JP5874492B2 - Fault tolerant control device and control method of fault tolerant system - Google Patents
Fault tolerant control device and control method of fault tolerant system Download PDFInfo
- Publication number
- JP5874492B2 JP5874492B2 JP2012076159A JP2012076159A JP5874492B2 JP 5874492 B2 JP5874492 B2 JP 5874492B2 JP 2012076159 A JP2012076159 A JP 2012076159A JP 2012076159 A JP2012076159 A JP 2012076159A JP 5874492 B2 JP5874492 B2 JP 5874492B2
- Authority
- JP
- Japan
- Prior art keywords
- processor
- abnormal
- processors
- mismatch
- counter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、フォールトトレラント制御装置、フォールトトレラントシステムの制御方法に関する。 The present invention relates to a fault tolerant control device and a control method for a fault tolerant system.
従来から、一過性の誤動作によって、システムの処理が継続できなくなることを回避するためにフォールトトレラントシステムが採用される。 Conventionally, a fault-tolerant system has been adopted to prevent the system from being unable to continue processing due to a transient malfunction.
例えば、フォールトトレラントシステムのロックステップ方式では、複数のプロセッサにクロック同期で同じ命令列を実行させ、全てのプロセッサの動作を比較し、不一致を検出した場合に異常の発生と判定する。不一致は、例えば、故障あるいはその他の外的または内的要因により、同期した他のプロセッサと異なる出力を行う場合に検出される。そして、フォールトトレラントシステムは、異常プロセッサのシステムからの切り離しや、異常プロセッサのリセット等の対処を行わせることにより、システムの動作を継続させる。 For example, in the lockstep method of the fault tolerant system, a plurality of processors are caused to execute the same instruction sequence in clock synchronization, the operations of all the processors are compared, and when a mismatch is detected, it is determined that an abnormality has occurred. A discrepancy is detected when the output is different from other synchronized processors due to, for example, a fault or other external or internal factor. Then, the fault tolerant system continues the operation of the system by causing the abnormal processor to be disconnected from the system, or causing the abnormal processor to be reset.
フォールトトレラントシステムは、異常プロセッサをリセットさせる場合、正常なプロセッサを停止した上で、リセット要求を発行して異常プロセッサを初期化させ、正常なプロセッサの内部レジスタ値等の状態情報を異常プロセッサにコピーさせる。これにより、複数のプロセッサ間の同期を維持しながら、プロセッサで動作するアプリケーションの処理を継続させることができる(例えば、特許文献1、2)。
When resetting an abnormal processor, the fault-tolerant system stops the normal processor, issues a reset request to initialize the abnormal processor, and copies status information such as the internal register value of the normal processor to the abnormal processor. Let Thereby, it is possible to continue processing of an application operating on a processor while maintaining synchronization among a plurality of processors (for example,
一方、近年、自動車向けの機能安全規格ISO26262が、注目を集めている。機能安全とは、マイコン等の電子システムの構成要素に故障が発生したとしても、被害を最小限に留める機能的な工夫を施すことによって実現する安全を指す。 On the other hand, in recent years, a functional safety standard ISO 26262 for automobiles has attracted attention. Functional safety refers to the safety that is achieved by functionally reducing the damage even if a failure occurs in the components of an electronic system such as a microcomputer.
しかしながら、従来の方法によると、不一致が検出される度に、異常プロセッサがリセットされ、リセットによる初期化処理や状態情報のコピー処理等に時間が費やされる。不一致が検出されてから異常プロセッサが同期した状態に復旧されるまでの間、プロセッサで動作するアプリケーションは停止状態になる。例えば、機能安全が重視される、人命に関わる処理を行うようなマイコンで動作するアプリケーションについては、停止状態が発生することは望ましくない。 However, according to the conventional method, each time a mismatch is detected, the abnormal processor is reset, and time is spent for initialization processing, status information copying processing, and the like. From the time when the mismatch is detected until the abnormal processor is restored to the synchronized state, the application running on the processor is stopped. For example, it is not desirable for a stop state to occur for an application that operates on a microcomputer that performs processing related to human life where functional safety is important.
本発明は、アプリケーションの停止時間を短縮するフォールトトレラント制御装置、フォールトトレラントシステムの制御方法を提案することにある。 It is an object of the present invention to propose a fault tolerant control device and a fault tolerant system control method for shortening an application stop time.
第1の側面は、バスに接続された3つ以上のプロセッサを同期して同じ命令列を処理させるフォールトトレラント制御装置であって、前記3つ以上のプロセッサの処理状態を比較し異常な処理状態である異常プロセッサを検出する異常プロセッサ検出手段と、前記異常プロセッサを検出したとき、前記異常プロセッサに対応するカウンタをインクリメントし、前記カウンタが基準値に達した場合に前記異常プロセッサを初期化し前記正常な処理状態のプロセッサと同期させるリセット処理を行わせ、達しない場合に正常な処理状態に基づく応急処理を行わせる再同期化手段と、を有する。 A first aspect is a fault tolerant control device that processes three or more processors connected to a bus in synchronization with each other to process the same instruction sequence, and compares the processing states of the three or more processors to detect an abnormal processing state. An abnormal processor detecting means for detecting an abnormal processor, and when the abnormal processor is detected, a counter corresponding to the abnormal processor is incremented, and the abnormal processor is initialized when the counter reaches a reference value. Resynchronizing means for performing reset processing to be synchronized with a processor in a different processing state, and for performing emergency processing based on a normal processing state if not reached.
第1の側面によれば、アプリケーションの停止時間を短縮される。 According to the first aspect, the application stop time is shortened.
以下、図面にしたがって本発明の実施の形態について説明する。ただし、本発明の技術的範囲はこれらの実施の形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. However, the technical scope of the present invention is not limited to these embodiments, but extends to the matters described in the claims and equivalents thereof.
[フォールトトレラントシステムの構成]
図1は、ロックステップ方式を用いたフォールトトレラントシステム10の構成の一例を示す図である。同図におけるフォールトトレラントシステム10は、例えば、ブレーキ制御システム、速度表示システム等の車載向けのシステムである。このような車載向けのシステムは人命に関わることから、システムの信頼性が特に重要視される。
[Configuration of fault-tolerant system]
FIG. 1 is a diagram illustrating an example of a configuration of a fault
図1のフォールトトレラントシステム10は、例えば、クロック同期で同じ命令列を実行する3つのプロセッサx1〜x3、メモリ14、メモリ制御部15、周辺機能回路e1〜en、フォールトトレラントシステム10の制御部20(以下、フォールトトレラント制御部20)を有する。
The fault
フォールトトレラント制御部20は、例えば、比較選択回路11、比較複写回路13、再同期化制御部12を有する。フォールトトレラント制御部20は、3つのプロセッサx1〜x3の処理状態の比較、及び、処理状態が一致しない場合の異常プロセッサの再同期化処理を行う。フォールトトレラント制御部20と、メモリ制御部15、周辺機能回路e1〜en等は、外部バス16を介して接続される。
The fault
また、図1のフォールトトレラント制御部20とプロセッサ間のバス線において、点線で示すバス線には、1つのプロセッサから入出力される外部アクセス値(x1b〜x3bのいずれか)、内部レジスタx1R〜x3Rの値(x1a〜x3aのいずれか)、各種信号等が転送される。一方、太線で示すバス線には、3つのプロセッサx1〜x3から入出力される外部アクセス値x1b〜x3b、内部レジスタの値x1a〜x3a、各種信号等が転送される。
Further, in the bus line between the fault
メモリ14は、フォールトトレラントシステム10で動作するプログラムPRを格納する。プログラムPRは、例えば、ブレーキ制御や速度表示等のアプリケーションプログラムや、プロセッサの初期化プログラムである。メモリ制御部15は、メモリインターフェースとしてメモリ14のアクセス制御を行う。
The
なお、この例において、フォールトトレラントシステム10は、3つのプロセッサx1〜x3を有するが、プロセッサの数は3つに限定されるものではない。本実施の形態例におけるフォールトトレラントシステム10は、3つ以上のプロセッサを有していればよい。
In this example, the fault
[フォールトトレラント制御部20]
フォールトトレラント制御部20は、プロセッサの処理状態を逐一比較し、処理状態の不一致を検出すると、3つの処理状態の多数決に基づいて異常な処理状態のプロセッサ(以下、異常プロセッサ)を特定する。そして、フォールトトレラント制御部20は、異常プロセッサの正常なプロセッサへの再同期化処理を行う。これにより、3つ以上のプロセッサのうち、いずれかのプロセッサの処理状態が異常になっても修復され、システムが継続される。これにより、システムで処理されるアプリケーションが適切に動作する。
[Fault tolerant control unit 20]
The fault
[プロセッサの処理状態]
本実施の形態例におけるフォールトトレラント制御部20が比較対象とする処理状態とは、各プロセッサから出力される外部アクセスの値x1b〜x3bと、各プロセッサが有する内部レジスタx1R〜x3Rの値x1a〜x3aである。
[Processing status of the processor]
The processing states to be compared by the fault
具体的に、外部アクセスの値x1b〜x3bとは、例えば、プロセッサからデータバス、アドレスバス、制御バスに出力される値を示す。フォールトトレラントシステム10では、複数のプロセッサのうち、メインとなるプロセッサの外部アクセスの値が選択され、外部バス16を介して、メモリ14や周辺機能回路e1〜en等の周辺回路に出力される。このため、選択された外部アクセスの値が異常である場合、周辺回路に異常な外部アクセス値が伝播し、メモリ14の破壊や、周辺機能回路e1〜enの暴走が発生してしまう。
Specifically, the external access values x1b to x3b indicate values output from the processor to the data bus, address bus, and control bus, for example. In the fault
内部レジスタの値x1a〜x3aとは、例えば、プロセッサが有するプログラムカウンタ(以下、PC)の値、スタックポインタ(以下、SP)の値、有限ステートマシン(以下、FSM)が保持するレジスタの値である。PC値は次にプロセッサx1〜x3が処理する対象の命令のアドレス値を示し、SP値は一時退避されたプロセッサの情報が格納されるメモリのアドレスを示す。そして、FSM値は、プロセッサx1〜x3のパイプラインステージを制御する有限ステートマシンのレジスタであって、パイプラインステージの処理状態を保持するレジスタの値を示す。このため、内部レジスタの値x1a〜x3aが異常である場合、例えば、プログラムの暴走や、パイプラインステージ制御の暴走が発生してしまう。 The internal register values x1a to x3a are, for example, a value of a program counter (hereinafter referred to as PC), a value of a stack pointer (hereinafter referred to as SP), and a register value held by a finite state machine (hereinafter referred to as FSM). is there. The PC value indicates the address value of the instruction to be processed next by the processors x1 to x3, and the SP value indicates the address of the memory where the temporarily saved processor information is stored. The FSM value is a register of a finite state machine that controls the pipeline stages of the processors x1 to x3, and indicates the value of a register that holds the processing state of the pipeline stages. For this reason, if the internal register values x1a to x3a are abnormal, for example, a program runaway or pipeline stage control runaway occurs.
図1のようなフォールトトレラントシステム10では、各プロセッサは、同一の命令列を同期して処理する。また、一般的に、プロセッサx1〜x3は同じ種別のプロセッサである。このため、通常、各プロセッサから出力される外部アクセスの値x1b〜x3b、及び、各プロセッサの内部レジスタの値x1a〜x3aは、同一である。
In the fault
続いて、本実施の形態例におけるフォールトトレラント制御部20を構成する比較選択回路11、比較複写回路13、再同期化制御部12について簡単に説明する。
Next, the comparison /
[比較選択回路11]
比較選択回路11は、3つのプロセッサx1〜x3の外部アクセスの値x1b〜x3bを逐一比較し、各外部アクセスの値に不一致が発生した場合に、多数決に基づいて、外部アクセスの値が異常なプロセッサを特定する。また、比較選択回路11は、外部アクセスの値x1b〜x3bに不一致が発生したときの応急処理として値が正常な外部アクセスの値を選択し、外部バス16を介して周辺回路に出力する。例えば、図1のように、プロセッサx1から、異常な外部アクセスの値x1bが出力された場合(ER)、比較選択回路11は、プロセッサx2、またはプロセッサx3の外部アクセスの値を選択して、外部バス16に出力する。
[Comparison selection circuit 11]
The comparison /
[比較複写回路13]
比較複写回路13は、3つのプロセッサx1〜x3の内部レジスタの値x1a〜x3aを逐一比較し、各内部レジスタの値に不一致が発生した場合に、多数決に基づいて、内部レジスタの値が異常なプロセッサを特定する。また、比較複写回路13は、内部レジスタの値x1a〜x3aに不一致が発生したときの応急処理として、正常な内部レジスタの値の異常プロセッサの内部レジスタへの書き込みを指示する。なお、この処理は、プロセッサのレジスタの値を変更することにより、1サイクル程度要する。例えば、図1のように、プロセッサx2の内部レジスタの値x2aが異常である場合(ER2)、比較複写回路13は、例えば、プロセッサx1の内部レジスタ値x1aの、プロセッサx2の内部レジスタx2Rへの書き込みを指示する。
[Comparative copy circuit 13]
The
[再同期化制御部12]
再同期化制御部12は、外部アクセスの値x1b〜x3bまたは、内部レジスタの値x1a〜x3aに不一致が発生したときに、各プロセッサ間の再同期化を図る。再同期化制御部12は、プロセッサ毎に不一致カウンタを有し、処理状態の不一致が発生したプロセッサに対応する不一致カウンタをインクリメントすると共に、不一致カウンタ値に基づいて判定されたエラーレベルに応じた再同期化処理を指示する。
[Resynchronization control unit 12]
The
続いて、フォールトトレラント制御部20の各構成の詳細について説明する。
Next, details of each component of the fault
図2は、比較選択回路11、比較複写回路13、再同期化制御部12の各構成の詳細について説明する図である。比較選択回路11、比較複写回路13、再同期化制御部12は、それぞれ、3つのプロセッサx1〜x3に接続され、比較選択回路11は外部バス16を介して周辺回路に接続される。
FIG. 2 is a diagram for explaining details of each configuration of the comparison /
[比較選択回路11の構成の詳細]
比較選択回路11は、例えば、比較多数決部111、正常データ選択部112、外部アクセス制御部113有する。比較多数決部111は、各プロセッサx1〜x3の外部アクセスの値x1b〜x3bを逐一比較し、不一致が生じた場合に多数決に基づいて外部アクセスの値が異常なプロセッサを特定する。そして、比較多数決部111は、エラー検出情報として異常プロセッサの番号s1を再同期化制御部12に通知する。
[Details of Configuration of Comparison / Selection Circuit 11]
The
正常データ選択部112は、各プロセッサ間で外部アクセスの値に不一致が生じた場合、応急処理として、3つのプロセッサx1〜x3の外部アクセスの値x1b〜x3bの中から正常な外部アクセスの値を選択し、外部バス16に出力する。この応急処理により、不一致が生じた場合でも、正常な外部アクセスの値が選択され外部バス16に出力される。これにより、外部アクセスの値に不一致が生じた場合に、周辺回路に異常な外部アクセス値が伝播することが回避される。
The normal
外部アクセス制御部113は、プロセッサx1〜x3及び外部バス16へのアクセス制御を行う。外部バス16へのアクセス制御とは、例えば、メインプロセッサx1〜x3の選択、異常プロセッサの切り離し、各プロセッサx1〜x3のウェイト制御、各プロセッサx1〜x3の外部バス16へのライト抑止制御等を示す。
The external
[比較複写回路13の構成の詳細]
比較複写回路13は、例えば、比較多数決部131、レジスタ複写制御部132を有する。比較多数決部131は、各プロセッサx1〜x3の内部レジスタの値x1a〜x3aを逐一比較し、不一致が生じた場合に多数決に基づいて内部レジスタの値が異常なプロセッサを特定する。また、比較多数決部131は、エラー検出情報として異常プロセッサの番号s1を再同期化制御部12に通知する。
[Details of Configuration of Comparison Copy Circuit 13]
The
レジスタ複写制御部132は、再同期化制御部12から、応急処理を示すレジスタ複写指示s5の通知を受けると、不一致が生じたレジスタについて、正常プロセッサから異常プロセッサへの値のコピーを指示する。
When the register
[再同期化制御部12の構成の詳細]
再同期化制御部12は、例えば、監視タイマ121、不一致カウンタ122、初期化終了フラグ123、シーケンス制御部124、リセット回数カウンタ125を有する。監視タイマ121は、異常プロセッサをリセットする場合に実行される初期化プログラムの実行時間を監視するタイマである。また、初期化終了フラグ123は、初期化プログラムの終了を示すフラグである。また、シーケンス制御部124は、プロセッサ間の再同期化を図るシーケンスの実行制御を行う。リセット回数カウンタ125は、プロセッサ毎に管理され、プロセッサのリセット回数を保持するカウンタである。
[Details of Configuration of Resynchronization Control Unit 12]
The
また、不一致カウンタ122はプロセッサ毎に管理され、処理状態の不一致が発生する毎に、異常プロセッサに対応する不一致カウンタ122がインクリメントされる。再同期化制御部12は、異常プロセッサ番号s1の通知を受けると、異常プロセッサの不一致カウンタ122が基準値に達しているか否かを判定する。基準値は、例えば、ユーザによって設定される。再同期化制御部12は、不一致カウンタが基準値に達していない場合はエラーレベル「低」と判定し、異常プロセッサのリセット処理を行わない。
The
一方、不一致カウンタ122が基準値に達する場合、再同期化制御部12は、エラーレベル「中」と判定し、リセット要求sr1〜sr3に基づいて異常プロセッサのリセット処理を指示すると共に、ライト抑止指示s4に基づいてリセット処理中の異常プロセッサの外部バス16への出力を制限する。このとき、異常プロセッサへの正常プロセッサの処理状態のコピー処理が、割り込み要求si1〜si3によって指示される。
On the other hand, when the
さらに、異常プロセッサのリセット処理において初期化プログラムが基準時間内に終了しない場合、または、異常プロセッサのリセット回数が基準リセット回数に達した場合、再同期化制御部12は、エラーレベル「高」と判定する。この場合、再同期化制御部12は、異常プロセッサをシステムから切り離し、異常プロセッサ以外の正常なプロセッサによって処理を継続させる。この場合、異常プロセッサの切り離しを指示する切り離し指示s2が、再同期化制御部12から比較選択回路11に通知される。
Further, if the initialization program does not end within the reference time in the reset process of the abnormal processor, or if the reset count of the abnormal processor reaches the reference reset count, the
また、再同期化制御部12は、処理状態の不一致が発生したとき、異常プロセッサのエラーレベル「低・中・高」を示すエラーレベル通知s6を周辺回路に通知する。
Further, when the processing state mismatch occurs, the
なお、内部レジスタの値の不一致であって、エラーレベル「低」の場合、再同期化制御部12は、比較選択回路11の外部アクセス制御部113を介して、全てのプロセッサに1サイクルのウェイト指示s3を出力すると共に、比較複写回路13のレジスタ複写制御部132に、応急処理を示すレジスタ複写指示s5を通知する。ウェイト指示s3は、プロセッサによる命令フェッチ処理を停止させる信号である。
If the values of the internal registers are inconsistent and the error level is “low”, the
各制御部の処理の流れの詳細については、フローチャート図、及び、具体例に基づいて後述する。ここで、まず、異常プロセッサのリセット処理を行う場合の異常プロセッサ及び正常プロセッサの状態の遷移について説明する。 Details of the processing flow of each control unit will be described later based on a flowchart and specific examples. Here, first, transition of the state of the abnormal processor and the normal processor when the abnormal processor reset process is performed will be described.
[異常プロセッサのリセット処理の流れ]
図3は、異常プロセッサのリセット処理の流れを説明する図である。同図の(A)はリセット対象の異常プロセッサの状態遷移、(B)は異常プロセッサをリセットするときの2つの正常プロセッサの状態遷移を示す。また、同図の横軸は時間の流れを示し、縦軸はプロセッサの状態を示す。具体的に、状態pt1は正常状態を示し、状態pt2は異常状態を示す。
[Flow of abnormal processor reset processing]
FIG. 3 is a diagram for explaining a flow of reset processing of the abnormal processor. (A) of the figure shows the state transition of the abnormal processor to be reset, and (B) shows the state transition of the two normal processors when the abnormal processor is reset. In addition, the horizontal axis of the figure shows the flow of time, and the vertical axis shows the state of the processor. Specifically, the state pt1 indicates a normal state, and the state pt2 indicates an abnormal state.
図3の(A)(B)において、アプリケーションプログラムPRの処理中に、タイミングt2において、プロセッサ間の処理状態の不一致が検出される。そこで、正常な処理状態に修復するために、アプリケーションプログラムPRの処理が停止され、異常プロセッサのリセットの準備処理が開始される。 In FIGS. 3A and 3B, during the processing of the application program PR, a mismatch in the processing state between the processors is detected at timing t2. Therefore, in order to restore the normal processing state, the processing of the application program PR is stopped, and the preparation processing for resetting the abnormal processor is started.
図3の(A)におけるタイミングt2からタイミングt3の1サイクル間には、異常プロセッサのリセットの準備処理として、異常プロセッサの特定、及び、正常プロセッサの動作停止指示等が行われる。リセット処理では、異常プロセッサの初期化に加えて、正常なプロセッサの処理状態の異常プロセッサへのコピー処理CPが行われる。このため、予め、正常プロセッサの動作が停止されている必要がある。 In one cycle from the timing t2 to the timing t3 in FIG. 3A, the abnormal processor is specified, the operation stop instruction of the normal processor, and the like are performed as preparation processing for resetting the abnormal processor. In the reset process, in addition to the initialization of the abnormal processor, the copy process CP to the abnormal processor in the normal processor processing state is performed. For this reason, the operation of the normal processor needs to be stopped in advance.
続いて、図3の(A)のタイミングt3において、異常プロセッサのリセット処理が開始される。このとき、同図(B)のタイミングt3において、2つの正常プロセッサは動作停止状態にある。そして、タイミングt4までの間に、異常プロセッサの初期化、及び、正常プロセッサの処理状態の異常プロセッサへのコピー処理CPが行われる。これにより、異常プロセッサのリセット処理が完了し、正常な状態pt1に遷移する。これにより、タイミングt4からアプリケーションプログラムPRの処理が再開される。 Subsequently, the reset processing of the abnormal processor is started at timing t3 in FIG. At this time, the two normal processors are in an operation stop state at timing t3 in FIG. Then, until the timing t4, the initialization of the abnormal processor and the copy process CP to the abnormal processor in the processing state of the normal processor are performed. Thereby, the reset process of the abnormal processor is completed, and the state transits to the normal state pt1. Thereby, the process of the application program PR is restarted from the timing t4.
このように、リセットの準備処理及びリセット処理が行われる間、即ち、図3(A)の点線の矢印txで示したタイミングt2からタイミングt4までの間、一部のプロセッサの動作が停止状態となる。このため、矢印txの間、アプリケーションプログラムPRの処理についても停止状態となる。リセット処理では、正常なプロセッサの処理状態の異常プロセッサへのコピー処理CPが行われることから、一定の間、アプリケーションプログラムPRの処理が停止されることになる。しかしながら、アプリケーションプログラムPRの停止時間は最小限に押さえられることが望ましい。例えば、車載向けマイコン等で動作する人命に関わる制御を行うアプリケーションプログラムPRの場合、短い停止時間であっても、自動車の走行速度によっては長い走行距離に相当し影響が大きいためである。 As described above, during the reset preparation process and the reset process, that is, from the timing t2 to the timing t4 indicated by the dotted arrow tx in FIG. Become. For this reason, during the arrow tx, the processing of the application program PR is also stopped. In the reset process, since the copy process CP to the abnormal processor in the normal processor processing state is performed, the process of the application program PR is stopped for a certain period. However, it is desirable to minimize the stop time of the application program PR. For example, in the case of an application program PR that performs control related to human life that is operated by an in-vehicle microcomputer or the like, even if it is a short stop time, depending on the traveling speed of the automobile, it corresponds to a long traveling distance and has a large influence.
そこで、本実施の形態例におけるフォールトトレラント制御装置は、3つ以上のプロセッサの処理状態を比較し異常な処理状態である異常プロセッサを検出したとき、異常プロセッサに対応する不一致カウンタをインクリメントし、不一致カウンタが基準値に達した場合に異常プロセッサを初期化し正常な処理状態のプロセッサと同期させるリセット処理を行わせる(エラーレベル「中」)。また、フォールトトレラント制御装置は、不一致カウンタが基準値に達していない場合は、正常な処理状態に基づく応急処理を行わせる(エラーレベル「低」)。 Therefore, when the fault tolerant control device in the present embodiment compares the processing states of three or more processors and detects an abnormal processor that is in an abnormal processing state, the fault tolerant control device increments a mismatch counter corresponding to the abnormal processor and does not match. When the counter reaches the reference value, the abnormal processor is initialized and a reset process is performed to synchronize with a processor in a normal processing state (error level “medium”). Further, the fault tolerant control device causes emergency processing based on a normal processing state (error level “low”) when the mismatch counter has not reached the reference value.
本実施の形態例では、不一致カウンタが基準値に達しないエラーレベル「低」の場合、異常プロセッサの処理状態の不一致がノイズ等の一時的な要因によって発生したものとみなされる。この場合、フォールトトレラント制御装置は、リセット処理ではなく、応急処理によって異常な処理状態を解消する。応急処理は、リセット処理に対して、プロセッサの動作停止時間が最小限に抑えられる。これにより、アプリケーションプログラムの停止時間が最小限に抑えられる。 In the present embodiment, when the error level is “low” where the mismatch counter does not reach the reference value, it is considered that the mismatch of the processing state of the abnormal processor is caused by a temporary factor such as noise. In this case, the fault tolerant control device eliminates the abnormal processing state not by the reset process but by the emergency process. In the emergency process, the operation stop time of the processor is minimized as compared with the reset process. Thereby, the stop time of the application program can be minimized.
一方、不一致カウンタが基準値に達するエラーレベル「中」の場合、一時的ではない恒久的な要因によって、処理状態の不一致が発生している可能性があるとみなされる。そこで、本実施の形態例におけるフォールトトレラント制御装置は、異常プロセッサのリセット処理を指示し、異常な処理状態が解消されるか否かを検証する。そして、本実施の形態例におけるフォールトトレラント制御装置は、異常プロセッサのリセット処理時に実行される初期化プログラムが基準時間内に終了しない場合、または、プロセッサのリセット回数が基準リセット回数に達した場合、エラーレベル「高」として、プロセッサが恒久的な障害を有していると判定し、当該プロセッサをシステムから切り離す。 On the other hand, when the error level is “medium” where the mismatch counter reaches the reference value, it is considered that there is a possibility that the processing state mismatch has occurred due to a permanent factor that is not temporary. Therefore, the fault tolerant control device in the present embodiment instructs reset processing of the abnormal processor and verifies whether or not the abnormal processing state is resolved. Then, the fault tolerant control device in the present embodiment, when the initialization program executed at the time of reset processing of the abnormal processor does not end within the reference time, or when the number of resets of the processor reaches the reference reset number, When the error level is “high”, it is determined that the processor has a permanent failure, and the processor is disconnected from the system.
このように、本実施の形態例におけるフォールトトレラント制御装置は、処理状態の不一致の発生回数、及び、リセット処理時の初期化プログラムの実行時間等に基づいて、エラーレベルを判定する。そして、フォールトトレラント制御装置は、エラーレベル「低」の場合は、異常な処理状態が一時的な要因によって発生しているとして、プロセッサのリセット処理を行わない。また、フォールトトレラント制御装置は、エラーレベル「高」の場合は、プロセッサのリセット処理を行うことなく、異常プロセッサをシステムから切り離す。 As described above, the fault-tolerant control device according to the present embodiment determines the error level based on the number of occurrences of processing state mismatches, the execution time of the initialization program during the reset process, and the like. When the error level is “low”, the fault-tolerant control device assumes that an abnormal processing state has occurred due to a temporary factor and does not perform a processor reset process. Further, when the error level is “high”, the fault tolerant control device disconnects the abnormal processor from the system without performing the processor reset process.
これにより、処理状態の不一致が検出される度に異常プロセッサのリセット処理が行われる場合に対して、リセット処理の頻度が低減され、プロセッサの動作の停止時間が最小限に抑えられる。このため、アプリケーションプログラムの停止時間についても最小限に抑えられる。 As a result, the frequency of the reset process is reduced and the operation stop time of the processor is minimized as compared with the case where the reset process of the abnormal processor is performed every time a mismatch of the process state is detected. For this reason, the stop time of the application program can be minimized.
ここで、フォールトトレラントシステムの一連の制御処理の流れについて、フローチャート図に基づいて後述する。 Here, a flow of a series of control processes of the fault tolerant system will be described later based on a flowchart.
[フォールトトレラント制御の処理の流れ]
図4は、本実施の形態例におけるフォールトトレラント制御部20の処理の流れを説明するフローチャート図である。フォールトトレラント制御部20の比較選択回路11及び比較複写回路13は、3つのプロセッサx1〜x3の処理状態を示す外部アクセスx1b〜x3bの値、内部レジスタの値x1a〜x3aを逐一比較し、処理状態が一致しているか否かを判定する(S10)。そして、処理状態の不一致が検出され(S10のYES)、内部レジスタの値x1a〜x3aの不一致である場合(S11のYES)、比較複写回路13は、各プロセッサx1〜x3の内部レジスタの値x1a〜x3aの多数決に基づいて内部レジスタの値が異常なプロセッサを特定し、再同期化制御部12に通知する。
[Flow of fault tolerant control processing]
FIG. 4 is a flowchart for explaining the processing flow of the fault
具体的に、比較選択回路11及び比較複写回路13は、次のように多数決をとる。比較選択回路11及び比較複写回路13は、プロセッサx1とプロセッサx2の値、または、プロセッサx1の値とプロセッサx3の値が一致した場合、プロセッサx1の値を多数決の値、即ち、正常な値として出力する。一方、一致しない場合、比較選択回路11及び比較複写回路13は、さらに、プロセッサx2とプロセッサx3の値とを比較し、一致する場合にプロセッサx2の値を多数決の値、即ち、正常な値として出力する。
Specifically, the comparison /
フローチャート図に戻り、続いて、再同期化制御部12は、異常プロセッサの不一致カウンタ122が基準値に達したか否かを判定する(S12)。基準値未満の場合(S12のYES)、エラーレベル「低」と判定され、リセット処理の代わりに、工程S13〜S15の応急処理E1−1が行われる。
Returning to the flowchart, subsequently, the
具体的に、応急処理E1−1として、再同期化制御部12は、まず、全てのプロセッサx1〜x3へのウェイト指示s3をアサートする(S13)。また、再同期化制御部12は、レジスタ複写指示s5を比較複写回路13に出力し、不一致が生じたレジスタについて、正常プロセッサのから異常プロセッサへの値のコピーを指示する(S14)。続いて、再同期化制御部12は、全てのプロセッサx1〜x3へのウェイト指示s3を解除し(S15)、異常プロセッサの不一致カウンタ122をインクリメントする(S16)。そして、再び、処理状態の検出工程(S10)に戻る。なお、不一致カウンタ122は、フォールトトレラントシステム10の起動時、または対応するプロセッサのリセット時に初期化される。
Specifically, as the emergency process E1-1, the
このように、内部レジスタの値x1a〜x3aの不一致であってエラーレベル「低」と判定される場合、リセット処理の代わりに、応急処理E1−1によって、プロセッサにおける異常な処理状態が解消されプロセッサの再同期化が図られる。応急処理E1−1では、プロセッサの動作停止時間が1サイクル程度に抑えられるため、リセット処理が行われる場合に対して、アプリケーションプログラムの停止時間が最小限に抑えられる。 As described above, when the values x1a to x3a of the internal register are inconsistent and it is determined that the error level is “low”, the abnormal processing state in the processor is resolved by the emergency processing E1-1 instead of the reset processing. Are resynchronized. In the emergency process E1-1, since the operation stop time of the processor is suppressed to about one cycle, the stop time of the application program is suppressed to the minimum as compared with the case where the reset process is performed.
また、一方、不一致が発生した処理状態が外部アクセス値である場合(S11のNO)、比較選択回路11は、各プロセッサx1〜x3の外部アクセスの値の多数決に基づいて、外部アクセスの値が異常なプロセッサを特定し、再同期化制御部12に通知する。多数決の方法は前述したとおりである。
On the other hand, when the processing state in which the mismatch occurs is an external access value (NO in S11), the comparison /
そして、比較選択回路11は、応急処理E1−2として、正常な外部アクセスの値を選択し外部バス16に出力する(S17)。これにより、異常な外部アクセスの値が外部バスに出力され、周辺回路に伝播することが回避される。このように、外部アクセス値の不一致が発生した場合は、リセット処理を行うか否かに関わらず、応急処理E1−2が行われる。これにより、異常な外部アクセス値が周辺回路に伝播することが防止される。続いて、再同期化制御部12は、異常プロセッサの不一致カウンタ122が基準値に達したか否かを判定する(S18)。
Then, the comparison /
基準値未満の場合(S18のYES)、再同期化制御部12は、異常プロセッサの不一致カウンタ122をインクリメントする(S19)。このとき、エラーレベル「低」と判定され、リセット処理S22〜S26が回避され、再び、処理状態の検出工程(S10)に戻る。このように、エラーレベル「低」と判定される場合、リセット処理が回避されるため、リセット処理が行われる場合に対して、アプリケーションプログラムの停止時間が最小限に抑えられる。
If it is less than the reference value (YES in S18), the
そして、異常プロセッサの不一致カウンタ122が基準値を越える場合(S12のNO、S18のNO)、再同期化制御部12は、異常プロセッサの不一致カウンタ122が基準値を初めて超えたか否か、即ち、リセット回数カウンタ125が基準リセット回数(この例では、2回)に達したか否かを判定する(S21)。初めて超えた場合(S21のYES)、再同期化制御部12は、エラーレベル「中」と判定し、異常プロセッサのリセット処理E2(S22〜S26)を指示する。例えば、車載システムにおいてエラーレベル「中」と判定されたとき、自動車のドライバーに警告メッセージが通知される。
If the abnormal
再同期化制御部12は、リセット処理E2として、まず、正常なプロセッサに対してウェイト指示s3をアサートし、異常プロセッサにリセット要求(sr1〜sr3のいずれか)をアサートする(S22)。異常プロセッサのリセット要求がアサートされると、初期化プログラムに従って異常プロセッサの初期化が行われる。このとき、再同期化制御部12は、初期化プログラムの実行時間を監視タイマ121によって監視する。
As the reset process E2, the
そして、再同期化制御部12は、リセット開始時から初期化プログラムが終了し初期化終了フラグ123がセットされるまでの時間が、基準時間内か否かを判定する(S23)。つまり、再同期化制御部12は、対象のプロセッサが、初期化プログラムを完了できない暴走状態にあるか否かを判定する。基準時間は、例えば、ユーザによって設定される。
Then, the
初期化プログラムが基準時間内に終了する場合(S23のYES)、異常プロセッサの初期化が正常に行われたものと判定される。そこで、再同期化制御部12は、異常プロセッサのウェイト指示s3をアサートする(S24)。続いて、再同期化制御部12は、全プロセッサx1〜x3のウェイト指示s3を解除すると共に、全プロセッサx1〜x3の割り込み要求si1〜si3をアサートする(S25)。これにより、全プロセッサx1〜x3が一斉に割込みハンドラを開始し、正常プロセッサから異常プロセッサに処理状態がコピーされる(S26)。このとき、リセットされた異常プロセッサの不一致カウンタ122は初期化される。そして、再同期化制御部12は、リセット回数カウンタ125をインクリメントする(S27)。
When the initialization program ends within the reference time (YES in S23), it is determined that the abnormal processor has been normally initialized. Therefore, the
一方、異常プロセッサの不一致カウンタ122が基準値を超えたのが2回目である場合(S21のNO)、または、初期化プログラムが基準時間内に終了しない場合(S23のNO)、再同期化制御部12は、異常プロセッサの切り離し処理E3を行う(S30、S31〜S32)。この場合、エラーレベル「高」と判定される。例えば、車載システムにおいてエラーレベル「高」と判定されたとき、自動車のドライバーに修理工場に向かうように通知される。
On the other hand, if the abnormal
まず、再同期化制御部12は、切り離し処理E3として、切り離し指示指示s2を比較選択回路11の外部アクセス制御部113に通知する(S30、S31)。これにより、例えば、異常プロセッサの配線が無効状態に制御され、システムから切り離される。続いて、再同期化制御部12は、初期化プログラムが基準時間内に終了しない場合は(S23のNO)、正常プロセッサのウェイト指示s3がアサートされているため、ウェイト指示s3を解除する(S32)。これにより、異常プロセッサが切り離され、この例では2つの正常プロセッサのみで動作が継続される。
First, the
具体的に、異常プロセッサの不一致カウンタ122が基準値を超えたのが2回目である場合(S21のNO)、リセット済みの異常プロセッサにおいて、不一致カウンタ122が再び基準値に達したことを意味する。そのため、当該プロセッサは、リセットしても異常な処理状態が解消されない恒久的な障害を有するものと判定され、システムから切り離される。または、初期化プログラムが基準時間内に終了しない場合(S23のNO)、当該プロセッサは、恒久的な障害を有することにより初期化プログラムの実行を完了できず、暴走状態にあると判定され、システムから切り離される。
Specifically, if the abnormal
本実施の形態例において、外部アクセス値の不一致が発生する恒久的な要因は、例えば、データバス、アドレスバス、制御バスの配線故障である。このような配線故障を有する場合、プロセッサは、次に実行する命令のメモリからの読み出し処理や、プロセッサx1〜x3の処理状態の一時的なメモリへの格納処理等が行えない。 In the present embodiment, the permanent cause of the mismatch of the external access values is, for example, a wiring failure in the data bus, address bus, and control bus. In the case of such a wiring failure, the processor cannot perform a process for reading out a command to be executed next from the memory or a process for temporarily storing the processing state of the processors x1 to x3 in the memory.
また、内部レジスタ値の不一致が発生する恒久的な要因は、例えば、内部レジスタx1R〜x3Rを構成するフリップフロップの故障である。このような故障を有する場合、プロセッサは、次に実行する命令が格納されるメモリアドレスの演算や、プロセッサx1〜x3の処理状態を一時保存するメモリのアドレス演算、パイプライン処理のシーケンス制御における次回のステートの決定処理等を行うことができない。 Further, a permanent factor causing the mismatch of the internal register values is, for example, a failure of the flip-flops constituting the internal registers x1R to x3R. When having such a failure, the processor calculates the memory address where the instruction to be executed next is stored, calculates the address of the memory that temporarily stores the processing state of the processors x1 to x3, and next time in the sequence control of pipeline processing. The state determination process cannot be performed.
このように、異常プロセッサが恒久的な障害を有している場合、当該異常プロセッサは初期化プログラムの処理を適切に進めることができない。これにより、初期化プログラムが基準時間を超えても終了せず、異常プロセッサが暴走状態にあると判定される。または、初期化プログラムを終了させることができた場合であっても、異常プロセッサは異常な処理状態を再び誘発してしまう。そのため、このような異常プロセッサは、システムから切り離される。 Thus, when the abnormal processor has a permanent failure, the abnormal processor cannot appropriately proceed with the processing of the initialization program. Thus, even if the initialization program exceeds the reference time, it is not terminated and it is determined that the abnormal processor is in a runaway state. Or, even if the initialization program can be terminated, the abnormal processor again induces an abnormal processing state. Therefore, such an abnormal processor is disconnected from the system.
なお、図4のフローチャート図において、フォールトトレラント制御部20は、リセット回数カウンタ125が2回に達した場合に(S21のNO)、異常プロセッサの切り離しを行う。しかしながら、異常プロセッサの切り離しを行うか否かを判定する回数(基準リセット回数)は、2回に限定されるものではない。フォールトトレラント制御部20は、異常プロセッサのリセット回数が、例えばユーザによって設定された基準リセット回数に達したときに、異常プロセッサを切り離してもよい。この場合、異常プロセッサのリセット回数(リセット回数カウンタ125)は、例えば、フォールトトレラントシステム10の起動時にリセットされる。
In the flowchart of FIG. 4, the fault
続いて、図4のフローチャート図で説明したフォールトトレラント制御部20の処理を、具体的に基づいて説明する。まず、内部レジスタの値の不一致が生じ、応急処理によって再同期化を図る場合の具体例について説明する。
Next, the processing of the fault
[具体例:応急処理による再同期化(内部レジスタの値の不一致)]
図5は、内部レジスタの値の不一致が発生し応急処理が行われる場合の具体例を示す例図である。この例では、プロセッサx2において異常な内部レジスタの値が検知される。また、同図左の矢印c1の示すサイクルは、処理状態の不一致が発生したサイクルと同一サイクルを、矢印c2の示すサイクルは1サイクルを示す。
[Specific example: Resynchronization by emergency processing (internal register value mismatch)]
FIG. 5 is an example diagram showing a specific example in the case where a mismatch of internal register values occurs and emergency processing is performed. In this example, an abnormal internal register value is detected in the processor x2. Further, the cycle indicated by the arrow c1 on the left side of the figure indicates the same cycle as the cycle in which the processing state mismatch occurs, and the cycle indicated by the arrow c2 indicates one cycle.
比較複写回路13は、逐一、各プロセッサx1〜x3のアプリケーションプログラムPR実行時の内部レジスタの値を比較し、プロセッサ間で不一致が発生していないか否かを判定する。そして、比較複写回路13は、内部レジスタの値の多数決の結果、異常プロセッサがプロセッサx2であることを特定し、再同期化制御部12に、異常プロセッサ番号s1「2」を通知する。
The
続いて、再同期化制御部12は、異常プロセッサ番号s1の通知を受けて、異常プロセッサの不一致カウンタ122が基準値に達したか否かを判定する。この例では、このとき、不一致カウンタ122は基準値に達しない。そこで、レジスタ複写制御部132は、比較選択回路11の外部アクセス制御部113を介してウェイト指示s3を通知し、全てのプロセッサx1〜x3に1サイクルのウェイト指示s3をアサートする。ウェイト指示s3がアサートされたことによりプロセッサx1〜x3は、命令フェッチ処理を停止する。これにより、プロセッサx1〜x3の動作が停止される。
Subsequently, the
また、再同期化制御部12は、比較複写回路13にレジスタ複写指示s5を通知する。レジスタ複写指示s5を受けて、比較複写回路13のレジスタ複写制御部132は、プロセッサ2の不一致が生じたレジスタに、プロセッサx1のレジスタの値をコピーする。続いて、再同期化制御部12は、比較選択回路11の外部アクセス制御部113を介して、全てのプロセッサx1〜x3のウェイト指示s3を解除する。その結果、プロセッサx1〜x3の動作が再開される。そして、再同期化制御部12は、プロセッサx2の不一致カウンタ122をインクリメントする。
In addition, the
このように、図5の具体例では、プロセッサx2の不一致カウンタ122が基準値に達しない場合、ノイズによって不一致の要因が発生した可能性が高いと判定され、リセット処理ではなく、応急処理E1−1によって、プロセッサx2の再同期化が図られる。内部レジスタの応急処理E1−1において、プロセッサx1〜x3の停止時間は1サイクル程度に抑えられる。これにより、リセット処理が行われる場合に対して、プロセッサx1〜x3の停止時間が最小限に抑えられる。この結果、アプリケーションプログラムPRの停止時間が最小限に抑えられ、処理の信頼性が向上する。
As described above, in the specific example of FIG. 5, when the
続いて、外部アクセスの値の不一致が生じ、応急処理によって再同期化を図る場合の具体例について説明する。 Next, a specific example in the case where mismatch of external access values occurs and resynchronization is achieved by emergency processing will be described.
[具体例:応急処理による再同期化(外部アクセスの値の不一致)]
図6は、外部アクセスの値の不一致が発生し応急処理が行われる場合の具体例を示す例図である。この例では、プロセッサx1から異常な外部アクセスの値x1bが出力される。また、同図左の矢印c11の示すサイクルは、処理状態の不一致が発生したサイクルと同一サイクルを示す。
[Specific example: Resynchronization by emergency processing (external access value mismatch)]
FIG. 6 is a diagram illustrating a specific example in the case where the mismatch of external access values occurs and emergency processing is performed. In this example, an abnormal external access value x1b is output from the processor x1. In addition, the cycle indicated by the arrow c11 on the left side of the figure indicates the same cycle as the cycle in which the processing state mismatch occurs.
比較選択回路11は、逐一、各プロセッサx1〜x3のアプリケーションプログラム実行時の外部アクセスの値を比較し、プロセッサ間で不一致が発生していないか否かを判定する。そして、比較選択回路11は、外部アクセスの値の多数決の結果、異常プロセッサがプロセッサx1であることを特定し、再同期化制御部12に、異常プロセッサ番号s1「1」を通知する。また、比較選択回路11の外部アクセス制御部113は、プロセッサx1ではなく、正常なプロセッサx2の外部アクセスの値を外部バスに出力するように指示s11する。このとき、プロセッサx1〜x3の動作は継続される。
The comparison /
続いて、再同期化制御部12は、異常プロセッサ番号s1の通知を受けて、異常プロセッサx1の不一致カウンタ122が基準値に達したか否かを判定する。この例では、このとき、不一致カウンタ122は基準値に達しない。そこで、再同期化制御部12は、プロセッサx1の不一致カウンタ122をインクリメントする。
Subsequently, the
このように、図6の具体例においても、プロセッサx1の不一致カウンタ122が基準値に達しない場合、ノイズによって不一致が発生した可能性が高いと判定され、リセット処理が回避される。外部アクセスの応急処理E1−2では、プロセッサx1〜x3の動作は停止されないため、リセット処理が行われる場合に対して、プロセッサx1〜x3の停止自体が回避される。この結果、アプリケーションプログラムPRの処理が継続され、処理の信頼性が向上する。
As described above, also in the specific example of FIG. 6, when the
続いて、内部レジスタの値の不一致が生じ、リセット処理によって再同期化を図る場合の具体例について説明する。 Next, a specific example in the case where mismatch of internal register values occurs and resynchronization is attempted by reset processing will be described.
[具体例:リセット処理による再同期化]
図7は、内部レジスタの値の不一致が発生しリセット処理が行われる場合の具体例を示す例図である。この例では、図5の具体例と同様にして、プロセッサx2において異常な内部レジスタの値x2aが検知される。また、同図左の矢印c21の示すサイクルは、処理状態の不一致が発生したサイクルと同一サイクルを、矢印c22の示すサイクルは、再同期化処理のサイクルを示す。
[Specific example: Resynchronization by reset processing]
FIG. 7 is an example diagram showing a specific example in a case where a mismatch of internal register values occurs and reset processing is performed. In this example, an abnormal internal register value x2a is detected in the processor x2 in the same manner as in the specific example of FIG. Also, the cycle indicated by the arrow c21 on the left side of the figure indicates the same cycle as the cycle in which the processing state mismatch occurs, and the cycle indicated by the arrow c22 indicates the cycle of the resynchronization process.
比較複写回路13は、内部レジスタの値の多数決の結果、異常プロセッサがプロセッサx2であることを特定し、再同期化制御部12に、異常プロセッサ番号s1「2」を通知する。続いて、再同期化制御部12は、異常プロセッサ番号s1の通知を受けて、異常プロセッサx2の不一致カウンタ122が基準値に達したか否かを判定する。この例では、不一致カウンタ122が基準値に達する。また、この例では、不一致カウンタ122が初めて基準値に達したものとする。
The
そこで、再同期化制御部12は、外部アクセス制御部113を介してウェイト指示s3を通知し、プロセッサx1、x3のウェイト指示s3をアサートすると共に、プロセッサx2のリセット要求sr2をアサートする。ウェイト指示s3がアサートされたことによりプロセッサx1、x3の命令フェッチ処理が停止され、動作停止状態となる。プロセッサx2では、リセット要求sr2に基づいて、初期化プログラムが実行される。また、このとき、プロセッサx2には、ライト抑止指示s4が通知され、初期化プログラム実行中の外部バス16への出力が抑止される。再同期化制御部12の監視タイマ121は、初期化プログラムの実行時間の監視を開始する(s21)。
Therefore, the
プロセッサx2の初期化プログラムが完了すると、プロセッサx2は再同期化制御部12に、初期化完了の信号s22を通知する。再同期化制御部12は、初期化完了を検知すると、初期化終了フラグ123を制御し、外部アクセス制御部113を介してウェイト指示s3を通知して、プロセッサx2のウェイト指示s3をアサートする。これにより、プロセッサx1、x3に加えて、初期化が完了したプロセッサx2についても動作が停止される。
When the initialization program of the processor x2 is completed, the processor x2 notifies the
続いて、再同期化制御部12は、プロセッサx1〜x3の割り込み要求si1〜si3をアサートすると共に、比較選択回路11の外部アクセス制御部113を介して、プロセッサx1〜x3のウェイト指示s3を解除する。これにより、プロセッサx1〜x3において、割り込みハンドラの処理が開始され、プロセッサx1の処理状態がプロセッサx2にコピーされる。コピーが完了すると、プロセッサx2の再同期化処理が完了する。続いて、再同期化制御部12は、プロセッサx1〜x3の割り込み要求si1〜si3を解除し、全てのプロセッサx1〜x3の動作を再開させる。そして、再同期化制御部12は、リセット回数カウンタ125をインクリメントする。
Subsequently, the
このように、プロセッサx2の不一致カウンタ122が基準値に達する場合は、異常プロセッサのリセット処理によって、各プロセッサ間の再同期化が図られる。異常プロセッサがリセットされることにより、プロセッサの初期化によって解消可能な障害については解消される。また、異常プロセッサがリセットされることにより、リセット後に、再び、処理状態の不一致が発生するか否かが検証され、異常プロセッサが恒久的な障害を有しているか否かが判定可能となる。
As described above, when the
なお、図7の例では、リセット処理時の初期化プログラムが基準時間内に終了する例を示した。しかし、初期化プログラムが基準時間に終了しない場合、再同期化制御部12は、プロセッサx2の切り離し指示s2を外部アクセス制御部113に通知し、プロセッサx2をシステムから切り離す。そして、プロセッサx1、x3のウェイト指示s3がアサートされている場合、再同期化制御部12は、ウェイト指示s3を解除する。これにより、プロセッサx1、x3の動作が再開され、2つのプロセッサによって処理が継続される。リセット回数カウンタ125が基準リセット回数に達する場合についても、同様に、プロセッサx2がシステムから切り離され、2つのプロセッサによって処理が継続される。
In the example of FIG. 7, an example in which the initialization program during the reset process is completed within the reference time is shown. However, when the initialization program does not end at the reference time, the
このように、プロセッサx2の初期化が基準時間内に終了しない場合、プロセッサx2のリセット回数が基準リセット回数に達する場合(この例では2回)、異常プロセッサがリセット処理によっても解消されない恒久的な障害を有すると判定され、システムから切り離される。これにより、処理状態の不一致が継続して発生することが防止され、システムで動作するアプリケーションプログラムの停止時間が最小限に抑えられることにより、処理の信頼性が向上する。 As described above, when initialization of the processor x2 does not end within the reference time, and when the reset count of the processor x2 reaches the reference reset count (twice in this example), the abnormal processor is not permanently eliminated by the reset processing. Determined to have a fault and disconnected from the system. As a result, the processing state mismatch is prevented from continuously occurring, and the stop time of the application program operating in the system is minimized, thereby improving the processing reliability.
以上のようにして、本実施の形態例におけるフォールトトレラント制御装置は、3つ以上のプロセッサの処理状態を比較し異常な処理状態である異常プロセッサを検出する。そして、フォールトトレラント制御装置は、異常プロセッサを検出したとき、異常プロセッサに対応する不一致カウンタ(カウンタ)をインクリメントし、不一致カウンタが基準値に達した場合に異常プロセッサを初期化し正常な処理状態のプロセッサと同期させるリセット処理を行わせ、達していない場合に正常な処理状態に基づく応急処理を行わせる。 As described above, the fault-tolerant control device in the present embodiment compares the processing states of three or more processors and detects an abnormal processor that is in an abnormal processing state. When the fault tolerant control device detects an abnormal processor, the fault tolerant control device increments a mismatch counter (counter) corresponding to the abnormal processor, and initializes the abnormal processor when the mismatch counter reaches a reference value. The reset process to be synchronized with is performed, and if not reached, the emergency process based on the normal processing state is performed.
これにより、フォールトトレラント制御装置は、処理状態の不一致が発生した場合であっても処理状態の異常なプロセッサの不一致カウンタが基準値に達していない場合は、ノイズ等の一時的な要因によって処理状態の不一致が発生したとみなし、当該異常プロセッサのリセット処理を行わない。即ち、処理状態の不一致が発生する度にリセット処理が行われることが回避される。この場合、応急処理のみによって再同期化が図られ、アプリケーションプログラムの停止時間が短縮、または回避され、アプリケーションプログラムの処理の信頼性が向上する。特に人命に関わるようなマイコンで動作するアプリケーションプログラムの場合、停止時間が短いことが重要となる。 As a result, the fault tolerant control device can detect the processing state due to a temporary factor such as noise if the processing state mismatch does not reach the reference value even when the processing state mismatch occurs. Therefore, the abnormal processor is not reset. That is, it is avoided that the reset process is performed every time the processing state mismatch occurs. In this case, resynchronization is achieved only by the emergency process, the stop time of the application program is shortened or avoided, and the reliability of the process of the application program is improved. In particular, in the case of an application program that operates on a microcomputer that is related to human life, it is important that the stop time is short.
具体的に、本実施の形態例におけるフォールトトレラント制御装置は、プロセッサのバスへの出力値の不一致を検出することによって異常プロセッサを検出する。フォールトトレラント制御装置は、出力値の不一致を検出した場合、異常プロセッサに対応する不一致カウンタが基準値に達するか否かに関わらず、応急処理として、3つ以上のプロセッサの外部バスへの出力値のうち正常な出力値を選択してバスに出力させる。これにより、周辺回路に異常な外部アクセスの値が伝播することが回避される。また、この応急処理ではプロセッサの動作が停止されないため、リセット処理が行われない場合は、アプリケーションプログラムの処理の停止が回避される。 Specifically, the fault tolerant control device in the present embodiment detects an abnormal processor by detecting a mismatch of output values to the processor bus. When the fault tolerant control device detects a mismatch in the output values, the output value to the external buses of three or more processors as an emergency process regardless of whether or not the mismatch counter corresponding to the abnormal processor reaches the reference value. A normal output value is selected and output to the bus. This avoids the propagation of abnormal external access values to the peripheral circuits. Further, since the operation of the processor is not stopped in this emergency process, the stop of the application program process is avoided when the reset process is not performed.
また、本実施の形態例におけるフォールトトレラント制御装置は、前記プロセッサのレジスタの値の不一致を検出することによって前記異常プロセッサを検出する。フォールトトレラント制御装置は、内部レジスタの値の不一致を検出すると、異常プロセッサに対応する不一致カウンタが基準値に達していない場合、リセット処理の代わりに、応急処理として異常プロセッサのレジスタに正常なレジスタの値を書き込む。この応急処理では、プロセッサの停止時間が1サイクル程度の最小限に抑えられるため、リセット処理が行われる場合に対して、アプリケーションプログラムの処理の停止時間が最小限に抑えられる。 In addition, the fault tolerant control device in the present embodiment detects the abnormal processor by detecting a mismatch in register values of the processor. When the fault tolerant control device detects a mismatch in the value of the internal register, if the mismatch counter corresponding to the abnormal processor has not reached the reference value, instead of reset processing, the fault processor registers the normal register as the emergency processor. Write the value. In this emergency process, since the stop time of the processor is minimized to about one cycle, the stop time of the application program process is minimized as compared with the case where the reset process is performed.
さらに、処理状態の異常なプロセッサに対応する不一致カウンタが基準値に達した場合、フォールトトレラント制御装置は、一時的ではない要因によって処理状態の不一致が発生している可能性があると判定し、異常プロセッサのリセット処理を行う。これにより、リセット処理によって解消される障害については解消されると共に、リセット回数が基準リセット回数に達したか否かを検証することにより、当該異常プロセッサが恒久的な障害を有するか否かが判定される。 Furthermore, when the mismatch counter corresponding to the processor having an abnormal processing state reaches the reference value, the fault tolerant control device determines that there is a possibility that the processing state does not match due to a non-temporary factor, Reset the abnormal processor. As a result, failures that are eliminated by the reset process are eliminated, and whether or not the abnormal processor has a permanent failure is determined by verifying whether or not the number of resets has reached the reference reset number. Is done.
そして、異常プロセッサのリセット回数が基準のリセット回数に達する場合、フォールトトレラント制御装置は、当該異常プロセッサがリセット処理によって解消されない恒久的な障害有するものと判定し、異常プロセッサ以外の正常な処理状態のプロセッサのみによってシステムを継続させる。または、異常プロセッサのリセット処理時に初期化プログラム等の初期化処理が基準時間内に終了しない場合についても、フォールトトレラント制御装置は、当該異常プロセッサが恒久的な障害有するものと判定し、異常プロセッサ以外の正常な処理状態のプロセッサのみによってシステムを継続させる。これにより、異常な処理状態が継続して発生することが防止され、アプリケーションプログラムの停止時間が最小限に抑えられると共に、処理の信頼性が向上する。 When the number of resets of the abnormal processor reaches the reference number of resets, the fault tolerant control device determines that the abnormal processor has a permanent failure that cannot be resolved by the reset process, and the normal processor other than the abnormal processor has a normal processing state. Continue the system with only the processor. Alternatively, even when initialization processing such as an initialization program does not end within the reference time during reset processing of an abnormal processor, the fault-tolerant control device determines that the abnormal processor has a permanent failure, and other than the abnormal processor The system is continued only by the processor in the normal processing state. As a result, the abnormal processing state is prevented from continuously occurring, the stop time of the application program is minimized, and the processing reliability is improved.
ところで、本実施の形態例におけるフォールトトレラント制御装置は、プロセッサの外部アクセスの値、及び、内部レジスタの値の不一致を、比較対象の処理状態としているが、外部アクセス、または、内部レジスタの値のいずれかを比較対象の処理状態としてもよい。この場合についても、処理状態の不一致の要因が一時的な要因であるとみなされる場合には、異常プロセッサのリセット処理が回避される。これにより、アプリケーションプログラムの停止時間が短縮または回避される。 By the way, the fault tolerant control device according to the present embodiment uses the inconsistency between the value of the external access of the processor and the value of the internal register as the processing state to be compared. Either of them may be the processing state to be compared. Also in this case, when the cause of the mismatch of the processing state is regarded as a temporary factor, the reset processing of the abnormal processor is avoided. Thereby, the stop time of the application program is shortened or avoided.
なお、本実施の形態例におけるフォールトトレラント制御装置は、外部アクセス値の不一致が検出された場合にインクリメントされる不一致カウンタと、内部レジスタの値の不一致が検出された場合にインクリメントされる不一致カウンタとを別に有してもよい。この場合、フォールトトレラント制御装置は、各不一致カウンタに対応する基準値をそれぞれ有する。これにより、一時的な要因による不一致か否かの判定の元となる基準値が、内部レジスタ、外部アクセスの不一致カウンタそれぞれについて設定可能となる。 The fault tolerant control device according to the present embodiment includes a mismatch counter that is incremented when a mismatch of external access values is detected, and a mismatch counter that is incremented when a mismatch of internal register values is detected. You may have separately. In this case, the fault tolerant control device has a reference value corresponding to each mismatch counter. As a result, a reference value for determining whether or not there is a mismatch due to a temporary factor can be set for each of the internal register and the external access mismatch counter.
例えば、ノイズを起因とする処理状態の不一致は、内部レジスタよりも、外部アクセスにおいてより発生しやすい。そのため、例えば、ユーザは、内部レジスタの不一致カウンタに対応する基準値を、外部アクセスの不一致カウンタに対応する基準値よりも小さな値に設定する。これにより、フォールトトレラント制御装置は、より適切な、リセット処理の要否判定を実現できる。 For example, processing state mismatch due to noise is more likely to occur in external access than in internal registers. Therefore, for example, the user sets the reference value corresponding to the mismatch counter of the internal register to a value smaller than the reference value corresponding to the mismatch counter of the external access. Thereby, the fault tolerant control device can realize more appropriate determination of necessity of reset processing.
また、外部アクセスの値の不一致は、内部レジスタの値の不一致に起因して発生している場合がある。そこで、ユーザは、例えば、内部レジスタの値の不一致カウンタに対応する基準値を、より小さな値に設定する。これにより、内部レジスタの値の不一致が基準値に達したときに異常プロセッサがリセットされ、外部アクセスの不一致が合わせて解消される。これにより、異常な処理状態が発生することが防止され、アプリケーションプログラムの停止時間が最小限に抑えられる。 Also, the mismatch of external access values may occur due to the mismatch of internal register values. Therefore, for example, the user sets the reference value corresponding to the value mismatch counter of the internal register to a smaller value. As a result, the abnormal processor is reset when the mismatch of the internal register values reaches the reference value, and the mismatch of the external access is also eliminated. As a result, the occurrence of an abnormal processing state is prevented, and the stop time of the application program is minimized.
以上の実施の形態をまとめると、次の付記のとおりである。 The above embodiment is summarized as follows.
(付記1)
バスに接続された3つ以上のプロセッサを同期して同じ命令列を処理させるフォールトトレラント制御装置であって、
前記3つ以上のプロセッサの処理状態を比較し異常な処理状態である異常プロセッサを検出する異常プロセッサ検出手段と、
前記異常プロセッサを検出したとき、前記異常プロセッサに対応するカウンタをインクリメントし、前記カウンタが基準値に達した場合に前記異常プロセッサを初期化し前記正常な処理状態のプロセッサと同期させるリセット処理を行わせ、達しない場合に正常な処理状態に基づく応急処理を行わせる再同期化手段と、を有するフォールトトレラント制御装置。
(Appendix 1)
A fault-tolerant control device that synchronizes three or more processors connected to a bus and processes the same instruction sequence,
An abnormal processor detecting means for comparing the processing states of the three or more processors and detecting an abnormal processor in an abnormal processing state;
When the abnormal processor is detected, a counter corresponding to the abnormal processor is incremented, and when the counter reaches a reference value, the abnormal processor is initialized and a reset process is performed to synchronize with the processor in the normal processing state. A fault-tolerant control device comprising: resynchronization means for performing emergency processing based on a normal processing state when not reached.
(付記2)
付記1において、
前記異常プロセッサ検出手段は、前記プロセッサの前記バスへの出力値の不一致を検出することによって前記異常プロセッサを検出し、
前記出力値の不一致が検出された場合の前記応急処理は、前記3つ以上のプロセッサの前記出力値のうち正常な出力値を選択して前記バスに出力する処理を含み、
前記再同期化手段は、前記出力値の不一致が検出された場合であって前記カウンタが基準値に達した場合に、前記リセット処理に加えてさらに前記応急処理を行わせるフォールトトレラント制御装置。
(Appendix 2)
In
The abnormal processor detection means detects the abnormal processor by detecting a mismatch of output values to the bus of the processor;
The emergency process when the mismatch of the output values is detected includes a process of selecting a normal output value from the output values of the three or more processors and outputting the selected output value to the bus,
The resynchronization means is a fault-tolerant control device that further performs the emergency process in addition to the reset process when the output value mismatch is detected and the counter reaches a reference value.
(付記3)
付記1または2において、
前記異常プロセッサ検出手段は、前記プロセッサのレジスタの値の不一致を検出することによって前記異常プロセッサを検出し、
前記レジスタの値の不一致が検出された場合の前記応急処理は、前記異常プロセッサの前記レジスタに正常なレジスタの値を書き込む処理を含むフォールトトレラント制御装置。
(Appendix 3)
In
The abnormal processor detection means detects the abnormal processor by detecting a mismatch of register values of the processor;
The fault tolerant control device, wherein the emergency process when a mismatch of the register values is detected includes a process of writing a normal register value to the register of the abnormal processor.
(付記4)
付記3において、
前記レジスタは、前記プロセッサのプログラムカウンタを保持するレジスタ、スタックポインタを保持するレジスタ、有限ステートマシンが有する前記プロセッサの状態情報を保持するレジスタのいずれかを含むフォールトトレラント制御装置。
(Appendix 4)
In
The fault tolerant control device, wherein the register includes any one of a register that holds a program counter of the processor, a register that holds a stack pointer, and a register that holds state information of the processor included in a finite state machine.
(付記5)
付記3または4において、
前記カウンタは、前記出力値の不一致が検出された場合にインクリメントされる第1のカウンタと、前記レジスタの値の不一致が検出された場合にインクリメントされる第2のカウンタとを有し、
前記基準値は、前記第1のカウンタに対応する第1の基準値と、前記第2のカウンタに対応する第2の基準値とを有するフォールトトレラント制御装置。
(Appendix 5)
In
The counter has a first counter that is incremented when a mismatch of the output values is detected, and a second counter that is incremented when a mismatch of the values of the registers is detected;
The fault tolerant control device, wherein the reference value includes a first reference value corresponding to the first counter and a second reference value corresponding to the second counter.
(付記6)
付記1乃至5のいずれかにおいて、
前記再同期化手段は、前記カウンタが前記基準値を超えた回数を示すリセット回数が、基準リセット回数に達したとき、前記異常プロセッサ以外の前記正常な処理状態のプロセッサによって処理を継続させるフォールトトレラント制御装置。
(Appendix 6)
In any one of
The resynchronization means is a fault tolerant in which processing is continued by a processor in the normal processing state other than the abnormal processor when the reset count indicating the number of times the counter exceeds the reference value reaches the reference reset count. Control device.
(付記7)
付記1乃至5のいずれかにおいて、
前記再同期化手段は、前記異常プロセッサの前記初期化が基準時間内に終了しないとき、前記異常プロセッサ以外の前記正常な処理状態のプロセッサによって処理を継続させるフォールトトレラント制御装置。
(Appendix 7)
In any one of
The resynchronization means is a fault-tolerant control device for continuing processing by a processor in the normal processing state other than the abnormal processor when the initialization of the abnormal processor does not end within a reference time.
(付記8)
付記1乃至7のいずれかにおいて、
前記基準値は、前記フォールトトレラント制御装置の起動時にリセットされるフォールトトレラント制御装置。
(Appendix 8)
In any one of
The reference value is a fault-tolerant control device that is reset when the fault-tolerant control device is activated.
(付記9)
バスに接続された3つ以上のプロセッサを同期して同じ命令列を処理させるフォールトトレラントシステムの制御方法であって、
前記3つ以上のプロセッサの処理状態を比較し異常な処理状態である異常プロセッサを検出する異常プロセッサ検出工程と、
前記異常プロセッサを検出したとき、前記異常プロセッサに対応するカウンタをインクリメントし、前記カウンタが基準値に達した場合に前記異常プロセッサを初期化し前記正常な処理状態のプロセッサと同期させるリセット処理を行わせ、達していない場合に正常な処理状態に基づく応急処理を行わせる再同期化工程と、を有するフォールトトレラントシステムの制御方法。
(Appendix 9)
A method for controlling a fault tolerant system in which three or more processors connected to a bus are synchronized to process the same instruction sequence,
An abnormal processor detection step of comparing the processing states of the three or more processors and detecting an abnormal processor in an abnormal processing state;
When the abnormal processor is detected, a counter corresponding to the abnormal processor is incremented, and when the counter reaches a reference value, the abnormal processor is initialized and a reset process is performed to synchronize with the processor in the normal processing state. And a resynchronization step for performing emergency processing based on a normal processing state when not reached, and a control method for a fault tolerant system.
10:フォールトトレラントシステム、x1〜x3:プロセッサ、14:メモリ、15:メモリ制御部、e1〜en:周辺機能回路、20:フォールトトレラント制御部、11:比較選択回路、12:再同期化制御部、13:比較複写回路 10: Fault tolerant system, x1 to x3: Processor, 14: Memory, 15: Memory control unit, e1 to en: Peripheral function circuit, 20: Fault tolerant control unit, 11: Comparison selection circuit, 12: Resynchronization control unit , 13: Comparative copying circuit
Claims (8)
前記3つ以上のプロセッサの処理状態である、各プロセッサのレジスタの値を多数決にしたがって比較し、多数に属する処理状態とは異なる処理状態の異常プロセッサを検出する異常プロセッサ検出手段と、
前記異常プロセッサを検出したとき、前記異常プロセッサに対応するカウンタをインクリメントし、前記カウンタが基準値に達した場合に前記異常プロセッサを初期化し前記多数に属する処理状態のプロセッサと同期させるリセット処理を行わせ、達しない場合に前記多数に属する処理状態のプロセッサのレジスタの値を前記異常プロセッサの前記レジスタに書き込む応急処理を行わせる再同期化手段と、を有するフォールトトレラント制御装置。 A fault-tolerant control device that synchronizes three or more processors connected to a bus and processes the same instruction sequence,
An abnormal processor detection means for comparing the values of the registers of the processors, which are the processing states of the three or more processors, according to a majority decision, and detecting an abnormal processor having a processing state different from the processing state belonging to the majority ;
When the abnormal processor is detected, a counter corresponding to the abnormal processor is incremented, and when the counter reaches a reference value, the abnormal processor is initialized, and a reset process is performed to synchronize with the processors in the processing state belonging to the majority. And a resynchronization means for performing an emergency process for writing the value of the register of the processor in the processing state belonging to the large number to the register of the abnormal processor when not reached.
前記異常プロセッサ検出手段は、さらに、前記プロセッサの前記バスへの出力値の不一致を検出することによって前記異常プロセッサを検出し、
前記出力値の不一致が検出された場合の前記応急処理は、前記3つ以上のプロセッサの前記出力値のうち多数に属する出力値を選択して前記バスに出力する処理を含み、
前記再同期化手段は、前記出力値の不一致が検出された場合であって前記カウンタが基準値に達した場合に、前記リセット処理に加えてさらに前記応急処理を行わせるフォールトトレラント制御装置。 In claim 1,
The abnormal processor detection means further detects the abnormal processor by detecting a mismatch of output values to the bus of the processor,
The emergency process when a mismatch of the output values is detected includes a process of selecting an output value belonging to many of the output values of the three or more processors and outputting the selected output value to the bus,
The resynchronization means is a fault-tolerant control device that further performs the emergency process in addition to the reset process when the output value mismatch is detected and the counter reaches a reference value.
前記レジスタは、前記プロセッサのプログラムカウンタを保持するレジスタ、スタックポインタを保持するレジスタ、有限ステートマシンが有する前記プロセッサの状態情報を保持するレジスタのいずれかを含むフォールトトレラント制御装置。 In claim 1 ,
The fault tolerant control device, wherein the register includes any one of a register that holds a program counter of the processor, a register that holds a stack pointer, and a register that holds state information of the processor included in a finite state machine.
前記カウンタは、前記出力値の不一致が検出された場合にインクリメントされる第1のカウンタと、前記レジスタの値の不一致が検出された場合にインクリメントされる第2のカウンタとを有し、
前記基準値は、前記第1のカウンタに対応する第1の基準値と、前記第2のカウンタに対応する第2の基準値とを有するフォールトトレラント制御装置。 In claim 2 ,
The counter has a first counter that is incremented when a mismatch of the output values is detected, and a second counter that is incremented when a mismatch of the values of the registers is detected;
The fault tolerant control device, wherein the reference value includes a first reference value corresponding to the first counter and a second reference value corresponding to the second counter.
前記再同期化手段は、前記カウンタが前記基準値を超えた回数を示すリセット回数が、基準リセット回数に達したとき、前記異常プロセッサ以外の前記多数に属する処理状態のプロセッサによって処理を継続させるフォールトトレラント制御装置。 In any one of Claims 1 thru | or 4 ,
The resynchronization means is a fault that continues processing by a processor in the processing state belonging to the majority other than the abnormal processor when the reset count indicating the number of times the counter exceeds the reference value reaches the reference reset count. Tolerant control device.
前記再同期化手段は、前記異常プロセッサの前記初期化が基準時間内に終了しないとき、前記異常プロセッサ以外の前記多数に属する処理状態のプロセッサによって処理を継続させるフォールトトレラント制御装置。 In any one of Claims 1 thru | or 4 ,
The resynchronization means is a fault-tolerant control device for continuing processing by a processor in the processing state belonging to the large number other than the abnormal processor when the initialization of the abnormal processor does not end within a reference time.
前記基準値は、前記フォールトトレラント制御装置の起動時にリセットされるフォールトトレラント制御装置。 In any one of Claims 1 thru | or 6 .
The reference value is a fault-tolerant control device that is reset when the fault-tolerant control device is activated.
前記3つ以上のプロセッサの処理状態である、各プロセッサのレジスタの値を多数決にしたがって比較し、多数に属する処理状態とは異なる処理状態の異常プロセッサを検出する異常プロセッサ検出工程と、
前記異常プロセッサを検出したとき、前記異常プロセッサに対応するカウンタをインクリメントし、前記カウンタが基準値に達した場合に前記異常プロセッサを初期化し前記多数に属する処理状態のプロセッサと同期させるリセット処理を行わせ、達しない場合に前記多数に属する処理状態のプロセッサのレジスタの値を前記異常プロセッサの前記レジスタに書き込む応急処理を行わせる再同期化工程と、を有するフォールトトレラントシステムの制御方法。 A method for controlling a fault tolerant system in which three or more processors connected to a bus are synchronized to process the same instruction sequence,
An abnormal processor detection step of comparing the values of the registers of each processor, which are the processing states of the three or more processors, according to a majority decision, and detecting an abnormal processor having a processing state different from the processing state belonging to the majority ;
When the abnormal processor is detected, a counter corresponding to the abnormal processor is incremented, and when the counter reaches a reference value, the abnormal processor is initialized, and a reset process is performed to synchronize with the processors in the processing state belonging to the majority. And a resynchronization step of performing an emergency process of writing the value of the register of the processor in the processing state belonging to the large number to the register of the abnormal processor if not reached, the control method of the fault tolerant system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012076159A JP5874492B2 (en) | 2012-03-29 | 2012-03-29 | Fault tolerant control device and control method of fault tolerant system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012076159A JP5874492B2 (en) | 2012-03-29 | 2012-03-29 | Fault tolerant control device and control method of fault tolerant system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013206265A JP2013206265A (en) | 2013-10-07 |
| JP5874492B2 true JP5874492B2 (en) | 2016-03-02 |
Family
ID=49525248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012076159A Expired - Fee Related JP5874492B2 (en) | 2012-03-29 | 2012-03-29 | Fault tolerant control device and control method of fault tolerant system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5874492B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6297853B2 (en) | 2014-02-18 | 2018-03-20 | ルネサスエレクトロニクス株式会社 | Multiprocessor system |
| JP6415161B2 (en) * | 2014-07-29 | 2018-10-31 | 三菱重工業株式会社 | System management device and system |
| KR101560497B1 (en) * | 2014-09-26 | 2015-10-15 | 성균관대학교산학협력단 | Method for controlling reset of lockstep replicated processor cores and lockstep system using the same |
| CN112906134B (en) * | 2021-03-05 | 2022-05-17 | 吉林大学 | Fault-tolerant control strategy design method of automatic driving vehicle considering fault of brake actuator |
| CN113671928B (en) * | 2021-07-05 | 2023-04-14 | 浙江零跑科技股份有限公司 | Fault-tolerant type fault detection and protection method for controller of electric drive assembly |
| CN115167933B (en) * | 2022-09-08 | 2022-12-02 | 深圳市恒运昌真空技术有限公司 | Dual-processor equipment, control method thereof and processor |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6029415B2 (en) * | 1979-06-12 | 1985-07-10 | 日本電信電話株式会社 | Failure repair method |
| JP2004133496A (en) * | 2002-10-08 | 2004-04-30 | Hitachi Ltd | Computer system |
-
2012
- 2012-03-29 JP JP2012076159A patent/JP5874492B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013206265A (en) | 2013-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5874492B2 (en) | Fault tolerant control device and control method of fault tolerant system | |
| JP3982353B2 (en) | Fault tolerant computer apparatus, resynchronization method and resynchronization program | |
| KR100566338B1 (en) | Fault tolerant computer system, re-synchronization method thereof and computer-readable storage medium having re-synchronization program thereof recorded thereon | |
| US20090044044A1 (en) | Device and method for correcting errors in a system having at least two execution units having registers | |
| EP1573544B1 (en) | On-die mechanism for high-reliability processor | |
| US9417946B2 (en) | Method and system for fault containment | |
| EP2175371B1 (en) | Synchronization control apparatuses, information processing apparatuses, and synchronization management methods | |
| US20060190702A1 (en) | Device and method for correcting errors in a processor having two execution units | |
| JP2006178616A (en) | Fault tolerant system, controller used thereform, operation method and operation program | |
| US20130262917A1 (en) | Redundant system control method | |
| US10360115B2 (en) | Monitoring device, fault-tolerant system, and control method | |
| JP3774826B2 (en) | Information processing device | |
| JP5909948B2 (en) | Information processing apparatus and information processing apparatus testing method | |
| US8392642B2 (en) | Timeout preventing device, a timeout preventing method and a program thereof | |
| JP3063334B2 (en) | Highly reliable information processing equipment | |
| WO2008004330A1 (en) | Multiple processor system | |
| JP2003186697A (en) | System and method for testing peripheral device | |
| JP2014132384A (en) | Microcomputer and method of controlling the same | |
| JP2000298594A (en) | Controlling method of fault tolerance and redundant computer system | |
| JP3365282B2 (en) | CPU degrading method of cluster connection multi CPU system | |
| JPH11296394A (en) | Duplex information processor | |
| JP3652232B2 (en) | Microcomputer error detection method, error detection circuit, and microcomputer system | |
| JP3539687B2 (en) | Processor dual-processing information processor | |
| JPH1011309A (en) | Processor output comparing method and computer system | |
| JPH05216855A (en) | Multi-cpu control system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141201 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20150610 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150924 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151020 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160104 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5874492 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |