总线核对型处理装置及方法

专利名称：总线核对型处理装置及方法
技术领域：
本发明是关于铁道控制等要求安全性的计算控制用处理装置、特别是总线核对型处理装置及方法的发明。
在进行铁道车辆等控制时，由于错误运算而造成控制错误时存在与直接涉及人命的事故相关的危险，因而要求运算控制有故障自动保险性。为此，已有某些方式的故障自动保险运算装置或控制装置被研制出来并已实用化。其一是，电路本身故障自动保险，或者组成故障自动保险，以前的继电器电路为其代表。但随着控制功能的发展，现在的故障自动保险结构限于直接连接在控制对象上的部分。
第二种方法是，运算处理由微电脑等没有故障自动保险的硬件执行，再用某些手段对该硬件或其输出结果进行核对，以此构成达到检查出故障的结果，消灭不安全性的装置或系统的方法，这种方式现在正在成为主流。这种方法如前所述，也可以大致分为内装故障检测电路的自诊断型的方式和送算装置多机化、比较核对多个该装置的动作，检查故障的方式。其中有为了监视处理装置CPU的运算，达到该运算进行无误的目的，经常比较双机化、同步运作的处理装置CPU的总线，在出现不一致时使处理停止的所谓总线核对型处理装置。
这种总线核对型处理装置的构成方法有，以比较器不出故障为前提，只检查处理装置的故障的方式和按照比较器发生故障时也停止运算的要求构成的故障自动保险总线核对方式，本发明是关于这种故障自动保险总线核对方式的发明。
这种故障自动保险总线核对方式中有核对逻辑电路做成故障自动保险的方式，其中有被称为二线逻辑(或称自较验型校验逻辑)的，该方式最终用2比特的信号表示核对结果、2比特信号为(1，0)或(0，1)的组合的情况为正常，(0，0)或(1，1)的组合为异常，其目的在于对包含核对电路自身的故障在内进行核对，以达到故障自动保险。但是判断结果是静态的，所以因故障而常常固定于(0，0)或(1，1)时存在不能可靠地查出异常状况的问题。作为其改良、研究出使其发生模拟差错信号，使判断结果成为动态的方式(参考文献中村等人的“保安控制计算机系统的容错设计”、铁道总研报告Vol.7，No.5，93.5)。
现在的一个办法是所谓摆动型核对逻辑的方法，该方法对于每一应该核对的总线的对应比特，使该比特数据反相，再用表示该结果的信号使两个双稳态多谐振荡器构成的移位寄存器左右移位，带来该双稳态多谐振荡器的状态0，1交互反转的结果被看作是比较对象一致，该反转停止的情况则表示包含不一致，有故障，又用交流放大器将该反转信号功率放大，将其整流驱动继电器，因而该判定动作是动态的，在故障发生的情况下，包括核对电路的故障在内，都可实现故障自动保险检测(参考文献中村等人、具有内部三机系统结构的故障自动保险计算机系统的开发”、电气学会论文志Vol.102.c4，1982.4.)。
如上所述，已有的技术，为了提高总线核对型处理装置故障检测的故障自动保险性、可以按照使判断结果为0，1交替的信号的要求来构成逻辑电路，借助于此可以提高故障自动保险性。但无论哪一种方式都存在核对逻辑电路变得复杂，电路规模变大。同时，核对所需要的逻辑电路滞后时间造成总线周期增大，必须牺牲处理装置的性能等问题。特别是近年来，微电脑的性能明显提高，而且总线的周期过去是1μs左右而现在比它提高了数十倍，性能已经提高到与简单的门逻辑电路的延迟时间同等程度。
本发明的目的在于提供一种在核对逻辑电路中不使用特别的逻辑元件，使用通常的非故障自动保险核对逻辑，实现故障自动保险核对的总线核对型处理装置及方法。
为了达到所述目的，本发明提供的总线核对型处理装置具备使两个双机系统处理装置同步动作，对双方的总线进行比较核对的总线核对逻辑电路，在所述两个双机系统处理装置的总线上的数据中发生不一致时检测出所述不一致，其特征在于具有使间歇性诊断起动的定时器，由该定时器起动，将包括不一致数据在内的测试数据串提供到总线上的所述两个双机系统处理装置，以及监视所述总线核对逻辑电路对该测试数据的响应的诊断控制电路；该诊断控制电路在所述总线核对逻辑电路对所述测试数据的响应呈现预先规定的动作时，在所述间歇性诊断处理的每一周期，输出表示数据的一致状态的判定信号。
而且，作为达到上述目的的其他手段，本发明提供的总线核对型处理方法具备使两个双机系统处理装置同步动作，比较核对双方的总线的总线核对逻辑电路，在所述两个双机系统处理装置的总线上的数据不一致时检测出所述不一致，其特征在于具有使间歇性诊断起动的定时器，以及由该定时器起动，并由所述两个双机系统处理装置把包括不一致数据在内的测试数据提供给总线，监视所述总线核对逻辑电路对该测试数据的响应的诊断控制步骤，该诊断控制步骤在所述总线核对逻辑电路对所述测试数据的响应呈现预先规定的动作时，在所述间歇性诊断处理的每一周期输出表示数据的一致状态的信号，例如每周期输出反转的判定信号。
具备非故障自动保险核对逻辑的双机系统处理装置，平时按给定的程序同步进行处理，在核对逻辑电路将两者的总线上出现的数据加以核对，检测出不一致的情况下，双机系统处理装置采取优先中断。另一方面，双机系统处理装置的两个系统分别具备同步动作的定时器，按预先设定的周期，各双机系统处理装置分别采取中断，利用该中断，双机系统处理装置分别将只有1比特不同的数据集连续输送到总线上。该数据集取决于总线的比特数，例如，如果是具有16比特数据总线的双机系统处理装置的话，最低限度有16个字的数据。结果核对逻辑电路应该输出的判定结果为连续不一致，简单地说对差错的次数进行计数，根据该计数是否为规定次数，将判定双稳态多谐振荡器设定于0或1。如果设定不一致数据个数或规定次数，使规定次数与不一致数据个数在该核对周期的偶数周期一致，在奇数周期不一致，则双稳态多谐振荡器的状态是偶数周期为1，奇数周期为0，反复翻转。上述处理动作在无故障时执行的话，双稳态多谐振荡器就呈现每一核对周期翻转的活动状态。反之，在总线核对逻辑电路检测不出信号或无法判断，即该电路的输出总是显现核对一致的故障情况下，通常情况下核对时的差错计次偏离规定值，所以双稳态多谐振荡器总是呈现0的状态；在特殊故障，但判定为差错计次与规定次数一致的情况下，双稳态多谐振荡器固定示1；在这两种故障模式中，因为双稳态多谐振荡器不翻转，总线核对逻辑电路可执行故障自动保险核对。诊断控制电路监视所述总线核对逻辑电路对包含不一致数据在内的测试数据的响应，当响应指示预先规定的动作时，输出每一前述间歇性诊断处理周期都翻转的判定信号。如前所述，总线核对逻辑电路采用非特制(即没有故障自动保险性能)的普通比较逻辑电路(即每比特用“异”门进行比较，再将全部比特的比较结果求逻辑和的一般比较逻辑电路)，核对的实现方法是着眼于核对逻辑电路与双机系统处理装置的某一方同时存在无故障自动保险的不安全故障的情况，核对逻辑电路本身不是每一总线周期都核对，而是按比该周期足够大的周期(例如1ms到10ms左右)进行间歇性核对。这样，借助核对有无故障的总线核对逻辑电路，在双机系统处理装置测出故障、差错而产生不一致时，对该处理装置进行中断，可根据对差错的处理情况(即恢复处理的情况)，停止处理。


图1是本发明一实施例的总线核对型处理装置的基本构成的方框图。
图2表示图1的总线核对型处理装置的故障诊断、故障检测的处理方法的流程图。
图3是图1的总线核对型处理装置的适用对象例的控制装置总体结构图。
图4是图3的控制装置的功能构成图。
图5是图1的总线核对型处理装置的电路方框图。
图6是图1的总线核对型处理装置的双机系统处理装置的内部结构图。
图7表示图1的总线核对型处理装置的总线核对逻辑电路的内部逻辑。
图8是表示图1的总线核对型处理装置的总线核对逻辑电路的诊断动作的时间图。
图9是执行图8的诊断用的诊断控制电路的内部结构图。
图10是双机系统处理装置的诊断处理程序的流程图。
下面是对本发明一实施例的总线核对型处理装置及方法的说明。图1表示本发明一实施例的总线核对型处理装置的基本结构。1是总线核对型处理装置、2是输入输出控制装置。10是时钟电路，11a、11b是构成总线核对型处理装置的两个双机系统处理装置、12是总线核对逻辑电路、13a、13b是与输入输出控制装置2通信用的传送控制电路、17a、17b是公共总线接口、18是诊断控制电路。
在图1中，双机系统处理装置11a、11b受来自共同的时钟电路10的时钟脉冲的作用而同步动作，通常总线上的数据表现为完全同步一致的数据。总线核对逻辑电路12是比较核对那两个双机系统处理装置11a、11b总线上的数据，检测到不一致时，将检出的差错信号BER作为中断信号供给双机系统处理装置11a、11b，报告发生差错的电路。这种中断信号通常当作不能禁止中断的非屏蔽中断(NMI)。本实施例也是作为NMI处理。
还有，诊断控制电路18是由用双机系统处理装置11a、11b内部的定时器起动的诊断程序起动，要求向双机系统装置11a、11b传送测试模式数据，并监视两个双机系统处理装置输出数据的核对结果和总线核对逻辑电路的输出BER，根据该动作，使故障检测FDout信号为0或1的装置，该装置在没有故障时，周期性地反复进行。1的翻转动作，在故障时，监视连接在该总线核对型处理装置1的输入输出控制装置2有否翻转，如果该翻转停止，判定总线核对型处理装置1总体的一部分存在异常，对该情况进行相应的处理，例如，将从总线核对型处理装置1送来的数据作为无效、不能充分信赖的信号处理。
图2表示具有图1结构的总线核对型处理装置中的故障诊断、故障检测的处理方法，由两个双机系统处理装置11a、11b的内部(或外部)周期定时器起动诊断处理。
首先判定诊断周期是偶数还是奇数(步骤1001)，将诊断计数WPCNT设定为对应于偶数的Te(1002)或对应于奇数的T0(Te≠T0)(1003)的数值。
接着，两个双机系统处理装置11a、11b输出互不相同的数据(1004)，进行数据核对(1005)。如果数据核对中没有检测出动作不一致，后面的处理不进行。
反之，核对结果出现不一致时，产生差错中断，进入步骤1006以后的诊断处理，设输出数据计数N作为0(1006)，并输出测试模式数据串(1007)。该数据串从最前头起Te个数据是双机系统处理装置相互核对可能不一致的数据，后面则输出可能一致的数据输出，最多输出Nmax个。如果没有故障，数据计数N在(N-Te)时理应核对一致。
在该过程中(步骤1008)，在核对一致后首次核对一致时，将数据计数N与最初设定的WPCNT作比较(1011)，如果一致，故障检测双稳态多谐振荡器的输出FDout置1，(步骤1013)，如果不一致，则置0(步骤1012)。
此处，在没有故障且诊断周期为偶数的情况下，WPCNT＝Te，而且在核对一致的那个时候，理应N＝Te，因而故障检测双稳态多谐振荡器FDout置1。
另一方面，在奇数诊断周期，由于WPCNT＝T0，所以判断为核对一致的数据计数N与WPCNT值理应不一致，从而FDout置0。如果在每一次周期定时器的中断反复上述处理，则FDout在偶数周期置0，成了周期为诊断周期的两倍的交变信号。
反之，总线核对电路等发生障碍，经常发出表示一致的输出时，不发生在步骤1004、1005的核对不一致中断，后面的处理不执行，因而当然FDout不发生变化，从而没有交变输出。
另一方面，即使在因核对不一致而发生差错中断的情况下，存在Te个测试模式数据串中就是一个将核对不一致误为一致的故障或误动作时，不等数据计数N成为Te就出现核对一致，结果偶数周期和奇数周期都是N≠Te，FDout经常为0。同样没变成交变信号。
反之，对于核对逻辑电路经常表示核对不一致的故障，步骤1008的判定中未作为一致判定，所以同样没有FDout的变更。
如上所述，本发明做成不是根据核对结果一致判断为正常、核对结果不一致判断为故障，而是仅一致和不一致在处理上没有差别，作为该诊断处理的结果，一致判断与不一致判断，在总线核对型处理装置1的内部不分硬件和软件如果它们不能正确识别，故障检测双稳态多谐振荡器的输出FDout就不变为交变信号，以此，可以使故障检测具有故障自动保险性能。
图3表示使用图1的总线核对型处理装置的列车控制用车上装置及其附属装置的结构。与图1相同的部分使用相同的符号。3是继电器单元，4是通信信号收发信器，5是收发信天线，6是测速发电机，7是制动控制单元，8是车辆的车轮，9表示轨道。
在图3中，从地上的信号通信装置经轨道周期性地发送行先列车的位置信息，装在车上的通信信号收发信器4接收该数据，又根据设在车轮的车轴上的测速发电机6检测出的距离脉冲计算本列车的位置，根据先行列车的相对位置等数据算出极限速度，同时算出该速度下对列车的制动指令，经继电器单元3控制制动单元7，使列车安全运行。在这种情况下，总线核对型处理装置1分担与地上的通信和极限速度特性曲线的计算，输入输出控制装置2分担根据该极限速度特性曲线时时刻刻进行制动控制指令的计算，继电器单元3分担输出已交变的制动指令的交流放大及其整流与继电器驱动。
在这里，为了防止万一发生故障，造成控制装置输出或继电器驱动电路被固定于制动器释放端时产生的危险，制动指令交流约定信号交变为制动释放，不交变为制动起作用，故障时必然无交变，制动起作用，以此谋求故障自动保险。这是一向采用的方法。
图4表示图3的列车控制用车上装置及其附属装置的功能结构。与图1相同的部分使用相同的符号。总线核对型控制装置1核查从地上来的，包含先行列车位置的数据有否错误，无错误时，参照从先行列车位置到本列车位置之间的线路坡度信息、弯曲信息等进行数据核对后，根据该数据，计算本列车运行不从后面撞上先行列车所要求的极限速度VP(xi)。在这种情况下，路线的弯曲信息反映于该区间的极限速度上，坡度反映在有效制动减速上，计算出相对于到停止速度为止的本列车位置的极限速度特性曲线系列(VP(x0)，Vp(x1)，～VP(xn)，xi离散算出取决于坡度变化的特性曲线拐点等，再离散算出与此相对应的极限速度Vp(xi)，总线核对控制装置1把这一控制速度特性曲线数据交付输入输出控制装置2。而且，这时极限速度特性曲线不是速度的量纲，而是它的平方(动能的量纲)据此可以用直线表示速度量纲情况下相对于距离成抛物线的极限速度特性曲线，并可采用在输入输出控制装置2以线性方法进行内插演算后取其平方根计算出速度的方法。把上述线路条件作为车上装置的数据保持着，应用于根据该数据进行控制的系统的处理装置，在因错误处理而产生错误的速度特性曲线时，最坏的情况可能发生列车冲撞，在执行该数据处理的同时，必须确实核实车上保有的线路条件数据。
为此，该总线核对型处理装置1，在故障或差错发生时，必须在给定的时间余量(铁路控制的情况下最坏的情况是1秒种以内)内检测出来，采取对策。本实施例的总线核对型处理装置1为此采用双机系统总线核对型处理装置。
一方面，被交付极限速度特性曲线数据的输入输出控制装置2根据测速发电机6输入的距离脉冲修正车轮系统后，在累计本列车位置Xf的同时，计算出本列车的速度随时间的变化Vf(t)。输入输出控制装置2以根据本列车位置Xf从总线核对型处理装置1接收的极限速度特性曲线系列(VP(x0)，Vp(x1)，～Vp(xn))为依据，选择xi＜xf＜xi—1即现列车位置为内包区间的极限特性曲线数据对Vp(xi)，Vp(xi—1)，在其间内插，计算出xf地点的极限速度VP(xf).。该极限速度Vp(xf)用制动指令运算控制，与现在的列车速度Vf(t)作比较，根据比较结果输出制动指令。
此时，最终被输出的指令，作为交变信号输出，使表示制动作用的情况为无交变，表示制动释放的情况为交变信号，以防止因输出电路故障等原因制动不起作用，谋求达到故障自动保险的目的。
而且，输入输出控制装置2与总线核对型处理装置1之间有表示总线核对型处理装置1有无故障的FD(FDout/FDin)信号的交接，该FD信号是总线核对型处理装置1正常的时候周期性反复通断的交变信号，在发生故障时这种交变停止。从而，在FD的翻转停止时，输入输出控制装置2可以识别到总线核对型处理装置1的故障、有可能控制于安全方面。
而且，总线核对型处理装置1与输入输出控制装置2通过通信端口交换数据，例如，从总线核对型处理装置1送往输入输出控制装置2的数据再度送回总线核对型处理装置1，总线核对型处理装置1核对输入输出控制装置2接收的信号有无错误，在检测出错误时向输出入控制装置报告错误发生，停止以后的数据供给，或者让用交变信号表示有无故障的FDout信号停止，进行安全控制(例如制动器起作用指令的输出)等处理。
图5表示图1的总线核对型处理装置1的电路方框结构。与图1相同的部分用相同的符号。11a、11b是双机系统处理装置CPUa、CPUb，借助于共同的时钟电路10基本上同步动作。12是总线核对逻辑电路，13a、13b、13c是输入输出控制装置2、对地收发信机等的控制装置与电路连接用的传送控制电路CCUa、CCUb、CCUc，图5是具有3组端口的结构，上述电路的数目是任意的。本实施例中省略了，但是当然可以设置外部总线接口。
其次，15a、15b是分别同双机系统控制装置CPUa11a、CPUb-11b共同接用传输控制电路13a、13b、13c用的控制信号总线驱动器，17a、17b同是双向总线接口、16a、16b是双机系统控制装置CPUa11a、CPUb11b输出的情况下，决定双机系统控制装置CPUa11a、CPUb11b的哪一方的输出为有效的控制门电路。在本实施例中，是纯粹将双机系统控制装置CPUa11a设为经常有效，但也有借助于地址切换的方法，又有仅按两个系统的逻辑“和”或逻辑“积”输出的方法，用哪一种都没关系。18是有诊断总线核对逻辑电路12用的核对功能的电路的一部分。
在上述结构中，总线核对型处理装置1，其内部双机系统控制装置CPUa11a、CPUb11b由同一时钟电路10驱动，平时同步动作，来自外部的非同步输入信号经常被同步化供给双机系统控制装置CPUa11a、CPUb11b。这样平时同步动作的双机系统控制装置CPUa11a、CPUb11b借助于总线核对逻辑电路12，在每一总线周期，将其数据D0a-D7a，D0b-D7b按每一对应比特核对，即使是1比特发生不一致时，也输出差错信号BER，作为中断(非屏蔽中断NMI)供给各双机系统控制装置CPUa11a、CPUb11b。这时的问题就是总线核对逻辑电路12的故障自动保险性，如果在数据发生不一致也不能检测出不一致的故障发生于总线核对逻辑电路12时，即使双机系统发生不一致也继续进行原来那样的处理、控制，因此，有进行错误的控制、处理的危险。诊断控制电路18是为防止上述危险而对总线核对逻辑电路进行诊断的电路，与双重处理装置CPUa11a、CPUb11b一起、诊断总线核对逻辑电路12有无故障、正常的时候，其输出FDout会出现交变信号。
按上述结构，存贮器存在于双机系统处理装置内部，经过总线输入输出双机系统处理装置外部的数据为比较对象，而设于各双机系统处理装置CPUa11a、CPUb11b外部的存贮器成为数据核对的对象，在有必要把在各双机系统处理装置CPUa11a、CPUb11b使用的本机存贮器作为对象的时候，在该双机系统处理装置CPUa11a、CPUb11b的外部局部总线上连接存贮器，但在本实施例中为了简单地对该结构作说明而被省略，必要时会接上去。
在说明本诊断功能的动作之前，用图6说明成为其前提的双机系统处理装置CPUa11a、CPUb11b，用图7说明成为其前提的总线核对逻辑电路12的内部逻辑。与图1相同部分采用相同的符号。首先，图6示出双重处理装置CPUa11a、CPUb11b的内部结构，CPUa11a、CPUb11b结构都相同。在图6中，111是微处理机用例，是处理装置的核心的运算部，113是收容程序及固定数据的只读存是处理装置的核心的运算部，113是收容程序及固定数据的只读存贮器ROM，114是可以写入的存贮器RAM，115是可编程定时器，用于控制周期等，在本发明中，特别用于制定核对电路诊断周期。下面，112是直接存贮器存取控制器DMAC，通信控制等的数据传送不是用双机系统控制装置的程序执行，而是用专用电路代替双机系统控制装置快速进行。在本实施例中，将该DMAC112用于向总线核对逻辑电路12送出诊断用的测试特性曲线数据。最后，116是将双机系统控制装置与其外侧的总线分离开来的总线门电路。
上述结构，其全体集成于一块晶片上的单片式微电脑已经实用化，可以原封不动地利用这种单片式微电脑。上述结构，以外部接口总线信号为主体，由读出数据选通RD(输出)、写入数据选通WR(输出)、地址线A0～A15(输出)、数据线D0～D7(输入输出)、存贮器存取等待控制线WAI(输入)、中断要求信号IRQ(输入)、总线差错中断(或非屏蔽中断NMI)(输入)、DMA传送要求信号DREQ(输入)、DMA传送确认信号DACK(输出)及时钟信号CK(输入)构成，其动作与一般的微机系统相同、此处不加详述。而且，在本实施例中，为了做得简单，采用数据8比特、地址16比特的简单结构，但总线的数据、地址位数的多少不限于此。
而且，信号线在实际装置中也有用负逻辑表现的，但在实施例中，为了易于说明，除了特别情况外，都用正逻辑表现，当然，这并不是对其表现、实施方法加以限定。
图7表示总线核对逻辑电路12的内部逻辑。121是“异”门，是将双机系统处理装置CPUa11a、CPUb11b的数据总线按对应的比特作比较，每一比特在一致的情况下，“异”门121的输出为0，不一致的情况下输出为1。“与”门122取上述全部比特的比较结果的总和，其输出在两双机系统处理装置的数据中有1比特不同时，就示1，只有全部比特都一致时才示0。行“与”、“或”运算，以所得信号的后缘触发双稳态多谐振荡器126后，提供总线差错信号BER或中断信号，双机系统处理装置CPUa11a、CPUb11b根据该中断信号进行差错处理和诊断处理。
以上述双机系统处理装置CPUa11a、CPUb11b、总线核对逻辑电路12为前提、用图8的时间图对总线核对逻辑电路诊断的动作加以说明。
在图8中，Da、Db用数值表示诊断处理的各总线周期的各双机系统处理装置的数据总线上的数据。RDa/WRa、RDb/WRb表示各双机系统处理装置的读出或写入选通，IRQ是对两双重系统处理装置的诊断周期定时器中断，DREQa、b是对双机系统处理装置CPUa11a、CPUb11b的诊断模式数据传送要求信号，DACKa、b是来自双机系统处理装置CPUa11a、CPUb11b的DMA传送确认信号，BER是来自总线核对逻辑电路12的总线差错信号，WPa、WPb在诊断控制电路18生成、用于判断诊断合格与否的窗脉冲，FDa、FDb是根据该判断结果翻转的故障判定双稳态多谐振荡器输出，FDout是将FDa、FDb组合的故障显示信号。
根据上面所述，首先在预先设定的周期里、由产生中断的各双机系统处理装置CPUa11a、CPUb11b的可编程序定时器115将中断同时输入双机系统处理装置CPUa11a、CPUb11b。这是由于两双机系统处理装置CPUa11a、CPUb11b的时钟、输入信号完全同步动作，借助于该定时器中断，各双机系统处理装置CPUa11a、CPUb11b开始诊断。最初内装于外部诊断控制电路18中的窗脉冲发生电路起动，由于这一起动，总线核对逻辑电路12对双机系统处理装置CPUa11a、CPUb11b要求传送测试模式数据。这时各双机系统处理装置CPUa11a、CPUb11b给窗脉冲发生器的数据是到图中所示的WPa、WPb脉冲发生为止的总线周期数，双机系统处理装置CPUa11a、CPUb11b的该数值有若干不同(在图中为16与17)。据置CPUa11a、CPUb11b的该数值有若干不同(在图中为16与17)。据此，总线核对逻辑电路12测出其差，将差错信号BER作为两双机系统处理装置CPUa11a、CPUb11b的中断信号输出，两双机系统处理装置CPUa11a、CPUb11b捕捉其前缘执行中断，起动两双机系统处理装置CPUa11a、CPUb11b内装的DMAC112。由于该DMAC起动，开始按照诊断控制电路18来的传送要求DREQ进行数据传送。在这里两双机系统处理装置CPUa11a、CPUb11b来的传送数据，如图所示，Da、Db的数据预先设定为，按比特看有1比特的不同，在进行该诊断手续时，如果总线核对逻辑电路12能正常地检测出错误，应该在整个测试周期中连续检查出错误。该测试周期是测试比特数的二倍、如果是8比特的话，就连续16周期以上，那以后，两双机系统处理装置CPUa11a、CPUb11b输出一致(图中为0)，这时，差错信号BER开始复位位为0。所述窗脉冲WPa、WPb合着该时间信号输出脉冲，根据差错信号BER从1复归0的信号变化，对该WPa、WPb取样，这时的WPa、WPb值被设定于FDa、FDd。这时，WPa、WPb因最初起动时所赋予的数据不同，产生脉冲的时间有若干偏差，结果是，在FDa、FDb上设定了不同的值。这个差也因诊断周期而不同，WPa、WPb的关系在诊断的偶数周期与奇数周期互相逆转，成为图8的虚线所示的信号。结果，如果装置完全正常，FDa、FDb分别成为与他方反转的开关(on-off)信号。
另一方面，如果总线核对逻辑电路12上产生至少一比特差错不能检测的故障，这时，在两双机系统处理装置CPUa11a、CPUb11b中理应不一致的测试模式(Pattern)传送周期的某处，差错变没有了。其结果是，不待最后的一致模式(Pattern)的传送，就进行窗脉冲的取样，因而经常偏离WP＝1的定时，FDa、FDb一起经常被设定于0，其翻转停止。
另一种情况是即使总线核对逻辑电路12检测出数据不一致却不能将其结果作为差错中断输入两双机系统处理装置CPUa11a、CPUb11b或一方的双机系统处理装置(CPUa11a或CPUb11b)。出现这种故障时，所述的该诊断周期因这一差错信号而起动，所以同样成为FDa、FDb的反转停止的状态。
再者，将一致数据误作不一致检测的故障，与双机系统处理装置故障同等对待，采用通常的差错处理。
以上是将DMA传送用于测试模式(Pattern)传送的情况，但在将诊断时间的若干增加不当作问题的情况下，也可以分别用各双机系统处理装置CPUa11a、CPUb11b的程序传送来实现。
图9表示执行图8的诊断用的诊断控制电路的内部结构，用双机系统处理装置CPUa11a用的、和CPUb11b用的两个电路构成。与图1相同的部分用相同的符号。
在图9中，181a、181b是产生所述窗脉冲WPa、WPb用的计数器WPCNT，由各数据总线Da、Db设定计数值。182a、182b及183a、183b是WPCNTa、WPCNTb将各自的RD、WP信号作为输入，计算脉冲周期，在计数完了时，用来将WPa、WPb的脉冲取出的双稳态多谐振荡器，它输出一个总线周期宽度的脉冲。另一方面，185a、185b是在起动WPCNT的同时，生成要求向各CPU作测试数据的DMA传送的DREQa、DREQb信号的双稳态多谐振荡电路，与WPCNT的初始设定同时设定。186a、186b是该设定用的地址译码器。187a、187b是一旦BER复原为0时使WPCNT的动作停止用的双稳态多谐振荡器。再者，188a、188b是以每诊断周期都翻转的FDa、FDb为时钟输入，在FDa、FDb信号上升时以187b、187a的交互输出为输入，组成环路的双稳态多谐振荡器。该振荡器以187a和187b的反转输出为输入，从而FDa、FDb反转时，生成按其两倍的周期翻转的信号，FDa、FDb的任一方的翻转一停止，其输出FDout的翻转即停止，逻辑上是表示FDa、FDb的逻辑积。该翻转停止表示包括1a、CPUb11b对应设置两个电路，但是在传送控制电路13a，13b连接的公共总线上设置1个电路的结构也是可能的。这时，因为窗脉冲WP共用，只有若干与该控制有关的双机系统处理装置CPUa11a、CPUb11b的处理有变化，基本动作不变。
而且，在图9的电路中，为了说明窗脉冲发生计数器WPCNT用双机系统处理装置CPUa11a、CPUb11b的外部电路，但也可以用与可编程定时器115相同的双机系统处理装置内装定时器，市售的单片式微机也有许多是内装多个计算器电路的，这种情况下，可以使用内装的计算器，以简化电路。
图10表示所述诊断手续中双机系统处理装置CPUa、CPUb的处理流程图。左边表示CPUa、右边表示CPUb的处理。两者的处理几乎相同，但一部分有若干不同之处。
首先，两双机系统处理装置CPUa、CPUb一起，分别由同步的定时器起动诊断初始处理程序，更新(+1)可编程定时器(步骤1001a、1001b)，设定诊断标志(1002a、1002b)。接着，判定前述诊断周期计数的偶数/奇数(1003a、1003b)。这时，根据其结果，窗脉冲计数器WPCNT的设定值在CPUa、CPUb反转，结果，在设定时总线上出现的数据不一致、与此同时的中断、以及WPa、WPb脉冲输出处的不同表现了出来(1004a、1004b、1005a、1005b)。
如上所述，由WPCNT的设定值的不一致引起的核对差错作为中断信号被输入两CPU，步骤1021a、1021b以后的差错处理程序起动。在这里，为了首先判断是诊断处理中的正规的差错中断，还是其他的差错，判定用前面的步骤1002a、1002b设定的诊断标志，如果设定该标志就判定是正在诊断(1021a、1021b)，起动用于测试模式数据传送的DMA传送，待其终了，设定诊断标志，复归通常的处理(10023a、10023b)。
另一方面，在被判断为标志未设定的情况下(10021a、10021b)，判断为在通常的处理中发生的差错，并进行差错处理(1002a、1002b)。这时的差错处理，根据应用的目的，有恢复处理后使之复原，CPU本身停止，不进行其后的处理等各种处理形态。在本实施例中，没有限制要选择哪一种，根据目的进行处理即可。
按照本发明，构成总线核对型处理装置后，不使用采用2线式逻辑和双稳态多谐振荡器的摆动式核对逻辑等特别的核对逻辑，而用通常的比较电路检测差错，作为谋求故障自动保险的手段，间歇进行总线核对逻辑电路的核对，以此可以防止使总线核对逻辑电路达到故障自动保险形成障碍而处理性能下降，使核对逻辑简化，由此得出的装置小型化，达到高可靠性。而且，随着近几年来微电脑的高集成化，把内装存贮器等附属功能部件的单片式微机作为双机系统处理装置使用，增加最低限度的核对逻辑和诊断电路，可以达到总线核对逻辑电路故障自动保险化的目的，并由此构成故障自动保险处理装置，因而总线核对型处理装置的小型、高可靠性、高安全化效果甚大。
权利要求
1.一种总线核对型处理装置，该装置具有使两个双机系统处理装置同步动作，比较核对双方的总线的总线核对逻辑电路，所述两个双机系统处理装置的总线上的数据发生不一致时检测出上述不一致，其特征在于具备使间歇性诊断处理起动的定时器，由该定时器起动，把包含不一致数据的测试数据串提供给总线的两个双机系统处理装置，监视所述总线核对照逻辑电路对该测试数据的响应的诊断控制电路；该诊断控制电路，在所述总线核对逻辑电路对所述测试数据的响应呈现预先规定的动作时，每一前述间歇性诊断处理周期输出表示数据一致状态的变化的判定信号。
2.根据权利要求1所述的总线核对型处理装置，其特征在于，所述判定信号按每一所述间歇性诊断处理周期翻转。
3.根据权利要求1所述的总线核对型处理装置，其特征在于，提供给所述总线的所述测试数据由分别内装于所述双机系统处理装置的存贮器向总线传送。
4.根据权利要求2所述的总线核对型处理装置，其特征在于，由所述存贮器传送的所述测试数据由分别内装于所述双机系统处理装置的直接存贮器存取控制器供给。
5.根据权利要求1所述的总线核对型处理装置，其特征在于，提供给所述总线上的所述测试数据，是从该测数据前头起至少有数目与总线数据二进制位总长度相当的、可能测试的不一致数据对，而且接着该数据对是至少一对的一致数据串。
6.根据权利要求1所述的总线核对型处理装置，其特征在于，具有提供给前述总线的所述测试数据，是从该测试数据的前头起至少有数目与总线数据二进制位总长度相当的、可能测试的不一致数据对，接着该数据对、是至少一对的一致数据串，对应于所述总线核对逻辑电路的响应从不一致到一致变化的时间，输出预定波形的判断脉冲，所述总线核对逻辑电路输出的核对结果从测出不一致到一致变化时，用双稳态多谐振荡器将该判定脉冲取样输出，使该判定脉冲的波形因诊断周期而改变，前述双稳态多谐振荡器的输出出现翻转信号的所述诊断控制电路。
7.根据权利要求1所述的总线核对型处理装置，其特征在于，对所述总线核对型逻辑电路作总线数据不一致检测时，把该检测结果作为中断信号提供给双机系统的两处理装置，在由所述定时器起动的所述间歇性诊断处理的初始处理中，向总线输出不一致数据，由随不一致检测而来的中断使诊断处理开始。
8.根据权利要求1所述的总线核对型处理装置，其特征在于，所述双机系统处理装置分别由单片微计算机构成。
9.根据权利要求1所述的总线核对型处理装置，其特征在于，周期性翻转的所述判定信号向别的装置输出，报告所述总线核对型处理装置的异常。
10.一种总线核对型处理方法，该方法具有使两个双机系统处理装置同步动作，比较核对两者的总线的总线核对逻辑电路，在所述两个双机系统处理装置的总线上的数据发生不一致时，检测出前述不一致，其特征在于，具备使间歇性诊断处理起动的定时器与由该定时器起动，由所述两个双机系统处理装置将包含不一致数据的测试数据串提供给总线，监视所述总线核对逻辑电路对该测数据的响应的诊断控制步骤；该诊断控制步骤在所述总线核对逻辑电路对所述测试数据的响应呈现预定动作时，每一所述间歇性诊断周期输出表示数据一致状态的变化的判定信号。
11.根据权利要求10所述的总线核对型处理方法，其特征在于，作为所述判定信号，输出所述每一间歇性诊断周期翻转的信号。
全文摘要
本发明提供一种总线核对型处理装置，它包括间歇性诊断起动定时器，由定时器起动，将包含不一致数据的测试数据串提供给总线的两个双机系统处理装置，监视总线核对逻辑电路对该测试数据的响应，在该响应呈现预定动作时输出每间歇性诊断处理周期翻转的判定输出信号的诊断控制电路。借助于此，在总线核对逻辑电路里不使用特殊的故障自动保险核对照逻辑，而使用通常的非故障自动保险核对逻辑、实现故障自动保险。
文档编号G06F11/18GK1122464SQ9510610
公开日1996年5月15日 申请日期1995年5月5日 优先权日1994年5月6日
发明者能见诚, 高冈征, 小林延久, 金川信康 申请人:日立制作所株式会社