Устройство для контроля дублированной вычислительной системы

СОЮЗ СОВЕТСКИХСОЦИАЛИСТИЧЕСКИРЕСПУБЛИК 18, Н 05 К 10/О 6 06 Е ПАТЕНТНО ГОСУДАРСТВЕННОВЕДОМСТВО СССР(ГОСПАТЕНТ СССР САНИЕ ИЗОБРЕТЕНИ ЕТЕЛЬСТВУ АВТОРСКОМ(56) Авторское свидетельство СССРМ 1390612, кл, 6 06 Р 11/16, 1988,Лихонинский В.Г. Организация сдвоенногодублирования при вычислении логическихфункций на микроЭВМ. - Приборы и системы управления, 1987, М 1,(54) УСТРОЙСТВО ДЛЯ КОНТРОЛЯ ДУБЛИРОВАННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ 2(57) Сущность изобретения: устройство содержит 2 вычислительные машины (1, 2), 2 блока контроля питания (3, 4), 2 триггера (5, 6), 5 элементов Т (7, 8, 9, 10, 11), 1 коммутатор (12), 1 элемент ИЛИ-НЕ (13), 2 блока магистральных элементов (14, 15), 2 выхода (1 6, 17), Блок контроля питания (3) содержит: 1 вторичный источник питания (21), и+1 компаратор (19, 20), Блок контроля питания (4) содержит: 1 вторичный источник питания (21), и+1 компаратор (22,23), 1-3-7-9-11-15-2-, 4-8-10-11-14-1-6-12-16, 3-4-3-4-3-10-1-12, 3- 1-7. 4-2-8, 4-9-5-12, 15-14, 2-12, 2-5-13-17, 10-6-13. 2 ил.55 Изобретение относится к цифровой вычислительной технике и автоматике и может быть использовано при построении высоконадежных дублированных устройств на основе однотипных вычислительных машин (ВМ).Целью изобретения является повышение надежности устройства.На фиг.1 представлена функциональная схема устройства для контроля дублированной вычислительной системы; на фиг,2 - функциональная схема первого (второго) блока контроля питания,На фиг, 1 использованы следующие обозначения: 1,2 - первая, вторая вычислительные машины; 1.1(2.1) - множество собственно вычислительных блоков первой (второй) машины; 1.1.1 (2,1,1) - схема самоконтроля множества вычислительных блоков первой (второй) ВМ; 1.2(2,2) - 1.п+1 (2,п+1) - первый - и-й вторичные источники питания первой (второй) ВМ, 3, 4 - первый, второй БКП; 5, 6 - первый, второй триггеры;7-11 - первый - пятый элементы И; 12 - коммутатор. 13 - элемент ИЛИ - НЕ; 14, 15 - первый, второй блЬки магистральных элементов, 16 - выход данных устройства; 17 - выход отказа устройства.На фиг. 2 использованы следующие обозначения: 18(21) - ВИП первого (второго) БКП; 19(22) - (и+1)-й компаратор первого (второго) БКП; 20.1(23.1)-20.п(23.п) - первый - и-й компараторы первого (второго) БКП,Первая 1 и вторая 2 вычислительные машины предназначены для проведения вычислительных операций в синхронном режиме, В них загружаются одни и те же программы и данные, все необходимые системные программные средства для работы в синхронном режиме, Обеспечение аппаратной связи между ВМ осуществляется по шине данных и управления, связывающей обе машины. Кроме того, при отказе одной из машин, о чем свидетельствует нулевой потенциал на входе логических условий (ЛУ) другой ВМ, эта исправная ВМ продалкает работу сама, Программно может быть заложен алгоритм перехода к программе диагностирования отказавшей ВМ при появлении нуля на входе логических условий, Попытка перейти вновь к дублированной структуре осуществляется исправной (в этом случае ведущей) ВМ после появления на входе ЛУ единицы. Если попытка оказывается удачной, то ведущая ВМ "разрешает" выдачу данных на выход 16 данных устройства и с выхода данных ведомой ВМ (т.е, той,5 10 15 20 25 30 35 40 45 50 в которой был отказ). Структурно каждая ВМ представлена множеством вычислительных блоков, подмножеством которого являются блоки самодиагностики, и множеством вторичных источников питания (ВИП), обеспечивающих формирование заданных питающих сопряжений для различных блоков ВМ. Причем, если на входе управления ВИПа единичный потенциал, то ВИП включен, если же - нуль, то выходное напряжение данного ВИПа становится равным нулю; обесточивая соответствующие блоки самой ВМ,Первый 3 (второй 4) БКП, состоящий изВИПа 18(21) и (и+1)-го 20,1(23.1) - 20.п(23+и) и 19(22) компаратора предназначены для контроля выходных напряжений ВИПов (например, типы ДС - 230) первой ВМ 1 (второй 2), а также контроля выходного напряжения ВИПа 21(18) второго 4 (первого 3) БКП, Контроль осуществляется следующим образом.На одном из входов 1-го компаратора 20 Л(23.), где 1 = 1, и+1, подается эталонное напряжение с выхода ВИПа БКП (для простоты показа ограничительные сопротивления, массовые схемы и т,п, необходимые в этих случаях не показаны), на другой вход - выходное напряжение соответствующего ВИПа 1 Л(2.1) ВМ 1(2). В случае отклонения последнего за допустимые пределы, задаваемые с помощью резисторных схем, которые не показаны, на выходе компаратора 20,(23,) появится нулевой потенциал, который, поступив на вход управления соответствующего ВИПа, полностью обеспечит его выход. Питание всех компараторов первого 3 (второго 4) БКП осуществляется ВИПом данного БКП,Первый 5 и второй 6 триггеры предназначены для блокирования выхода данных первой 1 и второй 2 ВМ соответственно с помощью коммутатора 12 с момента отказа соответствующей ВМ до момента ее вхождения в синхронный режим после устранения последнего.Первый 7, третий 9 и второй 8, четвертый 10 элементы И предназначены для объединения по И всех сигналов, говорящих об обнаруженных неисправностях в первой 1 и второй 2 ВМ соответственно, а также о выходе за допустимые пределы напряжения на выходе ВИПов первого 3 или второго 4 БКП.Фактически они формируют сигналы о состоянии первой 1 и второй 2 ВМ соответственно. Пятый элемент И 11, первый 14 и второй15 блоки магистральных элементов пред 1815640назначены для обеспечения разрыва информационных связей между машинами при отказе одной из них.Элемент ИЛИ-НЕ 13 предназначен дляформирования сигнала об отказе устройст ва в целом в случае, когда во второй ВМ был обнаружен отказ до того, как был устранен отказ в первойНапряжение питания на первый 7 (второй 8) элементы И подается с ВИПа 18(21) первого 3 ( второго 4) БКП. Питание же на третий 9 и четвертый 10 элементы И, триггеры 5,6, коммутатор 12 и элемент ИЛИ-НЕ 13 подается с выходов ВИПов 18 первого 1 и ВИПА 21 второго 2 БКП, таким образом, что оно будет в норме, если хотя бы один из этих ВИПов в норме.Устройство работает следующим образом.20В исходном состоянии обе ВМ исправны(на контрольных выходах - единицы), оба триггера 5, 6 находятся в единичном состоянии, оба информационных входа коммутатора 12 открыты, на выходе 17 отказа устройства - нуль. В обе ВМ загружены одни и те же программы, на входы поступают одни и те же данные, ВМ работают в синхронном режиме, поддерживая этот режим обменом соответствующих сигналов по ши не (входу.-выходу) управления и данных обьединяющих две одинаковыке ВМ в дублированную структуру. Данные, синхронно появляющиеся на выходах данных обоих ВМ через коммутатор 1, поступают на 35 выход 16 данные устройства,В случае обнаружения неисправностисхемой самоконтроля 1.1,1(2.1.1) на контрольном выходе первой(второй) ВМ появляется нулевой потенциал. Этот нуль 40 поступает на выход элемента И 7, далее по входу элемент И 9, а с его выхода - на инверсный В-вход триггера 5, обнуляется последний.Нулевой потенциал,. появившийся навыходе триггера 5, блокирует первой (второй) вход коммутатора 12, исключая тем самым попадание данных с выхода отказавшей ВМ на выход 16 данных устрой ства. Кроме того, нуль с выхода И 9 (И 10) поступает на вход ЛУ второй 2 (первой 1) оставшейся исправной ВМ, "предупреждая" последнюю о том, что она работает без дублирования, 55Кроме того, этот нуль с выхода элементаИ 9 или И 10, поступая на один из входов элемента И .11, приведет к появлению на выходе последнего нуля. Этот нуль, поступая на управляющие входы первого 14 и второго 15 блоков магистральных элементов, приведет их в высокоимпеданское состояние, обеспечив тем самым "разрыв" ранее соединенных входов-выходов управления и данных,Т.оотказавшая ВМ не может оказать никакого влияния на исправную.При поступлении нуля на вход ЛУ ВМ может быть предусмотрен переход программный либо аппаратно-масштабный (например про прерыванию), к подпрограмме диагностирования отказавшей ВМ.. После восстановления отказавшей ВМ (механизм восстановления может быть любым) на контрольном выходе вновь появляется единица. Однако, соответствующий информационный вход коммутатора 12 по- прежнему блокирован, так как ВМ еще не введена в синхронный режим с исправной и продолжавшей работу ВМ,После того, как на входе ЛУ исправной ВМ вновь появился единичный сигнал о исправности другой ВМ, данная ВМ, являющаяся теперь ведущей, переходит к подпрограмме восстановления синхронной работы и по шине управления и данных делает все необходимые операции (загрузка ОЗУ другой ВМ и т.п.) для восстановления синхронной работы обоих ВМ. После того, как эта процедура закончилась, на одном из разрядов выхода данных ведущей (второй 2) ВМ появляется единичный импульс, который переводит первый 5 триггер в единичное состояние, деблокируя первый вход коммутатора 12. Обе ВМ вновь начинают работу в синхронном режиме.Реализация входа ЛУ может быть выполнена программно-аппаратными средствами, например, как периодический опрос в процессе отработки основной программы двойного счетчика. Начинается такой периодический опрос только после выхода из режима синхронной работы, о чем ВМ всегда "узнает" по шине управления и данных.Особенностью такой структуры является то, что ВМ запитывается от двух различных первичных источников питания, что значительно снижает вероятность одновременного изменения напряжения на обоих ВМ, ведущих к неверному функционированию ВМ. Однако, только такой меры недостаточно. Понижение напряжения ниже определенного уровня может привести к возникновению таких сигналов на шине управления и данных, что приведет к ошибочной (ложной) работе равосильной отказу и другой ВМ, напряжение питания которой в норме, Чтобы избежать таких случаев, в ус 1815640тройство введен постоянный контроль с помощью компараторов напряжений на выходах всех ВИПов ВМ. В случае выхода напряжения за допустимый предел, который выбирается таким образом и на таком уровне, когда ВМ еще работает устойчиво, нв выходе соответствующего компаратора появляется нуль, который приводит к событиям, аналогичным описанным выше.Кроме того, этот сигнал поступает на управляющий вход ВИПа, который задает заниженное напряжение, и отключает его, а следовательно и те блоки ВМ, которые он питает. ВМ переходит в режим "устойчивого отказа", на .шине управления и данных не могут появиться ложные сигналы, кроме того последняя "разорвана", исправная ВМ однозначно определяет "соседа" как отказавшего и продолжает работать, периодически опрашивая вход ЛУ, ожидая устранения неисправности в соседней ВМ.Особенностью устройства является и то, что выходы ВИПов самых БКП взаимно контролируются, Это сделано с учетом того, что при выходе за допустимые пределы напряжения выходе этого ВИПа, контроль за ВИПами ВМ не может быть достоверным. Поэтому (п 1)-е компараторы обоих БКП контролируют питание на выходе ВИПов друг друга. Если произошло падение нап ряжения на этом ВИПе, то с выхода компаратора 19(22) нуль поступает на вход управления ВИПом 21(18), полностью обесточивая выход последнего.Кроме того, этот нуль поступает на вход элемента И 10(И 9), говоря о неисправности второй 2 (первой 1) ВМ и блокируя соответствующий вход коммутатора 12, обнуляя триггер 5. Восстановление устройства из этого состояния аналогично вышеописанному;Т.о., понижение напряжения на выходе хотя бы одного ВИПа ВМ либо на выходе одного из первичных источников питания не может привести к отказу структуры в целом в результате взаимного влияния ВМ, так как "разрыв" шины управления и данных исключает информационную связь между ВМ.Формула изобретенияУстройство для контроля дублированной вычислительной системы, содержащее первую и вторую вычислительные машины с и вторичными источниками питания каждая, коммутатор, элемент ИЛИ-НЕ, причем выходы данных первой и второй вычислительных машин соединены с первым и вторым информационными входами коммутатора, выход которого является выходом данных устройства, выход элемента ИЛИ - НЕ является выходом отказа устройства, о т л и ч а ющ е е с я тем, что, с целью повышения надежности устройства, оно содержит первый-пятый элементы И, первый и второй триггеры, первый и второй блоки контроля питания, каждый из которых содержит вторичный источник питания и с первого по (и+1)й компараторы, а устройство также содержит первый и второй блоки магистральных элементов, контрольные выходы первой и второй вычислительных машин соединены с первыми входами первого и второго элементов И соответственно, выходы которых соединены с первыми входами со ответственно третьего и четвертого элемен тов И. связанных выходами с входамилогических условий соответственно первой и второй вычислительных машин, с соответствующими входами пятого элемента И и инверсными К-входами соответственно первого и второго триггеров, выходы которых соединены с одноименными управляющими входами коммутатора и с соответствующими входами элемента ИЛИ - НЕ, выходы и вторичных источников 30 питаний первой вычислительной машинысоединены с первыми входами одноименных компараторов первого блока контроля питания, выходы которых соединены соответственно с второго по (и+1)-й входами З 5 первого элемента И и с входами управленияодноименных вторичных источников питания первой вычислительной машины, выходы и вторичных источников питания второй вычислительной машины соединены с первыми входами одноименных компараторов второго блока контроля питания, выхОды которых соединены соответственно с второго по (и+1)-й входами второго элемента И и с входами управления одноименных вторичных источников питания второй вычислительной машины, выход вторичного источника питания первого блока контроля питания соединен с вторыми входами и ком параторов данного блока и первыми входами (и+1)-х компараторов первого и второго блоков контроля питания, выходы которых соединены с вторыми входами соответственно четвертого и третьего элементов И и 55 с входами управления вторичных. источников питания соответственно второго и первого блоков контроля питания, выход вторичного источника питания второго блока контроля питания соединен с вторыми входами с первого по (и+1)-й компараторов1815640 10 Составитель Г.ПодзоловТехред М.Моргентал Корректор О,Кравцова дактор аказ 1636 Тираж Подписное ВНИИПИ Государственного комитета по изобретениям и открытия 113035, Москва, Ж, Раушская наб 4/5 ГКНТ СС роизводственно-издательский комбинат "Патент", г, Ужгород, ул.Гага 10 второго блока контроля питания и вторым входом (и+1)-го компараторов первого блока контроля питания, один из разрядов выходов данных первой и второй вычислительных машин соединены с прямыми Б-входами второго и первого триггеров соответственно, выход пятого элемента И соединен с входами управления первого и второго блоков магистральных элементов, выходы которых соединены с входами-выходами управ.ления и данных первой и второй вычислительных машин соответственно, а 5 также с информационными входами второгои первого блоков магистральных элементов соответственно.