Устройство для контроля дублированной вычислительной системы
COIO3 СОВЕТСКИХ
СОЦИАЛИСТИЧЕСКИХ
РЕСПУБЛИК
ГОСУДАРСТВЕННОЕ ПАТЕНТНОЕ
ВЕДОМСТВО СССР (ГОСПАТЕНТ СССР) ОПИСАНИЕ ИЗОБРЕТЕНИЯ
К АВТОРСКОМУ СВИДЕТЕЛЬСТВУ (21) 4885638/24 (22) 26.11.90 (46) 15.05.93. Бюл. ЬЬ 18 (71) Ленинградское научно-производственное объединение "Красная заря" (72) Г,К.Подзолов, Н.И.Хлебников, А.И.Маркина, В.С.Харченко, С.Н.ТкачеНко, Г,Н.Тимонькин и В.Г.Литвиненко (56) Авторское свидетельство СССР
М 1390612, кл. G 06 F 11/16, 1988.
Лихонинский В.Г. Организация сдвоенного дублирования при вычислении логических функций на микроЭВМ. — Приборы и системы управления, 1987, М 1, (54) УСТРОЙСТВО ДЛЯ КОНТРОЛЯ ДУБЛИРОВАННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ
„, Ы„„1815640 А1
1 вторичный источник питания (21), n+1 компаратор (19, 20). Блок контроля питания (4) содержит: 1 вторичный источник питания (21), и+1 компаратор (22,23), 1-3-7-9-11-15-2-, 4-8-10-11-14-1-6-12-16, 3-4-3-4-3-10-1-12, 31-7. 4-2-8, 4-9-5-12, 15-14, 2-12, 2-5-13-17, 10-6-13. 2 ил.
1815640
Изобретение относится к цифровой вычислительной технике и автоматике и может быть использовано при построении высоконадежных дублированных устройств на основе однотипных вычислительных машин (В M).
Целью изобретения является повышение надежности устройства.
На фиг.1 представлена функциональная схема устройства для контроля дублированной вычислительной системы; на фиг.2— функциональная схема первого (второго) блока контроля питания.
На фиг, 1 использованы следующие обозначения: 1, 2 — первая, вторая вычислительные машины; 1.1(2.1) — множество собственно вычислительных блоков первой (второй) машины; 1.1.1 (2.1,1) — схема самоконтроля множества вычислительных блоков первой (второй) ВМ; 1.2(2,2) — 1.n+1 (2,n+1) — первый — и-й вторичные источники питания первой (второй) ВМ, 3, 4 — первый, второй БКП; 5, 6 — первый, второй триггеры;
7-11 — первый — пятый элементы И; 12 — коммутатор. 13 — элемент ИЛИ вЂ” НЕ; 14, 15— первый, второй блЬки магистральных элементов, 16 — выход данных устройства; 17— выход отказа устройства.
На фиг. 2 использованы следующие обозначения: 18(21) — ВИП первого (второго)
БКП; 19(22) — (n+1)-й компаратор первого (второго) БКП; 20.1(23.1)-20.n(23.n) — первый — и-й компараторы первого (второго)
БКП, Первая 1 и вторая 2 вычислительные машины предназначены для проведения вычислительных операций в синхронном режиме, В них загружаются одни и те же программы и данные, все необходимые системные программные средства для работы в синхронном режиме, Обеспечение аппаратной связи между BM осуществляется по шине данных и управления, связывающей обе машины. Кроме того, при отказе одной из машин, о чем свидетельствует нулевой потенциал на входе логических условий (ЛУ) другой ВМ, эта исправная BM продал>кает работу сама. Программно может быть заложен алгоритм перехода к программе диагностирования отказавшей BM npu появлении нуля на входе логических условий. Попытка перейти вновь к дублированНоА структуре осуществляется исправной (в этом случае ведущей) ВМ после появления на входе ЛУ единицы. Если попытка оказывается удачной, то ведущая BM "разрешает" выдачу данных на выход 16 данных устройства и с выходаданных ведомой ВМ (r.å, той, 5
50 в которой был отказ). Структурно каждая ВМ представлена множеством вычислительных блоков, подмножеством которого являются блоки самодиагностики, и множеством вторичных источников питания (ВИП), обеспечивающих формирование заданных питающих сопряжений для различных блоков BM. Причем, если на входе управления
ВИПа единичный потенциал, то ВИП включен, если же — нуль, то выходное напряжение данного ВИПа становится равным нулю; обесточивая соответствующие блоки самой BM.
Первый 3 (второй 4) БКП, состоящий из
ВИПа 18(21) и (n+1)-ro 20.1(23.1) — 20.п(23+и) и 19(22) компаратора предназначены для контроля выходных напряжений ВИПов (например, типы ДС вЂ” 230) первой ВМ1 (второй
2), а также контроля выходного напряжения
ВИПа 21(18) второго 4 (первого 3) БКП. Контроль осуществляется следующим образом.
На одном из входов i-го компаратора
20Л(23.i), где i = 1, n+1, подается эталонное напряжение с выхода ВИПа БКП (для простоты показа ограничительные сопротивления, массовые схемы и т.п, необходимыев этих случаях не показаны), на другой вход— выходное напряжение соответствующего
ВИПа 1.!(2.1) ВМ1(2). В случае отклонения последнего за допустимые пределы, задаваемые с помощью резисторных схем, которые не показаны, на выходе компаратора
20, l(23,i) появится нулевой потенциал, который, поступив.на вход управления соответствующего ВИПа, полностью обеспечит его выход. Питание всех компараторов первого
3 (второго 4) БКП осуществляется ВИПом данного БКП, Первый 5 и второй 6 триггеры предназначены для блокирования выхода данных первой 1 и второй 2 ВМ соответственно с помощью коммутатора 12 с момента отказа соответствующей ВМ до момента ее вхождения в синхронный режим после устранения последнего.
Первый 7, третий 9 и второй 8. четвертый 10 элементы И предназначены для объединения по И всех сигналов, говорящих об обнаруженных неисправностях в первой 1 и второй 2 BM соответственно, а также о выходе за допустимые пределы напряжения на выходе ВИПов первого 3 или второго 4
БКП.
Фактически они формируют сигналы о состоянии первой 1 и второй 2 BIVI соответственно.
Пятый элемент И 11, первый 14 и второй
15 блоки магистральных элементов пред1815640 назначены для обеспечения разрыва информационных связей между машинами при отказе одной из них.
Элемент ИЛИ-НЕ 13 предназначен для формирования сигнала об отказе устройства в целом в случае, когда во второй ВМ был обнаружен отказ до того, как был устранен отказ в первой..
Напряжение питания на первый 7 (второй 8) элементы И подается с ВИПа 18(21) первого 3 (второго 4) БКП. Питание же на третий 9 и четвертый 10 элементы И, триггеры 5,6, коммутатор 12 и элемент ИЛИ-НЕ 13 подается с выходов ВИПов 18 первого 1 и
BИПА 21 второго 2 Б КП, таким образом, что оно будет в норме, если хотя бы один из этих
ВИПов в норме.
Устройство работает следующим образом.
В исходном состоянии обе BM исправны (на контрольных выходах — единицы), оба триггера 5, 6 находятся в единичном состоянии, оба информационных входа коммутатора 12 открыты, на выходе 17 отказа устройства — нуль. В обе BM загружены одни и те же программы, на входы поступают одни и те же данные, BM работают в синхронном режиме, поддерживая этот режим обменом соответствующих сигналов по ши- 30 не (входу.-выходу) управления и данных обьединяющих две одинаковыке ВМ в дублированную структуру. Данные, синхронно появляющиеся на выходах данных обоих ВМ через коммутатор 1. поступают на 35 выход 16 данные устройства.
В случае обнаружения неисправности схемой самоконтроля 1.1,1(2.1.1) на контрольном выходе первой(второй) ВМ появляется нулевой потенциал. Этот нуль 40 поступает на выход элемента И 7, далее по входу элемент И 9. а с его выхода — на инверсный R-вход триггера 5, обнуляется последний.
Нулевой потенциал, появившийся на выходе триггера 5, блокирует первой (второй) вход коммутатора 12, исключая тем самым попадание данных с выхода отказавшей ВМ на выход 16 данных устрой- 50 ства. Кроме того, нуль с выхода И 9 (И 10) поступает на вход ЛУ второй 2 (первой 1) оставшейся исправной ВМ, "предупреждая" последнюю о том, что она работает без дублирования, 55
Кроме того, этот нуль с выхода элемента
И 9 или И 10, поступая на один из входов элемента И .11, приведет к появлению на выходе последнего нуля. Этот нуль, поступая на управляющие входы первого 14 и второго 15 блоков магистральных элементов, приведет их в высокоимпеданское состояние, обеспечив тем самым "разрыв" ранее соединенных входов-выходов управления и данных.
Т.о., отказавшая BM не может оказать никакого влияния на исправную.
При поступлении нуля на вход ЛУ ВМ может быть предусмотрен переход программный либо аппаратно-масштабный (например про прерыванию), к подпрограмме диагностирования отказавшей BM. . После восстановления отказавшей ВМ (механизм восстановления может быть любым) на контрольном выходе вновь появляется единица. Однако, соответствующий информационный вход коммутатора 12 попрежнему блокирован, так как ВМ еще не введена в синхронный режим с исправной и продолжавшей работу ВМ.
После того, как на входе ЛУ исправной
BM вновь появился единичный сигнал о исправности другой ВМ, данная ВМ, являющаяся теперь ведущей, переходит к подпрограмме восстановления синхронной работы и по шине управления и данных делает все необходимые операции (загрузка 03У другой BM u т.п.) для восстановления синхронной работы обоих BM. После того, как эта процедура закончилась, на одном из разрядов выхода данных ведущей (второй 2) BM появляется единичный импульс, который переводит первый 5 триггер в единичное состояние, деблокируя первый вход коммутатора 12.
Обе ВМ вновь начинают работу в синхронном режиме.
Реализация входа ЛУ может быть выполнена программно-аппаратными средствами. например, как периодический опрос в процессе отработки основной программы двойного счетчика. Начинается такой периодический опрос только после выхода из режима синхронной работы, о чем ВМ всегда "узнает" по шине управления и данных.
Особенностью такой структуры является то, что BM запитывается от двух различных первичных источников питания, что значительно снижает вероятность одновременного изменения напряжения на обоих
ВМ, ведущих к неверному функционированию BМ. Однако, только такой меры недостаточно. Понижение напряжения ниже определенного уровня может привести к возникновению таких сигналов на шине управления и данных, что приведет K ошибочной (ложной) работе рав«осильной отказу и другой ВМ, напряжение питания которой в норме, Чтобы избежать таких случаев, в ус1815640 тройство введен постоянный контроль с помощью компараторов напряжений на выходах всех ВИПов BM. В случае выхода напряжения за допустимый предел, который выбирается таким образом и на таком уровне, когда ВМ еще работает устойчиво, нв выходе соответствующего компаратора появляется нуль, который приводит к событиям, аналогичным описанным выше.
Кроме того, этот сигнал поступает на управляющий вход ВИПа, который задает заниженное напряжение, и отключает его, а следовательно и те блоки ВМ, которые он питает. ВМ переходит в режим "устойчивого отказа", на .шине управления и данных не могут появиться ложные сигналы, кроме того последняя "разорвана", исправная ВМ однозначно определяет "соседа" как отказавшего и продолжает работать, периодически опрашивая вход ЛУ, ожидая устранения неисправности в соседней BM.
Особенностью устройства является и то, что выходы ВИПов самых БКП взаимно контролируются. Это сделано с учетом того, что при выходе за допустимые пределы напряжения .;: выходе этого ВИПа, контроль за ВИПами ВМ не может быть достоверным.
Поэтому (и+1)-е компараторы обоих БКП контролируют питание на выходе ВИПов друг друга. Если произошло падение нап ряжения на этом ВИПе, то с выхода компаратора 19(22) нуль поступает на вход управления ВИПом 21(18), полностью обесточивая выход последнего.
Кроме того, этот нуль поступает на вход элемента И 10(И 9), говоря о неисправности второй 2 (первой 1) ВМ и блокируя соответствующий вход коммутатора 12, обнуляя триггер 5. Восстановление устройства из этого состояния аналогично вышеописанному;
Т.о., понижение напряжения на выходе хотя бы одного ВИПа BM либо на выходе одного из первичных источников питания не может привести к отказу структуры в целом в результате взаимного влияния ВМ, так как
"разрыв" шины управления и данных исключает информационную связь между ВМ.
Формула изобретения
Устройство для контроля дублированной вычислительной системы, содержащее первую и вторую вычислительные машины с и вторичными источниками питания каждая, коммутатор, элемент ИЛИ-НЕ, причем выходы данных первой и второй вычислительных машин соединены с первым и вторым информационными входами коммутатора, выход которого является выходом данных устройства, выход элемента ИЛИ вЂ” НЕ является выходом отказа устройства, о т л и ч а ющ е е с я тем, что, с целью повышения надежности устройства, оно содержит первый-пятый элементы И, первый и второй триггеры, первый и второй блоки контроля питания, каждый из которых содержит вторичный источник питания и с первого по (и+1)-й компараторы, а устройство также содержит первый и второй блоки магистральных элементов, контрольные выходы первой и второй вычислительных машин соединены с первыми входами первого и второго элементов И соответственно, выходы которых соединены с первыми входами со ответственно третьего и четвертого элемен20 тов И. связанных выходами с входами логических условий соответственно первой и второй вычислительных машин, с соответствующими входами пятого элемента И и инверсными R-входами соответственно первого и второго триггеров, выходы которых соединены с одноименными управляющими входами коммутатора и с соответствующими входами элемента
ИЛИ вЂ” НЕ, выходы и вторичных источников
30 питаний первой вычислительной машины соединены с первыми входами одноименных компараторов первого блока контроля питания, выходы которых соединены соответственно с второго по (n+1)-й входами
З5 первого элемента И и с входами управления одноименных вторичных источников питания первой вычислительной машины, выходы и вторичных источников питания второй вычислительной машины соединены с первыми входами одноименных компараторов второго блока контроля питания, выходы которых соединены соответственно с второго по (n+1)-й входами второго элемента И и с входами управления одноименных вторичных источников питания второй вычислительной машины, выход вторичного источника питания первого блока контроля питания соединен с вторыми входами и ком50 параторов данного блока и первыми входами (п+1)-х компараторов первого и второго блоков контроля питания, выходы которых соединены с вторыми входами соответственно четвертого и третьего элементов И и
55 с входами управления вторичных источников питания соответственно второго и первого блоков контроля питания, выход вторичного источника питания второго блока контроля питания соединен с вторыми входами с первого по (n+1)-й компараторов
1815640
10 ф1/Р. 2
Составитель Г.Подзолов
Техред М.Моргентал Корректор О.Кравцова
Редактор
Заказ 1636 Тираж Подписное
ВНИИПИ Государственного комитета по изобретениям и открытиям при ГКНТ СССР
113035, Москва, Ж-35, Раушская наб.. 4/5
Производственно-издательский комбинат "Патент", г. Ужгород, ул.Гагарина, 101 второго блока контроля питания и вторым входом (и+1)-го компараторов первого блока контроля питания, один из разрядов выходов данных первой и второй вычислительных машин соединены с прямыми S-входами второго и первого триггеров соответственно, выход пятого элемента И соединен с входами управления первого и второго блоков магистральных элементов, выходы которых соединены с входами-выходами управления и данных первой и второй вычислительных машин соответственно, а также с информационными входами второго и первого блоков магистральных элементов соответственно.
