JPH07262148A - コンピュータシステム - Google Patents

コンピュータシステム

Info

Publication number
JPH07262148A
JPH07262148A JP6049619A JP4961994A JPH07262148A JP H07262148 A JPH07262148 A JP H07262148A JP 6049619 A JP6049619 A JP 6049619A JP 4961994 A JP4961994 A JP 4961994A JP H07262148 A JPH07262148 A JP H07262148A
Authority
JP
Japan
Prior art keywords
processor
input
output information
transmission path
information transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP6049619A
Other languages
English (en)
Inventor
Takahiro Morikawa
隆弘 森川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP6049619A priority Critical patent/JPH07262148A/ja
Priority to US08/408,302 priority patent/US5630053A/en
Publication of JPH07262148A publication Critical patent/JPH07262148A/ja
Priority to US08/757,564 priority patent/US5898829A/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2041Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with more than one idle spare processing component
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】 (修正有) 【目的】障害が発生したプロセッサが入出力チャネルを
取得することを禁止して、誤った制御情報が制御対象へ
出力されることを無くす。 【構成】現用プロセッサであるプロセッサ1に障害が発
生した場合、プロセッサ2のCPU障害検出回路21が
障害を検出しCPU22に通知する。CPU22はチャ
ネル取得禁止信号をプロセッサ1に出力し、プロセッサ
1が制御対象との入出力チャネルを取得することを禁止
する。同時に、CPU22はチャネル取得信号制御回路
を介して入出力制御装置に入出力チャネル取得信号を出
力する。入出力制御装置4は、制御対象との入出力チャ
ネルをプロセッサ2の入出力チャネルに接続する。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、コンピュータシステム
に関し、特に複数のプロセッサで構成され、現用プロセ
ッサと予備用プロセッサとを有して現用プロセッサに障
害が無い場合は現用プロセッサが制御対象に対する制御
を行い、現用プロセッサの障害時には予備用プロセッサ
が制御対象に対する制御を行う耐故障性を考慮したコン
ピュータシステムに関するものである。
【0002】
【従来の技術】従来技術によるコンピュータシステムの
耐故障性の考慮に関しては、たとえば昭和61年10
月、マグロウヒルブック株式会社発行の「フォールトト
レラントシステム」(J.グレイ他著、渡辺榮一編訳)
に示されている。
【0003】図6は、前記耐故障性を考慮したコンピュ
ータシステムの構成の一例を示すブロック図である。
【0004】プロセッサ1のCPU障害検出回路11は
相手側のプロセッサ2のCPU22の動作状態を、その
動作状態に対応した定期的な信号S20の受信により常
時監視しており、その監視結果を示す信号S11をCP
U12に伝達する。
【0005】CPU12が入出力制御装置4に対して入
出力チャネル取得信号S12を出力することにより、C
PU12の有する入出力チャネル5は入出力制御装置4
を介して図示しない制御対象との入出力チャネル7と接
続される。
【0006】プロセッサ2も同様に、CPU障害検出回
路21とCPU22により構成され、相手側のプロセッ
サ1のCPU12の動作状態に対応して定期的に送出さ
れる信号S10を用いてCPU障害検出回路21が監視
し、その監視結果を信号S21によりCPU22に伝達
する。CPU22が入出力制御装置4に対して入出力チ
ャネル取得信号S22を出力することにより、CPU2
2の有する入出力チャネル6は入出力制御装置4を介し
て図示しない制御対象との入出力チャネル7と接続され
る。
【0007】入出力制御装置4は、各プロセッサが有す
る入出力チャネルと図示されていない制御対象との入出
力チャネル7の接続・切り換えを、各プロセッサからの
入出力チャネル取得信号に基づいて行うものである。
【0008】次に動作を説明する。図6において、プロ
セッサ1が現用プロセッサ、プロセッサ2が予備用プロ
セッサとする。まず、プロセッサ1とプロセッサ2のど
ちらにも障害が無い場合の動作について説明する。
【0009】プロセッサ1のCPU12は、自分に障害
が無いことを示すための信号S10をプロセッサ2のC
PU障害検出回路21に対して定期的に送信する。CP
U障害検出回路11は、プロセッサ2から同様の信号S
20を入力し、プロセッサ2に障害が無いことを示す信
号S11をCPU12に出力する。
【0010】このCPU障害検出回路11は、一般の電
子回路素子を用いて種々の構成法を採用することができ
る。例えば、1991年3月、槙書店発行の「フォール
トトレラントシステムの設計と構成法」(当麻義弘他
著)の159頁に記載されている「ウオッチドッグタイ
マ」である。この「ウオッチドッグタイマ」を用いてC
PU障害検出回路11は、プロセッサ2からの信号S2
0に含まれるタイマ起動条件信号によりタイマを動作さ
せ、このタイマが時間切れになる前にプロセッサ2から
の信号S20に含まれるタイマ・リセット条件信号を受
信しなければプロセッサ2に障害が発生したと判断す
る。
【0011】CPU12は、入出力チャネル5と図示し
ない制御対象との入出力チャネル7との接続を要求する
ために入出力制御装置4に対して入出力チャネル取得信
号S12を出力する。
【0012】入出力制御装置4は、CPU12からこの
入出力チャネル取得信号S12を入力すると、図示して
いない制御対象との入出力チャネル7をプロセッサ1の
入出力チャネル5に接続する。この入出力制御装置の構
成法については、前記「フォールトトレラントシステ
ム」の104頁から106頁に例が示されている。この
場合、入出力制御装置4は各プロセッサ1、2の入出力
チャネル5、6と制御対象との入出力チャネル7とを収
容し、いずれかのプロセッサ1叉は2からの入出力チャ
ネル取得信号S12叉はS12を入力した時にその信号
の発信元プロセッサの入出力チャネルと制御対象との入
出力チャネル7とを接続する。
【0013】プロセッサ2も上述したプロセッサ1と同
様に構成されるが、CPU22はCPU12からの信号
によりプロセッサ1に障害が無いことを認識した場合に
は、プロセッサ2を予備プロセッサとする。このため、
CPU22は、入出力制御装置4に対して入出力チャネ
ル取得信号S22を出力せず、制御対象との入出力チャ
ネル7を使用しない。
【0014】以上の動作により、プロセッサ1が制御対
象との入出力チャネル7を取得し制御対象への制御を行
い、プロセッサ2は予備プロセッサとして待機する。
【0015】次に現用プロセッサであるプロセッサ1に
障害が発生した場合の動作について説明する。
【0016】プロセッサ1にソフトウェアの異常やハー
ドウェア故障などの障害が発生し、CPU12からプロ
セッサ2のCPU障害検出回路21へ定期的に送出され
る信号S10が停止すると、CPU障害検出回路21は
プロセッサ1に障害が発生したことを認識し、CPU2
2に対してプロセッサ1に障害が発生した旨を通知する
信号S22を出力する。
【0017】当該信号を受信したCPU22は、制御対
象の制御をプロセッサ1からプロセッサ2に切り換える
べく、入出力制御装置4に対して入出力チャネル取得信
号S22を出力する。
【0018】入出力制御装置4は、制御対象との入出力
チャネル7をプロセッサ1の入出力チャネル5から切り
離し、プロセッサ2の入出力チャネル6と接続する。
【0019】制御対象と接続されたCPU22は、制御
対象との入出力チャネル7を使用して制御対象との制御
情報の送受を行う。
【0020】以上の動作によりプロセッサの切り替えが
行われ、現用プロセッサであるプロセッサ1に代わり予
備プロセッサであるプロセッサ2が制御対象の制御を行
う。
【0021】
【発明が解決しようとする課題】従来の耐故障コンピュ
ータシステムは、障害を検出して現用プロセッサになろ
うとするCPUが切り換えのために入出力チャネル取得
信号を出力することは上述したとおりであるが、障害が
発生したプロセッサのCPUが入出力制御装置に対して
入出力チャネル取得信号を出力することを防ぐ手段を有
していない。
【0022】このために、障害が発生したプロセッサの
CPUが入出力制御装置に対して誤って入出力チャネル
取得信号を出力した場合には制御対象との入出力チャネ
ルが障害が発生したプロセッサに接続され、誤った制御
情報が制御対象に出力されるという問題点があった。
【0023】
【課題を解決するための手段】上述した問題点を解決す
るため、本発明のコンピュータシステムは、当該コンピ
ュータシステムを構成するプロセッサの内で障害が発生
したプロセッサが入出力チャネル/バスを取得すること
妨げるものであり、次に述べる特徴を有する。
【0024】第1に、複数のプロセッサにより構成さ
れ、各々のプロセッサの有する入出力情報伝達路と当該
プロセッサが制御対象とする装置の有する入出力情報伝
達路との接続を入出力情報伝達路制御装置にて行うコン
ピュータシステムにおいて、各々のプロセッサは、自プ
ロセッサを除く他の1つのプロセッサの動作状態を常時
監視する障害検出手段と、自プロセッサ全体の制御を司
るCPU手段と、入出力情報伝達路制御装置の制御動作
を指示する入出力情報伝達路取得制御手段を具備してい
る。そして、障害検出手段は、自プロセッサを除く他の
1つの第1のプロセッサの動作状態を常時監視して、そ
の結果をCPU手段と, 第1のプロセッサが監視してい
る第2のプロセッサの入出力情報伝達路取得制御手段と
に報告する。CPU手段は、自プロセッサの動作状態を
自プロセッサの動作状態を監視している第3のプロセッ
サの障害検出手段に送出するとともに、入出力情報伝達
路の取得を必要とする場合は入出力情報伝達路取得制御
手段に入出力情報伝達路の取得要求を行い、更に、障害
検出手段より報告をうけた, 第1のプロセッサの動作状
態に応じて第1のプロセッサによる入出力情報伝達路の
取得の可否を伝達する信号を第1のプロセッサの前記入
出力情報伝達路取得制御手段に送出する。更に、入出力
情報伝達路取得制御手段は、第3のプロセッサの動作状
態を監視している第4のプロセッサの有する障害検出手
段より, 第3のプロセッサの動作状態の報告を受け、当
該報告と第3のプロセッサより伝達される自プロセッサ
の入出力情報伝達路の取得の可否を示す信号とに基づい
て入出力情報伝達路の取得の可否を判断し、CPU手段
からの入出力情報伝達路の取得要求に対して当該判断に
基づいて入出力情報伝達路取得制御装置に入出力情報伝
達路の取得の制御動作を指示する。そして、前記の第
1、第2、第3叉は第4のプロセッサはいずれかが同一
であることをさまたげないことを特徴とする。
【0025】第2に、前記した第1の特徴の構成におい
て、前記複数のプロセッサは各々1からNの番号が付与
されており、自プロセッサ番号をIとすると、前記の第
1、第2、第3及び第4のプロセッサはそれぞれI−
1、I−2、I+1及びI+2の番号が付与される構成
であることを特徴とする。この場合、加算した結果がN
を越える場合はNの次は1に戻って、減算した結果が1
より少なくなる場合は1の次はNに戻ってそれぞれ加
算、減算した番号が付与されることになる。
【0026】たとえば、プロセッサ数が2のコンピュー
タシステムにおいても自プロセッサをNo.1とすれ
ば、前記第1のプロセッサと前記第3のプロセッサはN
o.2の相手側プロセッサ、前記第2のプロセッサと前
記第4のプロセッサはNo.1の自プロセッサとなる。
【0027】第3に、複数のプロセッサにより構成さ
れ、各々のプロセッサの有する入出力情報伝達路と当該
プロセッサが制御対象とする装置の有する入出力情報伝
達路との接続を入出力情報伝達路制御装置にて行うコン
ピュータシステムにおいて、各々のプロセッサは、自プ
ロセッサを除く他の1つのプロセッサの動作状態を常時
監視する障害検出手段と、自プロセッサ全体の制御を司
るCPU手段と、入出力情報伝達路制御装置の制御動作
を指示する入出力情報伝達路取得制御手段を具備してい
る。そして、障害検出手段は、自プロセッサを除く他の
1つの第1のプロセッサの動作状態を常時監視して、そ
の結果をCPU手段と, 第1のプロセッサが監視してい
る第2のプロセッサの入出力情報伝達路取得制御手段と
に報告する。CPU手段は、自プロセッサの動作状態を
自プロセッサの動作状態を監視している第3のプロセッ
サの障害検出手段に送出するとともに、入出力情報伝達
路の取得を必要とする場合は入出力情報伝達路取得制御
手段に入出力情報伝達路の取得要求を行い、更に、障害
検出手段より報告をうけた, 第1のプロセッサの動作状
態が障害であることを示す場合は第1のプロセッサによ
る入出力情報伝達路の取得を禁止する信号を第1のプロ
セッサの前記入出力情報伝達路取得制御手段に送出す
る。更に、入出力情報伝達路取得制御手段は、第3のプ
ロセッサの動作状態を監視している第4のプロセッサの
有する障害検出手段より, 第3のプロセッサの動作状態
の報告を受け、当該報告が障害であることを示す場合
は, 第3のプロセッサより伝達される自プロセッサの入
出力情報伝達路の取得の可否を示す信号を無視して, C
PU手段からの入出力情報伝達路の取得要求に基づいて
前記入出力情報伝達路制御装置に対して入出力情報伝達
路の取得の制御動作を指示し、当該報告が正常であるこ
とを示す場合は, CPU手段からの入出力情報伝達路の
取得要求を, 第3のプロセッサより伝達される自プロセ
ッサの入出力情報伝達路の取得の可否を示す信号に従っ
て処理して入出力情報伝達路制御装置に対して入出力情
報伝達路の取得の制御動作を指示する。そして、前記の
複数のプロセッサは各々1からNの番号が付与されてお
り、自プロセッサ番号をIとすると、前記第1、第2、
第3及び第4のプロセッサはそれぞれI−1、I−2、
I+1及びI+2の番号が付与される。この場合、加算
した結果がNを越える場合はNの次に1に戻って、減算
した結果が1より少なくなる場合は1の次にNに戻って
計算した番号が付与される。そして、前記の第1、第
2、第3叉は第4のプロセッサはいずれかが同一である
ことをさまたげないことを特徴とする。
【0028】第4に、前記した第3の特徴の構成におい
て、障害検出手段は、第1のプロセッサの動作状態が正
常である場合は論理値1、障害である場合は論理値0の
信号を出力する。そして、CPU手段は、障害検出手段
より報告をうけた第1のプロセッサの動作状態が障害で
あることを示す場合は, 第1のプロセッサの入出力情報
伝達路の取得禁止を示す論理値1の信号を第1のプロセ
ッサの入出力情報伝達路取得制御手段に送出する。入出
力情報伝達路取得制御手段はAND論理回路とOR論理
回路とより構成され、第4のプロセッサの有する障害検
出手段が出力する第3のプロセッサの動作状態を示す信
号はこのAND論理回路の第1の入力端子に入力され、
第3のプロセッサより伝達される自プロセッサの入出力
情報伝達路の取得の可否を示す信号は同じくAND論理
回路の第2の入力端子に入力される。更に、CPU手段
からの入出力情報伝達路の取得要求はOR論理回路の第
1の入力端子に入力され、OR論理回路の第2の入力端
子にはAND論理回路の出力が入力される。そして、こ
のOR論理回路の出力により入出力情報伝達路制御装置
に対して入出力情報伝達路の取得の制御動作を指示する
ことを特徴とする。
【0029】第5に、前記した第3の特徴の構成におい
て、入出力情報伝達路はバスで形成され、入出力情報伝
達路制御装置は各プロセッサが有するバスドライバであ
ることを特徴とする。
【0030】第6に、前記した第3の特徴の構成におい
て、入出力情報伝達路はチャネルで形成され、入出力情
報伝達路制御装置は各プロセッサに共通して設備された
チャネル接続切換制御装置であることを特徴とする。
【0031】
【作用】自プロセッサが、番号が1つ若番の第1のプロ
セッサの動作状態を常に監視して、その監視結果により
第1のプロセッサが正常/障害であることを示す情報を
自プロセッサより番号が2つ若番の第2のプロセッサに
伝達する。また、第1のプロセッサの動作状態を障害と
認定した場合は、この第1のプロセッサにチャネル/バ
ス取得動作の禁止を示す情報を出力する。
【0032】また、自プロセッサを監視している番号が
1つ老番の第3のプロセッサには動作情報を常に出力
し、この第3のプロセッサより自プロセッサのチャネル
/バス取得動作の可否を示す情報を入力する。更に、自
プロセッサより番号が2つ老番の第4のプロセッサ, こ
の第4のプロセッサは第3のプロセッサの動作状態を監
視している, より第3のプロセッサが正常/障害である
ことを示す情報を入力する。
【0033】このような構成により、自プロセッサを監
視しているプロセッサ(第3のプロセッサ)が正常であ
れば(第3のプロセッサを監視している第4のプロセッ
サより通知を受ける)そのプロセッサより伝達されるチ
ャネル/バス取得動作の可否を示す情報に従ったチャネ
ル/バス取得動作を行う。一方、自プロセッサを監視し
ているプロセッサが障害であればそのプロセッサより伝
達されるチャネル/バス取得動作の可否を示す情報を無
視して自プロセッサがチャネル/バス取得動作を行う。
【0034】自プロセッサは自分が障害であるか否かを
判断できないので、自プロセッサを監視しているプロセ
ッサが正常でかつそのプロセッサよりチャネル/バス取
得動作を禁止された場合はそれに従うものである。ま
た、自プロセッサを監視しているプロセッサが障害と認
められる場合は、当然、そのプロセッサより伝達される
チャネル/バス取得動作の可否を示す情報は無視され
る。
【0035】一方、自プロセッサは自プロセッサが監視
しているプロセッサ(第1のプロセッサ)を障害である
と認めた場合はそのプロセッサによるチャネル/バス取
得動作を禁止させる。また、そのプロセッサが監視して
いるその他のプロセッサ(第2のプロセッサ)にはその
第1のプロセッサの動作状態を伝えて、第2のプロセッ
サが第1のプロセッサから入力するチャネル/バス取得
動作の可否を示す情報の正当性判断情報を与える。
【0036】
【実施例】次に、本発明に係るコンピュータシステムを
図面を参照して説明する。
【0037】図1は、本発明に係るコンピュータシステ
ムの第一の実施例の構成を示すブロック図である。同図
においてプロセッサ1が現用プロセッサ、プロセッサ2
が予備用プロセッサである。
【0038】プロセッサ1のCPU障害検出回路11
は、相手側のプロセッサ2の動作状態を、その動作状態
に対応して定期的に出力される信号S10により監視し
ており、その監視結果を示す信号S11をCPU12
に、同じく監視結果を示す信号S13をチャネル取得信
号制御回路13に伝達する。
【0039】CPU12は、自プロセッサの有する入出
力チャネル5と制御対象との入出力チャネル7との接続
を要求する入出力チャネル取得要求信号S14をチャネ
ル取得信号制御回路13に対して出力する。また同時
に、CPU12は相手側プロセッサによる入出力チャネ
ルの取得を禁止するチャネル取得禁止信号S15をプロ
セッサ2に送出する。
【0040】チャネル取得制御回路13は、相手側のプ
ロセッサ2が入出力チャネル取得を要求している際に当
該プロセッサ1に送出されるチャネル取得禁止信号S2
5を受信し、更に、上述の相手側プロセッサ2の動作状
態の監視結果を示す信号S13をCPU障害検出回路1
1から、入出力チャネル取得要求信号S14をCPU1
2からそれぞれ受信し、これらの信号の取り得る論理か
ら入出力制御装置4に対して入出力チャネル取得信号S
12の出力の可否を判断するものである。
【0041】プロセッサ2も同様に、CPU障害検出回
路21、CPU22、チャネル取得信号制御回路23に
より構成され、プロセッサ1で説明したと同様の信号の
送受を行う。
【0042】入出力制御装置4は、プロセッサ1叉はプ
ロセッサ2から受信する入出力チャネル取得信号S12
叉はS22に基づいて、プロセッサ1叉はプロセッサ2
の有する入出力チャネル5叉は6と図示していない制御
対象との入出力チャネル7との接続・切り替えの動作を
行う。
【0043】次に図1を参照して動作を説明する。ま
ず、プロセッサ1とプロセッサ2のどちらにも障害が無
い場合の動作について説明する。
【0044】プロセッサ1のCPU12は、自分に障害
が無いことを示すための信号S10を相手側のプロセッ
サ2のCPU障害検出回路21に対し定期的に送信す
る。同様に、CPU障害検出回路11は、プロセッサ2
からの定期的な信号S20を受信し、プロセッサ2に障
害が無いことを示す信号S11、S13をそれぞれCP
U12とチャネル取得信号制御回路13に伝達する。こ
のCPU障害検出回路11は、従来技術において説明し
たように、一般の電子回路素子を用いて種々の構成法を
採用することができる。
【0045】CPU12は、プロセッサ2に対して送出
するチャネル取得禁止信号S15として入出力チャネル
の取得を禁止する論理値の信号を出力することも可能だ
が、ここでは、プロセッサ2が制御対象との入出力チャ
ネルを取得することを禁止しない論理値の信号をプロセ
ッサ2に出力するとする。
【0046】チャネル取得信号制御回路13は、CPU
12が現用系であるため入出力チャネル取得要求信号S
14をCPU12から入力し、更に、プロセッサ2から
チャネル取得禁止信号S25を入力する。ここで、プロ
セッサ1に障害が無いので、このチャネル取得禁止信号
S25は、プロセッサ1が制御対象との入出力チャネル
7を取得することを禁止しない論理値を示す。
【0047】これにより、チャネル取得信号制御回路1
3は、CPU12の要求に対応する入出力チャネル取得
信号S12を入出力制御装置4に対して出力し、入出力
制御装置4では、このチャネル取得信号制御回路13か
らの入出力チャネル取得信号S12に基づいてプロセッ
サ1の入出力チャネル5と制御対象との入出力チャネル
7とを接続する。
【0048】この状態においてCPU12は、現用プロ
セッサとして制御対象との入出力チャネル7を使用して
制御対象との制御情報の送受を行う。
【0049】プロセッサ2においてもプロセッサ1と同
様の動作を行い、CPU22は、プロセッサ1に障害が
無いことを認識するとプロセッサ2を予備プロセッサと
して動作させるため、入出力制御装置4に対しては入出
力チャネル取得信号S22を出力しない。
【0050】以上の動作により、プロセッサ1が制御対
象との入出力チャネルを取得して制御対象への制御を行
い、プロセッサ2は予備プロセッサとして待機する。
【0051】次に現用プロセッサであるプロセッサ1に
障害が発生した場合の動作について説明する。
【0052】プロセッサ1にソフトウェアの異常やハー
ドウェア故障などの障害が発生した場合、CPU12は
相手側のプロセッサ2のCPU障害検出回路21への定
期的な信号S10の送出ができなくなる。従って、CP
U障害検出回路21ではプロセッサ1からの信号S10
の入力断を検出するとプロセッサ1の障害であることを
認識し、プロセッサ1に障害が発生したことをCPU2
2とチャネル取得信号制御回路23にそれぞれ伝達する
(S21、S23)。
【0053】CPU障害検出回路21からプロセッサ1
の障害発生を示す信号S21を入力したCPU22は、
チャネル取得信号制御回路23に対して自プロセッサが
現用系に切り替わるべく入出力チャネル取得要求信号S
24を出力する。
【0054】チャネル取得信号制御回路23において
は、プロセッサ1からチャネル取得禁止信号S15を入
力しているが、CPU障害検出回路21からの入力信号
S23がプロセッサ1に障害が有ることを示すので、プ
ロセッサ1から入力しているチャネル取得禁止信号S1
5を無効であると判定し、プロセッサ2による入出力チ
ャネル取得要求を優先させ、入出力チャネル取得信号S
22を入出力制御装置4に出力する。
【0055】入出力制御装置4は、チャネル取得信号制
御回路23から入力された入出力チャネル取得信号S2
2に基づいて、プロセッサ1の入出力チャネル5と接続
されていた制御対象との入出力チャネル7をプロセッサ
2の入出力チャネル6に接続換えする。
【0056】このときCPU22は、プロセッサ1のチ
ャネル取得信号制御回路13に対してプロセッサ1が制
御対象との入出力チャネル7を取得することを禁止する
論理値のチャネル取得禁止信号S25を出力する。
【0057】一方、プロセッサ1において、CPU障害
検出回路11はプロセッサ2の正常であることを認識し
ているので、チャネル取得信号制御回路13は当該情報
を受けてプロセッサ2からのチャネル取得禁止信号S2
5は有効であると判定する。このチャネル取得禁止信号
S25が有効でありかつプロセッサ1が制御対象との入
出力チャネルを取得することを禁止する論理値なので、
チャネル取得信号制御回路13は、CPU12から入出
力チャネル取得の要求を受けても、入出力制御装置4に
対してチャネル取得信号S12の出力を行わない。
【0058】以上の動作により、プロセッサ1による入
出力チャネルの取得が禁止され、予備プロセッサである
プロセッサ2が入出力チャネルを取得し、制御対象の制
御を行う。
【0059】予備用プロセッサであるプロセッサ2に障
害が発生した場合においても、上記と同様の動作によ
り、プロセッサ2が制御対象との入出力チャネルを取得
することが禁止され、プロセッサ1が制御対象の制御を
行う。
【0060】このようにして、障害が発生したプロセッ
サがなんらかの原因で制御対象との入出力チャネルの取
得を要求したとしてもそれを禁止することができ、障害
が無いプロセッサが障害プロセッサから影響されずに制
御対象との入出力チャネルを取得することができる。
【0061】次に図2と図3を参照して、前記のチャネ
ル取得信号制御回路13叉は23の動作を説明する。
【0062】図2は、チャネル取得信号制御回路13の
一構成例を示すブロック図である。
【0063】ANDゲート201は、CPU障害検出回
路11から他方のプロセッサ2の障害状態に対応する論
理信号x1を入力し、他方のプロセッサ2のCPU22
からチャネル取得禁止信号x2を入力し、前記x1とx
2の論理積である論理信号x3をORゲート202に出
力する。ORゲート202は、CPU12から論理信号
である入出力チャネル取得要求信号x4を入力し、前記
x3とx4の論理和であるx5を入出力制御装置に対し
て入出力チャネル取得信号S12として出力する。プロ
セッサ2のチャネル取得信号制御回路23も同じ構成と
なっている。
【0064】図3は、自プロセッサと他方のプロセッサ
の障害の有無に対応した前記信号x1〜x5の論理値の
関連を示す図である。
【0065】図3において、第1列は自プロセッサと他
方のプロセッサのどちらも障害が無い場合に対応し、第
2列は自プロセッサに障害が発生した場合に対応し、第
3列は他方のプロセッサに障害が発生した場合に対応す
る。
【0066】まず、自プロセッサと他方のプロセッサの
どちらも障害が無い場合について説明する。
【0067】ANDゲート201は、監視している他方
のプロセッサに障害が無いことを示す論理値1のx1
と、自プロセッサが制御対象との入出力チャネルを取得
することを禁止しない論理値0のx2を入力し、論理値
0のx3をORゲート202に出力する。ORゲート2
02は、前記x3の論理値が0なので、自プロセッサに
よるチャネル取得要求信号x4の論理値と同一の信号を
入出力チャネル取得信号x5として出力する。これによ
り、自プロセッサが制御対象との入出力チャネルを取得
することができる。
【0068】次に、自プロセッサに障害が発生した場合
について説明する。
【0069】ANDゲート201は、監視している他方
のプロセッサに障害が無いことを示す論理値1のx1
と、自プロセッサが制御対象との入出力チャネルを取得
することを禁止する論理値1のx2を入力し、論理値1
のx3をORゲート202に出力する。ORゲート20
2は、前記x3の論理値が1なので、自プロセッサによ
るチャネル取得要求信号x4の論理値に関係なく常に論
理値1の信号が入出力チャネル取得信号x5として出力
される。これにより、自プロセッサが制御対象との入出
力チャネルを取得することが禁止される。
【0070】次に、他方のプロセッサに障害が発生した
場合について説明する。
【0071】ANDゲート201は、監視している他方
のプロセッサに障害が有ることを示す論理値0のx1を
入力し、x2の論理値に関係なく論理値0のx3をOR
ゲート202に出力する。ORゲート202は、前記x
3の論理値が0なので、自プロセッサによるチャネル取
得要求信号x4の論理値と同一の信号を入出力チャネル
取得信号x5として出力する。これにより、自プロセッ
サが制御対象との入出力チャネルを取得することができ
る。
【0072】このようにして、監視している相手側のプ
ロセッサが正常であれば当該プロセッサから入力される
自プロセッサが制御対象との入出力チャネルを取得する
ことの可否を示す情報に従って制御を行い、監視してい
る相手側のプロセッサが障害であれば当該プロセッサか
ら入力される自プロセッサが制御対象との入出力チャネ
ルを取得することの可否を示す情報を無視して制御を行
うものである。
【0073】また、本発明は上記の実施例以外にも、二
重化構成されたプロセッサのバス接続にも適用すること
ができる。
【0074】図4は、二重化構成されたプロセッサのバ
ス接続に適用した、本発明の第二の実施例の構成を示す
ブロック図である。
【0075】プロセッサ1が現用プロセッサ、プロセッ
サ2が予備用プロセッサである。
【0076】プロセッサ1のCPU障害検出回路11
は、プロセッサ2から障害に対応した定期的な信号S2
0を入力し、プロセッサ2の障害の有無を示す信号をC
PU12とバスドライバ制御回路14にそれぞれS1
1、S13として出力する。
【0077】CPU12はバスドライバ制御回路14に
対してバスドライバ制御要求信号S14を出力する。ま
た同時に、CPU12はバス出力禁止信号S15を相手
側のプロセッサ2に対して出力する。更に、CPU12
はバスドライバ15に対してバス出力信号S16を送出
する。
【0078】バスドライバ制御回路14は、相手側のプ
ロセッサ2からバス出力禁止信号S25を入力し、更
に、上述の相手側プロセッサ2の動作状態の監視結果を
示す信号S13をCPU障害検出回路11から、バスド
ライバ制御要求信号S14をCPU12からそれぞれ入
力し、これらの信号の取り得る論理からバスドライバ1
5に対してバスドライバ制御信号S12を出力する。
【0079】バスドライバ15は、バスドライバ制御回
路14からの制御信号S12に対応して、CPU12か
らの信号S16をバスに出力する。
【0080】プロセッサ2も同様に、CPU障害検出回
路21、CPU22、バスドライバ制御回路24、バス
ドライバ25により構成され、プロセッサ1にて説明し
たと同様の信号の送受を行う。
【0081】次に図4を参照して動作を説明する。ま
ず、プロセッサ1とプロセッサ2のどちらにも障害が無
い場合の動作について説明する。
【0082】プロセッサ1のCPU12は、自分に障害
が無いことを示すための信号S20をプロセッサ2のC
PU障害検出回路21に対し定期的に送信する。
【0083】CPU障害検出回路11は、プロセッサ2
からの定期的な信号S10を入力し、プロセッサ2に障
害が無いことを示す信号をCPU12とバスドライバ制
御回路14にそれぞれS11、S13として出力する。
【0084】CPU12は、プロセッサ2に対して送出
するバス出力禁止信号S15としてバス出力を禁止する
論理値の信号を送出することも可能だが、ここでは、プ
ロセッサ2のバス出力を禁止しない論理値の信号をプロ
セッサ2に出力するとする。また、CPU12はバスド
ライバ制御回路14に対してバスを使用することを示す
バスドライバ制御要求信号S14を出力する。
【0085】バスドライバ制御回路14は、プロセッサ
2からバス出力禁止信号S25を入力する。ここで、プ
ロセッサ1に障害が無いので、プロセッサ2から入力す
るバス出力禁止信号S25は、プロセッサ1がバスを使
用することを禁止しない論理値を示す。これにより、バ
スドライバ制御回路14は、CPU12から入力するバ
スドライバ制御要求信号S14をそのままバスドライバ
制御信号S12としてバスドライバ15に出力する。
【0086】バスドライバ15は、バスドライバ制御回
路14からバスドライバ制御信号S12を入力し、該信
号がバスを使用することを示すのでCPU12からの信
号S16をバスへ出力する。
【0087】以上の動作により、CPU12はバスドラ
イバ15を介して制御対象への制御情報の送信を行う。
【0088】プロセッサ2もプロセッサ1と同様の動作
を行い、CPU22は、プロセッサ1に障害が無いこと
を認識し、プロセッサ2を予備プロセッサとして動作さ
せるため、バスドライバ制御回路24を介して、バスド
ライバ25にバスを使用しないことを示すバスドライバ
制御信号S22を出力する。これにより、バスドライバ
25はバスへの出力動作を行わない。
【0089】このようにして、プロセッサ1がバスを使
用し制御対象への制御を行い、プロセッサ2は予備プロ
セッサとして待機する。
【0090】次に現用プロセッサであるプロセッサ1に
障害が発生した場合の動作について説明する。
【0091】プロセッサ1にソフトウェアの異常やハー
ドウェア故障などの障害が発生した場合、CPU12は
プロセッサ2のCPU障害検出回路21への定期的な信
号S20の送出ができなくなる。
【0092】CPU障害検出回路21はプロセッサ1か
らの信号の入力断を検出するとプロセッサ1が障害であ
ると認識し、プロセッサ1に障害が発生したことを示す
信号をCPU22とバスドライバ制御回路24にそれぞ
れS21、S23として出力する。
【0093】このプロセッサ1の障害を示す信号S21
を入力したCPU22は、自プロセッサが現用系となる
べく、バスドライバ制御回路24に対してバス使用の要
求を示すバスドライバ制御要求信号S24を出力すると
ともにバスドライバ25に信号S26を出力する。
【0094】バスドライバ制御回路24は、CPU障害
検出回路21から入力した信号S23がプロセッサ1に
障害が有ることを示すので、プロセッサ1から入力して
いるバス出力禁止信号S15が無効であると判定し、C
PU22から入力するバスドライバ制御要求信号S24
に基づいてバスドライバ制御信号S22をバスドライバ
25に出力する。
【0095】バスドライバ制御信号S22を入力したバ
スドライバ25は、当該信号がバスを使用することを示
すので、CPU22からの信号S26をバスへ出力する
動作を行う。
【0096】これにより、CPU22はバスドライバ2
5を介して制御対象への制御情報の送信を行うことがで
きる。そして、CPU22は、プロセッサ1のバスドラ
イバ制御回路14に対してプロセッサ1によるバス使用
の禁止を表示する論理値のバス出力禁止信号S25を出
力する。
【0097】プロセッサ1では、CPU障害検出回路1
1がプロセッサ2に障害が無いことを示す信号S13を
バスドライバ制御回路14に出力する。
【0098】これによりバスドライバ制御回路14は、
プロセッサ2から入力するバス出力禁止信号S25の論
理値が有効であると判定し、CPU12から入力するバ
スドライバ制御要求信号S14に関係なく、バスドライ
バ15に対してバスを使用しないことを示すバスドライ
バ制御信号S12を出力するので、バスドライバ15は
バスへの出力動作を停止する。
【0099】以上の動作により、現用プロセッサである
プロセッサ1によるバスの使用が禁止され、予備プロセ
ッサであるプロセッサ2がバスを使用して制御対象の制
御を行う。
【0100】予備用プロセッサであるプロセッサ2に障
害が発生した場合においても、上記と同様の動作によ
り、プロセッサ2がバスを使用することが禁止され、プ
ロセッサ1が制御対象の制御を行う。
【0101】このようにして、本実施例においても第一
の実施例と同じ効果が得られ、更に制御対象への制御情
報の送信にバスを使用することにより、故障に対する保
護が考慮されていない入出力制御装置が不要となるの
で、耐故障性をより向上させたコンピュータシステムを
構成することができる。
【0102】また、本発明は、1つのバスに3個以上の
複数個のプロセッサが接続された構成のバス出力制御に
おいても同様の効果を有する。
【0103】図5は、1つのバスに3個のプロセッサを
接続する構成に適用した本発明の第三の実施例の構成を
示すブロック図である。
【0104】この実施例においては、プロセッサ1の障
害検出をプロセッサ2が行い、プロセッサ2の障害検出
をプロセッサ3が行い、プロセッサ3の障害検出をプロ
セッサ1が行う構成となっている。
【0105】プロセッサ1のCPU障害検出回路11
は、プロセッサ3の動作状態に対応してプロセッサ3が
送出する定期的な信号S30を入力することによりプロ
セッサ3の動作状態を監視している。その監視結果であ
るプロセッサ3の障害の有無を示す論理信号は、CPU
12とプロセッサ2のバスドライバ制御回路24にそれ
ぞれ信号S11、S13として出力される。
【0106】同様に、プロセッサ2とプロセッサ3にお
いては、それぞれのプロセッサが有するCPU障害検出
回路21、31により、プロセッサ2はプロセッサ1の
監視を信号S10により、プロセッサ3はプロセッサ2
の監視を信号S20により行い、それぞれの監視結果を
示す論理信号を自プロセッサのCPUと自プロセッサと
被監視対象プロセッサを除く他のプロセッサのバスドラ
イバ制御回路に出力する構成となっている。
【0107】次に、CPU、バスドライバ制御回路、バ
スドライバの構成をプロセッサ1を例にとり説明する。
【0108】CPU12はバスドライバ制御要求信号S
14をバスドライバ制御回路14に出力し、バス出力信
号S16をバスドライバ15に送出する。また、CPU
12はバス出力禁止信号S15をプロセッサ3のバスド
ライバ制御回路34に出力する。更に、CPU12はプ
ロセッサ2のCPU障害検出回路21に対して自プロセ
ッサの動作状態を示す信号を定期的に出力する。
【0109】バスドライバ制御回路14は、プロセッサ
2のCPU22からバス出力禁止信号S25を入力し、
プロセッサ3のCPU障害検出回路31からプロセッサ
2の動作状態監視結果を示す信号S33を入力し、バス
ドライバ15に対してバス制御信号S12を出力する。
【0110】バスドライバ15は、バスドライバ制御回
路14からのバス制御信号S12に対応して、CPU1
2からのバス出力信号S16をバス8に出力する。
【0111】このように、あるプロセッサを監視してい
るプロセッサは、その監視結果と自プロセッサの動作状
態を、自プロセッサと被監視プロセッサを除く他のプロ
セッサのバスドライバ制御回路とCPU障害検出回路に
送り、バス出力禁止信号を被監視プロセッサのバスドラ
イバ制御回路に送る構成となっている。
【0112】次に図5を参照して動作を説明する。
【0113】まず、プロセッサ1、プロセッサ2、プロ
セッサ3のいずれにも障害が無い場合の動作について説
明する。
【0114】プロセッサ1のCPU12は自分に障害が
無いことを示すための信号S10をプロセッサ2のCP
U障害検出回路21に対し定期的に送信する。
【0115】CPU障害検出回路11はプロセッサ3か
らの定期的な信号S30を入力し、プロセッサ3に障害
が無いことを示す信号としてCPU12には信号S11
を、プロセッサ2のバスドライバ制御回路24には信号
S13を出力する。
【0116】CPU12はプロセッサ3に対して送出す
るバス出力禁止信号S15としてバス出力を禁止する論
理値信号を送出することも可能であるが、ここでは、プ
ロセッサ3のバス出力を禁止しない論理値信号をプロセ
ッサ3のバスドライバ制御回路34に出力するものとす
る。また、CPU12はバスドライバ制御回路14に対
しバスドライバ制御要求信号S14を出力する。
【0117】バスドライバ制御回路14は、プロセッサ
2からバス出力禁止信号S25を入力するが、プロセッ
サ1に障害が無いので、該バス出力禁止信号S25はプ
ロセッサ1がバスを使用することを禁止しない論理値を
示す。これにより、バスドライバ制御回路14は、CP
U12から入力するバスドライバ制御要求信号S14を
そのままバスドライバ制御信号S12としてバスドライ
バ15に対して出力する。
【0118】バスドライバ15は、バスドライバ制御回
路14からこのバスドライバ制御信号S12を入力し
て、この制御信号がバスを使用することを示す場合には
入力信号S16をバス8へ出力する。これにより、CP
U12はバスドライバ15を介してバス8への信号出力
を行うことができる。
【0119】プロセッサ2、プロセッサ3もプロセッサ
1と同様の動作を行い、バスを使用する場合にバスへの
出力を行う。
【0120】次にプロセッサ1に障害が発生した場合の
動作について説明する。
【0121】プロセッサ1にソフトウェアの異常やハー
ドウェア故障などの障害が発生した場合、CPU12は
プロセッサ2のCPU障害検出回路21へ送出する定期
的な信号S10の出力ができなくなるので、CPU障害
検出回路21はこのプロセッサ1からの定期的な信号S
10の入力断を検出してプロセッサ1が障害であること
を認識する。そして、プロセッサ1に障害があることを
示す論理信号をCPU22には信号S21として、プロ
セッサ3のバスドライバ制御回路34には信号S23と
して出力する。
【0122】CPU22は前記プロセッサ1の障害を示
す信号S21によりプロセッサ1に障害が発生したこと
を認識し、プロセッサ1のバスドライバ制御回路14に
対してバス出力を禁止する論理値のバス出力禁止信号S
25を出力する。
【0123】プロセッサ1のバスドライバ制御回路14
は、CPU22から入力するバス出力禁止信号S25と
ともに入力しているプロセッサ3のCPU障害検出回路
31からのプロセッサ2の動作状態を示す信号S33が
プロセッサ2に障害が無いことを示す内容なので、CP
U22から入力するバス出力禁止信号S25が有効であ
ると判定する。このバス出力禁止信号S25が有効であ
りかつその信号がプロセッサ1がバス出力をすることを
禁止する論理値なので、バスドライバ制御回路14は、
CPU12から入力するバスドライバ制御要求信号S1
4の論理値に関係無く、バスを使用しないことを示す信
号をバスドライバ15にバスドライバ制御信号S12と
して出力する。
【0124】バスドライバ15は、バスドライバ制御信
号S12がバスを使用しないことを示すのでバス8への
出力動作を行わない。これにより、障害が発生したプロ
セッサ1がバスを使用することを禁止できる。
【0125】一方、プロセッサ3のバスドライバ制御回
路34は、プロセッサ2のCPU障害検出回路21から
入力する信号S23がプロセッサ1の障害を示す内容と
なるため、プロセッサ1から入力するバス出力禁止信号
S15が無効であると判定する。これにより、自プロセ
ッサのCPU32が出力するバスドライバ制御要求信号
S34をそのままバスドライバ35にバスドライバ制御
信号S32として出力する。従って、プロセッサ3はプ
ロセッサ1の障害に影響されることなくバスを使用する
ことができる。
【0126】プロセッサ2及びプロセッサ3の障害発生
時にも、上述したと同様の動作により、障害プロセッサ
によるバス使用を禁止することができる。
【0127】以上、プロセッサ数が2及び3の場合を例
にとって説明したが、本発明に係るコンピュータシステ
ムは監視、被監視のプロセッサを下記のように構成する
ことにより上述したと同様の論理によりN個のプロセッ
サによる耐故障性に優れたコンピュータシステムを構築
することができる。
【0128】自プロセッサは、自プロセッサを除く他の
1つの第1のプロセッサの動作状態を常時監視して、そ
の結果をCPU手段と、この第1のプロセッサが監視し
ている第2のプロセッサのバスドライバ制御手段とに報
告する。
【0129】CPU手段は、自プロセッサの動作状態を
自プロセッサの動作状態を監視している第3のプロセッ
サの障害検出手段に送出するとともに、バス取得を必要
とする場合はバスドライバ制御手段にバスの取得要求を
行い、更に、障害検出手段より報告をうけた, 第1のプ
ロセッサの動作状態が障害であることを示す場合は第1
のプロセッサによるバス取得を禁止する信号を第1のプ
ロセッサのバスドライバ制御手段に送出する。
【0130】バスドライバ制御手段は、第3のプロセッ
サの動作状態を監視している第4のプロセッサの有する
障害検出手段より, 第3のプロセッサの動作状態の報告
を受け、当該報告が障害であることを示す場合は, 第3
のプロセッサより伝達される自プロセッサのバス取得の
可否を示す信号を無視して, CPU手段からのバス取得
要求に基づいてバスドライバ制御装置に対してバス取得
の制御動作を指示し、当該報告が正常であることを示す
場合は, CPU手段からのバス取得要求を, 第3のプロ
セッサより伝達される自プロセッサのバス取得の可否を
示す信号に従って処理してバスドライバ制御装置に対し
てバス取得の制御動作を指示する。
【0131】これらの複数のプロセッサは各々1からN
の番号が付与され、自プロセッサ番号をIとすると、前
記の第1、第2、第3及び第4のプロセッサはそれぞれ
I−1、I−2、I+1及びI+2の番号が付与される
構成となる。
【0132】加算した結果がNを越える場合はNの次は
1に戻って、また減算した結果が1より少なくなる場合
は1の次はNに戻って計算した番号が付与される。
【0133】前記の第1、第2、第3叉は第4のプロセ
ッサはいずれかが同一であることをさまたげない
【発明の効果】以上説明したように、本発明に係るコン
ピュータシステムは、隣接するプロセッサからの制御信
号に基づいて障害が発生したプロセッサによる入出力チ
ャネルの使用やバスの使用を禁止するように構成したの
で、入出力チャネル及びバスを介してそのような障害の
発生したプロセッサからの誤った制御情報が制御対象へ
出力されることを無くすことができる。
【0134】また、隣接するプロセッサへ送出されるチ
ャネル取得禁止信号及びバス出力禁止信号等の制御信号
を、障害が発生したプロセッサから入力している場合に
はその信号を無効にする構成にしたので、障害プロセッ
サが障害の無いプロセッサの制御対象への入出力動作に
影響を及ぼすことが無くなる。
【0135】このようにして、本発明に係るコンピュー
タシステムは、耐故障性をより向上させたコンピュータ
システムを容易に構築することができるという効果を有
する。
【図面の簡単な説明】
【図1】本発明に係るコンピュータシステムの第一の実
施例の構成を示すブロック図である。
【図2】図1に示す一部の回路構成例を示す図である。
【図3】図2に示す回路の動作を説明する論理値の関連
を示す図である。
【図4】本発明に係るコンピュータシステムの第二の実
施例の構成を示すブロック図である。
【図5】本発明に係るコンピュータシステムの第三の実
施例の構成を示すブロック図である。
【図6】従来技術による耐故障コンピュータシステムの
一実施例の構成を示すブロック図である。
【符号の説明】
1、2、3 プロセッサ 4 入出力制御装置 5、6 入出力チャネル 7 制御対象との入出力チャネル 8 バス 11、21、31 CPU障害検出回路 12、22、32 CPU 13、23 チャネル取得信号制御回路 14、24、34 バスドライバ制御回路 15、25、35 バスドライバ 201 ANDゲート 202 ORゲート x1 CPU障害検出回路からの入力信号 x2 チャネル取得禁止信号 x3 ANDゲート201の出力信号(x1とx
2の論理積) x4 入出力チャネル取得信号入力 x5 ORゲート202の出力信号(x3とx4
の論理和)

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】複数のプロセッサにより構成され、各々の
    プロセッサの有する入出力情報伝達路と当該プロセッサ
    が制御対象とする装置の有する入出力情報伝達路との接
    続を入出力情報伝達路制御装置にて行うコンピュータシ
    ステムにおいて、 前記各々のプロセッサは、自プロセッサを除く他の1つ
    のプロセッサの動作状態を常時監視する障害検出手段
    と、自プロセッサ全体の制御を司るCPU手段と、前記
    入出力情報伝達路制御装置の制御動作を指示する入出力
    情報伝達路取得制御手段を具備し、 前記障害検出手段は、自プロセッサを除く他の1つの第
    1のプロセッサの動作状態を常時監視して、その結果を
    前記CPU手段と, 前記第1のプロセッサが監視してい
    る第2のプロセッサの前記入出力情報伝達路取得制御手
    段とに報告し、 前記CPU手段は、自プロセッサの動作状態を自プロセ
    ッサの動作状態を監視している第3のプロセッサの障害
    検出手段に送出するとともに、入出力情報伝達路の取得
    を必要とする場合は前記入出力情報伝達路取得制御手段
    に入出力情報伝達路の取得要求を行い、更に、前記障害
    検出手段より報告をうけた, 前記第1のプロセッサの動
    作状態に応じて前記第1のプロセッサによる入出力情報
    伝達路の取得の可否を伝達する信号を前記第1のプロセ
    ッサの前記入出力情報伝達路取得制御手段に送出し、 前記入出力情報伝達路取得制御手段は、前記第3のプロ
    セッサの動作状態を監視している第4のプロセッサの有
    する前記障害検出手段より, 前記第3のプロセッサの動
    作状態の報告を受け、当該報告と前記第3のプロセッサ
    より伝達される自プロセッサの入出力情報伝達路の取得
    の可否を示す信号とに基づいて入出力情報伝達路の取得
    の可否を判断し、前記CPU手段からの入出力情報伝達
    路の取得要求に対して当該判断に基づいて前記入出力情
    報伝達路取得制御装置に入出力情報伝達路の取得の制御
    動作を指示し、 前記第1、第2、第3叉は第4のプロセッサはいずれか
    が同一であることをさまたげないことを特徴とするコン
    ピュータシステム。
  2. 【請求項2】前記複数のプロセッサは各々1からNの番
    号が付与され、自プロセッサ番号をIとすると、 前記第1、第2、第3及び第4のプロセッサはそれぞれ
    I−1、I−2、I+1及びI+2の番号が付与され、 前記加算の結果がNを越える場合は1に戻って、前記減
    算の結果が1より少なくなる場合はNに戻って計算した
    番号が付与される構成であることを特徴とする請求項1
    に記載のコンピュータシステム。
  3. 【請求項3】複数のプロセッサにより構成され、各々の
    プロセッサの有する入出力情報伝達路と当該プロセッサ
    が制御対象とする装置の有する入出力情報伝達路との接
    続を入出力情報伝達路制御装置にて行うコンピュータシ
    ステムにおいて、 前記各々のプロセッサは、自プロセッサを除く他の1つ
    のプロセッサの動作状態を常時監視する障害検出手段
    と、自プロセッサ全体の制御を司るCPU手段と、前記
    入出力情報伝達路制御装置の制御動作を指示する入出力
    情報伝達路取得制御手段を具備し、 前記障害検出手段は、自プロセッサを除く他の1つの第
    1のプロセッサの動作状態を常時監視して、その結果を
    前記CPU手段と, 前記第1のプロセッサが監視してい
    る第2のプロセッサの前記入出力情報伝達路取得制御手
    段とに報告し、 前記CPU手段は、自プロセッサの動作状態を自プロセ
    ッサの動作状態を監視している第3のプロセッサの障害
    検出手段に送出するとともに、入出力情報伝達路の取得
    を必要とする場合は前記入出力情報伝達路取得制御手段
    に入出力情報伝達路の取得要求を行い、更に、前記障害
    検出手段より報告をうけた, 前記第1のプロセッサの動
    作状態が障害であることを示す場合は前記第1のプロセ
    ッサによる入出力情報伝達路の取得を禁止する信号を前
    記第1のプロセッサの前記入出力情報伝達路取得制御手
    段に送出し、 前記入出力情報伝達路取得制御手段は、前記第3のプロ
    セッサの動作状態を監視している第4のプロセッサの有
    する前記障害検出手段より, 前記第3のプロセッサの動
    作状態の報告を受け、当該報告が障害であることを示す
    場合は, 前記第3のプロセッサより伝達される自プロセ
    ッサの入出力情報伝達路の取得の可否を示す信号を無視
    して, 前記CPU手段からの入出力情報伝達路の取得要
    求に基づいて前記入出力情報伝達路制御装置に対して入
    出力情報伝達路の取得の制御動作を指示し、当該報告が
    正常であることを示す場合は, 前記CPU手段からの入
    出力情報伝達路の取得要求を, 前記第3のプロセッサよ
    り伝達される自プロセッサの入出力情報伝達路の取得の
    可否を示す信号に従って処理して前記入出力情報伝達路
    制御装置に対して入出力情報伝達路の取得の制御動作を
    指示し、 前記複数のプロセッサは各々1からNの番号が付与さ
    れ、自プロセッサ番号をIとすると、前記第1、第2、
    第3及び第4のプロセッサはそれぞれI−1、I−2、
    I+1及びI+2の番号が付与され、前記加算の結果が
    Nを越える場合は1に戻って、前記減算の結果が1より
    少なくなる場合はNに戻って計算した番号が付与される
    構成であって、 前記第1、第2、第3叉は第4のプロセッサはいずれか
    が同一であることをさまたげないことを特徴とするコン
    ピュータシステム。
  4. 【請求項4】前記障害検出手段は、前記第1のプロセッ
    サの動作状態が正常である場合は論理値1、障害である
    場合は論理値0の信号を出力し、 前記CPU手段は、前記障害検出手段より報告をうけた
    前記第1のプロセッサの動作状態が障害であることを示
    す場合は, 前記第1のプロセッサの入出力情報伝達路の
    取得禁止を示す論理値1の信号を前記第1のプロセッサ
    の前記入出力情報伝達路取得制御手段に送出し、 前記入出力情報伝達路取得制御手段はAND論理回路と
    OR論理回路とより構成され、 前記第4のプロセッサの有する前記障害検出手段が出力
    する前記第3のプロセッサの動作状態を示す信号は前記
    AND論理回路の第1の入力端子に入力され、 前記第3のプロセッサより伝達される自プロセッサの入
    出力情報伝達路の取得の可否を示す信号は前記AND論
    理回路の第2の入力端子に入力され、 前記CPU手段からの入出力情報伝達路の取得要求は前
    記OR論理回路の第1の入力端子に入力され、 前記AND論理回路の出力は前記OR論理回路の第2の
    入力端子に入力され、 前記OR論理回路の出力により前記入出力情報伝達路制
    御装置に対して入出力情報伝達路の取得の制御動作を指
    示することを特徴とする請求項3に記載のコンピュータ
    システム。
  5. 【請求項5】前記入出力情報伝達路はバスで形成され、
    前記入出力情報伝達路制御装置は各プロセッサが有する
    バスドライバであることを特徴とする請求項3に記載の
    コンピュータシステム。
  6. 【請求項6】前記入出力情報伝達路はチャネルで形成さ
    れ、前記入出力情報伝達路制御装置は各プロセッサに共
    通して設備されたチャネル接続切換制御装置であること
    を特徴とする請求項3に記載のコンピュータシステム。
JP6049619A 1994-03-22 1994-03-22 コンピュータシステム Pending JPH07262148A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP6049619A JPH07262148A (ja) 1994-03-22 1994-03-22 コンピュータシステム
US08/408,302 US5630053A (en) 1994-03-22 1995-03-22 Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs
US08/757,564 US5898829A (en) 1994-03-22 1996-11-27 Fault-tolerant computer system capable of preventing acquisition of an input/output information path by a processor in which a failure occurs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6049619A JPH07262148A (ja) 1994-03-22 1994-03-22 コンピュータシステム

Publications (1)

Publication Number Publication Date
JPH07262148A true JPH07262148A (ja) 1995-10-13

Family

ID=12836258

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6049619A Pending JPH07262148A (ja) 1994-03-22 1994-03-22 コンピュータシステム

Country Status (2)

Country Link
US (2) US5630053A (ja)
JP (1) JPH07262148A (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07262148A (ja) * 1994-03-22 1995-10-13 Nec Corp コンピュータシステム
US5864654A (en) * 1995-03-31 1999-01-26 Nec Electronics, Inc. Systems and methods for fault tolerant information processing
US6021511A (en) * 1996-02-29 2000-02-01 Matsushita Electric Industrial Co., Ltd. Processor
JP2001513236A (ja) * 1997-02-26 2001-08-28 シーメンス アクチエンゲゼルシヤフト 検定済のチャネルおよび非検定済のチャネルを有する冗長に構成された電子装置
US6732300B1 (en) 2000-02-18 2004-05-04 Lev Freydel Hybrid triple redundant computer system
US6550018B1 (en) 2000-02-18 2003-04-15 The University Of Akron Hybrid multiple redundant computer system
US6618825B1 (en) * 2000-04-20 2003-09-09 Hewlett Packard Development Company, L.P. Hierarchy of fault isolation timers
US7017861B1 (en) 2000-05-22 2006-03-28 Saab Ab Control system for actuators in an aircraft
DE10065118A1 (de) * 2000-12-28 2002-07-04 Bosch Gmbh Robert System und Verfahren zur Steuerung und/oder Überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbundes
US6839866B2 (en) * 2001-05-31 2005-01-04 Sycamore Networks, Inc. System and method for the use of reset logic in high availability systems
JP2003015900A (ja) * 2001-06-28 2003-01-17 Hitachi Ltd 追走型多重化システム、及び追走により信頼性を高めるデータ処理方法
US20030065861A1 (en) * 2001-09-28 2003-04-03 Clark Clyde S. Dual system masters
US7831518B2 (en) * 2001-11-20 2010-11-09 Psi Systems, Inc. Systems and methods for detecting postage fraud using an indexed lookup procedure
US6990320B2 (en) * 2002-02-26 2006-01-24 Motorola, Inc. Dynamic reallocation of processing resources for redundant functionality
US6931568B2 (en) * 2002-03-29 2005-08-16 International Business Machines Corporation Fail-over control in a computer system having redundant service processors
DE10236080A1 (de) * 2002-08-07 2004-02-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
DE10317650A1 (de) * 2003-04-17 2004-11-04 Robert Bosch Gmbh Programmgesteuerte Einheit und Verfahren
US7251746B2 (en) * 2004-01-21 2007-07-31 International Business Machines Corporation Autonomous fail-over to hot-spare processor using SMI
US8990365B1 (en) 2004-09-27 2015-03-24 Alcatel Lucent Processing management packets
CA2549540C (en) * 2005-06-10 2008-12-09 Hitachi, Ltd. A task management control apparatus and method
JP4859803B2 (ja) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 電動アクチュエータの制御装置
US20110258380A1 (en) * 2010-04-19 2011-10-20 Seagate Technology Llc Fault tolerant storage conserving memory writes to host writes
FR2960680B1 (fr) * 2010-05-28 2013-05-17 Airbus Operations Sas Systeme embarque a bord d'un aeronef
JP5816019B2 (ja) * 2011-07-29 2015-11-17 Ntn株式会社 冗長機能付きステアバイワイヤ式操舵装置の制御装置
US8538558B1 (en) * 2012-03-01 2013-09-17 Texas Instruments Incorporated Systems and methods for control with a multi-chip module with multiple dies
WO2013145325A1 (ja) * 2012-03-30 2013-10-03 富士通株式会社 情報処理システム、障害検知方法および情報処理装置
US9618909B2 (en) * 2013-12-20 2017-04-11 Thales Canada Inc Safety assurance of multiple redundant systems
US10868754B2 (en) 2016-01-27 2020-12-15 Nebbiolo Technologies Inc. High availability input/output management nodes
JP6982717B2 (ja) 2016-03-25 2021-12-17 ティーティーテック インダストリアル オートメーション アーゲー フォグコンピューティング促進型フレキシブル工場
JP6765874B2 (ja) * 2016-06-30 2020-10-07 日立オートモティブシステムズ株式会社 電子制御装置
US10798063B2 (en) 2016-10-21 2020-10-06 Nebbiolo Technologies, Inc. Enterprise grade security for integrating multiple domains with a public cloud
JP2018094720A (ja) * 2016-12-08 2018-06-21 キヤノン株式会社 電子機器
US10979368B2 (en) 2017-08-02 2021-04-13 Nebbiolo Technologies, Inc. Architecture for converged industrial control and real time applications
JP7816962B2 (ja) * 2021-12-17 2026-02-18 横河電機株式会社 制御システムおよび制御方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61260348A (ja) * 1985-05-15 1986-11-18 Hitachi Ltd 2重系計算制御方式
JPS63239539A (ja) * 1987-03-27 1988-10-05 Nec Corp マルチコンピユ−タシステム制御方式
JPH01217666A (ja) * 1988-02-26 1989-08-31 Nec Corp マルチプロセッサシステムの障害検出方式

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799159A (en) * 1985-05-30 1989-01-17 Honeywell Inc. Digital automatic flight control system with disparate function monitoring
US5274797A (en) * 1986-05-30 1993-12-28 Bull Hn Information Systems Inc. Multiprocessor system with centralized initialization, testing and monitoring of the system and providing centralized timing
JPH0792764B2 (ja) * 1988-05-25 1995-10-09 日本電気株式会社 マイクロプロセッサ
US5088021A (en) * 1989-09-07 1992-02-11 Honeywell, Inc. Apparatus and method for guaranteed data store in redundant controllers of a process control system
US5155729A (en) * 1990-05-02 1992-10-13 Rolm Systems Fault recovery in systems utilizing redundant processor arrangements
US5202822A (en) * 1990-09-26 1993-04-13 Honeywell Inc. Universal scheme of input/output redundancy in a process control system
US5418937A (en) * 1990-11-30 1995-05-23 Kabushiki Kaisha Toshiba Master-slave type multi-processing system with multicast and fault detection operations having improved reliability
US5343513A (en) * 1992-04-20 1994-08-30 Hughes Aircraft Company Channel compression and dynamic repartitioning for dual mode cellular radio
JPH0612288A (ja) * 1992-06-29 1994-01-21 Hitachi Ltd 情報処理システム及びその監視方法
JPH07262148A (ja) * 1994-03-22 1995-10-13 Nec Corp コンピュータシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61260348A (ja) * 1985-05-15 1986-11-18 Hitachi Ltd 2重系計算制御方式
JPS63239539A (ja) * 1987-03-27 1988-10-05 Nec Corp マルチコンピユ−タシステム制御方式
JPH01217666A (ja) * 1988-02-26 1989-08-31 Nec Corp マルチプロセッサシステムの障害検出方式

Also Published As

Publication number Publication date
US5630053A (en) 1997-05-13
US5898829A (en) 1999-04-27

Similar Documents

Publication Publication Date Title
JPH07262148A (ja) コンピュータシステム
JP2001034495A (ja) 二重化システム
JP2001060160A (ja) 制御装置のcpu二重化システム
JPH0588926A (ja) 監視制御系の自動切替回路
JP2606107B2 (ja) プロセッサ冗長化方式
JP3699049B2 (ja) 二重化伝送装置
KR100306482B1 (ko) 엔 대 일 이중화 시스템 및 그 시스템에서의 이중화 제어 방법
JP3812434B2 (ja) ヘルスチエック方式
JP2946541B2 (ja) 二重化制御システム
JPH095125A (ja) オンオフセンサ監視装置
JPH04305748A (ja) 高信頼性バス
JP3061691B2 (ja) 通話路装置
JP2778691B2 (ja) バス監視回路
JP2586243B2 (ja) システムの安全対策方式
JPH0456527A (ja) 信号切替回路
JP2677200B2 (ja) 正常系即時選択回路
JPH0730935A (ja) 系切り替え試験方法
JPH02281368A (ja) 制御装置の故障検出機構
JPH02178702A (ja) プロセス制御の二重化装置
JP2522038B2 (ja) 交換機
JPS6248146A (ja) デ−タ処理装置
JPH04157549A (ja) バス管理方式
JP2000242617A (ja) マルチプロセッサ通信機構の故障処理方法
JPH07298379A (ja) 監視装置及び監視システム
JPH08181738A (ja) 障害特定方法および障害特定装置

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 19980414