WO2016132432A1

WO2016132432A1 - プロセッサ及びマイクロコンピュータ

Info

Publication number: WO2016132432A1
Application number: PCT/JP2015/054132
Authority: WO
Inventors: 橋本　茂
Original assignee: 三菱電機株式会社
Priority date: 2015-02-16
Filing date: 2015-02-16
Publication date: 2016-08-25

Abstract

　各プロセッサ（２）には、複数の機能要素（４）が実装されている。各プロセッサ（２）において、検出部（１２）は、複数の機能要素（４）を検査して、複数の機能要素（４）のうち故障が発生している機能要素（４）を検出する。各プロセッサ（２）において、マスク生成部（５）は、各プロセッサ（２）で検出された故障が発生している機能要素（４）の個数のうちの最大値をマスク数として通知するマスク数通知を受信し、検出部（３）により検出された機能要素（４）を含む、マスク数分の機能要素（４）をマスクする。

Description

プロセッサ及びマイクロコンピュータ

　この発明は、プロセッサに実装されている機能要素をマスクする技術に関する。
　以下では、マイクロコンピュータに含まれるプロセッサに実装されている機能要素をマスクする例を説明する。

　例えば、車載向けのマイクロコンピュータでは、高い信頼性が求められる。
　このような高い信頼性が求められるマイクロコンピュータでは、複数のプロセッサによりクロック同期式のロックステップが構成されることが一般的である。
　ロックステップでは、各プロセッサの出力が比較され、プロセッサの出力が不一致の場合に、プロセッサの故障を検出することが可能である。
　そして、プロセッサの一部の機能要素が故障している場合は、故障している機能要素をマスクすることで、一部の機能要素が故障しているプロセッサを再び使用することができるようになる。
　しかしながら、故障した機能要素をマスクしたプロセッサと正常なままのプロセッサでは出力に差異が生じるため、プロセッサ出力が一致せず、故障が誤検出されてしまう。
　このような誤検出を回避するための技術として、例えば、特許文献１に開示された技術及び特許文献２に開示された技術がある。

　特許文献１には、共通のデータ処理対象に対して２以上の系で互換が可能に処理された処理結果を入力し、前記２以上の系での処理結果に対してデータ照合するデータ照合装置が開示されている。
　また、特許文献１では、データ照合装置が、前記２以上の系での処理結果が互いに共通のデータ処理対象に対してなされたことをデータ共通性として判断し、前記２以上の系での処理結果が許容範囲であるかをデータ許容性として判断することが開示されている。
　また、特許文献１では、前記データ照合は、前記データ共通性及びデータ許容性によってなされることが開示されている。

　また、特許文献２には、出力比較部と、シフト結果比較部と、テーブル記憶部と、制御部とを備えるマイクロコンピュータが開示されている。
　出力比較部は、通常動作モードでメインコア及びチェッカーコアのそれぞれの出力を比較する。
　シフト結果比較部は、不一致箇所特定モードでメインコア及びチェッカーコアのそれぞれのスキャンチェーンの出力を比較する。
　テーブル記憶部は、複数のフリップフロップと複数の機能ブロックとの情報が格納されたテーブルを記憶する。
　制御部は、通常動作モードにて、出力比較部により不一致が検出された場合に不一致箇所特定モードにモードを切り替えるとともに、不一致箇所特定モードにて、シフト結果比較部の比較結果に基づき特定されたフリップフロップに対応する機能ブロックを前記テーブルの中から抽出し、当該機能ブロックの機能を停止させる。

特開２００６－３４４０８６号公報特開２０１４－１３２３８４号公報

　特許文献１では、全ての処理結果がデータ共通性を有し、処理結果にデータ許容性の無い場合には、通常の冗長系と同様に、一部機能の故障によりデータ不一致が生じる場合にデータ照合装置が動作できなくなるという課題がある。
　特許文献２では、スキャンチェーンの不一致により特定されたフリップフロップに対応する機能ブロックを抽出し、当該機能ブロックの機能を停止させるが、第１ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）コアと前記第１ＣＰＵコアと冗長な構成を有する第２ＣＰＵコアの双方の機能ブロックを同じく機能停止させるため、故障した機能以外にも機能停止が及んでしまうという課題がある。

　この発明は上記のような課題を解決することを主な目的としており、機能や性能の劣化を最小限に抑えて、故障が発生したプロセッサの出力と故障が発生していない正常なプロセッサの出力とを一致させる構成を得ることを主な目的とする。

　本発明に係るプロセッサは、
　それぞれに複数の機能要素が実装されている複数のプロセッサで構成されるプロセッサシステムに含まれるプロセッサであって、
　前記プロセッサに実装されている前記複数の機能要素を検査して、前記複数の機能要素のうち故障が発生している機能要素を検出する検出部と、
　各プロセッサで検出された故障が発生している機能要素の個数のうちの最大値をマスク数として通知するマスク数通知を受信し、前記検出部により検出された機能要素を含む、前記マスク数分の機能要素をマスクするマスク生成部とを有する。

　本発明によれば、故障が発生している機能要素がマスクされるとともに、マスクされる機能要素の個数が各プロセッサで故障が発生している機能要素の個数のうちの最大値に一致する。
　このため、機能や性能の劣化を最小限に抑えて、故障が発生したプロセッサの出力と故障が発生していない正常なプロセッサの出力とを一致させることができる。

実施の形態１に係るマイクロコンピュータの構成例を示す図。実施の形態１に係る故障レジスタ、マスクレジスタ、構成レジスタの構成例を示す図。実施の形態１に係る故障レジスタのセット方法を示すフローチャート図。実施の形態１に係るマスク生成部によるマスク値の生成方法を示すフローチャート図。実施の形態２に係るマイクロコンピュータの構成例を示す図。実施の形態３に係るマイクロコンピュータの構成例を示す図。実施の形態１に係るマイクロコンピュータの具体的な動作例を示す図。実施の形態２に係るマイクロコンピュータの具体的な動作例を示す図。実施の形態３に係るマイクロコンピュータの具体的な動作例を示す図。

　実施の形態１．
　本実施の形態及び以降の実施の形態では、同期式のロックステップを構成する複数のプロセッサを内蔵したマイクロコンピュータを説明する。
　より具体的には、いずれかのプロセッサのいずれかの機能要素が故障した際に、故障した機能要素をマスクするとともに、故障が発生していないプロセッサの機能要素もマスクするマイクロコンピュータを説明する。
　本実施の形態及び以降の実施の形態のマイクロコンピュータにより、故障が発生したプロセッサの出力と故障が発生していない正常なプロセッサの出力とを一致させることができる。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るマイクロコンピュータ１の構成例を示す。
　また、図２は、マイクロコンピュータ１に含まれるプロセッサ２内の故障レジスタ１３、マスクレジスタ６、構成レジスタ７の構造とビットの意味を示す。

　図１に示すように、マイクロコンピュータ１には、Ｎ（Ｎ≧２）個のプロセッサ２が存在する。
　Ｎ個のプロセッサは、クロック同期したロックステップを構成する。
　プロセッサ２は、例えばＣＰＵである。
　以下、Ｎ個のプロセッサ２をプロセッサシステム２００という。
　バス１１には、プロセッサ２への入力信号であるプロセッサのバス入力８が入力されている。
　また、各プロセッサ２からは比較多数決回路１０に対してプロセッサのバス出力９が出力される。
　比較多数決回路１０では、全てのプロセッサのバス出力９が一致しているか否かが確認される。
　全てのプロセッサのバス出力９が一致していた場合は、プロセッサのバス出力９はチェックされたプロセッサのバス出力２０としてバス１１に出力される。
　全てのプロセッサのバス出力９が一致していない場合は、比較多数決回路１０はエラーを検出する。
　また、バス１１には、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１５、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１６、各種ＩＯ（Ｉｎｐｕｔ　Ｏｕｔｐｕｔ）デバイス１７が接続されている。
　本実施の形態及び以降の実施の形態は、主にプロセッサ２に関するため、ＲＯＭ１５、ＲＡＭ１６、各種ＩＯデバイス１７の説明は省略する。
　また、図１では、プロセッサ＃０の内部構成例のみを示しているが、他のプロセッサでも、プロセッサ＃０と同じ内部構成を有している。

　各プロセッサ２は、ｍ（ｍ≧２）個の機能要素モジュール３を有する。
　各機能要素モジュール３には、複数の機能要素４が含まれる。
　図１では、機能要素モジュール３に、要素０～要素（ｎ－１）のｎ（ｎ≧２）個の機能要素４が含まれている。
　各機能要素４は、後述する検出部１２による故障有無の検査の対象となる。
　１つの機能要素モジュール３に含まれる複数の機能要素４は、機能的に等価である。
　また、Ｎ個のプロセッサ２において、番号が共通する機能要素モジュール３には同じ機能要素４が含まれている。
　つまり、ｍ番の機能要素モジュール３に含まれる機能要素４は、Ｎ個のプロセッサ２で共通している。
　機能要素４は、例えば、後述するように、キャッシュメモリのブロック（ウェイ）である。
　このように、各プロセッサ２には、複数の機能要素が共通に実装されている。

　また、各プロセッサ２は、チェッカーである複数の検出部１２を有する。
　検出部１２は、機能要素モジュール３ごとに設けられている。
　検出部１２は、対応する機能要素モジュール３の機能要素４ごとに故障の有無を検査する。
　検出部１２は、機能要素４の要素番号（０～（ｎ－１））が故障レジスタ１３のビットに一意に対応するように検出結果１０５を小さい番号から順に出力する。
　つまり、検出部１２は、要素番号ｎの機能要素４の検出結果１０５を故障レジスタ１３のｎ番目のビットに出力する。
　より具体的には、検出部１２は、故障のない機能要素４のビットには値０を、故障のある機能要素４のビットには値１を出力する。
　このように、検出部１２は、複数の機能要素４のうち故障が発生している機能要素４を検出する。

　故障レジスタ１３は、検出結果１０５を記録する。
　故障レジスタ１３の故障レジスタ出力１０６は、故障要素カウンタ１４に入力される。
　故障要素カウンタ１４は、値が１であるビットをカウントすることで故障要素数をカウントする。
　つまり、故障要素カウンタ１４は、検出部１２により検出された故障が発生している機能要素４の個数をカウントする。
　故障要素カウンタ１４は、計算結果を機能要素モジュール３における故障要素数１０７として出力する。

　全プロセッサ２の機能要素モジュール３の故障要素数１０７は、最大値計算器１８に入力される。
　最大値計算器１８は、全プロセッサ２からの入力における故障要素数１０７の最大値を計算する。
　また、最大値計算器１８は、計算した最大値を故障要素数の最大値１０８として出力する。
　つまり、最大値計算器１８は、各プロセッサ２から各プロセッサ２で検出された故障が発生している機能要素４の個数の通知を受ける。
　そして、最大値計算器１８は、各プロセッサ２で検出された故障が発生している機能要素４の個数のうちの最大値を判別し、故障要素数の最大値１０８を生成する。
　故障要素数の最大値１０８は、全プロセッサ２に入力される。
　故障要素数の最大値１０８は、マスクする機能要素４の数（マスク数）を各プロセッサ２に通知する信号である。
　故障要素数の最大値１０８は、マスク数通知ともいう。

　各プロセッサ２では、故障要素数の最大値１０８がマスク生成部５に入力される。
　また、マスク生成部５には、故障レジスタ出力１０６と故障要素数１０７も入力される。
　マスク生成部５は、故障レジスタ出力１０６と故障要素数１０７と故障要素数の最大値１０８から、マスク値を生成する。
　具体的には、マスク生成部５は、検出部１２により検出された機能要素４を含む、故障要素数の最大値１０８で通知されたマスク数分の機能要素４へのマスク値を生成する。
　そして、マスク生成部５は、生成したマスク値をマスクレジスタ設定値１０２として出力する。
　マスクレジスタ設定値１０２は、マスクレジスタ６に入力され、マスクレジスタ６に設定される。
　マスクレジスタ６は、マスクレジスタ設定値１０２をマスクレジスタ出力１０１として出力する。
　マスクレジスタ出力１０１は、機能要素モジュール３に入力される。
　機能要素モジュール３は、マスクレジスタ出力１０１の値に従い、対応する機能要素４をマスクする。
　つまり、マスク生成部５は、マスクレジスタ６を介して、検出部１２により検出された機能要素４を含む、故障要素数の最大値１０８で通知されたマスク数分の機能要素４をマスクする。
　その後、各プロセッサ２は、一斉に命令の実行を開始する。

　このように、各プロセッサ２は、同じ複数の機能要素４が実装されている他のプロセッサ２とともにプロセッサシステム２００に含まれる。
　そして、各プロセッサ２において、マスク生成部５は、各プロセッサ２で検出された故障が発生している機能要素の個数の最大値（マスク数通知）を受信する。
　そして、マスク生成部５は、検出部１２により検出された機能要素４を含む、最大値分の機能要素４をマスクする。
　この結果、各プロセッサ２では、故障が発生している機能要素４をマスクすることができ、また、各プロセッサ２のマスク数を同数にすることができる。

＊＊＊動作の説明＊＊＊
　次に、図３のフローチャートを使用して、故障レジスタ１３のセット方法を説明する。

　Ｓ１０１で、検出部１２は、起動時に、検出部出力１０３により、機能要素モジュール３をテストモードにする。
　Ｓ１０２からＳ１０８までの処理はループである。
　Ｓ１０２からＳ１０８までの処理は、機能要素モジュール３内の機能要素数分繰り返される。
　Ｓ１０３では、検出部１２が、機能要素モジュール３内部のまだテストされていない機能要素４の中で最も番号の小さい機能要素４を一つ選択する。
　そして、検出部１２は、選択した機能要素４に検出部出力１０３によりテストパターンを入力する。
　Ｓ１０４では、検出部１２は、選択した機能要素４の出力を検出部入力１０４から得る。
　Ｓ１０５では、検出部１２は、検出部入力１０４と検出部１２の内部に持つ期待値とを比較する。
　Ｓ１０６では、検出部１２は、検出部入力１０４と期待値とが一致しているかを判定し、検出部入力１０４と期待値とが一致していれば、処理がＳ１１０に進む。
　Ｓ１０７では、検出部１２は、選択した機能要素４に対応する故障レジスタ１３のビットの値を１にする。
　Ｓ１１０では、検出部１２は、選択した機能要素４に対応する故障レジスタ１３のビットの値を０にする。
　ループから抜けた後、Ｓ１０９で検出部１２は、検出部出力１０３により、機能要素モジュール３をテストモードからノーマルモードに切り替える。

　図４のフローチャートを使用して、マスク生成部５によるマスク値の生成方法を説明する。

　Ｓ２０１で、マスク生成部５は、故障レジスタ出力１０６の値をマスク生成部５内のマスクレジスタ設定値１０２用の出力レジスタにセットする。
　Ｓ２０２で、マスク生成部５は、全プロセッサ２の故障要素数の最大値１０８から故障要素数１０７を引き、故障をしていない機能要素４の中でマスクをしなければならない機能要素４の数を算出する。
　Ｓ２０３からＳ２０９までの処理はループである。
　Ｓ２０３からＳ２０９までの処理は、Ｓ２０２で算出した機能要素数分繰り返される。
　Ｓ２０４では、故障をしていない機能要素４の中でマスクをしなければならない機能要素４の数が０であったら、マスク生成部５は、ループから抜けて処理を終了する。
　Ｓ２０５では、マスク生成部５は、マスクレジスタ設定値１０２用の出力レジスタの未だ検査していないビットの中で最も番号の小さいビットを選択し、選択したビットをチェックする。
　Ｓ２０６では、Ｓ２０５で選択されたビットの値が１であれば、処理はＳ２０９に進む。
　Ｓ２０５で選択されたビットの値が０であれば、処理はＳ２０７に進む。
　Ｓ２０７では、マスク生成部５は、マスクレジスタ設定値１０２用の出力レジスタのチェックした要素に対応するビットの値を１にする。
　Ｓ２０８では、マスク生成部５は、故障をしていない機能要素４の中でマスクをしなければならない機能要素４の数から１を引く。

　本実施の形態に係るマイクロコンピュータ１の動作を具体例を用いて説明する。
　図７に、２個のプロセッサ２でロックステップを構成し、各プロセッサ２がキャッシュメモリを持つマイクロコンピュータへの本実施の形態の適用例を示す。
　図７では、キャッシュメモリは８個のウェイで構成され、それぞれのウェイは故障検出され、個別にマスクすることができる。
　図７のキャッシュメモリが図１の機能要素モジュールに対応し、図７の各ウェイが図１の機能要素４に対応する。
　なお、図７では、説明に必要な要素以外の要素は図示を省略している。
　また、キャッシュメモリのウェイの番号と、故障レジスタ及びマスクレジスタのビット番号は対応している。
　プロセッサＡはキャッシュメモリのウェイ２、ウェイ３が故障しているものとする。
　この場合、プロセッサＡの故障レジスタ１３のビットの値はビット０から順に「００１１００００」となる。
　プロセッサＢはキャッシュメモリのウェイ１、ウェイ３、ウェイ５、ウェイ７が故障しているものとする。
　この場合、プロセッサＢの故障レジスタ１３のビットの値はビット０から順に「０１０１０１０１」となる。
　プロセッサＡ及びプロセッサＢの故障要素カウンタ１４は、それぞれの故障レジスタ１３から値が１であるビットをカウントする。
　プロセッサＡの故障要素カウンタ１４のカウンタ値は２となり、プロセッサＢの故障要素カウンタ１４のカウンタ値は４となる。
　各プロセッサの故障要素カウンタ１４の値は最大値計算器１８に入力される。
　最大値計算器１８はプロセッサＡの故障要素カウンタ１４の値２よりも大きいプロセッサＢの故障要素カウンタ１４の値４を出力する。
　プロセッサＡでは、最大値計算器１８からの入力と故障レジスタ１３の値をマスク生成部５が入力される。
　プロセッサＡのマスク生成部５は、プロセッサＡの故障したキャッシュメモリのウェイを全てマスクするマスク値を生成する。
　マスクするウェイの数が最大値計算器１８からの入力に満たない場合は、プロセッサＡのマスク生成部５は、最大値計算器１８からの入力と同数のマスク値を生成する。
　プロセッサＡのマスク生成部５は、故障していないウェイのうちマスクレジスタの小さいビットに割り当てられているウェイから順にマスク値を生成する。
　プロセッサＡで生成されたマスク値は、ビット０から順に「１１１１００００」となる。
　このマスク値がマスクレジスタ６に設定されて、プロセッサＡのキャッシュのウェイがマスクされる。
　プロセッサＢでも同様に、マスク生成部５はプロセッサＢの故障したキャッシュメモリのウェイを全てマスクするマスク値を生成する。
　マスクする要素の数が最大値計算器からの入力に満たない場合は、プロセッサＢのマスク生成部５は、プロセッサＡのマスク生成部５と同様の方法で、マスク値を生成する。
　つまり、故障していないウェイのうちマスクレジスタの小さいビットに割り当てられているウェイから順に、最大値計算器１８からの入力と同数のマスク値を生成する。
　プロセッサＢで生成されたマスク値は、ビット０から順に「０１０１０１０１」となる。
　このマスク値がマスクレジスタ６に設定されて、プロセッサＢのキャッシュのウェイがマスクされる。

＊＊＊効果の説明＊＊＊
　本実施の形態に係るマイクロコンピュータはこのように構成されているので、各プロセッサの故障した機能要素は必ずマスクされており、また、各プロセッサでマスクされた機能要素の数は全プロセッサでの故障要素数の最大値に一致する。
　このため、ロックステップを構成するプロセッサの中に故障した機能要素を含むプロセッサが存在し、それぞれのプロセッサの間で故障した機能要素の番号、個数が異なる場合でも、最小限のマスクで、全プロセッサを機能的に等価とすることができる。
　また、プロセッサの一部の機能要素が故障した場合でも、機能や性能の劣化を最小限に抑えた、ロックステップにより故障検出が可能なマイクロコンピュータを実現することが可能になる。

　実施の形態２．
＊＊＊構成の説明＊＊＊
　図５は、本実施の形態に係るマイクロコンピュータ１の構成例を示す。

　図５において、マスクレジスタ６の出力するマスクレジスタ出力１０１は、正常要素カウンタ２１に入力される。
　正常要素カウンタ２１は、マスクレジスタ出力１０１においてマスクされていないビット数をカウントする。
　つまり、正常要素カウンタ２１は、マスク生成部５によりマスクされていない機能要素４の個数をカウントする。
　また、正常要素カウンタ２１は、カウント結果を正常要素数１０９として出力する。
　正常要素数１０９は構成レジスタ７に入力され、プログラムは構成レジスタ７内の正常要素数１０９を参照することができる。

＊＊＊動作の説明＊＊＊
　本実施の形態に係るマイクロコンピュータ１の動作を具体例を用いて説明する。
　図８に、２個のプロセッサ２でロックステップを構成し、各プロセッサ２がキャッシュメモリを持つマイクロコンピュータへの本実施の形態の適用例を示す。
　図８では、キャッシュメモリは８個のウェイで構成され、それぞれのウェイは故障検出され、個別にマスクすることができる。
　この図８では、説明に必要な要素以外は図示が省略されている。
　なお、マスクの生成までの過程は実施の形態１と同じなため説明を省略する。
　プロセッサＡの正常要素カウンタ２１は、マスクレジスタ６のマスクされていないビットの数（０の数）をカウントする。
　ここでは、マスクレジスタ６の内容はビット０から順に「１１１１００００」であるとする。
　そして、プロセッサＡの正常要素カウンタ２１は、カウント結果である４個を構成レジスタ７中のウェイ数を示す部分に格納する。
　プロセッサＢにおいても、正常要素カウンタ２１はマスクレジスタ６のマスクされていないビットの数（０の数）をカウントする。
　ここでは、マスクレジスタ６の内容はビット０から順に「０１０１０１０１」であるとする。
　そして、プロセッサＢの正常要素カウンタ２１は、カウント結果である４個を構成レジスタ７中のウェイ数を示す部分に格納する。

＊＊＊効果の説明＊＊＊
　このように、故障しているウェイやマスクレジスタの値がプロセッサ間で異なる場合でも、各プロセッサの構成レジスタはマスクされていないウェイ数を示すことができる。
　これにより、プログラムは、マスクレジスタの値を参照しなくても、機能要素モジュールのマスクされていない機能要素の数を取得することができる。
　そして、プロセッサに故障がある場合でも、機能をマスクした後のプロセッサの構成に応じたプログラムの動作が可能な、ロックステップにより故障検出が可能なマイクロコンピュータを実現することが可能になる。

　実施の形態３．
　実施の形態１に示す方法により、故障が発生したプロセッサの出力と故障が発生していない正常なプロセッサの出力とを一致させることができる。
　しかしながら、機能構成をマスクした場合は、マイクロコンピュータの構成が、プログラムが前提としている構成と異なってしまう。
　このため、プログラムが動作不能になったり、プログラムの性能が劣化してしまう場合がある。
　一般的には、マイクロコンピュータが起動した後、プログラムがマイクロコンピュータの構成を検知し、マイクロコンピュータの構成に合わせて設定や制御方法を変える。
　このため、プログラムがマスク値を読み出すことで、上記の問題は解決可能のように思えるが、ロックステップを構成する場合は、プロセッサごとにマスク値が異なると、読み出し結果が異なり、エラーを誤検出してしまう。
　本実施の形態では、機能要素をマスクした後のプロセッサの構成に応じたプログラムの動作が可能なマイクロコンピュータを説明する。

　さらに、機能要素をマスクした状態で、プログラムが、マスクしていない機能要素を選択して制御する場合は、プロセッサごとにマスクしている機能要素が異なると、機能要素を選択する際のプログラムの動作がプロセッサごとに異なってしまう。
　この結果、ロックステップにおいて、プロセッサごとの動作の違いによりエラーが誤検出されてしまう場合がある。
　本実施の形態では、エラーの誤検出を発生させずに、プログラムが、マスクされていない機能要素を選択することが可能なマイクロコンピュータを説明する。

＊＊＊構成の説明＊＊＊
　図６は、本実施の形態に係るプロセッサ２の構成例を示す。
　図６において、プログラム２２は、機能要素モジュール３の機能要素４にアクセスする際に、論理番号１１０により要素を指定する。
　論理番号１１０は、番号管理部２３に入力される。
　番号管理部２３には、マスクレジスタ６の出力するマスクレジスタ出力１０１も入力されている。
　番号管理部２３は、マスクレジスタ出力１０１の値を１ビットずつ参照して、値０のビット位置の物理番号１１１を論理番号１１０に対応付け、論理番号１１０と物理番号１１１との間の変換を行う。
　そして、番号管理部２３は、物理番号１１１に対応する機能要素４を選択し、選択した機能要素４にアクセスする。
　プロセッサ２以外のマイクロコンピュータ１内の構成は、図１に示す通りである。

＊＊＊動作の説明＊＊＊
　本実施の形態に係るマイクロコンピュータ１の動作を具体例を用いて説明する。
　図９に、２個のプロセッサ２でロックステップを構成し、各プロセッサ２がキャッシュメモリを持つマイクロコンピュータへの本実施の形態の適用例を示す。
　図９では、キャッシュメモリは８個のウェイで構成され、それぞれのウェイは故障検出され、個別にマスクすることができる。
　この図９では、説明に必要な要素以外は図示が省略されている。
　なお、マスクの生成までの過程は実施の形態１と同じなため説明を省略する。
　プロセッサＡの番号管理部２３は、マスクレジスタ６のマスクされていないビットをビット０から順にチェックする。
　ここでは、マスクレジスタ６の内容は、ビット０から順に「１１１１００００」であるとする。
　番号管理部２３は、最初に見つかったビットのビット番号を物理番号として論理番号のＷＡＹ０と結び付ける。
　そして、番号管理部２３は、以後、マスクされていないビットを検出するたびに、ＷＡＹ１、ＷＡＹ２、…と論理番号をインクリメントして、見つかったビット番号を物理番号として結び付けていく。
　この例では論理番号のＷＡＹ０、ＷＡＹ１、ＷＡＹ２、ＷＡＹ３が物理番号のＷＡＹ４、ＷＡＹ５、ＷＡＹ６、ＷＡＹ７に結び付けられる。
　同様にプロセッサＢの番号管理部２３は、マスクレジスタ６のマスクされていないビットをビット０から順にチェックする。
　ここでは、マスクレジスタ６の内容は、ビット０から順に「０１０１０１０１」であるとする。
　番号管理部２３は、最初に見つかったビットのビット番号を物理番号として論理番号のＷＡＹ０と結び付ける。
　そして、番号管理部２３は、以後、マスクされていないビットを検出するたびに、ＷＡＹ１、ＷＡＹ２、…と論理番号をインクリメントして、見つかったビット番号を物理番号として結び付けていく。
　この例では論理番号のＷＡＹ０、ＷＡＹ１、ＷＡＹ２、ＷＡＹ３が物理番号のＷＡＹ０、ＷＡＹ２、ＷＡＹ４、ＷＡＹ６に結び付けられる。
　このように求められた番号管理部２３での論理番号と物理番号の変換の規則により、プログラムがキャッシュのウェイに論理番号でアクセスする際に番号管理部２３が論理番号を物理番号に変換し、変換により得られた物理番号に対応するウェイにアクセスをする。
　このため、双方のプロセッサでマスクしているウェイが異なる場合でも、双方のプロセッサで同じ論理番号を使用して、論理番号から一意に求まるマスクしていないウェイにアクセスすることが可能になる。

＊＊＊効果の説明＊＊＊
　これにより、プログラムからは、マスクされた機能要素がどれであるかを知らなくても、論理番号により機能要素にアクセスすることが可能になる。
　そして、プロセッサに故障がある場合でも、機能をマスクした後のプロセッサで、プログラムがマスクされていない機能を選択して制御することが可能な、ロックステップにより故障検出が可能なマイクロコンピュータを実現することが可能になる。

　なお、番号管理部２３が、論理アドレスから物理アドレスへの変換をあらかじめ行っておき、結果を番号管理部２３内部にあるテーブルに記憶しておき、実際のアクセスの際は、テーブルを参照することにしてもよい。
　このようにすれば、変換ごとのマスクレジスタ出力１０１の各ビットのチェックが不要になり、高速に物理番号１１１を求めることができる。

　実施の形態１～３で説明したマスク生成部５、検出部１２及び実施の形態３で説明した番号管理部２３は、プログラムで実現してもよいし、回路で実現してもよい。
　マスク生成部５、検出部１２及び番号管理部２３をプログラムで実現する場合は、マスク生成部５、検出部１２及び番号管理部２３の機能を実現するプログラムが例えばＲＯＭ１５に記憶されている。
　そして、このプログラムが、ＲＡＭ１６にロードされ、プロセッサ２に読み込まれ、プロセッサ２によって実行される。
　また、マスク生成部５、検出部１２及び番号管理部２３を回路で実現する場合は、マスク生成部５、検出部１２及び番号管理部２３に対応する回路がプロセッサ２に配設され、各部に対応する回路が他の回路（機能要素モジュール３、故障レジスタ１３、マスクレジスタ６、構成レジスタ７、故障要素カウンタ１４）と配線接続されている。

　１　マイクロコンピュータ、２　プロセッサ、３　機能要素モジュール、４　機能要素、５　マスク生成部、６　マスクレジスタ、７　構成レジスタ、８　プロセッサのバス入力、９　プロセッサのバス出力、１０　比較多数決回路、１１　バス、１２　検出部、１３　故障レジスタ、１４　故障要素カウンタ、１５　ＲＯＭ、１６　ＲＡＭ、１７　ＩＯデバイス、１８　最大値計算器、１９　プロセッサのバス出力、２０　チェックされたプロセッサのバス出力、２１　正常要素カウンタ、２２　プログラム、２３　番号管理部、１０１　マスクレジスタ出力、１０２　マスクレジスタ設定値、１０３　検出部出力、１０４　検出部入力、１０５　検出結果、１０６　故障レジスタ出力、１０７　故障要素数、１０８　故障要素数の最大値、１０９　正常要素数、１１０　論理番号、１１１　物理番号、２００　プロセッサシステム。

Claims

　それぞれに複数の機能要素が実装されている複数のプロセッサで構成されるプロセッサシステムに含まれるプロセッサであって、
　前記プロセッサに実装されている前記複数の機能要素を検査して、前記複数の機能要素のうち故障が発生している機能要素を検出する検出部と、
　各プロセッサで検出された故障が発生している機能要素の個数のうちの最大値をマスク数として通知するマスク数通知を受信し、前記検出部により検出された機能要素を含む、前記マスク数分の機能要素をマスクするマスク生成部とを有するプロセッサ。
　前記プロセッサは、更に、
　前記検出部により検出された故障が発生している機能要素の個数をカウントし、
　各プロセッサから各プロセッサで検出された故障が発生している機能要素の個数の通知を受け、各プロセッサで検出された故障が発生している機能要素の個数のうちの最大値を判別し、前記マスク数通知を生成する最大値計算器に、カウントした機能要素の個数を通知する故障要素カウンタを有し、
　前記マスク生成部は、
　前記最大値計算器から、前記マスク数通知を受信する請求項１に記載のプロセッサ。
　前記プロセッサは、
　前記プロセッサシステムに含まれる他のプロセッサとともにロックステップを構成する請求項２に記載のプロセッサ。
　前記プロセッサは、更に、
　前記マスク生成部によりマスクされていない機能要素の個数をカウントする正常要素カウンタを有する請求項１に記載のプロセッサ。
　前記複数の機能要素には物理番号が設定されており、
　前記プロセッサは、更に、
　前記マスク生成部によりマスクされていない機能要素の物理番号に論理番号を対応付け、論理番号と物理番号との間の変換を行う番号管理部を有する請求項１に記載のプロセッサ。
　請求項１に記載のプロセッサシステムに含まれる複数のプロセッサを、ロックステップを構成する複数のプロセッサとして含むマイクロコンピュータ。