JPH04241039A - ベーシックプロセッシングユニット及び高信頼化コンピュータシステム - Google Patents

ベーシックプロセッシングユニット及び高信頼化コンピュータシステム

Info

Publication number
JPH04241039A
JPH04241039A JP3007519A JP751991A JPH04241039A JP H04241039 A JPH04241039 A JP H04241039A JP 3007519 A JP3007519 A JP 3007519A JP 751991 A JP751991 A JP 751991A JP H04241039 A JPH04241039 A JP H04241039A
Authority
JP
Japan
Prior art keywords
processor
unit
units
cache memory
basic processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP3007519A
Other languages
English (en)
Other versions
JP3255934B2 (ja
Inventor
Nobuyasu Kanekawa
信康 金川
Shinichiro Yamaguchi
伸一朗 山口
Yoshiki Kobayashi
芳樹 小林
Takeshi Miyao
健 宮尾
Manabu Araoka
学 荒岡
Tomoaki Nakamura
智明 中村
Masayuki Tanji
雅行 丹治
Shigenori Kaneko
茂則 金子
Koji Masui
晃二 桝井
Saburo Iijima
三朗 飯島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Hitachi Information and Control Systems Inc
Original Assignee
Hitachi Ltd
Hitachi Process Computer Engineering Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Hitachi Process Computer Engineering Inc filed Critical Hitachi Ltd
Priority to JP00751991A priority Critical patent/JP3255934B2/ja
Priority to CA002059143A priority patent/CA2059143C/en
Priority to DE69231452T priority patent/DE69231452T2/de
Priority to EP92300212A priority patent/EP0496506B1/en
Publication of JPH04241039A publication Critical patent/JPH04241039A/ja
Priority to US08/434,288 priority patent/US5901281A/en
Priority to US09/188,903 priority patent/US6216236B1/en
Application granted granted Critical
Publication of JP3255934B2 publication Critical patent/JP3255934B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)
  • Memory System Of A Hierarchy Structure (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は高信頼化コンピュータシ
ステムにかかり、特に障害発生時に運転継続できること
は勿論、その後の復旧についても考慮された構成を有す
る高信頼化コンピュータシステムに関する。
【0002】
【従来の技術】例えば交通管制システムや、金融、証券
システムは情報化社会の浸透に伴い、社会生活の根幹を
占めるようになってきており、これらに使用されるコン
ピュータシステムは障害が発生しないように工夫される
とともに、仮に障害が発生したとしてもデータの一貫性
を保持したまま処理を続行するように構成される必要が
ある。
【0003】これらの要求に応えるため、従来より、障
害許容コンピュータもしくは、耐故障、耐欠陥コンピュ
ータシステムが種々提案されており、障害が発生しても
データ処理を継続できるように同じ機能を有する複数の
システムないし、部品で構成し、各部で冗長性を持たせ
ることにより障害の発生したシステムないし部品を検出
し、切離すことにより残りの構成でデータ処理を続行で
きるように構成されている。
【0004】具体的な従来例として、米国特許第465
4857 号は、通称ペアアンドスペア法と呼ばれる方
式を採用し、自己診断機能のあるメモリ、プロセッサ、
入出力制御装置などからなるプロセッサボード2枚を1
組にして動作する。どのプロセッサボードも内部には2
個のマイクロプロセッサを持ち、マイクロプロセッサの
出力を照合し、不一致の場合はボード故障と見なすこと
により、障害を検出している。また、プロセッサボード
からバスにだされた出力はもう一方のプロセッサボード
とバスクロック毎に照合、同期するロックステップ方式
を採用しており、片方のプロセッサボードで障害が発生
してもそのバスクロック内で検出し、切り離し処理が行
われ、正常なプロセッサボードの出力のみが使用される
【0005】また、特開昭59−160899号では、
米国特許第4654857 号と同様に二重のシステム
バスの夫々に接続され、その内部に2つのプロセッサを
有する2つのプロセッサボードを有し、その同期化のた
めにキャッシュメモリに着目し、キャッシュメモリから
主記憶装置へのフラッシュ動作をOS制御の下で行うこ
とにより、ロックステップ動作による性能制限を避けて
いる。そして、プロセッサボード内の2個のマイクロプ
ロセッサの照合により障害が検出された場合、前回のフ
ラッシュポイントから代替プロセッサボードで処理を再
実行する。
【0006】上記システムではプロセッサボード上の2
台と別のプロセッサボード上の2台の計4台のマイクロ
プロセッサを使用するが、特開平1−258057 号
では、三重冗長系TMR(Triple Modula
r Redundancy)技法を採用し、プロセッサ
3台の出力結果を多数決回路を介して二重化システムバ
スに出力する。
【0007】
【発明が解決しようとする課題】上記従来例は、一つの
プロセッサボード上に何台のプロセッサを配置するかと
言ったことは別にして、いずれの場合も3台乃至4台の
プロセッサを使用するシステムであり、そのいずれかの
プロセッサに障害を発生したときにはこのプロセッサを
切り離して2台運転にシステムを縮小し、その後新たな
別の1台または2台のプロセッサを組み込んで元のシス
テム構成に再構成されるものである。
【0008】これらのシステムでは障害発生前のプロセ
ッサの組と、復旧後のプロセッサの組とは全く相違する
。つまり、前2者の従来例では当初A,B,C,Dの4
つのプロセッサで運転していたとすると、復旧後のプロ
セッサ構成はE,F,C,Dにて運転されることになる
。また最後の従来例では当初A,B,Cのものが、D,
B,Cとなる。このため、従来例のものではそのシステ
ムを構成する他のプロセッサとの間での特別な接続、切
離しハードウエア、同期機構が必要である。また、プロ
セッサあるいはプロセッサボードは徐々にバージョンア
ップされ、あるいはレビジョンされるのが通例であるが
、システムの一部であるプロセッサあるいはプロセッサ
ボードを交換する上記従来例では復旧後の新旧プロセッ
サ間のミスマッチを防ぐための十分な事前対応が不可欠
である。また、プロセッサボードを交換するものでは常
に高価な交換ボードを準備しておく必要がある。さらに
、プロセッサ間での同期化が困難である。
【0009】以上のことから本発明においては、障害発
生時に運転継続できることは勿論、その後の復旧につい
ても考慮された構成を有する高信頼化コンピュータシス
テムを提供することを目的とする。
【0010】また本発明の他の目的は、同期の高速化が
可能な高信頼化コンピュータシステムを提供することに
ある。
【0011】また本発明の他の目的は、システムを停止
することなくハードウェアボードを交換することのでき
る高信頼化コンピュータシステムを提供することにある
【0012】本発明の他の目的は、システムの性能を低
下することなくハードウェアボードを交換することので
きる高信頼化コンピュータシステムを提供することにあ
る。なお、本発明のほかの目的は、明細書の以下の説明
から明確にされる。
【0013】
【課題を解決するための手段】本発明は、上記目的を達
成するために一つのハードウェアボード上に複数のプロ
セッサで構成されるプロセッサシステムを搭載し、ハー
ドウェアボード自体にフォールトトレランス機能を持た
せたものである。
【0014】また、本発明は一つのハードウェアボード
上の複数のプロセッサをクロック同期させたものである
【0015】また、本発明はその内部に障害が発生した
ときにはハードウェアボード自体を別のハードウェアボ
ードに交換する。
【0016】また、本発明はその内部に障害が発生した
ときにはそのプロセッサを切離し残りのプロセッサによ
り運転継続する。
【0017】
【作用】本発明では、一つのハードウェアボード上に複
数のプロセッサで構成されるプロセッサシステムを搭載
し、ハードウェアボード自体にフォールトトレランス機
能を持たせプロセッサボード自体を交換してしまうこと
にしたので、プロセッサ組替えに伴う必要なハード、ソ
フトが不要であり、復旧も考慮したシステム構成とでき
る。
【0018】本発明では、一つのハードウェアボード上
の複数のプロセッサをクロック同期させたので配線が短
距離で良く同期の高速化が達成できる。
【0019】本発明では、その内部に障害が発生したと
きにはハードウェアボード自体を別のハードウェアボー
ドに瞬時に交換するのでシステムを停止することがない
【0020】本発明では、その内部に障害が発生したと
きにはそのプロセッサを停止し残りのプロセッサにより
運転継続するのでシステムの性能を低下することなくハ
ードウェアボードを交換することができる。
【0021】
【実施例】以下本発明について詳細に説明するが、本明
細書での説明はその理解を容易にするために以下の項目
に分けて行う。
【0022】I .システムの概略全体構成II .B
PU2の構成 III.異常検出手法 IV .異常時の構成変更制御 V .内部バス接続時の信号処理 VI .異常発生後の復旧策 VII.各部回路の代案変形例 I .システムの概略全体構成 図1に本発明のフォルトトレーラントシステムの概略全
体構成を示す。このシステムは2組のシステムバス1−
1と1−2を有しており、このバス上には一つまたは複
数のベーシックプロセッシングユニット(以下単にBP
Uという)2−1,2−2……2−nがシステムバス1
−1と1−2に夫々接続されている。またシステムバス
1−1には主記憶装置3−1が、1−2には主記憶装置
3−2が夫々個別に接続され、入出力装置(以下単にI
OUという)4−1,4−2が夫々システムバスの何れ
にも接続される。主記憶装置3及びIOU4は、夫々2
台を一組として使用され、図1の例では各一組ずつ使用
する例を示しているが、これはシステムの拡張に応じて
適宜組数を増加して使用することができる。図示のn組
のBPUは、通常は夫々別の処理を実行しているが、何
れも同じ構成とされているのでここでの説明は特に必要
のないかぎりBPU2−1を例にとってその構成及び作
用について説明する。
【0023】BPU2は、複数のマイクロプロセッシン
グユニット20(以下単にMPUという。図の例では3
台)、複数のMPU出力チェック回路23(図の例では
3台)、3ステートバッファ回路29等、複数のキャッ
シュメモリ220,221,複数のバスインターフェイ
ス回路27(以下単にBIUという)等を主要な構成要
件としている。ここで図1回路の概略の動作を説明して
おくと、3台のMPU20により演算が実行され、この
MPUの出力がチェック回路23においてチェックされ
、正常と判断された2つのMPUの出力が夫々バスイン
ターフェイス回路27を介して2組のシステムバス1、
あるいは2組のキャッシュメモリ220,221に夫々
出力される。MPUの1つに異常が発見された場合、こ
のMPUは除外されて残りの2つの正常なMPUにより
その出力が夫々バスインターフェイス回路27を介して
2組のシステムバス1に、あるいは2組のキャッシュメ
モリ220,221に夫々出力される。3台のMPU2
0の一部に異常が発見された後は、適宜のタイミングで
3台のMPU20が全く別の新たな3台のMPU20に
切替られて演算を実行する。
【0024】II.BPU2の構成 BPU2のより詳細な構成は図2に示されている。なお
後述するように、BPUは一枚のプリント板上に図示の
機能を搭載されるのが良い。
【0025】図2において、3台のMPU20−1,2
0−2,20−3は図示せぬクロックにより同期演算が
実行され、その結果がアドレスラインAとデータライン
Dに夫々出力される。MPU20−1,20−2,20
−3のアドレスラインA上のアドレスとデータラインD
上のデータには、パリティ生成/検査照合回路10乃至
15から適宜のパリティ信号が付与されてMPU出力チ
ェック回路23に与えられる。MPU出力チェック回路
23は、MPUA(20−1)からの出力(パリティ信
号が付与されたアドレス、データ)とMPUB(20−
2)からの出力とを比較する第1のチェック回路CHK
AB(23−1)と、MPUA(20−1)からの出力
とMPUC(20−3)からの出力とを比較する第2の
チェック回路CHKCA(23−2)と、MPUB(2
0−2)からの出力とMPUC(20−3)からの出力
とを比較する第3のチェック回路CHKBC(23−3
)と、3つのチェック回路CHKからの比較結果に応じ
てMPUのいずれの故障であるかを特定するエラーチェ
ック回路234、235から構成される。このMPU出
力チェック回路23はいわゆる多数決回路であり、この
判定結果に応じて3ステートバッファ回路200,20
1,203,204,29の開閉状態が制御される。こ
の判定結果と3ステートバッファ回路の状態の関係につ
いては後述するが、要するに異常と判定されたMPUを
以後使用せず、正常とされたMPUの出力を2つのキャ
ッシュメモリ220,221に与えて2重系として運用
するものである。なお、以下の説明においては3ステー
トバッファ回路のイネーブル状態を単に開状態と称し、
ディセーブル状態を閉状態ということにする。
【0026】3ステートバッファ回路200,201,
203,204を介して得られたアドレス、データは2
つのキャッシュメモリ220、221に夫々与えられ、
その際パリティチェック回路250においてパリティ生
成/検査照合回路10乃至15で付与したパリティのチ
ェックが行われる。またMPU出力は、同期回路290
,291において2つのMPU出力の同期が図られ、バ
スインターフェイスユニットBIUを介してシステムバ
スに送出される。その際パリティチェック回路30,3
1においてパリティ生成/検査照合回路10乃至15で
付与したパリティのチェックが行われる。以上の構成は
、MPUからのライトアクセスを主体に述べたものであ
るが、このようにMPUからのライトアクセスのときは
MPU出力チェック回路23とパリティチェック回路3
0,31においてチェックが行われる。
【0027】これに対し、キャッシュリードアクセス時
は、各キャッシュメモリ220,221,3ステートバ
ッファ回路202,205、MPUのルートで信号伝送
が行われ、この場合にはパリティ生成/検査照合回路1
0乃至15でキャッシュメモリからのアドレス、データ
のチェックが行われる。なお、26,27も3ステート
バッファ回路であり、キャッシュリードアクセス時にパ
リティ生成/検査照合回路10乃至15でのアドレス、
データのチェック結果に応じて開閉状態が制御される。
【0028】図2の構成から明らかなように、本発明の
BPUシステムでは少なくとも3台のMPUと、多数決
回路による異常MPU検出回路と、二重化されたキャッ
シュメモリと、二重化された出力回路部分とを有する。
【0029】III.異常検出手法 図2のBPU内部には、その異常検出部としてMPU出
力チェック回路23と、多くのパリティチェック回路を
採用している。この項では、これらの異常検出手法につ
いて説明する。
【0030】《MPU出力回路による異常検出》このう
ち、MPU出力チェック部分について図3に示す。図3
において第1のチェック回路CHKABの出力をAB、
第2のチェック回路CHKCAの出力をCA、第3のチ
ェック回路CHKBCの出力をBC、エラーチェック回
路231の出力を夫々Ag,Cg,29gとして、3つ
のチェック回路の出力とそのときの3ステートバッファ
回路の開閉状態との関係について説明する。なお、この
図においてCは図2では記述しない制御線である。
【0031】まず、第1乃至第3のチェック回路CHK
は、その夫々の2組の入力(アドレス,データ,制御信
号)を得て、第1のチェック回路CHKABはMPUA
の出力とMPUBの出力との比較結果ABを、第2のチ
ェック回路CHKCAはMPUAの出力とMPUCの出
力との比較結果CAを、第3のチェック回路CHKBC
はMPUBの出力とMPUCの出力との比較結果BCを
出力する。この比較結果は一致するか、しないかのいず
れかの状態信号である。
【0032】エラーチェック回路231は、3つのチェ
ック回路CHKの出力AB,BC,CAから、(1),
(2),(3)式に従いMPUA,MPUB,MPUC
の正常を表す出力Ag,Bg,Cgを得る。なお、図2
,図3においてエラーチェック回路は二重化されている
【0033】   Ag=「AB・「CA+「AB・BC・CA+AB
・BC・「CA……(1)  Bg=「AB・「BC+
「AB・BC・CA+AB・「BC・CA……(2) 
 Cg=「BC・「CA+AB・「BC・CA+AB・
BC・「CA……(3)  但し、AB:MPUAとM
PUBの出力不一致の事象(23−1で確認)    
    BC:MPUBとMPUCの出力不一致の事象
(23−3で確認)        CA:MPUAと
MPUCの出力不一致の事象(23−2で確認)   
       ・:論理積(AND)        
  +:論理和(OR)          「:否定
(NOT)(1),(2),(3)式演算の結果に応じ
て3ステートバッファ回路200,201,204,2
05,29の開閉状態が制御されるが、この説明は次の
項で行う。
【0034】表1は、3つのチェック回路CHKAB,
CHKBC,CHKCAの出力(一致、不一致)と、こ
のときの異常MPUの判定結果Ag,Bg,Cgと、そ
の結果としての3ステートバッファ回路の開閉状態を纏
めた表である。なお、表1中の判定結果の項において、
1はMPU正常、0は異常または不明を意味する。
【0035】表2は表1の一致、不一致のチェック回路
出力を生じる原因として想定される事例の一部を述べた
ものであるが、(本発明は、異常の際にBPU内の回路
構成を如何に変更し運転継続させるかに主眼があり、異
常発生原因を特定することは本旨ではないので)ここで
の詳細説明を省略する。
【0036】
【表1】
【0037】
【表2】
【0038】図3,図2,表1,表2を参照して説明し
たように、本発明においては、MPU出力チェック回路
23で以上の論理でMPUの正常、異常を判断する。
【0039】次に、BPU内各部にその他の異常検出手
法として採用したパリティチェック回路による異常検出
手法について説明する。但し、パリティチェック回路自
体は周知であり任意のものが採用できるので回路につい
ての詳細説明を省略し、ここではパリティエラー検出し
たときの異常個所特定手法について説明する。
【0040】図2に示すように、ライトアクセス時には
パリティ生成/検査照合回路10乃至15から適宜のパ
リティ信号が付与されてアドレスラインA、データライ
ンDに情報送出され、この異常をパリティチェック回路
250,30,31にて検知する。またリードアクセス
時には、パリティ生成/検査照合回路10乃至15,パ
リティチェック回路250,30,31にて情報の異常
を検知する。これらのパリティチェックは基本的にアド
レスとデータに分けて個別に実施される。そしてアドレ
スについてみると、アドレス情報にパリティエラー検出
したときの異常個所はこのアドレス信号を送出している
バスマスタであり、図2の内部バスの使用権を与えるバ
スアービタ(図示していない)からのバスグラント信号
を監視することでバスマスタとなっている機器(MPU
,キャッシュメモリ,BIU)を特定することができる
。次にデータについてみると、ライトアクセス時にデー
タ情報のパリティエラー検出したときの異常個所はこの
データ信号を送出しているバスマスタである。バスマス
タの特定は、バスアービタのバスグラント信号監視によ
り行われる。最後に、リードアクセス時にデータ情報の
パリティエラー検出したときの異常個所はこのデータ信
号の出力元であり、この特定はこのデータに付属するア
ドレスが指し示しているデバイスをアドレスをデコード
することで特定できる。
【0041】この異常個所特定の考え方を論理式にて示
すと以下のようになる。
【0042】《パリティチェックによる異常検出》PT
YGEN/NG=APE・MPU/MST+DPE(W
T・MPU/MST                
  +RD・MPU/SND)……(4)Cach/N
G=APE・Cach/MST+DPE(WT・Cac
h/MST                +RD・
Cach/SND)……(5)BIU/NG=APE・
BIU/MST+DPE(WT・BIU/MST   
           +RD・BIU/SND)……
(6)SYSBUS/NG=BIU/NG……(7)但
し、(4)乃至(7)式において、 PTYGEN:パリティ生成/検査照合回路10乃至1
5 /NG:パリティ異常 APE:アドレスパリティ異常 ・:論理積 /MST:バスマスタ +:論理和 DPE:データパリティ異常 WT:バスマスタがデータ出力 Cach:キャッシュメモリ RD:バスマスタがデータ入力 /SND:データ出力元 IV.異常時の構成変更制御 BPU内の異常には、MPUからのライトアクセス時に
MPU出力チェック回路で検知されるものと、ライトア
クセス時あるいはキャッシュリードアクセス時にパリテ
ィチェック回路で発見されるものとがある。
【0043】〔MPU出力チェック回路による異常検出
時の構成変更〕前記MPU出力チェック回路23のエラ
ーチェック回路231の出力Agに応じて3ステートバ
ッファ回路200,201が、Cgに応じて203,2
04が、29gに応じて29の開閉状態が、夫々表1の
ように制御される。なお、表1において、MPU判定結
果Ag=1は200,201開、Ag=0は200,2
01閉に基本的に対応し、Cg=1は203,204開
、Cg=0は203,204閉に基本的に対応するが、
Bgと29gは対応関係にはない。29g従って、29
の開閉状態は、Ag=1かつCg=1のときに閉、Ag
とCgのいずれかが1のときは0となった3ステートバ
ッファ回路に向かう方向の3ステートバッファ回路29
のみが開放される。以下、表1の各ケースについて、図
4の系統構成を参照してより詳細に説明する。
【0044】ケース1:全てのMPU出力が一致し、全
MPU正常である。3ステートバッファ回路200,2
01,203,204が開状態、29が閉状態とされ、
図4(a)のようにMPUAとキャッシュメモリ220
による系統と、MPUCとキャッシュメモリ221によ
る系統とが独立して二重化運用される。
【0045】ケース2:チェック回路CHKCAのみが
不一致出力を与えており、MPUBのみが正常と判断さ
れる。図2に示すようにMPUBは他のMPUの参照用
として使用され、キャッシュメモリに出力を与えるよう
に構成されていないので構成変更しての運転継続不可能
であり、この場合システムダウンとなる。
【0046】ケース3:チェック回路CHKBCのみが
不一致出力を与えており、MPUAのみが正常と判断さ
れる。この場合には3ステートバッファ回路200,2
01が開状態、203,204が閉状態、29はキャッ
シュメモリ221方向への3ステートバッファ回路のみ
が開状態とされる。MPUBとMPUCは停止され、図
4(b)のようにMPUAのみによる単独系統による運
転とされる。キャッシュメモリ221方向への3ステー
トバッファ回路29のみが開状態とされるのは、キャッ
シュメモリ記憶内容の同一性保持のためである。
【0047】ケース4:チェック回路CHKABのみが
一致出力を与えており、MPUAとMPUBが正常と判
断される。この場合には3ステートバッファ回路200
,201が開状態、203,204が閉状態、29はキ
ャッシュメモリ221方向への3ステートバッファ回路
のみが開状態とされる。この場合にはMPUCを停止し
、図4(c)のようにMPUAとMPUBで二重系を構
成して、MPUBによりMPUAの出力を監視する二重
化運転とされる。キャッシュメモリ221方向への3ス
テートバッファ回路29のみが開状態とされるのは、キ
ャッシュメモリ記憶内容の同一性保持のためである。
【0048】ケース5:チェック回路CHKABのみが
不一致出力を与えており、MPUAとMPUBが異常、
MPUAのみが正常と判断される。この場合には3ステ
ートバッファ回路200,201が閉状態、203,2
04が開状態、29はキャッシュメモリ220方向への
3ステートバッファ回路のみが開状態とされる。この場
合にはMPUAとMPUBを停止し、図4(d)のよう
にMPUCのみによる単独運転とされる。キャッシュメ
モリ220方向への3ステートバッファ回路29のみが
開状態とされるのは、キャッシュメモリ記憶内容の同一
性保持のためである。
【0049】ケース6:チェック回路CHKBCのみが
一致出力を与えており、MPUCとMPUBが正常と判
断される。この場合には3ステートバッファ回路200
,201が閉状態、203,204が開状態、29はキ
ャッシュメモリ220方向への3ステートバッファ回路
のみが開状態とされる。この場合には基本的にケース4
と同様に運用される。
【0050】ケース7:チェック回路CHKCAのみが
一致出力を与えており、MPUCとMPUAが正常と判
断される。この場合には参照用MPUの異常なので、図
4(e)ケース7のように、MPUBのみを切離し、3
ステートバッファ回路は何等の変更もせずにMPUCと
MPUAによる二重化運転を継続する。
【0051】ケース8:いずれのチェック回路CHKも
不一致を検出しており、全MPU異常であることから以
後の運転継続不可能である。
【0052】以上のようにして、3台のMPUとその周
辺回路(例えばパリティ生成/検査照合回路)の正常性
が確認され、適宜構成変更制御が実施されるが、この表
1はあくまでも照合結果の考え得る組合せを述べたにす
ぎず、実際問題としてはケース2から8の7つの異常事
象が同一確率で発生するわけではない。つまり、このう
ち単一故障のケースは4,6,7の3事例、二重故障は
2,3,5の3事例、三重故障は8のケースであり、良
く知られているように運転継続不能となるケース2、8
を含む多重故障の同時発生確率は単一故障に比べて極め
て低い。しかも、実際には単一故障が進展して多重故障
に至ることが殆どであり、従って単一故障の時点で何等
かの回復対策を施すことで事実上運転継続に支障のない
システム構成とすることができる。なお、本発明では仮
に二重故障が発生したとしても多くの場合に支障無く運
転継続可能であり、この意味においては非常に信頼性の
高いシステムであるといえる。
【0053】なお、以上の異常事象発生の際に図2には
図示がないが、異常MPUを停止する信号がMPU出力
チェック回路23から発生されてこれを停止し、あるい
は外部出力されて運転員に異常の発生を報知し、以後の
対策の必要性を報知せしめることは当然のこととして行
われる。
【0054】〔パリティチェックによる異常検出時の構
成変更〕前記のIII項で述べたようにして、ライトア
クセス時あるいはキャッシュリードアクセス時に、キャ
ッシュメモリ220,221,BIU27−1,27−
2の異常個所が特定できる。次に各異常の時のBPU内
部の構成変更制御について説明する。なお、表3はキャ
ッシュリ−ドアクセス時の各部異常の際にキャッシュメ
モリ220,221,BIU27−1,27−2,3ス
テートバッファ回路29,26,27をどのように制御
するのかを一覧表にしたものである。
【0055】
【表3】
【0056】図5は各ケースの時の回路構成を図示した
ものであり、以下表3と図5を参照して説明する。図5
(a)は正常時の信号の流れを示している。この場合、
3ステートバッファ回路29,26は閉、27は開とさ
れており、従ってBIU27−1またはキャッシュメモ
リ220からの情報がMPUA20−1と、MPUB2
0−1に供給され、BIU27−2またはキャッシュメ
モリ221からの情報がMPUC20−3に供給される
。このように、通常はBIU27−1、キャッシュメモ
リ220,MPUA20−1,MPUB20−1が一つ
の組を構成し、BIU27−2,キャッシュメモリ22
1,MPUC20−3が別の一組を構成するように運用
される。
【0057】ケース1:キャッシュメモリ220の異常
である。図5(b)のように、キャッシュメモリ220
の出力が停止され、3ステートバッファ回路29はMP
UA20−1側への信号のみが通過するように制御され
、3ステートバッファ回路26は開、27は閉とされる
。これにより、全てのMPUはキャッシュメモリ221
からの共通情報を受け取るように構成されて異常発見後
も運転継続される。なお、3ステートバッファ回路26
を開、27を閉のように正常状態から切替る理由は、論
理的にはキャッシュメモリ220の異常と特定していて
も、キャッシュメモリ220が接続された内部バスの異
常の可能性も否定できず、念のためにキャッシュメモリ
221側に切替るものである。もし、キャッシュメモリ
220が接続された内部バスの異常のときは、3ステー
トバッファ回路29が一方向通信となっているためにM
PUC側にはその影響が現れない。
【0058】ケース2:キャッシュメモリ221の異常
である。図5(c)のように、キャッシュメモリ221
の出力が停止され、3ステートバッファ回路29はMP
UC20−3側への信号のみが通過するように制御され
、これにより全てのMPUはキャッシュメモリ220か
らの共通情報を受取るように構成されて異常発見後も運
転継続される。
【0059】ケース3,5:BIU270あるいはその
接続されたシステムバス1−1側の異常である。図5(
d),(e)のように、BIU270あるいはその接続
されたシステムバス1−1側を停止し、ケース1と同様
に運用する。
【0060】以上のようにして、パリティエラーによる
異常検知されたときは構成変更とともに異常の旨、外部
報知される。
【0061】以上詳細に述べたように、本発明によれば
BPUの内部に異常が発生したとしても、その回路構成
の一部を切離しあるいは情報の流れを変更することによ
って、正常時と同様に運転継続が可能である。このため
データ処理の途中で異常が発生した場合には、(1)切
りの良い時点または、修理保守時期まで当該BPUでの
動作を継続させ、(2)切りの良い時点または、修理保
守時期に当該BPUで実行していた処理を他の正常なB
PUに引き継がせれば良い。
【0062】この結果、異常発生時のチェックポイント
リスタートに備えてのバックアップ動作が不要となり、
処理性能を向上させることができる。
【0063】V.内部バス接続時の信号処理以上説明し
たように、各部異常の際に内部バスの切替を3ステート
バッファ29を用いて行うが、3ステートバッファ29
の開閉操作は、通常の経路でのライトアクセスに比べて
切替に時間がかかり、しかもバス間で迂回するために時
間がかかる。この改善策としては、図6のように異常発
生時にのみリトライによりバスサイクルを延長するのが
バスサイクルの遅延を生じず有効である。
【0064】つまり、異常が発見された(ステップS1
,S2)ときには、ステップS4においてリトライをさ
せる信号をアサートし、ステップS5において異常出力
の停止(異常MPUの切離し操作等)、正常出力の迂回
処理を実施した後で、ステップS6においてこのバスサ
イクルを終了させる信号をアサートして一連の処理を終
了する。なお、正常であるときにはステップS3におい
てこのバスサイクルを終了させる信号をアサートするの
みでよい。MPUにバスサイクルを終了させたり、リト
ライをさせたりするための信号線はMPUの種類により
名称が異なるが、多くのMPUではリトライ信号をMP
Uに入力することでMPUが自動的に実行する。表4に
代表的なMPUの信号名を示す。
【0065】
【表4】
【0066】図7,図8は図6のリトライ方式をライト
アクセス時に採用したときの信号の流れを示したもので
あり、図7は正常時、図8は異常時を示す。同図におい
て、縦軸は時間の経過を示し、横軸はMPU出力がキャ
ッシュメモリに至るまでの各部回路を示している。通常
、MPUからはデータ信号に先立って、アドレス信号が
出力される。図7では、アドレス信号、データ信号がと
もに正常であるためにMPU出力チェック回路23、パ
リティチェック回路250では正常と判断され、MPU
には終了信号が返され、キャッシュメモリ220ではデ
ータを格納しバスサイクルが終了する。
【0067】図8では、MPUAが異常でアドレス信号
、データ信号がともにMPU出力チェック回路23によ
り異常と判定され、各MPUに終了信号とともにリトラ
イ信号が返されリトライ動作に入る。リトライ動作時に
は3ステートバッファ200,201を閉状態としてM
PUAから内部バスへの信号伝達を阻止し、3ステート
バッファ29を一方向のみ開としてMPUCの出力信号
をキャッシュメモリ250にも供給する。その後、各M
PUには終了信号が返され、動作が終了する。
【0068】図9,図10,図11は図6のリトライ方
式をキャッシュリードアクセス時に採用したときの信号
の流れを示したものであり、図9は正常時、図10はア
ドレス信号異常時、図11はデータ信号異常時を夫々示
す。図9では、アドレス信号、データ信号がともに正常
であり異常が見られないために、MPUには終了信号が
返され、MPUはキャッシュメモリ250からのデータ
を格納してバスサイクルを終了する。図10では、MP
UAからのアドレス信号が他と一致せずに異常と判断さ
れ、各MPUに終了信号とともにリトライ信号が返され
リトライ動作に入る。リトライ動作時には3ステートバ
ッファ201を閉状態としてMPUAから内部バスへの
信号伝達を阻止し、3ステートバッファ29を一方向の
み開としてMPUCのアドレス出力信号をキャッシュメ
モリ220に供給し、キャッシュメモリ220は与えら
れたアドレスに格納されているデータをMPUAとMP
UBに供給する。その後、各MPUに終了信号を返して
、リトライ動作が終了する。
【0069】図11では、キャッシュメモリ220から
のデータに異常があり、パリティ生成照合検査回路10
,12、パリティチェック回路250でのパリティチェ
ックにより各常と判断され、各MPUに終了信号ととも
にリトライ信号が返されリトライ動作に入る。リトライ
動作時にはキャッシュメモリ220の出力が阻止され、
3ステートバッファ29を一方向のみ開としてキャッシ
ュメモリ221の出力をMPUAとMPUBに供給する
。なおこの場合、3ステートバッファ回路26を閉、2
7を開のように正常状態から切替え、3ステートバッフ
ァ回路27を通じてキャッシュメモリ221の出力をM
PUBに供給することにより、キャッシュメモリ220
からMPUBへのデータ信号の経路の異常により誤った
データがMPUBへ供給されるのを防ぐことができる。
【0070】VI.異常発生後の復旧策このように本発
明装置は異常発生後も運転継続できるが、この構成のま
ま永続的に運転することは二次的故障の可能性を考慮す
ると、早急に初期の状態に復旧させるべきであり、次に
、以上発生したBPUの機能を正常に復旧させるための
復旧策について説明する。その方法は、図1のBPUを
1つのプリント板上に形成しておき、異常BPUプリン
ト板を正常BPUプリント板に交換することで達成され
る。
【0071】図12は、計算機盤構成を示しており、そ
の扉を開放するとその内部にプリント板を収納するスロ
ット部が形成され、更に各スロットには図1の主記憶装
置3、BPU2、入出力制御装置BIU4を構成する各
プリント板が挿入され、挿入された状態で図11には図
示せぬシステムバスに接続されるようになっている。図
示の例ではスロットSLは12個あり、このうちSL1
,SL3〜SL6にプリント板が挿入され、他のSL2
,SL7〜SL12が空スロットとなっている。スロッ
トSLに挿入されるプリント板PLは通常知られたもの
で良いが、本発明のものではこのプリント板をスロット
SLに固定するためのレバー282、プリント板が停止
中か否かを表わす表示ランプ280を備え、必要に応じ
て適宜プリント板の取外し要求ボタン281が備えられ
る。以下、BPUプリント板の交換手順について説明す
る。
【0072】《BPUプリント板が1枚のときの交換》
図13は、システムバス(説明の都合上一重系で示す)
1にプリント板PLが接続可能なn個のスロットSLの
うち、SL1にその内部で異常発生したBPU,SL2
に主記憶装置3、SLnにIOU4のプリントが夫々挿
入されており、SL3が空きスロットとなっている例を
示す。ここでは、異常BPUに代わり機能すべき新BP
Uは未だスロットに挿入されていない。そしてプリント
板上の表示ランプ280は稼働中のために消灯している
【0073】この状態で、旧BPU2Aの機能を正常な
新BPU2Bに引き継ぐには、まず、空きスロットを用
意する。図13の例の場合は、スロットSL3が空きス
ロットとなっているので、次に新BPU2Bを空きスロ
ットSL3に挿入する。
【0074】BPU2AはBPU2Bの挿入を検知し、
そのオペレーティングシステム(以下OSと略す)の処
理により、旧BPUAで実行中のタスクを新BPU2B
に移管し、旧BPU2Aのプリント板上の表示ランプ2
80を点灯する。以降、オンラインの業務は新BPU2
Bにより実行される。旧BPU2Aから新BPU2Bへ
の業務移管は瞬時に行われる。その後、旧BPUプリン
ト板上の表示ランプ280が点灯し、該BPUが停止状
態であることを確認した上で、旧BPU2Aを取外す。 以上の手順により、旧BPU2Aを抜く前に、オンライ
ン業務を新BPU2B に移管完了されているため、シ
ステムを停止することなく、またシステム性能を低下さ
せることなくBPUの交換を実現できる。
【0075】図14は、図13で示した例についてBP
U交換手順を人による動作と計算機内部の処理に分けて
処理の内容を示したBPU交換手順処理フローである。
【0076】BPUを交換する場合、まず空きスロット
を用意(St1)する。空きスロットは、既に未使用の
空きスロットがあればそれを用いればよく、また空きス
ロットがない場合も、一時的に取り外し可能なハードウ
ェアボードがあれば、そのボードを抜き、一時的に空き
スロットを作り出し、目的のBPU交換後に、再び該ボ
ードを戻すことにより空スロットを準備することも可能
である。次に、空きスロットに新BPUを挿入(St5
)する。そのBPU挿入を、旧BPU2Aは割込等の手
段で認識(St4)する。すると、旧BPU2Aは現在
実行中のタスクを主記憶装置上に退避(St3)し、新
BPU2Bが該タスクの処理を続行できるようにする。 新BPU2Bはそれを受けて、該タスクを実行(St5
)し、オンライン業務を開始する。旧BPU2Aは自ら
BPU上のボード停止ランプを点灯(St6)し、処理
を停止(St7)する。その後、旧BPU上のボード停
止ランプが点灯しているのを人間が確認(St8)後、
旧BPUを取り外す(St9)。これで、BPU交換は
完了である。
【0077】図15は、上記実施例における、旧BPU
2A上で実行中のタスクを新BPU2Bに引き継ぎする
手段を詳細に説明した図である。システムバスに旧BP
U2A,新BPU2B、さらに主記憶装置3の各々プリ
ント板が装着されている。旧BPU2A上では、あるタ
スク920−1が実行中である。その時に、新BPU2
Bが挿入されたことの連絡が旧BPU2Aに入ったとす
ると、旧BPU2Aは、処理を中断し、実行中のタスク
920−1を主記憶装置3上に退避する。一方、新BP
U2Bは主記憶装置3上に退避されたタスク920−1
に続くタスク920−2を回復して、中断したポイント
からタスクの処理を続行する。以上の方式を用いて、交
換したBPU間の業務の引き継ぎを行う。
【0078】以上が、BPUが1つの場合のBPUの交
換の例である。上記実施例では、BPUが1つの場合で
も、システムを停止することなくBPUの交換が可能で
ある。
【0079】《BPUプリント板が複数のときの交換》
次にBPUが複数の場合、あるいは挿入したBPUが正
しく動作しなかった場合の対応について説明する。図1
6の本実施例では、BPUが複数装着されている。それ
ぞれのBPUは交換されるべきBPUを指定する手段と
して、ボード取外し要求ボタン281と、プリント板番
号282を具備している。
【0080】システムバス1にプリント板を接続するた
めの、スロットSL1からSL3にはBPU2A,2B
,2Cがそれぞれ装着されている。スロットSL4には
主記憶装置が接続されている。スロットSL5は空きス
ロットである。また、各BPUは、BPUが停止したと
きに点灯する表示ランプ280と、取り外すべきBPU
を指定するために用いるプリント板取外し要求ボタン2
81と、プリント板番号282を有する。ここで、プリ
ント板番号はBPU2Aが1、BPU2Bが2、BPU
2Cが3と約束されている。今、新BPU2Dをスロッ
トSL2に装着されている旧BPU2Bと交換する場合
には、まず、新BPU2Dを空きスロットであるスロッ
トSL5に挿入する。それから、スロットSL1〜SL
3に装着されているBPUのうち、交換したいスロット
SL2のBPU2Bの取外し要求ボタン281を押す。 そうすると、旧BPU2Bは実行中のタスクと自身のプ
リント板番号を主記憶装置3上に退避し、新BPU2D
が主記憶装置3上に退避されたプリント板番号を取り込
み、退避中タスクを実行する。旧BPU2Bは、表示2
80を点灯し自ら停止する。その後、旧BPU2Bのボ
ード停止ランプ280が点灯しているのを確認後、該B
PU2Bを取り外す。
【0081】図17は、図16で示した例についてのB
PU交換手順を人による動作と計算機内部の処理に分け
て処理の内容を示したBPU交換手順処理フローである
【0082】BPU交換する場合、まず空きスロットを
用意(St1)する。空きスロットは、既に未使用の空
きスロットがあればそれを用いればよく、また空きスロ
ットがない場合も、一時的に取り外し可能なハードウェ
アボードがあれば、そのボードを抜き、一時的に空きス
ロットを作り出し、目的のBPU交換後に、再び該ボー
ドを戻すことにより空スロットを準備することも可能で
ある。
【0083】次に、空きスロットに新BPU2Dを挿入
(St2)する。その後、取り外したい旧BPU2Bの
プリント板取り外し要求ボタンを押す(St3)。する
と、旧BPU2Bは現在実行中のタスクと自プリント板
番号を主記憶装置3上に退避(St4)し、新BPU2
Dが該タスクの処理を続行できるようにする。新BPU
2Dはそれを受けて、該タスクを実行(St5)し、オ
ンライン業務を開始する。旧BPU2Bは自らBPU上
の表示ランプを点灯(St6)し、処理を停止(St7
)する。その後、旧BPU2B上の表示ランプが点灯し
ているのを確認(St8)後、旧BPU2Bを取り外す
(St9)。これで、BPU交換は完了である。
【0084】図18は、上記実施例における、旧BPU
上で実行中のタスクとプリント板番号を新BPUに引継
ぐ手段を詳細に説明した図である。システムバスに旧B
PUが3台(2A,2B,2C)、新BPU2D、さら
に主記憶装置が装着されている。旧BPU2A,2B,
2C上では、夫々タスク1,2,3、旧BPU2C上で
はタスク2が実行中である。また、旧BPU2A,2B
,2Cのプリント板番号282は夫々1,2,3である
。その時に、取り外しBPUを指定するために、旧BP
U2Bのプリント板取り外し要求ボタンが押されたとす
ると、旧BPU2B は、処理を中断し、実行中のタス
ク2と自プリント板番号2を主記憶装置3上に退避する
。一方、新BPU2Dは主記憶装置3上に退避されたプ
リント板番号2とタスク2を回復し、中断ポイントから
タスクの処理を続行する。以上の方式を用いて、交換し
たBPU間の業務の引き継ぎを行う。
【0085】本実施例によれば、交換されるべきBPU
を指定する手段であるプリント板取外し要求ボタンを設
けることにより、BPUが複数装着されている場合でも
、システムを停止することなく、さらにはシステム性能
を低下させることなくBPUを交換できるという長所が
ある。
【0086】また、交換するBPUに割当てているプリ
ント板番号を交換BPU間で引継ぐことにより、ユーザ
プログラムにより動作プリント板番号が指定されている
場合でも、ユーザプログラムを変更することなくBPU
を交換できるという長所がある。
【0087】《挿入されたBPUが正しく作動しなかっ
た場合》一方、交換された新BPUが万一正常に動作し
ない場合に、システムに重大な影響を及ぼすという短所
がある。図19,図20によれば、挿入されたBPUの
動作チェックを実行する手段を有し、新しく挿入した新
BPUが万一正常に動作しない場合にもシステムへの影
響を与えることがない。
【0088】図19は、新BPU2Bが挿入された状態
を示す図であり、このとき旧BPU2Aではあるタスク
が実行中である。新BPU2Bが挿入されると、該BP
U上で動作チェックを行うため、BPU自己診断プログ
ラム925を実行する。診断プログラムが正常に終了す
るまでは旧BPUAにはボード挿入の連絡はしない。該
診断プログラム925により新BPUに故障箇所が発見
されると旧BPUへは連絡せず、自BPU2Bの表示ラ
ンプ280を点灯し、処理を停止する。旧BPUでは、
新BPU挿入タイミングでタスク1を中断することなく
、何事もなかったかのようにタスクの処理を続行する。
【0089】図20は、上記実施例における、BPU交
換手順を人による動作と計算機内部の処理に分けて処理
の内容を示したBPU交換手順処理フローである。St
1,St2,St4〜St8,St11〜St13の処
理については、図21と全く同一の処理であるためここ
では説明を省略し、本実施例に特有の処理につき説明す
る。
【0090】新BPUが挿入されると、まず該BPUの
動作チェックを実施するため診断プログラムを実行(S
t3)する。該診断プログラムの結果、正常と判定され
た場合には、前実施例と同じく処理St4に移る。しか
し、故障と判定された場合には、挿入された新BPU上
の表示ランプを点灯(St9)し、新BPUの処理を停
止(St10)する。その後、新BPU上の表示ランプ
の点灯を確認(St14)し、新BPUを再度取り外す
(St15)。この結果、BPUの交換は失敗に終った
ものの、旧BPUが処理を継続しているため、オンライ
ンシステムには影響を与えることはない。交換が成功し
たか否かは、BPU挿入後、新旧BPUのどちらの表示
ランプが点灯するかにより判定する。
【0091】以上、本実施例の方式により、挿入された
BPUが正常に動作しない場合にも、オンラインシステ
ムには影響を排除することが可能となった。
【0092】《異常発生前後の構成と処理》以上述べた
旧BPU2Aと新BPU2B内のMPUの処理並びに構
成を時系列的に示したものが図21であり、正常運転時
にはBPU2Aの3台のMPUが運転しており、その多
数決結果が出力されている。そして処理Bの実行中にM
PUCに障害が発生するとこれを切離し、MPUAとM
PUBによる多重化回路構成により運転が正常に継続さ
れる。他方MPUAの異常報知により新BPU2Bのプ
リント板を空スロットに挿入すると、新BPU2B内の
各MPUは自己診断を実施し、適宜の時点で処理を旧B
PU2Aから新BPU2Bに移してBPU2Bの3台の
MPU(MPUD、MPUE、MPUF)の多数決結果
による処理Dを実行する。この処理引継ぎは、切りの良
い時点または、修理保守時期まで、当該BPUでの動作
を継続させ、切りの良い時点または、修理保守時期に当
該BPUで実行した処理を他の正常なBPUに引き継が
せれば良く、実際にはソフトウェアの都合で最も性能上
望ましい時点で行うことができる。このようなタイミン
グとしては、タスク切替のタイミングが一般的にはふさ
わしいことは明らかである。なんとなれば、マルチプロ
セッサシステムにおけるプロセッサの切替とまったく同
一手順でBPUの切替が可能であり、引き継ぎに伴う余
分な性能上のオーバーヘッドを0にすることが可能であ
るからである。このため本発明によれば、フォールト発
生時のチェックポイントリスタートに備えてのバックア
ップ動作が不要となり、処理性能を向上させることがで
きる。
【0093】なお、フォールトが発生した場合には、ハ
ードウェアはフォールトの発生状況をレジスタに記録し
、オペレーティングシステムはコンテクストスイッチ時
や修理保守のための割込み処理時にレジスタを参照し、
処理の引継ぎが必要な場合には、処理引継ぎ先のBPU
に割込みなどで通知し、自BPUでの処理を終了する。 BPU2を構成する要素(MPU,キャッシュメモリな
ど)の一部で故障が発生した場合、他の要素は正常であ
っても、本方式では処理引継ぎ後には、他の正常な要素
も含めてBPU2全体の使用を中止する。
【0094】図22に、フォールトトレランスの為に冗
長化したMPUA,MPUB,MPUCが故障などの原
因で障害をうけた場合の引継ぎ時の本発明方式と公知例
との構成の相違を模式的に示す。従来の方法では、障害
をうけたMPUAのみを正常なMPUDと交換する方法
を採っていた。これに対し、本発明による方法では、障
害をうけたMPUAだけでなく、正常なMPUB,MP
UCも新たにMPUD,MPUE,MPUFと交換して
いる。以上の様にすることにより、フォールトトレラン
スの為に冗長化したMPUの組合わせ、すなわちMPU
A,MPUB,MPUCの組合わせを固定化することが
できる。従ってMPUの組合わせを交換単位にすれば、
それぞれの組合わせを構成するMPU間を高速のクロッ
クで結合することができ、高速のフォールトトレラント
コンピュータを実現することができる。また従来のよう
に、MPUの組替えに伴う種々のハードウェア、ソフト
ウェアが不要である。
【0095】なお、BPUは単一故障の場合には動作を
継続することができるので、この処理引継ぎは故障発生
後直ちに行う必要は無く、処理の切りの良い時点または
、修理保守時に処理引継ぎを行えばよい。
【0096】本実施例により処理を継続しながら、故障
の発生したBPU20−1の配線基板を引き抜き正常な
配線基板を交換することができる。
【0097】VII.各部回路の代案変形例以上、本発
明について説明したが、本発明の各部回路等は適宜変更
して実現することができる。以下、これらの代案、変形
例について説明する。
【0098】《多数決論理部》図23は、図2の多数決
論理回路部の組方と切替の様子を、他の構成要件を省い
て簡略化し理解しやすい形にして示したものであり、M
PUAとMPUCを出力専用に固定化して用い、MPU
BをMPUAとMPUCの健全性確認の参照用としての
み用いるとともに、MPUAあるいはMPUCの異常時
には健全性の確認された方の一つの出力を共通に用いて
2組のキャッシュメモリに供給するようにしたものであ
る。この方式の場合、MPUの出力が多数決回路を通ら
ずに直接キャッシュメモリに入力されるので、多数決回
路での遅延時間の分キャッシュメモリアクセス時間を短
縮できる。
【0099】本発明においては、以上のようにして多数
決論理を用いて3重系を2重系に切替て運転継続するも
のであり、本発明の変形例としてはこの方式以外にも種
々のものとすることができる。例えば、図25では3つ
のMPUの出力を多数決選択回路210と211に夫々
与え、3つのMPUの中から健全性の確認された1つの
出力を選択する。この場合、故障した方の多数決選択回
路に接続されているキャッシュメモリのデータが破壊さ
れるが、正常な多数決選択回路に接続されているキャッ
シュメモリのデータを用いて運転継続できる。
【0100】また、図24のようにMPUの出力をゲー
ト回路,切替回路等を通さずに直接キャッシュメモリに
入力し、異常となったMPUから信号を受けるキャッシ
ュメモリの動作を停止して以降そのデータを使用しない
ようにすれば、さらにゲート回路,切替回路等の遅延時
間の分キャッシュメモリアクセス時間を短縮することが
できる。しかも多くの信号線からなるアドレスバス、デ
ータバスの切替手段が不要となるのでハード量を減少さ
せることができる。
【0101】図26は4台のMPUを備え、MPUAと
MPUCを出力専用に固定し、MPUBとMPUDをそ
れらの参照用に用い、2組の出力一致により出力専用M
PUの出力を夫々与えるものである。なお、MPUの異
常時には、健全側のものに切替て使用する方法とか、異
常となったMPUから信号を受けるキャッシュメモリの
動作を停止して以降そのデータを使用しないようにする
方法等で対応できる。
【0102】《キャッシュデータのリードアクセス部》
また、キャッシュメモリについてえみると、キャッシュ
メモリ220,221の出力(データ)はパリティチェ
ックにより正常/異常が判断できるので、図27のよう
にパリティチェック250により正常と判断されたキャ
ッシュメモリの出力を切替手段260を通じてMPUA
,MPUB,MPUCに入力する。また、両方のキャッ
シュメモリが正常である場合には、キャッシュメモリの
主系,従系を予め決めておき、主系の出力を選択すれば
よい。
【0103】又、図28のようにMPUA,MPUBは
接続するキャッシュをそれぞれキャッシュメモリを22
0,221に固定しておきMPUBのみに選択したキャ
ッシュメモリの出力を入力してもよい。この場合、いず
れかのキャッシュメモリが故障しても3つのうちの2つ
のMPUに正常な動作をさせることができ、しかもハー
ド量を削減することができる。
【0104】
【発明の効果】本発明では、一つのハードウェアボード
上に複数のプロセッサで構成されるプロセッサシステム
を搭載し、ハードウェアボード自体にフォールトトレラ
ンス機能を持たせプロセッサボード自体を交換してしま
うことにしたので、プロセッサ組替えに伴う必要なハー
ド、ソフトが不要であり、復旧も考慮したシステム構成
とできる。
【0105】本発明では、一つのハードウェアボード上
の複数のプロセッサをクロック同期させたので配線が短
距離で良く同期の高速化が達成できる。
【0106】本発明では、その内部に障害が発生したと
きにはハードウェアボード自体を別のハードウェアボー
ドに瞬時に交換するのでシステムを停止することがない
【0107】本発明では、その内部に障害が発生したと
きにはそのプロセッサを停止し残りのプロセッサにより
運転継続するのでシステムの性能を低下することなくハ
ードウェアボードを交換することができる。
【図面の簡単な説明】
【図1】本発明の全体システム構成を示す図。
【図2】本発明のBPUの構成を示す図。
【図3】MPU出力チェック回路の一実施例図。
【図4】ライトアクセスでの異常時のBPUの構成を示
す図。
【図5】リードアクセスでの異常時のBPUの構成を示
す図。
【図6】バスサイクル制御フロー図。
【図7】MPU正常時のBPU内の信号の流れを示す図
【図8】MPU異常時のBPU内の信号の流れを示す図
【図9】MPU正常時のBPU内の信号の流れを示す図
【図10】アドレス信号異常時のBPU内の信号の流れ
を示す図。
【図11】データ信号異常時のBPU内の信号の流れを
示す図。
【図12】計算機盤構成を示す図。
【図13】BPU交換原理説明図。
【図14】BPU交換手順を示す図。
【図15】新旧BPUの処理引継を示す図。
【図16】マルチプロセッサ時のBPU交換原理説明図
【図17】マルチプロセッサ時のBPU交換手順を示す
図。
【図18】マルチプロセッサ時の新旧BPU処理引継を
示す図。
【図19】挿入BPU故障時のBPU交換処理を示す図
【図20】挿入BPU故障時のBPU交換処理フロー図
【図21】BPU故障時の処理の引継ぎを示す図。
【図22】BPU故障時の処理の引継ぎを示す図。
【図23】3MPUによる比較照合の実施例図。
【図24】3MPUによる比較照合の他の実施例図。
【図25】多数決方式の他の実施例図。
【図26】4MPUによる比較照合の実施例図。
【図27】キャッシュデ−タのリ−ドアクセスを示す図
【図28】キャッシュデ−タのリ−ドアクセスの他の実
施例図。
【符号の説明】
1…システムバス、2…BPU、10,11,12,1
3,14,15…パリティ生成/照合回路、20…MP
U、23…MPU出力チェック回路、27…BIU(バ
スインタフェースユニット)、30,31…パリティチ
ェック回路、200乃至205,26,27,29…3
ステートバッファ、220、221…キャッシュメモリ
、234,235…エラーチェック回路。

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】同一の演算を実行する3台以上のプロセッ
    サユニット、該プロセッサユニットのうちの2つの出力
    を選択する選択回路、選択された2つの出力を夫々外部
    出力し、外部入力を取込むための2つのインタフェイス
    ユニット、プロセッサユニットでの演算に必要な情報を
    記憶する2つのキャッシュメモリ、これらの間に設けら
    れた内部バス、上記回路の故障部位を除いた残りの構成
    によって運転継続せしめる故障検出切離機構とから構成
    され、これらが一つのプロセッサボード上に設けられた
    ことを特徴とするベーシックプロセッシングユニット。
  2. 【請求項2】一つのプロセッサボード上に同一の演算を
    実行する3台以上のプロセッサユニットと、該プロセッ
    サユニットのうちの2つの出力を選択する選択回路と、
    選択された2つの出力を夫々外部出力し、外部入力を取
    込むための2つのインタフェイスユニットと、プロセッ
    サユニットでの演算に必要な情報を記憶する2つのキャ
    ッシュメモリと、これらの間に設けられた内部バスと、
    上記回路の故障部位を除いた残りの構成によって運転継
    続せしめる故障検出切離機構が搭載されたベーシックプ
    ロセッシングユニット、該ベーシックプロセッシングユ
    ニットの2つのインタフェイスユニットが夫々接続され
    る2つのシステムバス、該2つのシステムバスに接続さ
    れる主記憶装置で構成される高信頼化コンピュータシス
    テム。
  3. 【請求項3】同一の演算を実行する第1,第2,第3の
    プロセッサユニット、該プロセッサユニットの出力を用
    いてプロセッサユニットの健全性をチェックする判定回
    路、健全性の確認された第1,第3のプロセッサユニッ
    トの出力を夫々外部出力し、外部入力を取込むための第
    1と第2のインタフェイスユニット、プロセッサユニッ
    トでの演算に必要な情報を記憶する第1と第2のキャッ
    シュメモリ、第1,第2のプロセッサユニットと、第1
    のインタフェイスユニットと、第1のキャッシュメモリ
    との間に設けられた第1の内部バス、第3のプロセッサ
    ユニットと、第2のインタフェイスユニットと、第2の
    キャッシュメモリとの間に設けられた第2の内部バス、
    第1の内部バスと第2の内部バスとの間に設けられた開
    閉手段を有する連絡バスと、上記回路の故障部位を除い
    た残りの構成によって運転継続せしめる故障検出切離機
    構から構成され、これらが一つのプロセッサボード上に
    設けられたことを特徴とするベーシックプロセッシング
    ユニット。
  4. 【請求項4】2つのシステムバス、該2つのシステムバ
    スに接続される主記憶装置、2つのシステムバスに接続
    され一つのプロセッサボードで構成されるベーシックプ
    ロセッシングユニットよりなる高信頼化コンピュータシ
    ステムにおいて、前記ベーシックプロセッシングユニッ
    トは、同一の演算を実行する第1,第2,第3のプロセ
    ッサユニット、該プロセッサユニットの出力を用いてプ
    ロセッサユニットの健全性をチェックする多数決回路、
    健全性の確認された第1,第3のプロセッサユニットの
    出力を夫々外部出力し、外部入力を取込むための第1と
    第2のインタフェイスユニット、プロセッサユニットで
    の演算に必要な情報を記憶する第1と第2のキャッシュ
    メモリ、第1,第2のプロセッサユニットと、第1のイ
    ンタフェイスユニットと、第1のキャッシュメモリとの
    間に設けられた第1の内部バス、第3のプロセッサユニ
    ットと、第2のインタフェイスユニットと、第2のキャ
    ッシュメモリとの間に設けられた第2の内部バス、第1
    の内部バスと第2の内部バスとの間に設けられた開閉手
    段と、上記回路の故障部位を除いた残りの構成によって
    運転継続せしめる故障検出切離機構を有する連絡バスと
    から構成されることを特徴とする高信頼化コンピュータ
    システム。
  5. 【請求項5】請求項3のベーシックプロセッシングユニ
    ットにおいて、故障検出切離機構は第1または第3のプ
    ロセッサユニットの異常の際にこれらを切離し、開閉手
    段を有する連絡バスを介して切り離された側の内部バス
    に接続されたキャッシュメモリにプロセッサユニットで
    の演算に必要な情報を伝達することを特徴とするベーシ
    ックプロセッシングユニット。
  6. 【請求項6】請求項4の高信頼化コンピュータシステム
    において、故障検出切離機構は第1または第3のプロセ
    ッサユニットの異常の際にこれらを切離し、開閉手段を
    有する連絡バスを介して切り離された側の内部バスに接
    続されたキャッシュメモリにプロセッサユニットでの演
    算に必要な情報を伝達することを特徴とする高信頼化コ
    ンピュータシステム。
  7. 【請求項7】請求項3のベーシックプロセッシングユニ
    ットにおいて、第2のプロセッサユニットは他のプロセ
    ッサユニットの健全性確認のためにのみ使用され、故障
    検出切離機構は第2のプロセッサユニットのみの異常の
    際にこれを切離し、開閉手段を有する連絡バスを閉止状
    態のままとすることを特徴とするベーシックプロセッシ
    ングユニット。
  8. 【請求項8】請求項4の高信頼化コンピュータシステム
    において、第2のプロセッサユニットは他のプロセッサ
    ユニットの健全性確認のためにのみ使用され、第2のプ
    ロセッサユニットのみの異常の際にこれを切離し、開閉
    手段を有する連絡バスを閉止状態のままとすることを特
    徴とする高信頼化コンピュータシステム。
  9. 【請求項9】請求項3のベーシックプロセッシングユニ
    ットにおいて、故障検出切離機構はキャッシュメモリの
    異常の際にこれを切離し、開閉手段を有する連絡バスを
    開放することにより、切離されたキャッシュメモリ側の
    内部バスに接続されたプロセッサユニットにその演算に
    必要な情報を伝達するベーシックプロセッシングユニッ
    ト。
  10. 【請求項10】請求項4の高信頼化コンピュータシステ
    ムにおいて、故障検出切離機構はキャッシュメモリの異
    常の際にこれを切離し、開閉手段を有する連絡バスを開
    放することにより、切離されたキャッシュメモリ側の内
    部バスに接続されたプロセッサユニットにその演算に必
    要な情報を伝達する高信頼化コンピュータシステム。
  11. 【請求項11】請求項3のベーシックプロセッシングユ
    ニットにおいて、故障検出切離機構はインタフェイスユ
    ニットの異常の際にこれを切離し、開閉手段を有する連
    絡バスを開放することにより、切離されたインタフェイ
    スユニット側の内部バスに接続されたプロセッサユニッ
    トにその演算に必要な情報を伝達するベーシックプロセ
    ッシングユニット。
  12. 【請求項12】請求項4の高信頼化コンピュータシステ
    ムにおいて、故障検出切離機構はインタフェイスユニッ
    トの異常の際にこれを切離し、開閉手段を有する連絡バ
    スを開放することにより、切離されたインタフェイスユ
    ニット側の内部バスに接続されたプロセッサユニットに
    その演算に必要な情報を伝達する高信頼化コンピュータ
    システム。
  13. 【請求項13】請求項3のベーシックプロセッシングユ
    ニットにおいて、故障検出切離機構は第1のキャッシュ
    メモリあるいは第1のインタフェイスユニットの異常の
    際にこれを切離し、開閉手段を有する連絡バスを開放す
    ることにより、切離されたキャッシュメモリ側の内部バ
    スに接続されたプロセッサユニットにその演算に必要な
    情報を伝達するとともに、第2のプロセッサユニットに
    第2の内部バスを介してその演算に必要な情報を伝達す
    るベーシックプロセッシングユニット。
  14. 【請求項14】請求項4の高信頼化コンピュータシステ
    ムにおいて、故障検出切離機構は第1のキャッシュメモ
    リあるいは第1のインタフェイスユニットの異常の際に
    これを切離し、開閉手段を有する連絡バスを開放するこ
    とにより、切離されたキャッシュメモリ側の内部バスに
    接続されたプロセッサユニットにその演算に必要な情報
    を伝達するとともに、第2のプロセッサユニットに第2
    の内部バスを介してその演算に必要な情報を伝達する高
    信頼化コンピュータシステム。
  15. 【請求項15】同一の演算を実行する複数のプロセッサ
    ユニット、該プロセッサユニットのうち健全性の確認さ
    れた複数の出力を選択する選択回路、選択された複数の
    出力を夫々外部出力し、外部入力を取込むための複数の
    インタフェイスユニット、プロセッサユニットでの演算
    に必要な情報を記憶する複数のキャッシュメモリ、これ
    らの間に設けられた内部バス、上記回路の故障部位を除
    いた残りの構成によって運転継続せしめる故障検出切離
    機構とから構成され、これらが一つのプロセッサボード
    上に設けられたことを特徴とするベーシックプロセッシ
    ングユニット。
  16. 【請求項16】一つのプロセッサボード上に同一の演算
    を実行する複数のプロセッサユニットと、該プロセッサ
    ユニットのうち健全性の確認された複数の出力を選択す
    る選択回路と、選択された複数の出力を夫々外部出力し
    、外部入力を取込むための複数のインタフェイスユニッ
    トと、プロセッサユニットでの演算に必要な情報を記憶
    する複数のキャッシュメモリと、これらの間に設けられ
    た内部バスと、上記回路の故障部位を除いた残りの構成
    によって運転継続せしめる故障検出切離機構が搭載され
    たベーシックプロセッシングユニット、該ベーシックプ
    ロセッシングユニットの複数のインタフェイスユニット
    が夫々接続される複数のシステムバス、該複数のシステ
    ムバスに接続される主記憶装置で構成される高信頼化コ
    ンピュータシステム。
  17. 【請求項17】同一の演算を実行する複数のプロセッサ
    ユニット、該プロセッサユニットのうち健全性の確認さ
    れた複数の出力を選択する選択回路、選択された複数の
    出力を夫々外部出力し、外部入力を取込むための複数の
    インタフェイスユニット、プロセッサユニットでの演算
    に必要な情報を記憶する複数のキャッシュメモリ、これ
    らの間に設けられた内部バス、上記回路の故障部位を除
    いた残りの構成によって運転継続せしめる故障検出切離
    機構とから構成され、プロセッサユニットとインタフェ
    イスユニットとキャッシュメモリと内部バスとによる演
    算単位が独立に複数組設けられ、かつこれらが一つのプ
    ロセッサボード上に設けられたことを特徴とするベーシ
    ックプロセッシングユニット。
  18. 【請求項18】一つのプロセッサボード上に同一の演算
    を実行する複数のプロセッサユニットと、該プロセッサ
    ユニットのうち健全性の確認された複数の出力を選択す
    る選択回路と、選択された複数の出力を夫々外部出力し
    、外部入力を取込むための複数のインタフェイスユニッ
    トと、プロセッサユニットでの演算に必要な情報を記憶
    する複数のキャッシュメモリと、これらの間に設けられ
    た内部バスと、上記回路の故障部位を除いた残りの構成
    によって運転継続せしめる故障検出切離機構が搭載され
    、プロセッサユニットとインタフェイスユニットとキャ
    ッシュメモリと内部バスとによる演算単位が独立に複数
    組設けられたベーシックプロセッシングユニット、該ベ
    ーシックプロセッシングユニットの複数のインタフェイ
    スユニットが夫々接続される複数のシステムバス、該複
    数のシステムバスに接続される主記憶装置で構成される
    高信頼化コンピュータシステム。
  19. 【請求項19】演算を実行するプロセッサユニットと、
    該プロセッサユニットの出力を外部出力し、外部入力を
    取込むためのインタフェイスユニットと、プロセッサユ
    ニットでの演算に必要な情報を記憶するキャッシュメモ
    リと、これらの間に設けられた内部バスとを単位とする
    複数の演算回路、内部バス間に設けられた連絡バス、上
    記内部バスに接続された故障回路を除いた前記連絡バス
    を開放し、運転継続せしめる故障検出切離機構とから構
    成され、これらが一つのプロセッサボード上に設けられ
    たことを特徴とするベーシックプロセッシングユニット
  20. 【請求項20】複数のシステムバス、該複数のシステム
    バスに接続される主記憶装置、複数のシステムバスに接
    続され一つのプロセッサボードで構成されるベーシック
    プロセッシングユニットよりなる高信頼化コンピュータ
    システムにおいて、ベーシックプロセッシングユニット
    は、演算を実行するプロセッサユニットと、該プロセッ
    サユニットの出力を外部出力し、外部入力を取込むため
    のインタフェイスユニットと、プロセッサユニットでの
    演算に必要な情報を記憶するキャッシュメモリと、これ
    らの間に設けられた内部バスとを単位とする複数の演算
    回路、内部バス間に設けられた連絡バス、上記内部バス
    に接続された故障回路を除いて前記連絡バスを開放し、
    運転継続せしめる故障検出切離機構とから構成され、こ
    れらが一つのプロセッサボード上に設けられたことを特
    徴とする高信頼化コンピュータシステム。
JP00751991A 1991-01-25 1991-01-25 ベーシックプロセッシングユニット及び高信頼化コンピュータシステム Expired - Lifetime JP3255934B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP00751991A JP3255934B2 (ja) 1991-01-25 1991-01-25 ベーシックプロセッシングユニット及び高信頼化コンピュータシステム
CA002059143A CA2059143C (en) 1991-01-25 1992-01-10 Processing unit for a computer and a computer system incorporating such a processing unit
DE69231452T DE69231452T2 (de) 1991-01-25 1992-01-10 Fehlertolerantes Rechnersystem mit Verarbeitungseinheiten die je mindestens drei Rechnereinheiten haben
EP92300212A EP0496506B1 (en) 1991-01-25 1992-01-10 Fault tolerant computer system incorporating processing units which have at least three processors
US08/434,288 US5901281A (en) 1991-01-25 1995-05-03 Processing unit for a computer and a computer system incorporating such a processing unit
US09/188,903 US6216236B1 (en) 1991-01-25 1998-11-10 Processing unit for a computer and a computer system incorporating such a processing unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP00751991A JP3255934B2 (ja) 1991-01-25 1991-01-25 ベーシックプロセッシングユニット及び高信頼化コンピュータシステム

Publications (2)

Publication Number Publication Date
JPH04241039A true JPH04241039A (ja) 1992-08-28
JP3255934B2 JP3255934B2 (ja) 2002-02-12

Family

ID=11668024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00751991A Expired - Lifetime JP3255934B2 (ja) 1991-01-25 1991-01-25 ベーシックプロセッシングユニット及び高信頼化コンピュータシステム

Country Status (1)

Country Link
JP (1) JP3255934B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6032265A (en) * 1995-07-18 2000-02-29 Hitachi, Ltd. Fault-tolerant computer system
JP2007272846A (ja) * 2006-03-31 2007-10-18 Nec Corp 情報処理システムのコアセル変更制御方式及びその制御プログラム
JP2009538070A (ja) * 2006-05-24 2009-10-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 通信モジュール
JP2009289234A (ja) * 2008-06-02 2009-12-10 Fujitsu Ltd 情報処理装置、エラー通知プログラム、エラー通知方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6032265A (en) * 1995-07-18 2000-02-29 Hitachi, Ltd. Fault-tolerant computer system
JP2007272846A (ja) * 2006-03-31 2007-10-18 Nec Corp 情報処理システムのコアセル変更制御方式及びその制御プログラム
JP2009538070A (ja) * 2006-05-24 2009-10-29 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 通信モジュール
US8301821B2 (en) 2006-05-24 2012-10-30 Robert Bosch Gmbh Communication module for connecting a serial bus to a plurality of system buses
JP2009289234A (ja) * 2008-06-02 2009-12-10 Fujitsu Ltd 情報処理装置、エラー通知プログラム、エラー通知方法

Also Published As

Publication number Publication date
JP3255934B2 (ja) 2002-02-12

Similar Documents

Publication Publication Date Title
EP0496506B1 (en) Fault tolerant computer system incorporating processing units which have at least three processors
JP3206006B2 (ja) 二重化バス制御方法及び装置
US6073251A (en) Fault-tolerant computer system with online recovery and reintegration of redundant components
EP1980943B1 (en) System monitor device control method, program, and computer system
JPH0812621B2 (ja) 情報転送方法及び装置
JP3595033B2 (ja) 高信頼化コンピュータシステム
EP0683456B1 (en) Fault-tolerant computer system with online reintegration and shutdown/restart
US5905875A (en) Multiprocessor system connected by a duplicated system bus having a bus status notification line
JPH04241039A (ja) ベーシックプロセッシングユニット及び高信頼化コンピュータシステム
JP3424968B2 (ja) 計算機システム及びプロセッサチップ及び障害復旧方法
JP3256181B2 (ja) 高信頼化コンピュータシステムの復旧方法
JPH0916535A (ja) マルチプロセッサ計算機
JPH04241038A (ja) 高信頼化コンピュータシステム及びその復旧方法並びにプロセッサボード及びその交換方法
JP3325836B2 (ja) 計算機盤
JPH11134210A (ja) システムの冗長化方法
JPS6095663A (ja) 2重化磁気デイスク装置の自動切換装置
JPS62115555A (ja) 計算機システムの補助記憶装置2重化管理方法
JPH0916426A (ja) 2ポートコンソールを持つフォールトトレラントコンピュータ
JP3015537B2 (ja) 電子計算機の二重化方式
JP3055906B2 (ja) 緊急動作方式
JP3015538B2 (ja) 電子計算機の二重化方式
JPH06259270A (ja) プロセッサ異常判定回路
JPH08190494A (ja) 二重化処理装置を有する高信頼化コンピュータ
JPH04268929A (ja) 二重化プロセッサシステム
JP2002259154A (ja) フォールト・トレラント・コンピュータシステム

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071130

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081130

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081130

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091130

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 10

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 10