Устройство для индикации отказов в трехканальной вычислительной системе

 

Изобретение относится jj информационной технике и может быть7использовано в резервированных системах для контроля их функционирования, а также для выдачи сигналов состояния системы. Цель изобретения - повышение достоверности индикации отказов второго и третьего каналов резервированной системы. Устройство содержит три ключа, два элемента И, два мажоритарных элемента и элемент 2И-ЗИЛИ и позволяет повысить достоверность выдачи информационных сигналов состояния резервированной системы за счет защиты от отказов логических элементов самого устройства и повышения достоверности выдачи наиболее ответственных сигналов. 1 ил.

СОЮЗ СОВЕ ГСКИХ

СОЦИАЛИСТИЧЕСКИХ

РЕСПУБЛИК (19) (1!) ГОСУДАРСТВЕННЫЙ КОМИТЕТ

ПО ИЗОБРЕТЕНИЯМ И ОТКРЫТИЯМ

ПРИ ГКНТ СССР

ОПИСАНИЕ ИЗОБРЕТЕНИЯ

К АВТОРСКОМУ СВИДЕТЕЛЬСТВУ (21) 4634196/24 (22) 09.01.89 (46) 23.03,92, Бюл. М 11 (71) Московское приборостроительное конструкторское бюро "Восход" (72) В.А.Ткаченко, Г.Н.Тимонькин, В.С.Харченко, С.Н.Ткаченко, Д.В.Дмитров, С.С.Мощицкий и В.П.Охматенко (53) 681. 396 (088,8) (56) Авторское свидетельство СССР

М 1087980, кл. G 06 F 3/147, 1982.

Авторское свидетельство СССР

М 411678, кл. Н 05 К 10/00, 1971. (54) УСТРОЙСТВО ДЛЯ ИНДИКАЦИИ ОТКА30В В ТРЕХКАНАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЕ

Изобретение относится к высоконадежной информационной технике и может быть использовано в резервированных системах для контроля их функционирования, а также для выдачи сигналов состояния системы.

При применении управляющих и вычислительных резервированных систем очень важно знать состояние системы в процессе работы. Оператор, зная состояние системы, может вовремя принять решение на ее замену или замену ее блоков, так как в виду отказа она не может дальше выполнять функции управления, либо принять другие меры, обеспечивающие безаварийную работу управляемого объекта. Так, например, оператор за пультом АЭС может остановить реактор в случае, если он имеет достоверную информацию о том, что система, управляющая работой реактора, отка(s1)s G 06 F 11/18, Н 05 К 10/00

2 (57) Изобретение относится информационУ ной технике и может быт использовано в резервированных системах для контроля их функционирования, а также для выдачи сигналов состояния системы. Цель изобретения — повышение достоверности индикации отказов второго и третьего каналов резервированной системы. Устройство содержит три ключа, два элемента И, два мажоритарных элемента и элемент 2И-ЗИЛИ и позволяет повысить достоверность выдачи информационных сигналов состояния резервированной системы за счет защиты от отказов логических элементов самого устройства и повышения достоверности выдачи наиболее ответственных сигналов. 1 ил. зала. В связи с этим возникает задача необходимости выдачи оператору достоверной информации о состоянии резервированной системы. В случае выдачи ложного сигнала отказа можно понести большие материальные потери.

Известно устройство для индикации, содержащее ячейки памяти, выполненные на тиристорах, индикаторные. лампы, ограничительные элементы, выполненные на резисторах, ключ, выполненный на транзисторе, фотодиод и разделительный элемент, выполненный на конденсаторе (1).

Недостатком этого устройства является низкая достоверность выдачи информационных сигналов.

Наиболее близким по технической сущности и достигаемому положительному эффекту к предлагаемому является устройство

1721608

55 для индикации отказов в трехканальной вычислительной системе, содержащее три ключа и два элемента И (2).

Недостатком известного устройства является низкая достоверность индикации отказов второго и третьего каналов резервированной системы.

Целью изобретения является повышение достоверности индикации отказов второго и третьего каналов резервированной системы за счет повышения достоверности выдачи наиболее соответственных сигналов.

Устройство контролирует и индицирует состояния трехкратно резервированной управляющей или вычислительной системы.

При отказе одного канала системы выдается сигнал "Снижение надежности" (СН), при отказе второго канала — сигнал "Отсутствие резерва" (QP), при отказе третьего канала формируется сигнал "Отказ" (ОТК), причем сигнал OP может быть сформирован только при наличии сигнала СН, т.е. если в результате отказа каких-либо элементов устройства или элементов контроля каналов формируется ложный сигнал ОР, то он поступает на выход, так как не был сформирован сигнал СН. Аналогично формируется и сигнал ОТК. Он может быть сформирован только при наличии сигналов СН и OP.

На фиг.1 приведена функциональная схема устройства; на фиг.2 — структурная схема трехканальной резервированной системы.

Устройство индикации отказов в трехканальной резервированной системе содержит первый — третий транзисторы 1 — 3, первое — третье реле 4-6, первый — третий диоды 7-9, первый-третий резисторы 10 — 12, первый — третий элементы И вЂ” НЕ 13-15 с открытым коллектором, коммутатор 16, первый 17 и второй 18 мажоритарные элементы, второй 19 и первый 20 элементы И, а также первую 21 — 23, вторую 24 — 26, третью

27 — 29 и четвертую 30 — 32 группы информационных входов, вторую 33 и первую 34 шины питания, выход 35 СН, выход 36 ОР, выход 37 ОТК и ключи 38 — 40.

Устройство работает следующим образом.

Три резервируемых вычислительных блока (фиг,2), которые совместно со вспомогательным оборудованием образуют три канала, постоянно обмениваются между собой контрольной информацией. Эта информация представляет собой вектор состояния соответствующего процессора.

При возникновении любой неисправности в одном из каналов два исправных канала, получив информацию от соседних

45 каналов, определяют несовпадение информации и формируют сигналы СН на своих выходах. Формирование сигнала СН в отказавшем канале определяется характером возникшего отказа, т.е. сигнал СН может быть сформирован либо нет.

Таким образом, устройство получает не менее двух сигналов СН и формирует сигнал на соответствующем выходе, информирующий о снижении надежности системы.

Канал, в котором произошло несравнение информации с информацией, полученной от двух других каналов, переходит в режим тестового контроля с помощью имеющихся программных и аппаратных средств. Если тестовый контроль подтверждает наличие неисправности в канале либо тестовая программа вообще не реализуется, то программные либо аппаратные средства контроля канала формируют сигнал отказа канала, т.е. в регистр состояния канала разряд ОТК записывается нулевой сигнал.

Если тестовый контроль дает положительный результат, т.е. канал исправен, то сигнал отказа не формируется, а при очередном сравнении информации все три канала определяют ее совпадение и снимают сигналы СН (т.е. в работе одного из каналов произошел сбой), При появлении отказа в одном из двух оставшихся каналов произойдет несравнение информации, выдаваемой этими каналами. В этом случае оба канала переходят в режим тестового контроля. В исправном канале тестовый контроль показывает норму, а в неисправном канале результат тестового контроля отрицателен либо тест не пройдет, В обоих случаях в неисправном канале формируется сигнал отказа (записывается ноль в разряд ОТК регистра состояния канала).

Исправный канал (последний из трех) только при несовпадении информации, поступающей из всех каналов, и при норме тестового контроля данного канала получает доступ и устанавливает в ноль разряды

ОР регистров состояния всех трех каналов, Эти сигналы поступают на входы элемента

17 устройства и на выходе 36 появляется сигнал OP системы, Формирование сигнала OP в трех каналах, а затем последующая их мажоритарная обработка на элементе 17 имеют целью парировать отказы регистров состояний.

При отказе двух каналов оставшийся исправным канал периодически самопроверяется путем запуска тест-программы. При ее непрохождении формируется сигнал отказа, который записывается в регистр состояния этого канала.

1721608

При наличии трех сигналов отказа устройство формирует сигнал отказа системы на выходе 37.

Кроме того, каждый канал контроли° руется на зависание автономной схемой контроля, которая формирует соответствующий сигнал. Его появление эквивалентно сигналу отказа канала.

Схемы формирования сигналов СН, ОР, ОТК можно выполнить как аппаратным, так и программным путем, причем надежность этих схем должна быть намного выше, чем надежность самих каналов, поэтому по отношению к каналам вероятностью их отказа можно пренебречь.

При запуске тест-контроля в случае отказа канала предполагается, что отказ будет зафиксирован, Необнаружение отказа тестконтролем говорит только о низком качестве теста, и такой тест нельзя применять в и редла гаемой резерви рован ной системе.

Рассмотрим функционирование устройства индикации отказов в трехканальной резервированной системе (фиг.1).

Для того, чтобы в системе можно было контролировать отказы каналов, связанные с пропаданием питания, сигналы СН, ОР, ОТК, "Зависание" формируются как нулевые. Если на соответствующих выходах каналов присутствуют единичные сигналы, это означает, что отказов каналов нет. Поэтому в начальный момент времени на всех входах 21 — 32 устройства присутствуют единичные сигналы. На вход 33 подается напряжение, необходимое для питания индикаторных элементов. На вход 34 подается напряжение, необходимое для нормальной работы реле 4 — 6 и транзисторов

1 — 3.

При формировании каналами сигналов

СН либо при пропадании питания одного из каналов появляется нулевой сигнал на выходе элемента И 20. Этот сигнал инвертируется на элементе И 13 с открытым коллектором и поступает на базу транзистора 1. Последний переходит в режим насыщения, ток, протекающий через него, возрастает, в результате чего срабатывает реле 4 и поступает сигнал с шины 33 логического уровня на выход 35 в качестве сигнала

СН, В случае, когда на выходах хотя бы двух каналов формируется сигнал OP или два процессора зациклились и на соответствующие входы 27 — 29 поступают сигналы о результатах проверкицикличности работы

"Зависание", формируются нулевые сигналы на выходе мажоритарного элемента 17 или мажоритарного элемента 18, Следовательно, появляется нулевой сигнал и на выходе элемента И 19, который вызывает единичный сигнал на выходе элемента И-Н Е 14 с открытым коллектором. Далее аналогично описанному срабатывает ключ, который замыкает реле 5. Появляется сигнал OP на выходе 36 устройства.

Если все три процессора отказали или выдают сигнал "Зависание", то появляется нулевой сигнал на выходе коммутатора 16.

Далее аналогично описанному появляется сигнал на выходе 37 "Отказ".

Схема устройства обеспечивает защиту от поступления ложных сигналов. Так, например, в случае, если появятся два ложных сигнала "Зависание", сигнал OP на выход 36 не проходит, поскольку не было сигнала СН.

Сигнал "Отказ" также может быть сформирован только при наличии сигналов СН и

OP. Таким же образом устройство контролирует мажоритарные элементы 17 и 18, коммутатор 16 и элемент И 19. В случае их отказа и появления на их выходах ложных нулевых сигналов или в случае пропадания питания на одном из этих элементов сигналы OP и ОТК на соответствующие входы 36 и 37 не проходят. Таким образом, устройство позволяет обеспечить защиту от ложных сигналов СН, ОР, ОТК, а также защиту от отказа логических элементов самого устройства.

Формула изобретения

Устройство для индикации отказов в трехканальной вычислительной системе, содержащее три ключа, два элемента И, о тл и ч а ю ще е с я тем, что, с целью повышения достоверности индикации отказов второго и третьего каналов резервированной системы, в устройство введены два мажоритарных элемента и элемент 2И вЂ” ЗИЛИ, информационный вход первого ключа подключен к шине логического уровня, а выход — к информационному входу второго ключа, выход которого подключен к информационному входу третьего ключа, выход которого является выходом о полном отказе резервированной системы, выход второго ключа является выходом устройства об отсутствии резерва в резервированной системе, выход первого ключа является выходом устройства о снижении надежности резервированной системы, три входа первого элемента И подключены к первым трем входам устройства для подключения сигналов о первом отказе каналов, а выход первого элемента И вЂ” к управляющему входу первого ключа, три входа первого мажоритарного элемента подключены к четвертому — шестому входам устройства для подключения сигналов о вто1721608 ром отказе каналов, три входа второго мажоритарного элемента связаны с седьмым — девятым входами устройства для подключения сигналов о результатах проверки цикличности работы каждого канала, выходы мажоритарных элементов связаны с соответствующими входами второго элемента

И, выход которого подключен к управляющему входу второго ключа, первые два входа элемента 2И вЂ” ЗИЛИ подключены соответственно к седьмому и десятому входам устройства, вторые два входа элемента

2И-ЗИЛИ подключены соответственно к восьмому и одиннадцатому входам устройствам, третьи два входа элемента 2И вЂ” ЗИЛИ

5 подключены соответственно к девятому и двенадцатому входам устройства, причем десятый — двенадцатый входы служат для подключения сигналов результата тест-контроля всех каналов, а выход элемента 2И—

10 ЗИЛИ соединен с управляющим входом третьего ключа, 1721608

Ф, 2

Составитель Д. Дмитров

Редактор И. Шмакова Техред М.Моргентал Корректор О. Кравцова

Заказ 954 Тираж Подписное

ВНИИПИ Государственного комитета по изобретениям и открытиям при ГКНТ СССР

113035, Москва, Ж-35, Раушская наб„4/5

Производственно-издательский комбинат "Патент", г. Ужгород, ул.Гагарина, 101