JPH05313930A - Highly reliable information processor - Google Patents

Highly reliable information processor

Info

Publication number
JPH05313930A
JPH05313930A JP3336696A JP33669691A JPH05313930A JP H05313930 A JPH05313930 A JP H05313930A JP 3336696 A JP3336696 A JP 3336696A JP 33669691 A JP33669691 A JP 33669691A JP H05313930 A JPH05313930 A JP H05313930A
Authority
JP
Japan
Prior art keywords
microprocessor
microprocessors
bus cycle
malfunction
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP3336696A
Other languages
Japanese (ja)
Other versions
JP3063334B2 (en
Inventor
Kazuhide Hosaka
和秀 保坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP3336696A priority Critical patent/JP3063334B2/en
Priority to US07/992,642 priority patent/US5572663A/en
Publication of JPH05313930A publication Critical patent/JPH05313930A/en
Application granted granted Critical
Publication of JP3063334B2 publication Critical patent/JP3063334B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Abstract

PURPOSE:To provide a non-stop system having the extremely high reliability by detecting the malfunction of one of the 1st-3rd microprocessors through a logical means. CONSTITUTION:A triplexed bus cycle is started with synchronizarion secured between a 1st microprocessor 1a working in an execution mode and the 2nd and 3rd microprocessors 1b and 1c working in a monitor mode respectively. At the same time, a bus cycle start signal to inform of the bus cycle start timing is transmitted to the outside regardless of the operating modes. A logical means always compares the bus cycle start signals outputted from those microprocessors 1a-1c with each other and detects the malfunction of one of these three microprocessors. In such a constitution, it is possible to evade such a case where the continuous processings are impossible due to a malfunction that causes a bus cycle error and to obtain a non-stop system having the extremely high reliability.

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【産業上の利用分野】本発明は、高信頼性が要求される
高信頼度化情報処理装置に関し、特に、マイクロプロセ
ッサの一過性の誤動作に対するフォールトトレラント化
を行う高信頼度化情報処理装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a highly reliable information processing device which is required to have high reliability, and more particularly to a highly reliable information processing device which is fault tolerant to a transient malfunction of a microprocessor. Regarding

【0002】[0002]

【従来の技術】従来の高信頼度化情報処理装置は、マイ
クロプロセッサの分野では、一過性の誤動作によって、
処理が続けられなくなるのを回避するために、マイクロ
プロセッサを3重化して、冗長構成を採っている。マイ
クロプロセッサは、3つあるので、各々の出力を監視し
ていれば、多数決によって、どのマイクロプロセッサが
誤動作をしたかがすぐに分かり、誤動作の検出後には、
誤動作をしたマイクロプロセッサを切り離し、残りの2
つのマイクロプロセッサで処理を継続することができ
る。2. Description of the Related Art In the field of microprocessors, conventional high reliability information processing devices are subject to transient malfunctions.
In order to avoid that processing cannot be continued, the microprocessor is tripled and a redundant configuration is adopted. Since there are three microprocessors, if you monitor the output of each, you can immediately know which microprocessor has malfunctioned by majority vote, and after detecting the malfunction,
Disconnect the malfunctioning microprocessor and leave the remaining 2
Processing can be continued with one microprocessor.

【0003】この3重化構成を比較的容易に実現できる
のがFRM機能である。FRM機能は、実行モードで動
作する1つのマイクロプロセッサが外部に出力する信号
を、監視モードで動作する2つのマイクロプロセッサが
自分の中に取り込み、バスサイクルが起動される毎に自
分自身の信号と比較してチェックするものである。The FRM function can relatively easily realize the triple structure. The FRM function takes in the signal output from one microprocessor operating in the execution mode to the outside by the two microprocessors operating in the monitoring mode, and outputs it as its own signal every time the bus cycle is activated. It is to compare and check.

【0004】3重多数決の原理により、監視モード側の
うちのどちらか1つで不一致を検出した場合には、その
検出したマイクロプロセッサが誤動作したことになり、
監視モード側が同時に2つとも不一致を検出した場合に
は、実行モードのマイクロプロセッサが誤動作したこと
になる。According to the principle of triple majority, if any one of the monitoring modes detects a mismatch, it means that the detected microprocessor malfunctions.
If the monitoring mode side detects both inconsistencies at the same time, it means that the microprocessor in the execution mode malfunctions.

【0005】よく知られる3重多数決構成のもう1つの
例としては、3つのマイクロプロセッサの出力するすべ
ての信号を外部で3重多数決により演算した結果を他の
ユニット(例えば、メモリ)に転送するようにしたもの
がある。この場合のマイクロプロセッサは、動作モード
という概念はなく、全てのマイクロプロセッサが同じよ
うに外部に信号を出力する。Another example of the well-known triple voting structure is to transfer all signals output from three microprocessors by triple voting to the other units (for example, memory). There is something like this. The microprocessor in this case has no concept of an operation mode, and all the microprocessors output signals to the outside in the same manner.

【0006】3重多数決演算とは、3つの信号をA、
B、Cとすると、 Y=A*B+B*C+C*A *:論理積 +:論理和 という論理式で表われるものである。この式からわから
るように、出力Yには3つの信号A、B、Cの中で、2
つあるいは3つの信号が示す値が出力される。したがっ
て出力Yは、同時に2つ以上の誤りがない限り、常に正
しい値であるということができる。In the triple majority operation, three signals are A,
Assuming B and C, Y = A * B + B * C + C * A *: logical product +: logical sum. As can be seen from this equation, the output Y has two signals among the three signals A, B, and C.
The value indicated by one or three signals is output. Therefore, it can be said that the output Y is always a correct value unless there are two or more errors at the same time.

【0007】[0007]

【発明が解決しようとする課題】従来の高信頼度化情報
処理装置は、FRM機能のように、バスサイクルが起動
される毎にその出力信号をチェックする方式では、3つ
のマイクロプロセッサがバスサイクルを同時に起動して
いるときには、十分な効果があるけれども、バスサイク
ル自体がずれてしまうような誤動作のときには、その誤
動作を検出できない場合や、検出が遅れる場合がある。In the conventional high reliability information processing apparatus, like the FRM function, in the method of checking the output signal every time the bus cycle is activated, the three microprocessors use the bus cycle. When the two are activated at the same time, there is a sufficient effect, but in the case of a malfunction such that the bus cycle itself shifts, the malfunction may not be detected or the detection may be delayed.

【0008】例えば、管理モードのマイクロプロセッサ
がバスサイクルを起動しない場合には、その誤動作を検
出できないし、実行モードのマイクロプロセッサが監視
モードのマイクロプロセッサより早くバスサイクルを起
動してしまった場合には、バスサイクルが終了した後に
なって誤動作が検出されることも有り得る。誤動作が発
生した後も、2重化に縮退した状態で処理を正常に継続
するには、その誤動作が発生したバスサイクルを再度同
じように起動する必要があり、そのためには、バスサイ
クルの起動中に誤動作を検出しなければならない。For example, when the microprocessor in the management mode does not activate the bus cycle, the malfunction cannot be detected, and when the microprocessor in the execution mode activates the bus cycle earlier than the microprocessor in the monitoring mode. It is possible that a malfunction is detected only after the bus cycle is completed. In order for the processing to continue normally in the degenerate state due to duplication even after the malfunction has occurred, the bus cycle in which the malfunction has occurred must be activated again in the same way. You must detect the malfunction inside.

【0009】一般に、高集積度のマイクロプロセッサの
一過性の誤動作は、マイクロプロセッサ内部のフリップ
フロップの反転等によるものである。しかし、この反転
は一時的なものなので、反転を起こしたフリップフロッ
プに再度情報が書き込まれれば、復旧してしまう性質の
ものである。したがって、この一時的な不良で処理が停
止してしまうシステムは、信頼性が低いことになる。Generally, a transient malfunction of a highly integrated microprocessor is due to inversion of flip-flops inside the microprocessor. However, since this inversion is temporary, if the information is written again in the flip-flop that caused the inversion, the inversion is recovered. Therefore, the system in which the processing is stopped due to this temporary defect has low reliability.

【0010】一方、プロセッサ内部のフリップフロップ
は、データ系と、制御系とを分けた場合に、明かにデー
タ系で使われる割合が大きい。しかし、例えば、命令を
格納する大規模なレジスタでビットの反転が起こった場
合には、違う命令に解釈されて確実に内部のシーケンス
が変わり、バスサイクルのずれを引き起こすことにな
る。このようにバスサイクルがずれる誤動作も、決して
低い割合ではない。On the other hand, when the data system and the control system are separated, the flip-flop in the processor is obviously used in the data system in a large proportion. However, for example, when bit inversion occurs in a large-scale register that stores an instruction, it is interpreted as a different instruction and the internal sequence is changed without fail, causing a bus cycle shift. The malfunctions in which the bus cycle is shifted in this way are not at a low rate.

【0011】また、外部の3重多数決演算回路で全ての
出力信号を多数決演算する方式は、あらゆる誤動作を検
出し、かつ、他のユニットに悪影響を及ぼさず、処理を
中断なしに継続するという点では優れているが、全ての
出力信号を3重多数決演算回路を通過させなければなら
ないので、アドレスやデータ等の信号が他のユニットに
到着するのが遅れ、性能が低下する。また、3重多数決
演算回路自体のハードウェア量もかなり多くなる。この
ように性能の低下と部品の増加とは、現在の高性能化、
低コスト化、コンパクト化、低消費電力化の要求に相反
するものであり、致命的である。Further, the method of majority-calculating all output signals by an external triple majority-computation circuit detects all malfunctions, does not adversely affect other units, and continues processing without interruption. However, since all the output signals must pass through the triple majority operation circuit, the arrival of signals such as addresses and data to other units is delayed and the performance is degraded. Further, the amount of hardware of the triple majority arithmetic circuit itself is considerably large. In this way, the decline in performance and the increase in the number of parts mean that the current high performance,
This conflicts with the demand for cost reduction, compactness, and low power consumption, and is fatal.

【0012】[0012]

【課題を解決するための手段】第1の発明の高信頼度化
情報処理装置は、実行モードで動作する第1のマイクロ
プロセッサと、監視モードで動作する第2,第3のマイ
クロプロセッサとが、同期して3重化されたバスサイク
ルを開始するときに、バスサイクルを開始するタイミン
グを外部に通知するためのバスサイクル開始信号を、動
作モードに依らずに、それぞれ外部に出力する高信頼度
化情報処理装置において、前記第1,〜第3のマイクロ
プロセッサから各々出力される3本のバスサイクル開始
信号を常に比較する論理手段により、前記第1,〜第3
のマイクロプロセッサの1つの誤動作を検出することに
より構成されている。According to a first aspect of the present invention, there is provided a high reliability information processing apparatus comprising a first microprocessor operating in an execution mode and second and third microprocessors operating in a monitoring mode. Highly reliable output of a bus cycle start signal for notifying the timing of starting the bus cycle to the outside when starting the tripled bus cycle synchronously, regardless of the operation mode. In the digitized information processing device, the logic means for constantly comparing the three bus cycle start signals respectively output from the first to third microprocessors, the first to third
It is configured by detecting one malfunction of the microprocessor.

【0013】また、第2の発明の高信頼度化情報処理装
置は、第1の発明の論理手段により、実行モードで動作
する第1のマイクロプロセッサが誤動作をしたと判断し
た場合には、実行モードで動作する前記第1のマイクロ
プロセッサを論理的に切り離し、監視モードで動作する
第2,第3のマイクロプロセッサのうちのいずれか1つ
を実行モードに切り換える制御手段と、前記制御手段に
よって、構成が3重化から2重化へと縮退したのちに、
誤動作により正常に行われなかった処理動作を再度行う
リトライ手段とにより、誤動作した前記第1のマイクロ
プロセッサを除く前記第2,第3のマイクロプロセッサ
により、処理が正常に継続されることにより構成されて
いる。Further, the high reliability information processing apparatus of the second invention is executed by the logic means of the first invention when it is determined that the first microprocessor operating in the execution mode malfunctions. Control means for logically disconnecting the first microprocessor operating in the mode and switching any one of the second and third microprocessors operating in the monitoring mode to the execution mode; and the control means, After the composition degenerates from triple to double,
Retry means for performing again the processing operation that was not normally performed due to the malfunction, and the processing is normally continued by the second and third microprocessors excluding the malfunctioning first microprocessor. ing.

【0014】一方、第3の発明の高信頼度化情報処理装
置は、第1の発明の論理手段により、実行モードで動作
する第1のマイクロプロセッサが誤動作したと判断した
場合には、メモリへの書き込み信号を抑止して、前記メ
モリにデータを書き込めないようにする書き込み抑止手
段により、前記第1のマイクロプロセッサの誤動作によ
るメモリ破壊を防止することにより構成されている。On the other hand, in the high reliability information processing apparatus of the third invention, when the logic means of the first invention determines that the first microprocessor operating in the execution mode malfunctions, the information is stored in the memory. The write inhibiting means that inhibits the write signal to prevent the data from being written to the memory, thereby preventing the memory destruction due to the malfunction of the first microprocessor.

【0015】さらに、第4の発明の高信頼度化情報処理
装置は、第1の発明の論理手段により、第1,〜第3の
マイクロプロセッサの1つの誤動作が検出されたことに
応答して、割り込みを発生させ、ソフトウェアに誤動作
が発生したことを通知する割り込み手段と、前記第1,
〜第3のマイクロプロセッサの初期化をするリセット動
作を、ソフトウェアからの要求により行うリセット手段
とにより、前記第1,〜第3のマイクロプロセッサを再
同期させることにより構成されている。Further, the high reliability information processing apparatus of the fourth invention is responsive to the detection of one malfunction of the first to third microprocessors by the logic means of the first invention. , An interrupt means for generating an interrupt and notifying that a malfunction has occurred in the software;
~ The reset operation for initializing the third microprocessor is resynchronized with the reset means for performing a reset operation according to a request from software.

【0016】[0016]

【実施例】次に、本発明の実施例について図面を参照し
て説明する。Embodiments of the present invention will now be described with reference to the drawings.

【0017】図1は、第1の発明の高信頼度化情報処理
装置の一実施例を示すブロック図である。図1に示すよ
うに、実行モードで動作するマイクロプロセッサ1a
と、監視モードで動作するマイクロプロセッサ1b,1
Cとは、3重化されてバッファ2を介してバス3に接続
されている。FIG. 1 is a block diagram showing an embodiment of a highly reliable information processing apparatus of the first invention. As shown in FIG. 1, the microprocessor 1a operating in the execution mode
And the microprocessors 1b, 1 operating in the monitoring mode
C is tripled and connected to the bus 3 via the buffer 2.

【0018】正常時には、マイクロプロセッサ1aが出
力信号を常に外部に送り出し、マイクロプロセッサ1
b,1cがその情報を取り込んで、自分自身の情報に比
較してチェックする。3重多数決の原理から、マイクロ
プロセッサ1bでのみ不一致を検出した場合には、マイ
クロプロセッサ1bが故障したことになり、マイクロプ
ロセッサ1cでのみ不一致を検出した場合には、マイク
ロプロセッサ1cが故障したことになる。また、マイク
ロプロセッサ1b,1cが同時に不一致を検出した場合
には、マイクロプロセッサ1aが故障したことになる。During normal operation, the microprocessor 1a always sends the output signal to the outside, and the microprocessor 1a
b and 1c take in the information and compare it with their own information for checking. According to the principle of triple majority, if only the microprocessor 1b detects a mismatch, it means that the microprocessor 1b has failed, and if only the microprocessor 1c detects a mismatch, the microprocessor 1c has failed. become. If the microprocessors 1b and 1c simultaneously detect the mismatch, it means that the microprocessor 1a has failed.

【0019】マイクロプロセッサ1b,1cが自分自身
の中に取り込んだ情報をチェックするタイミングは、自
分自身がバスサイクルを起動したときである。したがっ
て、3つのマイクロプロセッサ1a,1b,1cのバス
サイクルが完全に同期しているときには、そのチェック
機能が働き、データ化け等の異常が検出できる。The timing at which the microprocessors 1b and 1c check the information taken in themselves is when the bus cycle is activated by themselves. Therefore, when the bus cycles of the three microprocessors 1a, 1b, 1c are completely synchronized, the check function thereof works and an abnormality such as garbled data can be detected.

【0020】3つのマイクロプロセッサ1a,1b,1
cは、バスサイクルを開始するときに、そのバスサイク
ル開始のタイイングを外部に通知するためのバスサイク
ル開始信号1as,1bs,1csを外部に各々出力す
る。すなわち、信号1as,1bs,1csは、バスサ
イクルが開始されるときに、1クロックサイクル期間だ
け有効になるパルス信号である。Three microprocessors 1a, 1b, 1
When the bus cycle is started, c outputs bus cycle start signals 1as, 1bs, 1cs for notifying the timing of the start of the bus cycle to the outside, respectively. That is, the signals 1as, 1bs, 1cs are pulse signals that are valid only for one clock cycle period when the bus cycle is started.

【0021】排他的論理和ゲート4a,4b,4c,お
よび2入力のANDゲート5a,5b,5cは、3重多
数決回路を構成している。J−Kタイプのフリップフロ
ップ6a,6b,6cは、3重多数決回路の出力を保持
するために設けられたもので、正常時には全て“0”で
ある。The exclusive OR gates 4a, 4b and 4c and the two-input AND gates 5a, 5b and 5c form a triple majority circuit. The JK type flip-flops 6a, 6b, 6c are provided to hold the outputs of the triple majority circuit, and are all "0" in the normal state.

【0022】3重多数決回路は、バスサイクル開始の信
号1as,1bs,1csを常に監視しており、バスサ
イクルのずれが無いかどうかをチェックしている。も
し、信号1asが他の2つの信号1bs,1csより早
く有効になったり遅れて有効になったりしたときには、
J−Kタイプのフリップフロップ6aが“1”にセット
される。The triple majority circuit constantly monitors the signals 1as, 1bs, 1cs for starting the bus cycle, and checks whether there is a shift in the bus cycle. If the signal 1as becomes valid earlier or later than the other two signals 1bs and 1cs,
The JK type flip-flop 6a is set to "1".

【0023】また、信号1bsが他の2つの信号1a
s,1bsより早く有効になったり遅れて有効になった
りしたときには、J−Kタイプのフリップフロップ6b
が“1”にセットされる。同様に、信号1csが他の2
つの信号1as,1bsより早く有効になったり遅れて
有効になったりしたときには、J−Kタイプのフリップ
フロップ6cが“1”にセットされる。The signal 1bs is the other two signals 1a.
When it becomes effective earlier than s, 1bs or becomes effective after being delayed, a JK type flip-flop 6b
Is set to "1". Similarly, the signal 1cs is the other 2
The JK type flip-flop 6c is set to "1" when it becomes valid earlier than the two signals 1as and 1bs or becomes effective after a delay.

【0024】したがって、マイクロプロセッサ1aが誤
動作したときには誤動作信号7aが“1”に遷移し、マ
イクロプロセッサ1bが誤動作したときには誤動作信号
7bが“1”に遷移し、マイクロプロセッサ1cが誤動
作したときには誤動作信号7cが“1”に遷移すること
になる。Therefore, the malfunction signal 7a changes to "1" when the microprocessor 1a malfunctions, the malfunction signal 7b changes to "1" when the microprocessor 1b malfunctions, and the malfunction signal 7c when the microprocessor 1c malfunctions. 7c changes to "1".

【0025】そして、3つのJ−Kタイプのフリップフ
ロップ6a,6b,6cは、一度“1”に遷移すると、
リセット信号43が有効になるまで“1”を保つ。ま
た、誤動作総合信号9は、ORゲート8によって誤動作
信号7a,7b,7cの論理和を得たもので、“1”の
ときに、いずれかのマイクロプロセッサ1a,1b,1
cが誤動作したことを示している。Then, the three JK type flip-flops 6a, 6b, 6c once transit to "1",
It keeps "1" until the reset signal 43 becomes valid. The malfunction total signal 9 is obtained by ORing the malfunction signals 7a, 7b, 7c by the OR gate 8. When "1", any one of the microprocessors 1a, 1b, 1
This indicates that c has malfunctioned.

【0026】図2は、マイクロプロセッサ1aのバスサ
イクルがずれて早くなった誤動作の検出の一例を示すタ
イミングチャートである。図2に示すように、バスサイ
クル開始信号1asが先に有効になると、ANDゲート
5aの出力により、誤動作信号7aおよび誤動作総合信
号9が“1”に遷移している。FIG. 2 is a timing chart showing an example of detection of an erroneous operation in which the bus cycle of the microprocessor 1a is shifted and accelerated. As shown in FIG. 2, when the bus cycle start signal 1as becomes valid first, the malfunction signal 7a and malfunction comprehensive signal 9 are transited to "1" by the output of the AND gate 5a.

【0027】図3は、第2の発明の高信頼度化情報処理
装置の一実施例を示すブロック図である。図3に示すよ
うに、3重化されたマイクロプロセッサ1a,1b,1
cには、共通にバスサイクル終結信号22およびリトラ
イ指示信号13が入力されており、個々に切り離し指示
信号21a,21b,21cが入力されている。信号2
1a,21b,21cをバスサイクルの実行中に有効に
すると、対応するマイクロプロセッサ1a,1b,1c
は、そのバスサイクルを終了した後に、論理的に切り離
し状態に入り、バスサイクルを一切実行しなくなる。FIG. 3 is a block diagram showing an embodiment of the highly reliable information processing apparatus of the second invention. As shown in FIG. 3, the triplicated microprocessors 1a, 1b, 1
The bus cycle end signal 22 and the retry instruction signal 13 are commonly input to c, and the disconnection instruction signals 21a, 21b, and 21c are individually input. Signal 2
When 1a, 21b, 21c are enabled during execution of a bus cycle, the corresponding microprocessors 1a, 1b, 1c
After the bus cycle is completed, the logically separated state is entered, and the bus cycle is not executed at all.

【0028】また、信号21a,21b,21cが無効
になると自動的に切り離し状態が解除され、バスサイク
ルが実行され始める。さらに、マイクロプロセッサ1
a,1bには、それぞれ、動作モードを指定する動作モ
ード指示信号23a,23bが入力されている。信号2
3a,23bは、“1”で実行モードとなり、“0”で
監視モードとなる。J−Kタイプのフリップフロップ1
9は、これらの2つのモードを区別するフリップフロッ
プであり、正常動作時にはQ=“0”である。したがっ
て、マイクロプロセッサ1aが実行モードで動作してい
る。When the signals 21a, 21b and 21c become invalid, the disconnection state is automatically released and the bus cycle starts to be executed. Furthermore, the microprocessor 1
The operation mode instruction signals 23a and 23b for specifying the operation mode are input to a and 1b, respectively. Signal 2
3a and 23b are in the execution mode when "1" and in the monitoring mode when "0". JK type flip-flop 1
Reference numeral 9 is a flip-flop that distinguishes these two modes, and Q = “0” during normal operation. Therefore, the microprocessor 1a is operating in the execution mode.

【0029】実行モードで動作しているマイクロプロセ
ッサ1aが誤動作した場合に、それまで行ってきた処理
をそのまま継続するためには、それまで監視モードで動
作していたマイクロプロセッサ1bを実行モードに切り
換えて、2台のマイクロプロセッサ1b,1cで動作さ
せることのできる再構成機能と、誤動作が検出されたと
きに実行されていたバスサイクルを再構成後に再び実行
し直すリトライ機能とが必要である。When the microprocessor 1a operating in the execution mode malfunctions, the microprocessor 1b, which has been operating in the monitoring mode until then, is switched to the execution mode in order to continue the processing that has been performed so far. Therefore, a reconfiguration function that can be operated by the two microprocessors 1b and 1c and a retry function that re-executes the bus cycle that was being executed when the malfunction was detected are reconfigured.

【0030】本実施例のマイクロプロセッサ1a,1
b,1cは、再構成機能とバスサイクルのリトライ機能
とを有している。再構成機能は、予め切り離し指示信号
21a,21b,21cを有効にして、対応するマイク
ロプロセッサ1a,1b,1cを切り離し状態にした段
階で動作モード指示信号23a,23bを反転させるこ
とにより、いままで監視モードで動作していたマイクロ
プロセッサ1bを実行モードで動作させることができ
る。Microprocessors 1a, 1 of this embodiment
b and 1c have a reconfiguration function and a bus cycle retry function. The reconfiguration function has been made possible by previously activating the disconnection instruction signals 21a, 21b, 21c and inverting the operation mode instruction signals 23a, 23b when the corresponding microprocessors 1a, 1b, 1c are in the disconnected state. The microprocessor 1b that was operating in the monitoring mode can be operated in the execution mode.

【0031】なお、マイクロプロセッサの切り離し状態
とは、マイクロプロセッサのアドレス線およびデータ線
等の出力信号が3ステートになり、電気的に外部回路に
影響を与えない状態を指す。また、リトライ機能は、バ
スサイクル終結信号22の入力に同期してリトライ指示
信号13を有効にすれば、自動的にもう一度、同じバス
サイクルを繰り返すことができる。The separated state of the microprocessor means a state in which the output signals of the address line and the data line of the microprocessor are in three states and do not electrically affect the external circuit. Further, the retry function can automatically repeat the same bus cycle once again by enabling the retry instruction signal 13 in synchronization with the input of the bus cycle end signal 22.

【0032】次に、3重多数決回路により、実行モード
で動作しているマイクロプロセッサ1aの誤動作が検出
された後の処理手順を示す。Next, the processing procedure after the malfunction of the microprocessor 1a operating in the execution mode is detected by the triple majority circuit will be described.

【0033】マイクロプロセッサ1aを論理的に切り
離す。The microprocessor 1a is logically separated.

【0034】マイクロプロセッサ1b,1cがバスサ
イクルを実行中であることを確認後に、マイクロプロセ
ッサ1b,1cに対応する切り離し指示信号21b,2
1cを有効に設定して、リトライ指示信号13およびバ
スサイクル終結信号22を有効にして、強制的にバスサ
イクルを終了させる。After confirming that the microprocessors 1b and 1c are executing the bus cycle, the disconnection instruction signals 21b and 2 corresponding to the microprocessors 1b and 1c.
1c is set to be valid, the retry instruction signal 13 and the bus cycle end signal 22 are made valid, and the bus cycle is forcibly ended.

【0035】マイクロプロセッサ1bを実行モードに
切り換える。The microprocessor 1b is switched to the execution mode.

【0036】切り離し指示信号21b,21cを無効
にして、再度バスサイクルを実行させる。The disconnection instruction signals 21b and 21c are invalidated and the bus cycle is executed again.

【0037】3重多数決回路により、実行モードで動作
しているマイクロプロセッサ1aの誤動作が検出された
時点では、マイクロプロセッサ1aとマイクロプロセッ
サ1b,1cとのバスサイクルの状態には、2つのケー
スがある。すなわち、マイクロプロセッサ1aの方がバ
スサイクルを早く開始した場合と、マイクロプロセッサ
1b,1cの方がバスサイクルを早く開始した場合とで
ある。When the triple majority circuit detects a malfunction of the microprocessor 1a operating in the execution mode, there are two cases in the bus cycle state between the microprocessor 1a and the microprocessors 1b and 1c. is there. That is, the case where the microprocessor 1a starts the bus cycle earlier and the case where the microprocessors 1b and 1c start the bus cycle earlier.

【0038】リトライ機能を正常に動作させるために
は、マイクロプロセッサ1aの方がバスサイクルを早く
開始したときには、マイクロプロセッサ1b,1cがバ
スサイクルを開始するまで待ち合わせ、バスサイクルが
開始されたことを確認してから、バスサイクル終結信号
22を有効にする必要がある。なぜならば、自分自身が
バスサイクルを実行していないのに、強制的にバスサイ
クルを終了されても、リトライするバスサイクルが不明
なためにリトライできないからである。In order for the retry function to operate normally, when the microprocessor 1a starts the bus cycle earlier, it waits until the microprocessors 1b and 1c start the bus cycle and confirms that the bus cycle has started. The bus cycle end signal 22 must be validated after confirmation. This is because even if the bus cycle is forcibly ended even though the bus cycle is not executed by itself, the retry cannot be performed because the bus cycle to be retried is unknown.

【0039】J−Kタイプのフリップフロップ10は、
マイクロプロセッサ1bのバスサイクル開始信号1bs
が有効(“0”)になったときに“1”にセットされ
て、バスサイクルが終結すると“0”にリセットされ
る。したがって、フリップフロップ10が“1”の状態
のときには、マイクロプロセッサ1bがバスサイクルの
実行中であることを示している。The JK type flip-flop 10 is
Bus cycle start signal 1bs of microprocessor 1b
Is set to "1" when is valid ("0"), and is reset to "0" when the bus cycle ends. Therefore, when the flip-flop 10 is in the state of "1", it indicates that the microprocessor 1b is executing the bus cycle.

【0040】実行モードで動作しているマイクロプロセ
ッサ1aが誤動作すると、信号7aが直ちに“1”に遷
移する。これを受けて、切り離し指示信号21aは、直
ちに有効(“1”)となり、マイクロプロセッサ1a
は、論理的に切り離されて、外部への出力を行わなくな
る。また、マイクロプロセッサ1b,1cがバスサイク
ルを実行するとフリップフロップ10が“1”になり、
その結果、ANDゲート11の出力が“1”となってJ
−Kタイプのフリップフロップ12が“1”にセットさ
れる。When the microprocessor 1a operating in the execution mode malfunctions, the signal 7a immediately transits to "1". In response to this, the disconnection instruction signal 21a becomes valid ("1") immediately, and the microprocessor 1a
Is logically disconnected and does not output to the outside. When the microprocessors 1b and 1c execute the bus cycle, the flip-flop 10 becomes "1",
As a result, the output of the AND gate 11 becomes "1" and J
-K type flip-flop 12 is set to "1".

【0041】フリップフロップ12が“1”になると、
リトライ指示信号13が有効(“1”)になり、さら
に、マイクロプロセッサ1b,1cに対応する切り離し
指示信号21b,21cも,有効(“1”)になる。D
タイプのフリップフロップ14a、NOTゲート15お
よびANDゲート16は、前縁微分回路であり、フリッ
プフロップ12の出力信号に変換する。この前縁微分回
路によって生成されたパルス信号は、フリップフロップ
14bによって1クロックサイクル遅れのパルス信号1
4bsにされ、パルス信号14bsは、ORゲート18
を通ってバスサイクル終結信号22を有効にして、バス
サイクルを終了させる。When the flip-flop 12 becomes "1",
The retry instruction signal 13 becomes valid (“1”), and the disconnection instruction signals 21b and 21c corresponding to the microprocessors 1b and 1c also become valid (“1”). D
The type of flip-flop 14 a, NOT gate 15 and AND gate 16 are leading edge differentiating circuits and convert them into output signals of the flip-flop 12. The pulse signal generated by the leading edge differentiating circuit is the pulse signal 1 delayed by one clock cycle by the flip-flop 14b.
4 bs, and the pulse signal 14 bs is supplied to the OR gate 18
Through, the bus cycle end signal 22 is validated to end the bus cycle.

【0042】フリップフロップ14cは、パルス信号1
4bsを1クロックサイクル遅らせてパルス信号14c
sを生成する。パルス信号14csが有効(“1”)に
なると、J−Kタイプのフリップフロップ19は、
“1”に遷移し、動作モード指示信号23bが“1”と
なって、マイクロプロセッサ1bが監視モードから実行
モードに切り換えられる。The flip-flop 14c outputs the pulse signal 1
Pulse signal 14c after delaying 4 bs by one clock cycle
produces s. When the pulse signal 14cs becomes valid (“1”), the JK type flip-flop 19 becomes
Transition to "1", the operation mode instruction signal 23b becomes "1", and the microprocessor 1b is switched from the monitoring mode to the execution mode.

【0043】フリップフロップ14dは、さらに、パル
ス信号14csを1クロックサイクル遅らせてパルス信
号14dsを生成する。パルス信号14dsは、J−K
タイプのフリップフロップ12をリセットする。フリッ
プフロップ12がリセットされると、切り離し指示信号
21b,21cが無効になり、その結果、実行モードの
マイクロプロセッサ1bと、監視モードのマイクロプロ
セッサ1cとが切り離し状態から回復し、バスサイクル
を再実行して処理を継続する。The flip-flop 14d further delays the pulse signal 14cs by one clock cycle to generate the pulse signal 14ds. The pulse signal 14ds is JK
Reset the flip-flop 12 of the type. When the flip-flop 12 is reset, the disconnection instruction signals 21b and 21c become invalid, and as a result, the microprocessor 1b in the execution mode and the microprocessor 1c in the monitoring mode recover from the disconnected state and the bus cycle is re-executed. And continue processing.

【0044】なお、監視モードで動作中のマイクロプロ
セッサが誤動作した場合には、再構成機能もリトライ機
能も不要で、誤動作したマイクロプロセッサを切り離す
だけでそのまま処理の継続が可能である。When the microprocessor operating in the monitoring mode malfunctions, neither the reconfiguration function nor the retry function is required, and the processing can be continued as it is by simply disconnecting the malfunctioning microprocessor.

【0045】図4は、マイクロプロセッサ1aが誤動作
してマイクロプロセッサ1bが実行モードに切り換わ
り、マイクロプロセッサ1bと1cとが2重化構成に再
構成されて動作するまでの一例を示すタイミングチャー
トである。図4に示すように、バスサイクル開始信号1
asが先に有効になると、信号1bsが有効になるのを
待って、J−Kタイプのフリップフロップ10が有効に
セットされて、リトライ指示信号13が有効になった状
態で、順次に信号14b,14c,14dが有効になる
ので、切り離し指示信号21b,21cが有効になった
後に、バスサイクル終結信号22が有効になり、動作モ
ード指示信号23bが“1”になり、マイクロプロセッ
サ1bが実行モードになる。FIG. 4 is a timing chart showing an example until the microprocessor 1a malfunctions, the microprocessor 1b switches to the execution mode, and the microprocessors 1b and 1c are reconfigured into the duplex configuration to operate. is there. As shown in FIG. 4, the bus cycle start signal 1
When as becomes valid first, the signal 1b is sequentially waited for until the signal 1bs becomes valid, the JK type flip-flop 10 is set valid, and the retry instruction signal 13 becomes valid. , 14c, 14d become valid, the bus cycle end signal 22 becomes valid, the operation mode instruction signal 23b becomes "1", and the microprocessor 1b executes after the disconnection instruction signals 21b, 21c become valid. Enter the mode.

【0046】図5は、第3の発明の高信頼度化情報処理
装置の一実施例を示すブロック図である。図5に示すよ
うに、3重化されたマイクロプロセッサ1a,1b,1
cは、バッフ2を介してバス3につながれている。そし
て、マイクロプロセッサ1a,1b,1cは、バス3を
介して、メモリ30へのデータの書き込み、あるいはメ
モリ30からのデータの読み出しを行っている。FIG. 5 is a block diagram showing an embodiment of the highly reliable information processing apparatus of the third invention. As shown in FIG. 5, the triplicated microprocessors 1a, 1b, 1
c is connected to the bus 3 via the buff 2. Then, the microprocessors 1a, 1b, 1c write data to the memory 30 or read data from the memory 30 via the bus 3.

【0047】実行モードで動作しているマイクロプロセ
ッサ1aが誤動作したときに、実行されているバスサイ
クルがメモリライトであった場合には、そのバスサイク
ル自体が信用できないものなので、メモリ30へのデー
タの書き込みを抑止しなければならない。メモリ30へ
のデータの書き込み指示は、メモリコントローラ31が
生成する書き込みパルス信号32によって行われる。When the microprocessor 1a operating in the execution mode malfunctions and the bus cycle being executed is a memory write, the bus cycle itself is unreliable, so the data to the memory 30 is written. Writing must be suppressed. An instruction to write data to the memory 30 is given by a write pulse signal 32 generated by the memory controller 31.

【0048】実行モードで動作しているマイクロプロセ
ッサ1aが誤動作すると、信号7aが“1”に遷移し、
また、動作モード指示信号23aは、誤動作が検出され
ても再構成が行われるまでは“1”のままなので、AN
Dゲート33によって書き込みパルス信号がマスクさ
れ、メモリ30にデータは書き込まれない。When the microprocessor 1a operating in the execution mode malfunctions, the signal 7a changes to "1",
Further, the operation mode instruction signal 23a remains "1" until the reconfiguration is performed even if a malfunction is detected.
The write pulse signal is masked by the D gate 33, and data is not written in the memory 30.

【0049】また、再構成機能により、マイクロプロセ
ッサ1bが実行モードに切り換えられて、2重化構成で
処理を再開したときには、モード指示信号23aは
“0”に遷移するので、ANDゲート34の出力は
“0”となり、その結果、通常通りにメモリ30への書
き込みが行われる。Further, when the microprocessor 1b is switched to the execution mode by the reconfiguration function and the processing is restarted in the duplex configuration, the mode instruction signal 23a transits to "0", so that the output of the AND gate 34 is output. Becomes "0", and as a result, writing to the memory 30 is performed as usual.

【0050】図6は、メモリ30へのデータの書き込み
が抑止される動作の一例を示すタイミングチャートであ
る。図6に示すように、マイクロプロセッサ1aの誤動
作時の信号1asで信号7aが“1”になると、AND
ゲート34の出力が“1”になり、ORゲート33の出
力は、信号32に影響されないので、メモリ30への書
き込みが行われないこととなる。FIG. 6 is a timing chart showing an example of the operation in which the writing of data to the memory 30 is suppressed. As shown in FIG. 6, when the signal 7a becomes "1" by the signal 1as when the microprocessor 1a malfunctions, AND
Since the output of the gate 34 becomes "1" and the output of the OR gate 33 is not influenced by the signal 32, the writing to the memory 30 is not performed.

【0051】3重化されたマイクロプロセッサのいずれ
かが誤動作し、2重化に縮退して処理を行っているとき
に、再度誤動作が検出されたときには、どちらのマイク
ロプロセッサが誤動作したのかの切り分けがつかないた
めに、その時点で処理の継続を断念しなければならな
い。これを回避するためには、縮退動作をしている期間
をなるべく短くする必要があり、そのためには、誤動作
を検出した時点からなるべく早く、マイクロプロセッサ
を3重化構成に戻すことが重要である。When any one of the tripled microprocessors malfunctions and is degrading to the duplex and performing processing, when the malfunction is detected again, it is determined which microprocessor has malfunctioned. In order not to get stuck, it is necessary to give up the continuation of the process at that time. In order to avoid this, it is necessary to shorten the period during which the degeneration operation is performed, and for that purpose, it is important to return the microprocessor to the triple configuration as soon as possible from the time when the malfunction is detected. ..

【0052】マイクロプロセッサを3重化構成に戻す手
順は、次の通りである。The procedure for returning the microprocessor to the triple configuration is as follows.

【0053】3重化されたマイクロプロセッサの誤動
作を検出したら、速やかに全てのマイクロプロセッサに
割り込みを要求する。When a malfunction of the triplicated microprocessor is detected, an interrupt is immediately requested to all the microprocessors.

【0054】割り込みを受付けたマイクロプロセッサ
は、コンテキストをメモリの予め決められた場所に一時
退避する。The microprocessor that receives the interrupt temporarily saves the context to a predetermined location in the memory.

【0055】3つのマイクロプロセッサのハードウェ
アリセットをするための要求を出す。Issue a request to do a hardware reset of the three microprocessors.

【0056】その要求を受けて、3つのマイクロプロ
セッサに対して同時にハードウェアリセットをし、誤動
作したマイクロプロセッサを組み入れて3重化構成で立
上げ、動作可能状態にする。In response to the request, hardware reset is simultaneously applied to the three microprocessors, the malfunctioning microprocessors are incorporated, and the microprocessors are started up in the triple configuration to enable the operation.

【0057】一時退避したコンテキストを復帰させ、
割り込み受付け前の状態から処理を再開する。Restore the context that was temporarily saved,
Resumes processing from the state before interrupt acceptance.

【0058】図7は、第4の発明の高信頼化情報処理装
置の一実施例を示すブロック図である。図7に示すよう
に、3重化されたマイクロプロセッサ1a,1b,1c
は、バッファ2を介してバス3につながれている。割り
込みコントローラ40は、いずれかのマイクロプロセッ
サ1a,1b,または1cが誤動作したことを通知する
誤動作総合信号9が入力されており、割り込み発生要因
の1つにしている。3重化されたマイクロプロセッサ1
a,1b,1cは、割り込みコントローラ40から割り
込み要求信号42が入力されている。また、制御フリッ
プフロップ41は、通常“0”を保持している。マイク
ロプロセッサ1a,1b,1cからは、バス3を介して
1ビットデータのセットが可能となっており、“1”が
セットされると一定の期間“1”を保持した後に、自動
的に“0”にリセットされる。この制御フリップフロッ
プ41の出力であるリセット信号43は、ORゲート6
1を介して、ハードウェアリセット信号60との論理和
により、マイクロプロサッサ1a,1b,1cのリセッ
ト信号62になっている。FIG. 7 is a block diagram showing an embodiment of the highly reliable information processing apparatus of the fourth invention. As shown in FIG. 7, the triplicated microprocessors 1a, 1b, 1c
Are connected to the bus 3 via the buffer 2. The interrupt controller 40 is input with the malfunction comprehensive signal 9 for notifying that any one of the microprocessors 1a, 1b, or 1c has malfunctioned, and makes it one of the factors causing the interrupt. Tripled microprocessor 1
The interrupt request signal 42 is input from the interrupt controller 40 to a, 1b, and 1c. Further, the control flip-flop 41 normally holds “0”. From the microprocessors 1a, 1b, 1c, 1-bit data can be set via the bus 3. When "1" is set, "1" is held for a certain period of time and then automatically set to "1". It is reset to 0 ". The reset signal 43, which is the output of the control flip-flop 41, is supplied to the OR gate 6
1 through 1 and is logically ORed with the hardware reset signal 60 to become the reset signal 62 of the microprocessors 1a, 1b, 1c.

【0059】実行モードで動作していたマイクロプロセ
ッサ1aが誤動作すると、誤動作総合信号9が有効にな
り、これを受けて割り込みコントローラ40は、割り込
み要求信号42を有効にして、3つのマイクロプロセッ
サ1a,1b,1cに割り込みを要求する。When the microprocessor 1a operating in the execution mode malfunctions, the malfunction total signal 9 becomes valid, and in response to this, the interrupt controller 40 makes the interrupt request signal 42 valid and the three microprocessors 1a, Request an interrupt to 1b and 1c.

【0060】そこで、動作モードの切り換えが行われて
いる2重化縮退後のマイクロプロセッサ1b,1cは、
割り込みを受付けると、コンテキストをメモリ30の予
め決められた場所に退避した後に、制御レジスタ41に
“1”をセットする。その結果、リセット信号62が一
定期間有効になり、3つのマイクロプロセッサ1a,1
b,1cは、初期化される。同時に、動作モードを指示
するJ−Kタイプのフリップフロップ12、および誤動
作検出時に“1”にセットされるJ−Kタイプのフリッ
プフロップ6a,〜6cも、初期化される。Therefore, the microprocessors 1b and 1c after the degeneracy of the duplication in which the operation modes are switched are
When the interrupt is accepted, the context is saved in a predetermined location in the memory 30 and then "1" is set in the control register 41. As a result, the reset signal 62 becomes effective for a certain period, and the three microprocessors 1a, 1
b and 1c are initialized. At the same time, the JK type flip-flop 12 that indicates the operation mode and the JK type flip-flops 6a to 6c set to "1" when a malfunction is detected are also initialized.

【0061】リセット信号62が無効になると、その時
点で、マイクロプロセッサ1aが実行モード、また、マ
イクロプロセッサ1b,1cが監視モードとなって、お
互いに同期して立ち上がる。その後に、リセット前に予
め退避しておいたコンテキストを復旧したあとで通常の
処理を継続する。When the reset signal 62 becomes invalid, at that time, the microprocessor 1a becomes the execution mode, and the microprocessors 1b and 1c become the monitoring mode, and they start up in synchronization with each other. After that, the normal processing is continued after the context saved in advance before the reset is restored.

【0062】なお、監視モードで動作中のマイクロプロ
セッサ1b,1cが誤動作した場合にも、上記手順と同
様に、マイクロプロセッサ1a,1b,1cの再同期を
行う。Even if the microprocessors 1b, 1c operating in the monitor mode malfunction, the microprocessors 1a, 1b, 1c are resynchronized in the same manner as the above procedure.

【0063】[0063]

【発明の効果】以上説明したように、本発明の高信頼度
化情報処理装置は、バスサイクルのずれを伴う誤動作の
検出を完全に行い、誤動作検出後の2重化への再構成お
よび3重化への再同期を確実に行うことによって、バス
サイクルのずれを伴う誤動作で処理が継続できなくなる
ことを回避することにより、極めて信頼性の高い無停止
システムが実現することができるという効果を有してい
る。As described above, the highly reliable information processing apparatus of the present invention completely detects a malfunction due to a bus cycle shift, and reconfigures the duplex operation and 3 after the malfunction is detected. By ensuring that the resynchronization with the redundant configuration is performed, it is possible to realize an extremely reliable non-stop system by avoiding the inability to continue processing due to a malfunction that causes a bus cycle shift. Have

【図面の簡単な説明】[Brief description of drawings]

【図1】第1の発明の高信頼度化情報処理装置の一実施
例を示すブロック図である。FIG. 1 is a block diagram showing an embodiment of a high reliability information processing apparatus of the first invention.

【図2】マイクロプロセッサ1aのバスサイクルがずれ
て早くなった誤動作の検出の一例を示すタイムチャート
である。FIG. 2 is a time chart showing an example of detection of an erroneous operation in which the bus cycle of the microprocessor 1a is deviated and accelerated.

【図3】第2の発明の高信頼度化情報処理装置の一実施
例を示すブロック図である。FIG. 3 is a block diagram showing an embodiment of a highly reliable information processing apparatus of the second invention.

【図4】マイクロプロセッサ1aが誤動作してマイクロ
プロセッサ1bが実行モードに切り換わり、マイクロプ
ロセッサ1b,1cが2重化構成に再構成されて動作す
るまでの一例を示すタイミングチャートである。FIG. 4 is a timing chart showing an example in which the microprocessor 1a malfunctions, the microprocessor 1b switches to the execution mode, and the microprocessors 1b and 1c are reconfigured into the duplex configuration and operate.

【図5】第3の発明の高信頼度化情報処理装置の一実施
例を示すブロック図である。FIG. 5 is a block diagram showing an embodiment of a high reliability information processing apparatus of a third invention.

【図6】メモリ30へのデータの書き込みが抑止される
動作の一例を示すタイミングチャートである。FIG. 6 is a timing chart showing an example of an operation in which writing of data to the memory 30 is suppressed.

【図7】第4の発明の高信頼度化情報処理装置の一実施
例を示すブロック図である。FIG. 7 is a block diagram showing an embodiment of a high reliability information processing apparatus of a fourth invention.

【符号の説明】[Explanation of symbols]

1a,1b,1c マイクロプロセッサ 1as,1bs,1cs バスサイクル開始信号 2 バッファ 3 バス 4a,4b,4c 排他的論理和 5a,5b,5c ANDゲート 6a,6b,6c J−Kタイプのフリップフロップ 7a,7b,7c 誤動作信号 8 ORゲート 9 誤動作総合信号 10 J−Kタイプのフリップフロップ 11 ANDゲート 12 J−Kタイプのフリップフロップ 13 バスサイクルリトライ指示信号 14a,14b,14c,14d Dタイプのフリッ
プフロップ 14bs,14cs,14ds パルス信号 15 NOTゲート 16 ANDゲート 17 NORゲート 18 ORゲート 19 J−Kタイプのフリップフロップ 20a,20b,20c ORゲート 21a,21b,21c 切り離し指示信号 22 バスサイクル終結信号 23a,23b モード指示信号 30 メモリ 31 メモリコントローラ 32 書き込みパルス信号 33 ORゲート 34 ANDゲート 40 割り込みコントローラ 41 制御フリップフロップ 42 割り込み要求信号 43 リセット信号 60 ハードウェアリセット信号 61 ORゲート 62 リセット信号1a, 1b, 1c Microprocessor 1as, 1bs, 1cs Bus cycle start signal 2 Buffer 3 Bus 4a, 4b, 4c Exclusive OR 5a, 5b, 5c AND gate 6a, 6b, 6c JK type flip-flop 7a, 7b, 7c Malfunction signal 8 OR gate 9 Malfunction comprehensive signal 10 JK type flip-flop 11 AND gate 12 JK type flip-flop 13 Bus cycle retry instruction signals 14a, 14b, 14c, 14d D type flip-flop 14bs , 14cs, 14ds Pulse signal 15 NOT gate 16 AND gate 17 NOR gate 18 OR gate 19 JK type flip-flop 20a, 20b, 20c OR gate 21a, 21b, 21c Separation instruction signal 22 Bus support Kuru termination signal 23a, 23b mode instruction signal 30 memory 31 memory controller 32 a writing pulse signal 33 OR gate 34 the AND gate 40 the interrupt controller 41 controls the flip-flop 42 an interrupt request signal 43 reset signal 60 hardware reset signal 61 OR gate 62 reset signal

Claims (4)

【特許請求の範囲】[Claims] 【請求項1】 実行モードで動作する第1のマイクロプ
ロセッサと、監視モードで動作する第2,第3のマイク
ロプロセッサとが、同期して3重化されたバスサイクル
を開始するときに、バスサイクルを開始するタイミング
を外部に通知するためのバスサイクル開始信号を、動作
モードに依らずに、それぞれ外部に出力する高信頼度化
情報処理装置において、 前記第1,〜第3のマイクロプロセッサから各々出力さ
れる3本のバスサイクル開始信号を常に比較する論理手
段により、前記第1,〜第3のマイクロプロセッサの1
つの誤動作を検出することを特徴とする高信頼度化情報
処理装置。1. A first microprocessor operating in a run mode and a second and a third microprocessor operating in a monitor mode synchronously start a triplicated bus cycle. In a high reliability information processing device that outputs a bus cycle start signal for notifying the timing of starting a cycle to the outside regardless of an operation mode, the first to third microprocessors One of the first to third microprocessors is provided by logic means for constantly comparing the three bus cycle start signals output from each.
A highly reliable information processing device characterized by detecting two malfunctions. 【請求項2】 請求項1記載の論理手段により、実行モ
ードで動作する第1のマイクロプロセッサが誤動作をし
たと判断した場合には、実行モードで動作する前記第1
のマイクロプロセッサを論理的に切り離し、監視モード
で動作する第2,第3のマイクロプロセッサのうちのい
ずれか1つを実行モードに切り換える制御手段と、 前記制御手段によって、構成が3重化から2重化へと縮
退したのちに、誤動作により正常に行われなかった処理
動作を再度行うリトライ手段とにより、 誤動作した前記第1のマイクロプロセッサを除く前記第
2,第3のマイクロプロセッサにより、処理が正常に継
続されることを特徴とする請求項1記載の高信頼度化情
報処理装置。2. When the logic means according to claim 1 determines that the first microprocessor operating in the execution mode malfunctions, the first microprocessor operating in the execution mode
Control means for logically disconnecting the microprocessor of No. 2 and switching any one of the second and third microprocessors operating in the monitoring mode to the execution mode; After the degeneracy is repeated, the retry means for performing again the processing operation that was not normally performed due to the erroneous operation is performed by the second and third microprocessors other than the erroneously operating first microprocessor. The highly reliable information processing apparatus according to claim 1, wherein the information processing apparatus is continued normally. 【請求項3】 請求項1記載の論理手段により、実行モ
ードで動作する第1のマイクロプロセッサが誤動作した
と判断した場合には、メモリへの書き込み信号を抑止し
て、前記メモリにデータを書き込めないようにする書き
込み抑止手段により、前記第1のマイクロプロセッサの
誤動作によるメモリ破壊を防止することを特徴とする請
求項1記載の高信頼度化情報処理装置。3. When the logic means according to claim 1 determines that the first microprocessor operating in the execution mode malfunctions, a write signal to the memory is suppressed and data is written to the memory. 2. The high reliability information processing apparatus according to claim 1, characterized in that the memory destruction due to the malfunction of the first microprocessor is prevented by the write inhibiting means for preventing it. 【請求項4】 請求項1記載の論理手段により、第1,
〜第3のマイクロプロセッサの1つの誤動作が検出され
たことに応答して割り込みを発生させ、ソフトウェアに
誤動作が発生しとことを通知する割り込み手段と、 前記第1,〜第3のマイクロプロセッサの初期化をする
リセット動作を、ソフトウェアからの要求により行うリ
セット手段とにより、 前記第1,〜第3のマイクロプロセッサを再同期させる
ことを特徴とする請求項1記載の高信頼度化情報処理装
置。4. The logic means according to claim 1,
-Interrupting means for generating an interrupt in response to detection of one malfunction of the third microprocessor and notifying the malfunction of software, 2. The high reliability information processing apparatus according to claim 1, wherein the first to third microprocessors are resynchronized by a reset unit that performs a reset operation for initialization in response to a request from software. ..
JP3336696A 1991-12-19 1991-12-19 Highly reliable information processing equipment Expired - Fee Related JP3063334B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP3336696A JP3063334B2 (en) 1991-12-19 1991-12-19 Highly reliable information processing equipment
US07/992,642 US5572663A (en) 1991-12-19 1992-12-18 Highly reliable information processor system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3336696A JP3063334B2 (en) 1991-12-19 1991-12-19 Highly reliable information processing equipment

Publications (2)

Publication Number Publication Date
JPH05313930A true JPH05313930A (en) 1993-11-26
JP3063334B2 JP3063334B2 (en) 2000-07-12

Family

ID=18301862

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3336696A Expired - Fee Related JP3063334B2 (en) 1991-12-19 1991-12-19 Highly reliable information processing equipment

Country Status (2)

Country Link
US (1) US5572663A (en)
JP (1) JP3063334B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2059143C (en) 1991-01-25 2000-05-16 Takeshi Miyao Processing unit for a computer and a computer system incorporating such a processing unit
JP3502216B2 (en) * 1995-07-13 2004-03-02 富士通株式会社 Information processing equipment
US6205500B1 (en) * 1997-09-24 2001-03-20 Compaq Computer Corp. System and method for electrically isolating a device from higher voltage devices
EP1146423B1 (en) * 2000-04-11 2010-01-20 The Boeing Company Voted processing system
US7197664B2 (en) * 2002-10-28 2007-03-27 Intel Corporation Stateless redundancy in a network device
US7489362B2 (en) 2003-03-04 2009-02-10 Broadcom Corporation Television functionality on a chip
US7263627B2 (en) * 2003-08-15 2007-08-28 Broadcom Corporation System and method having strapping with override functions
JP2006018412A (en) * 2004-06-30 2006-01-19 Fujitsu Ltd Address generator and arithmetic circuit
CN112667450B (en) * 2021-01-07 2022-05-06 浙江大学 A Dynamically Configurable Multi-core Processor Fault Tolerant System
CN114636920B (en) * 2022-03-11 2025-05-30 中国船舶重工集团公司第七0七研究所九江分部 A mutual exclusion circuit

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2022893B (en) * 1978-06-10 1983-01-12 Westinghouse Brake & Signal Fault detection
DE3208573C2 (en) * 1982-03-10 1985-06-27 Standard Elektrik Lorenz Ag, 7000 Stuttgart 2 out of 3 selection device for a 3 computer system
JPS5985153A (en) * 1982-11-08 1984-05-17 Hitachi Ltd Redundant control device
US4562575A (en) * 1983-07-07 1985-12-31 Motorola, Inc. Method and apparatus for the selection of redundant system modules
US4757442A (en) * 1985-06-17 1988-07-12 Nec Corporation Re-synchronization system using common memory bus to transfer restart data from non-faulty processor to failed processor
US4967347A (en) * 1986-04-03 1990-10-30 Bh-F (Triplex) Inc. Multiple-redundant fault detection system and related method for its use
JPH0792764B2 (en) * 1988-05-25 1995-10-09 日本電気株式会社 Microprocessor
US5138708A (en) * 1989-08-03 1992-08-11 Unisys Corporation Digital processor using current state comparison for providing fault tolerance
SE466475B (en) * 1990-07-10 1992-02-17 Ericsson Telefon Ab L M SETTING AND DEVICE FOR MONITORING AND TESTING AT A MULTI PLAN UNIT IN A DIGITAL TIMER
JPH04195639A (en) * 1990-11-28 1992-07-15 Teijin Seiki Co Ltd Multiprocessor system and control method of its output

Also Published As

Publication number Publication date
JP3063334B2 (en) 2000-07-12
US5572663A (en) 1996-11-05

Similar Documents

Publication Publication Date Title
US6141769A (en) Triple modular redundant computer system and associated method
US7085959B2 (en) Method and apparatus for recovery from loss of lock step
KR100566338B1 (en) Fault tolerant computer system, re-synchronization method thereof and computer-readable storage medium having re-synchronization program thereof recorded thereon
EP2013733B1 (en) Error filtering in fault tolerant computing systems
JP2573508B2 (en) Digital logic synchronization monitoring method and apparatus
US20090044044A1 (en) Device and method for correcting errors in a system having at least two execution units having registers
JPH01258057A (en) Synchronous method and apparatus for a plurality of processors
US20070220367A1 (en) Fault tolerant computing system
JP3595033B2 (en) Highly reliable computer system
KR100566340B1 (en) Information processing apparatus
JPH05313930A (en) Highly reliable information processor
US5905875A (en) Multiprocessor system connected by a duplicated system bus having a bus status notification line
JP3424968B2 (en) Computer system, processor chip and fault recovery method
WO1997043712A2 (en) Triple modular redundant computer system
JPH0916535A (en) Multiprocessor computer
JPH0695902A (en) Dual processor type information processing device
JPH08185329A (en) Data processing device
JPH0916426A (en) Fault-tolerant computer with a 2-port console
JP3539687B2 (en) Processor dual-processing information processor
JPH0760396B2 (en) Highly reliable information processing device
JP3055249B2 (en) Processor debugging method
JPH08190494A (en) Highly reliable computer having dual processing unit
JPH06259270A (en) Processor abnormality deciding circuit
JPH04344941A (en) Highly reliable processor
JPH06168151A (en) Duplex computer system

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20000404

LAPS Cancellation because of no payment of annual fees