WO2008072350A1

WO2008072350A1 - 二重化タイマを用いたシステム監視装置、および監視方法

Info

Publication number: WO2008072350A1
Application number: PCT/JP2006/325085
Authority: WO
Inventors: Yoshio Hirose
Original assignee: Fujitsu Limited
Priority date: 2006-12-15
Filing date: 2006-12-15
Publication date: 2008-06-19
Also published as: JP4983806B2; JPWO2008072350A1

Abstract

　タイマに対するタイムアウト時間設定のオーバヘッドを削減し、二重化されたタイマのうちで故障したタイマの識別を可能にすることを目的とし、タイマから割込み信号を出力し、監視対象システム内のプロセッサにあらかじめ定められた処理を実行させるシステム監視装置が、共通で同一の時間間隔毎に、かつその時間間隔の半分だけ互いにずれた時点で割込み信号を出力する動作を、タイムアウト時間のリロード機能を用いて繰り返す２つのタイマを備える。

Description

二重化タイマを用いたシステム監視装置、および監視方法

技術分野

[0001] 本発明はシステムの監視方式に係り、タイマからの割込みに対応して定期的に定められた処理を実施しているシステムにおいて、タイマの故障を適切に検出し、システム停止などの必要な処理を行うことを可能とするシステム監視装置、および監視方法に関する。

背景技術

[0002] システムに定期的に何かの動作をさせたい場合、タイマを使って定期的にシステムを制御するプロセッサの CPUに割込みをかける、といった方法が一般的に用いられている。またシステムの信頼性を上げるために、多少コストがかかっても、信頼性向上のための制御などを 2重化、 3重化することもよくとられる手法である。 CPUに割込みをかけるタイマについても同様で、タイマの信頼性を上げるためにタイマを 2重化して V、る従来例として次のような文献がある。

[0003] 特許文献 1では、図 1に示すような構成で、 2つのタイマに異なるタイムアウト時間を設定する。図 2に示すように、タイマ T1にはタイムアウト時間として Aという値を、タイマ T2にはタイムアウト時間として Bという値を設定する。ここで Aく Bとする。ここでタイマは 0からカウントアップして、設定したタイムアウト時間になると割込みをあげる構成になっているものとしている。タイマをセットして A時間経過後、タイマ T1がタイムァゥトして CPUに割込みがかかる。割込みが力かると CPUはタイマ T2のタイマ値をリードする。リードしたタイマ値を A 'とすると、タイマ 2が正常であれば、 A< A 'の関係が成り立っているはずである。従って

•タイマ T1より先にタイマ T2がタイムアウトする、

'タイマ T1のタイムアウト後、タイマ T2のタイマ値が A< A，の関係を満たしていない、ことを検出すると、タイマが故障したと判断することができる。

[0004] 特許文献 1では、タイマ T1がタイムアップして両方のタイマが正常に動作していると判断した場合は、次回はタイマ T2にタイムアウト時間 Aを、タイマ T1にタイムアウト時間 Bを設定して、両者のタイマの機能を、 1回ごとに入れ換えている。そこで、 1回のタイマ力の割込みに対応して本来実行されるべき作業に必要な処理を CPUに行わせるのに、タイマの設定を 2回ずつ行う必要が有り、処理が煩雑であった。

[0005] 別の従来技術としての特許文献 2における構成を図 3に、タイムチャートを図 4に示す。この文献では、 2つのタイマ Tl、タイマ Τ2に、タイマ T1の方が先にタイムアウトするように、タイムアウト時間をセットする。まずタイマ T1がタイムアウトする力 MPUは割込みを受けて、作業フラグを ONにするとともに、タイマ T1をタイマ T2がタイムァゥトして力もタイムアウトするように、タイムアウト時間を再セットする。次にタイマ T2がタィムアウトして割込みが発生すると、 MPUは作業フラグが ONであるかどうか確認し、 ONであれば作業フラグを OFFにする。この時作業フラグがもともと OFFであればタイマ T1が故障したと判断する。次に正常であれば再びタイマ T1がタイムアウトして割込みが発生する。 MPUは作業フラグが OFFである力確認し、 ONになっているとタイマ T2が故障したと判断する。 OFFの場合はもとに戻って、タイマ Tl、タイマ Τ2をタイマ T1が先にタイムアウトするようにタイムアウト時間をセットする。特許文献 2でも、 1回のタイマ力の割込みに対応して実行されるべき作業に必要な処理を MPUに行わせるのに、タイマの設定を例えば 3回行う必要が有り、処理が煩雑であった。

[0006] このように特許文献 1、特許文献 2の従来技術では、タイマからの割込みに対応して実行されるべき作業に必要な処理をプロセッサに行わせるためにタイマの設定を複数回ずつ行う必要があり、処理が煩雑になるという問題点があった。

[0007] またどちらの特許文献においても、二重化されたタイマのいずれに故障が発生したかを判別することができず、タイマの故障発生時には基本的にはシステムをシャットダゥンするしか方法はないという問題点があった。特許文献 2においては、故障タイマの判別が可能と記述されて、るが、この判別はタイマが故障して割込みをあげなくなつたような場合に対応しており、例えばタイマが設定された時間よりも早く割込みをあげるようになったような場合には必ずしも故障タイマの判別ができるとは限らな、とヽう問題点があった。

特許文献 1：特開昭 60— 059447 「マイクロコンピュータシステム」

特許文献 2 :特開平 11— 65986 「タイマの障害検出システム及び検出方法並びに検出方法を実行するためのプログラムを記録した記録媒体」

発明の開示

[0008] 本発明の目的は、上述の問題点に鑑み、タイマに対するタイムアウト時間設定のォーバヘッドを削減することと、二重化されたタイマのうちで故障したタイマの判別を可會とすることである。

[0009] 本発明のシステム監視装置は、タイマカゝら割込み信号を出力し、監視対象システム内のプロセッサに予め定められた処理を実行させるものであり、共通の時間間隔（2T )毎に、その時間間隔が互いに半分 (T)ずれた時点で割込み信号を出力する動作を、タイムアウト時間のリロード機能を用いて繰り返す 2つのタイマを少なくとも備えるものであって、プロセッサが 2つのタイマのいずれ力からの割込み信号の入力が繰り返される毎に、 2つのタイマの故障の有無を判定する。

[0010] また本発明のシステム監視装置は、いずれかのタイマ力もの割込み信号の入力に対応して、その割込み信号を出力したタイマの識別子を示すフラグを格納するフラグレジスタをさらに備え、プロセッサがタイマからの次の割込み信号の入力に対応して、その割込み信号を出力したタイマの識別子とフラグレジスタの格納内容とを比較して、タイマ故障の有無を判定する。

[0011] さらに本発明のシステム監視装置は、 2つのタイマ力もの割込み信号の入力に対応して、システム内に備えられているシステム時計が示す時刻を格納するためのメモリをさらに備え、プロセッサが前述のタイマ識別子の比較の結果と、次の割込み信号の入力時のシステム時計の示す時刻とメモリに格納されている前回の割込み信号入力時刻との時間差とに基づいて、二重化されたタイマのうちの故障タイマの識別を行う。

[0012] このように本発明においては、基本的にタイマに対するタイムアウト時間の設定がタイマのリロード機能を用いて行われ、タイマに対するタイムアウト時間の設定のためのオーバヘッドを削減することができる。

[0013] また割込み信号を出力したタイマの識別子とフラグレジスタの格納内容との比較によって、例えば割込み信号を出力しなくなったタイマを識別することや、割込み信号の入力時点と前回の割込み信号の入力時点との比較によって、例えば設定されたタィムアウト時間としての 2Tと大きく異なる時間間隔で割込みをあげた故障タイマを識別することが可能となる。

[0014] 本発明によれば、タイマに対するタイムアウト時間のリロード機能を利用して、タイマに対するタイムアウト時間設定のオーバヘッドを従来技術に比較して大きく削減することが可能となる。またフラグレジスタの格納内容やシステム時計の示す時刻を利用して、二重化されたタイマのうちの故障タイマの識別を行うことが可能となり、一方のタイマが故障しても、故障してヽな、タイマを利用してシステム動作を継続することも可能となり、二重化タイマを用いたシステム監視装置の実用性向上に寄与するところが大きい。

図面の簡単な説明

[0015] [図 1]第 1の従来例におけるシステム監視方式の構成ブロック図である。

[図 2]第 1の従来例におけるタイムアウト時間設定方法の説明図である。

[図 3]第 2の従来例におけるシステム監視方式の構成ブロック図である。

[図 4]第 2の従来例におけるタイムアウト時間設定方法の説明図である。

[図 5]第 1の実施例の構成ブロック図である。

[図 6]第 1の実施例におけるタイマ故障検出処理のメインルーチンのフローチャートである。

[図 7]図 6に対する割込み処理 1のフローチャートである。

[図 8]図 6に対する割込み処理 2のフローチャートである。

[図 9]高信頼タイマの第 1の例の構成ブロック図である。

[図 10]高信頼タイマの第 2の例の構成ブロック図である。

[図 11]第 2の実施例の構成ブロック図である。

[図 12]第 2の実施例における割込み処理 1のフローチャートである。

[図 13]第 2の実施例における割込み処理 2のフローチャートである。

[図 14]第 3の実施例の構成ブロック図である。

[図 15]第 3の実施例における割込み処理 2のフローチャートである。

発明を実施するための最良の形態

[0016] 図 5は、本発明の第 1の実施例の構成ブロック図である。同図において第 1の実施例は 2つのタイマ 1、 2、割込みコントローラ 3、プロセッサ 4を備え、プロセッサ 4と 2つのタイマ 1、 2との間はバス 5によって接続され、タイマ 1、 2からはそれぞれ割込み通知信号が割込みコントローラ 3に与えられ、割込みコントローラ 3からはプロセッサ 4に対して割込み制御信号が与えられる構成となっている。プロセッサ 4は、タイマ 1、 2からの割込みに対応してタイマの故障の有無を判定するとともに、割込み処理として予め定められた作業を実行するために必要な処理を実行する CPU6を備えると共に、図示しないメモリとしての ROMや RAM、入出力部などを備えることは当然である。

[0017] 図 5において本発明の二重化タイマを用いたシステム監視装置は、タイマ 1、 2、および割込みコントローラ 3によって構成されると考えることもでき、また図 5の構成要素をすベて備えたプロセッサシステムとして 1つのチップ上に形成されると考えることもできる。

[0018] なお割込みコントローラ 3は、タイマ 1とタイマ 2とから同時に割込み (通知)信号が出力されたとき、あるいは片方のタイマ力も割込み信号が出力され、それに対応した割込み処理が実行されている間に他方のタイマ力割込み信号が出力された場合の調停動作などを行い、その調停動作の結果として、割込み信号を出力したタイマの識別子などを示す割込み制御信号をプロセッサ 4の内部の CPU6に出力するものであり、本発明のタイマ故障検出方式とは直接には関係のないものである。

[0019] 図 6から図 8は、第 1の実施例におけるタイマ故障検出処理のフローチャートである。まず図 6のメインルーチンにおいて処理が開始されると、ステップ S1でタイマ 1のタィムアウト時間が T、タイマ 2のタイムアウト時間が 2Τに設定される。この時、タイマ 1はリロード機能がない状態に、タイマ 2はリロード機能がある状態に設定される。リロード機能とはタイマがタイムアウトしたときに、例えばリロード用レジスタに予め設定されたタイムアウト時間を自動的にタイマに再設定し、タイマとしての機能を継続する機能であり、ステップ S1でタイムアウト時間が 2Τに設定されたタイマ 2は時間 2Τ毎にタイムアウトし、定期的に割込み信号を割込みコントローラ 3に与えることになる。

[0020] 続いてステップ S2でタイマ 1からの割込み待ち状態となる力ここでタイマ 1から割込み信号が出力されたとき、すなわち割込みが上がった場合には、 CPU6によって割込み処理 1が実行されるように、プロセッサ 4の内部で図示しないメモリに保持されて、る割込みテーブルの内容が設定される。 [0021] 図 6のメインルーチンのスタート時点から時間 Tが経過すると、タイマ 1がタイムアウトし、割込みをあげることによって、サブルーチンとしての図 7の割込み処理 1が開始される。この割込み処理 1では、まずステップ S6でタイマ 1のタイムアウト時間がメインル一チンスタート時点の Τではなく 2Τに設定され、タイマ 1に対してもリロード機能ありの設定が行われる。さらに次の割込みの時点で、前回どちらのタイマ力割込みがあがつて、たかを識別するためのフラグとしての、プリ一ピアス ·タイマ ·フラグを格納するフラグレジスタ力例えばタイマ 1、タイマ 2と割込みコントローラ 3とによって構成されるシステム監視装置内に用意され、この時点で割り込みをあげたタイマ 1の識別子としての" 0"がそのフラグとして、プロセッサ 4内の CPU6によって、ノス 5を介してフラグレジスタにセットされる。

[0022] 続いてステップ S7で前述の割込みテーブルの内容力割込みに対応して割込み処理 2を実行するように変更され、タイマ割込みに対して本来実行すべき予め定められた作業を行うための処理が起動され、メインルーチンへのリターンが行われる。以上の処理によって、タイマ 1とタイマ 2は共通で同一の時間間隔 2Τ毎に、かつその時間間隔の半分、すなわち時間 Τだけ互いにずれた時点で、割込み信号を割込みコントローラ 3に出力することになる。

[0023] 続いて図 6のステップ S3でタイマ 1、またはタイマ 2からの割込み待ちの状態となる。

2つのタイマが正常に動作している場合には、タイマ 2がさらに時間 Τの後にタイムァゥトし、割込みをあげることによって、割込み処理 2が実行される。

[0024] 図 8は、サブルーチンとしての割込み処理 2のフローチャートである。割込み処理 2 力 Sスタートすると、まずステップ S 10で割込みをあげたタイマの識別子 (タイマ ID)がチェックされ、ステップ S 11でそのタイマ IDとプリ一ピアス ·タイマ ·フラグの値が一致するか否かが判定される。

[0025] タイマの動作が正常であれば、ここではタイマ IDの値はタイマ 2の IDとしての" 1"であり、プリ一ピアス 'タイマ'フラグの値は" 0"であるために、これらの値は一致せず、ステツプ S 12でプリ一ピアス 'タイマ'フラグの値が反転、すなわち" 1"とされ、最後にタイマ割込みに対応して本来実行すべき作業に必要な処理が起動されて、メインルーチンへのリターンが行われる。 [0026] タイマが正常動作を続けている間は、さらに時間 Tの後にタイマ 1がタイムアウトし、同様の割込み処理 2が繰り返されることになる。タイマの故障として、例えばタイマ 1が故障して割込みをあげなくなった場合には、タイマ 2から連続して割込みがあがるようになる。あるいはタイマ 1が設定された時間より短い時間でタイムアウトを起こしてしまうようになった場合には短くなつた度合いにもよる力ある程度時間が経過するとタイマ 1から連続して割込みがあがるようになる。

[0027] このようにタイマの故障によって、どちらかのタイマ力も連続して割込みがあがるようになると、図 8のステップ S11でタイマ IDとプリ一ピアス 'タイマ'フラグとの値が一致すると判定され、ステップ S 13でシステムの停止が指示される。れば、故障したタイマを切り離し、故障していないタイマを用いてシステム動作を継続することもできるが、前述のように故障の仕方によって、故障した方のタイマ力連続して割込みがあがる場合と、故障して、な、タイマ力連続して割込みがあがる場合との両方のケースが存在するために、この第 1の実施例では故障タイマの識別を行うことができず、どちらかのタイマが故障した時点でシステム停止が行われる。

[0029] この第 1の実施例では、機能的には従来例と同等のシステム監視機能を実現することができる。従来例では 1回のタイマ割込み処理に対応して、タイマに対して少なくとも 2回のタイムアウト時間の設定を毎回行うことが必要であった力第 1の実施例ではタイマのリロード機能を利用することによって、タイムアウト時間設定の回数を大幅に削減することができ、システム監視装置におけるタイムアウト時間設定のオーバへッドを格段に少なくすることが可能となる。

[0030] 図 5の実施例ではリロード機能を持つ一般的なタイマを 2個使うために、タイマ 1に対して最初にタイムアウト時間として Tを設定し、次に 2Tを設定する処理が必要となる。処理をさらに簡略ィ匕するために図 9、または図 10の高信頼タイマを使用することによって、例えばシステムの起動時に CPU6から 2つのタイマ 1、タイマ 2に 1つのコマンドを与えるだけで 2つのタイマに対するタイムアウト時間の設定を 1回で行うことが可能となる。

[0031] 図 9は、高信頼タイマの第 1の構成例のブロック図である。同図において高信頼タイマ 10は 2つのタイマ 11と 12とによって構成され、図 5の CPU6からはバス 5を介して同一のコマンドが 2つのタイマに対して与えられる。割込み信号がタイマ 11とタイマ 1 2とからそれぞれ割込みコントローラ 3に与えられる点は図 5と同じである。

[0032] 2つのタイマ 11、 12のうちで、タイマ 12はリロード機能を持つ一般的なタイマと同一の構成を持っている。すなわちタイマ 12に対して CPU6からタイムアウト時間として 2 Tを設定するためのコマンドが与えられると、その値 2Tがリロード用レジスタ 15に格納されると共に、例えばセレクタを介してカウンタ 16に対して設定される。カウンタ 16 がダウンカウンタであるとすると、カウントダウンしてカウント時間が 2Tに達し、カウント値が" 0"となった時点で、 0検出回路 17から割込み信号が割込みコントローラ 3に対して出力されることになる。そしてこの 0検出の時点で、 0検出回路 17からカウンタ 16 の図示しな!、セット端子に対してセット信号が与えられ、リロード用レジスタ 15の格納内容がカウンタ 16にセットされ、カウントダウンの動作が続行される。

[0033] これに対してタイマ 11は、本発明に特有の構成として、さらに右 1ビットシフト回路 1 8を備えている。このタイマ 11においては、バス 5を介して CPU6から時間 2Tを設定するコマンドが与えられると、右 1ビットシフト回路 18によってその値を 2で割る演算が実行され、実行結果の時間 Tの値が、例えばセレクタを介してカウンタ 16に設定され、カウンタ 16のカウント時間が Tに達し、カウント値が" 0"となると、 0検出回路 17から割込み信号が割込みコントローラ 3に与えられる。またコマンドの入力時点でリロード用レジスタ 15には時間 2Tの値が格納される。そして 0検出回路 17からカウンタ 16に対してセット信号が与えられた時点で、セレクタを介してリロード用レジスタ 15に格納されている時間 2Tの値がカウンタ 16に設定され、カウンタ 16のカウントダウンの動作が行われることになる。

[0034] 図 10は、高信頼タイマの第 2の例の構成ブロック図である。同図において高信頼タイマ 20は 2つのタイマ 21と 22によって構成されている。これらの 2つのタイマはいずれも従来力も使用されている一般的なものではなぐそれぞれ左 1ビットシフト回路 25 を備え、本発明に特有の構成を持っている。

[0035] 図 10の高信頼タイマ 20に対しては、図 5の CPU6から時間 Tをタイムアウト時間として設定することを指示するコマンドが与えられる。タイマ 21側ではその時間 Tの値がカウンタ 16に設定されると共に、 2を乗算する演算を行う左 1ビットシフト回路 25によつて 2倍された値 2Tがリロード用レジスタ 15に格納される。そしてカウンタ 16のカウント値が" 0"になった時点で、前述と同様にリロード用レジスタ 15の内容がカウンタ 16 にセットされることになる。

[0036] タイマ 22側では、 CPU6からのコマンドの入力時点で左 1ビットシフト回路 25によつて 2Tの値が得られ、その値がそのままカウンタ 16に設定され、同時にリロード用レジスタ 15にも 2Tの値が格納される。カウンタ 16がカウントダウンし、 0検出回路 17によつてカウント値としての" 0"が検出されると、リロード用レジスタ 15に格納されている内容がカウンタ 16にセットされ、カウントダウンの動作が続行される。

[0037] 以上に説明した第 1の実施例では、 2つのタイマのうち故障したタイマの識別を行うことができな、ため、タイマの故障が検出された時点でシステムの動作が停止される。これに対して、 2つのタイマのうちで故障したタイマの識別を可能とし、一方のタイマが故障しても、他方のタイマの機能を利用してシステムの動作を続行することが可能な実施例を第 2の実施例として説明する。なお、第 1の実施例においてフラグレジスタはシステム監視装置内に備えられるものとした力図 5のプロセッサ 4内にフラグレジスタを備えることも当然可能である。

[0038] 図 11は、第 2の実施例の構成ブロック図である。同図を第 1の実施例を示す図 5と比較すると、システム全体としての統一的な時刻を示すシステム時計 30がバス 5にさらに接続されている点が異なっている。そしてこの第 2の実施例では、プロセッサ 4の内部の CPU6が、実施例 1におけるタイマ IDとプリ一ピアス'タイマ ·フラグの値との比較に加えて、割込み制御信号が割込みコントローラ 3から与えられた時刻と、例えばシステム監視装置内で図示しな、メモリに格納されて、る前回の割込み制御信号の入力時刻 (Tprev)の値を比較することによって、 2つのタイマのうちでどちらのタイマが故障したかを判別する処理を行うことになる。

[0039] 第 2の実施例におけるタイマ故障検出処理のメインルーチンのフローチャートは第 1 の実施例に対する図 6と同じであり、その説明を省略する。

図 12は、第 2の実施例における割込み処理 1のフローチャートである。同図の処理は、第 1の実施例における図 6のステップ S2と同様に、タイマ 1からの割込みがあがつた時点で開始される処理であり、まずステップ S16で図 7のステップ S6と同様にタイマ 1のタイムアウト時間が 2Tに設定され、またリロード機能ありの状態が設定され、プリ一ピアス ·タイマ ·フラグの値がタイマ 1の識別子を示す" 0"に設定された後に、ステップ S17で図 7のステップ S7における処理に加えて、システム時計の示す現在時刻の値 Tnowがリードされ、その値が Tprevの値を格納する、図示しないメモリに格納されて、メインルーチンへのリターンが行われる。

[0040] 図 13は、第 2の実施例における割込み処理 2のフローチャートである。メインルーチンとしての図 6のステップ S3でタイマ 1、またはタイマ 2からの割込みがあがると、ステップ S 20で割込みをあげたタイマの識別子 (タイマ ID)がチェックされ、また図 11のシステム時計 30の指示する時刻の値 (Tnow)カ^ードされ、ステップ S21でタイマ IDとプリ一ピアス ·タイマ ·フラグの値が一致する力否かが判定される。

[0041] 両者の値が一致しない場合にはタイマの動作は正常なものであると判定され、ステップ S 22でプリ一ピアス ·タイマ ·フラグの値が反転され、ステップ S 23で Tprevの値を格納するメモリに Tnowの値が代入され、タイマ割込みに対して実行すべき本来の作業に必要な処理が起動されて、メインルーチンへのリターンが行われる。 2つのタイマが正常に動作している間は、割込み処理 2としてステップ S20からステップ S23までの処理が繰り返される。

[0042] タイマ 1、タイマ 2のいずれかに故障が発生すると、前述のように同一のタイマ力連続して割込みがあがることになる。同一のタイマ力も割込みがあがった場合には、ステツプ S 21でタイマ IDの値とプリ一ピアス ·タイマ ·フラグの値が一致すると判定され、ステップ S24で現在の時刻 Tnowと Tprevの値を格納するメモリの値との差が Tdiffとして計算され、ステップ S25でその値が 2つのタイマの定常的な割込み周期 2T程度に一致するか否かが判定される。実際にはある程度の誤差があると考えられるので、例えば士 10%程度の範囲であれば Tdiffと 2Tとが一致したものと判定され、ステップ S26で割込みを上げな力つた側のタイマが故障したものとしてそのタイマが切り離され、割込みをあげた方のタイマのタイムアウト時間が Tに再設定され、リロード機能ありの状態とされる。そして Tprevを格納するメモリに Tnowの値が代入され、タイマ割込みに対する本来の作業に必要な処理が起動されて、メインルーチンへのリターンが行われる。

[0043] ステップ S21でタイマ IDの値とプリ一ピアス ·タイマ ·フラグの値が一致したと判定された以後のステップ S25の判定において、 Tdiffの値が 2Tに一致しないと判定されると、ステップ S27で Tdiffの値が T程度であるか否かが ± 10%の誤差の範囲で判定され、両者が一致していると判定されると、以前にステップ S26でタイムアウト時間が Tに再設定された、切り離されて、な、方のタイマが正常に動作して、るものとして、ステップ S23で Tprevを格納するメモリに Tnowの値が代入され、タイマ割込みに対応する本来の作業に必要な処理が起動されて、メインルーチンへのリターンが行われる。

[0044] タイマが設定タイムアウト時間よりも短い時間で割込みをあげるような壊れ方をすると、 Tdiffが、例えば 2Tにも、また Tにも一致しない値となる。例えばメインルーチンの図 6のステップ S2でタイマ 1からの割込みがあがり、図 12の割込み処理 1が終了してメインルーチンのステップ S3で、タイマ 2からの割込みがあがる前にタイマ 1からの割込みがあがったとすると、図 10のステップ S21でタイマ IDとプリ一ピアス'タイマ ·フラグの値が一致すると判定される力 Tdiffの値が 2Tにも、また Tにも一致しないものとすると、ステップ S28の処理に移行し、割込みをあげなかった方のタイマ、ここではタイマ 2が稼働中であるカゝ否かが判定され、稼働中である場合には、ステップ S29で割込みをあげた側のタイマ、すなわちタイマ 1が切り離されて、メインルーチンへのリタ一ンが行われる。この時、割込みをあげな力つた方のタイマ 2が稼働中でない場合には、ステップ S30で両方のタイマが故障したものと判定され、システム停止の指示が行われる。

[0045] ステップ S29でタイマ 1が切り離され、タイマ 2が稼働中である状態で再びメインルーチンの図 6のステップ S3でタイマ 2からの割込みがあがると、ステップ S21においてタイマ IDはタイマ 2の識別子であり、プリ一ピアス ·タイマ ·フラグの値はタイマ 1の識別子のままとなっているために、両者は一致しないと判定され、ステップ S22でプリービァス ·タイマ ·フラグの値が反転され、ステップ S 23で Tprevを格納するメモリに Tnow が格納され、タイマ割込みに対する本来の作業に必要な処理が起動され、メインル一チンへのリターンが行われる。 [0046] すでにタイマ 1が切り離されているために、メインルーチンの図 6のステップ S3で検出される次の割込みはタイマ 2からの割込みである。この割込みがあがると、ステップ S21でタイマ IDとプリ一ピアス 'タイマ'フラグとの値が一致していると判定され、ステツプ S24で求められる Tdiffの値がステップ S25で 2T程度であると判定され、ステップ S 26の処理の後にメインルーチンへのリターンが行われる。ただしここでは割込みをあげなかった側のタイマ、すなわちタイマ 1はすでに切り離されているので、タイマ切り離しの処理は省略され、その他の処理が行われた後にメインルーチンへのリターンが行われる。

[0047] 以上説明したように、この第 2の実施例ではシステム全体で統一的な時刻を示すシステム時計を活用することによって、 2つのタイマのうちどちらが故障したかの判別が可能となり、 1つのタイマが故障してもシステム動作を継続することが可能となる。ただし 1つのタイマによる監視機能を用いてシステム動作を継続している場合には、例えば残ったタイマが故障して割込みをあげなくなってもそれを検出できず、故障検出機能が十分に働かないために、 1つのタイマを用いての動作は、例えばシステムの停止が困難であるときの緊急避難的な処置である。基本的には片方のタイマの故障検出時に、例えばアラームを発生することによってシステムの管理者に注意を促し、システムを停止できるタイミングになったらシステムの動作を停止し、故障したタイマを含む基板の交換などの修理を行うことが必要である。

[0048] また第 2の実施例では、システム内の時刻を統一的に示すシステム時計を利用してタイマ故障の判別を行った力必ずしもシステム時計を使う必要はなぐ同様のカウンタなどがシステムに搭載されていれば、それを使うことも当然可能である。さらにシステム時計の示す時刻を格納するメモリを、システム監視装置内でなぐ図 11のプロセッサ 4の内部に備えることも当然可能である。

[0049] 次に第 3の実施例について説明する。この第 3の実施例は、本発明のシステム監視方式を高信頼組込みマルチプロセッサシステムに適用したものである。図 14は、第 3 の実施例の構成ブロック図である。同図においては複数、ここでは 4個のプロセッサ' エレメント（PE) 4力も 4、および共有メモリ 35がマルチプロセッサシステムを構成し

0 3

ており、各プロセッサ 'エレメント 4力 4に対して、図 5の第 1の実施例におけると同様に割込みコントローラ 3が接続される構成となっている。

[0050] この第 3の実施例では、マルチプロセッサシステムとしての信頼性を向上させるために、 4つのプロセッサ ·エレメント（PE) 4力 4力ある決められた時間毎に共有メモ

0 3

リ 35内の所定のデータ、すなわち生存情報を更新するものとする。各 PEはタイマからの割込みに対応して起動されるチェックルーチンによって、共有メモリ 35に書き込まれた各 PEの生存情報をチェックし、更新されて!、な、ものがあれば PEは故障しているものと判断する。

[0051] 共有メモリ 35に書き込まれる生存情報は、タイマ力の割込みがある毎に更新されるものであればどのようなデータでもよぐ各 PEに内蔵されるローカルなタイマの値を使うことも可能である。第 3の実施例でタイマを二重化していない場合には、タイマが故障してしまうと各 PEの内部でチヱックルーチンが起動されず、 PEの故障を検出することができなくなる。

[0052] この第 3の実施例では複数個、ここでは 4個の PEの中でマスタとなる PEを決めておき、マスタ PEが故障した PEを切り離すことによって、システムの信頼性を確保するものとする。マスタ PEの決め方はどのような方法を用いてもよぐ例えば識別子 (ID)が最も小さ、PEがマスタとなると、うルールを用いることもできる。マスタ PEが故障する場合もあるため、例えばマスタ PEの次に IDが小さい PEが次のマスタ候補になるという規則を決めておき、マスタ PEが故障した場合には次のマスタ候補の PEがマスタ P Eを切り離し、以後マスタ PEとして動作するものとする。

[0053] 第 3の実施例におけるタイマ故障検出処理のメインルーチン、および割込み処理 1 のフローチャートは第 1の実施例に対する図 6、図 7と同じであるものとする。ただしここでは図 14の PE4力 4のそれぞれが、図 6のメインルーチン、図 7の割込み処理 1

0 3

、および図 15で説明する割込み処理 2を基本的に実行するものとし、前述のように、例えば故障 PEの切り離しやシステム全体の緊急停止指示などに必要な処理は、マスタ PEだけが行うものとする。メインルーチン、割込み処理 1、割込み処理 2のすベてをマスタ PEだけが実行することも可能である力マスタ PEが故障した場合の処理の引継ぎなどが面倒になるため、ここではメインルーチンを含む処理の大部分が各 PE によって並列的に実行されるものとして、フローチャートを説明する。 [0054] 図 15は、第 3の実施例における割込み処理 2のフローチャートである。メインルーチン、すなわち図 6のステップ S3でタイマ 1、またはタイマ 2からの割込みがあがると、割込み処理 2がスタートし、まずステップ S35で割込みをあげたタイマの IDがチェックされ、ステップ S36で自 PEの生存情報を含めて、すべての PEの生存情報 (各 PE個別の共有メモリの値）がチェックされ、ステップ S37で故障と判定された PEの数が" 0"、 " 1"、またはそれ以上のいずれであるかが判定される。

[0055] 故障した PEの数が" 0"である場合には当然マスタ PEも正常であり、各 PEはステツプ S38で自分がマスタ PEであるか否かを判定し、マスタ PEでな!/、場合にはメインル一チンへのリターン動作を実行する。そしてマスタ PEだけがステップ S39以降の処理を実行する。

[0056] すなわちマスタ PEによってステップ S39で、ステップ S35でチェックされたタイマ ID とプリ一ピアス ·タイマ ·フラグの値が一致するか否かが判定され、一致しな、場合にはタイマの動作が正常であるため、ステップ S40でプリ一ピアス ·タイマ ·フラグの値が反転されて、メインルーチンへのリターンが行われる。

[0057] ステップ S39でタイマ IDとプリ一ピアス 'タイマ'フラグの値が一致する場合には、ステツプ S41力ら S47で、第 2の実施例に対する図 13のステップ S24から S30までに類似した処理が行われる。すなわち第 2の実施例でシステム時計の示す時刻を用いて Tdiffが計算されたのに対して (もちろん本実施例でもシステム時計の値を用いても構わない）、第 3の実施例ではステップ S41で共有メモリに格納された生存情報から Tdiffの値が計算され、ステップ S42でその値が ± 10%以内の誤差を含んで 2T程度であるか否かが判定され、 2T程度であれば、ステップ S43で割込みをあげなかつた側のタイマが切り離され、割込みを上げたほうのタイマのタイムアウト時間が Tに再設定された後に、ステップ S40でプリ一ピアス 'タイマ'フラグの値が反転されて、メインルーチンへのリターンが行われる。

[0058] Tdiffの値が 2T程度でな!、場合には、ステップ S44でその値が T程度であるか否かが判定され、 T程度である場合にはすでに 1つのタイマが切り離され、残りのタイマによって動作が継続されているものと判定されて、メインルーチンへのリターンが行われる。 T程度でない場合には、ステップ S45で割込みをあげな力つたほうのタイマが稼働中であるか否かが判定され、稼働中である場合にはステップ S46で割込みをあげた側のタイマが切り離されて、メインルーチンへのリターンが行われる。割込みをあげな力つた方のタイマが稼働中でない場合には、 2つのタイマがともに故障したことになるため、ステップ S47でシステムの緊急停止指示が行われる。

[0059] ステップ S37で故障と判定された PEの数が 1個である場合には、ステップ S50で故障した PEがマスタ PEであるか否かが判定され、マスタ PEでな!/、場合にはステップ S 51で自分がマスタ PEであるか否かが判定され、マスタ PEでない場合にはメインルーチンへのリターンが行われる。

[0060] ステップ S50でマスタ PEが故障したと判定されると、ステップ S52で自分が次のマスタ PEの候補であるカゝ否かが判定され、その候補でな!、場合にはメインルーチンへのリターンが行われ、その候補である場合、およびステップ S51で自分がマスタ PEであると判定された場合には、ステップ S53でマスタ PE (あるいは新しいマスタ PE)によつて故障 PEが切り離され、ステップ S40でプリ一ピアス ·タイマ ·フラグの値が反転されて、メインルーチンへのリターンが行われる。

[0061] ここで故障と判定された PEの数が 1個の場合には、タイマ IDとプリ一ピアス 'タイマ. フラグの値の比較などのタイマ故障検出のための処理は実行されないものとする。すなわち、例えば lms程度の短、時間間隔で PEの故障判定を繰り返すものとすれば、その短い時間間隔の間に PEとタイマとが共に故障する確率は非常に小さいものと考えられるため、本実施例では故障と判定された PEの数が 1個だけの場合には、タイマの故障検出に必要な処理を行わないものとする。

[0062] ステップ S37で故障と判定された PEの数が 2個以上の場合には、ステップ S60でタイマ IDとプリ一ピアス ·タイマ ·フラグの値とが比較され、一致してヽる場合にはタイマが故障して所定の周期より短い時間で連続して割込みをあげ、各 PEの生存情報が更新されなかったものと判断する。そしてステップ S61で自分がマスタ PEであるカゝ否かが判定され、マスタ PEでない場合にはメインルーチンへのリターンが行われる。マスタ PEである場合には、ステップ S62で割込みをあげなかった方のタイマが稼働中であるか否かが判定され、稼働中でない場合には両方のタイマが故障したことになるのでステップ S63でシステムに対して緊急停止が指示される。稼働中である場合には、ステップ S64で割込みをあげたタイマが切り離され、割込みをあげな力つた方のタイマのタイムアウト時間が Tに再設定され、ステップ S40でプリ一ピアス 'タイマ'フラグの値が反転された後に、メインルーチンへのリターンが行われる。

[0063] ステップ S60でタイマ IDとプリ一ピアス ·タイマ ·フラグの値が一致しな!、と判定されると、本当に複数の PEが同時に故障したと判断し、以下のステップで緊急停止処理を行う。すなわちステップ S65で自分が故障していない正常の PEで、かつ正常 PEの中で最も IDが小さい PEかが判定され、この 2つの条件を満たす場合にはステップ S6 3で緊急停止の指示が行われる。これは図 14で 4個の PEのうち 2個が故障した状態に対して緊急停止が指示されるものである。

[0064] ステップ S65の条件が成立しな、場合、例えば自分が故障 PEである場合には、ステツプ S66ですベての PEが故障し、かつ自分がマスタ PEであるか否かが判定され、例えば自分がマスタ PEでない場合にはメインルーチンへのリターンが行われる。すベての PEが故障している場合にはリターン後の処理内容が明確ではないが、ここではステップ S66の条件が成立しない場合にはメインルーチンへのリターンが行われるものとする。ステップ S66の条件が成立する場合には、ステップ S63でシステムに対する緊急停止指示が行われる。ここでは単一の PEのみが緊急停止処理を指示した力緊急時であるので全 PEが緊急停止処理を指示してもよ、。

[0065] このように第 3の実施例では、タイマからの割込みに対応してマルチプロセッサシステムを構成する各プロセッサ 'エレメントの故障検出を行うシステムにおいてタイマを二重化することによって、システムの信頼性を上げることが可能となる。

Claims

請求の範囲

[1] タイマ力も割込み信号を出力し、監視対象システム内のプロセッサに予め定められた処理を実行させるシステム監視装置であって、

共通の時間間隔毎に、該時間間隔が互いに半分ずれた時点で割込み信号を出力する動作を、タイムアウト時間のリロード機能を用いて繰り返す 2つのタイマを備え、前記プロセッサが、該 2つのタイマのうちのいずれかのタイマからの割込み信号の入力が繰り返される毎に、該 2つのタイマの故障の有無を判定することを特徴とする二重化タイマを用いたシステム監視装置。

[2] 前記システム監視装置が、前記 2つのタイマのうちのいずれかのタイマ力の割込み信号の入力に対応して、該割込み信号を出力したタイマの識別子を示すフラグを格納するフラグレジスタをさらに備え、

前記プロセッサが、タイマからの次の割込み信号の入力に対応して、該次の割込み信号を出力したタイマの識別子と該フラグレジスタの格納内容とを比較して、タイマ故障の有無を判定することを特徴とする請求項 1記載の二重化タイマを用いたシステム監視装置。

[3] 前記 2つのタイマが、ともに前記タイムアウト時間を格納するリロード用レジスタを備えるとともに、

一方のタイマが、さらに右 1ビットシフト回路を備え、

前記システムの起動時にプロセッサ力送られる前記共通で同一の時間間隔の値のタイムアウト時間の設定を要求するコマンドに対応して、該一方のタイマ内のカウンタに、該右 1ビットシフト回路を介して該時間間隔の半分の値がカウントアウト時間として設定されることを特徴とする請求項 1記載の二重化タイマを用いたシステム監視装置。

[4] 前記 2つのタイマが、ともに前記タイムアウト時間を格納するリロード用レジスタを備えるとともに、

一方のタイマ力前記プロセッサからのバスと該一方のタイマ内のカウンタとの間の 2つの経路のうちで、該リロード用レジスタを介する経路上で、該バスとリロード用レジスタとの間に左 1ビットシフト回路を備え、他方のタイマが前記プロセッサからのバスと該他方のタイマ内のカウンタとの間で、前記リロード用レジスタを介する経路と、介しない経路との 2つの経路の接続点と前記バスの間に接続される左 1ビットシフト回路をさらに備え、

前記システムの起動時にプロセッサ力送られる、前記タイムアウト時間として前記時間間隔の半分の値を設定することを要求するコマンドに対応して、前記一方のタイマ内のカウンタに、前記リロード用レジスタを介しない経路によってカウントアウト時間の設定が行われることを特徴とする請求項 1記載の二重化タイマを用いたシステム監視装置。

[5] 前記システム監視装置が、前記 2つのタイマのうちのいずれかのタイマ力の割込み信号の入力に対応して、前記システム内に備えられてヽるシステム時計の示す時刻が格納されるメモリをさらに備え、

前記プロセッサが、前記タイマ識別子の比較結果と、前記次の割込み信号の入力時のシステム時計の示す時刻と前記メモリに格納されて!、る前回の割込み信号入力時刻との時間差とに基づいて、二重化されたタイマのうちの故障タイマの識別を行うことを特徴とする請求項 2記載の二重化タイマを用いたシステム監視装置。

[6] 前記プロセッサが、前記 2つのタイマのうちで故障と判定された一方のタイマを切り離し、他方のタイマ力ゝらの割込み信号を用いて、前記監視対象システムの動作を継続させることを特徴とする請求項 5記載の二重化タイマを用いたシステム監視装置。

[7] タイマ力も割込み信号を出力し、監視対象システム内のプロセッサに予め定められた処理を実行させるシステム監視方法であって、

2つのタイマ力共通の時間間隔毎に、該時間間隔が互いに半分ずれた時点で割込み信号を出力する動作を、タイムアウト時間のリロード機能を用いて繰り返し、前記プロセッサが、該 2つのタイマのうちのいずれかのタイマからの割込み信号の入力が繰り返される毎に、該 2つのタイマの故障の有無を判定することを特徴とする二重化タイマを用いたシステム監視方法。

[8] 前記システムの起動時に前記プロセッサ力タイマに対するタイムアウト時間として、前記 2つのタイマのうちの一方に前記共通で同一の時間間隔の半分の値を前記リロード機能を無効として設定し、他方のタイマに該同一の時間間隔の値をリロード機能を有効として設定し、

該一方のタイマが最初の割込み信号を出力した時点で、該一方のタイマのタイムァゥト時間を前記同一の時間間隔の値に、前記リロード機能を有効として再設定することを特徴とする請求項 7記載の二重化タイマを用いたシステム監視方法。

[9] 前記 2つのタイマのうちの、ずれかのタイマ力の割込み信号の入力に対応して、該割込み信号を出力したタイマの識別子を示すフラグをフラグレジスタに格納し、前記プロセッサが、タイマからの次の割込み信号の入力に対応して、該次の割込み信号を出力したタイマの識別子と該フラグレジスタの格納内容とを比較して、タイマ故障の有無を判定することを特徴とする請求項 7記載の二重化タイマを用いたシステム監視方法。

[10] 前記 2つのタイマのうちのいずれかのタイマ力もの割込み信号の入力に対応して、前記システム内に備えられてヽるシステム時計の示す時刻をメモリに格納し、

前記プロセッサが、前記タイマ識別子の比較結果と、前記次の割込み信号の入力時のシステム時計の示す時刻と前記メモリに格納されて!、る前回の割込み信号入力時刻との時間差とに基づいて、二重化されたタイマのうちの故障タイマの識別を行うことを特徴とする請求項 9記載の二重化タイマを用いたシステム監視方法。

[11] 前記プロセッサが、前記 2つのタイマのうちで故障と判定された一方のタイマを切り離し、他方のタイマ力ゝらの割込み信号を用いて、前記監視対象システムの動作を継続させることを特徴とする請求項 10記載の二重化タイマを用いたシステム監視方法。

[12] タイマ力も割込み信号を出力し、監視対象マルチプロセッサシステム内の各プロセッサに予め定められた処理を実行させるシステム監視装置であって、

共通で同一の時間間隔毎に、かつ該時間間隔の半分だけ互!、にずれた時点で割込み信号を出力する動作を、タイムアウト時間のリロード機能を用いて繰り返す 2つのタイマを備え、

該マルチプロセッサシステム内の少なくとも 1台のプロセッサが、該 2つのタイマのうちのいずれかのタイマからの割込み信号の入力が繰り返される毎に、該 2つのタイマの故障の有無を判定することを特徴とする二重化タイマを用いたシステム監視装置。

[13] 前記マルチプロセッサシステムの起動時に前記少なくとも 1台のプロセッサ力タイマに対するタイムアウト時間として、前記 2つのタイマのうちの一方に前記共通で同一の時間間隔の半分の値を前記リロード機能を無効として設定し、他方のタイマに該同一の時間間隔の値をリロード機能を有効として設定し、

該一方のタイマが最初の割込み信号を出力した時点で、該一方のタイマのタイムァゥト時間を前記同一の時間間隔の値に、前記リロード機能を有効として再設定することを特徴とする請求項 12記載の二重化タイマを用いたシステム監視装置。

[14] 前記システム監視装置が、前記 2つのタイマのうちのいずれかのタイマ力の割込み信号の入力に対応して、該割込み信号を出力したタイマの識別子を示すフラグを格納するフラグレジスタをさらに備え、

前記少なくとも 1台のプロセッサが、タイマからの次の割込み信号の入力に対応して、該次の割込み信号を出力したタイマの識別子と該フラグレジスタの格納内容とを比較して、タイマ故障の有無を判定することを特徴とする請求項 12記載の二重化タイマを用いたシステム監視装置。

[15] 前記マルチプロセッサシステムが、前記複数のプロセッサに対して前記 2つのタイマのうちのいずれかのタイマ力割込み信号が入力された時、該複数のプロセッサからそれぞれ出力される現在時刻の値が格納される共有メモリをさらに備え、

前記少なくとも 1台のプロセッサが、前記タイマの識別子の比較結果と、該共有メモリの格納内容とに基づいて、二重化されたタイマのうちの故障タイマの識別を行うことを特徴とする請求項 12記載の二重化タイマを用いたシステム監視装置。

[16] 前記少なくとも 1台のプロセッサ力前記 2つのタイマのうちで故障と判定された一方のタイマを切り離し、他方のタイマからの割込み信号を用いて、前記監視対象システムの動作を継続させることを特徴とする請求項 15記載の二重化タイマを用いたシステム監視装置。