Устройство для контроля и реконфигурации дублированной системы Советский патент 1993 года по МПК G06F11/20 H05K10/00 

Изобретение относится к области цифровой вычислительной техники и автоматики и может быть использовано пр,и построении отказоустойчивых и гарантоспособных вычислительных систем, защищенных от ошибок, вызванных физическими дефектами и дефектами проектирования, на основе однотипных вычислителей, в которых возможно решение задач по нескольким альтернативным версиям;. - ..; .. -...- . . . . . . ;

Целью изобретения является повышение надежности устройства.

. На фиг. 1, 2 представлена функциональная схема устройства для контроля и реконфигурации; на фиг. 3 представлена таблица соответствия функционирования дешифра- . тора; на фиг. 4 - представлена временная диаграмма работы устройства (обозначения соответствуют фиг. 1)..

На фиг. 1, 2 использованы следующие обозначения: 1,2- первая и вторая резервируемые ЭВМ; 3-5 - первый-третий регистры; 6 - мультиплексор; 7, 8 - первый, второй управляющие мультиплексоры; 9-13 - первая-пятая схемы сравнения; 14 - триггер повтора; 15 - одновибратор; 16, 17 - первый, второй Г-триггеры, 18-25-первый- восьмой 0-триггеры;26, 27-первый, второй дешифраторы; 28 - элемент И; 29-34 - пер- вый-шес гой элементы ИЛИ; 35 - третий I- триггер; 36 - выход ДПА устройства; 37 - информационный вход устройства; 38 - вход синхронизации устройства; 39 - выход отказ 1-го канала устройства; 40 - выход отказ 2-го канала 1 устройства; 41 - выход данных устройства; 42 - выход отказа устройства; 43 - выход сбой 1/2 устройства; 44 - выход сбой 1/1 устройства; 45 - выход сбой 2/1 устройства; 46 - выход сбой 2/2 устройства; 47 - выход ДПО устройства; 48

о о

а

со ю

- выход ДПВ устройства; 49 - выход сбой схемы контроля устройства.

Информационный вход 37 устройства соединен с информационными входами первой 1 и второй 2 ЭВМ, выходы данных которых соединены с первым и вторым вхо дом мультиплексора 6, кроме того, соеди- ,нен с первыми входами первой 9 - третьей

11 схем сравнения и информационным входом первого регистра 3, выход которого соединен с первым входом четвертой 12 и вторым входом третьей 11 схем сравнения, выход данных второй ЭВМ 2, кроме того, соединен с первым входом пятого 13 и вторыми входами первого 9 и четвертого 12 элементов сравнения и информационным входом второго регистра 4, выход которого соединен со вторыми входами второго 10 и пятого 12 элементов сравнения, выход первого элемента сравнения 9 соединен с первым входом первого дешифратора 26 и первым входом первого управляющего мультиплексора 7, выход которого соединен с D-входом триггера перезапуска 14, инверсный выход которого соединен с первыми и вторыми входами логических условий первой 1 и второй 2 ЭВМ, с вторым входом первого управляющего мультиплексора 7, управляющим V-входом первого дешифратора 26 и первым прямым входом элемента И28, выход которого соединен с первым входом первого элемента ИЛИ29, выход которого, являясь выходом 42 отказ.системы устройства, соединен с управляющим V- входом третьего регистра 5, выход которого соединен с выходом 41 данных устройства. выход второго элемента сравнения 10 соединен со вторым входом первого дешифратора 26, выход третьей схемы сравнения 11 соединен с первым входом второго дешифратора 27 и первым входом второго управляющего мультиплексора 8. выход которого соединен с инверсным входом элемента И28, выход четвертого элемента сравнения

12 соединен с третьим входом первого дешифратора 26, выход пятого элемента сравнения 13 соединен со вторыми входами второго дешифратора 27 и второго управля- юще«о мультиплексора 8. вход 38 синхронизации устройства соединен с синхровходрми первого 3 - пятого 5 регистров, триггера перезапуска 14, первого 16, второго 17 и третьего 35 1-триггеров, первого 18 - восьмого 25 D-триггеров, а также с входами ожидания первого 1 и второго 2 каналов, выход первого 1-триггера 16, являясь выходом 39 отказ 1-го канала устройства, соединен с первыми входами второго 30 и третьего 31 элементов ИЛИ, а также адресным входом второго управляющего

мультиплексора 8, выход второго 1-триггера 17, являясь выходом 40 отказ 2-го канала устройства, соединен со вторым входом второго 30 элемента ИЛИ, выход которого соединен с вторым прямым входом элемента И28, вторым входом второго элемента ИЛИ29, адресным входом первого управляющего мультиплексора 7, а через, одновиб- ратор 15 с установочным S-входом триггера

0 перезапуска 14, первый выход первого дешифратора 26 соединен с управляющим V- вхрдом второго дешифратора 27, первый выход которого соединен с первым входом четвертого 32 элемента ИЛИ, выход которо5 го соединен с вторым входом первого элемента ИЛИ29, второй выход второго дешифратора 27 соединен с l-входом первого -триггера 16, третий выход второго дешифратора 27 соединен с l-входом второго

0 |-триггера 17, четвертый выход второго дешифратора соединен с вторым входом четвертого элемента ИЛИ32. второй выход первого дешифратора 26 соединен с первыми входами пятого 33 и шестого 34 элемен5 тов ИЛИ, выходы которых соединены соответственно с D-входами первого 18 и второго 19 D-триггеров, выходы которых соединены соответственно с выходами 44 сбой 1/1 и 45 сбой 2/1 устройства, трё0 тий выход первого дешифратора 26 соединен со вторым входом пятого элемента ИЛИЗЗ и D-входом третьего D-триггера 20, выход которого является выходом 46 сбой 2/2 устройства, четвертый выход первого

5 дешифратора 2 6 соединен с третьим входом пятого элемента ИЛИЗЗ. пятый выход первого дешифратора 26 соединен со вторым входом третьего элемента ИЛИ31, вторым входом шестого элемента ИЛИ34 и D-входа0 ми четвертого 21 и пятого 22 D-триггеров, выходы которых являются выходами 47 ДПО и 43 сбой 1/2 устройства соответственно, шестой выход первого дешифратора 26 соединен с третьим входом шестого элемента

5 ИЛИ34 и -входом шестого D-триггера 23, выход которого является выходом 48 сбой ДПВ устройства, седьмой и восьмой выходы первого дешифратора 26 соединены соответственно с D-входами седьмого 24 и

0 восьмого 25 D-триггеров, выходы которых являются выходами 36 ДПА и 35 сбой системы контроля устройства, выход мультиплексора 6 соединен с информационным входом третьего регистра 5, кроме того, вы5 ход первого элемента ИЛИ 29 соединен с l-входом третьего 1-триггера 35, выход которого является выходом 42 отказа устройства.

Первая 1 и вторая 2 аппаратно идентичные резервируемые ЭВМ предназначены

для вычисления задачи (пакета задач) с жестким периодом счета не более Т, либо для циклического решения одной задачи с постоянно обновляемыми данными (например, в системе управления летательного аппарата). Кроме того, задача (задачи) вы- .числяется по двум различным программным версиям (по две в каждом канале, но одна общая, всего три), причем время решения по каждой из них, время счета, составляет не более Т. Если за это время задача не решена, то такая ситуация равноценна отказу. Кроме того, решаются также задачи, которые допускают повторный счет (временная избыточность - один цикл). Необходимость повторного счета определяет единичный потенциал, подаваемый на первый вход логических условий каналов.

По какой из программных версий будет осуществляться решение задачи определяет сигнал, подаваемый на второй вход логических условий каналов, толчком к началу решения очередной задачи служит сигнал, подаваемый на вход ожидания события блока (назовем этот вход - входом прерывания).

Такой резервируемый блок может быть реализован, например, с использованием микропроцессора К1816В Е48. В этом случае входы логических условий могут быть реализованы программно-аппаратным способом с использованиемпрограммы INPKEY. Вход прерываний может быть организован с помощью подпрограммы ожидания HUNT. Т.о., решение очередной задачи заканчивается выставлением данных на шину данных и сохранением их до конца решения очередной задачи (что может быть реализовано и с использованием внешних регистров, например, МБР К589ИР12), а затем переходом к подпрограмме ожидания HUNT. Решение очередной, задачи начинается с приходом соответствующих сигналов на соответствующий рязряд порта ввода микропроцессора (например, может использоваться в программе HUNT инверсный сигнал входа 38 синхронизации устройства), причем длительность этого сигнала должна быть больше, чем время одного цикла обработки программы.

При тактовой частоте 5МГц это 15 мкс. После того, как программа словила разрешение на начало решения задачи, начинается обработка программы, которая в ходе своей реализации опрашивает два другие разряда входного порта, которые представляют собой первый и второй входы логических условий, определяя повторить ли решение задачи (ли бо решение со стороны

старыми данными) или перейти к очередной задаче (либо ввести новые данные).

Регистры 3 и 4, а также схемы сравнения 11 и 13 предназначены для сравнения 5 данных, полученных в первом канале при первом и втором просчете задачи и аналогично во втором канале соответственно.

Мультиплексор 6 предназначен для коммутации на вход третьего регистра 5

0 данных с выхода того или иного канала.

Первый элемент сравнения 9 предназначен для межканального сравнения данных после первого и второго просчета задачи.

5 Вторая 10 и четвертая 12 схемы сравнения предназначены для сравнения результатов, полученных различными блоками при решении задач по различным программным версиям.

0 - Триггер повтора 14 предназначен для работы в режиме записи с целью фиксации несовпадения данных на выходах каналов после первого просчета и организации повторного просчета этой же задачи в случае,

5 когда ни один из каналов не был признан отказавшим. Если же один из каналов признается отказавшим, то триггер с помощью первого управляющего мультиплексора 7 второго элемента ИЛ ИЗО и одновибратора

0 15 переводится в счетный режим, игнорируя данные на своем D-входе.

Он предназначен для управления вторым входом логических условий резервируемых блоков, который определяет по какой

5 программной версии будет решаться задача..,

Первый 16 и второй 17 1-триггеры предназначены для фиксации момента отказа первого 1 или второго 2 каналов соответст0 венно..

Первый 18-восьмой 25 D-триггеры, пятый 33 и шестой 34 элементы ИЛИ предназ- начены для фиксации того или иного вида 5 сбоя, возникшего при работе устройства, или проявившегося дефекта проектирования (ДП).

Первый дешифратор 26 предназначен для определения состояния устройства по 0 результатам сравнения данных, полученных после первого и второго просчета задачи.

Второй дешифратор 27 предназначен для идентификации отказавшего канала.

Второй управляющий мультиплексор 8, 5 элемент И36. первый элемент ИЛИ29, элемент ИЛИ32 предназначены для определения момента отказа устройства в целом.

Третий элемент ИЛИ31 предназначен для организации управления мультиплексором 6.

Пятый элемент ИЛИЗЗ и первый D-триг- гер 18 предназначены для формирования сигнала сбой 1/1.

Шестой элемент ИЛИ34 и второй D- триггер 19 предназначены для формирования сигнала сбой 2/1.

Третий 20 .- восьмой 25 D-триггеры предназначены для формирования сигналов сбой 2/2, ДПО. сбой 1/2. ДПВ, ДПА сбой схем контроля соответственно,

Устройство работает следующим образом. : .; : . v;. ;.., ,,; ;.,;.:;;.; r:;;-.; ;;;..; .;::-,

Считаем, что первая ЭВМ 1 может решать (просчитывать) каждую задачу по двум программным версиям А и Б, а второй канал

- В и А, причем, если на первых входах логических условий находится нулевой потенциал, то в работе версии А1 и В соответственно,: если наоборот то Б и А2, индексы определяют канал, в котором решалась задача по версии А. Толчком к началу решения Очередной задачи, после окончания решения предыдущей, служит импульс, поступающйй на входы прерывания каналов, причем в зависимости от того, какой потенциал на втором входе логических условий микроЭВМ может быть начато решение очередной задачи (если на этом входе нуль) либо повторное решение предыдущей (если на этом входе единица).: / :

Итак, в исходном состоянии во всех рё- гистрахзаписаны нули, на выходах шин дан ных ЭВМ 1, 2 (каналов)- нули, все триггеры обнулены, только триггер повтора 14 находится е единичном состоянии. По первому тактовому импульсу, поступившему со входа 38 синхронизации устройства, в триггер повтора 14 запишется единица, не изменив его состояния, а первая 1 и вторая 2 ЭВМ начнут решение первой задачи. К моменту прихода очередного тактового импульса (см. фиг. 4) оба канала заканчивают решение задачи и выставляют на своих шинах данных данные, причем это не обязател ьно про- исходит одновременно (см. фиг. 4), поэтому возможно и несовпадение данных ни вйхо- дах каналов, о чем будет говорить нулевой потенциал, на прямом выходе первого элемента сравнения 9. Однако, этот нуль всегда исчезнет в случае, безошибочного решения задачи; к моменту прихода очередного тактового импульса. Если это так, то по заднему фронту этого иМпульса данные с шины дан- Htix первого канала запишутся в третий ре гистр 5, поступая тем самым на выход 41 данных устройства. На А - вход мультиплексора б при ЭтрМ поступает нулевой.потенци- ал, на всё выходах дешифратора 26 нули, т.к; на его V-входе - нуль (см. фиг. 3), а триггер 16 также в нуле.

Этот же импульс, поступив на входе прерывания обоих каналов, иницииро.вал решение очередной задачи по тем же А1 и В программным версиям, ведь на первых и

вторых входах логических условий - нуль (триггер 14 по-прежнему в единице), поступающий с инверсного выхода триггера повтора 14. , Однако, если к приходу очередного тактового импульса на прямом выходе первой схемы сравнения 9 единица не появилась, это значит/что в одном из каналов (или в обоих) что-то произошло:

События, которые могут привести к несовпадению данных, следующие: сбой или

отказ одного из каналов либо проявившийся дефект проектирования одной из версий А1 (ДПА) или В (ДПВ), так как именно по ним происходило решение задачи. Однозначно определить какое из событий произошло не- возможно, нужно повторное решение задачи. Поэтому по заднему фронту очередного (третьего, фиг. 4) импульса данные с выходов первой 1 и второй 2 ЭВМ запишутся в первый 3 и второй 4 регистры, а в триггер по втора 14 запишется нуль, который поступает на его р-вход через первый управляю- щий мультиплексор 7 с выхода схемы сравнения 9. Теперь обе машины повторят решений той же задачи но по другим верси- ям, т.е. Б и А соответственно. По окончаний решения задач данные появятся на выходах-- каналов. Теперь, мы имеем возможность сравнить данные, полученные по трем раз- .ли чН1 1|и программным вёрсия.м. Осуществляется это с помоЩью первой 9 - лятой 13 схемы сравнения: ;vjУ - - :.,, -,:.--- v; :

Особен ностыбпредлагаемого устройст.ва является то; что оно .способно выявлять и

фильтровать часть ДП, допущенных при со здании Программ. Рассмотрим этот вопрос подробнее. Всё ДПможИо разделить на абсолютные (АДП) и отйрсительные (ОДП). К

АДП относятся такие ДП, которые проявля- (ртсй одинаково в.нескольких различных версиях, т. е; сравнением результатов этих двух версий выявить такой дефект невоз- можно. ОДП же имеют индивидуальное проявление ё каждой версии. Т.о., наличие двух программных версий может обеспечить обнаружение ОДП, наличие трех - фильтра- дню ОДП по принципу.Мажоритарного сравнения, АДП с помощью сравнения

Практически не обнаруживаются. : Слёдоватёльнб предлагаемое устройство обеспечивает при первом просчете задачи (при условии, что оба канала исправны и работают без сбоев) обнаружение ОДП в одной из версий А или В, если триггер 14 в единичном состоянии, или А и Б, если он в

нуле. Обнаружение ОДП - несовпадение данных на входе элемента сравнения 9,приводит к повторному счету той же задачи, но по другим версиям, результаты же просчета задачи по первым двум версиям записываются в первый 3 и второй 4 регистры. Т.о., к моменту прихода очередного тактового импульса мы имеет результаты просчета задачи по трем различным версиям на двух различных ЭВМ и одной версии, но на разных ЭВМ. Теперь мы можем принимать решение о том или ином состоянии устройства (см, фиг.З). Если данные (далее для кратности будем просто говорить версия, полученные по версии А.совпали с версией Б, то это значит, что версия В дала ОДП (ДПВ)(см. п. 9 фиг. 3). Если же с версией Б совпала версия В, а А не совпала, то это говорит о ДПА (п. 10 фиг. 2). Если же ни одно из сравнений, не дало положительный результат, естественно кроме взаимного сравнения версий А1 и А2, - ведь они идентичны, то такое состояние считаем, как проявление обобщенного ДП (ОДП), т.е. такого ДП, который проявился по-разному, по крайней мере в двух различных версиях. Замаскировать в этом случае такой ДП невозможно/

Всякое другое состояние устройства при исправных каналах и в отсутствие сбоев . невозможно.

Однако, игнорировать наличие сбоев и отказы нельзя, поэтому рассмотрим как они проявляются при работе устройства,

В случае, если ни одна из трех схем сравнения 9, 10, 12 после повторного просчета задачи не дала положительный результат (п.п. 1-4 фиг. 3),. устройство прибегает к помощи второго дешифратора 27. Действительно, если даже сравнение А1 и А2 дало отрицательный результат, то это однозначно говорит о том, что какой-то из каналов отказал либо в нем произошел

сбой,. ;

Единица с выхода - 0 первого дешифратора 26, поступая на V-вход дешифратора 27, разрешает работу последнего. Второй дешифратор 27 разрешает работу последнего. Второй дешифратор 27 анализирует выходы элементов сравнения 11 и 13, которые сравнивают данные с выходов первой 1 и второй 2 ЭВМ соответственно, .полученные после первого и второго просчетов одной задачи, Если данные ни в одном из каналов не совпали, то устройство считаем отказавшим. На выходе 3 дешифратора 27 появляется единица, которая через элементы ИЛИ32 и ИЛИ29 поступает на (-вход третьего 1-триггера 35, переводя его по очередному тактовому импульсу в единичное состояние. На выходе 42 отказа устройства

появляется единичный потенциал,говорящий о том, что дальнейшая работа устройства невозможна. Запись в регистр 5 также блокируется. Аналогичная ситуация и при 5 совпадении данных в обоих каналах. Ведь в этом случае получается абсурдная ситуация А2 В и AI Б,.по AI А2иБ т В. Такая . ситуация может возникнуть в случае константной неисправности одного (или обоих)

0 выходов каналов, когда данные на нем по . какой-то причине не изменяются.

В случае же, если только одна из схем

. .11 или 13 дала отрицательный результат, то

другую считаем отказавшей (см. фиг. 3 п.п.

5 2, 3). На соответствующем выходе дешифратора 27 появится единица, которая переведет по заднему фронту очередного тактового импульса в единичное состояние . один из триггеров 16 или 17, информируя

0 пользователя об отказе первой 1 или второй 2 ЭВМ соответственно. Единица, появившаяся на выфходе одного из этих триггеров, пройдя через элемент ИЛИЗО, открывает элемент И28 и поступает на адресный вход

5 первого управляющего мультиплексора 7, коммутируя тем самым инверсный выход D- триггера повтора на его собственный D- вход. Это приведет к тому, что триггер 14 будет менять свое состояние по каждому

0 тактовому импульсу, ведь теперь каждую задачу необходимо просчитывать дважды. А чтобы триггер начал решение очередной задачи, единица с выхода ИЛИЗО поступает и на одновибратор 15, импульс с выхода кото5 рого. поступая на S-вход триггера п.ерезапу- ска 14, устанавливает последний в единицу (см. фиг. 4).

Кроме того, в случае, если отказала первая ЭВМ 1. то единица с выхода триггера 16

0 поступит на адресные входы мультиплексора 6 и второго управляющего мультиплексора 8. Первый из них скоммутирует на вход третьего регистра 5 выход исправной ЭВМ 2, а второй - выход пятой схемы сравнения

5 13 на инверсный вход элемента И28, который открывается только при повторном счете задачи, когда на одном из его входов единица с инверсного выхода триггера 14. Теперь на выходе элемента ИЛИ28 единица

0 появится в случае несовпадения данных, полученных по различным версиям в одном . канале (в том, который остался исправным). При несовпадении данных в оставшемся канале после второго просчета задачи нз

5 выходе схемы сравнения 11 (отказавшим ранее был второй канал 2) или 13 (ранее отказал первый 1) будет нулевой потенциал, который, пройдя через мультиплексор 8, поступит на инверсный вход элемента И28, на два прямых входа которого уже поступают

единицы. На выходе элемента И28 появится единица, которая, пройдя через элемент ИЛИ29, поступит на 1-вход триггера 35. Последний по очередному тактовому импульсу перейдет в единичное состояние, - устройство отказало.

Рассмотрим теперь работу устройства в условиях сбоев аппаратной части каналов. .

Если при первом просчете задачи (версии AI и В) в обоих каналах произошли сбои, то после второго просчета, который будет инициирован (ведь совпадения данных не произойдет), на входе мультиплексора 26 будет комбинация п. 5 на фиг. 2. На выходе 1 дешифратора 26 появится единица, которая пройдя через элементы ИЛИЗЗ -и 34, поступит на D-входы триггеров 18 и 19. По очередному тактовому импульсу данные с выхода первого канала запишутся в регистр 5, поступая на выход 41 данных устройства, а триггеры 18 и 19 перейдут в единичное состояние, выдавая на выходы 44 сбой 1/1 и 45 сбой 2/1 единичные потенциалы, которые информируют пользователя отом,что в первом канале при первом счете задачи (1/1), выходные данные которой сейчас записаны в регистр 5, был сбои. Аналогично и для второго канала (2/1).

Если сбой произошел при .первом просчете лишь в первой ЭВМ 1, при втором просчете во второй, то на входах дешифратора будет комбинация п. 6 фиг. 3 (считаем, что вероятность того, что сбои абсолютно идентичны по проявлению равной нулю), Действительно так как версии AI и А, искажены, то совпадение дают лишь Би В(выход элемента сравнения 10). На вход регистра 5 коммутируются данные с выхода первого канала, где сейчас находятся неискаженные данные А.единица с выхода 2 дешифратора 26 вновь поступает на D-вход триггера 18 и через элемент-ИЛИ 33, а также на D-вход триггера 20. Теперь по очередному импульсу единицы появятся на выходах 44 сбой 1/1 и 46 сбой 2/2. .

Если сбой возник при решении задачи лишь однажды и только в первом канале, то после второго счета задачи (естественно, что сбой возник при первом счете) версия А1 не даст совпадения ни с одной другой (п. 7 фиг. 3). Вновь появится единица на выходе. 44 сбой 1/1. устройства, ведь выход - 3 дешифратора 26 также соединен со входом элемента ИЛИЗЗ.

В случае, если возникли сбои типа 1/2 и 2/1, то такая ситуация не различима с ДПО, В самом деле, ведь совпадение дали только версии AI и А2 при сравнении между собой. В этом случае на адресный вход мультиплексора 6 поступает единица с выхода элемента ИЛИ31, на вход которого она поступает с выхода 4 дешифратора 26. На вход регистра 5 коммутируем данные с выхода второго канала 2 (версию А). Однако, о

том. что это .данные, обладающие недостаточной достоверностью говорят единицы появившиеся как на выходах 43 сбой 1/2, 45 сбой 2/1, так и на выходе 47 ДПО устройства, так как выход 4 дешифратора 27

0 соединен с D-входами триггеров 22 и 24, а также через элемент ИЛИ34 с D-входом триггера .19. Пользователь сам должен принять решение в этом случае.

Возникновение сбоя во втором канале

5 также неразличимо с ДПВ и это естественно, ведь только версия В будет нести неверные данные, а уж причина этого - другой вопрос. В этом случае (п. 9) единица появится на выходе 5 дешифратора 26 и поступит

0 на D-вход триггера 23 и через элемент ИЛЙ34 на D-вход триггера 19. После очередного тактового импульса единицы появятся на выходах 45 сбой 2/1 и 48 ДПВ.

Если же после второго просчета задачи

5 все три элемента сравнения 9, 10, 12 дали .положительный результат, то считаем, что при первом счете задачи возник сбой схемы контроля. Действительно получаем противоречие, элементы сравнения дают следую0 щие равенства Аа AI, В -Б, Б Аа, т,е, А Б В. Однако, при первом просчете было А & В. Единица появляется на выходе 7 дешифратора 26, и поступает она на D-вход триггера 25, После очередного импульса,

5 пользователь будет проинформирован появлением единица на выходе 49 сбой схемы контроля устройства.:

Идентифицировать ДПА устройство по-. зволяет однозначно. Такой ДП не дает сов0 падения версии А ни с Б, ни с В, однако AI будет совпадать с Аа, а Б с В, На входе дешифратора 26 будет комбинация сигналов как в п. 10 на фиг. 2.Единица появится на выходе 36 ДПА.

5... .....

Т.о.. устройство позволяет не только выявить и маскировать возможное искажение выходных данных не только в результате сбоев и отказов, возникших в аппаратной

0 части каналов, но и устранять влияние ОДП, информируя обо всем этом пользователя, Такая информация может оказаться весьма полезной при ремонте каналов. Например, если решение каждой задачи приводит к

5 появлению единицы на выходе 48 ДПВ, то с большой долей вероятности можно пред- положить, что отказ возник в канале 2 в той его части, которая взаимодействует только с версией В (например, отказ в ПЗУ),

Далее устройство работает аналогично.

Оценим технико-экономическое преимущество предлагаемого изобретения по отношению к прототипу 3.

Выражение для вероятности необнаружения отказа устройства прототипа PI имеет вид:

Р| Ра+Рд.п;

где Ра - вероятность необнаружения встроенными средствами контроля отказа блока за время Т, Рд.п - вероятность проявления ошибки в программном обеспечении за это же время Т.. -.-. v. .. ;;.:-;:;. Вероятность необнаружения отказа в предлагаемом изобретении определяется Выражением: г .л У/ ,;:

РиЧР/

(

W. AT&t --.;;,-/.

где А - число АДП, проявившихся за в|эемя Т; 0 - число рДП, проявившихся за время Т. Вероятность необнаруживаемого отказа аппаратных средств считает Равной нулю, т.к. в: отличие от npofoTnna, где этим занимаются встроенные средства контроля, в предлагаемом устройстве реализуётбя по- . разрядное сравнивание данных. Т.о., чтобы аппаратный дефект остался не выявленным, он должен одинаково и одновр ёменнЬ проявиться в обоих блоках, которые при этом ре ша ют за дачу по различи ым п рограмм и ым версиям. Вероятность такого события нй- мал а. .-

. - Кроме того, известно, что для ОДГТ составляет порядка 70% от общего количества ДП, которое примерно в, два раза превышает количество физических отказов. . :; Тогда допустим, Ра 10 следовательно

- и f i-ЭД + Я;УР: (0,7 + 0;3) 3 :

R-..-;

-4 ::

; . :} Р11 2; 10 ; 0,3 0.6 Ю:(

. ..- Следовательно, вёроятйбсть,-просачивания ошибочных данных- на выход предлагаемого устройства в пять раз меньше, чем у устройства прототипа: А Р Pi/Рц

,. - .;: .: :/-;.. .:

..- Ф о р м у л а и з о б р е т е н и я

Устройство для контроля и реконфигурации Дублированной системы, содержащее первую и вторую резервируемые ЭВМ, первый мультиплексор и первый элемент ИЛИ, информационный вход устройства соединен с информационными входами первой и второй резервируемых ЭВМ. выходы

данных которых соединены с первым и вторым, информационными входами первого мультиплексора, отл ичающееся тем, что, с целью повышения надежности устрой- 5 ства, оно содержит первый-третий регистры, второй и третий мультиплексоры, первую-пятую схемы сравнения, первый- третий 1-триггеры. первый-восьмой р-триг- геры, триггер перезапуска, второй-шестой 10 элементы ИЛИ, элемент И, одновибратор и первый и второй дешифраторы, выход данных первой резервируемой ЭВМ соединен

с. первыми Г ходами первой-третьей схем . сравнения и информационным входом пер- 1.5 вого регистра, выход которого соединен с ; первым входом четвёртой и вторым входом третьей схем сравнения, выход данных второй резервируемой ЭВМ соединен с пер- : вым вхдйо м пятой и вторыми входами 20 первой и четвертой схем сравнения и ин- : формационным входом второго регистра, выход которого соединён с вторыми входа- ми второй и пятой схем сравнения, выход первой схемы сравнения соединен с пер- 25 вым информационным входом первого де- . шифратора и с первым информационным : входом BTOfJoro мультиплексора, выход ko- ; торого соединен с D-входом триггера пере- . запуска, Связанного инверсным выходом с 30 первыми и .вторыми входами логических условий первой и второй резервируемых , ; ЭВМ, с вторым информационным входом ,: :;второго мультиплексора. V-входом первого } дешифратора и первым прямым входом эле- 5 мента И, выход которого соединен с первым :,,;,:;;входом первого элемента ИЛИ, выход кото- ; : ;рогО соединен с V-входом третьего регист- :, ра, выход которого соединен с выходом /данных устройства, выход второй схемы 0 сравнения соединен с вторым входом первого дешифратора выход третьей схемы

сравнения соединён с первым входом вто рого дешифратора и первым информацион: ным входом третьего мультиплексора,

5 выход которого соединен с инверсным в хо-; дом элемента И. выход четвертой схемы ,; сравнения соединен с третьим входом пер- вого дешифратора, выход пятой схемы срав- ; нения .соединен с вторыми 0 информационными входами второго де- шифратора и третьего мультиплексора, вход синхронизации устройства соединен с син- хровходами первого-третьего регистров, триггера перезапуска; первого-третьего I- 5 триггеров, первого-восьмого D-триггеров, а.также с входами ожидания первой и второй резервируемых ЭВМ, прямой оыход первого 1-триггера является выходом устройства Отказ первой резервируемой ЭВМ и соединен с первыми входами второго и третьего элементов ИЛИ и адресным входом третьего мультиплексора, прямой выход второго l-триггера является выходом устройства Отказ второй резервируемой ЭВМ и соединен с вторым входом второго элемента ИЛИ. выход которого соединен с вторым прямым входом элемента И и адресным входом второго мультиплексора, а через одновибратор - с асинхронным S-входом триггера перезапуска, первый вы- ход первого дешифратора соединен с V-BXO- дрм второго дешифратора, первый выход которого соединен с первым входом четвертого элемента ИЛИ, связанного выходом с вторым входом первого элемента ИЛИ, вто- рой выход второго дешифратора соединен с 1-вх одом первого l-триггера, третий выход - с 1-входом второго l-триггера, а четвертый выход-с вторым входом четвертого элемента ИЛИ, второй иыход первого дешифрато- ра соединен с первыми входами пятого и шестого элементов ИЛИ. выходы которых соединены с D-входами соответственно первого и второго D-триггеров, выходы которых соединены соответственно с выхода- ми устройства Сбой 1/1 и Сбой 2/1, третий выход первого дешифратора соединен с вторым входом пятого элемента ИЛИ и D-входом третьего D-триггера. выход которого является выходом устройства Сбой 2/2, четвертый выход первого дешифратора соединен с третьим входом пятого элемента ИЛИ, а пятый выход - с вторым входом третьего элемента ИЛИ, вторым входом шестого элемента ИЛИ и D-входами четвертого и пятого D-триггеров, выходы которых являются выходами устройства ДПО и Сбой 1/2 соответственно, шестой выход первого дешифратора соединен с третьим входом шестого элемента ИЛИ и D-входом шестого D-триггера, выход которого является выходом устройства ДПВ, седьмой и восьмой выходы первого дешифратора соединены соответственно с D-входами седьмого и восьмого D-триггеров, выходы которых являются выходами устройства ДПА и Сбой схемы контроля соответственно, выход первого мультиплексора соединен с информационным входом третьего регистра, а адресный вход - с выходом третьего элемента ИЛИ, выход первого элемента ИЛИ связан с 1-входом третьего I- триггера, выход которого является выходом отказа устройства.

SBtrLQBl

Фиг. 4

Сущность изобретения: устройство содержит две резервируемые ЭВМ, три регистра, три мультиплексора, пять, схем сравнения, один триггер повтора, один од- Новибратор, три 1-триггера, восемь D-триг- геров, два дешифратора, один элемент И, шесть элементов ИЛИ, двенадцать выходов и два входа. 4 ил.