JPH08314744A - フォールトトレラントシステム - Google Patents

フォールトトレラントシステム

Info

Publication number
JPH08314744A
JPH08314744A JP7119858A JP11985895A JPH08314744A JP H08314744 A JPH08314744 A JP H08314744A JP 7119858 A JP7119858 A JP 7119858A JP 11985895 A JP11985895 A JP 11985895A JP H08314744 A JPH08314744 A JP H08314744A
Authority
JP
Japan
Prior art keywords
processing
node
data
fault
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP7119858A
Other languages
English (en)
Inventor
Nobuyasu Kanekawa
信康 金川
Susumu Kumagai
進 熊谷
Shoji Suzuki
昭二 鈴木
Yoshimichi Sato
美道 佐藤
Shinya Otsuji
信也 大辻
Takashi Hotta
多加志 堀田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP7119858A priority Critical patent/JPH08314744A/ja
Publication of JPH08314744A publication Critical patent/JPH08314744A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Arrangements For Transmission Of Measured Signals (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【目的】分散配置に適したフォ−ルトトレラントシステ
ムの構成を提供する。 【構成】複数のプロセッシングノード11〜1nと、各
プロセッシングノードにおけるデータ処理の結果である
データのうち最も信頼度の高いデータを選択して出力信
号250として与える出力選択ノ−ド20と、これらを
接続するネットワ−ク3より、フォ−ルトトレラントシ
ステムを構成する。各プロセッシングノード11〜1n
は自己診断機能121〜12nによって検出した障害の
発生状況を表す障害発生情報をデータと共に出力選択ノ
−ド20に送る。出力選択ノード20の判定機能230
は、各プロセッシングノード11〜1nからのデータ相
互間の一致/不一致と、各プロセッシングノード11〜
1nからの障害発生情報に基づき、最も信頼度の高いデ
ータを判定し、これを選択機能240に出力させる。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、サブシステムを多重化
したフォ−ルトトレラントシステムに関するものであ
る。
【0002】
【従来の技術】制御コンピュ−タシステム等の信頼性を
高める技術としては、サブシステムを多重化したフォ−
ルトトレラントシステムが知られている。
【0003】また、このようなフォ−ルトトレラントシ
ステムにおいて、多重化した各サブシステムに同じ処理
を実行させ、各サブシステムの出力する処理結果のうち
から最も確からしい処理結果を選択し、制御対象に出力
することが行われている。
【0004】最も確からしい出力結果を選択する技術と
しては、多数決論理によって最も確からしい処理結果を
決定する技術や、各サブシステムの自己診断結果に基づ
いて最も確からしい処理結果を選択する技術等が知られ
ている。
【0005】また、特開平3−15946号公報等に記
載されているように、シンドローム(障害発生状況)に
基づき各サブシステムの処理結果の信頼度を推定し、最
も信頼度の高い処理結果を選択する技術等が知られてい
る。この技術では、各サブシステム間、および、各シス
テムと各サブシステムの出力する処理結果のうちから制
御対象に出力する処理結果を選択する出力選択回路とを
各々独立した通信路で接続し、相互に情報を交換しなが
ら最終的に出力する処理結果を出力選択回路で選択して
いる。
【0006】また、高信頼化の技術としては、ハードウ
ェアの多重度を高める技術の他に、1つのハードウェア
の中の処理を多重化する技術が知られている。
【0007】
【発明が解決しようとする課題】さて、このようなフォ
−ルトトレラントシステムにおいては、各サブシステム
や、各サブシステムの出力する処理結果のうちから制御
対象に出力する処理結果を選択する出力処理回路を広域
に分散して配置する必要がある場合がある。しかし、こ
のような分散配置は、前述した特開平3−15946号
公報の技術では、必要となる通信路が膨大な規模となっ
てしまうために実現が困難である。
【0008】また、前述した特開平3−15946号公
報等に記載されている、各サブシステムの処理結果の信
頼度を推定し最も信頼度の高い処理結果を選択する技術
は、各サブシステムの内部構成が同一であり、障害検出
/障害回復機能のカバレッジ(障害検出/障害回復漏れ
がない確率)が等しいという仮定に基づいている。
【0009】しかし、実際のシステムは、システムの拡
張等によって新旧のサブシステムが混在した構成となる
こともある。そして、このような場合には、サブシステ
ムごとに障害検出/障害回復機能のカバレッジが異なる
ことがある。また、デザインダイバーシティの効果のた
めに意図的に異なる製造業者により製造されたサブシス
テムを混在させるような場合も同様に、サブシステムご
とに内部構成や、障害検出/障害回復機能のカバレッジ
が異なることがある。このような場合、前述した特開平
3−15946号公報等に記載されている技術では、必
ずしも最も信頼度が高い処理結果が選択されない場合が
ある。
【0010】また、前述した1つのハードウェアの中の
処理を多重化する技術によれば、多重化化した処理の間
で相関した誤りが発生したり、誤りの影響が局所化され
ないために処理結果の選択が正常に行えなくなることが
ある。
【0011】そこで、本発明は、サブシステムや出力選
択回路の分散配置に適したフォ−ルトトレラントシステ
ムを提供することを目的とする。
【0012】また、さらに、サブシステム毎に障害検出
/障害回復機能のカバレッジが異なる場合にも、各サブ
システムが出力する処理結果のうちから最も信頼度が高
い処理結果を選択することができるフォ−ルトトレラン
トシステムを提供することを目的とする。
【0013】また、本発明は、1つのハードウェアの中
の処理を多重化する場合に、各処理の誤りが伝搬しない
ように局所化することを目的とする。
【0014】
【課題を解決するための手段】一例を挙げれば、前記第
1番目の目的達成のために、本発明は、たとえば、同じ
処理を実行する複数のプロセッシングノードと、少なく
とも1つの出力選択ノードと、前記複数のプロセッシン
グノ−ドと出力選択ノ−ドとに接続するネットワ−クと
を有し、前記各プロセッシングノードは、前記処理を実
行するデータ処理手段と、データ処理手段が行う処理に
関して発生した障害を検出もしくは回復する自己診断手
段と、前記データ処理手段が実行した処理の処理結果で
あるデータと、前記自己診断手段の障害検出もしくは回
復の状況を表す障害発生情報とを前記ネットワ−クに送
信する送信手段とを備え、前記出力選択ノードは、各プ
ロセッシングノ−ドから前記ネットワ−クに送信された
各データ相互間の一致/不一致を検出するデータ比較手
段と、検出した各データ相互間の一致/不一致と、各プ
ロセッシングノ−ドから前記ネットワ−クに送信された
障害発生情報が表す各プロセッシングノ−ドにおける障
害の検出もしくは回復の状況とに基づき、各プロッセッ
シグノ−ドから前記ネットワ−クに送信された各データ
のうちの最も信頼度が高いデータを判定する判定手段
と、最も信頼度が高いと判定されたデータを出力する選
択手段とを有することを特徴とするフォールトトレラン
トシステムを提供する。
【0015】
【作用】前記本発明に係るフォル−トトレラントシステ
ムによれば、ネットワークの特質を活かしたシステム構
成、情報伝送方式を取り入れて、広域に分散したシステ
ムにおいても莫大な通信路を必要とせずに障害発生情報
に基づく信頼度推定により、最も信頼度の高いデータの
選択を実現することができる。
【0016】
【実施例】以下、本発明に係るフォ−ルトトレラントシ
ステムの実施例を説明する。
【0017】まず、第1の実施例について説明する。
【0018】図1に、本第1実施例に係るフォ−ルトト
レラントシステムの構成を示す。
【0019】図示するように、本第1実施例に係るフォ
−ルトトレラントシステムは、データ処理を行う複数の
プロセッシングノード11〜1nと、各プロセッシング
ノード11〜1nにおけるデータ処理の結果であるデー
タ141〜14nのうち最も信頼度の高いデータを選択
して制御対象(不図示)に出力信号250として与える
出力選択ノ−ド20と、出力選択ノ−ド20と各プロセ
ッシングノード11〜1nを接続したネットワ−ク3よ
り構成される。
【0020】プロセッシングノード11〜1nはデータ
処理機能111〜11n、障害の発生状況を検出する自
己診断機能121〜12n、処理結果送信機能131〜
13nをそれぞれ有している。データ処理機能111〜
11nにおけるデータ処理の結果であるデータ141〜
14nと、自己診断機能121〜12nによって検出し
た障害の発生状況を表す障害発生情報151〜15nは
処理結果送信機能131〜13nによりネットワーク3
を通じて他のノードへ送信される。
【0021】一方、出力選択ノード20は、処理結果収
集機能210、データ比較機能220、判定機能23
0、選択機能240を有している。
【0022】但し、プロセッシングノード11〜1nお
よび出力選択ノード20の内部構成は、機能の構成を示
したものであり、ハ−ドウェア的には、プロセッシング
ノード11〜1nおよび出力選択ノード20はMPUや
メモリを備えた一般的な構成のコンピュ−タであってよ
い。この場合、図1に示したプロセッシングノード11
〜1nおよび出力選択ノード20の内部の各機能は、コ
ンピュ−タ上で実行されるソフトウェアのプロセスとし
て実現される。
【0023】処理結果収集機能210は各プロセッシン
グノードがネットワーク3上に送信したデータ141〜
14nと障害発生情報151〜15nを収集する。デー
タ比較機能220は収集されたデータ141〜14n同
士を比較照合し、比較照合の結果、即ち、一致/不一致
の情報を判定機能230に報告する。判定機能230で
は、データ141〜14nの比較照合の結果と、収集さ
れた障害発生情報151〜15nに基づき、データ14
1〜14nそれぞれが正しい確率(データの信頼度)を
推定し、推定した信頼度が最も高いデータが、どれかを
選択機能240へ報告する。選択機能240は判定機能
230からの報告に基づき、データ141〜14nの中
から出力信号250として出力するデータを選択する。
【0024】判定機能230におけるデータの信頼度の
推定は、特開平3−16946号公報記載の技術を用い
て行うことができる。
【0025】以下に、データの信頼度の推定の方法につ
いて説明する。
【0026】データの信頼度Rdはデータ141〜14
nの一致/不一致および障害発生情報151〜15nか
らなるSyndromeに依存する。したがい、Syndromeは、デ
ータの信頼度Rdの高い順に、 Syndrome1,Syndrome2,・・・SyndromeL (L:Syndro
meの総数) すなわち Rd(Syndrome1)>Rd(Syndrome2)>・・・>Rd(SyndromeL) ただし、Rd(Syndromei):Syndromeiが観測されてい
るときの出力の信頼度 と順序づけることができる。
【0027】ここで、Syndrome1は最良の症状即ち全く
異常が検出されないということを表し、一方SyndromeL
は最悪の症状即ち全てのチェック項目で異常が検出され
たということを表す。例えば、チェック項目が障害発生
情報とデータ比較の2つだけである場合には、Syndrome
1は自己診断で異常が検出されずかつデータが他のプロ
セッシングノ−ドが出力したデータと一致していること
を表し、SyndromeLは、自己診断で異常が検出されかつ
データが他のプロセッシングノ−ドが出力したデータと
不一致を起こしていることを表す。
【0028】このようなSyndromeを定義することによ
り、以下のように最良の症状から順次症状のグレードを
下げながら存在するSyndromeを探索して、存在するSynd
romeのうち最も高い信頼度Rdに対応するSyndromeを検
出し、そのSyndromeを持つプロセッシングノ−ドの出力
するデータを選択することにより、各プロセッシングノ
−ドから出力されるデータのうちから、一番信頼度Rd
のものを選択することができる。
【0029】 if any subsystem has Syndrome1 then select the subsystem(s) which has Syndrome1, else if any subsystem has Syndrome2 then select the subsystem(s) which has Syndrome2, ・ ・ ・ else if any subsystem has SyndromeL-1 then select the subsystem(s) which has SyndromeL-1, else output fail safe signal. 簡単のためにデータ141〜14nの一致/不一致およ
び1つの自己診断の結果即ち、正常/異常という2段階
(1ビットの情報)の障害発生情報151〜15nから
Syndromeが構成されている場合を例にとり具体的に、こ
のデータの信頼度の推定の方法を説明する。
【0030】いま、各プロセッシングノ−ドの自己診断
の欠報率(プロセッシングノ−ドが異常であるのに正常
であると誤判定されてしまう確率、すなわち1−カバレ
ッジ)をPdε,誤ったデ−タが一致してしまう確率を
Paε,プロセッシングノ−ドにおいて誤りの発生する
確率をPεとする。
【0031】この場合、誤ったデ−タが一致してしまう
確率は、その誤り方がランダムであると仮定すれば、ラ
ンダムな2つのデ−タが一致する確率と考えられ、 Paε=2の−n乗 ただし n:デ−タのbit長 と表される。コンピュ−タシステム等でデ−タをソフト
ウェアにより照合する場合には、通常デ−タのbit長n
は大きな値をとることが多いため、 Paε≒0 であり、 Paε≪Pdε と考えることができる。
【0032】したがい、これらことを考慮すると各Synd
romeに対応するデータの信頼度Rdは、信頼度Rdの高い
順に (1) 自己診断の結果正常と診断されかつデータが他のk
個のプロセッシングノ−ドのものと一致している場合
【0033】
【数1】
【0034】(2)データが他のk個のサブシステムのも
のと一致している場合
【0035】
【数2】
【0036】(3)自己診断の結果正常と診断された場合
【0037】
【数3】
【0038】となる。
【0039】したがい、判定機能230は、データ14
1〜14nの比較照合の結果と、収集された障害発生情
報151〜15nに基づき以下のような手順に従って、
最も信頼度の高いデータを選択することができる。ただ
し本第1実施例では、、各プロセッシングノ−ドの自己
診断の欠報率Pdε、各プロセッシングノ−ドにおいて
誤りの発生する確率Pεは全て等しいものとする。
【0040】(1)自己診断の結果正常と診断されかつデ
ータが他のプロセッシングノ−ドのものと一致している
プロセッシングノ−ドを正常とみなしそのデータを選択
する。
【0041】条件(1)を満たすプロセッシングノ−ドが
ない場合には、 (2) データが他のプロセッシングノ−ドのものと一致し
ているプロセッシングノ−ドを正常とみなしそのデータ
を選択する。
【0042】条件(2)を満たすプロセッシングノ−ドが
ない場合には、 (3) 自己診断の結果正常と診断されたプロセッシングノ
−ドを正常とみなしそのデータを選択する。
【0043】なお、さらに条件(3)を満たすプロセッシ
ングノ−ドがない場合には、判定機能230は、 (4) 選択機能240からの出力を停止させるか、または
選択機能240から正常な出力が得られないことを警告
する信号を出力させる。
【0044】なお、以上では、簡単のために障害発生情
報151〜15nが1つの自己診断の結果からなる場合
について説明したが、障害発生情報151〜15nが複
数の自己診断の結果の組合せから構成される場合には、
データの信頼度Rdは以下の通りとなる。
【0045】
【数4】
【0046】なお、数4のようにRdの計算が複雑な場
合には、上記、判断のアルゴリズムも複雑になり多段階
となる。そこで、段階の数が多い場合には、信頼度Rd
の高い順に、シンドロームと選択すべきデータとを表形
式に並べ、最初に一致したシンドロームに対応するデー
タを選択するようにしてもよい。
【0047】なお、プロセッシングノード11〜1nの
自己診断機能121〜12nで障害発生情報151〜1
5nを生成するために行う自己診断としてはコンピュ−
タ・システムの場合を例にとれば、 (1) RAM等に付加されたにECC(Error Correcting
Code:誤り訂正符号)エンコ−ダ/デコ−ダによる記憶
データのbit誤りの検出、訂正の情報 (2) マイクロプロセッサが持つ誤り検出機能による検出
結果(バス・エラ−、アドレス・エラ−など) (3) ハ−ドウェアの機能診断プログラムの実行結果 (4) 分散配置デ−タ(同一プロセッシングノ−ド内で多
重化したデータ)の照合結果(照合によって、不一致が
検出された場合にはプロセッシングノ−ド内で多数決論
理により訂正を行う) (5) マイクロプロセッサの演算ユニットなどに付加され
た誤り検出機能による誤り検出結果 次に、プロセッシングノード11〜1nの処理結果送信
機能131〜13nについて説明する。
【0048】図2に、処理結果送信機能131の構成を
示す。
【0049】図中の、レジスタ1311は障害発生のた
びに自己診断機能121より送られる障害発生情報15
1をデータ処理機能111の処理の間蓄積する。蓄積す
る期間はデータ処理機能111から前回のデータ141
が送られてから次の回、即ち該当する回のデータ141
が送られて来るまでの期間である。即ち、データ141
の到来はレジスタ1311の蓄積動作を制御するトリガ
ー1315の役割を果たす。
【0050】パケット編集機能1312では、データ処
理機能111の処理が終了しデータ141が得られたな
らば、データ141とレジスタに蓄えられている障害発
生情報151をひとまとめに編集して、パケット131
3にして送信機能1314に渡す。送信機能1314は
所定のプロトコルに従ってネットワーク3を通じてパケ
ット1313の内容をメッセージとして送信する。
【0051】図3には、データ処理機能111での処
理、自己診断機能121、パケット編集機能1312、
送信機能1314の動作の時間的な関連を示した。
【0052】図示するように、データ処理機能111で
の処理の間に発生した障害は障害発生情報151として
自己診断機能121により検出され随時、レジスタ13
11に蓄積される。データ処理機能111での処理が終
了すると、データ141と障害発生情報151をもとに
パケット編集機能1312においてパケット1313に
編集され、送信機能1314に渡される。
【0053】以上、本発明の第1実施例について説明し
た。
【0054】このように本第1実施例によれば、ネット
ワークで結ばれ、分散したシステムにおいて、データ1
41〜14n間の一致/不一致の情報、障害発生情報1
51〜15nからデータの信頼度を推定し、信頼度が最
も高いデータをシステムの最終出力として選択すること
ができる。
【0055】以下、本発明の第2の実施例について説明
する。
【0056】図4に、本第2実施例に係るフォ−ルトト
レラントシステムの構成を示す。
【0057】図示するように、本第2実施例では、前述
した第1の実施例に係るフォ−ルトトレラントシステム
において、プロセッシングノード11〜1nがプロセッ
シングノードの信頼度、構成、障害検出/回復のカバレ
ッジを表すカテゴリを出力するカテゴリ161〜16i
を付加したものである。
【0058】このような構成によって、本フォ−ルトト
レラントシステムでは、各プロセッシングノード11〜
1nの処理結果送信機能131〜13iは、データ14
1から14n、障害発生情報151〜15nに加えてプ
ロセッシングノードの信頼度、構成、障害検出/回復の
カバレッジを表すカテゴリ161〜16nをネットワー
ク3を通じて出力選択ノード20へ送信する。
【0059】一方、出力選択ノード20内の判定機能2
30では、データ141〜14nの比較照合結果、障害
発生情報151〜15n、カテゴリ161〜16nに基
づき、データ141〜14nそれぞれが正しい確率(デ
ータの信頼度)を推定し、そのデータの信頼度が最も高
いかを選択機能240へ報告する。選択機能240は判
定機能230からの報告に基づき、データ141〜14
nの中から出力信号250を選択する。
【0060】ここで、カテゴリ161〜16nのプロセ
ッシングノードの信頼度は、そのプロセッシングノード
で誤りの発生する確率Pεを表し、プロセッシングノー
ドの構成より、誤ったデ−タが一致してしまう確率Pa
εを求めることができ、カテゴリ161〜16nの障害
検出/回復のカバレッジより各自己診断の欠報率Pdεi
を求めることができるので、このようにカテゴリ161
〜16nを出力選択ノード20に送信するようにするこ
とにより、判定機能230は各プロセッシングノ−ドか
ら送られた各データの信頼度Rdを先に示した数4と同
様の式より求めることができる。
【0061】なお、本第2実施例では、第1実施例とは
異なり、データのビット数のみならず、プロセッシング
ノードの構成の多様度より、2つのプロセッシグノ−ド
の誤ったデ−タが一致してしまう確率Paεを求める。
同じ処理を実行する2つのプロセッシングノードの構成
が異なるほど、同じ誤りを犯す確率は低くなるので、判
定機能230は、受け取った各プロセッシングノードの
構成より、データが一致した2つのプロセッシングノー
ドの構成の多様度を求め、多様度が大きい程度確率Pa
εが小さくなるように定める。また、データの信頼度
は、数4式中の確率Paεのk−1乗の項を、そのデー
タと、当該データと一致した各データとの間の確率Pa
εの積に置き換えて求める。
【0062】つまり、本第2実施例では図1に示す実施
例に加えて、各プッロセッシングノードの信頼度や、種
別構成や、自己診断機能の誤り検出漏れの確率が異なる
場合にも正しく最も信頼度の高いデータを選択すること
ができる。従って、本実施例によれば、様々なプロセッ
シングノードを組み合わせて高信頼なシステムを構築す
ることができる。
【0063】図5に、本第2実施例におけるプロセッシ
ングノ−ド11〜1nの処理結果送信機能131の構成
を示す。図示するように、図3に示した第1実施例係る
処理結果送信機能131の構成において、カテゴリもパ
ケット編集1312に入力するようにしたものである。
【0064】パケット編集1312は、たとえば、図6
に示すような形式のパケット1313を編集する。
【0065】すなわち、パケット1313を、入力され
た障害発生情報15x、カテゴリ16x、データ14x
から構成する。ここでは、障害発生情報15x、カテゴ
リ16x、データ14xの順番とした。
【0066】また、この例では、障害発生情報15x
は、パリティ誤りが検出/非検出、ECCで1ビット誤り
が検出/非検出、2ビット誤りが検出/非検出、自己診
断の結果が正常/異常、2重化比較照合結果が一致/不
一致の情報から構成した。また、また、カテゴリ16x
は2重化比較照合カバレッジ、ECCカバレッジパリティ
バレッジ、自己診断カバレッジ、ハードウエア多様度、
ソフトウエア多様度の情報から構成した。ハードウエア
多様度、ソフトウエア多様度は、プロセッシングノード
のハ−ドウェア構成、ソフトウェア構成を表すバ−ジョ
ンNo等である。
【0067】さて、本図では、各プロセッシングノード
の信頼度は送信しない場合の例を示した。この場合に
は、そのプロセッシングノードで誤りの発生する確率P
εを出力選択ノ−ドの判定機能において固定とする。こ
のように、本第2実施例においては、カテゴリ161〜
16nとして、プロセッシングノードの信頼度、構成、
障害検出/回復のカバレッジのうちの一つまたは二つの
みを用い、確率Pε、確率Paε、確率Pdεiのうちの
一つまたは二つのみをプロセッシングノ−ド毎に可変と
するようにしてもよい。
【0068】次に、送信機能1314は、このようなパ
ケット1313を受取り、これに、図7にに示すよう
に、ヘッダ−31を付加したメッセ−ジを作成し、ネッ
トワーク3を介して出力選択ノ−ドに送信する。ヘッダ
−31は発信元のノード、宛先のノード、メッセージの
種別等の情報を表し、含まれている情報はネットワーク
3の種類、プロトコルに依存する。
【0069】ところで、パケット編集1312が編集す
るパケット1313は、図8に示すように構成してもよ
い。図8の形式は、データ14x、障害発生情報15
x、カテゴリ16xの順番でパケットを構成したもので
ある。
【0070】この場合送信機能1312からは、ネット
ワーク3を介して図9に示すメッセ−ジが出力選択ノ−
ドに伝送されることになる。
【0071】このようなメッセ−ジは、通常のネットワ
ークで交換されるメッセージつまり、ヘッダ31、デー
タ14xの順番で構成されるメッセージの後に、本第2
実施例特有の障害発生情報15x、カテゴリ16xを付
加した形となる。したがって、ネットワークに障害発生
情報15x、もしくは、障害発生情報15xおよびカテ
ゴリ16xを送信する機能を有していないプロセッシン
グノードがシステム中に存在する場合でも、出力選択ノ
−ド20において、当該プロセッシングノードについて
は最初のヘッダ31、データ14xのみを参照し、それ
以降の障害発生情報15x、カテゴリ16xを無視する
ようにすれば、他のプロセッシングノ−ドと同様に扱う
ことができる。すなわち、従来のプロセッシングノード
をシステム中に混在することを許容することができる。
なお、図8、図9において、障害発生情報15x、カテ
ゴリ16xの順番が反対の場合も同じ効果がある。
【0072】なお、図7、9のメッセ−ジからカテゴリ
を省略したものが、前述した第1実施例において各プロ
セッシングノ−ドが送信するメッセ−ジに相当する。
【0073】以下、本発明の第3の実施例について説明
する。
【0074】図10に、本第3実施例に係るフォ−ルト
トレラントシステムの構成を示す。
【0075】本第3実施例では、プロセッシングノード
11〜1nで複数のタスク1(41)〜タスクm(4
m)を実行する。また、各タスクに対応して、出力選択
ノード21〜2mを設けている。
【0076】図10ではプロセッシングノード11〜1
nの内プロセッシングノード11〜1iはタスク1(4
1)を実行し、プロセッシングノード1j〜1nはタス
クm(4m)を実行している。
【0077】出力選択ノード21〜2mはそれぞれタス
ク1(41)〜タスクm(4m)に対応して設けられて
おり、対応するタスクを実行しているプロセッシングノ
−ドの出力する出のうちから最も信頼度の高いデータを
選択して出力251〜25mとしている。
【0078】例として、タスク1(41)のデータを出
力251する出力選択ノード21の動作を説明する。タ
スク1(41)を実行しているプロセッシングノード1
1〜1iからのデータ141〜14i、障害発生情報1
51〜15i、カテゴリ161〜16iはネットワーク
3を通じて送信され、出力選択ノード21内の処理結果
収集機能により選びだされる。判定機能231では、デ
ータ141〜14iの比較照合の結果、障害発生情報1
51〜15i、カテゴリ161〜16iに基づき、デー
タ141〜14iそれぞれが正しい確率(データの信頼
度)を推定し、そのデータの信頼度が最も高いかを選択
機能241へ報告する。選択機能241は判定機能23
1からの報告に基づき、データ141〜14nの中から
出力信号251を選択する。
【0079】以上述べた実施例によれば、ネットワーク
の特質を活かして、膨大な通信路を必要とせずに多機能
な高信頼度の分散システムをに実現することができる。
なお、さらに、ネットワークを冗長化してネットワーク
の障害によりシステム全体が影響を受けないようにして
もよい。
【0080】以下、本発明の第4の実施例について説明
する。
【0081】図11に、本第4実施例に係るフォ−ルト
トレラントシステムの構成を示す。
【0082】図示するように、本第4実施例に係るフォ
−ルトトレラントシステムは、第3実施例に係るフォ−
ルトトレラントシステムの構成(図10参照)におい
て、各プロセッシングノード11〜1nに、処理結果収
集機能131’〜13n’、データ比較機能171〜1
7n、実行タスク決定機能181〜18nを付加した構
成となっている。
【0083】このような構成において、各プロセッシン
グノ−ド11〜1nは、実行するタスクを自ら決定し、
実行する。
【0084】さて、各プロセッシングノードの処理結果
収集機能131’〜13n’はプロセッシングノード1
1〜1nがネットワークを通じて送信するデータ141
〜14i、障害発生情報151〜15i、カテゴリ16
1〜16iを収集する。データ比較機能171〜17n
は収集されたデータ141〜14n同士を比較照合し、
比較照合の結果即ち、一致/不一致を実行タスク決定機
能181〜18nに報告する。実行タスク決定機能18
1〜18nは障害発生情報151〜15i、カテゴリ1
61〜16iおよびデータ比較機能171〜17nより
報告されたデータ141〜14n同士の一致/不一致情
報に基づき、各タスクの信頼度を推定し、信頼度の最も
低いタスクを実行すべきタスクと判断し、実行を開始す
る。
【0085】すなわち、確率Pε、確率Paε、確率Pd
εiが全て等しく、N1個のプロセッシングノ−ドが同
じタスクを実行しており、その内N2個のプロセッシン
グノ−ドの障害発生情報が障害が発生していないことを
表しており、N3個のプロセッシングノ−ドのデータが
一致したときには、N1個のプロセッシングノ−ドの確
率Pεの積と、障害が発生していないN2個のプロセッ
シングノ−ドの確率Pdεiの積と、N3個のプロセッシ
ングノ−ドのデータが誤って一致してしまう確率との積
を、タスクの処理結果が誤っている確率として求め、こ
れを、1から減じた値を当該タスクの信頼度として用い
る。または、さらに、これにタスクを実行しているプロ
セッシングノ−ド数を考慮してもよい。タスクを実行し
ているプロセッシングノ−ド数が多ければ多いほど当該
タスクの信頼度は高いと考えることができる。
【0086】そして、各プロセッシングノ−ド毎に、求
めたタスクの信頼度に予めタスク毎に定めたオフセット
値を与えることにより各タスクの信頼度の値を修正す
る。同じタスクに当られるオフセット値はプロセッシン
グノ−ド毎に異ならせるようにする。たとえば、タスク
毎に、このタスクを主に担当するプロセッシングノ−ド
を定め、このプロセッシングノ−ドでは、このタスクの
信頼度が相対的に小さくなるように、このプロセッシン
グノ−ドにおける、このタスクのオフセット値を定め
る。このようにすることにより、各プロセッシングノ−
ドにおいて、そのプロセッシングノ−ドが主に担当する
タスクの信頼度が相対的に低くなるので、このプロセッ
シングノ−ドが、このタスクに代えて他のタスクを実行
することがなくなる。
【0087】そして、各プロセッシングノ−ドの実行タ
スク決定機能181〜18nは、自プロセッシングノ−
ドで実行しているタスクより信頼度の低いタスクが存在
する場合、このタスクを実行するようデータ処理機能を
制御する。
【0088】この際、同じタスクに当られるオフセット
値はプロセッシングノ−ド毎に異ならせるようにしてい
るので、各オフセット値を適宜定めれば、全てのプロセ
ッシングノ−ドが同じタスクを実行したり、実行されな
いタスクが生じたりすることを防止することができる。
【0089】以下、本発明の第5実施例を説明する。
【0090】本第5実施例に係るフォ−ルトトレラント
システムの基本構成は、第3実施例に係るフォ−ルトト
レラントシステムの構成(図10参照)と同じであり、
プロセッシングノード11〜1nで複数のタスク1(4
1)〜タスクm(4m)を実行する。また、各タスクに
対応して、出力選択ノード21〜2mを設けている。
【0091】ただし、図12に示すように、同じタスク
を実行する複数のプロセッシングノ−ドのうち一つのプ
ロセッシングノ−ドを除くプロセッシングノ−ドは図1
2のプロセッシングノ−ド1iのように構成する。すな
わち、処理結果収集機能13i’、データ処理機能11
i,データ比較機能191i、自己診断機能12i、カ
テゴリ16i、処理結果障害発生情報比較機能193i
と、比較情報ステップ心機能13i”でプロセッシング
ノ−ドを構成する。
【0092】図12は、本第5実施例に係るフォ−ルト
トレラントシステムのノ−ドうち、タスク1(41)に
関連した処理を行うノ−ドのみを表したものである。図
中において、プロセッシングノード11〜1iはタスク
1(41)をデータ処理機能111〜11iで実行し、
出力選択ノード21は、対応するタスク1を実行してい
るプロセッシングノ−ド11〜1iで求まったデータの
うちから最も信頼度の高いデータを選択して出力251
とするためのノ−ドでである。
【0093】ただし、図12ではプロセッシングノード
12〜1(i−1)も図示を省略している。
【0094】さて、いま、図12において、プロセッシ
ングノード12〜1iは、図示したプロセッシングノー
ド1iと同じ構成を有しているのものとする。
【0095】このような構成において、タスク1(4
1)を実行しているプロセッシングノード11〜1iの
うち、プロセッシングノード11は、前記第3実施例に
おける場合と同様にデータ141、障害発生情報15
1、カテゴリ161を処理結果送信機能131によりメ
ッセージとしてネットワーク3を通じて送信する。ただ
し、送信先は、出力選択ノ−ド21とプロセッシングノ
−ド12〜1iとする。
【0096】プロセッシングノード12〜1iは送信さ
れたデータ141、障害発生情報151、カテゴリ16
1と自らのデータ処理機能112〜11iで行ったタス
ク1の処理の処理結果のデータ142〜14i、自己診
断機能122〜12iで生成した障害発生情報152〜
15i、カテゴリ162〜16iとをデータ比較機能1
912〜191iおよび障害発生情報比較機能1932
〜193iで比較し、データ比較情報1922〜192
i、障害発生情報比較情報1942〜194iを比較情
報送信機能132”〜13i”より出力選択ノ−ド21
に送信する。データ比較情報1922〜1922は、自
データ処理機能112〜11iで求めたデータ14iと
データ141との一致、または差分を表す情報である。
また、同様に、障害発生情報比較情報1942〜194
2は、自己診断機能122〜12iと障害発生情報15
1との一致または差分と、カテゴリ162〜16iとカ
テゴリ161との一致または差分を表す情報である。
【0097】ここで、理解を助けるためにプロセッシン
グノード1iに着目して動作を説明する。プロセッシン
グノード1iは送信されたデータ141、障害発生情報
151、カテゴリ161と自らの処理結果のデータ1
i、障害発生情報15i、カテゴリ16iとをデータ比
較機能191iおよび障害発生情報比較機能193iで
比較し、データ比較情報192i、障害発生情報比較情
報194iを生成し、こ比較情報送信機能131”より
ネットワーク3を通じて出力選択ノ−ド21送信する。
【0098】データ比較情報192i、障害発生情報比
較情報194iは、前述した比較の結果が一致であれば
一致である旨をある情報とし、不一致であれば差分を表
す情報とする。
【0099】出力選択ノード21内の判定機能231で
は、障害発生情報151、カテゴリ161、データ比較
情報1922〜192i、障害発生情報比較情報194
2〜194iに基づき、プロセッシングノ−ド12〜1
iから送られたデータ比較情報1922〜192i、障
害発生情報比較情報1942〜194iの全てが一致を
表しており、障害発生情報151が障害の発生を表して
いない場合には、データ141を選択するよう選択機能
240へ報告する。データ比較情報1922〜192
i、障害発生情報比較情報1942〜194iの全てが
一致を表しており、障害発生情報151が障害の発生を
表している場合には、制御対象がフェイルセ−フ側に停
止する予め定めたデータを出力するよう選択機能240
を制御する。
【0100】もし、データ比較情報1922〜192
i、障害発生情報比較情報1942〜194iの全てが
一致を表していない場合には、一致を表さないデータ比
較情報、障害発生情報比較情報が表す差分から、これら
の情報を送った各プロセッシングノ−ドのデータ、障害
発生情報、カテゴリを復元し、前述したように、データ
141と、復元した各データの信頼度を推定し、どのデ
ータの信頼度が最も高いかを選択機能240へ報告す
る。選択機能240は判定機能230からの報告に基づ
き、選択を行う。
【0101】以上のようにすれば、障害が発生しない場
合には、プロセッシングノード12〜1iはデータ比較
情報1922〜192i、障害発生情報比較情報194
2〜194iつまり、データ141、障害発生情報15
1、カテゴリ161との一致のみを送信するので、ネッ
トワーク3を介して交換される情報量を削減することが
できる。
【0102】さらに、プロセッシングノード12〜1i
が、一致を表す場合にはデータ比較情報1922〜19
2i、障害発生情報比較情報1942〜194iの送信
を省略するようにすれば、メッセージ交換の回数自体も
大幅に削減される。この場合、出力選択ノ−ド21は、
あるプロセッシングノ−ドからデータ比較情報、障害発
生情報比較情報を受け取らなかった場合、その受け取ら
なかったプロセッシグノ−ドから一致を表すデータ比較
情報、障害発生情報比較情報を受け取ったものとして前
記動作を行うようにする。
【0103】以下、本発明の第6の実施例について説明
する。
【0104】本第6実施例は、フォ−ルトトレラントシ
ステムの要素となる先の実施例で示してきたようなノー
ドの高信頼化に関するものである。
【0105】図13に、本第6実施例に係るノード50
の構成を示す。図示するように本実施例では、ノ−ド5
0に出力選択装置7を付加している。
【0106】ノ−ド50は、後に示すようにMPUやメ
モリを備えた一般的な構成のコンピュ−タであり、ソフ
トウェアの実行によって実現される同一の機能を持つ処
理1(61)〜処理N(6N)を内部で時分割に実行す
る。この処理1(61)〜処理N(6N)の結果は出力
選択装置7の入力ポート1(711)〜入力ポートN
(71N)に入力され、正しいと思われる一つの処理結
果が出力選択回路72で選択され出力される。
【0107】なお、出力選択回路72は、単純な多数決
論理によって処理結果を選択して出力したり、特開平3
−15946号等に記載されている、所定の障害検出機
能によって障害が検出されていない固定数の処理結果の
多数決と取るMV(ModifiedVoter)などによって処理結
果を選択して出力したりするようにしてもよい。
【0108】本第6実施例によれば、ハードウェアの増
大を招かずに、発生するフォールトの大半を占める過渡
フォールトの影響はノード内での処理の冗長化によりマ
スクすることができる。
【0109】次に本発明の第7の実施例について説明す
る。
【0110】図14に、本第7実施例に係るプロセッシ
ングノード50の構成を示す。
【0111】図示するように本第7実施例では、プロセ
ッシングノードをノード5a〜5xと多重化し、さら
に、それぞれのノードで実行する処理を多重化したもの
である。ノード5a〜5xの構成は第6実施例のノ−ド
50と同一のものである。
【0112】出力選択装置7は、多重化したノード5a
〜5xのさらに多重化した処理の結果のなかから、前述
したように、ひとつの処理結果を出力選択装置7で選択
する。
【0113】ここで、同一のノード内で多重化した処理
結果のうち過半数が一致している場合には、その処理結
果に過渡フォールトによる誤りが生じていないことが判
る。さらにその処理結果が他のノードの少なくとも1つ
の処理結果と一致している場合には処理を実行している
ハードウェアの故障つまり、固定フォールトによる誤り
が生じていないことががわかる。
【0114】そこで、本第7実施例では、同一のノード
内で多重化した処理結果のうち過半数が一致し、かつ他
のノードの少なくとも1つの処理結果と一致している場
合にはその出力を出力選択装置7で選択するようにす
る。これにより、過渡フォールト、固定フォールトのい
ずれもの影響も受けていない処理結果、即ち正しい処理
結果を常に得ることができる。
【0115】本第7実施例によれば、発生するフォール
トの大半を占める過渡フォールトの影響はノード内での
処理の多重化によりマスクされ、ノ−ドのハードウェア
の故障などに代表される固定フォールトの影響はノード
の多重化によりマスクされる。ハードウェアの多重度よ
りも処理の多重度の方が高いので、発生する頻度のより
高い過渡フォールトにより強い合理的な構成である。
【0116】ところで、本第7実施例に係るノ−ドの最
小構成は、図15のようになる。
【0117】図15はノードを2重化し、それぞれのノ
ードの中で処理を2重化、つまり、ハードウェアを2重
化、処理を4重化した実施例である。過渡フォールト発
生時には処理1a、処理2a、処理1b、処理2bのい
ずれか1つの結果が異なるので、他と一致している結果
を選択すればよい。しかし、固定フォールト時には処理
1a、処理2aの結果と処理1b、処理2bの結果とが
不一致となり、正常な出力が特定できない場合がある。
そこで、安全性が重視される用途では、このような場合
には、73出力によって制御される対象が、安全側に動
作を停止する出力を出すようにする。すなわち、フェイ
ルセーフ動作を行うようにする。一方、もし、稼働率が
重視される用途では、他と一致している結果を出力とし
て選択すればよい。
【0118】ここで、安全性が重視される用途に適した
出力選択回路72の選択の例を示しておく。
【0119】以下に論理式で示した選択の例は、過渡フ
ォールト発生時には一つの処理結果を選択して出力する
選択を行って処理を継続し、固定フォールト発生時には
安全側に動作を停止させる出力を選択するファイルセー
フな動作を実現するものである。
【0120】
【数5】 SEL_1a = (1a = 2a) AND ((1a = 1b) OR (1a = 2b))
【0121】
【数6】 SEL_2a = (1a = 2a) AND
((2a = 1b) OR (2a = 2b))
【0122】
【数7】 SEL_1b = (1b = 2b) AND
((1a = 1b) OR (2a = 1b))
【0123】
【数8】 SEL_2b = (1b = 2b) AND ((1a = 2b) OR (2a = 2b))
【0124】
【数9】Fail-Safe = NOT (SEL_1a OR SEL_1b) 但し、 SEL_1aが真のとき:処理1aの結果を選択す
る。
【0125】SEL_2aが真のとき:処理2aの結果を選択
する。
【0126】SEL_1bが真のとき:処理1bの結果を選択
する。
【0127】SEL_2bが真のとき:処理2bの結果を選択
する。
【0128】Fail-Safeが真のとき:安全側停止出力を
選択する。
【0129】1a:処理1aの結果 2a:処理2aの結果 1b:処理1bの結果 2b:処理2bの結果 以上述べたように例によれば、ハードウェアの少ない増
加で発生頻度の比較的高い過渡フォールト発生時には処
理を継続させ、発生頻度の比較的低い固定フォールト発
生時にはフェイルセーフ動作をさせることができ、稼働
率の向上と安全性の確保の両立を図れる。
【0130】以下、本発明の第8の実施例について説明
する。
【0131】本第8実施例は、第1〜第5実施例で示し
た出力選択ノ−ドに、第6実施例を適用したものであ
る。
【0132】図16に、この場合の出力選択ノ−ド20
の構成を示す。
【0133】選択ノードのデータ選択機能つまり、処理
結果収集機能210データ比較機能230、判定機能2
30、選択機能240を、多重化する処理1(61)〜
処理N(6N)としたものである。
【0134】このようにすることにより、データ選択自
体の信頼度を向上させ、ひいてはシステム全体の信頼度
を大幅に向上させることができる。
【0135】また、同様に、処理結果収集機能210デ
ータ比較機能230、判定機能230、選択機能240
を、多重化する処理1(61)〜処理N(6N)とし
て、第1〜第5実施例で示した出力選択ノ−ドに、第7
実施例を適用することもできる。
【0136】また、同様に、第6実施例、第7実施例の
多重化の技術を前述した第1実施例から第5実施例のプ
ロセッシングノ−ドに適用することもできる。この場合
はたとえば、第6実施例、第7実施例で示したプロセッ
シングノ−ドの機能全体を多重化する処理とすればよ
い。
【0137】次に、本発明の第9の実施例を説明する。
【0138】本第9実施例は、第6、7、8実施例で示
したノ−ド内の処理の多重化を実現するノ−ド50内の
構成についてのものである。
【0139】本第9実施例に係るノ−ド50の構成を図
17に示す。
【0140】図示するように、本ノ−ド50は、MPU
(Micro-Processing Unit)501、メモリ(MEM)5
03、インタフェース(I/F)504がバス500を
介してお互いに接続した構成を有している。MPU50
1はメモリ(MEM)503に各種のデータを読み書き
しながらソフトウェアに従い処理を実行するのは通常の
コンピュータである。出力選択装置72の入力ポート1
(711)〜入力ポートN(71N)に接続しているイ
ンタフェース(I/F)504の出力ポート1(51
1)〜ポートN(51N)にはそれぞれ異なるアドレス
が割り当ててある。
【0141】MPU501は図18に示すように同一の
機能を持つ処理1(61)、処理2(62)、...処
理N(6N)を順次実行し、実行の度に処理1(61)
〜処理N(6N)の結果をインタフェース(I/F)5
04の出力ポート1(511)〜ポートN(51N)に
書き込む。また、処理1(61)〜処理N(6N)ごと
にメモリ(MEM)503を分割して使用する。すなわ
ち、各処理で異なる出力ポート1(511)〜ポートN
(51N)、メモリ503の異なる領域を使用する。
【0142】これにより、処理1(61)〜処理N(6
N)の独立性を高めることができる。本第9実施例のメ
モリ(MEM)503、出力ポ−トのアドレスマップを
図19に示しておく。
【0143】以上述べた本第9実施例によれば、プロセ
ッサ501の誤動作が過渡フォールトによるものである
場合には、正常に実行できた処理結果を選択することに
より、正常な出力を得ることができる。また、プロセッ
サ501の誤動作の要因の大半が過渡フォールトによる
ものであるので本実施例によれば、ハードウェアの増加
を招かずにフォールトの大半の影響をマスクすることが
できる。
【0144】次に、本発明の第10実施例について説明
する。
【0145】本第10実施例も、第9実施例と同様に、
第6、7、8実施例で示したノ−ド内の処理の多重化を
実現するノ−ド50の構成についてのものである。
【0146】本第10実施例に係るノ−ド50の構成を
図20に示す。
【0147】本第10実施例が第9実施例と異なる点
は、ノ−ドのインタフェ−ス504の出力ポ−トを一つ
だけ用い、カウンタ506の出力値によって出力選択装
置7の入力ポート1(711)〜入力ポートN(71
N)を切り替えるようにした点である。
【0148】タイマ505は1回の処理が終了する時間
ごとに信号を出力し、カウンタ506はその度に計数
値、現在実行されている処理が処理1(61)〜処理N
(6N)のどの処理なのかを認識し、処理番号509を
出力する。ポート選択装置507は処理番号509に従
い、対応する入力ポートを選択する。
【0149】本第10実施例によれば、プロセッサ50
1が誤動作した場合でも、処理番号に応じた入力ポート
を選択することができるので、プロセッサ501の誤動
作の場合でも出力選択装置7を確実に動作させられる。
したがって、プロセッサ501の誤動作が過渡フォール
トによるものである場合には、正常に実行できた処理結
果を選択することにより、正常な出力を得ることができ
る。
【0150】また更に、タイマ505からの1回の処理
が終了する時間ごとの信号によりプロセッサ501をリ
セットすれば、ある処理で過渡フォールトが発生しても
次の処理ではリセット後なので過渡フォールトの影響を
除去できる。したがって、処理1(61)〜N(6N)
間の独立性をさらに高めることが可能となる。
【0151】次に、本発明の第11の実施例について説
明する。
【0152】本第11実施例も、第9実施例と同様に、
第6、7、8実施例で示したノ−ド内の処理の多重化を
実現するノ−ド50内の構成についてのものである。
【0153】本第11実施例に係るノ−ド50の構成を
図21に示す。
【0154】本第11実施例が第9実施例と異なる点
は、MPU501からのアドレスを処理ごとにアドレス
変換機能508で異なるアドレス領域に変換することに
より、強制的に処理毎に異なるメモリ501の領域が使
用されるようにした点である。
【0155】図中において、タイマ505は1回の処理
が終了する時間ごとに信号を出力し、カウンタ506は
その度に計数値、現在実行されている処理が処理1(6
1)〜処理N(6N)のどの処理なのかを認識し、処理
番号509を出力する。アドレス変換機能508はカウ
ンタ506からの処理番号509に従い、MPU501
からのアドレスを変換する。
【0156】アドレス変換機能の変換の例を図22に示
す。図22に示すように、カウンタ506の出力値を、
MPU501の出力するアドレスの上位2ビット目の上
位ビットの位置に挿入すれば、図23に示すようにMP
U501が毎回全く同一の処理を繰り返していても、処
理の番号に応じて使用するメモリの領域、出力ポートは
図24のアドレスマップに示すように強制的に変換され
る。但し、MPU501の出力する最上位ビットam
は、処理毎のメモリ501の使用、出力ポ−トのアドレ
ッシングに際して変化しないものとする。
【0157】本第10実施例によれば、プロセッサ50
1が誤動作した場合でも、処理番号に応じた入力ポート
を選択することができるので、プロセッサ501の誤動
作の場合でも出力選択装置7を確実に動作させられる。
その上、同一の処理プログラムで処理1(61)〜処理
N(6N)を実行させることができるので、ソフトウェ
アに対する透過性(トランスペアレンシ)を実現でき
る。
【0158】以上、本発明の各実施例を説明した。
【0159】このように本発明の各実施例によれば、ネ
ットワークの特質を活かした広域に分散したシステムに
適した高信頼化の方法、冗長資源管理の方法を実現する
ことができる。さらに、より少ないハードウェアの増加
で、稼働率、安全性共に高いシステムを提供することが
できる。
【0160】
【発明の効果】以上のように、本発明によれば、サブシ
ステムや出力選択回路の分散配置に適したフォ−ルトト
レラントシステムを提供することを目的とする。
【0161】また、さらに、サブシステム毎に障害検出
/障害回復機能のカバレッジが異なる場合にも、各サブ
システムが出力する処理結果のうちから最も信頼度が高
い処理結果を選択することができるフォ−ルトトレラン
トシステムを提供することができる。
【0162】また、本発明によれば、1つのハードウェ
アの中の処理を多重化する場合に、各処理の誤りが、他
の処理に波及しないようにを局所化することができる。
【図面の簡単な説明】
【図1】本発明の第1実施例に係るフォ−ルトトレラン
トシステムの構成を示すブロック図である。
【図2】本発明の第1実施例に係る処理結果送信機能の
構成を示すブロック図である。
【図3】本発明の第1実施例に係る処理結果送信機能の
動作を示すタイミングチャ−トである。
【図4】本発明の第2実施例に係るフォ−ルトトレラン
トシステムの構成を示すブロック図である。
【図5】本発明の第2実施例に係る処理結果送信機能の
構成を示すブロック図である。
【図6】本発明の第2実施例で用いるパケットの第1の
フォーマット例を示す図である。
【図7】本発明の第2実施例で用いるメッセージの第1
のフォーマット例を示す図である。
【図8】本発明の第2実施例で用いるパケットの第2の
フォーマット例を示す図である。
【図9】本発明の第2実施例で用いるメッセージの第2
のフォーマット例を示す図である。
【図10】本発明の第3実施例に係るフォ−ルトトレラ
ントシステムの構成を示すブロック図である。
【図11】本発明の第4実施例に係るフォ−ルトトレラ
ントシステムの構成を示すブロック図である。
【図12】本発明の第5実施例に係るフォ−ルトトレラ
ントシステムの構成を示すブロック図である。
【図13】本発明の第6実施例に係るフォ−ルトトレラ
ントシステムのノ−ドの構成を示すブロック図である。
【図14】本発明の第7実施例に係るフォ−ルトトレラ
ントシステムのノ−ドの第1の構成例を示すブロック図
である。
【図15】本発明の第7実施例に係るフォ−ルトトレラ
ントシステムのノ−ドの第2の構成例を示すブロック図
である。
【図16】本発明の第8実施例に係るフォ−ルトトレラ
ントシステムの出力選択ノ−ドの構成を示すブロック図
である。
【図17】本発明の第9実施例に係るフォ−ルトトレラ
ントシステムのノ−ド内の構成を示すブロック図であ
る。
【図18】本発明の第9実施例に係るフォ−ルトトレラ
ントシステムのノ−ドが行う処理の手順を示す図であ
る。
【図19】本発明の第9実施例に係るフォ−ルトトレラ
ントシステムのノ−ドにおけるアドレスマップを示す図
である。
【図20】本発明の第10実施例に係るフォ−ルトトレ
ラントシステムのノ−ド内の構成を示すブロック図であ
る。
【図21】本発明の第11実施例に係るフォ−ルトトレ
ラントシステムのノ−ド内の構成を示すブロック図であ
る。
【図22】本発明の第11実施例に係るフォ−ルトトレ
ラントシステムのノ−ドアドレス変換機能の構成を示す
図である。
【図23】本発明の第11実施例に係るフォ−ルトトレ
ラントシステムのノ−ドの行う処理手順を示す図であ
る。
【図24】本発明の第11実施例に係るフォ−ルトトレ
ラントシステムのノ−ドにおけるアドレスマップを示す
図である。
【符号の説明】
11〜1n……プロセッシングノード、20〜2m……
出力選択ノード、3……ネットワーク、111〜11n
……データ処理機能、121〜12n……自己診断機
能、111〜11n……実行タスク決定機能、131〜
13n……処理結果送信機能、210〜21m……処理
結果収集機能、220〜22m……データ比較機能、2
30〜23m……判定機能、240〜24m……選択機
能、7……出力選択装置、50……ノード
───────────────────────────────────────────────────── フロントページの続き (72)発明者 佐藤 美道 茨城県日立市大みか町七丁目1番1号 株 式会社日立製作所日立研究所内 (72)発明者 大辻 信也 茨城県日立市大みか町七丁目1番1号 株 式会社日立製作所日立研究所内 (72)発明者 堀田 多加志 茨城県日立市大みか町七丁目1番1号 株 式会社日立製作所日立研究所内

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】同じ処理を実行する複数のプロセッシング
    ノードと、少なくとも1つの出力選択ノードと、前記複
    数のプロセッシングノ−ドと出力選択ノ−ドとに接続す
    るネットワ−クとを有し、 前記各プロセッシングノードは、前記処理を実行するデ
    ータ処理手段と、データ処理手段が行う処理に関して発
    生した障害を検出もしくは回復する自己診断手段と、前
    記データ処理手段が実行した処理の処理結果であるデー
    タと、前記自己診断手段の障害検出もしくは回復の状況
    を表す障害発生情報とを前記ネットワ−クに送信する送
    信手段とを備え、 前記出力選択ノードは、各プロセッシングノ−ドから前
    記ネットワ−クに送信された各データ相互間の一致/不
    一致を検出するデータ比較手段と、検出した各データ相
    互間の一致/不一致と、各プロセッシングノ−ドから前
    記ネットワ−クに送信された障害発生情報が表す各プロ
    セッシングノ−ドにおける障害の検出もしくは回復の状
    況とに基づき、各プロッセッシグノ−ドから前記ネット
    ワ−クに送信された各データのうちの最も信頼度が高い
    データを判定する判定手段と、最も信頼度が高いと判定
    されたデータを出力する選択手段とを有することを特徴
    とするフォールトトレラントシステム。
  2. 【請求項2】請求項1記載のフォールトトレラントシス
    テムであって、 前記プロセッシングノードは、さらに、プロセッシング
    ノードの構成と、プロセッシングノードの信頼度と、前
    記自己診断手段の障害検出もしくは回復のカバレッジと
    のうちの少なくとも一つを表す情報であるカテゴリを、
    前記データと障害発生情報と共に前記ネットワ−クに送
    信する手段を有し、 前記出力選択ノードの前記判定手段は、前記検出した各
    データ相互間の一致/不一致と、各プロセッシングノ−
    ドから前記ネットワ−クに送信された障害発生情報が表
    す各プロセッシングノ−ドにおける障害の検出もしくは
    回復の状況に加え、さらに、各プロセッシングノ−ドか
    ら前記ネットワ−クに送信されたカテゴリが表す、各プ
    ロセッシングノードの構成と、各プロセッシングノード
    の信頼度と、各プロセッシングノ−ドの前記自己診断手
    段の障害検出もしくは回復のカバレッジとのうちの少な
    くとも一つに基づき、各プロッセッシグノ−ドから送信
    された各データのうちの最も信頼度が高いデータを判定
    することを特徴とするフォールトトレラントシステム。
  3. 【請求項3】請求項1記載のフォールトトレラントシス
    テムであって複数の処理の各々に毎に、それぞれ、当該
    処理を実行する複数のプロセッシングノードと、前記出
    力選択ノードとを備え、 前記複数のプロセッシングノードの少なくとも一部のプ
    ロセッシングノ−ドは、さらに、他の各プロセッシング
    ノ−ドから前記ネットワ−クに送信された各データ相互
    間の一致/不一致を検出する手段と、検出した各データ
    相互間の一致/不一致と他の各プロセッシングノ−ドか
    ら前記ネットワ−クに送信された障害発生情報が表す他
    の各プロセッシングノ−ドにおける障害の検出もしくは
    回復の状況に基づき、各プロッセッシグノ−ドが実行し
    ている処理のうち最も処理の信頼度が低い処理を判定
    し、判定最も処理の信頼度が低い処理を前記データ処理
    手段に実行させる実行処理決定手段とを有することを特
    徴とするフォールトトレラントシステム。
  4. 【請求項4】請求項2記載のフォールトトレラントシス
    テムであって、 複数の処理の各々に毎に、それぞれ、当該処理を実行す
    る複数のプロセッシングノードと、前記出力選択ノード
    とを備え、 前記複数のプロセッシングノードの少なくとも一部のプ
    ロセッシングノ−ドは、さらに、他の各プロセッシング
    ノ−ドから前記ネットワ−クに送信された各データ相互
    間の一致/不一致を検出する手段と、 検出した各データ相互間の一致/不一致と、 他の各プロセッシングノ−ドから前記ネットワ−クに送
    信された障害発生情報が表す他の各プロセッシングノ−
    ドにおける障害の検出もしくは回復の状況と、 他の各プロセッシングノ−ドから前記ネットワ−クに送
    信された前記カテゴリが表す、各プロセッシングノ−ド
    における障害の検出もしくは回復の状況と、前記カテゴ
    リの表すプロセッシングノードの構成と、プロセッシン
    グノードの信頼度と、前記自己診断手段の障害検出もし
    くは回復のカバレッジとのうちの少なくとも一つと、 に基づき、各プロッセッシグノ−ドが実行している処理
    のうち最も処理の信頼度が低い処理を判定し、判定した
    最も処理の信頼度が低い処理を前記データ処理手段に実
    行させる実行処理決定手段とを有することを特徴とする
    フォールトトレラントシステム。
  5. 【請求項5】処理結果を、それぞれ受け取る複数の入力
    ポ−トと、前記複数の入力ポ−トで受け取った各処理結
    果を収集し、各処理結果の比較照合結果、もしくは、各
    実行結果の多数決に応じて、収集した各処理結果のうち
    の最も確からしい処理結果を出力する出力選択装置と、 同一の処理を複数回繰り返して実行するプロセッサと、
    前記プロセッサが実行した各回の処理の処理結果を、そ
    れぞれ、前記出力選択装置の異なる入力ポ−トに出力す
    る手段とを備えたノ−ドとを備えたことを特徴とするフ
    ォールトトレラントシステム。
  6. 【請求項6】請求項5記載のフォオ−ルトトレラントシ
    ステムであって、 前記ノ−ドは、前記プロセッサの処理結果を、各回の処
    理毎に前記出力選択装置の異なる入力ポ−トに中継する
    切換手段とを有することを特徴とするフォールトトレラ
    ントシステム。
  7. 【請求項7】請求項5記載のフォオ−ルトトレラントシ
    ステムであって、 前記ノ−ドは、前記プロセッサの各回の処理結果が、そ
    れぞれ入力される複数の出力ポ−トを有し、 前記複数の出力ポ−トは、入力された処理結果を、前記
    出力選択装置の、それぞれ異なる入力ポ−トに出力する
    ことを特徴とするフォールトトレラントシステム。
  8. 【請求項8】請求項5記載のフォオ−ルトトレラントシ
    ステムであって、 前記ノ−ドは、前記プロセッサの処理結果が入力される
    複数の出力ポ−トと、前記プロセッサの処理結果が入力
    される出力ポ−トを各回の処理毎に強制的に切り替える
    手段とを有し、 前記複数の出力ポ−トは、入力された処理結果を、前記
    出力選択装置の、それぞれ異なる入力ポ−トに出力する
    ことを特徴とするフォールトトレラントシステム。
  9. 【請求項9】メモリと、同一の処理を複数回前記メモリ
    を用いながら繰り返して実行するプロセッサと、前記プ
    ロセッサが用いるメモリ上の領域を各回の処理毎に強制
    的に切り替える手段とを備えたノ−ドと、 前記プロセッサが実行した各回の処理の実行結果を収集
    し、各実行結果の比較照合結果、もしくは、各実行結果
    の多数決に応じて、収集した各実行結果のうちの最も確
    からしい処理結果を出力する出力選択装置とを備えたこ
    とを特徴とするフォールトトレラントシステム。
  10. 【請求項10】請求項6、8または9記載ののフォール
    トトレラントシステムであって、 前記プロセッサは、各回の処理毎に初期化されることを
    特徴とするフォールトトレラントシステム。
  11. 【請求項11】複数のノ−ドと、出力選択装置とを有
    し、 前記各ノ−ドは、同一の処理を複数回繰り返して実行す
    るプロセッサを備え、 前記出力装置は、各プロセッサの各回の処理の処理結果
    を収集し、同一のノードで実行された複数回の処理の処
    理結果のうち過半数の処理結果が一致し、かつ、当該一
    致した処理結果が、他のノードで実行された複数回の処
    理の処理結果のうちの少なくとも1つの処理結果と一致
    した場合に、当該一致した処理結果を選択し出力するこ
    とを特徴とするフォールトトレラントシステム。
  12. 【請求項12】請求項11記載のフォールトトレラント
    システムであって、 出力装置は、各プロセッサの各回の処理の処理結果を収
    集し、同一のノードで実行された複数回の処理の処理結
    果のうち過半数の処理結果が一致する処理結果であっ
    て、かつ、他のノードで実行された複数回の処理の処理
    結果のうちの少なくとも1つの処理結果と一致する処理
    結果が存在しない場合に、警報を示す値の信号を出力す
    ることを特徴とするフォールトトレラントシステム。
  13. 【請求項13】請求項11記載のフォールトトレラント
    システムであって、 出力装置は、各プロセッサの各回の処理の処理結果を収
    集し、同一のノードで実行された複数回の処理の処理結
    果のうち過半数の処理結果が一致する処理結果であっ
    て、かつ、他のノードで実行された複数回の処理の処理
    結果のうちの少なくとも1つの処理結果と一致する処理
    結果が存在しない場合に、当該出力装置の出力によって
    制御される対象を、比較的に安全に動作させる信号を出
    力することを特徴とするフォールトトレラントシステ
    ム。
  14. 【請求項14】同じ処理を実行する複数のプロセッシン
    グノードと、少なくとも1つの出力選択ノードと、前記
    複数のプロセッシングノ−ドと出力選択ノ−ドとに接続
    するネットワ−クとを有し、 前記各プロセッシングノードは、前記処理を実行するデ
    ータ処理手段と、データ処理手段が行う処理に関して発
    生した障害を検出もしくは回復する自己診断手段と、前
    記データ処理手段が実行した処理の処理結果であるデー
    タと、前記自己診断手段の障害検出もしくは回復の状況
    を表す障害発生情報とを前記ネットワ−クに送信する送
    信手段とを備え、 前記出力選択ノードは、 各プロセッシングノ−ドから前記ネットワ−クに送信さ
    れた各データ相互間の一致/不一致を検出し、検出した
    各データ相互間の一致/不一致と、各プロセッシングノ
    −ドから前記ネットワ−クに送信された障害発生情報が
    表す各プロセッシングノ−ドにおける障害の検出もしく
    は回復の状況とに基づき、各プロッセッシグノ−ドから
    前記ネットワ−クに送信された各データのうちの最も信
    頼度が高いデータを判定し、最も信頼度が高いと判定さ
    れたデータを前記処理結果として出力する処理を理を複
    数回繰り返して実行するプロセッサと、 前記プロセッサが実行した各回の処理の実行結果を収集
    し、各実行結果の比較照合結果、もしくは、各実行結果
    の多数決に応じて、収集した各実行結果のうちの最も確
    からしい処理結果を出力する出力選択装置とを備えたこ
    とを特徴とするフォールトトレラントシステム。
JP7119858A 1995-05-18 1995-05-18 フォールトトレラントシステム Pending JPH08314744A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP7119858A JPH08314744A (ja) 1995-05-18 1995-05-18 フォールトトレラントシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP7119858A JPH08314744A (ja) 1995-05-18 1995-05-18 フォールトトレラントシステム

Publications (1)

Publication Number Publication Date
JPH08314744A true JPH08314744A (ja) 1996-11-29

Family

ID=14772024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7119858A Pending JPH08314744A (ja) 1995-05-18 1995-05-18 フォールトトレラントシステム

Country Status (1)

Country Link
JP (1) JPH08314744A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100408291B1 (ko) * 2001-08-08 2003-12-01 삼성전자주식회사 고장 및 잡음 허용 시스템과 그 방법
JP2009217504A (ja) * 2008-03-10 2009-09-24 Hitachi Ltd 計算機システム、計算機制御方法及び計算機制御プログラム
JP2010009327A (ja) * 2008-06-27 2010-01-14 Hitachi Ltd 照合システム
JP2010244129A (ja) * 2009-04-01 2010-10-28 Hitachi Ltd 計算機システム
JP2011076262A (ja) * 2009-09-29 2011-04-14 Hitachi Ltd 計算機システムおよびその方法
WO2011138886A1 (ja) * 2010-05-06 2011-11-10 株式会社日立製作所 フォールトトレラントコンピュータシステム、およびデータアクセス方法
JP2012008819A (ja) * 2010-06-25 2012-01-12 Hitachi Ltd 計算機システム及び計算機の管理方法
WO2012032572A1 (ja) 2010-09-08 2012-03-15 株式会社日立製作所 計算機
WO2012127652A1 (ja) 2011-03-23 2012-09-27 株式会社日立製作所 計算機システム、データ処理方法、及びデータ処理プログラム
JP2017502389A (ja) * 2013-12-03 2017-01-19 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 車両のための制御装置
JP2017527895A (ja) * 2014-08-04 2017-09-21 ヨジテック・ソシエタ・ペル・アチオニYOGITECH Spa 複数のプロセッサを含む、機能安全を有するアプリケーション用の電子システムにおいてプログラムを実行する方法、対応システム、およびコンピュータプログラム製品
WO2020217589A1 (ja) * 2019-04-26 2020-10-29 Necスペーステクノロジー株式会社 基本論理素子、それを備えた半導体装置、基本論理素子の出力制御方法及び非一時的なコンピュータ可読媒体

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100408291B1 (ko) * 2001-08-08 2003-12-01 삼성전자주식회사 고장 및 잡음 허용 시스템과 그 방법
JP2009217504A (ja) * 2008-03-10 2009-09-24 Hitachi Ltd 計算機システム、計算機制御方法及び計算機制御プログラム
JP2010009327A (ja) * 2008-06-27 2010-01-14 Hitachi Ltd 照合システム
JP2010244129A (ja) * 2009-04-01 2010-10-28 Hitachi Ltd 計算機システム
JP2011076262A (ja) * 2009-09-29 2011-04-14 Hitachi Ltd 計算機システムおよびその方法
WO2011138886A1 (ja) * 2010-05-06 2011-11-10 株式会社日立製作所 フォールトトレラントコンピュータシステム、およびデータアクセス方法
JP2011237846A (ja) * 2010-05-06 2011-11-24 Hitachi Ltd フォールトトレラントコンピュータシステム、およびデータアクセス方法
JP2012008819A (ja) * 2010-06-25 2012-01-12 Hitachi Ltd 計算機システム及び計算機の管理方法
WO2012032572A1 (ja) 2010-09-08 2012-03-15 株式会社日立製作所 計算機
JP5707409B2 (ja) * 2010-09-08 2015-04-30 株式会社日立製作所 計算機
WO2012127652A1 (ja) 2011-03-23 2012-09-27 株式会社日立製作所 計算機システム、データ処理方法、及びデータ処理プログラム
JP5416863B2 (ja) * 2011-03-23 2014-02-12 株式会社日立製作所 計算機システム、データ処理方法、及びデータ処理プログラム
JP2017502389A (ja) * 2013-12-03 2017-01-19 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 車両のための制御装置
JP2017527895A (ja) * 2014-08-04 2017-09-21 ヨジテック・ソシエタ・ペル・アチオニYOGITECH Spa 複数のプロセッサを含む、機能安全を有するアプリケーション用の電子システムにおいてプログラムを実行する方法、対応システム、およびコンピュータプログラム製品
WO2020217589A1 (ja) * 2019-04-26 2020-10-29 Necスペーステクノロジー株式会社 基本論理素子、それを備えた半導体装置、基本論理素子の出力制御方法及び非一時的なコンピュータ可読媒体
JPWO2020217589A1 (ja) * 2019-04-26 2021-09-13 Necスペーステクノロジー株式会社 基本論理素子、それを備えた半導体装置、基本論理素子の出力制御方法及び制御プログラム
US11899062B2 (en) 2019-04-26 2024-02-13 Nec Space Technologies, Ltd. Basic logic element, semiconductor device including the same, output control method for basic logic element, and non-transitory computer readable medium

Similar Documents

Publication Publication Date Title
JP3229070B2 (ja) 多数決回路及び制御ユニット及び多数決用半導体集積回路
JP5127491B2 (ja) ストレージサブシステム及びこれの制御方法
JPH08314744A (ja) フォールトトレラントシステム
RU2585262C2 (ru) Контрольно-вычислительная система, способ управления контрольно-вычислительной системой, а также применение контрольно-вычислительной системы
KR100878550B1 (ko) 메모리 컨트롤러 및 메모리 제어 방법
US9317359B2 (en) Reliable, low latency hardware and software inter-process communication channel for safety critical system
US20100050062A1 (en) Sending device, receiving device, communication control device, communication system, and communication control method
CN110166354B (zh) 一种包含片上网络容错路由的数据处理系统
CN105306235A (zh) 一种列车编组数量识别方法
US10585772B2 (en) Power supply diagnostic strategy
JP2007067528A (ja) ネットワーク中継装置,故障診断装置およびプログラム
US20190258559A1 (en) Control device, and processing method in event of failure in control device
CN111142367B (zh) 一种针对铁路安全应用的控制系统
Zhu Reliability and availability analysis for large networking system
CN104348738B (zh) 缓存器和路由器
JP2005143015A (ja) リモート入出力装置
US7260741B2 (en) Method and system to detect software faults
CN121387615B (zh) 一种实现串口驱动的软件三模冗余方法
KR100807095B1 (ko) 지수 평활법을 이용한 예측 하이브리드 중복 구조의 구조
Reindl et al. Comparative reliability analysis for single and dual can (FD) systems
JP2005250577A (ja) コンピュータシステム及び演算処理モジュールの健全性判定方法
JPH0563683A (ja) デイジタル伝送用冗長系切替え装置
CN112769591B (zh) 一种有效抗干扰和防错的菊花链通讯处理方法
CN113630220B (zh) 一种双路冗余通讯方法、装置以及系统
CN121125567A (zh) 总线传输完整性校验电路及方法、总线系统和通信系统