WO2010073510A1

WO2010073510A1 - 情報処理装置およびそのメモリ制御方法

Info

Publication number: WO2010073510A1
Application number: PCT/JP2009/006688
Authority: WO
Inventors: 畠山智
Original assignee: 日本電気株式会社
Priority date: 2008-12-26
Filing date: 2009-12-08
Publication date: 2010-07-01
Also published as: JP2010231249A

Abstract

　現用系のＣＰＵが異常になったときに、安全に現用系から待機系へ切り換えることが可能な高い信頼性を保障する情報処理装置およびそのメモリ制御方法を提供する。現用系は、現用系から待機系に通知する通知データを現用系および待機系からアクセス可能な第１の共用メモリに書き込むときのみ、第１の共用メモリへの書き込みを許可する。現用系は、通知データを第１の共用メモリに書き込むと、通知データを第１の共用メモリに書き込み済みであることを待機系に通知する。待機系は、通知データが第１の共用メモリに書き込み済みであることを現用系から通知されると、通知データを第１の共用メモリから読み出し、待機系からのみアクセス可能な待機系のメモリに通知データを保存し、通知データを第１の共用メモリから読み出し済みであることを現用系に通知する。待機系は、現用系から待機系に切り替わると、待機系のメモリに保存された通知データを用いて処理を実行する。

Description

情報処理装置およびそのメモリ制御方法

　本発明は、情報処理装置およびそのメモリ制御方法に関する。

　近年の情報処理装置では、情報処理装置が万一故障した場合であっても、運用を継続できるように冗長化構成を採用したものが増加してきている。冗長化構成には用途に応じてさまざまな種類がある。一般的に、一瞬の停止も許されない環境で用いられる情報処理装置は、装置内に複数のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）を搭載し、現用系のＣＰＵが故障したとき待機系のＣＰＵに切り換えて、信頼性の向上をはかっている。

　冗長化構成を採用した情報処理装置では、情報処理装置の動作を規定するための設定情報や処理中のデータの情報を現用系と待機系の間で共有していない。そのため、情報処理装置を現用系から待機系に切り替えた場合に、情報処理装置の動作が変わってしまう問題がある。また、情報処理装置を通信システムに用いる場合は、情報処理装置を現用系から待機系に切り替えたときに処理中の通信データが消失し、通信データの連続性を失ってしまう問題があった。

　これらの問題を解決するため、特許文献１には、現用系のＣＰＵと待機系のＣＰＵとの間に共用メモリを備えた情報処理装置が記載されている。これにより、現用系のＣＰＵが一部のデータを共用メモリに蓄積し、待機系のＣＰＵが共用メモリから当該データを読み出せるため、情報処理装置は、データの連続性を保障することができる。

　また、特許文献２には、待機系のＣＰＵが動作するときに誤って共用メモリのデータを破壊しないようにする方法が記載されている。

特開昭６３－６１３３８号公報特開平８－１２９５０８号公報

　上述した特許文献１および特許文献２では、現用系のＣＰＵが暴走した場合に、共用メモリ内の不特定の領域に誤ったデータを書き込み、共用メモリ上のデータを破壊することがある。また、現用系のＣＰＵが共用メモリへデータ書き込み中に停止した場合に、共用メモリ上のデータが不連続になることもある。このような場合、情報処理装置は、現用系から待機系へ切り替わったときに壊れたデータにもとづいて動作するため、異常動作や動作停止などの重大な問題を引き起こすおそれがある。

　本発明は、上述した課題を解決するためになされたものであって、その目的は、現用系のＣＰＵに異常が発生したときに、安全に現用系から待機系へ切り換えることが可能な高い信頼性を保障する情報処理装置およびそのメモリ制御方法を提供することである。

　上記目的を達成するために、本発明の情報処理装置は、現用系および待機系からアクセス可能であり、前記現用系から前記待機系に通知する通知データを格納する第１の共用メモリと、前記現用系からの前記第１の共用メモリへの書き込みを禁止または許可する現用系の第１のアクセス制御装置と、前記待機系からのみアクセス可能な待機系のメモリと、前記通知データを前記第１の共用メモリに書き込むときのみ前記現用系の第１のアクセス制御装置に該第１の共用メモリへの書き込みを許可させ、前記通知データを前記第１の共用メモリに書き込むと、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを前記待機系に通知する現用系のＣＰＵと、前記現用系のＣＰＵから前記通知データが前記第１の共用メモリに書き込み済みであることを通知されると、前記通知データを前記第１の共用メモリから読み出し、前記通知データを前記待機系のメモリに保存し、前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを前記現用系に通知し、前記現用系から前記待機系に切り替わると、前記待機系のメモリに保存された通知データを用いて処理を実行する待機系のＣＰＵとを有する。

　また、本発明のメモリ制御方法は、現用系と待機系を有する情報処理装置のメモリ制御方法であって、前記現用系は、前記現用系から前記待機系に通知する通知データを前記現用系および前記待機系からアクセス可能な第１の共用メモリに書き込むときのみ、前記第１の共用メモリへの書き込みを許可し、前記現用系は、前記通知データを前記第１の共用メモリに書き込むと、前記通知データを前記第１の共用メモリに書き込み済みであることを前記待機系に通知し、前記待機系は、前記通知データが前記第１の共用メモリに書き込み済みであることを前記現用系から通知されると、前記通知データを前記第１の共用メモリから読み出し、前記待機系からのみアクセス可能な待機系のメモリに前記通知データを保存し、前記通知データを前記第１の共用メモリから読み出し済みであることを前記現用系に通知し、前記待機系は、前記現用系から前記待機系に切り替わると、前記待機系のメモリに保存された通知データを用いて処理を実行する。

　本発明によれば、情報処理装置の現用系のＣＰＵに異常が発生したときに、安全に現用系から待機系へ切り換えることができ、高い信頼性を保障できる。

第１の実施の形態に係る情報処理装置の構成を示すブロック図である。図１に示した現用系のＣＰＵが実施する共用メモリへのデータ書き込み処理手順を示すフローチャートである。図１に示した待機系のＣＰＵが実施する共用メモリからのデータ読み出し処理手順を示すフローチャートである。第２の実施の形態に係る情報処理装置の構成を示すブロック図である。第３の実施の形態に係る情報処理装置の構成を示すブロック図である。図５に示した現用系のＣＰＵが実施する共用メモリへのデータ書き込み処理手順を示すフローチャートである。図５に示した待機系のＣＰＵが実施する共用メモリからのデータ読み出し処理手順を示すフローチャートである。第４の実施の形態に係る情報処理装置の構成を示すブロック図である。

　次に、本発明の各実施の形態について図面を参照して詳細に説明する。

　本発明の各実施の形態では、現用系のＣＰＵあるいは待機系のＣＰＵが共用メモリへ書き込みを実施しないことが想定されているとき、共用メモリへの書き込みを禁止する。さらに、待機系のＣＰＵは、現用系のＣＰＵから通知されたデータを現用系のＣＰＵがアクセスできない待機系のメモリに保存して、データの保全をはかる。

　（第１の実施の形態）
　次に、本発明の第１の実施の形態について説明する。

　図１は第１の実施の形態に係る情報処理装置の構成を示すブロック図である。

　図１に示すように、第１の実施の形態に係る情報処理装置１は、現用系として、ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２および割り込みコントローラ１３を有する。また、第１の実施の形態に係る情報処理装置１は、待機系として、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２および割り込みコントローラ２３を有する。さらに、第１の実施の形態に係る情報処理装置１は、共通部として、記録媒体３０、記録媒体インタフェース部３１および第１の共用メモリ３２を有する。

　記録媒体３０には、情報処理装置１の所定の機能を提供するための現用系用のプログラムおよび待機系用のプログラムが記録される。なお、記録媒体３０は、磁気ディスク、半導体メモリ、光ディスクあるいはその他の記録媒体であってもよい。

　現用系のＣＰＵ１０は、記録媒体インタフェース部３１を介して記録媒体３０に記録された現用系用のプログラムを現用系のメモリ１１に読み込む。ＣＰＵ１０はメモリ１１に読み込んだプログラムにしたがって処理を実行する。

　一方、待機系のＣＰＵ２０は、記録媒体インタフェース部３１を介して記録媒体３０に記録された待機系用のプログラムを待機系のメモリ２１に読み込む。ＣＰＵ２０はメモリ２１に読み込んだプログラムにしたがって処理を実行する。

　現用系のメモリ１１は、現用系用のプログラムおよび現用系のＣＰＵ１０が処理するデータを記憶するための記憶装置である。メモリ１１には、現用系のＣＰＵ１０のみがアクセス可能であり、待機系のＣＰＵ２０はアクセスできない。

　一方、待機系のメモリ２１は、待機系用のプログラムおよび待機系のＣＰＵ２０が処理するデータを記憶するための記憶装置である。メモリ２１には、待機系のＣＰＵ２０のみがアクセス可能であり、現用系のＣＰＵ１０はアクセスできない。

　第１の共用メモリ３２は、現用系と待機系の間の情報伝達のために用いられるメモリであり、ＣＰＵ１０およびＣＰＵ２０の両方からアクセス可能である。第１の共用メモリ３２として、例えばマルチポートを備えたＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）が用いられる。

　現用系の第１のアクセス制御装置１２は、ＣＰＵ１０の第１の共用メモリ３２への書き込みを制限するための装置であり、例えば各種の論理回路からなるＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ）を用いて実現できる。ＣＰＵ１０は、第１のアクセス制御装置１２に対して、ＣＰＵ１０から第１の共用メモリ３２への書き込みを許可するか禁止するかを設定する。第１のアクセス制御装置１２は、通常は第１の共用メモリ３２への書き込みを禁止するように設定されており、ＣＰＵ１０が第１の共用メモリ３２へ書き込みを実施するときのみ第１の共用メモリ３２への書き込みを許可するように設定される。第１の共用メモリ３２への書き込みが許可されると、ＣＰＵ１０が第１の共用メモリ３２にアクセスするとき、第１のアクセス制御装置１２は、第１の共用メモリ３２へアクティブなＣＳ（チップセレクト）信号を出力する。逆に、第１の共用メモリ３２への書き込みが禁止されると、第１のアクセス制御装置１２は、ＣＳ信号をインアクティブに固定し、ＣＰＵ１０が誤って第１の共用メモリ３２にデータを書き込むことを防止する。

　一方、待機系の第１のアクセス制御装置２２は、ＣＰＵ２０の第１の共用メモリ３２への書き込みを制限するための装置であり、その実現方法は、第１のアクセス制御装置１２と同様である。

　待機系の割り込みコントローラ２３は、現用系のＣＰＵ１０からの要求に応じて待機系のＣＰＵ２０に割り込み信号を出力する装置である。現用系のＣＰＵ１０は、割り込みコントローラ２３に指示を行って待機系のＣＰＵ２０に割り込み信号を出力させ、第１の共用メモリ３２へデータを書き込んだことを待機系のＣＰＵ２０に通知する。

　一方、現用系の割り込みコントローラ１３は、待機系のＣＰＵ２０からの要求に応じて現用系のＣＰＵ１０に割り込み信号を出力する装置である。待機系のＣＰＵ２０は、割り込みコントローラ１３に指示を行って現用系のＣＰＵ１０に割り込み信号を出力させ、第１の共用メモリ３２からデータを読み出したことを現用系のＣＰＵ１０に通知する。

　現用系では、ＣＰＵ１０、記録媒体インタフェース部３１、メモリ１１、第１の共用メモリ３２、第１のアクセス制御装置１２および割り込みコントローラ１３が内部バス１４を介して接続される。

　一方、待機系では、ＣＰＵ２０、記録媒体インタフェース部３１、メモリ２１、第１の共用メモリ３２、第１のアクセス制御装置２２および割り込みコントローラ２３が内部バス２４を介して接続される。

　次に、図１に示した現用系のＣＰＵ１０が実施する第１の共用メモリ３２へのデータ書き込み処理手順について図２のフローチャートを参照して説明する。

　ＣＰＵ１０はメモリ１１に保存された現用系用のプログラムにしたがって以下に記載する処理を実行する。

　ＣＰＵ１０は、処理を開始すると（ステップＳ１）、まず、待機系のＣＰＵ２０に通知すべきデータ（以降、通知データと称する）が発生するまで待機する（ステップＳ２）。なお、通知データとしては、情報処理装置の動作を規定するための設定情報などがある。利用者が情報処理装置の動作を規定するための設定情報を変更すると、情報処理装置１は、当該設定情報を現用系のＣＰＵ１０が参照できるように現用系のメモリ１１に保存する。さらに、情報処理装置１は、現用系のＣＰＵ１０で異常が発生して待機系に切り替わる場合に備えて、当該設定情報を待機系のＣＰＵ２０も参照できるようにしておく。

　通知データが発生すると、ＣＰＵ１０は、待機系のＣＰＵ２０が第１の共用メモリ３２からデータを読み出し中か否かを判別する（ステップＳ３）。なお、待機系のＣＰＵ２０が通知データを読み出し中にＣＰＵ１０が別の通知データを第１の共用メモリ３２へ書き込むと、待機系のＣＰＵ２０が読み出し中の通知データは破壊されるおそれがある。このため、ＣＰＵ１０は、待機系のＣＰＵ２０が第１の共用メモリ３２から通知データを読み出し中の場合、その読み出しが完了するまで待機する。第１の実施の形態では、現用系のＣＰＵ１０は、割り込みコントローラ２３に指示を行って待機系のＣＰＵ２０に割り込み信号を出力させ、通知データを第１の共用メモリ３２へ書き込み済みであること（以降、書き込み通知と称する）を待機系のＣＰＵ２０に通知する。一方、待機系のＣＰＵ２０は、割り込みコントローラ１３に指示を行って現用系のＣＰＵ１０に割り込み信号を出力させ、通知データを第１の共用メモリ３２から読み出し済みであること（以降、読み出し通知と称する）を現用系のＣＰＵ１０に通知する。したがって、現用系のＣＰＵ１０は、書き込み通知を待機系のＣＰＵ２０に通知してから、読み出し通知が待機系のＣＰＵ２０から通知されるまでの間は、待機系のＣＰＵ２０が第１の共用メモリ３２からデータを読み出し中であると判別する。一方、それ以外の期間は、待機系のＣＰＵ２０が第１の共用メモリ３２からデータを読み出し中でないと判別する。

　待機系のＣＰＵ２０が第１の共用メモリ３２から通知データを読み出し中でない場合、ＣＰＵ１０は、第１のアクセス制御装置１２に第１の共用メモリ３２への書き込みを許可するように設定する（ステップＳ４）。続いて、ＣＰＵ１０は、通知データを第１の共用メモリ３２へ書き込む（ステップＳ５）。第１の共用メモリ３２へ通知データを書き込むと、ＣＰＵ１０は、第１のアクセス制御装置１２に第１の共用メモリ３２への書き込みを禁止するように設定する（ステップＳ６）。

　第１のアクセス制御装置１２に第１の共用メモリ３２への書き込みを禁止するように設定すると、ＣＰＵ１０は、割り込みコントローラ２３に指示を行って待機系のＣＰＵ２０に割り込み信号を出力させ、書き込み通知を待機系のＣＰＵ２０に通知する（ステップＳ７）。ＣＰＵ１０は、書き込み通知を待機系のＣＰＵ２０に通知すると、ステップＳ２へ移行し、再度待機系に通知するデータが発生するまで待機する。

　次に、図１に示した待機系のＣＰＵ２０が実施する第１の共用メモリ３２からのデータ読み出し処理手順について図３のフローチャートを参照して説明する。

　ＣＰＵ２０はメモリ２１に保存された待機系用のプログラムにしたがって以下に記載する処理を実行する。

　ＣＰＵ２０は、処理を開始すると（ステップＳ１１）、まず、書き込み通知が現用系のＣＰＵ１０から通知されるまで待機する（ステップＳ１２）。なお、書き込み通知は、ＣＰＵ２０が割り込みコントローラ２３から割り込み信号を受信することでＣＰＵ２０に通知される。

　書き込み通知が現用系のＣＰＵ１０から通知されると、ＣＰＵ２０は、通知データを第１の共用メモリ３２から読み出し、読み出した通知データをメモリ２１に保存する（ステップＳ１３）。なお、待機系のＣＰＵ２０が第１の共用メモリ３２へ書き込むことはないため、第１のアクセス制御装置２２は、常に第１の共用メモリ３２への書き込みを禁止するように設定される。続いて、ＣＰＵ２０は、割り込みコントローラ１３に指示を行って現用系のＣＰＵ１０に割り込み信号を出力させ、読み出し通知を現用系のＣＰＵ１０に通知する（ステップＳ１４）。

　ＣＰＵ２０は、読み出し通知を現用系のＣＰＵ１０に通知すると、ステップＳ１２へ移行し、再度、書き込み通知が現用系のＣＰＵ１０から通知されるまで待機する。

　第１の実施の形態に係る情報処理装置は、共用メモリへの書き込みを制限する。すなわち、現用系のＣＰＵあるいは待機系のＣＰＵが共用メモリへデータを書き込まないことが想定されているとき、共用メモリへの書き込みは禁止されているので、運用中に共用メモリのデータが破壊される可能性は低くなる。

　また、待機系のＣＰＵは、現用系のＣＰＵが通知データを共用メモリへ書き込み終わったタイミングで当該データを共用メモリから読み出し、読み出したデータを現用系からアクセスできない待機系のメモリに保存する。現用系から待機系に切り替わると、待機系のＣＰＵは、共用メモリに保存されたデータではなく、待機系のメモリに保存されたデータにしたがって動作する。また、現用系のＣＰＵが通知データを共用メモリへ書き込んでいるときに停止した場合、書き込み通知が待機系のＣＰＵに通知されず、待機系のＣＰＵは共用メモリからデータを読み出さない。このため、書き込み途中の不連続なデータが待機系で使用されるおそれがなくなる。

　また、現用系のＣＰＵは共用メモリへの書き込みを禁止にしてから書き込み通知を待機系のＣＰＵに通知する。つまり、現用系のＣＰＵが暴走し、共用メモリの通知データが破壊された場合、書き込み通知が待機系のＣＰＵに通知されず、待機系のＣＰＵは共用メモリからデータを読み出さない。このため、破壊された通知データが待機系で使用されるおそれがなくなる。

　これにより、第１の実施の形態に係る情報処理装置は、現用系のＣＰＵに異常が発生したときに、安全に現用系から待機系へ切り換えることができ、高い信頼性を保障できる。

　（第２の実施の形態）
　第２の実施の形態では、通信システムで用いられる情報処理装置について説明する。

　図４は第２の実施の形態に係る情報処理装置の構成を示すブロック図である。

　図４に示すように、第２の実施の形態に係る情報処理装置１は、現用系として、ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２および割り込みコントローラ１３を有する。また、第２の実施の形態に係る情報処理装置１は、待機系として、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２および割り込みコントローラ２３を有する。さらに、第２の実施の形態に係る情報処理装置１は、共通部として、記録媒体３０、記録媒体インタフェース部３１、第１の共用メモリ３２、外部入出力装置３４および外部バス切り替え器３５を有する。

　ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２、割り込みコントローラ１３、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２、割り込みコントローラ２３、記録媒体３０、記録媒体インタフェース部３１、第１の共用メモリ３２の構成は第１の実施の形態と同一である。

　外部入出力装置３４は、外部の通信機器（図示せず）とデータを送受信する機能をもつ、通信システムで用いられる周知の通信装置が備える装置である。外部入出力装置３４の例としては、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）コントローラや無線ＬＡＮコントローラなどがある。

　外部バス切り替え器３５は、現用系または待機系のいずれで処理するかに応じて外部入出力装置３４の接続先を切り替える装置であり、例えば各種の論理回路からなるＬＳＩを用いて実現できる。

　外部入出力装置３４および外部切り替え器３５は、外部バス３６を介して接続される。

　第１の実施の形態に係る情報処理装置では、情報処理装置の動作を規定するための設定情報を通知データとして用いる例を示した。第２の実施の形態に係る情報処理装置では、外部の通信機器から受信したデータを通知データとして用いる例を示す。

　第２の実施の形態に係る情報処理装置は、外部の通信機器からデータを受信すると、受信したデータをメモリ１１に格納し、格納したデータに対して所定の処理を実施し、所定の処理を実施したデータを外部の通信機器に送信する。なお、所定の処理とは、情報処理装置の機能に応じて異なる処理である。所定の処理としては、例えば、外部の通信機器から受信したデータを別の通信機器に送信するために、当該データに含まれるアドレス情報を書き換える処理などがある。

　現用系のＣＰＵ１０は、外部の通信機器からデータを受信すると、受信したデータを、第１の共用メモリ３２を介して待機系のＣＰＵ２０に送信する。待機系のＣＰＵ２０は、現用系のＣＰＵ１０から受信したデータをメモリ２１に保存する。

　また、現用系のＣＰＵ１０は、外部の通信機器から受信したデータに対して所定の処理を実施し、所定の処理を実施したデータを外部の通信機器に送信すると、当該データに対する処理の完了を、第１の共用メモリ３２を介して待機系のＣＰＵ２０に通知する。待機系のＣＰＵ２０は、現用系のＣＰＵ１０から処理の完了が通知されたデータをメモリ２１から消去する。

　情報処理装置１は、現用系のＣＰＵ１０に異常が発生すると、現用系から待機系へ切り換える。情報処理装置１が待機系に切り替わると、待機系のＣＰＵ２０は、外部バス切り替え器３５を待機系へ切り替える。また、待機系のＣＰＵ２０は、メモリ２１に保存されているデータに対して所定の処理を実施し、所定の処理を実施したデータを外部の通信機器に送信する。

　第２の実施の形態に従えば、情報処理装置が通信システムに用いられる場合において、現用系のＣＰＵに異常が発生したときに、処理中のデータを消失することなく、通信データの連続性を保つことが可能になる。

　（第３の実施の形態）
　第１の実施の形態で示した情報処理装置は、現用系のＣＰＵが通知データを共用メモリへ書き込んだことを待機系のＣＰＵに通知するために割り込みコントローラを使用した。一方、情報処理装置が複数の共用メモリを有する場合は、第２の共用メモリを使用して、現用系のＣＰＵが通知データを第１の共用メモリへ書き込んだことを待機系のＣＰＵに通知してもよい。第３の実施の形態では、割り込みコントローラを使用せず、第２の共用メモリを使用して現用系のＣＰＵが通知データを第１の共用メモリへ書き込んだことを待機系のＣＰＵに通知する方法を説明する。

　図５は第３の実施の形態に係る情報処理装置の構成を示すブロック図である。

　図５に示すように、第３の実施の形態に係る情報処理装置１は、現用系として、ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２および第２のアクセス制御装置１５を有する。また、第３の実施の形態に係る情報処理装置１は、待機系として、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２および第２のアクセス制御装置２５を有する。さらに、第３の実施の形態に係る情報処理装置１は、共通部として、記録媒体３０、記録媒体インタフェース部３１、第１の共用メモリ３２および管理用の第２の共用メモリ３３を有する。

　ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２、記録媒体３０、記録媒体インタフェース部３１および第１の共用メモリ３２の構成は第１の実施の形態と同一である。

　第２の共用メモリ３３は、現用系のＣＰＵ１０が通知データを第１の共用メモリ３２へ書き込んだことを待機系のＣＰＵ２０に通知するために用いられるメモリである。第２の共用メモリ３３は、ＣＰＵ１０およびＣＰＵ２０の両方からアクセス可能である。第２の共用メモリ３３として、例えばマルチポートを備えたＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）が用いられる。

　現用系の第２のアクセス制御装置１５は、ＣＰＵ１０の第２の共用メモリ３３への書き込みを制限するための装置であり、その実現方法は、第１のアクセス制御装置１２と同様である。

　一方、待機系の第２のアクセス制御装置２５は、ＣＰＵ２０の第２の共用メモリ３３への書き込みを制限するための装置であり、その実現方法は、第１のアクセス制御装置２２と同様である。

　現用系では、ＣＰＵ１０、記録媒体インタフェース部３１、メモリ１１、第１の共用メモリ３２、第１のアクセス制御装置１２、第２の共用メモリ３３および第２のアクセス制御装置１５が内部バス１４を介して接続される。

　一方、待機系では、ＣＰＵ２０、記録媒体インタフェース部３１、メモリ２１、第１の共用メモリ３２、第１のアクセス制御装置２２、第２の共用メモリ３３および第２のアクセス制御装置２５が内部バス２４を介して接続される。

　次に、図５に示した現用系のＣＰＵ１０が実施する第１の共用メモリ３２へのデータ書き込み処理手順について図６のフローチャートを参照して説明する。

　ＣＰＵ１０は、処理を開始すると（ステップＳ２１）、まず、通知データが発生するまで待機する（ステップＳ２２）。

　通知データが発生すると、ＣＰＵ１０は、待機系のＣＰＵ２０が第１の共用メモリ３２からデータを読み出し中か否かを判別する（ステップＳ２３）。なお、第３の実施の形態に係る情報処理装置１は、通知データが発生したことを現用系のＣＰＵ１０が待機系のＣＰＵ２０に通知するために、第２の共用メモリ３３に書き込み情報および読み出し情報を記憶する。書き込み情報および読み出し情報を記憶するための実現例として、書き込みカウンタおよび読み出しカウンタがある。書き込みカウンタおよび読み出しカウンタは、情報処理装置の起動時は０に初期化されている。現用系のＣＰＵ１０は、第１の共用メモリ３２に通知データを書き込むと第２の共用メモリ３３の書き込みカウンタをカウントアップする。一方、待機系のＣＰＵ２０は、第１の共用メモリ３２から通知データを読み出すと第２の共用メモリ３３の読み出しカウンタをカウントアップする。待機系のＣＰＵ２０は、書き込みカウンタの値が読み出しカウンタの値より大きいと、読み出していない通知データが第１の共用メモリ３２に存在すると判別する。また、現用系のＣＰＵ１０は、書き込みカウンタの値が読み出しカウンタの値より大きいと、待機系のＣＰＵ２０が第１の共用メモリ３２から通知データを読み出し中であると判別する。

　待機系のＣＰＵ２０が第１の共用メモリ３２から通知データを読み出し中でない場合、ＣＰＵ１０は、第１のアクセス制御装置１２に指示を行って第１の共用メモリ３２への書き込みを許可するように設定する（ステップＳ２４）。続いて、ＣＰＵ１０は、通知データを第１の共用メモリ３２へ書き込む（ステップＳ２５）。第１の共用メモリ３２へ通知データを書き込むと、ＣＰＵ１０は、第１のアクセス制御装置１２に指示を行って第１の共用メモリ３２への書き込みを禁止するように設定する（ステップＳ２６）。

　次に、ＣＰＵ１０は、第２のアクセス制御装置１５に指示を行って第２の共用メモリ３３への書き込みを許可するように設定する（ステップＳ２７）。続いて、ＣＰＵ１０は、第２の共用メモリ３３の書き込みカウンタをカウントアップする（ステップＳ２８）。第２の共用メモリ３３の書き込みカウンタをカウントアップすると、ＣＰＵ１０は、第２のアクセス制御装置１５に指示を行って第２の共用メモリ３３への書き込みを禁止するように設定する（ステップＳ２９）。

　ＣＰＵ１０は、第２のアクセス制御装置１５に指示を行って第２の共用メモリ３３への書き込みを禁止するように設定すると、ステップＳ２２へ移行し、再度、通知データが発生するまで待機する。

　次に、図５に示した待機系のＣＰＵ２０が実施する第１の共用メモリ３２からのデータ読み出し処理手順について図７のフローチャートを参照して説明する。

　ＣＰＵ２０は、処理を開始すると（ステップＳ３１）、まず、現用系のＣＰＵ１０が第１の共用メモリ３２に通知データを書き込むまで待機する（ステップＳ３２）。なお、現用系のＣＰＵ１０が第１の共用メモリ３２に通知データを書き込んだか否かは、第２の共用メモリ３３に格納されている書き込みカウンタの値と読み出しカウンタの値の比較に基づいて判別する。

　現用系のＣＰＵ１０が第１の共用メモリ３２に通知データを書き込むと、ＣＰＵ２０は、通知データを第１の共用メモリ３２から読み出し、読み出したデータをメモリ２１に保存する（ステップＳ３３）。なお、待機系のＣＰＵ２０が第１の共用メモリ３２へ書き込むことはないため、第１のアクセス制御装置２２は、常に第１の共用メモリ３２への書き込みを禁止するように設定される。

　次に、ＣＰＵ２０は、第２のアクセス制御装置２５に指示を行って第２の共用メモリ３３への書き込みを許可するように設定する（ステップＳ３４）。続いて、ＣＰＵ２０は、第２の共用メモリ３３の読み出しカウンタをカウントアップする（ステップＳ３５）。第２の共用メモリ３３の読み出しカウンタをカウントアップすると、ＣＰＵ２０は、第２のアクセス制御装置２５に指示を行って第２の共用メモリ３３への書き込みを禁止するように設定する（ステップＳ３６）。

　ＣＰＵ２０は、第２のアクセス制御装置２５に指示を行って第２の共用メモリ３３への書き込みを禁止するように設定すると、ステップＳ３２へ移行し、再度、現用系のＣＰＵ１０が第１の共用メモリ３２に通知データを書き込むまで待機する。

　第３の実施の形態に係る情報処理装置は、共用メモリへの書き込みを制限する。すなわち、現用系のＣＰＵあるいは待機系のＣＰＵが共用メモリへデータを書き込まないことが想定されているとき、共用メモリへの書き込みは禁止されているので、運用中に共用メモリのデータが破壊される可能性は低くなる。

　また、待機系のＣＰＵは、現用系のＣＰＵが通知データを第１の共用メモリへ書き込み終わったタイミングで第１の共用メモリから当該データを読み出し、読み出したデータを現用系からアクセスできない待機系のメモリに保存する。現用系から待機系に切り替わると、待機系のＣＰＵは、第１の共用メモリに保存されたデータではなく、待機系のメモリに保存されたデータにしたがって動作する。現用系のＣＰＵが通知データを第１の共用メモリへ書き込んでいるときに停止した場合、第２の共用メモリの書き込み情報が更新されず、待機系のＣＰＵは第１の共用メモリからデータを読み出さない。このため、書き込み途中の不連続なデータが待機系で使用されるおそれがなくなる。

　また、現用系のＣＰＵは第１の共用メモリへの書き込みを禁止にしてから、第２の共用メモリの書き込み情報を更新し、通知データを第１の共用メモリへ書き込んだことを待機系のＣＰＵに通知する。つまり、現用系のＣＰＵが暴走し、第１の共用メモリの通知データが破壊された場合、第２の共用メモリの書き込み情報が更新されず、待機系のＣＰＵは第１の共用メモリからデータを読み出さない。このため、破壊された通知データが待機系で使用されるおそれがなくなる。

　つまり、第３の実施の形態に従えば、第１の実施の形態に示した割り込みコントローラを使用せずに、第１の実施の形態に係る情報処理装置と同様の効果を得ることが可能になる。第３の実施の形態に係る情報処理装置は、現用系のＣＰＵに異常が発生したときに、安全に現用系から待機系へ切り換えることができ、高い信頼性を保障できる。

　（第４の実施の形態）
　第４の実施の形態では、通信システムで用いられる情報処理装置について説明する。

　図８は第４の実施の形態に係る情報処理装置の構成を示すブロック図である。

　図８に示すように、第４の実施の形態に係る情報処理装置１は、現用系として、ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２および第２のアクセス制御装置１５を有する。また、第４の実施の形態に係る情報処理装置１は、待機系として、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２および第２のアクセス制御装置２５を有する。さらに、第４の実施の形態に係る情報処理装置１は、共通部として、記録媒体３０、記録媒体インタフェース部３１、第１の共用メモリ３２、第２の管理用共用メモリ３３、外部入出力装置３４および外部バス切り替え器３５を有する。

　ＣＰＵ１０、メモリ１１、第１のアクセス制御装置１２、第２のアクセス制御装置１５、ＣＰＵ２０、メモリ２１、第１のアクセス制御装置２２、第２のアクセス制御装置２５、記録媒体３０、記録媒体インタフェース部３１、第１の共用メモリ３２および第２の共用メモリ３２の構成は第３の実施の形態と同一である。

　また、外部入出力装置３４および外部バス切り替え器３５の構成は第２の実施の形態と同一である。

　本構成を採ることで、第４の実施の形態に係る情報処理装置は、第２の実施の形態に示した割り込みコントローラを使用せずに、第２の実施の形態に係る情報処理装置と同様の効果を得ることが可能になる。つまり、第４の実施の形態に係る情報処理装置は、情報処理装置が通信システムに用いられる場合において、現用系のＣＰＵに異常が発生したときに、処理中のデータを消失することなく、通信データの連続性を保つことが可能になる。

　以上、実施形態を参照して本発明を説明したが、本発明は上述した実施形態に限定されるものではない。本発明の構成や詳細には、本発明の範囲内で当業者が理解し得る様々な変更を加えることができる。

　この出願は、２００８年１２月２６日に出願された日本出願特願２００８－３３２９８４号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、現用系および予備系を有する情報処理装置に適用することができる。本発明によれば、現用系のＣＰＵに異常が発生したときに、安全に現用系から待機系へ切り換えることが可能な高い信頼性を保障する情報処理装置およびそのメモリ制御方法を提供できる。

１　情報処理装置
１０、２０　ＣＰＵ
１１、２１　メモリ
１２、２２　第１のアクセス制御装置
１３、２３　割り込みコントローラ
１４、２４　内部バス
１５、２５　第２のアクセス制御装置
３０　記録媒体
３１　記録媒体インタフェース部
３２　第１の共用メモリ
３３　第２の共用メモリ
３４　外部入出力装置
３５　外部バス切り替え器
３６　外部バス

Claims

　現用系および待機系からアクセス可能であり、前記現用系から前記待機系に通知する通知データを格納する第１の共用メモリと、
　前記現用系からの前記第１の共用メモリへの書き込みを禁止または許可する現用系の第１のアクセス制御装置と、
　前記待機系からのみアクセス可能な待機系のメモリと、
　前記通知データを前記第１の共用メモリに書き込むときのみ前記現用系の第１のアクセス制御装置に該第１の共用メモリへの書き込みを許可させ、前記通知データを前記第１の共用メモリに書き込むと、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを前記待機系に通知する現用系のＣＰＵと、
　前記現用系のＣＰＵから前記通知データが前記第１の共用メモリに書き込み済みであることを通知されると、前記通知データを前記第１の共用メモリから読み出し、前記通知データを前記待機系のメモリに保存し、前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを前記現用系に通知し、前記現用系から前記待機系に切り替わると、前記待機系のメモリに保存された通知データを用いて処理を実行する待機系のＣＰＵと
　を有する情報処理装置。
　前記現用系のＣＰＵからの要求に応じて前記待機系のＣＰＵに割り込み信号を出力する待機系の割り込みコントローラと、
　前記待機系のＣＰＵからの要求に応じて前記現用系のＣＰＵに割り込み信号を出力する現用系の割り込みコントローラと
　をさらに有し、
　前記現用系のＣＰＵは、前記待機系の割り込みコントローラに前記割り込み信号を出力させて、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを書き込み通知として前記待機系に通知し、
　前記待機系のＣＰＵは、前記現用系の割り込みコントローラに前記割り込み信号を出力させて、前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを読み出し通知として前記現用系に通知する請求項１記載の情報処理装置。
　前記現用系および前記待機系からアクセス可能であり、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを示す書き込み情報および前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを示す読み出し情報を格納する第２の共用メモリと、
　前記現用系からの前記第２の共用メモリへの書き込みを禁止または許可する現用系の第２のアクセス制御装置と、
　前記待機系からの前記第２の共用メモリへの書き込みを禁止または許可する待機系の第２のアクセス制御装置と
　をさらに有し、
　前記現用系のＣＰＵは、前記書き込み情報を前記第２の共用メモリに書き込むときのみ前記現用系の第２のアクセス制御装置に該第２の共用メモリへの書き込みを許可させ、前記通知データを前記第１の共用メモリに書き込むと、前記第２の共用メモリの前記書き込み情報を更新して、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを前記待機系に通知し、
　前記待機系のＣＰＵは、前記読み出し情報を前記第２の共用メモリに書き込むときのみ前記待機系の第２のアクセス制御装置に該第２の共用メモリへの書き込みを許可させ、前記第１の共用メモリから読み出した前記通知データを前記待機系のメモリに保存すると、前記第２の共用メモリの前記読み出し情報を更新して、前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを前記現用系に通知する請求項１記載の情報処理装置。
　外部の通信機器とデータを送受信する外部入出力装置と、
　前記現用系または前記待機系のいずれで処理するかに応じて前記外部入出力装置の接続先を切り替える外部バス切り替え器と、
　をさらに有する請求項１から３のいずれか１項に記載の情報処理装置。
　前記現用系のＣＰＵは、前記待機系に通知する前記通信データが発生した場合において、前記待機系のＣＰＵが前記通知データを読み出し中であると判別した場合には、前記待機系のＣＰＵにおける前記通知データの読み出しが完了するまで待機する請求項１から４のいずれか１項に記載の情報処理装置。
　前記現用系のＣＰＵは、前記通知データを前記第１の共用メモリに書き込み済みであることを前記待機系のＣＰＵへ通知してから、前記通知データを前記第１の共用メモリから読み出し済みであることが前記待機系から通知されるまでの間は、前記待機系のＣＰＵが前記通知データを読み出し中であると判別する請求項５記載の情報処理装置。
　現用系と待機系を有する情報処理装置のメモリ制御方法であって、
　前記現用系は、前記現用系から前記待機系に通知する通知データを前記現用系および前記待機系からアクセス可能な第１の共用メモリに書き込むときのみ、前記第１の共用メモリへの書き込みを許可し、
　前記現用系は、前記通知データを前記第１の共用メモリに書き込むと、前記通知データを前記第１の共用メモリに書き込み済みであることを前記待機系に通知し、
　前記待機系は、前記通知データが前記第１の共用メモリに書き込み済みであることを前記現用系から通知されると、前記通知データを前記第１の共用メモリから読み出し、前記待機系からのみアクセス可能な待機系のメモリに前記通知データを保存し、前記通知データを前記第１の共用メモリから読み出し済みであることを前記現用系に通知し、
　前記待機系は、前記現用系から前記待機系に切り替わると、前記待機系のメモリに保存された通知データを用いて処理を実行するメモリ制御方法。
　前記現用系は、前記待機系に割り込み信号を出力して、前記通知データを前記第１の共用メモリに書き込み済みであることを書き込み通知として前記待機系に通知し、
　前記待機系は、前記現用系に割り込み信号を出力して、前記通知データを前記第１の共用メモリから読み出し済みであることを読み出し通知として前記現用系に通知する請求項７記載のメモリ制御方法。
　前記現用系は、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを示す書き込み情報を前記現用系および前記待機系からアクセス可能な第２の共用メモリに書き込むときのみ前記第２の共用メモリへの書き込みを許可し、
　前記現用系は、前記通知データを前記第１の共用メモリに書き込むと、前記第２の共用メモリの前記書き込み情報を更新して、前記通知データを前記現用系から前記第１の共用メモリに書き込み済みであることを前記待機系に通知し、
　前記待機系は、前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを示す読み出し情報を前記第２の共用メモリに書き込むときのみ前記第２の共用メモリへの書き込みを許可し、
　前記待機系は、前記第１の共用メモリから読み出した前記通知データを前記待機系のメモリに保存すると、前記第２の共用メモリの前記読み出し情報を更新して、前記通知データを前記待機系で前記第１の共用メモリから読み出し済みであることを前記現用系に通知する請求項７記載のメモリ制御方法。