォッチドッグ信号が出力され、プロセ
ッサ20にデータをリクエストする。プロセッサ10が
能動化されないと、ウォッチドッグ信号の出力はなく、
かつプロセッサ20に対するデータリクエストも行われ
ないので、プロセッサ20は所定のプログラムに従って
反応する。プロセッサ20についても逆に同様なことが
行われる。
セッサ20は伝送サイクルの経過後にプロセッサ10が
データリクエストして来ないことと同プロセッサ10の
ウォッチドッグ信号の欠落を認識する。プロセッサ20
は前記2つの状態を認識するとブロモ・・フサlOに障
害があると判断する。そしてプロセッサ20はブロモ・
・lす10にリセットパルスを送出する。プロセッサ1
0が再び能動化されるとすぐに、プロセッサ1.0から
はエラーのないウォッチドッグ信号が出力され、プロセ
ッサ20にデータをリクエストする。プロセッサ10が
能動化されないと、ウォッチドッグ信号の出力はなく、
かつプロセッサ20に対するデータリクエストも行われ
ないので、プロセッサ20は所定のプログラムに従って
反応する。プロセッサ20についても逆に同様なことが
行われる。
例えばプロセッサ20からウォッチドッグ信号が出力さ
れないと、それをプロセッサ10が認識する。プロセッ
サ20がプロセッサ10からのデータリクエストに正し
く応答すると、プロセッサ10はプロセッサ20が能動
状態であって、ブ[17セツサ20のウォッチドッグ信
号出力端子にエラーがあることを認識する。データバス
17を介してプロセッサ10はこの情報をプロセッサ2
0に伝達する。逆にプロセッサ10のウォッチドッグ信
号にエラーが発生しlた場合には、それをブlコセ・フ
サ20が認識して該当する情報をブロモ・フサ]0に伝
達する。
れないと、それをプロセッサ10が認識する。プロセッ
サ20がプロセッサ10からのデータリクエストに正し
く応答すると、プロセッサ10はプロセッサ20が能動
状態であって、ブ[17セツサ20のウォッチドッグ信
号出力端子にエラーがあることを認識する。データバス
17を介してプロセッサ10はこの情報をプロセッサ2
0に伝達する。逆にプロセッサ10のウォッチドッグ信
号にエラーが発生しlた場合には、それをブlコセ・フ
サ20が認識して該当する情報をブロモ・フサ]0に伝
達する。
なお、以上の実施例において、障害がない場合には、両
プロセッサから出力される監視信号はほぼ同一のパルス
デューティ−比と周波数を有するように構成することが
できる。
プロセッサから出力される監視信号はほぼ同一のパルス
デューティ−比と周波数を有するように構成することが
できる。
また、障害がない場合には、両監視信号間に所定の位相
ずれが存在し、この位相ずれはいずれかのプロセッサに
おいてプログラム処理に障害が発生すると失われてしま
うように構成することができる。
ずれが存在し、この位相ずれはいずれかのプロセッサに
おいてプログラム処理に障害が発生すると失われてしま
うように構成することができる。
また、2つのプロセッサのうち少なくとも一方が、デー
タ線及び制御線17に無関係の他のデータバス16.2
6と接続されているように構成することができる。
タ線及び制御線17に無関係の他のデータバス16.2
6と接続されているように構成することができる。
さらに、2つのプロセッサが異なる周波数で駆動可能で
あるように構成することができる。
あるように構成することができる。
また、データ線及び制御線を介して出力されるデータ線
上のデータ伝送を検査するチェックワードが方向に関し
て異なるように構成することができる。
上のデータ伝送を検査するチェックワードが方向に関し
て異なるように構成することができる。
また、障害が存在しない限りにおいて、2つのプロセッ
サの一方がマスタープロセッサとして優先的に駆動可能
であって、他方がスレーブプロセッサとして低い順位で
駆動可能であり、障害が検出されると、2つのプロセッ
サの各々が同一の能力でほぼ同一の非常機能を果たすよ
うに構成することができる。
サの一方がマスタープロセッサとして優先的に駆動可能
であって、他方がスレーブプロセッサとして低い順位で
駆動可能であり、障害が検出されると、2つのプロセッ
サの各々が同一の能力でほぼ同一の非常機能を果たすよ
うに構成することができる。
さらに、各プロセッサのリセット/再スタート信号を受
信する第2の入力端子15.25が、それぞれ他方のプ
ロセッサのソフトウェアリセット信号を出力する第2の
出力端子13.23と動的に接続されるように構成する
ことができる。
信する第2の入力端子15.25が、それぞれ他方のプ
ロセッサのソフトウェアリセット信号を出力する第2の
出力端子13.23と動的に接続されるように構成する
ことができる。
また、一方のプロセッサにおいてプログラム処理に故障
が発生した場合には、同プロセッサは障害がない状態の
ときに比べて単位時間当りより多くのソフトウェアリセ
ット信号を発生させることによって停止させることがで
き、この多数のソフトウェアリセットパルスは障害のな
い方のプロセッサから発生されるように構成することが
できる。
が発生した場合には、同プロセッサは障害がない状態の
ときに比べて単位時間当りより多くのソフトウェアリセ
ット信号を発生させることによって停止させることがで
き、この多数のソフトウェアリセットパルスは障害のな
い方のプロセッサから発生されるように構成することが
できる。
〈発明の効果〉
従って本発明装置においては、2つのプロセッサが互い
に独立して作動するにもかかわらず、高度の確実性をも
って互いに監視し合うことができる。プロセッサはプロ
グラムされた種々のフェイルセイフ・ルーチンに従いそ
れぞれエラーの種類に応じて種々に応答することができ
る。またエラーの位置が特定されるので、例えば一方の
プロセッサが作動しなくなったときにまだ機能している
他方のプロセッサによって再スタートさせる(すセット
)ことにより、前記エラーを除去することができる。再
スタート(リセット)の試みが成功しなかった場合には
、故障したプロセッサないしは誤作動するプロセッサを
継続的に休止させる方法もある。総じてエラーが発生し
た場合にソフトウェアを用いて種々に応答することがで
きるようになっているので、システム全体の使用範囲を
著しく拡大することができる。エラーの検出を利用して
例えば自動車の運転者にエラーを報告し、あるいは特に
自動車関係の仕事で照会することのできるエラーメモリ
に格納することもできるのは当然でる。さらに、本発明
による装置は、図示の実施例とは異なり2つのプロセッ
サ間でのデータ交換が別体のボー)11と21間に固定
配置された専用のバス17を介してではなく、システム
バスあるいは一般に検出した測定量を格納ないしは処理
結果を読み出すシステムバスの一部を介して行われるよ
うな2つのプロセッサシステムに使用することも可能で
ある。
に独立して作動するにもかかわらず、高度の確実性をも
って互いに監視し合うことができる。プロセッサはプロ
グラムされた種々のフェイルセイフ・ルーチンに従いそ
れぞれエラーの種類に応じて種々に応答することができ
る。またエラーの位置が特定されるので、例えば一方の
プロセッサが作動しなくなったときにまだ機能している
他方のプロセッサによって再スタートさせる(すセット
)ことにより、前記エラーを除去することができる。再
スタート(リセット)の試みが成功しなかった場合には
、故障したプロセッサないしは誤作動するプロセッサを
継続的に休止させる方法もある。総じてエラーが発生し
た場合にソフトウェアを用いて種々に応答することがで
きるようになっているので、システム全体の使用範囲を
著しく拡大することができる。エラーの検出を利用して
例えば自動車の運転者にエラーを報告し、あるいは特に
自動車関係の仕事で照会することのできるエラーメモリ
に格納することもできるのは当然でる。さらに、本発明
による装置は、図示の実施例とは異なり2つのプロセッ
サ間でのデータ交換が別体のボー)11と21間に固定
配置された専用のバス17を介してではなく、システム
バスあるいは一般に検出した測定量を格納ないしは処理
結果を読み出すシステムバスの一部を介して行われるよ
うな2つのプロセッサシステムに使用することも可能で
ある。
第1図は本発明装置のブロック図、第2図(a)と(b
)は動的なウォッチドッグ信号の検出を模式的に示す説
明図、第3図は第2図に示す検出プログラムのフローチ
ャート図である。 11.21・・・ポート、12.22・・・出力端子、
13.23・・・出力端子、14.24・・・入力端子
15.25・・・入力端子、16・・・データバス、1
7・・・データ線及び制御線、 27.28・・・ポンピング回路 FIG、2
)は動的なウォッチドッグ信号の検出を模式的に示す説
明図、第3図は第2図に示す検出プログラムのフローチ
ャート図である。 11.21・・・ポート、12.22・・・出力端子、
13.23・・・出力端子、14.24・・・入力端子
15.25・・・入力端子、16・・・データバス、1
7・・・データ線及び制御線、 27.28・・・ポンピング回路 FIG、2
Claims (11)
- (1) 2つのプロセッサがポート(11、21)によ
ってデータ線及び制御線(17)を介して互いに固定的
に接続されている、2つのプロセッサを有するコンピュ
ータシステムを監視する装置において、 2つのプロセッサが前記データ線及び制御線を介して周
期的にデータ及び命令交換をするときまでは、互いに独
立して作動可能であって、 それぞれのプロセッサに動的な監視信号を出力する第1
の出力端子(12、22)が設けられており、 それぞれのプロセッサに他方のプロセッサの前記監視信
号を認識する第1の入力端子(14、24)が設けられ
ており、 両プロセッサの前記第1の入力端子(14、24)と出
力端子(22、12)がそれぞれ互いに接続されており
、 前記動的な監視信号は、両プロセッサにおいてプログラ
ム処理上に故障がない場合には、それぞれ所定のパルス
デューティー比と所定の周波数を有し、 いずれかのプロセッサにおいてプログラム処理上に故障
がある場合には、故障を有する方のプロセッサの監視信
号のパルスデューティー比がプログラム処理上に故障が
ない場合に比べて変化していることを特徴とする2つの
プロセッサを有するコンピュータシステムを監視する装
置。 - (2) 各プロセッサの前記各第1の出力端子(12、
33、22、37)がポンピング回路(2728)の入
力端子に接続されており、前記ポンピング回路の出力端
子からは靜的な監視信号を取り出すことができ、 それぞれソフトウエアリセット信号を出力するための第
2の出力端子(13、23)が設けられており、 各プロセッサにはそれぞれ他方のプロセッサのリセット
/再スタート信号を受信するための第2の入力端子(1
5、25)が設けられており、各第2の入力端子(15
、25)の前段にはそれぞれ3つの入力端子を有する論
理回路(30、32、29、31)が設けられており、
前記3つの入力端子のそれぞれ第1の入力端子(38、
34)はそれぞれ他方のプロセッサのソフトウエアリセ
ット信号を出力するための前記第2の出力端子(23、
13)と接続され、論理回路の第2の入力端子はそれぞ
れ他方のプロセッサによって制御される(22、12)
ポンピング回路(28、27)の出力端子と接続されて
おり、 前記論理回路(30、32、29、31)の第3の入力
端子には電源線(18)を介して初期化信号を供給する
ことができることを特徴とする特許請求の範囲第1項に
記載の装置。 - (3) 障害がない場合には、両プロセッサから出力さ
れる監視信号はほぼ同一のパルスデューティー比と周波
数を有することを特徴とする特許請求の範囲第1項に記
載の装置。 - (4) 障害がない場合には、両監視信号間に所定の位
相ずれが存在し、この位相ずれはいずれかのプロセッサ
においてプログラム処理に障害が発生すると失われてし
まうことを特徴とする特許請求の範囲第3項に記載の装
置。 - (5) 2つのプロセッサのうち少なくとも一方が、前
記データ線及び制御線(17)に無関係の他のデータバ
ス(16、26)と接続されていることを特徴とする特
許請求の範囲第1項に記載の装置。 - (6) 2つのプロセッサが異なる周波数で駆動可能で
あることを特徴とする特許請求の範囲第1項に記載の装
置。 - (7) 前記データ線及び制御線(17)を介して出力
される前記データ線上のデータ伝送を検査するチェック
ワードが方向に関して異なることを特徴とする特許請求
の範囲第1項に記載の装置。 - (8) 前記論理回路がそれぞれ2つの直列のカスケー
ド回路(29、31)、(30、32)から形成される
ことを特徴とする特許請求の範囲第2項に記載の装置。 - (9) 障害が存在しない限りにおいて、2つのプロセ
ッサの一方がマスタープロセッサとして優先的に駆動可
能であって、他方がスレーブプロセッサとして低い順位
で駆動可能であり、 障害が検出されると、2つのプロセッサの各々が同一の
能力でほぼ同一の非常機能を果たすことを特徴とする特
許請求の範囲第1項〜第8項のいずれか1項に記載の装
置。 - (10) 各プロセッサのリセット/再スタート信号を
受信する第2の入力端子(15、25)が、それぞれ他
方のプロセッサのソフトウエアリセット信号を出力する
第2の出力端子(13、23)と動的に接続されている
ことを特徴とする特許請求の範囲第1項〜第9項のいず
れか1項に記載の装置。 - (11) 一方のプロセッサにおいてプログラム処理に
故障が発生した場合には、同プロセッサは障害がない状
態のときに比べて単位時間当りより多くのソフトウエア
リセット信号を発生させることによって停止させること
ができ、この多数のソフトウエアリセットパルスは障害
のない方のプロセッサから発生されることを特徴とする
特許請求の範囲第10項に記載の装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19873726489 DE3726489C2 (de) | 1987-08-08 | 1987-08-08 | Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug |
| DE3726489.3 | 1987-08-08 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0261755A true JPH0261755A (ja) | 1990-03-01 |
| JP2768693B2 JP2768693B2 (ja) | 1998-06-25 |
Family
ID=6333397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63193588A Expired - Lifetime JP2768693B2 (ja) | 1987-08-08 | 1988-08-04 | 2台のプロセッサを有するコンピュータシステムを監視する装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2768693B2 (ja) |
| DE (1) | DE3726489C2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014102662A (ja) * | 2012-11-19 | 2014-06-05 | Nikki Co Ltd | マイクロコンピュータ暴走監視装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4004709C2 (de) * | 1990-02-15 | 1999-01-07 | Bosch Gmbh Robert | Rechnersystem |
| DE69227272T2 (de) * | 1991-04-16 | 1999-03-11 | Nec Corp., Tokio/Tokyo | Multiprozessorssystem |
| DE4117393A1 (de) * | 1991-05-28 | 1992-12-03 | Kloeckner Humboldt Deutz Ag | Einrichtung zur steuerung der kraftstoffeinspritzung einer brennkraftmaschine |
| JPH064353A (ja) * | 1992-06-17 | 1994-01-14 | Sumitomo Electric Ind Ltd | 複数のマイクロコンピュータの相互監視回路 |
| DE4438714A1 (de) * | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
| JP2002517850A (ja) * | 1998-06-10 | 2002-06-18 | シーメンス アクチエンゲゼルシヤフト | 機械、プラント又は器具の制御装置並びに制御監視方法 |
| FR2838532B1 (fr) * | 2002-04-10 | 2004-07-30 | Airbus France | Systeme et procede de controle de plusieurs actionneurs |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4610013A (en) * | 1983-11-08 | 1986-09-02 | Avco Corporation | Remote multiplexer terminal with redundant central processor units |
| DE3539407A1 (de) * | 1985-11-07 | 1987-05-14 | Bosch Gmbh Robert | Rechnersystem mit zwei prozessoren |
-
1987
- 1987-08-08 DE DE19873726489 patent/DE3726489C2/de not_active Expired - Lifetime
-
1988
- 1988-08-04 JP JP63193588A patent/JP2768693B2/ja not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014102662A (ja) * | 2012-11-19 | 2014-06-05 | Nikki Co Ltd | マイクロコンピュータ暴走監視装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE3726489A1 (de) | 1989-02-16 |
| DE3726489C2 (de) | 1995-04-20 |
| JP2768693B2 (ja) | 1998-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2880165B2 (ja) | 2つのプロセッサからなる自動車のコンピュータシステムを監視する装置 | |
| JP3255693B2 (ja) | 自動車のマルチコンピュータシステム | |
| JPH0792765B2 (ja) | 入/出力コントローラ | |
| JPH05147477A (ja) | 自動車の制御装置 | |
| US6076172A (en) | Monitoting system for electronic control unit | |
| JP2001063492A (ja) | 車両安全制御装置の電子制御装置 | |
| US20110072313A1 (en) | System for providing fault tolerance for at least one micro controller unit | |
| KR20160128593A (ko) | 중속 디젤 엔진의 이중화 제어 시스템 및 그 방법 | |
| JPH0261755A (ja) | 2台のプロセッサを有するコンピュータシステムを監視する装置 | |
| US10467889B2 (en) | Alarm handling circuitry and method of handling an alarm | |
| JPH0717337A (ja) | 電子制御ユニットの故障判定方法及び故障判定装置 | |
| JP2998804B2 (ja) | マルチマイクロプロセッサシステム | |
| JP4613019B2 (ja) | コンピュータシステム | |
| JPS63224446A (ja) | 通信システム | |
| JPH0273451A (ja) | 制御装置 | |
| US7016995B1 (en) | Systems and methods for preventing disruption of one or more system buses | |
| JPH0726762Y2 (ja) | バス不一致発生回路 | |
| JPH06348521A (ja) | 分散形制御装置 | |
| JPH0395636A (ja) | フェイルセーフ回路の診断方式 | |
| JPH02206866A (ja) | マルチプロセッサシステムにおけるリセット信号発生装置 | |
| JP2022156616A (ja) | 制御装置及びリセット機能の診断方法 | |
| JPH02173852A (ja) | バス診断装置 | |
| JPH04178839A (ja) | マイクロプロセッサ | |
| JPS6013592B2 (ja) | シ−ケンスコントロ−ラのデ−タバス故障診断装置 | |
| JPH11224102A (ja) | 二重化制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090410 Year of fee payment: 11 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090410 Year of fee payment: 11 |