Резервированное устройство Советский патент 1993 года по МПК G06F11/18 H05K10/00 

00 СА W

Использование: при построении высоконадежных систем на основе резервируемых блоков ЭВМ, осуществляющих выполнение задач по разным программным и аппаратным версиям. Сущность изобретения: устройство содержит; 4 резервируемых блока (1,2,3,4), 4 схемы сравнения (7,8,9,10), 1 элемент ИЛИ-НЕ(15), 1 выходной регистр

V.

1

17

#

XI XI

/

Изобретение относится к области цифровой вычислительной техники и автоматики и может быть использовано при построении высоконадежных систем повышенной надежности и достоверности на основе резервируемых блоков (ЭВМ), осуществляющих выполнение задач по разным программным и аппаратным версиям.

Цель изобретения - повышение достоверности контроля устройства.

Сущность изобретения состоит в увеличении достоверности контроля путем:

а)реализации резервируемых блоков каждого из подканалов устройства по различным программно и (или) аппаратным версиям, что дает возможность выявлять де фекты, допущенные при проектировании и разработке и невыявленные при его отладке;

б)выявления дефектов проектирования на основе введения и аппаратной реализации дополнительной операции сравнения выходов резервируемых блоков различных подканалов, выполненных по одинаковым программно-аппаратным версиям.

Сущность изобретения реализуется путем введения следующих новых элементов и связей,

Введение третьего и четвертого элементов сравнения, элемента И-НЕ и обусловленных ими связей необходимо для идентификации проявившегося ДП.

Введение первого и второго триггеров и обусловленных ими связей необходимо для фиксации такого состояния устройства, при котором первый и (или) второй подканалы соответственно признаны отказавшими.

Введение третьего триггера и обусловленных им связей необходимо для фиксации такого состояния устройства, при котором было обнаружено искажение выходных данных, вызванное проявлением ДП.

На чертеже представлена функциональная схема резервированного устройства.

На чертеже использованы следующие обозначения: 1-4 - первый-четвертый резервируемые блоки, 5 - выходной регистр, 6 - коммутатор, 7-10 - первую-четвертую схемы сравнения, 11-13 - первый-третий триггеры, 14 - элемент И-НЕ, 15 - элемент ИЛИ-НЕ, 16 - информационный вход устройства 17- выход данных устройства, 18 - выход отказа первого подканала устройства, 19 - выход отказа второго подканалов, 20 - выход наличия дефекта проектирования устройства, 21 - вход синхронизации устройства.

Первый 1 - четвертый 4 резервируемые блоки предназначены для вычисления задачи (пакета задач) с жестким периодом счета не более Т, либо для циклического решения одной задачи с постоянно обновляемыми данными (например, в системе управления

летательного аппарата). Первый 1 и третий 3 резервируемые блоки выполняются по единой программно-аппаратной версии. Второй 2 и четвертый 4 - также по единой версии, однако, отличной от версии первого

1 и третьего 3 блоков. Таким образом, резервируемые блоки, представляющие один подканал устройства, оказываются выполненными по различным программно-аппаратным версиям,так как первый подканал

5 составляют первый 1 и второй 2 резервируемые блоки, а второй подканал - третий 3 и четвертый 4.

Регистр 5 предназначен для временного хранения данных, поступающих на вы0 ход 17 данных устройства.

Коммутатор 6 предназначен для коммутации на информационный вход регистра 6 выходов первого 1 и третьего 3 резервируемых блоков в случае совпадения данных на

5 выходах блоков первого и второго подканалов соответственно.

Первая 7 (вторая 8) схемы сравнения предназначены для сравнения данных, поступающих с выходов резервируемых бло0 ков первого (второго) подканала, т.е., с выходов первого 1 (третьего 3) и второго 2 (четвертого 4) резервируемых блоков, а также для управления первым (вторым) информационным входом коммутатора 6.

5 Третья 9 (четвертая 1.0) схемы сравнения предназначен для сравнения данных, поступающих с выходов первого 1 и третьего 3 (второго 2 и четвертого 4) резервируемых блоков, выполненных по идентичным про0 граммнО-аппаратным версиям.

Первый 11 и второй 12 триггеры предназначены для фиксации отказа первого и второго подканалов соответственно.

Третий 13 триггер предназначен для

5 фиксации обнаружения ДП.

Элемент И-НЕ 14 предназначен для идентификации состояния обнаружения ДП.

Элемент ИЛИ-НЕ предназначен для уп0 равления регистром 5 и элементом И-НЕ.

Устройство работает следующим образом.

В исходном состоянии все триггеры 11- 13 обнулены, в регистре 5 записаны одни

5 нули, на .выходах данных всех резервируемых блоков 1-4 - нули. Выполнение задачи каждый из резервируемых блоков начинает по импульсу, поступающему на их синхров- ходы, а закончить должен к приходу очередного. Если за время Т, равного периоду

следования импульсов, поступающих на вход 21 синхронизации устройства: выполнение задачи не закончено, то блок считается отказавшим. Итак, на всевходы всех схем сравнения 7-10 поступают нули, - на их выходах единицы, Следовательно, на выходе элемента ИЛИ-НЕ будет нуль, разрешающий запись в регистр 5 и закрывающий элемент 1/I-HE 14. На выходе элемента И-НЕ 14 будет единица, которая поступает на J- входы триггеров 11, 12 и инверсный вход триггера 13, запрещая изменение состояния последнего. Изменение состояния первого 11 и второго 12 триггера запрещают единицы, поступающие соответственно с выходов схем 7 и 8 сравнения на инверсные входы триггеров. Таким образом, по первому тактовому импульсу изменения состояния триггеров 11-13 не происходит, а в регистр 5 вновь записываются одни нули, так как на оба открытых входа коммутатора 6 поступают нули с выходов первого 1 и третьего резервируемых блоков.

Все четыре 1-4 резервируемых блока начинают решение одной задачи, с одними и теми же данными, поступающими со входа 16 устройства, по различным программным версиям. Закончить решение задачи блоки 1-4 в случае отсутствия ДП и отказов должны к моменту прихода очередного импульса со входа 21 синхронизации устройства, выставив на своих выходах результаты решения задачи.

Если за время Т отказов или сбоев ни в одном из резервируемых блоков 1-4 не произошло, и ДП не проявились, то к моменту прихода очередного импульса синхронизации на выходах всех блоков находятся идентичные данные. Таким образом, на выходах всех схем сравнения 7-10 будут единичные потенциалы. Следовательно, оба информационных входа коммутатора 6 будут открыты, и данные с выходов первого 1 и третьего 3 резервируемых блоков, объединяясь по ИЛИ без искажений, поступают на информационный вход регистра 5. Нуль с выхода ИЛИ-НЕ 15 разрешает запись в регистр 5 и по прежнему блокирует элемент И-НЕ 14, блокируя изменение состояния триггера 13. Очередной синхроимпульс, поступивший со входа 21, запишет в регистр 5 результаты решения первой задачи и инициирует начало решения очередной, поступая на входы синхронизации резервируемых блоков 1-4. Состояния триггеров 11-13 не изменяются. Далее устройство работает аналогично до тех пор, пока не возникнет отказ какого-либо из блоков 1-4. или не проявится ДП в одной из программно-аппаратных версий. Рассмотрим последовательно оба случая.

Допустим, возник отказ в первом резервируемом блоке 1, Тогда к моменту прихода очередного тактового импульса на выходе первого элемента сравнения 7 будет нуль, 5 который блокирует первый информационный вход коммутатора 6, запрещая тем самым прохождение данных с выхода первого резервируемого блока 1 на вход регистра 5, Следовательно, на информационный вход

0 регистра 5 поступят данные с выхода третьего резервируемого блока 3, данные с выхода которого совпали с данными на выходе четвертого резервируемого блока 4. Аналогичные события произойдут и при отказе

5 второго резервируемого блока 2. Таким образом, к моменту прихода очередного тактового импульса на информационном входе регистра 5 находятся данные с выхода второго подканала, так как один из блоков пер0 вого подканала отказал (идентифицировать какой именно невозможно); кроме того на инверсный J-вход первого триггера 11 поступает нуль с выхода схемы сравнения 7, на его прямой J-вход поступает единица с

5 выхода элемента И-НЕ 14, ведь на двух его входах будут нули: один с выхода схемы сравнения 9, а другой - с выхода ИЛИ-НЕ IS. Следовательно, по очередному тактовому импульсу в регистр 5 запишутся данные

0 с выхода третьего резервируемого блока, а триггер 11 перейдет в единичное состояние, выдавая на выход 18 отказа первого подканала устройства сигнал об отказе из блоков первого подканала: первого 1 или второго 2

5 резервируемых блоков.

В случае отказа одного из блоков второго подканала, то есть третьего 3 и четвертого 4 резервируемых блоков устройство работает аналогично, с той лишь разницей, что

0 данные в регистр 5 записываются с выхода первого резервируемого блока 1, так как второй вход коммутатора блокируется нулем, поступающим с выхода схемы сравнения 8; в единичное же состояние переходит

5 второй триггер 12, сигнализируя об отказе второго подканала, выдавая на выход 19 устройства единичный потенциал.

В случае отказа еще одного из резервируемых блоков возможно два варианта, в

0 зависимости от того в каком из подканалов произошел второй отказ.

Допустим, при первом отказавшем блоке 1 в первом подканале отказал и второй резервируемый блок 2, причем данные на их

5 выходах по-прежнему не совпадают. В этом случае никаких изменений не происходит, и устройство продолжает работать аналогично, ло выше описанному алгоритму.

Если же при наличии отказавшего блока в первом подканале, отказал один из блоков

второго подканала (или наоборот), то тогда к моменту прихода очередного тактового импульса на выходах всех четырех схем сравнения 7-10 будут нули, оба входа коммутатора 6 закрыты, на выходе элемента ИЛИ-НЕ 15 появится единица, запрещающая запись в регистр 5, на входах же элемента И-НЕ 14 будут нули (с выходов схем сравнения 9,10). Следовательно, очередной импульс переведет в единичное состояние уже оба триггера 11 и 12, сигнализируя об отказе устройства в целом, сохраняя на выходе 17 данных последнюю достоверную информацию. После этого дальнейшая эксплуатация устройства невозможна до устранения возникших неисправностей хотя бы в одном из подканалов.

Рассмотрим теперь работу устройства при обнаружении ДП. В случае исправности всех резервируемых блоков устройства способна обнаруживать искажения выходных данных, вызванные проявляющимися ДП аппаратных и программных средств резервируемых блоков . Так как блоки одного подканала выполнены по различным програмно-аппаратным версиям, то проявление ДП в каждой версии будет индивидуальным. Таким образом, вероятность того, что в обоих версиях допущены идентичные ДП, да и еще проявляющиеся одинакова, чрезвычайно мала. Следовательно, проявление ДП в одном из блоков подканала приведет к несовпадению данных на входах схем сравнения 7 и 8, оба входа коммутатора 6 будут закрыты. Однако, сравнение данных на входах схем сравнения 9 и 10 даст положительный результат, так как эти элементы сравнивают выходы блоков, реализо- ванных по идентичным программно- аппаратным версиям, а следовательно ДП проявятся идентично. Таким образом, на всех входах элемента И-НЕ 14 будут единицы. Нуль с выхода этого элемента блокирует изменение триггеров 11, 12, исключая ложную оценку состояния устройства, но изменение триггера 13 становится возможным и происходит по очередному синхроимпульсу, который переводит этот триггер в единичное состояние и записывает в регистр 5 одни нули. На выходе 20 наличия ДП появляется единичный потенциал,сигнализирующий о том, что при решении данной задачи проявился ДП в одной из версий. Тем самым исключается выдача ложных данных на выход 17 данных устройства.

В случае, если ДП проявился при наличии в устройстве отказавшего подканала, либо одновременно с отказом одного из

блоков то выявление такого события в данном цикле решения задачи невозможно, и оно идентифицируется как отказ обоих подканалов.

Формула изобре-тени я

Резервированное устройство, содержащее первый-четвертый резервируемые блоки, первую-третью схемы сравнения, элемент И-НЕ и коммутатор, выходы первого и второго резервируемых блоков подключены к первому и второму входам соответственно первой схемы сравнения, а выход третьего резервируемого блока к первым входам второй и третьей схем сравнения, второй вход последней из которых соединен с выходом первого резервируемого блока, причем информационный и синхронизирующий входы каждого из четырех резервируемых блоков подключены к одноименным входам устройства, а выход третьей схемы сравнения соединен с первым входом элемента И-НЕ, отличаю- щ е е с я тем, что, оно содержит четвертую схему сравнения, элемент ИЛИ-НЕ, выходной регистр и первый-третий триггеры, выход первого резервируемого блока подключен к первому информационному входу коммутатора, выход второго резервируемого блока - к первому входу четвертой

схемы сравнения, выход третьего резервируемого блока - второму информационному входу коммутатора, а выход четвертого резервируемого блока - к вторым входам второй и четвертой схем сравнения, выход

первой схемы сравнения соединен с первым управляющим входом коммутатора, с инверсным информационным входом первого триггера и с первым входом элемента ИЛИ-НЕ, второй вход которого подключен к

выходу второй схемы сравнения, к второму управляющему входу коммутатора и инверсному информационному входу второго триггера, а выход - к входу блокировки выходного регистра и второму входу элемента

И-НЕ, соединенного третьим входом с выходом четвертой схемы сравнения, а выходом - с пр.ямыми информационными входами первого и второго триггеров и с инверсным информационным входом третьего триггера, выход коммутатора соединен с управляющим входом выходного регистра, выходы первого-третьего триггеров являются выходами сигналов результатов контроля устройства, их синхронизирующие входы соединены с одноименными входами устройства и выходного регистра, выход которого является выходом данных устройства.