JP3246751B2 - 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法 - Google Patents

高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法

Info

Publication number
JP3246751B2
JP3246751B2 JP00752091A JP752091A JP3246751B2 JP 3246751 B2 JP3246751 B2 JP 3246751B2 JP 00752091 A JP00752091 A JP 00752091A JP 752091 A JP752091 A JP 752091A JP 3246751 B2 JP3246751 B2 JP 3246751B2
Authority
JP
Japan
Prior art keywords
processor
board
bpu
processor board
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP00752091A
Other languages
English (en)
Other versions
JPH04241038A (ja
Inventor
宮尾  健
学 荒岡
智明 中村
雅行 丹治
茂則 金子
晃二 桝井
三朗 飯島
信康 金川
伸一朗 山口
小林  芳樹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP00752091A priority Critical patent/JP3246751B2/ja
Priority to CA002059143A priority patent/CA2059143C/en
Priority to DE69231452T priority patent/DE69231452T2/de
Priority to EP92300212A priority patent/EP0496506B1/en
Publication of JPH04241038A publication Critical patent/JPH04241038A/ja
Priority to US08/434,288 priority patent/US5901281A/en
Priority to US09/188,903 priority patent/US6216236B1/en
Application granted granted Critical
Publication of JP3246751B2 publication Critical patent/JP3246751B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は高信頼化コンピュータシ
ステムにかかり、特に障害発生時に運転継続できること
は勿論、その後の復旧策について工夫された高信頼化コ
ンピュータシステムの復旧方法に関する。
【0002】
【従来の技術】例えば交通管制システムや、金融,証券
システムは情報化社会の浸透に伴い、社会生活の根幹を
占めるようになってきており、これらに使用されるコン
ピュータシステムは障害が発生しないように工夫される
とともに、仮に障害が発生したとしてもデータの一貫性
を保持したまま処理を続行するように構成される必要が
ある。
【0003】これらの要求に応えるため、従来より、障
害許容コンピュータもしくは、耐故障,耐欠陥コンピュ
ータシステムが種々提案されており、障害が発生しても
データ処理を継続できるように同じ機能を有する複数の
システムないし、部品で構成し、各部で冗長性を持たせ
ることにより障害の発生したシステムないし部品を検出
し、データ処理を続行するようにされている。
【0004】具体的な従来例として、米国特許第465485
7 号は、通称ペアアンドスペア法と呼ばれる方式を採用
し、自己診断機能のあるメモリ,プロセッサ,入出力制
御装置などからなるプロセッサボード2枚を1組にして
動作する。どのプロセッサボードも内部には2個のマイ
クロプロセッサを持ち、マイクロプロセッサの出力を照
合し、不一致の場合はボード故障と見なすことにより、
障害を検出している。また、プロセッサボードからバス
にだされた出力はもう一方のプロセッサボードとバスク
ロック毎に照合、同期するロックステップ方式を採用し
ており、片方のプロセッサボードで障害が発生してもそ
のバスクロック内で検出し、切り離し処理が行われ、正
常なプロセッサボードの出力のみが使用される。
【0005】また、特開昭59−160899号では、米国特許
第4654857 号と同様に二重のシステムバスの夫々に接続
され、その内部に2つのプロセッサを有する2つのプロ
セッサボードを有し、その同期化のためにキャッシュメ
モリに着目し、キャッシュメモリから主記憶装置へのフ
ラッシュ動作をOS制御の下で行うことにより、ロック
ステップ動作による性能制限を避けている。そして、プ
ロセッサボード内の2個のマイクロプロセッサの照合に
より障害が検出された場合、前回のフラッシュポイント
から代替プロセッサボードで処理を再実行する。
【0006】上記システムではプロセッサボード上の2
台と別のプロセッサボード上の2台の計4台のマイクロ
プロセッサを使用するが、特開平1−258057 号では、T
MR(Triple Modular Redundancy )技法を採用し、プ
ロセッサ3台の出力結果を多数決回路を介して二重化シ
ステムバスに出力する。
【0007】
【発明が解決しようとする課題】上記従来例は、一つの
プロセッサボ−ド上に何台のプロセッサを配置するかと
言ったことは別にして、いずれの場合も3台乃至4台の
プロセッサを使用するシステムであり、そのいずれかの
プロセッサに障害を発生したときにはこのプロセッサを
切り離して2台運転にシステムを縮小し、その後新たな
別の1台または2台のプロセッサを組み込んで元のシス
テム構成に再構成されるものである。
【0008】これらのシステムでは障害発生前のプロセ
ッサの組と、復旧後のプロセッサの組とは全く相違す
る。つまり、前2者の従来例では当初A,B,C,Dの
4つのプロセッサで運転していたとすると、復旧後のプ
ロセッサ構成はE,FC,Dにて運転されることにな
る。また最後の従来例では当初A,B,Cのものが、
D,B,Cとなる。このように従来のものでは障害発生
後の復旧時にプロセッサの組替えが必要であり、このた
め従来例のものではそのシステムを構成する他のプロセ
ッサとの間での特別な接続、切離しハードウエア、同期
機構が必要である。また、プロセッサあるいはプロセッ
サボードは徐々にバージョンアップされ、あるいはレビ
ジョンされるのが通例であるが、システムの一部である
プロセッサあるいはプロセッサボードを交換する上記従
来例では復旧後のミスマッチを防ぐための十分な事前対
応が不可欠である。また、プロセッサボードを交換する
ものでは常に高価な交換ボードを準備しておく必要があ
る。さらに、プロセッサ間での同期化が困難である。
【0009】以上のことから本発明では、障害発生後の
復旧時にプロセッサの交換を容易に行うことのできる
信頼化コンピュータシステムの復旧方法を提供すること
を目的とする。
【0010】
【課題を解決するための手段】同一演算を行う少なくと
も3つのプロセッサと入出力用インタフェイスユニット
を備えたプロセッサボードを複数備えた高信頼化コンピ
ュータシステムにおいて、各プロセッサの出力をお互い
に他のプロセッサと比較した結果、他のプロセッサと同
じ処理を行っていないプロセッサに障害が発生したもの
とし、障害プロセッサ以外の健全性が確認されたプロセ
ッサの出力を選択してインタフェイスユニットに接続し
て出力することにより、プロセッサボードの処理を残り
のプロセッサで継続し、プロセッサボードを交換する際
には、障害が発生したプロセッサボードで行われていた
処理を交換用のプロセッサボードの全てのプロセッサに
転送して引き継ぐことにより実現される。なお、処理の
引き継ぎ時に、交換用のプロセッサボードを挿入する余
地が無い場合は、一旦他のプロセッサボードを抜去した
後、交換用プロセッサボードを挿入して障害が発生した
プロセッサボードからの処理を引き継いだ後、先に抜去
したプロセッサボードを再度挿入する。
【0011】
【作用】本発明では、障害発生時にその一部を速やかに
切り離し、また必要に応じて復旧時にプロセッサの全て
を新たな別のプロセッサ群に切替ることにより、プロセ
ッサの組替えに伴う種々の障害が排除される。
【0012】
【実施例】以下本発明について詳細に説明するが、本明
細書での説明はその理解を容易にするために以下の項目
に分けて行う。
【0013】I. システムの概略全体構成 II. BPU2の構成 III. 異常検出手法 IV. 異常時の構成変更制御 V. 内部バス接続時の信号処理 VI. 異常発生後の復旧策 VII. 各部回路の代案変形例 I. システムの概略全体構成 図1に本発明のフォルトトレーラントシステムの概略全
体構成を示す。このシステムは2組のシステムバス1−
1と1−2を有しており、このバス上には一つまたは複
数のベーシックプロセッシングユニット(以下単にBP
Uという)2−1,2−2……2−nがシステムバス1
−1と1−2に夫々接続されている。またシステムバス
1−1には主記憶装置3−1が、1−2には主記憶装置
3−2が夫々個別に接続され、入出力装置(以下単にI
OUという)4−1,4−2が夫々システムバスの何れ
にも接続される。主記憶装置3及びIOU4は、夫々2
台を一組として使用され、図1の例では各一組づつ使用
する例を示しているが、これはシステムの拡張に応じて
適宜組数を増加して使用することができる。図示のn組
のBPUは、通常は夫々別の処理を実行しているが、何
れも同じ構成とされているのでここでの説明は特に必要
のないかぎりBPU2−1を例にとってその構成及び作
用について説明する。
【0014】BPU2は、複数のマイクロプロセッシン
グユニット20(以下単にMPUという。図の例では3
台)、複数のMPU出力チェック回路23(図の例では3
台)、3ステートバッファ回路29等、複数のキャッシ
ュメモリ220,221,複数のバスインターフェイス
回路27(以下単にBIUという)等を主要な構成要件
としている。ここで図1回路の概略の動作を説明してお
くと、3台のMPU20により演算が実行され、このM
PUの出力がチェック回路23においてチェックされ、
正常と判断された2つのMPUの出力が夫々バスインタ
ーフェイス回路27を介して2組のシステムバス1、あ
るいは2組のキャッシュメモリ220,221に夫々出
力される。MPUの1つに異常が発見された場合、この
MPUは除外されて残りの2つの正常なMPUによりそ
の出力が夫々バスインターフェイス回路27を介して2
組のシステムバス1に、あるいは2組のキャッシュメモ
リ220,221に夫々出力される。3台のMPU20
の一部に異常が発見された後は、適宜のタイミングで3
台のMPU20が全く別の新たな3台のMPU20に切
替られて演算を実行する。
【0015】II.BPU2の構成 BPU2のより詳細な構成は図2に示されている。なお
後述するように、BPUは一枚のプリント板上に図示の機
能を搭載されるのが良い。
【0016】図2において、3台のMPU20−1,2
0−2,20−3は図示せぬクロックにより同期演算が
実行され、その結果がアドレスラインAとデータライン
Dに夫々出力される。MPU20−1,20−2,20
−3のアドレスラインA上のアドレスとデータラインD
上のデータには、パリティ生成/検査照合回路10乃至
15から適宜のパリティ信号が付与されてMPU出力チ
ェック回路23に与えられる。MPU出力チェック回路
23は、MPUA(20−1)からの出力(パリティ信
号が付与されたアドレス,データ)とMPUB(20−
2)からの出力とを比較する第1のチェック回路CHK
AB(23−1)と、MPUA(20−1)からの出力
とMPUC(20−3)からの出力とを比較する第2の
チェック回路CHKCA (23−2)と、MPUB(20−
2)からの出力とMPUC(20−3)からの出力とを
比較する第3のチェック回路CHKBC (23−3)と、3
つのチェック回路CHKからの比較結果に応じてMPU
のいずれの故障であるかを特定するエラーチェック回路
234,235から構成される。このMPU出力チェッ
ク回路23はいわゆる多数決回路であり、この判定結果
に応じて3ステートバッファ回路200,201,20
3,204,29の開閉状態が制御される。この判定結
果と3ステートバッファ回路の状態の関係については後
述するが、要するに異常と判定されたMPUを以後使用
せず、正常とされたMPUの出力を2つのキャッシュメ
モリ220,221に与えて2重系として運用するもの
である。なお、以下の説明においては3ステートバッフ
ァ回路のイネーブル状態を単に開状態と称し、ディセー
ブル状態を閉状態ということにする。
【0017】3ステートバッファ回路200,201,
203,204を介して得られたアドレス、データは2
つのキャッシュメモリ220,221に夫々与えられ、
その際パリティチェック回路250においてパリティ生
成/検査照合回路10乃至15で付与したパリティのチ
ェックが行われる。またMPU出力は、同期回路29
0,291において2つのMPU出力の同期が図られ、
バスインターフェイスユニットBIUを介してシステム
バスに送出される。その際パリティチェック回路30,
31においてパリティ生成/検査照合回路10乃至15
で付与したパリティのチェックが行われる。以上の構成
は、MPUからのライトアクセスを主体に述べたもので
あるが、このようにMPUからのライトアクセスのとき
はMPU出力チェック回路23とパリティチェック回路3
0,31においてチェックが行われる。
【0018】これに対し、キャッシュリードアクセス時
は、各キャッシュメモリ220,221,3ステートバ
ッファ回路202,205,MPUのル−トで信号伝送
が行われ、この場合にはパリティ生成/検査照合回路1
0乃至15でキャッシュメモリからのアドレス,データ
のチェックが行われる。なお、26,27も3ステート
バッファ回路であり、キャッシュリードアクセス時にパ
リティ生成/検査照合回路10乃至15でのアドレス,
データのチェック結果に応じて開閉状態が制御される。
【0019】図2の構成から明らかなように、本発明の
BPUシステムでは少なくとも3台のMPUと、多数決
回路による異常MPU検出回路と、二重化されたキャッ
シュメモリと、二重化された出力回路部分とを有する。
【0020】III.異常検出手法 図2のBPU内部には、その異常検出部としてMPU出
力チェック回路23と、多くのパリティチェック回路を
採用している。この項では、これらの異常検出手法につ
いて説明する。
【0021】《MPU出力回路による異常検出》 このうち、MPU出力チェック部分について図3に示
す。図3において第1のチェック回路CHKAB の出力をA
B,第2のチェック回路CHKCA の出力をCA,第3のチ
ェック回路CHKBC の出力をBC,エラーチェック回路2
31の出力を夫々Ag,Cg,29gとして、3つのチ
ェック回路の出力とそのときの3ステートバッファ回路
の開閉状態との関係について説明する。なお、この図に
おいてCは図2では記述しない制御線である。
【0022】まず、第1乃至第3のチェック回路CHK
は、その夫々の2組の入力(アドレス,データ,制御信
号)を得て、第1のチェック回路CHKAB はMPUAの出
力とMPUBの出力との比較結果ABを、第2のチェッ
ク回路CHKCA はMPUAの出力とMPUCの出力との比
較結果CAを、第3のチェック回路CHKBC はMPUBの
出力とMPUCの出力との比較結果BCを出力する。こ
の比較結果は一致するか、しないかのいずれかの状態信
号である。
【0023】エラーチェック回路231は、3つのチェ
ック回路CHKの出力AB,BC,CAから、(1),
(2),(3)式に従いMPUA,MPUB,MPUCの正
常を表す出力Ag,Bg,Cgを得る。なお、図2,図
3においてエラーチェック回路は二重化されている。
【0024】 Ag=「AB・「CA+「AB・BC・CA+AB・BC・「CA……(1) Bg=「AB・「BC+「AB・BC・CA+AB・「BC・CA……(2) Cg=「BC・「CA+AB・「BC・CA+AB・BC・「CA……(3) 但し、AB:MPUAとMPUBの出力不一致の事象(23−1で確認) BC:MPUBとMPUCの出力不一致の事象(23−3で確認) CA:MPUAとMPUCの出力不一致の事象(23−2で確認) ・:論理積(AND) +:論理和(OR) 「:否定(NOT) (1),(2),(3)式演算の結果に応じて3ステートバッ
ファ回路200,201,204,205,29の開閉状
態が制御されるが、この説明は次の項で行う。表1は、
3つのチェック回路CHKAB,CHKBC 、CHKCA の出力(一
致,不一致)と、このときの異常MPUの判定結果A
g,Bg,Cgと、その結果としての3ステートバッフ
ァ回路の開閉状態を纏めた表である。なお、表1中の判
定結果の項において、1はMPU正常,0は異常または
不明を意味する。
【0025】表2は表1の一致,不一致のチェック回路
出力を生じる原因として想定される事例の一部を述べた
ものであるが、(本発明は、異常の際にBPU内の回路
構成を如何に変更し運転継続させるかに主眼があり、異
常発生原因を特定することは本旨ではないので)ここで
の詳細説明を省略する。
【0026】
【表1】
【0027】
【表2】
【0028】図3,図2,表1,表2を参照して説明し
たように、本発明においては、MPU出力チェック回路2
3で以上の論理でMPUの正常,異常を判断する。
【0029】次に、BPU内各部にその他の異常検出手
法として採用したパリティチェック回路による異常検出
手法について説明する。但し、パリティチェック回路自
体は周知であり任意のものが採用できるので回路につい
ての詳細説明を省略し、ここではパリティエラー検出し
たときの異常個所特定手法について説明する。
【0030】図2に示すように、ライトアクセス時には
パリティ生成/検査照合回路10乃至15から適宜のパ
リティ信号が付与されてアドレスラインA,データライ
ンDに情報送出され、この異常をパリティチェック回路
250,30,31にて検知する。またリードアクセス
時には、パリティ生成/検査照合回路10乃至15,パ
リティチェック回路250,30,31にて情報の異常
を検知する。これらのパリティチェックは基本的にアド
レスとデータに分けて個別に実施される。そしてアドレ
スについてみると、アドレス情報にパリティエラー検出
したときの異常個所はこのアドレス信号を送出している
バスマスタであり、図2の内部バスの使用権を与えるバ
スアービタ(図示していない)からのバスグラント信号
を監視することでバスマスタとなっている機器(MP
U,キャッシュメモリ,BIU)を特定することができ
る。次にデータについてみると、ライトアクセス時にデ
ータ情報のパリティエラー検出したときの異常個所はこ
のデータ信号を送出しているバスマスタである。バスマ
スタの特定は、バスアービタのバスグラント信号監視に
より行われる。最後に、リードアクセス時にデータ情報
のパリティエラー検出したときの異常個所はこのデータ
信号の出力元であり、この特定はこのデータに付属する
アドレスが指し示しているデバイスをアドレスをデコー
ドすることで特定できる。
【0031】この異常個所特定の考え方を論理式にて示
すと以下のようになる。
【0032】《パリティチェックによる異常検出》 PTYGEN/NG=APE・MPU/MST+DPE(WT・MPU/MST +RD・MPU/SND) ……(4) Cach/NG=APE・Cach/MST+DPE(WT・Cach/MST +RD・Cach/SND) ……(5) BIU/NG=APE・BIU/MST+DPE(WT・BIU/MST +RD・BIU/SND) ……(6) SYSBUS/NG=BIU/NG ……(7) 但し、(4)乃至(7)式において、 PTYGEN:パリティ生成/検査照合回路10乃至15 /NG:パリティ異常 APE:アドレスパリティ異常 ・:論理積 /MST:バスマスタ +:論理和 DPE:データパリティ異常 WT:バスマスタがデータ出力 Cach:キャッシュメモリ RD:バスマスタがデータ入力 /SND:データ出力元 IV.異常時の構成変更制御 BPU内の異常には、MPUからのライトアクセス時に
MPU出力チェック回路で検知されるものと、ライトア
クセス時あるいはキャッシュリードアクセス時にパリテ
ィチェック回路で発見されるものとがある。
【0033】 〔MPU出力チェック回路による異常検出時の構成変
更〕 前記MPU出力チェック回路23のエラーチェック回路
231の出力Agに応じて3ステートバッファ回路20
0,201が、Cgに応じて203,204が、29g
に応じて29の開閉状態が、夫々表1のように制御され
る。なお、表1において、MPU判定結果Ag=1は2
00,201開、Ag=0は200,201閉に基本的
に対応し、Cg=1は203,204開、Cg=0は2
03,204閉に基本的に対応するが、Bgと29gは
対応関係にはない。29g従って、29の開閉状態は、
Ag=1かつCg=1のときに閉、AgとCgのいずれ
かが1のときは0となった3ステートバッファ回路に向
かう方向の3ステートバッファ回路29のみが開放され
る。以下、表1の各ケースについて、図4の系統構成を
参照してより詳細に説明する。
【0034】ケース1:全てのMPU出力が一致し、全
MPU正常である。3ステートバッファ回路200,2
01,203,204が開状態,29が閉状態とされ、
図4(a)のようにMPUAとキャッシュメモリ220
による系統と、MPUCとキャッシュメモリ221によ
る系統とが独立して二重化運用される。
【0035】ケース2:チェック回路CHKCA のみが不一
致出力を与えており、MPUBのみが正常と判断され
る。図2に示すようにMPUBは他のMPUの参照用と
して使用され、キャッシュメモリに出力を与えるように
構成されていないので構成変更しての運転継続不可能で
あり、この場合システムダウンとなる。
【0036】ケース3:チェック回路CHKBC のみが不一
致出力を与えており、MPUAのみが正常と判断され
る。この場合には3ステートバッファ回路200,20
1が開状態,203,204が閉状態,29はキャッシ
ュメモリ221方向への3ステートバッファ回路のみが
開状態とされる。MPUBとMPUCは停止され、図4
(b)のようにMPUAのみによる単独系統による運転
とされる。キャッシュメモリ221方向への3ステート
バッファ回路29のみが開状態とされるのは、キャッシ
ュメモリ記憶内容の同一性保持のためである。
【0037】ケース4:チェック回路CHKAB のみが一致
出力を与えており、MPUAとMPUBが正常と判断され
る。この場合には3ステートバッファ回路200,20
1が開状態,203,204が閉状態、29はキャッシ
ュメモリ221方向への3ステートバッファ回路のみが
開状態とされる。この場合にはMPUCを停止し、図4
(c)のようにMPUAとMPUBで二重系を構成し
て、MPUBによりMPUAの出力を監視する二重化運転と
される。キャッシュメモリ221方向への3ステートバ
ッファ回路29のみが開状態とされるのは、キャッシュ
メモリ記憶内容の同一性保持のためである。
【0038】ケース5:チェック回路CHKAB のみが不一
致出力を与えており、MPUAとMPUBが異常,MP
UAのみが正常と判断される。この場合には3ステート
バッファ回路200,201が閉状態,203,204
が開状態,29はキャッシュメモリ220方向への3ス
テートバッファ回路のみが開状態とされる。この場合に
はMPUAとMPUBを停止し、図4(d)のようにM
PUCのみによる単独運転とされる。キャッシュメモリ
220方向への3ステートバッファ回路29のみが開状
態とされるのは、キャッシュメモリ記憶内容の同一性保
持のためである。
【0039】ケース6:チェック回路CHKBC のみが一致
出力を与えており、MPUCとMPUBが正常と判断され
る。この場合には3ステートバッファ回路200,20
1が閉状態,203,204が開状態,29はキャッシ
ュメモリ220方向への3ステートバッファ回路のみが
開状態とされる。この場合には基本的にケース4と同様
に運用される。
【0040】ケース7:チェック回路CHKCA のみが一致
出力を与えており、MPUCとMPUAが正常と判断され
る。この場合には参照用MPUの異常なので、図4
(e)ケース7のように、MPUBのみを切離し、3ス
テートバッファ回路は何等の変更もせずにMPUCとM
PUAによる二重化運転を継続する。
【0041】ケース8:いずれのチェック回路CHKも
不一致を検出しており、全MPU異常であることから以
後の運転継続不可能である。
【0042】以上のようにして、3台のMPUとその周
辺回路(例えばパリティ生成/検査照合回路)の正常性
が確認され、適宜構成変更制御が実施されるが、この表
1はあくまでも照合結果の考え得る組合せを述べたにす
ぎず、実際問題としてはケース2から8の7つの異常事
象が同一確率で発生するわけではない。つまり、このう
ち単一故障のケースは4,6,7の3事例、二重故障は
2,3,5の3事例、三重故障は8のケースであり、良
く知られているように運転継続不能となるケース2,8
を含む多重故障の同時発生確率は単一故障に比べて極め
て低い。しかも、実際には単一故障が進展して多重故障
に至ることが殆どであり、従って単一故障の時点で何等
かの回復対策を施すことで事実上運転継続に支障のない
システム構成とすることができる。なお、本発明では仮
に二重故障が発生したとしても多くの場合に支障無く運
転継続可能であり、この意味においては非常に信頼性の
高いシステムであるといえる。
【0043】なお、以上の異常事象発生の際に図2には
図示がないが、異常MPUを停止する信号がMPU出力
チェック回路23から発生されてこれを停止し、あるい
は外部出力されて運転員に異常の発生を報知し、以後の
対策の必要性を報知せしめることは当然のこととして行
われる。
【0044】 〔パリティチェックによる異常検出時の構成変更〕 前記のIII 項で述べたようにして、ライトアクセス時あ
るいはキャッシュリードアクセス時に、キャッシュメモ
リ220,221,BIU27−1,27−2の異常個
所が特定できる。次に各異常の時のBPU内部の構成変
更制御について説明する。なお、表3はキャッシュリー
ドアクセス時の各部異常の際にキャッシュメモリ22
0,221,BIU27−1,27−2,3ステートバ
ッファ回路29,26,27をどのように制御するのか
を一覧表にしたものである。
【0045】
【表3】
【0046】図5は各ケースの時の回路構成を図示した
ものであり、以下表3と図5を参照して説明する。図5
(a)は正常時の信号の流れを示している。この場合、
3ステートバッファ回路29,26は閉、27は開とさ
れており、従ってBIU27−1またはキャッシュメモ
リ220からの情報がMPUA20−1と、MPUB2
0−1に供給され、BIU27−2またはキャッシュメ
モリ221からの情報がMPUC20−3に供給され
る。このように、通常はBIU27−1、キャッシュメ
モリ220,MPUA20−1,MPUB20−1が一
つの組を構成し、BIU27−2,キャッシュメモリ2
21,MPUC20−3が別の一組を構成するように運
用される。
【0047】ケース1:キャッシュメモリ220の異常
である。図5(b)のように、キャッシュメモリ220
の出力が停止され、3ステートバッファ回路29はMP
UA20−1側への信号のみが通過するように制御さ
れ、3ステートバッファ回路26は開、27は閉とされ
る。これにより、全てのMPUはキャッシュメモリ22
1からの共通情報を受け取るように構成されて異常発見
後も運転継続される。なお、3ステートバッファ回路2
6を開、27を閉のように正常状態から切替る理由は、
論理的にはキャッシュメモリ220の異常と特定してい
ても、キャッシュメモリ220が接続された内部バスの
異常の可能性も否定できず、念のためにキャッシュメモ
リ221側に切替るものである。もし、キャッシュメモ
リ220が接続された内部バスの異常のときは、3ステー
トバッファ回路29が一方向通信となっているためにM
PUC側にはその影響が現れない。
【0048】ケース2:キャッシュメモリ221の異常
である。図5(c)のように、キャッシュメモリ221
の出力が停止され、3ステートバッファ回路29はMP
UC20−3側への信号のみが通過するように制御さ
れ、これにより全てのMPUはキャッシュメモリ220
からの共通情報を受取るように構成されて異常発見後も
運転継続される。
【0049】ケース3,5:BIU270あるいはその
接続されたシステムバス1−1側の異常である。図5
(d),(e)のように、BIU270あるいはその接
続されたシステムバス1−1側を停止し、ケース1と同
様に運用する。
【0050】以上のようにして、パリティエラーによる
異常検知されたときは構成変更とともに異常の旨、外部
報知される。
【0051】以上詳細に述べたように、本発明によれば
BPUの内部に異常が発生したとしても、その回路構成
の一部を切離しあるいは情報の流れを変更することによ
って、正常時と同様に運転継続が可能である。このため
データ処理の途中で異常が発生した場合には、 (1)切りの良い時点または、修理保守時期まで当該BP
Uでの動作を継続させ、 (2)切りの良い時点または、修理保守時期に当該BPU
で実行していた処理を他の正常なBPUに引き継がせれ
ば良い。
【0052】この結果、異常発生時のチェックポイント
リスタートに備えてのバックアップ動作が不要となり、
処理性能を向上させることができる。
【0053】V.内部バス接続時の信号処理 以上説明したように、各部異常の際に内部バスの切替を
3ステートバッファ29を用いて行うが、3ステートバ
ッファ29の開閉操作は、通常の経路でのライトアクセ
スに比べて切替に時間がかかり、しかもバス間で迂回す
るために時間がかかる。この改善策としては、図6のよ
うに異常発生時にのみリトライによりバスサイクルを延
長するのがバスサイクルの遅延を生じず有効である。
【0054】つまり、異常が発見された(ステップS
1,S2)ときには、ステップS4においてリトライを
させる信号をアサートし、ステップS5において異常出
力の停止(異常MPUの切離し操作等),正常出力の迂
回処理を実施した後で、ステップS6においてこのバス
サイクルを終了させる信号をアサ−トして一連の処理を
終了する。なお、正常であるときにはステップS3にお
いてこのバスサイクルを終了させる信号をアサ−トする
のみでよい。MPUにバスサイクルを終了させたり、リ
トライをさせたりするための信号線はMPUの種類によ
り名称が異なるが、多くのMPUではリトライ信号をM
PUに入力することでMPUが自動的に実行する。表4
に代表的なMPUの信号名を示す。
【0055】
【表4】
【0056】図7,図8は図6のリトライ方式をライト
アクセス時に採用したときの信号の流れを示したもので
あり、図7は正常時、図8は異常時を示す。同図におい
て、縦軸は時間の経過を示し、横軸はMPU出力がキャ
ッシュメモリに至るまでの各部回路を示している。通
常、MPUからはデータ信号に先立って、アドレス信号
が出力される。図7では、アドレス信号,データ信号が
ともに正常であるためにMPU出力チェック回路23,
パリティチェック回路250では正常と判断され、MP
Uには終了信号が返され、キャッシュメモリ220では
データを格納しバスサイクルが終了する。
【0057】図8では、MPUAが異常でアドレス信
号,データ信号がともにMPU出力チェック回路23に
より異常と判定され、各MPUに終了信号とともにリト
ライ信号が返されリトライ動作に入る。リトライ動作時
には3ステートバッファ200、201を閉状態として
MPUAから内部バスへの信号伝達を阻止し、3ステー
トバッファ29を一方向のみ開としてMPUCの出力信
号をキャッシュメモリ250にも供給する。その後、各
MPUには終了信号が返され、動作が終了する。
【0058】図9,図10,図11は図6のリトライ方
式をキャッシュリードアクセス時に採用したときの信号
の流れを示したものであり、図9は正常時、図10はア
ドレス信号異常時、図11はデータ信号異常時を夫々示
す。図9では、アドレス信号、データ信号がともに正常
であり異常が見られないために、MPUには終了信号が
返され、MPUはキャッシュメモリ250からのデータ
を格納してバスサイクルを終了する。図10では、MP
UAからのアドレス信号が他と一致せずに異常と判断さ
れ、各MPUに終了信号とともにリトライ信号が返され
リトライ動作に入る。リトライ動作時には3ステートバ
ッファ201を閉状態としてMPUAから内部バスへの
信号伝達を阻止し、3ステートバッファ29を一方向の
み開としてMPUCのアドレス出力信号をキャッシュメ
モリ220に供給し、キャッシュメモリ220は与えら
れたアドレスに格納されているデータをMPUAとMPUB
に供給する。その後、各MPUに終了信号を返して、リ
トライ動作が終了する。
【0059】図11では、キャッシュメモリ220から
のデータに異常があり、パリティ生成照合検査回路1
0,12,パリティチェック回路250でのパリティチ
ェックにより各常と判断され、各MPUに終了信号とと
もにリトライ信号が返されリトライ動作に入る。リトラ
イ動作時にはキャッシュメモリ220の出力が阻止さ
れ、3ステートバッファ29を一方向のみ開としてキャ
ッシュメモリ221の出力をMPUAとMPUBに供給
する。なおこの場合、3ステートバッファ回路26を
閉、27を開のように正常状態から切替え、3ステート
バッファ回路27を通じてキャッシュメモリ221の出
力をMPUBに供給することにより、キャッシュメモリ
220からMPUBへのデータ信号の経路の異常により
誤ったデータがMPUBへ供給されるのを防ぐことがで
きる。
【0060】VI.異常発生後の復旧策 このように本発明装置は異常発生後も運転継続できる
が、この構成のまま永続的に運転することは二次的故障
の可能性を考慮すると、早急に初期の状態に復旧させる
べきであり、次に、以上発生したBPUの機能を正常に
復旧させるための復旧策について説明する。その方法
は、図1のBPUを1つのプリント板上に形成してお
き、異常BPUプリント板を正常BPUプリント板に交
換することで達成される。すなわち、本発明の高信頼化
コンピュータシステムは、同一演算を行う少なくとも3
つのプロセッサを設けたプロセッサボードと、主記憶装
置を設けた主記憶ボードと、プロセッサボード及び主記
憶ボードを収納するスロット部と、該スロット部に収納
したボードの各種装置が接続されるシステムバスとを備
え、そして、障害発生時に、障害とされたプロセッサを
有するプロセッサボードの他の健全なプロセッサによる
運転を継続する手段と、スロット部に新たなプロセッサ
ボードが障害発生後に挿入されたことを検知する手段
と、新たなプロセッサボードの挿入を検知して障害とさ
れたプロセッサを有するプロセッサボードのタスクを主
記憶装置に退避する手段とを備えている。そして、障害
発生時に、障害とされたプロセッサを有するプロセッサ
ボードの他の健全なプロセッサによる運転を継続し、次
に、新たなプロセッサボードをスロット部に挿入し、障
害とされたプロセッサを有するプロセッサボードは、新
たなプロセッサボードの挿入を検知してプロセッサのタ
スクを主記憶装置に退避し、そして、挿入した新たなプ
ロセッサボードのプロセッサが主記憶装置に退避した処
理を実行することにより、復旧することができる。
【0061】図12は、計算機盤構成を示しており、そ
の扉を開放するとその内部にプリント板を収納するスロ
ット部が形成され、更に各スロットには図1の主記憶装
置3、BPU2,入出力制御装置BIU4を構成する各
プリント板が挿入され、挿入された状態で図11には図
示せぬシステムバスに接続されるようになっている。図
示の例ではスロットSLは12個あり、このうちSL
1,SL3〜SL6にプリント板が挿入され、他のSL
2,SL7〜SL12が空スロットとなっている。スロ
ットSLに挿入されるプリント板PLは通常知られたも
ので良いが、本発明のものではこのプリント板をスロッ
トSLに固定するためのレバー282,プリント板が停
止中か否かを表わす表示ランプ280を備え、必要に応
じて適宜プリント板の取外し要求ボタン281が備えら
れる。以下、BPUプリント板の交換手順について説明
する。
【0062】《BPUプリント板が1枚のときの交換》 図13は、システムバス(説明の都合上一重系で示す)
1にプリント板PLが接続可能なn個のスロットSLの
うち、SL1にその内部で異常発生したBPU,SL2
に主記憶装置3、SLnにIOU4のプリントが夫々挿
入されており、SL3が空きスロットとなっている例を
示す。ここでは、異常BPUに代わり機能すべき新BP
Uは未だスロットに挿入されていない。そしてプリント
板上の表示ランプ280は稼働中のために消灯してい
る。
【0063】この状態で、旧BPU2Aの機能を正常な
新BPU2Bに引き継ぐには、まず、空きスロットを用
意する。図13の例の場合は、スロットSL3が空きス
ロットとなっているので、次に新BPU2Bを空きスロ
ットSL3に挿入する。
【0064】BPU2AはBPU2Bの挿入を検知し、そのオペレ
ーティングシステム(以下OSと略す)の処理により、旧
BPUAで実行中のタスクを新BPU2Bに移管し、旧BPU2A
のプリント板上の表示ランプ280を点灯する。以降、
オンラインの業務は新BPU2B により実行される。旧BPU2
Aから新BPU2Bへの業務移管は瞬時に行われる。その後、
旧BPUプリント板上の表示ランプ280が点灯し、該
BPUが停止状態であることを確認した上で、旧BPU2A
を取外す。以上の手順により、旧BPU2Aを抜く前に、オ
ンライン業務を新BPU2B に移管完了されているため、シ
ステムを停止することなく、またシステム性能を低下さ
せることなくBPUの交換を実現できる。
【0065】図14は,図13で示した例についてBP
U交換手順を人による動作と計算機内部の処理に分けて
処理の内容を示したBPU交換手順処理フローである。
BPUを交換する場合、まず空きスロットを用意(St
1)する。空きスロットは、既に未使用の空きスロット
があればそれを用いればよく、また空きスロットがない
場合も、一時的に取り外し可能なハードウェアボードが
あれば、そのボードを抜き、一時的に空きスロットを作
り出し、目的のBPU交換後に、再び該ボードを戻すこ
とにより空スロットを準備することも可能である。次
に、空きスロットに新BPUを挿入(St5)する。そ
のBPU挿入を、旧BPU2A は割込等の手段で認識(St
4)する。すると、旧BPU2A は現在実行中のタスクを主
記憶装置上に退避(St3)し、新BPU2B が該タスクの
処理を続行できるようにする。新BPU2B はそれを受け
て、該タスクを実行(St5)し、オンライン業務を開
始する。旧BPU2A は自らBPU上のボード停止ランプを
点灯(St6)し、処理を停止(St7)する。その
後、旧BPU上のボード停止ランプが点灯しているのを
人間が確認(St8)後、旧BPUを取り外す(St
9)。これで、BPU交換は完了である。
【0066】図15は、上記実施例における、旧BPU2A
上で実行中のタスクを新BPU2B に引き継ぎする手段を詳
細に説明した図である。システムバスに旧BPU2A ,新B
PU2B、さらに主記憶装置3の各々プリント板が装着
されている。旧BPU2A 上では、あるタスク920
ー1が実行中である。その時に、新BPU2B が挿入された
ことの連絡が旧BPU2A に入ったとすると、旧BPU2A は、
処理を中断し、実行中のタスク920ー1を主記憶装置
3上に退避する。一方、新BPU2B は主記憶装置3上に退
避されたタスク920−1に続くタスク920ー2を回
復して、中断したポイントからタスクの処理を続行す
る。以上の方式を用いて、交換したBPU間の業務の引
き継ぎを行う。
【0067】以上が、BPUが1つの場合のBPUの交
換の例である。上記実施例では、BPUが1つの場合で
も、システムを停止することなくBPUの交換が可能で
ある。
【0068】《BPUプリント板が複数のときの交換》 次にBPUが複数の場合、あるいは挿入したBPUが正
しく動作しなかった場合の対応について説明する。図1
6の本実施例では、BPUが複数装着されている。それ
ぞれのBPUは交換されるべきBPUを指定する手段と
して、ボード取外し要求ボタン281と、プリント板番
号282を具備している。
【0069】システムバス1にプリント板を接続するた
めの、スロットSL1からSL3にはBPU2A,2
B,2Cがそれぞれ装着されている。スロットSL4に
は主記憶装置が接続されている。スロットSL5は空き
スロットである。また、各BPUは、BPUが停止したと
きに点灯する表示ランプ280と、取り外すべきBPU
を指定するために用いるプリント板取外し要求ボタン2
81と、プリント板番号282を有する。ここで、プリ
ント板番号はBPU2A が1、BPU2B が2、BPU2C が3と約
束されている。今、新BPU2D をスロットSL2に装着さ
れている旧BPU2Bと交換する場合には、まず、新BPU2D
を空きスロットであるスロットSL5に挿入する。それ
から、スロットSL1〜SL3に装着されているBPU
のうち、交換したいスロットSL2のBPU2Bの取外し要
求ボタン281を押す。そうすると、旧BPU2B は実行中
のタスクと自身のプリント板番号を主記憶装置3上に退
避し、新BPU2D が主記憶装置3上に退避されたプリント
板番号を取り込み、退避中タスクを実行する。旧BPU2B
は、表示280を点灯し自ら停止する。その後、旧BPU2
B のボード停止ランプ280が点灯しているのを確認
後、該BPU2B を取り外す。
【0070】図17は、図16で示した例についてのB
PU交換手順を人による動作と計算機内部の処理に分け
て処理の内容を示したBPU交換手順処理フローであ
る。
【0071】BPU交換する場合、まず空きスロットを
用意(St1)する。空きスロットは、既に未使用の空
きスロットがあればそれを用いればよく、また空きスロ
ットがない場合も、一時的に取り外し可能なハードウェ
アボードがあれば、そのボードを抜き、一時的に空きス
ロットを作り出し、目的のBPU交換後に、再び該ボー
ドを戻すことにより空スロットを準備することも可能で
ある。
【0072】次に、空きスロットに新BPU2D を挿入(S
t2)する。その後、取り外したい旧BPU2B のプリント
板取り外し要求ボタンを押す(St3)。すると、旧BP
U2Bは現在実行中のタスクと自プリント板番号を主記憶
装置3上に退避(St4)し、新BPU2Dが該タスクの処
理を続行できるようにする。新BPU2Dはそれを受けて、
該タスクを実行(St5)し、オンライン業務を開始す
る。旧BPU2B は自らBPU上の表示ランプを点灯(St
6)し、処理を停止(St7)する。その後、旧BPU
2B上の表示ランプが点灯しているのを確認(St8)
後、旧BPU2Bを取り外す(St9)。これで、BPU交
換は完了である。
【0073】図18は、上記実施例における、旧BPU
上で実行中のタスクとプリント板番号を新BPUに引継
ぐ手段を詳細に説明した図である。システムバスに旧B
PUが3台(2A,2B,2C)、新BPU2D 、さらに主
記憶装置が装着されている。旧BPU2A,2B,2C上で
は、夫々タスク1,2,3、旧BPU2C上ではタスク2が
実行中である。また、旧BPU2A,2B,2Cのプリント
板番号282は夫々1,2,3である。その時に、取り
外しBPUを指定するために、旧BPU2Bのプリント板取
り外し要求ボタンが押されたとすると、旧BPU2Bは、処
理を中断し、実行中のタスク2と自プリント板番号2を
主記憶装置3上に退避する。一方、新BPU2D は主記憶装
置3上に退避されたプリント板番号2とタスク2を回復
し、中断ポイントからタスクの処理を続行する。以上の
方式を用いて、交換したBPU間の業務の引き継ぎを行
う。
【0074】本実施例によれば、交換されるべきBPU
を指定する手段であるプリント板取外し要求ボタンを設
けることにより、BPUが複数装着されている場合で
も、システムを停止することなく、さらにはシステム性
能を低下させることなくBPUを交換できるという長所
がある。
【0075】また、交換するBPUに割当てているプリ
ント板番号を交換BPU間で引継ぐことにより、ユーザ
プログラムにより動作プリント板番号が指定されている
場合でも、ユーザプログラムを変更することなくBPU
を交換できるという長所がある。
【0076】 《挿入されたBPUが正しく作動しなかった場合》 一方、交換された新BPUが万一正常に動作しない場合
に、システムに重大な影響を及ぼすという短所がある。
図19。図20によれば、挿入されたBPUの動作チェ
ックを実行する手段を有し、新しく挿入した新BPUが
万一正常に動作しない場合にもシステムへの影響を与え
ることがない。
【0077】図19は、新BPU2Bが挿入された状態を示
す図であり、このとき旧BPU2Aではあるタスクが実行中
である。新BPU2Bが挿入されると、該BPU上で動作チ
ェックを行うため、BPU自己診断プログラム925を
実行する。診断プログラムが正常に終了するまでは旧B
PUAにはボード挿入の連絡はしない。該診断プログラ
ム925により新BPUに故障箇所が発見されると旧B
PUへは連絡せず、自BPU2B の表示ランプ280を点灯
し、処理を停止する。旧BPUでは、新BPU挿入タイ
ミングでタスク1を中断することなく、何事もなかった
かのようにタスクの処理を続行する。
【0078】図20は、上記実施例における、BPU交
換手順を人による動作と計算機内部の処理に分けて処理
の内容を示したBPU交換手順処理フローである。St
1,St2,St4〜St8,St11〜St13の処
理については、図21と全く同一の処理であるためここ
では説明を省略し、本実施例に特有の処理につき説明す
る。
【0079】新BPUが挿入されると、まず該BPUの
動作チェックを実施するため診断プログラムを実行(S
t3)する。該診断プログラムの結果、正常と判定され
た場合には、前実施例と同じく処理St4に移る。しか
し、故障と判定された場合には、挿入された新BPU上
の表示ランプを点灯(St9)し、新BPUの処理を停
止(St10)する。その後、新BPU上の表示ランプ
の点灯を確認(St14)し、新BPUを再度取り外す
(St15)。この結果、BPUの交換は失敗に終った
ものの、旧BPUが処理を継続しているため、オンライ
ンシステムには影響を与えることはない。交換が成功し
たか否かは、BPU挿入後,新旧BPUのどちらの表示ラ
ンプが点灯するかにより判定する。
【0080】以上、本実施例の方式により、挿入された
BPUが正常に動作しない場合にも、オンラインシステ
ムには影響を排除することが可能となった。
【0081】《異常発生前後の構成と処理》 以上述べた旧BPU2Aと新BPU2B内のMPUの処理並びに構
成を時系列的に示したものが図21であり、正常運転時
にはBPU2A の3台のMPUが運転しており、その多数決
結果が出力されている。そして処理Bの実行中にMPU
Cに障害が発生するとこれを切離し、MPUAとMPU
Bによる多重化回路構成により運転が正常に継続され
る。他方MPUAの異常報知により新BPU2B のプリント
板を空スロットに挿入すると、新BPU2B 内の各MPUは
自己診断を実施し、適宜の時点で処理を旧BPU2Aから新B
PU2Bに移してBPU2B の3台のMPU(MPUD,MPU
E,MPUF)の多数決結果による処理Dを実行する。
この処理引継ぎは、切りの良い時点または、修理保守時
期まで、当該BPUでの動作を継続させ、切りの良い時
点または、修理保守時期に当該BPUで実行した処理を
他の正常なBPUに引き継がせれば良く、実際にはソフ
トウェアの都合で最も性能上望ましい時点で行うことが
できる。このようなタイミングとしては、タスク切替の
タイミングが一般的にはふさわしいことは明らかであ
る。なんとなれば、マルチプロセッサシステムにおける
プロセッサの切替とまったく同一手順でBPUの切替が
可能であり、引き継ぎに伴う余分な性能上のオーバーヘ
ッドを0にすることが可能であるからである。このため
本発明によれば、フォールト発生時のチェックポイント
リスタートに備えてのバックアップ動作が不要となり、
処理性能を向上させることができる。
【0082】なお、フォールトが発生した場合には、ハ
ードウェアはフォールトの発生状況をレジスタに記録
し、オペレーティングシステムはコンテクストスイッチ
時や修理保守のための割込み処理時にレジスタを参照
し、処理の引継ぎが必要な場合には、処理引継ぎ先のB
PUに割込みなどで通知し、自BPUでの処理を終了す
る。BPU2を構成する要素(MPU,キャッシュメモ
リなど)の一部で故障が発生した場合、他の要素は正常
であっても、本方式では処理引継ぎ後には、他の正常な
要素も含めてBPU2全体の使用を中止する。
【0083】図22に、フォールトトレランスの為に冗
長化したMPUA,MPUB,MPUCが故障などの原因で
障害をうけた場合の引継ぎ時の本発明方式と公知例との
構成の相違を模式的に示す。従来の方法では、障害をう
けたMPUAのみを正常なMPUDと交換する方法を採
っていた。これに対し、本発明による方法では、障害を
うけたMPUAだけでなく、正常なMPUB,MPUC
も新たにMPUD,MPUE,MPUFと交換してい
る。以上の様にすることにより、フォールトトレランス
の為に冗長化したMPUの組合わせ、すなわちMPUA,
MPUB,MPUCの組合わせを固定化することができる。
従ってMPUの組合わせを交換単位にすれば、それぞれ
の組合わせを構成するMPU間を高速のクロックで結合
することができ、高速のフォールトトレラントコンピュ
ータを実現することができる。また従来のように、MP
Uの組替えに伴う種々のハードウェア,ソフトウェアが
不要である。
【0084】なお、BPUは単一故障の場合には動作を
継続することができるので、この処理引継ぎは故障発生
後直ちに行う必要は無く、処理の切りの良い時点また
は、修理保守時に処理引継ぎを行えばよい。
【0085】本実施例により処理を継続しながら、故障
の発生したBPU20−1の配線基板を引き抜き正常な
配線基板を交換することができる。
【0086】VII.各部回路の代案変形例 以上、本発明について説明したが、本発明の各部回路等
は適宜変更して実現することができる。以下、これらの
代案,変形例について説明する。
【0087】《多数決論理部》 図23は、図2の多数決論理回路部の組方と切替の様子
を、他の構成要件を省いて簡略化し理解しやすい形にし
て示したものであり、MPUAとMPUCを出力専用に
固定化して用い、MPUBをMPUAとMPUCの健全
性確認の参照用としてのみ用いるとともに、MPUAあ
るいはMPUCの異常時には健全性の確認された方の一
つの出力を共通に用いて2組のキャッシュメモリに供給
するようにしたものである。この方式の場合、MPUの
出力が多数決回路を通らずに直接キャッシュメモリに入
力されるので、多数決回路での遅延時間の分キャッシュ
メモリアクセス時間を短縮できる。
【0088】本発明においては、以上のようにして多数
決論理を用いて3重系を2重系に切替て運転継続するも
のであり、本発明の変形例としてはこの方式以外にも種
々のものとすることができる。例えば、図25では3つ
のMPUの出力を多数決選択回路210と211に夫々
与え、3つのMPUの中から健全性の確認された1つの
出力を選択する。この場合、故障した方の多数決選択回
路に接続されているキャッシュメモリのデータが破壊さ
れるが、正常な多数決選択回路に接続されているキャッ
シュメモリのデータを用いて運転継続できる。
【0089】また、図24のようにMPUの出力をゲー
ト回路,切替回路等を通さずに直接キャッシュメモリに
入力し、異常となったMPUから信号を受けるキャッシ
ュメモリの動作を停止して以降そのデータを使用しない
ようにすれば、さらにゲート回路,切替回路等の遅延時
間の分キャッシュメモリアクセス時間を短縮することが
できる。しかも多くの信号線からなるアドレスバス,デ
ータバスの切替手段が不要となるのでハード量を減少さ
せることができる。
【0090】図26は4台のMPUを備え、MPUAと
MPUCを出力専用に固定し、MPUBとMPUDをそれら
の参照用に用い、2組の出力一致により出力専用MPU
の出力を夫々与えるものである。なお、MPUの異常時
には、健全側のものに切替て使用する方法とか、異常と
なったMPUから信号を受けるキャッシュメモリの動作
を停止して以降そのデータを使用しないようにする方法
等で対応できる。
【0091】 《キャッシュデータのリードアクセス部》 また、キャッシュメモリについてみると、キャッシュメ
モリ220,221の出力(データ)はパリティチェッ
クにより正常/異常が判断できるので、図27のように
パリティチェック250により正常と判断されたキャッ
シュメモリの出力を切替手段260を通じてMPUA,
MPUB,MPUCに入力する。また、両方のキャッシ
ュメモリが正常である場合には、キャッシュメモリの主
系,従系を予め決めておき、主系の出力を選択すればよ
い。
【0092】又、図28のようにMPUA,MPUBは
接続するキャッシュをそれぞれキャッシュメモリを22
0,221に固定しておきMPUBのみに選択したキャ
ッシュメモリの出力を入力してもよい。この場合、いず
れかのキャッシュメモリが故障しても3つのうちの2つ
のMPUに正常な動作をさせることができ、しかもハー
ド量を削減することができる。
【0093】
【発明の効果】本発明では、障害発生時にその一部を
やかに切り離し、また必要に応じて復旧時にプロセッサ
の全てを新たな別のプロセッサ群に切替ることにより
プロセッサの組替えに伴う種々の障害が排除される。
【図面の簡単な説明】
【図1】本発明の全体システム構成を示す図。
【図2】本発明のBPUの構成を示す図。
【図3】MPU出力チェック回路の一実施例図。
【図4】ライトアクセスでの異常時のBPUの構成を示
す図。
【図5】リードアクセスでの異常時のBPUの構成を示
す図。
【図6】バスサイクル制御フロー図。
【図7】MPU正常時のBPU内の信号の流れを示す
図。
【図8】MPU異常時のBPU内の信号の流れを示す
図。
【図9】MPU正常時のBPU内の信号の流れを示す
図。
【図10】アドレス信号異常時のBPU内の信号の流れ
を示す図。
【図11】データ信号異常時のBPU内の信号の流れを
示す図。
【図12】計算機盤構成を示す図。
【図13】BPU交換原理説明図。
【図14】BPU交換手順を示す図。
【図15】新旧BPUの処理引継を示す図。
【図16】マルチプロセッサ時のBPU交換原理説明
図。
【図17】マルチプロセッサ時のBPU交換手順を示す
図。
【図18】マルチプロセッサ時の新旧BPU処理引継を
示す図。
【図19】挿入BPU故障時のBPU交換処理を示す
図。
【図20】挿入BPU故障時のBPU交換処理フロー
図。
【図21】BPU故障時の処理の引継ぎを示す図。
【図22】BPU故障時の処理の引継ぎを示す図。
【図23】3MPUによる比較照合の実施例図。
【図24】3MPUによる比較照合の他の実施例図。
【図25】多数決方式の他の実施例図。
【図26】4MPUによる比較照合の実施例図。
【図27】キャッシュデータのリードアクセスを示す
図。
【図28】キャッシュデータのリードアクセスの他の実
施例図。
【符号の説明】
1…システムバス、2…BPU、10,11,12,1
3,14,15…パリティ生成/照合回路、20…MP
U、23…MPU出力チェック回路、27…BIU(バ
スインタフェースユニット)、30,31…パリティチ
ェック回路、200乃至205,26,27,29…3
ステートバッファ、220,221…キャッシュメモ
リ、234,235…エラーチェック回路。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 中村 智明 茨城県日立市大みか町五丁目2番1号 株式会社 日立製作所 大みか工場内 (72)発明者 丹治 雅行 茨城県日立市大みか町五丁目2番1号 株式会社 日立製作所 大みか工場内 (72)発明者 金子 茂則 茨城県日立市大みか町五丁目2番1号 株式会社 日立製作所 大みか工場内 (72)発明者 桝井 晃二 茨城県日立市大みか町五丁目2番1号 株式会社 日立製作所 大みか工場内 (72)発明者 飯島 三朗 茨城県日立市大みか町五丁目2番1号 日立プロセスコンピュータエンジニアリ ング株式会社内 (72)発明者 金川 信康 茨城県日立市久慈町4026番地 株式会社 日立製作所 日立研究所内 (72)発明者 山口 伸一朗 茨城県日立市久慈町4026番地 株式会社 日立製作所 日立研究所内 (72)発明者 小林 芳樹 茨城県日立市久慈町4026番地 株式会社 日立製作所 日立研究所内 (56)参考文献 特開 昭57−182262(JP,A) 特開 昭63−298613(JP,A) 特開 平1−279331(JP,A) 特開 平2−202636(JP,A) Y.Yano、外2名,“V60/70 Microprocessor and its Systems Suppo rt Functions”,Dide st of Papers COMPC ON,1988 Spring,p.36−42 A.L.Hopkins,Jr.、外 2名,“FTMP−A Highly Reliable Fault−Tol erant Multiprocess or for Aircraft”,P ROCEEDINGS OF THE IEEE,1978,第66巻,第10号,p. 1221−1239 真島俊明、外1名,”デュアル構成密 結合マルチプロセッサ”,電子情報通信 学会誌,1990年11月,第73巻,第11号, p.1179−1184 古城隆、外1名,“汎用マイクロプロ セッサチップ”,電子情報通信学会誌, 1990年11月,第73巻,第11号,P.1222 −1227 河本恭彦、外4名,“V60/70マイク ロプロセッサと高信頼化システム”,情 報処理学会論文誌,1989年1月,第30 巻,第1号,p.58−71 (58)調査した分野(Int.Cl.7,DB名) G06F 11/16 - 11/20 G06F 15/16 - 15/177

Claims (9)

    (57)【特許請求の範囲】
  1. 【請求項1】 同一演算を行う少なくとも3つのプロセ
    ッサを設けたプロセッサボードと、主記憶装置を設けた
    主記憶ボードと、プロセッサボード及び主記憶ボードを
    収納するスロット部と、該スロット部に収納したボード
    の各種装置が接続されるシステムバスとを備えた高信頼
    化コンピュータシステムの復旧方法において、障害発生時に、障害とされたプロセッサを有するプロセ
    ッサボードの他の健全なプロセッサによる運転を継続
    し、 次に、新たなプロセッサボードをスロット部に挿入し、 障害とされたプロセッサを有するプロセッサボードは、
    新たなプロセッサボードの挿入を検知してプロセッサの
    タスクを主記憶装置に退避し、 挿入した新たなプロセッサボードのプロセッサが主記憶
    装置に退避したタスクを実行すること を特徴とする高信
    頼化コンピュータシステム復旧方法。
  2. 【請求項2】 請求項1記載の高信頼化コンピュータシ
    ステムの復旧方法において、 上記高信頼化コンピュータシステムは、障害とされたプ
    ロセッサを有するプロセッサボードのプロセッサのタス
    クが主記憶装置に退避した後に、該プロセッサボードは
    停止することを特徴とする高信頼化コンピュータシステ
    の復旧方法。
  3. 【請求項3】 システムバス上にボードを挿入する複数
    スロットを備え、該スロットに主記憶装置のボードと、
    同一演算を行う少なくとも3つのプロセッサを設けたプ
    ロセッサボードとが挿入されて作動する高信頼化コンピ
    ュータシステムの復旧方法において、 一部プロセッサの故障による縮退運転状態からの復旧が
    以下のようにして行われる高信頼化コンピュータシステ
    の復旧方法。a.旧プロセッサボードが、空きスロットに新プロセッ
    サボードの挿入を検知して実行中のタスクを主記憶装置
    に退避する。 b.新プロセッサボードは、自己診断を実行し、正常な
    場合のみ主記憶装置に退避されたタスクを実行する。 c.旧プロセッサボードを停止する。
  4. 【請求項4】 同一の演算を行う少なくとも3つプロ
    セッサと、該プロセッサの出力の健全性を確認する確認
    回路と、外部との入出力を行う複数のインタフェイスユ
    ニットと、プロセッサでの演算に必要な情報を記憶する
    複数のキャッシュメモリと、これらの間に設けられた内
    部バスとが、一つのプロセッサボード上に設けられたプ
    ロセッサボードの交換方法であって、 障害発生時に、障害とされたプロセッサを有するプロセ
    ッサボードの他の健全なプロセッサによる運転を継続
    し、 次に、新たなプロセッサボードを挿入し、 障害とされたプロセッサを有するプロセッサボードは、
    新たなプロセッサボードの挿入を検知してプロセッサの
    タスクを外部に退避し、 挿入した新たなプロセッサボードのプロセッサが退避し
    たタスクを実行し、 障害とされたプロセッサを有するプロセッサボードを抜
    くことにより、プロセッサボードを単位として 交換する
    ことを特徴とするプロセッサボードの交換方法。
  5. 【請求項5】 主記憶装置を設けた主記憶ボードと、プ
    ロセッサボード及び主記憶ボードを収納するスロット部
    と、該スロット部に収納したボードの各種装置が接続さ
    れるシステムバスとで高信頼化コンピュータシステムを
    構成するプロセッサボードであって、 同一演算を行う少なくとも3つのプロセッサを搭載し、
    障害発生時に、障害とされたプロセッサを有するプロセ
    ッサボードの他の健全なプロセッサによる運転を継続
    し、かつ、スロット部に新たなプロセッサボードが障害
    発生後に挿入されたことを検知する手段と、新たなプロ
    セッサボードの挿入を検知してプロセッサのタスクを外
    部に退避させる手段とを備えることを特徴とするプロセ
    ッサボード
  6. 【請求項6】 請求項5記載のプロセッサボードにおい
    て、 一のプロセッサの出力の健全性を確認できないと、障害
    とされたプロセッサを除く他の健全なプロセッサの出力
    を選択することにより運転を継続する手段を備えること
    を特徴とするプロセッサボード。
  7. 【請求項7】 請求項5又は6に記載のプロセッサボー
    ドにおいて、 タスクが外部に退避した後に、プロセッサボードを停止
    する手段を備えることを特徴とするプロセッサボード。
  8. 【請求項8】 同一演算を行う少なくとも3つのプロセ
    ッサを設けたプロセッサボードと、主記憶装置を設けた
    主記憶ボードと、プロセッサボード及び主記憶ボードを
    収納するスロット部と、該スロット部に収納したボード
    の各種装置が接続されるシステムバスとを備えた高信頼
    化コンピュータシステムにおいて、 障害発生時に、障害とされたプロセッサを有するプロセ
    ッサボードの他の健全なプロセッサによる運転を継続す
    る手段と、スロット部に新たなプロセッサボードが障害
    発生後に挿入されたことを検知する手段と、新たなプロ
    セッサボードの挿入を検知して障害とされたプロセッサ
    を有するプロセッサボードのプロセッサのタスクを主記
    憶装置に退避する手段とを備えることを特徴とする高信
    頼化コンピュータシステム。
  9. 【請求項9】 請求項8記載の高信頼化コンピュータシ
    ステムにおいて、 障害とされたプロセッサボードのタスクが主記憶装置に
    退避した後に、障害が発生したプロセッサを有するプロ
    セッサボードを停止する手段を備えることを特徴とする
    高信頼化コンピュータシステム。
JP00752091A 1991-01-25 1991-01-25 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法 Expired - Lifetime JP3246751B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP00752091A JP3246751B2 (ja) 1991-01-25 1991-01-25 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法
CA002059143A CA2059143C (en) 1991-01-25 1992-01-10 Processing unit for a computer and a computer system incorporating such a processing unit
DE69231452T DE69231452T2 (de) 1991-01-25 1992-01-10 Fehlertolerantes Rechnersystem mit Verarbeitungseinheiten die je mindestens drei Rechnereinheiten haben
EP92300212A EP0496506B1 (en) 1991-01-25 1992-01-10 Fault tolerant computer system incorporating processing units which have at least three processors
US08/434,288 US5901281A (en) 1991-01-25 1995-05-03 Processing unit for a computer and a computer system incorporating such a processing unit
US09/188,903 US6216236B1 (en) 1991-01-25 1998-11-10 Processing unit for a computer and a computer system incorporating such a processing unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP00752091A JP3246751B2 (ja) 1991-01-25 1991-01-25 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法

Related Child Applications (2)

Application Number Title Priority Date Filing Date
JP17433298A Division JP3256181B2 (ja) 1998-06-22 1998-06-22 高信頼化コンピュータシステムの復旧方法
JP17433398A Division JP3325836B2 (ja) 1998-06-22 1998-06-22 計算機盤

Publications (2)

Publication Number Publication Date
JPH04241038A JPH04241038A (ja) 1992-08-28
JP3246751B2 true JP3246751B2 (ja) 2002-01-15

Family

ID=11668053

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00752091A Expired - Lifetime JP3246751B2 (ja) 1991-01-25 1991-01-25 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法

Country Status (1)

Country Link
JP (1) JP3246751B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070260939A1 (en) * 2006-04-21 2007-11-08 Honeywell International Inc. Error filtering in fault tolerant computing systems

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
A.L.Hopkins,Jr.、外2名,"FTMP−A Highly Reliable Fault−Tolerant Multiprocessor for Aircraft",PROCEEDINGS OF THE IEEE,1978,第66巻,第10号,p.1221−1239
Y.Yano、外2名,"V60/70 Microprocessor and its Systems Support Functions",Didest of Papers COMPCON,1988 Spring,p.36−42
古城隆、外1名,"汎用マイクロプロセッサチップ",電子情報通信学会誌,1990年11月,第73巻,第11号,P.1222−1227
河本恭彦、外4名,"V60/70マイクロプロセッサと高信頼化システム",情報処理学会論文誌,1989年1月,第30巻,第1号,p.58−71
真島俊明、外1名,"デュアル構成密結合マルチプロセッサ",電子情報通信学会誌,1990年11月,第73巻,第11号,p.1179−1184

Also Published As

Publication number Publication date
JPH04241038A (ja) 1992-08-28

Similar Documents

Publication Publication Date Title
US6073251A (en) Fault-tolerant computer system with online recovery and reintegration of redundant components
EP0496506B1 (en) Fault tolerant computer system incorporating processing units which have at least three processors
US6058491A (en) Method and system for fault-handling to improve reliability of a data-processing system
Siewiorek Fault tolerance in commercial computers
EP0864126B1 (en) Remote checkpoint memory system and method for fault-tolerant computer system
JP2505928B2 (ja) フォ―ルト・トレラント・システムのためのチェックポイント機構
EP0433979A2 (en) Fault-tolerant computer system with/config filesystem
JPS61502223A (ja) 再構成可能なデュアル・プロセッサ・システム
Kim Highly available systems for database applications
JP3030658B2 (ja) 電源故障対策を備えたコンピュータシステム及びその動作方法
JPH0934809A (ja) 高信頼化コンピュータシステム
Randell Reliable computing systems
JPH09251443A (ja) 情報処理システムのプロセッサ障害回復処理方法
JP3255934B2 (ja) ベーシックプロセッシングユニット及び高信頼化コンピュータシステム
JP3256181B2 (ja) 高信頼化コンピュータシステムの復旧方法
JP3246751B2 (ja) 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法
JP3180737B2 (ja) システムの冗長化方法
JP3325836B2 (ja) 計算機盤
JPS589976B2 (ja) 演算制御装置
Hansen et al. The 3B20D Processor & DMERT operating systems: Fault detection and recovery
JPS62115555A (ja) 計算機システムの補助記憶装置2重化管理方法
JPS5917467B2 (ja) 制御用計算機のバツクアツプ方式
JPS6095663A (ja) 2重化磁気デイスク装置の自動切換装置
KR19990057809A (ko) 오류 방지 시스템
JPH06259270A (ja) プロセッサ異常判定回路

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071102

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081102

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081102

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091102

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 10

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 10