JP5325032B2 - 多重系システムの高信頼性制御装置 - Google Patents
多重系システムの高信頼性制御装置 Download PDFInfo
- Publication number
- JP5325032B2 JP5325032B2 JP2009158624A JP2009158624A JP5325032B2 JP 5325032 B2 JP5325032 B2 JP 5325032B2 JP 2009158624 A JP2009158624 A JP 2009158624A JP 2009158624 A JP2009158624 A JP 2009158624A JP 5325032 B2 JP5325032 B2 JP 5325032B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- processor
- read
- processors
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 230000015654 memory Effects 0.000 description 5
- 230000009977 dual effect Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Description
本発明は、プロセッサの多重系システムにおける高信頼性制御装置に関する。
近年、システムの高信頼性が要求されてきており、プロセッサを多重化した高信頼性システムが開発されている。高信頼性の例として、鉄道保安システムのように誤った処理により、誤制御が行われ人命に関わるような危険な事故とならないフェールセーフなシステムがある。鉄道分野ではこのようなフェールセーフなシステムが開発され、実用化されてきた。
このフェールセーフなシステムの中にプロセッサを多重系構成とすることでフェールセーフ性を確保するシステムがある。以下、従来技術である2つのプロセッサの動作を比較器により監視する2重系システムの従来例として、図4に2重系システムのシステム構成を、図5、図6にその2重系システムの動作を説明する。
図4に示すように、2つのプロセッサ(プロセッサA系2/プロセッサB系3)は、それぞれ同一周波数、同一処理が行われ、これらのプロセッサの動作を比較器で常時監視する。プロセッサA2/プロセッサB3は、それぞれプロセッサ毎に独立した記憶装置A1/記憶装置B4に対し書込動作、又は読込動作が行われ、比較器7は、プロセッサA2〜記憶装置A1、プロセッサB3〜記憶装置B4の間それぞれで行われるデータを横取りし、書込動作、又は読込動作を常時監視する。具体的には、双方のプロセッサから出力する信号線(アドレス信号、データ信号、制御信号)の状態を1クロック毎に取り込み、状態を監視している。
正常な動作であれば、2つのプロセッサは同一動作をすることから、図5に示すように、比較器7では、比較一致として正常動作と判断し、動作を継続する。
一方、2つのプロセッサが何らかの影響により異なる動作をした場合、図6に示すように、比較器7では比較不一致として異常動作と判断、双方のプロセッサに対し異常動作報告が行われプロセッサの動作を停止させる。
このように、プロセッサの多重系構成による動作で、高信頼性な制御装置を実現することを可能としていた。
また、多重系構成での外乱によるシステムの稼働率低下を回避することを可能とした2重系電子計算機の例が、特許文献1に開示されている。また、入出力装置を共用する2台の計算機からの入出力装置へのアクセス方法を改善したバス切換装置を備えた二重化計算機システムの例が特許文献2に開示されている。
従来技術では、アプリケーションによっては、プロセッサ毎で独立した記憶装置等に対して、異なるデータの書込み、又は読込みが為される場合、あるいは意図的に異なるデータの書込み、又は読込みに対して対応する場合がある。
例えば、実施例1で説明しているECC(Error Check and Correct)機能を持つ装置のECCエラー処理のように、A系のみECCエラーが発生する可能性があると、A系のみのECCエラー履歴を残すレジスタアクセスがある。この場合には、従来技術のまま、プロセッサ毎に異なるデータの書込み、読込みをすれば比較不一致となることは明らかである。
本発明は、上記の問題を解決するため、特定の条件の場合に限定して、プロセッサ毎に異なるデータでも比較一致として動作継続させることを目的とする。
本発明の多重系システムの高信頼性制御装置は、同一周波数で同一処理を行う複数のプロセッサと、前記プロセッサがそれぞれ独立にアクセス動作を行う記憶装置と、前記プロセッサの入出力動作を常時比較し、同一動作の場合は、正常と判断する比較機能を持つ多重系システムの高信頼性制御装置において、一方のプロセッサが独立にアクセス動作を行う記憶装置に対して、記憶装置のエラーチェック処理が終了して、エラーチェック要因レジスタにECCエラー履歴が残って比較不一致が発生する条件、または、多重系システムの記憶装置に、意図的に異なるデータの書込み、または読込みが為されて、比較不一致が発生する条件である特定の条件において、他方のプロセッサと異なるデータの書込み、又は読込みを行う場合、プロセッサの動作を比較する比較制御部内で、異なるデータの書込み、又は読込みを行ったプロセッサのデータと同一データを他方のプロセッサ側へ分配し、同一データを比較させることで、前記特定の条件において、異なるデータの書込み、又は読込みを可能にすることを特徴とする。
本発明によれば、プロセッサA2/プロセッサB 3は、一方の記憶装置に対してデータ書込み、及び読込みを行い。この時、もう一方の記憶装置に対しては書込み、読込みはせず、比較器 7内部でプロセッサA2/プロセッサB 3に同一データを分配し、このデータを比較するので、比較器7では比較一致としてプロセッサ動作を継続させることができる。
図1及び図2に本発明の動作を示す。本発明の構成においては、従来技術の構成(図4に示すものと同一構成)を用い、記憶装置に対するプロセッサのアクセス方式を改良している。
図1は、A系記憶装置1へのアクセスを示している。A系側リードアクセス28の場合、A系記憶装置1からA系プロセッサ2に対して読込データ(0x3)が転送されると同時に、比較器7を経由しB系側へA系側と同一データ(0x3)が分配され、B系プロセッサ3にも転送される。比較器7内部では、A系側のデータ(0x3)と分配されたB系側の同一データ(0x3)を比較することから、比較一致として動作を継続することができる。
また、A系側ライトアクセス30の場合、A系プロセッサ2からA系記憶装置1に対して書込データ(0x3)が転送される。同時に、B系プロセッサ3からもA系記憶装置1に対して同一データ(0x3)を転送するが、比較器7では、比較動作のみのためA系側へのデータ分配は行わず、比較器7内部でデータ(0x3)をディセーブル32する。
図2は、B系記憶装置4のアクセスを示している。B系側リードアクセス29の場合、B系記憶装置4からB系プロセッサ3に対して読込データ(0x2)が転送されると同時に、比較器7を経由しA系側へB系側と同一データ(0x2)が分配され、A系プロセッサ2にも転送される。比較器7内部では、B系側のデータ(0x2)と分配されたA系側の同一データ(0x2)を比較することから、比較一致として動作を継続することができる。
また、B系側ライトアクセス31の場合、B系プロセッサ3からB系記憶装置4に対して書込データ(0x2)が転送される。同時に、A系プロセッサ2からもB系記憶装置4に対して同一データ(0x2)を転送するが、比較器7では、比較動作のみのためB系側へのデータ分配は行わず、比較器7内部でデータ(0x2)をディセーブル32する。
アプリケーション毎でソフトウェアは異なるため、プロセッサがアクセスできる空間を図3のようにすることで、アプリケーション毎に変更することが可能となる。独立アクセス空間は、A系プロセッサ2/B系プロセッサ3がそれぞれ個別にアクセスを行うアクセス方法(図5、図6のアクセス方法)である。
A系アクセス空間は、A系記憶装置1のみに対するアクセス方法(図1のアクセス方法)を、B系アクセス空間は、B系記憶装置4のみに対するアクセス方法(図2のアクセス方法)となるように構成する。
図7、図8は、本発明を使用した実施例とその構成、動作を示している。以下の説明の中で、片系のみの動作を示す箇所(〜−A/〜−Bの無し)は、両系で同一であることを示す。
2重系システムの中心となるCPU−A10/CPU−B11がある。それぞれCPU毎に独立して使用するRAM−A9/RAM−B12、これらのRAMはCPUのワークメモリとして使用し、高い頻度でアクセスが行われる重要なメモリであるためECC機能を付加する。
ここで、ECCとは、メモリのビット化けを訂正、検出する誤り訂正機能である。ECC機能に必要なECCチェックコード生成、ECCチェックは、ECC制御FPGA(Field Programmable Gate Array)で行われる。ECC制御FPGAで生成されるECCチェックコードもECCチェックコード格納用としてRAMと同様なECC−A8/ECC−B13を用意する。
また、図1、図2の構成と同様に、比較器24ではCPU−A10〜RAM−A9間/CPU−B11〜RAM−B12間で行われるデータを横取りし、CPU−A10/CPU−B11相互の動作を常時比較監視する。
ライトアクセス動作は、CPUがRAMに対して必要なデータを書込む。このデータ書込みと同時に、RAMへ書込みを行ったデータに対応したECCチェックコードをECC制御FPGAで生成し、ECCへ格納する。
また、リードアクセス時は、RAMからCPUに必要なデータが読込まれる。データ読込みと同時にRAMへ書込んだデータに対応したECCチェックコードをECCから読込む。ECC制御FPGAでは、RAMからの読込データとECCチェックコードにより、RAMからの読込データの妥当性をチェックし、ビット化けの訂正、検出を行う。
ここで、訂正とは、RAMデータが1ビット化けの場合、ECC制御FPGAで正しいデータへ訂正すること、また、検出とは、RAMデータが2ビット化けの場合、訂正せずにCPUに対してエラー報告のみを行う。
ビット化け訂正の場合、比較器24へは、RAMのビット化けの訂正されたデータを監視するため、比較一致としてCPUを停止させることなく、動作を継続することができる。この時、エラー訂正を行ったという履歴をECCエラー要因レジスタ15に残す。ビット化け検出の場合、比較器24へは、RAMのビット化け検出のみ行われ、ビット化けしたデータを比較する前にCPUに対してエラー報告される。
前述した動作により、RAM−A9で1ビットエラー訂正が発生したとする。RAM−A9の誤ったデータとECC−A8のECCチェックコードにより、ECC制御FPGA−A17でエラー訂正されたデータが、CPU−A10へ読込まれる。それと同時にECC制御FPGA−A内部に持つECCエラー要因レジスタ15が有効(エラー要因のビットが1となる:0x0001)、B系のECCエラー要因レジスタ19は、ECCエラーが発生しておらず、無効(エラー要因のビットは0のまま:0x0000)である。
ECCエラーが発生すると、ECC制御FPGA−A17から比較器24に割込報告が行われ、更に比較器24からCPU−A10/CPU−B11の両CPUに対して同時に割込報告が行われる。CPU−A10/CPU−B11は、同一処理を行うため、この割込報告を同時に受付けて、それぞれのECCエラー要因レジスタの読込みを行うと、A系のみECCエラー要因レジスタ値が有効(0x0001)となっているため、比較不一致となってしまう。
このように、A/B系で明らかに異なる、又は異なると思われるデータのアクセスは、本発明のような動作方法で、A系側アクセスとB系側アクセスを個別に行うことで比較不一致による動作停止を回避する。
本実施例では、CPU−A10/CPU−B11が同時に割込を受付後、A系側ECCエラー要因レジスタ15のリードアクセス、B系側ECCエラー要因レジスタ19のリードアクセスの順で行う方法としている。
図7、図8にその方法を示す。CPU−A10/CPU−B11は、比較器FPGA24から同時に割込報告受付後、最初のステップで、図7に示すような経路で、A系側のECCエラー要因レジスタ15のリードアクセスを行う。
A系側ECCエラー要因レジスタ15からデータ(0x0001)を読込み、CPU−A10へデータ転送するが、これと同時に比較器FPGA24を介し、B系側へもデータが分配され、CPU−B11にも同一データ(0x0001)が転送される。比較器FPGA24内部では、A系側から分配された同一データをB系側のデータ(0x0001)として比較することから、比較一致として正常動作を継続する。
次のステップで、図8に示すような経路で、B系側のECCエラー要因レジスタ19のリードアクセスを行う。B系側ECCエラー要因レジスタ19のアクセスもA系側のECCエラー要因レジスタ15のリードアクセスと同様に行う。B系側ECCエラー要因レジスタ19からデータを読込み、CPU−Bへデータ転送するが、これと同時に比較器FPGA24を介し、A系側へデータが分配されCPU−A10へもCPU−B11と同一データが転送される。
比較器FPGA24内部では、B系側から分配された同一データ(0x0000)をA系側のデータとして比較することから、これも比較一致として正常動作を継続する。
更に、次のステップからは、比較不一致とならずに各系毎に取込んだECCエラー要因レジスタの値から、ECCエラー処理を実施することが可能となる。
以上の実施例では、ECCエラー処理を実施して記憶装置の一部に異なるデータの書込み、又は読込みが為される場合について説明したが、本発明は、プロセッサ毎で独立した記憶装置等に対して、ECCエラー処理を実施して異なるデータの書込み、又は読込みが為される場合のみならず、意図的に各系の記憶装置に異なるデータの書込み、又は読込みが為される場合等に対しても適用が可能である。
例えば、2重系システムにおいて、それぞれの系のA/D変換器の出力を各系の記憶装置に格納する際に、A/D変換器の性能が高く、変換後のディジタル値が完全に一致しない状況が発生して比較不一致によりシステムが動作が停止する場合に、本発明を適用して、意図的に一方の系の記憶装置に記憶されたデータと同一データを他方の系に転送して、動作を継続させることができる。
また、上記の実施例の説明では、A系及びB系の2重系システムの高信頼性制御装置について説明したが、本発明は、2重系システムに限らず、3以上の複数の多重系システムにも適用可能である。
1 A系記憶装置
2 A系プロセッサ
3 B系プロセッサ
4 B系記憶装置
5 B系比較制御部
6 A系比較制御部
7 比較器
8 A系ECC
9 A系RAM
10 A系CPU
11 B系CPU
12 B系RAM
13 B系ECC
14 A系ECCチェック部
15 A系ECCエラー要因レジスタ
16 A系ECC制御部
17 A系ECC制御FPGA
18 B系ECCチェック部
19 B系ECCエラー要因レジスタ
20 B系ECC制御部
21 B系ECC制御FPGA
22 A系比較制御部
23 B系比較制御部
24 比較器FPGA
25 プロセッサの読込動作
26 プロセッサの書込動作
27 比較器での動作比較(監視動作)
28 A系側リードアクセス動作
29 B系側リードアクセス動作
30 A系側ライトアクセス動作
31 B系側ライトアクセス動作
32 ディセーブル
2 A系プロセッサ
3 B系プロセッサ
4 B系記憶装置
5 B系比較制御部
6 A系比較制御部
7 比較器
8 A系ECC
9 A系RAM
10 A系CPU
11 B系CPU
12 B系RAM
13 B系ECC
14 A系ECCチェック部
15 A系ECCエラー要因レジスタ
16 A系ECC制御部
17 A系ECC制御FPGA
18 B系ECCチェック部
19 B系ECCエラー要因レジスタ
20 B系ECC制御部
21 B系ECC制御FPGA
22 A系比較制御部
23 B系比較制御部
24 比較器FPGA
25 プロセッサの読込動作
26 プロセッサの書込動作
27 比較器での動作比較(監視動作)
28 A系側リードアクセス動作
29 B系側リードアクセス動作
30 A系側ライトアクセス動作
31 B系側ライトアクセス動作
32 ディセーブル
Claims (3)
- 同一周波数で同一処理を行う複数のプロセッサと、前記プロセッサがそれぞれ独立にアクセス動作を行う記憶装置と、前記プロセッサの入出力動作を常時比較し、同一動作の場合は、正常と判断する比較機能を持つ多重系システムの高信頼性制御装置において、
一方のプロセッサが独立にアクセス動作を行う記憶装置に対して、
記憶装置のエラーチェック処理が終了して、エラーチェック要因レジスタにECCエラー履歴が残って比較不一致が発生する条件、または、多重系システムの記憶装置に、意図的に異なるデータの書込み、または読込みが為されて、比較不一致が発生する条件である特定の条件において、他方のプロセッサと異なるデータの書込み、又は読込みを行う場合、プロセッサの動作を比較する比較制御部内で、異なるデータの書込み、又は読込みを行ったプロセッサのデータと同一データを他方のプロセッサ側へ分配し、同一データを比較させることで、前記特定の条件において、異なるデータの書込み、又は読込みを可能にすることを特徴とする多重系システムの高信頼性制御装置。 - 請求項1に記載の多重系システムの高信頼性制御装置において、
前記複数のプロセッサが2つのプロセッサからなり、
一方のプロセッサが独立にアクセス動作を行う記憶装置に対して、前記特定の条件において、もう一方のプロセッサと異なるデータの書込み、又は読込みを行う場合、プロセッサの動作を比較する比較制御部内で、異なるデータの書込み、又は読込みを行ったプロセッサのデータと同一データをもう一方のプロセッサ側へ分配し、同一データを比較させることで、前記特定の条件において、異なるデータの書込み、又は読込みを可能にすることを特徴とする多重系システムの高信頼性制御装置。 - 請求項1に記載の多重系システムの高信頼性制御装置において、
前記複数のプロセッサが3以上の複数のプロセッサからなり、
一方のプロセッサが独立にアクセス動作を行う記憶装置に対して、前記特定の条件において、他方の複数のプロセッサと異なるデータの書込み、又は読込みを行う場合、プロセッサの動作を比較する比較制御部内で、異なるデータの書込み、又は読込みを行ったプロセッサのデータと同一データを他方の複数のプロセッサ側へ分配し、同一データを比較させることで、前記特定の条件において、異なるデータの書込み、又は読込みを可能にすることを特徴とする多重系システムの高信頼性制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009158624A JP5325032B2 (ja) | 2009-07-03 | 2009-07-03 | 多重系システムの高信頼性制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009158624A JP5325032B2 (ja) | 2009-07-03 | 2009-07-03 | 多重系システムの高信頼性制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011014011A JP2011014011A (ja) | 2011-01-20 |
| JP5325032B2 true JP5325032B2 (ja) | 2013-10-23 |
Family
ID=43592809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009158624A Expired - Fee Related JP5325032B2 (ja) | 2009-07-03 | 2009-07-03 | 多重系システムの高信頼性制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5325032B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6118043B2 (ja) * | 2012-07-18 | 2017-04-19 | 矢崎総業株式会社 | 表示装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63159945A (ja) * | 1986-12-24 | 1988-07-02 | Hitachi Ltd | 二重化計算機システム |
| JPH0863365A (ja) * | 1994-08-23 | 1996-03-08 | Fujitsu Ltd | データ処理装置 |
| JPH0876840A (ja) * | 1994-09-06 | 1996-03-22 | Hitachi Ltd | エラー判定方法 |
| JPH08297588A (ja) * | 1995-04-25 | 1996-11-12 | Fujitsu Ltd | 二重照合装置 |
| JPH10301798A (ja) * | 1997-04-25 | 1998-11-13 | Hitachi Ltd | 2重系電子計算機及び2重系電子計算機を用いた制御装置及び鉄道信号保安装置 |
| JP2003271463A (ja) * | 2002-03-13 | 2003-09-26 | Fujitsu Access Ltd | 二重化メモリ装置 |
-
2009
- 2009-07-03 JP JP2009158624A patent/JP5325032B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011014011A (ja) | 2011-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6280359B2 (ja) | プログラマブルコントローラ | |
| US9191030B2 (en) | Memory controller, data storage device, and memory controlling method | |
| US20120246542A1 (en) | Selective checkbit modification for error correction | |
| US9952579B2 (en) | Control device | |
| CN110147343B (zh) | 一种全比较的Lockstep处理器架构 | |
| JP4723265B2 (ja) | エラー検出訂正装置の制御方法、エラー検出訂正装置、情報処理システム、エラー検出訂正装置の制御プログラム、データ処理装置 | |
| JP3068009B2 (ja) | 冗長化メモリのエラー訂正機構 | |
| JP5325032B2 (ja) | 多重系システムの高信頼性制御装置 | |
| US9043655B2 (en) | Apparatus and control method | |
| EP3882774B1 (en) | Data processing device | |
| US20090228745A1 (en) | Error backup method | |
| JP2001290710A (ja) | データエラー検出装置 | |
| JP3434735B2 (ja) | 情報処理システム及びそれに用いる障害処理方式 | |
| US10740179B2 (en) | Memory and method for operating the memory | |
| JP6710142B2 (ja) | 制御システム | |
| US20170337110A1 (en) | Data processing device | |
| JP5632804B2 (ja) | バス診断機能を備えた制御装置 | |
| JP2559531B2 (ja) | 二重化システムのエラーチェック回路 | |
| JP5381151B2 (ja) | 情報処理装置、バス制御回路、バス制御方法及びバス制御プログラム | |
| US20100223527A1 (en) | Data protection circuit, data protection method, and data processing apparatus | |
| JP2006011576A (ja) | 高信頼性制御装置 | |
| JP2021166424A (ja) | 保護リレー装置 | |
| JP5680434B2 (ja) | Pciバス制御システム | |
| US9323472B2 (en) | Storage controlling device and controlling method | |
| JP6234356B2 (ja) | マイコン搭載モジュールが設けられた制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130412 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130627 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130716 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130719 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5325032 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |