WO2008004330A1 - Système à processeurs multiples - Google Patents

Description

明 細 書 技術分野

[0001 ] 本発明は、 複数のプロセッサエレメントを備えるマルチプロセッサシステ ムに係わり、 特に、 組込み型マルチプロセッサシステムの信頼性を向上させ る技術に係わる。

背景技術

[0002] 従来より、 高い信頼性を必要とするサーバシステムとして、 正常動作時に 処理を実行する現用系プロセッサ、 及び現用系プロセッサに障害が発生した ときにその処理を引き継ぐ予備系プロセッサ （ホットスタンバイ用プロセッ サ） を備える構成が実用化されている。 ここで、 予備系プロセッサは、 現用 系プロセッサが正常に動作している期間は、 電源は投入されているが、 実質 的な処理は行っていない。 そして、 このようなサーバシステムは、 例えば、 複数のクラスタ （現用系プロセッサおよび予備系プロセッサを含むサブシス テム） を備え、 クラスタ間を接続する通信パス、 不揮発性のストレージシス テム、 各クラスタを監視 Z制御するサービスプロセッサ （S V P ) を利用し て全プロセッサにより共用可能なファイル装置を提供する。 そして、 障害発 生時における現用系から予備系への切替えは、 ホットスタンバイ機能により 、 数秒程度で自動的に行われる。 なお、 ホットスタンバイ機能を提供するサ ーバシステムは、 例えば、 特許文献 1〜3に記載されている。

[0003] 上述のようなサーバシステムにおける故障の検出方法としては、 例えば、 各プロセッサ内に故障検出回路を内蔵することによってハードウエア故障を 検出する構成、 サービスプロセッサ （S V P ) を用いて各プロセッサの動作 を監視する構成が知られている。 この場合、 サービスプロセッサは、 現用系 における故障を検出すると、 ソフトウエアおよびハードウエアの構成を変更 する。 また、 特許文献 4には、 複数のプロセッサを備える計算機システムに おいて、 各プロセッサにそれぞれ複数の O Sを搭載し、 O S間で他の O Sの 故障を監視する方法が記載されている。

[0004] なお、 関連する技術として、 特許文献 5には、 複数の系から構成されるコ ンピュータシステムにおいて各系に対して予め優先度を設定しておき、 ある 系において障害が検出されたときに、 その系の優先度に対応する時間が経過 した時点でリセット処理を行う技術が記載されている。

[0005] ところで、 様々な分野において組込みシステムが広く普及してきている。

組込みシステムは、 制御すべき対象の装置に内蔵される情報処理システムで あって、 1または複数のプロセッサを用いてその装置の動作を制御する。 そ して、 近年では、 高い信頼性を必要とする組込みシステム （例えば、 航空機 や自動車に組み込まれる制御システム等） が要求されている。

[0006] 組込みシステムの信頼性を高める技術としては、 例えば、 3重化されたシ ステムが並列に処理を実行し、 多数決原理に従って最も確からしい処理結果 を選択する構成が知られている。 この構成においては、 特定のシステムが他 の 2つのシステムとは異なる処理結果を繰り返し出力したときに、 その特定 のシステムが切り離される。 また、 他の技術として、 現用系システムの出力 を他のシステムのプロセッサが監視し、 その出力値が予め決められた範囲を 逸脱したときに現用系システムを停止する構成も知られている。

特許文献 1 ：特開平 1 _ 9 9 1 4 1号

特許文献 2：特開平 1 _ 2 1 6 4 5 9号

特許文献 3 :特開平 2 _ 7 1 3 4 7号

特許文献 4：特開 2 0 0 2— 2 5 9 1 5 5号

特許文献 5：特開 2 0 0 6 _ 1 1 9 9 2号

[0007] 組込みシステムの信頼性を高める方法として、 上述したサーバシステムに 適用されている技術を組込みシステムに導入する構成が考えられる。 しかし 、 サーバシステムに適用されている技術においては、 現用系プロセッサの他 に、 正常動作時に実質的に処理を実行しない予備系プロセッサおよび Zまた は各プロセッサを監視するサービスプロセッサを設ける必要がある。 このた め、 この方法を導入すると、 価格の上昇、 実装面積の増加、 消費電力の増加 、 重量の増加を招くこととなり、 組込みシステムとしては不適切である。 ま た、 既存のサーバシステムに適用されているホットスタンバイ機能では、 現 用系から予備系への切替え時間が数秒程度であり、 組込みシステムにおいて 重要なリアルタイム性を保障できないおそれがある。 なお、 制御対象装置の 動作を制御する組込みシステムにおいては、 故障の発生から数ミリ秒 （長く ても、 数百ミリ秒） 以内に復帰処理が要求されることが多い。

[0008] O S間で相互に故障を監視する構成では、 各プロセッサの負荷が重くなリ 、 本来の処理に影響が及ぶおそれがある。 なお、 組込みシステムにおいて使 用されるプロセッサは、 一般に、 小型化 Z低コスト化を実現するためにその 処理能力が低い場合が多い。

[0009] 多数決動作を導入するためにシステムを 3重化する構成では、 リアルタィ ム性は確保できるが、 低コスト化を図ることは困難である。 また、 低コスト 化を図るために 3重化システムを 2重化システムにすると、 故障を検出する ことは可能であるが、 どちらのシステムにおいて故障が発生したのかを判断 できず、 代替動作を行うことができないことがある。

発明の開示

[0010] 本発明の目的は、 低価格で信頼性の高いマルチプロセッサシステムを提供 することである。

本発明のマルチプロセッサシステムは、 複数のプロセッサエレメントを備 える構成であり、 各プロセッサエレメントにより実行される処理の優先度を 管理する管理手段と、 各プロセッサエレメントの状態を監視する監視手段と 、 第 1の処理を実行している第 1のプロセッサエレメントにおいて故障が検 出されたときに、 前記管理手段の処理優先度情報を参照し、 前記第 1の処理 よリも優先度の低い第 2の処理を実行している第 2のプロセッサエレメント に前記第 1の処理を実行させる切替え手段、 を有する。

[0011 ] 上記構成のマルチプロセッサシステムにおいては、 あるプロセッサエレメ ン卜が故障したときに、 その故障したプロセッサエレメントにより実行され ていた処理の優先度が高ければ （あるいは、 その処理の優先度が最低でなけ れば） 、 以降、 その処理は他のプロセッサエレメントにより実行される。 従 つて、 システムの信頼性が向上する。

[0012] 上記マルチプロセッサシステムにおいて、 監視手段を各プロセッサエレメ ン卜にそれぞれ設け、 各プロセッサエレメン卜がそれぞれ他のプロセッサェ レメン卜の状態を監視するようにしてもよい。 この構成によれば、 プロセッ サエレメントの状態を監視するための専用プロセッサは不要である。

[0013] また、 上記マルチプロセッサシステムにおいて、 所定の時間間隔で予め決 められた規則に従って生存情報を生成し、 各プロセッサエレメントが参照可 能なメモリ領域にその生存情報を書き込む生存情報生成手段を各プロセッサ エレメントにそれぞれ設けるようにしてもよい。 この場合、 監視手段は、 所 定の時間間隔で前記メモリ領域を参照することによリプロセッサェレメント の状態を監視する。 この構成によれば、 簡単な手順で他のプロセッサエレメ ン卜の故障を検出することができる。

[0014] このように、 本発明によれば、 低価格で信頼性の高いマルチプロセッサシ ステムを提供することができる。

図面の簡単な説明

[0015] [図 1 ]本発明の概念を説明する図である。

[図 2]組込みシステムについて説明する図である。

[図 3]実施形態のマルチプロセッサシステムのハードウエア構成を示す図であ る。

[図 4]動的構成制御ュニッ卜の実施例である。

[図 5]実施形態のマルチプロセッサシステムのソフトウエア構成を示す図であ る。

[図 6A]アプリケーション優先度テーブルの実施例である。

[図 6B]更新されたアプリケーション優先度テーブルの例である。

[図 7] P E状態テーブルの実施例である。

[図 8]状態マネージャの処理を示すフローチャート （実施例 1 ) である。

[図 9]状態マネージャの処理を示すフローチャート （実施例 2 ) である。 発明を実施するための最良の形態

[0016] 図 1は、 本発明の概念を説明する図である。 なお、 図 1においては、 説明 を簡単にするためにプロセッサエレメント （P E ) を 2つだけ備える構成を 示しているが、 マルチプロセッサシステムを構成するプロセッサエレメン卜 の数は特に限定されるものではない。

[0017] プロセッサエレメント 1 A、 1 Bは、 それぞれ与えられたアプリケーショ ン （または、 タスク） を実行する。 ここで、 各アプリケーションには、 それ ぞれ優先度が設定されている。 図 1に示す例では、 プロセッサエレメント 1 Aにより実行されるアプリケーションの優先度が高く、 プロセッサエレメン 卜 1 Bにより実行されるアプリケーションの優先度が低いものとする。 すな わち、 プロセッサエレメント 1 Aは、 優先度の高い処理を実行するプロセッ サエレメント （高優先プロセッサエレメント） であり、 プロセッサエレメン 卜 1 Bは、 優先度の低い処理を実行するプロセッサエレメント （低優先プロ セッサエレメント） である。

[0018] 記憶領域 2は、 各プロセッサエレメント 1 A、 1 Bの状態を管理する P E 状態テーブル 3を保持する。 ここで、 記憶領域 2は、 各プロセッサエレメン 卜 1 A、 1 Bからアクセス可能であり、 例えば、 プロセッサエレメント 1 A 、 1 Bのメインメモリである。 なお、 P E状態テーブル 3には、 各プロセッ サエレメントについての生存情報および自己申告情報などが格納される。

[0019] 本発明に係るマルチプロセッサシステムの基本動作は、 以下の通りである

( 1 ) 各プロセッサエレメントは、 それぞれ所定の時間間隔ごとに、 生存 情報を生成して P E状態テーブル 3に書き込む。 ここで、 「所定の時間間隔 」 は、 プロセッサエレメントの故障を検出するために要する時間、 および故 障発生時にプロセッサエレメントを切り替えるための時間の要求値に応じて 決定されるものであり、 例えば、 数ミリ秒〜数百ミリ秒である。 また、 生存 情報は、 各プロセッサエレメントにおいて予め決められた規則に従って生成 される。 すなわち、 プロセッサエレメントが正常に動作している期間は、 P E状態テーブル 3において、 そのプロセッサエレメントにより生成される生 存情報は予め決められた規則に従って更新される。 一方、 あるプロセッサェ レメン卜が故障すると、 P E状態テーブル 3において、 そのプロセッサエレ メン卜に対応する生存情報は不適切な値となる。 なお、 以下の説明において 、 生存情報を生成して記憶領域 2に書き込む動作を 「生存通知」 と呼ぶこと がある。

[0020] ( 2 ) 各プロセッサエレメントは、 自己の故障を検出したときには、 その 故障を他のプロセッサエレメントに通知する。 以下の説明では、 この動作の ことを 「自己申告」 と呼ぶものとする。 自己申告は、 自己の故障を検出した プロセッサエレメントが P E状態テーブル 3にその旨を書き込むことにより 実現される。 なお、 自己申告を高速で行う場合には、 プロセッサエレメント 間の通信のために設けられている P E間通信パスを利用して自己申告情報を 他のプロセッサエレメントに送信するようにしてもよい。

[0021 ] ( 3 ) 各プロセッサエレメントは、 それぞれ所定の時間間隔ごとに、 P E 状態テーブル 3を参照し、 他のプロセッサエレメントの状態をチェックする 。 以下の説明では、 この動作のことを 「生存監視」 と呼ぶことがある。 そし て、 P E状態テーブルにおいてあるプロセッサエレメン卜についての生存情 報が不適切であることが検出されると、 そのプロセッサエレメントは故障し ていると判断される。 また、 自己申告をしているプロセッサエレメントが検 出された場合も、 そのプロセッサエレメントは故障していると判断される。 さらに、 P E間通信パスを介して自己申告が行われる場合は、 生存監視とは 無関係に、 自己申告信号を受信した時点で故障の発生が検出される。 このよ うに、 本発明のマルチプロセッサシステムでは、 あるプロセッサエレメント において故障が発生すると、 他の 1または複数のプロセッサエレメントによ リその故障が検出される。

[0022] ( 4 ) 低優先プロセッサエレメントが高優先プロセッサエレメントの故障 を検出した場合は、 以下の動作が行われる。

( 4 - 1 ) 故障を検出したプロセッサエレメントは、 故障した高優先プロセ ッサエレメン卜の動作を停止するとともに、 その高優先プロセッサエレメン 卜をリセッ卜する。

( 4 - 2 ) 故障した高優先プロセッサエレメントは、 マルチプロセッサシス テムの共用資源および他のプロセッサエレメントから切り離される。 具体的 には、 例えば、 メモリバス、 P E間通信パス、 I ZOバス等のアクセスパス が切断される。

( 4 - 3 ) 低優先プロセッサエレメントの動作をいつたん停止した後、 故障 した高優先プロセッサエレメントで実行されていたアプリケーションをその 低優先プロセッサエレメントに実行させる （代替実行） 。

[0023] ( 5 ) 高優先プロセッサエレメントが低優先プロセッサエレメントの故障 を検出した場合は、 以下の動作が行われる。

( 5 - 1 ) 故障を検出したプロセッサエレメントは、 故障した低優先プロセ ッサエレメン卜の動作を停止するとともに、 その低優先プロセッサエレメン 卜をリセッ卜する。

( 5 - 2 ) 故障した低優先プロセッサエレメントは、 マルチプロセッサシス テムの共用資源および他のプロセッサエレメントから切り離される。 具体的 には、 例えば、 メモリバス、 P E間通信パス、 I ZOバス等のアクセスパス が切断される。 この後、 故障した低優先プロセッサエレメントで実行されて いたアプリケーションは終了する。

[0024] このように、 本発明のマルチプロセッサシステムにおいては、 優先度の高 い処理を実行しているプロセッサェレメン卜が故障した場合には、 優先度の 低い処理を実行しているプロセッサエレメントがその高優先処理を引き継い で実行する。 よって、 高優先処理は、 その高優先処理を実行していたプロセ ッサエレメントが故障しても、 継続して実行される。 そして、 この故障回復 機能は、 待機プロセッサエレメント （すなわち、 現用系プロセッサが正常に 動作している期間は、 実質的な処理を行わないプロセッサ） を設けることな く実現される。 すなわち、 本発明によれば、 待機プロセッサエレメントを設 けることなく、 実質的にホットスタンバイ機能が提供される。 [0025] また、 各プロセッサエレメントの状態はそれぞれ他のプロセッサエレメン 卜により監視されるので、 システムの動作を監視するための専用プロセッサ を設ける必要はない。

なお、 LS Iチップ上に形成される記憶領域に P E状態テーブル 3を設け ると共に、 P E間通信パスを介して自己申告を行う構成を導入すれば、 故障 検出および代替動作による故障回復の高速化を図ることができる。

[0026] 図 2は、 組込みシステムについて説明する図である。 本発明の実施形態の マルチプロセッサシステム 1 1は、 特に限定されるものではないが、 例えば 、 制御対象装置 1 0に組み込まれて使用される。 制御対象装置 1 0は、 複数 の装置ェレメント 1 2— 1〜 1 2_nを備える。 そして、 各装置ェレメント 1 2— 1〜 1 2_nの動作は、 マルチプロセッサシステム 1 1が複数のアブ リケーシヨンを並列に実行することにより制御される。 ここで、 マルチプロ セッサシステム 1 1は、 図 1を参照しながら説明した機能を備えている。 な お、 マルチプロセッサシステム 1 1は、 任意のプロセッサエレメントにおい て故障が発生したときに、 その故障内容を表示装置 1 3に表示するようにし てもよい。

[0027] 図 3は、 実施形態のマルチプロセッサシステムのハードウェア構成を示す 図である。 ここでは、 実施形態のマルチプロセッサシステムは、 4個のプロ セッサエレメント （P E0〜P E3) を備えるものとする。 また、 図 3に示 す例では、 4個のプロセッサエレメン卜が 1つのチップ上に形成されている が、 本発明のマルチプロセッサシステムは、 マルチチップ型であってもよい 。 なお、 この実施例では、 マルチプロセッサシステムは、 自動車の安全運転 支援装置に組み込まれているものとする。

[0028] 実施形態のマルチプロセッサシステムは、 プロセッサエレメント （P EO 〜P E3) 2 1、 共有メモリ 22、 不揮発性メモリ 23、 動的構成制御ュニ ッ卜 24を備える。 プロセッサエレメント （P E0〜P E3) 2 1は、 互い に並列にアプリケーションを実行する。 この実施例では、 プロセッサエレメ ント （P EO) は前方監視処理を実行し、 プロセッサエレメント （P E 1 ) は側方監視処理を実行し、 プロセッサエレメント （PE2) はナイトビジョ ン処理を実行し、 プロセッサエレメント （PE3) はドライバー監視処理を 実行するものとする。 また、 プロセッサエレメント間は、 PE間通信パス 3 0により互いに接続されている。

[0029] 共有メモリ （外部メモリ） 22は、 各プロセッサエレメント 21からァク セス可能な記憶領域であり、 O Sおよびアプリケーションプログラムが格納 されている。 また、 共有メモリ 22において、 P E状態テーブル 25および アプリケーション優先度テーブル 26が作成される。 PE状態テーブル 25 は、 各プロセッサエレメント （PE0〜PE3) 21の状態を表す情報が書 き込まれる。 また、 アプリケーション優先度テーブル 26は、 各プロセッサ エレメント （PE0〜PE3) 21により実行されるアプリケーションの優 先度を表す情報を保持する。 この実施例では、 前方監視処理の優先度が最も 高く、 側方監視処理の優先度が 2番目に高く、 ナイトビジョン処理の優先度 が 3番目に高く、 ドライバー管理処理の優先度は最も低いものとする。 なお 、 各プロセッサエレメント 21と共有メモリ 22との間は、 メモリバスとし てのクロスバ （XB) 27により接続されている。

[0030] なお、 各プロセッサエレメント内に PE状態テーブル 25およびアプリケ ーシヨン優先度テーブル 26を設けるようにしてもよい。 この場合、 これら のテーブルにより保持される情報は、 例えば、 PE間通信パス 30を介して 送受信される。

[0031] 不揮発性メモリ 23は、 例えばフラッシュメモリであり、 各種設定値およ び構成制御テーブル 28が格納される。 構成制御テーブル 28は、 アプリケ ーシヨン優先度テーブル 26を含んで構成される。 なお、 各プロセッサエレ メント 21と不揮発性メモリ 23との間は、 I ZOバス 29により接続され ている。

[0032] 各プロセッサエレメント 21とクロスバ 27との間には、 それぞれスイツ チ 31が設けられている。 また、 各プロセッサエレメント 21と IZOバス 29との間には、 それぞれスィッチ 32が設けられている。 さらに、 各プロ セッサエレメント 2 1と P E間通信パス 3 0との間には、 それぞれスィッチ 3 3が設けられている。

[0033] 動的構成制御ユニット 2 4は、 P E間通信パス 3 0に接続されており、 任 意のプロセッサエレメン卜からのコマンドに従って、 対応するプロセッサェ レメン卜が備えるスィッチ 3 1〜3 3を制御する。 例えば、 プロセッサエレ メント （P E O ) の故障が検出されたときは、 動的構成制御ユニット 2 4は 、 そのプロセッサエレメント （P E O ) のスィッチ 3 1〜3 3をオフ状態に 制御する。 これにより、 故障したプロセッサエレメントは、 マルチプロセッ サシステムの共有資源および他のプロセッサエレメントから切り離される。

[0034] 図 4は、 動的構成制御ュニッ卜 2 4の実施例を示す図である。 動的構成制 御ュニッ卜 2 4は、 P E間通信パス 3 0を介して制御バケツ卜を受信する。 動的構成制御ユニット 2 4宛ての制御パケットは、 I D、 コマンド、 P E番 号を含む。 「 I D」 は、 制御バケツ卜の宛先として動的構成制御ュニッ卜 2 4を識別する。 コマンドは 「切断」 を指示する。 Γ Ρ Ε番号」 は、 故障した プロセッサエレメントを識別する。 なお、 この制御パケットは、 他のプロセ ッサエレメントの故障を検出したプロセッサエレメントにより生成される。

[0035] I D保持部 4 1には、 動的構成制御ュニッ卜 2 4を識別する I Dが保持さ れている。 比較器 4 2は、 制御バケツ卜に格納されている I Dと I D保持部 4 1に保持されている I Dとを比較する。 そして、 比較器 4 2は、 それら 1 組の I Dが互いに一致すると、 入力レジスタ 4 3に対して Enab l e信号を与え る。

[0036] 入力レジスタ 4 3には、 制御パケットから抽出されたコマンドおよび P E 番号が書き込まれる。 そして、 比較器 4 2から Enab l e信号が与えられると、 入力レジスタ 4 3に保持されているコマンド及び P E番号はデコーダ 4 4に 送られる。 デコーダ 4 4は、 コマンド及び P E番号を解析し、 対応する制御 信号をスィッチ制御回路 4 5〜 4 7に送る。 スィッチ制御回路 4 5は、 制御 バケツ卜に格納されている P E番号に対応するプロセッサエレメントのスィ ツチ 3 1をオフ状態に制御する信号を生成する。 同様に、 スィッチ制御回路 46、 47は、 それぞれ、 制御パケットに格納されている PE番号に対応す るプロセッサエレメントのスィッチ 32、 33をオフ状態に制御する信号を 生成する。

[0037] 上記構成の動的構成制御ユニット 24は、 例えば、 ΓΡΕ番号 =PEO」 を含む制御パケットを受信すると、 プロセッサエレメント （PEO) が備え るスィッチ 31〜33をオフ状態に制御する信号を生成する。 そうすると、 プロセッサエレメント （PEO) が備えるスィッチ 31〜33はオフ状態に 制御される。 この結果、 プロセッサエレメント （PEO) は、 クロスバ 27 、 1 0バス29、 P E間通信パス 30から切り離される。

[0038] 図 5は、 実施形態のマルチプロセッサシステムのソフトウェア構成を示す 図である。 図 5に示すように、 各プロセッサエレメント上でリアルタイム O Sが動作する。 このリアルタイム OSは、 PE間通信機能を備えているもの とする。 また、 リアルタイム OS上でアプリケーション A〜Dが動作する。 ここで、 アプリケーション A〜Dは、 図 3に示す例では、 それぞれ前方監視 処理、 側方監視処理、 ナイトビジョン処理、 ドライバー監視処理に相当する 。 さらに、 実施形態のマルチプロセッサシステムには、 状態マネージャ （M #0〜M#3) が実装されている。 状態マネージャ （M#0〜M#3) は、 後で詳しく説明するが、 故障検出処理および故障回復処理を実行する。

[0039] 次に、 実施形態のマルチプロセッサシステムの動作を説明する。 なお、 こ こでは、 マルチプロセッサシステムの初期状態において、 前方監視処理がプ 口セッサエレメント （PEO) により実行され、 側方監視処理がプロセッサ エレメント （PE 1 ) により実行され、 ナイトビジョン処理がプロセッサェ レメント （PE2) により実行され、 ドライバー監視処理がプロセッサエレ メント （PE3) により実行されるものとする。 また、 前方監視処理の優先 度が最も高く、 側方監視処理の優先度が 2番目に高く、 ナイトビジョン処理 の優先度が 3番目に高く、 ドライバー管理処理の優先度は最も低いものとす る。 そして、 各アプリケーションの状態を表す情報は、 図 6 Aに示すように 、 アプリケーション優先度テーブル 26に書き込まれている。 [0040] <生存通知 >

各プロセッサエレメント （PE0〜PE3) は、 それぞれ、 状態マネージ ャプログラム （M#0〜M#3) を実行する。 これにより、 各プロセッサェ レメント （PE0〜PE3) は、 所定の時間間隔で生存通知を行う。 生存通 知を実行する時間間隔は、 例えば、 数ミリ秒〜数百ミリ秒程度である。 また 、 生存通知は、 各プロセッサエレメント （PE0〜PE3) によりそれぞれ 生成される生存情報を PE状態テーブル 25に書き込むことにより実現され る。

[0041] 図 7は、 PE状態テーブル 25の実施例である。 PE状態テーブル 25は 、 生存通知が行われる時間間隔と同じ間隔で生成される。 ここで、 時刻丁に おける PE状態テーブルおよい時刻 T+ t aにおける PE状態テーブルを示 している。 なお 「t a」 は、 生存通知が行われる時間間隔に相当する。

[0042] 生存情報は、 各プロセッサエレメントにおいて、 予め決められた規則に従 つて生成される。 生存情報を生成する規則は、 特に限定されるものではない が、 この実施例では 「新たに生成する生存情報 =前回の生存情報 + 1」 であ る。 この場合、 プロセッサエレメントが正常に動作しているものとすると、 時刻 Tにおける生存情報と時刻 T+ t aにおける生存情報との差分は 「1」 になる。 図 7に示す例では、 プロセッサエレメント （PE 1〜PE3) の生 存情報は、 それぞれ 「1」 だけインクリメントされている。 しかし、 故障し たプロセッサエレメントは、 生存通知を行うことができない （或いは、 不適 切な生存情報を生成する） 。 この場合、 時刻 Tにおける生存情報と時刻 T + t aにおける生存情報との差分は 「1」 にはならない。 図 7に示す例では、 プロセッサエレメント （PEO) の生存情報は、 時刻丁〜 T+ t aにおいて 「a」 のまま変化していない。

[0043] <自己申告 >

各プロセッサエレメント （PE0〜PE3) は、 それぞれ、 自己の故障を 検出する機能を備えている。 この機能は、 各プロセッサエレメントに内蔵さ れるチェック回路により実現され、 例えば、 共有メモリの ECCエラー、 内 蔵メモリのパリティエラー、 不正命令の実行に伴うエラー、 バスのパリティ エラー、 バスエラー等を検出することができる。

[0044] プロセッサエレメントは、 自己の故障を検出すると、 その故障を申告する 。 故障の申告は、 自己の故障を検出したプロセッサエレメントが PE状態テ 一ブル 25に故障フラグを書き込むことにより実現される。 あるいは、 自己 の故障を検出したプロセッサエレメン卜が例外処理ルーチンを起動し、 P E 間通信パス 30を利用して他のプロセッサエレメントに通知を行うようにし てもよい。

[0045] <生存監視 >

各プロセッサエレメント （PE0〜PE3) は、 それぞれ、 所定の時間間 隔で生存監視を行う。 生存監視を実行する時間間隔は、 生存通知の時間間隔 と同じであってもよいし、 異なっていてもよい。 この実施例では、 生存通知 および生存監視の時間間隔は互いに同じであり、 生存通知が実行された後の 所定のタイミングで対応する生存監視が行われるものとする。

[0046] 生存監視は、 各プロセッサエレメント （PE0〜PE3) がそれぞれ PE 状態テーブル 25を参照することにより実現される。 具体的には、 たとえば 、 各プロセッサエレメント （PE0〜PE3) は、 最新の PE状態テーブル および 1つ前に生成された P E状態テーブルを読み出し、 対応する生存情報 を比較する。 このとき、 プロセッサエレメント （PEO) は、 プロセッサェ レメント （PE 1〜PE3) について生存情報をチェックする。 同様に、 プ 口セッサエレメント （PE 1 ) はプロセッサエレメント （PEO、 PE2、 PE3) について生存情報をチェックし、 プロセッサエレメント （PE2) はプロセッサエレメント （PEO、 PE 1、 PE3) について生存情報をチ エックし、 プロセッサエレメント （PE3) はプロセッサエレメント （PE 0〜PE2) について生存情報をチェックする。

[0047] 図 7に示す実施例では、 プロセッサエレメント （PE 1〜PE3) の生存 情報は、 時刻丁〜 T+ t aにおいて、 それぞれ 「1」 だけインクリメントさ れている。 この場合、 プロセッサエレメント （PE 1〜PE3) は 「正常」 である判断される。 これに対して、 プロセッサエレメント （PEO) の生存 情報は、 時刻丁〜 T+ t aにおいて変化していない。 この場合、 プロセッサ エレメント （PEO) は 「故障」 と判断される。 なお、 プロセッサエレメン 卜 （PEO) の故障は、 プロセッサエレメント （PE 1〜PE3) によリ検 出される。

[0048] 各プロセッサエレメント （PE0〜PE3) は、 PE状態テーブル 25の 生存情報を参照する際に、 自己申告情報も参照する。 自己申告情報は、 基本 的に、 最新の PE状態テーブルを参照する。

[0049] なお、 上述の例では、 連続する 2つの PE状態テーブルに書き込まれてい る生存情報を比較することよりプロセッサエレメントの状態をチェックして いるが、 3以上の P E状態テーブルに書き込まれている生存情報に基づいて プロセッサエレメントの状態を判断するようにしてもよい。 また、 上述の例 では、 生存情報は前回の生存情報をィンクリメン卜することにより生成され ているが、 本発明はこの規則に限定されるものではない。 即ち、 例えば、 各 プロセッサエレメントがそれぞれ有するタイマが生成する時刻情報を生存通 知タイミング毎に PE状態テーブル 25に書き込むようにしてもよい。 さら に、 各プロセッサエレメント内に PE状態テーブル 25を設ける構成を導入 すれば、 生存監視の高速化を図ることができる。

[0050] <故障の検出および回復 >

図 3に示すマルチプロセッサシステムにおいて、 プロセッサエレメント （ PEO) が故障したものとする。 そうすると、 図 7に示すように、 PE状態 テーブル 25において、 プロセッサエレメント （PEO) の 「生存情報」 は 更新されなくなる。

[0051] プロセッサエレメント （PE 1〜PE3) は、 それぞれ、 上述した生存監 視を実行することにより、 プロセッサエレメント （PEO) の故障を検出す ることができる。 そして、 プロセッサエレメント （PE 1〜PE3) は、 プ 口セッサエレメント （PEO) の故障を検出すると、 下記の回復処理を行う 。 ただし、 回復処理は、 基本的に、 最も優先度の低いアプリケーションを実 行しているプロセッサエレメント （ここでは、 PE3) により実行されるこ とが好ましい。 したがって、 以下の説明では、 プロセッサエレメント （PE

3) によって回復処理が実行されるものとする。

[0052] プロセッサエレメント （PE3) は、 故障したプロセッサエレメント （P EO) をリセットする。 これにより、 プロセッサエレメント （PEO) の動 作は停止する。 ここで、 リセット信号は、 例えば、 PE間通信パス 30を介 して送信される。 また、 プロセッサエレメント （PE3) は、 制御パケット を生成して動的構成制御ュニッ卜 24に送信する。 この制御バケツ卜には、 故障したプロセッサェレメントを識別する情報として ΓΡ E番号 = P E 0」 が格納されている。 そうすると、 動的構成制御ユニット 24は、 プロセッサ エレメント （PEO) が備えるスィッチ 31〜33をオフ状態に制御する。 この結果、 故障したプロセッサエレメント （PEO) は、 クロスバ 27、 I ZOバス 29、 P E間通信パス 30から切り離される。

[0053] 続いて、 プロセッサエレメント （PE3) は、 アプリケーション優先度テ 一ブル 26を参照し、 プロセッサエレメント （PEO) により実行されてい たアプリケーションの優先度とプロセッサエレメント （PE3) が実行して いるアプリケーションの優先度とを比較する。 ここでは、 プロセッサエレメ ント （PE3) が実行しているアプリケーションの優先度の方が低い。 この 場合、 プロセッサエレメント （PE3) は 「ドライバー監視処理」 を停止し 、 故障したプロセッサエレメント （PEO) によって実行されていた 「前方 監視処理」 を実行する。 このとき、 プロセッサエレメント （PE3) は、 次 に実行すべきアプリケーションとして 「前方監視処理」 を指定し、 その後、 自分自身をリセットする。 これにより、 アプリケーションを実行すべきプロ セッサエレメントの切替えが実現される。 あるいは、 リアルタイム OSのタ スクスィッチ機構を利用して、 プロセッサエレメント （PEO) により実行 されていた処理をプロセッサエレメント （PE3) に実行させることも可能 である。

[0054] この後、 アプリケーション優先度テーブル 26は、 プロセッサエレメント ( P E 3 ) または O Sからの通知により、 図 6 Bに示す状態に更新される。 上述のように、 優先度の高い処理を実行していたプロセッサェレメン卜が 故障した場合には、 優先度の低い処理を実行していたプロセッサエレメント がその高優先処理を引き継いで実行する。 したがって、 優先度の高い処理 （ 実際には、 最も優先度の低い処理以外の処理） は、 プロセッサエレメントが 故障しても、 継続して実行されるので、 信頼性の高いマルチプロセッサシス テムが実現される。 また、 待機プロセッサエレメントおよび故障監視のため の専用プロセッサを備える必要がないので、 マルチプロセッサシステムの低 コスト化を図ることができる。

[0055] なお、 生存情報を利用して故障を検出する場合の手順を説明したが、 ある プロセッサエレメントにより申告された故障を他のプロセッサエレメントが 検出した場合も同様の手順でアプリケーションの引継ぎが行われる。

[0056] 図 8は、 状態マネージャの処理を示すフローチャートである。 なお、 状態 マネージャは各プロセッサエレメントにおいてそれぞれ動作する。 また、 こ こでは、 自己申告は、 P E間通信パス 3 0を介して行われるものとする。

[0057] ステップ S 1では、 自分自身の故障をチェックする。 自分自身の故障は、 例えば、 プロセッサエレメントに内蔵されているチェック回路から状態マネ ージャへの割込み信号 （回復不能例外） により通知される。 自分自身の故障 を検出すると、 P E間通信パス 3 0を介して他のプロセッサエレメン卜に対 して故障の申告を行う。 ステップ S 2では、 他のプロセッサエレメントから の故障の申告をチェックする。 そして、 他のプロセッサエレメントから故障 の申告を受信した場合には、 代替実行処理ルーチンに進む。

[0058] ステップ S 1 1〜S 1 5は、 生存監視による故障検出処理ルーチンである 。 ステップ S 1 1は、 所定の時間間隔を計時する処理である。 すなわち、 故 障検出処理ルーチンは、 所定の時間間隔で実行される。 ステップ S 1 2では 、 生存通知が実行される。 生存通知は、 上述したように、 生存情報を生成し て P E状態テーブル 2 5に書き込むことにより実現される。 ステップ S 1 3 では、 P E状態テーブル 2 5を読み出す。 [0059] ステップ S 1 4〜S 1 5では、 各プロセッサエレメントについて最新の P E状態テーブルの生存情報と前回の P E状態テーブルの生存情報と比較し、 各プロセッサエレメントが正常であるのか故障しているのかを判断する。 一 実施例としては、 比較される 1組の生存情報が互いに一致していたときに、 プロセッサエレメントが故障していると判断される。 そして、 故障が検出さ れたときは、 代替実行処理ルーチンに進む。

[0060] ステップ S 2 1〜S 2 7は、 代替実行処理ルーチンである。 この代替実行 処理ルーチンは、 生存監視により他のプロセッサエレメントの故障を検出し たとき、 および他のプロセッサエレメントから故障の申告を受信したときに 実行される。

[0061 ] ステップ S 2 1では、 故障したプロセッサエレメントを識別する P E番号 を検出する。 ステップ S 2 2では、 まず、 故障したプロセッサエレメントを リセットして停止する。 さらに、 その故障したプロセッサエレメントを他の プロセッサエレメントから切り離す。 この場合、 故障したプロセッサエレメ ントを識別する P E番号が動的構成制御ュニッ卜 2 4に送信される。 そうす ると、 動的構成制御ユニット 2 4は、 故障したプロセッサエレメントが備え るスィッチ 3 1〜3 3をオフ状態に制御する。 この結果、 故障したプロセッ サエレメントは、 クロスバ、 I ZOバス、 P E間通信パスから切り離される

[0062] ステップ S 2 3〜S 2 4では、 アプリケーション優先度テーブル 2 6を参 照し、 故障したプロセッサエレメントが実行していたアプリケーションの優 先度を確認する。 そして、 故障したプロセッサエレメントが実行していたァ プリケーシヨンの優先度が最も低かった場合にはステップ S 2 7に進み、 そ うでない場合にはステップ S 2 5に進む。

[0063] ステップ S 2 5では、 故障したプロセッサエレメントにより実行されてい たアプリケーションを、 その故障したプロセッサエレメントから引き継いで 実行する。 そして、 ステップ S 2 6において、 アプリケーション優先度テー ブル 2 6を更新する。 例えば、 図 3に示すマルチプロセッサシステムにおい てプロセッサエレメント （P E O ) が故障した場合には、 アプリケーション 優先度テーブル 2 6は、 図 6 Aに示す状態から図 6 Bに示す状態へ更新され る。

[0064] なお、 故障したプロセッサエレメントが実行していたアプリケーションの 優先度が最も低かった場合には、 そのアプリケーションは他のプロセッサェ レメン卜に引き継がれることはなく、 そのまま終了する。 ただし、 ステップ S 2 7においてアプリケーション優先度テーブル 2 6の更新は行われる。

[0065] このように、 故障したプロセッサエレメントにより実行されていたアプリ ケーションょリも優先度の低いアプリケーションが存在する場合には、 その 故障したプロセッサエレメントにより実行されていたアプリケーションは、 他のプロセッサエレメントに引き継がれて実行される。 なお、 代替実行処理 ルーチンは、 例えば、 最も優先度の低いアプリケーションを実行しているプ 口セッサエレメン卜、 正常に動作しているプロセッサエレメン卜の中で一番 小さい P E番号を持ったプロセッサエレメン卜、 あるいは最初に故障を検出 したプロセッサエレメントにより実行される。 ただし、 最も優先度の低いァ プリケーシヨンを実行しているプロセッサエレメントが故障したときは、 代 替実行処理ルーチンは、 たとえば、 正常に動作しているプロセッサエレメン 卜の中で一番小さい P E番号を持ったプロセッサエレメン卜、 または最初に 故障を検出したプロセッサエレメントにより実行される。

[0066] なお、 図 8に示す実施例 1の故障検出において、 自己故障検出と生存監視 による故障検出とをそれぞれ含む構成に限定されない。

図 9は、 他の実施形態の状態マネージャの処理を示すフローチヤ一卜であ る。 なお、 図 8および図 9に示す手順において、 故障検出処理ルーチンは互 いに同じであるが、 代替実行処理ルーチンは異なっている。

[0067] 図 9に示すフローチャートは、 特殊な条件下で発生するソフトウェアエラ 一 （プログラムのバグを含む） を考慮して、 図 8に示すフローチャートを改良 したものである。 すなわち、 特殊な条件下で発生するソフトウェアエラーは 、 プロセッサエレメントを再ブートすると、 以降、 発生しなくなることがあ る。 そこで、 図 9に示すフローチャートでは、 故障が検出されたプロセッサ ェレメントを再ブー卜する手順が導入されている。

[0068] ステップ S 3 1では、 再ブート履歴を参照し、 故障したプロセッサエレメ ン卜が既に再ブートされているか否かをチェックする。 再ブートされていな ければ、 ステップ S 3 2において、 故障したプロセッサエレメントを再ブー 卜する。 ステップ S 3 3では、 再ブートされたプロセッサエレメントは、 再 ブート前に実行していたアプリケーシヨンと同じアプリケーションを再実行 する。 ステップ S 3 4では、 再ブートを行った旨を表す再ブート履歴に書き 込む。 なお、 故障したプロセッサエレメントが既に再ブートされていた場合 (ステップ S 3 1 ： Y e s ) には、 ステップ S 2 2に進む。

[0069] このように、 図 9に示す手順では、 あるプロセッサエレメントにおいて故 障が検出されると、 そのプロセッサエレメントを再ブートした後に、 アプリ ケーシヨンの実行を再開させる。 この結果、 故障が検出されなくなれば、 い ずれのアプリケーションも停止することなく継続して実行される。 ただし、 再ブー卜してもなお故障が検出されたときは、 ステップ S 2 2以降の処理が 実行される。 このとき、 ステップ S 3 5においては、 故障したプロセッサェ レメン卜が実行していたアプリケーションを引き継ぐべきプロセッサエレメ ン卜が再ブートされ、 その後、 そのアプリケーションが実行される。

[0070] 故障したプロセッサエレメントを再ブートした後のステップ S 3 3におけ るアプリケーションの再実行としては、 下記の 2通りの方法が考えられる。

( 1 ) 故障したプロセッサエレメントは、 再ブート前に実行していたアプリ ケーシヨンを再び実行する。

( 2 ) 故障したプロセッサエレメントは、 他のプロセッサエレメントにより 実行されている最も優先度の低いアプリケーションを実行する。 また、 最も 優先度の低いアプリケーションを実行していたプロセッサエレメントは、 再 ブー卜前にその故障したプロセッサエレメントにより実行されていたアプリ ケーシヨンを実行する。 この手順によれば、 再ブートされたプロセッサエレ メン卜において再び故障が検出されたときは、 そのプロセッサエレメントを 切り離すだけでよく、 代替動作は不要となる。

[0071 ] なお、 実施形態のマルチプロセッサシステムにおいて、 各プロセッサエレ メン卜がアクセス可能な複数のメモリが設けられている場合には、 メモリに 係わる故障が検出されたプロセッサエレメントを停止させた後に、 故障と判 定されたメモリ以外のメモリを使用して他のプロセッサェレメントを再ブー 卜するようにしてもよい。

[0072] なお、 図 9に示す実施例 2の故障検出において、 自己故障検出と生存監視 による故障検出とをそれぞれ含む構成に限定されない。

Claims

請求の範囲

[1 ] 複数のプロセッサエレメントを備えるマルチプロセッサシステムであって 各プロセッサエレメントにより実行される処理の優先度を管理する管理手 段と、

各プロセッサエレメントの状態を監視する監視手段と、

第 1の処理を実行している第 1のプロセッサエレメントにおいて故障が検 出されたときに、 前記管理手段の処理優先度情報を参照し、 前記第 1の処理 よリも優先度の低い第 2の処理を実行している第 2のプロセッサエレメント に前記第 1の処理を実行させる切替え手段と、

を有するマルチプロセッサシステム。

[2] 請求項 1に記載のマルチプロセッサシステムであって、

前記監視手段は、 各プロセッサエレメントに設けられ、 それぞれ他のプロ セッサェレメン卜の状態を監視する

ことを特徴とするマルチプロセッサシステム。

[3] 請求項 2に記載のマルチプロセッサシステムであって、

各プロセッサエレメントに設けられ、 それぞれ所定の時間間隔で予め決め られた規則に従って生存情報を生成し、 各プロセッサエレメントが参照可能 なメモリ領域にその生存情報を書き込む生存情報生成手段をさらに備え、 前記監視手段は、 所定の時間間隔で前記メモリ領域を参照することにより プロセッサェレメン卜の状態を監視する

ことを特徴とするマルチプロセッサシステム。

[4] 請求項 3に記載のマルチプロセッサシステムであって、

前記生存情報が書き込まれるメモリ領域が各プロセッサエレメント内にそ れぞれ設けられる

ことを特徴とするマルチプロセッサシステム。

[5] 請求項 1に記載のマルチプロセッサシステムであって、

各プロセッサエレメン卜に設けられ、 当該プロセッサエレメン卜の故障を 検出して他のプロセッサェレメン卜に申告する申告手段をさらに備え、 前記監視手段は、 前記申告手段による申告に基づいてプロセッサエレメン 卜の故障を検出する

ことを特徴とするマルチプロセッサシステム。

[6] 請求項 5に記載のマルチプロセッサシステムであって、

前記申告手段によリ生成される申告データは、 共有メモリを介することな く、 プロセッサエレメント間通信パスを介して送信される

ことを特徴とするマルチプロセッサシステム。

[7] 請求項 5に記載のマルチプロセッサシステムであって、

前記申告手段は、 メモリの E C Cエラー、 メモリまたはバスのパリティェ ラー、 不正な命令の実行、 不正な記憶領域のアクセスを検出したときに、 プ 口セッサエレメン卜の故障を申告する

ことを特徴とするマルチプロセッサシステム。

[8] 請求項 1に記載のマルチプロセッサシステムであって、

前記切替え手段は、 故障が検出された第 1のプロセッサェレメントを停止 し、 その第 1のプロセッサエレメントが実行していた第 1の処理を、 前記第 2のプロセッサエレメン卜に実行させる

ことを特徴とするマルチプロセッサシステム。

[9] 請求項 8に記載のマルチプロセッサシステムであって、

前記第 1のプロセッサエレメントの故障が検出されたときに前記第 2のプ 口セッサエレメントにより実行されていた前記第 2の処理は、 動作中のプロ セッサエレメントにより実行されている複数の処理の中で最も優先度が低い ことを特徴とするマルチプロセッサシステム。

[10] 請求項 1に記載のマルチプロセッサシステムであって、

前記切替え手段は、 故障が検出された第 1のプロセッサェレメン卜が実行 している第 1の処理よリも優先度の低い処理が存在しない場合には、 その第 1のプロセッサエレメントの処理を停止してその第 1の処理を終了する ことを特徴とするマルチプロセッサシステム。

[11 ] 請求項 1に記載のマルチプロセッサシステムであって、

故障が検出された第 1のプロセッサエレメントを再ブー卜する再ブー卜手 段をさらに備える

ことを特徴とするマルチプロセッサシステム。

[12] 請求項 1 1に記載のマルチプロセッサシステムであって、

前記切替え手段は、 前記再ブート手段による再ブートの後に、 前記第 1の 処理を前記第 2のプロセッサエレメントに実行させるとともに、 前記第 2の 処理を前記第 1のプロセッサエレメントに実行させる

ことを特徴とするマルチプロセッサシステム。

[13] 請求項 1に記載のマルチプロセッサシステムであって、

各プロセッサエレメン卜とメモリバスとの間、 各プロセッサエレメン卜と プロセッサエレメント間通信パスとの間、 および各プロセッサエレメントと I ZOバスとの間にそれぞれ設けられるスィッチと、

前記切替え手段からの指示に応じて前記スィッチを制御する構成制御手段 をさらに備える

ことを特徴とするマルチプロセッサシステム。

[14] 請求項 1 3に記載のマルチプロセッサシステムであって、

前記切替え手段から前記構成制御手段への指示は、 前記プロセッサエレメ ント間通信パスを介して送信される

ことを特徴とするマルチプロセッサシステム。

[15] 請求項 1に記載のマルチプロセッサシステムであって、

プロセッサエレメントの故障により停止した処理に係わる情報を表示する 表示手段をさらに備える

ことを特徴とするマルチプロセッサシステム。

[16] 請求項 1に記載のマルチプロセッサシステムであって、

プロセッサエレメントの故障により停止した処理に係わる情報を格納する 不揮発性メモリをさらに備える

ことを特徴とするマルチプロセッサシステム。

[17] 請求項 1に記載のマルチプロセッサシステムであって、

各プロセッサエレメントがアクセス可能な複数のメモリと、

メモリに係わる故障が検出されたプロセッサエレメントを停止させた後に 、 故障と判定されたメモリ以外のメモリを使用して他のプロセッサエレメン トを再ブー卜する再ブー卜手段をさらに備える

ことを特徴とするマルチプロセッサシステム。

[18] 請求項 1に記載のマルチプロセッサシステムであって、

前記監視手段および切替え手段の動作を記述したプログラムを搭載する ことを特徴とするマルチプロセッサシステム。

[19] 複数のプロセッサエレメントを備えるマルチプロセッサシステムにおける 故障発生時の回復方法であって、

各プロセッサエレメン卜の状態を監視し、

第 1の処理を実行している第 1のプロセッサエレメントにおいて故障が検 出されたときに、 前記第 1の処理よりも優先度の低い第 2の処理を実行して いる第 2のプロセッサエレメントに前記第 1の処理を実行させる、

ことを特徴とするマルチプロセッサシステムにおける故障発生時の回復方 法。