WO2016194170A1

WO2016194170A1 - 障害検出装置および障害検出システム

Info

Publication number: WO2016194170A1
Application number: PCT/JP2015/066053
Authority: WO
Inventors: 治英鬼村; 貴憲河野; 朋永糸井; 一輝佐藤; 拓也棚林
Original assignee: 株式会社日立製作所
Priority date: 2015-06-03
Filing date: 2015-06-03
Publication date: 2016-12-08

Abstract

起動開始から所定時間内にリセット信号を出力する監視対象の障害を検出する障害検出装置は、所定時間より長くかつ監視対象の起動時間より短い第１タイムアップ時間が設定されており、監視対象の起動開始またはリセット信号の入力により第１カウンタをリセットして計時を開始し、第１タイムアップ時間が経過した場合、第１タイムアップ信号を監視対象に出力して再起動させかつ第１カウンタをリセットする第１タイマと、監視対象の起動時間より長い第２タイムアップ時間が設定されており、監視対象の起動開始により第２カウンタをリセットして計時を開始し、第２タイムアップ時間が経過した場合、第２タイムアップ信号を出力する第２タイマと、監視対象に電力を供給し、第２タイムアップ信号が入力された場合、監視対象への電力供給を停止する供給源と、を有する。

Description

障害検出装置および障害検出システム

　本発明は、監視対象の障害を検出する障害検出装置および障害検出システムに関する。

　計算機の暴走検知方法として、ウォッチドッグタイマを用いる方式がある。特許文献１には、「ソフトウェアによりトリガ信号を生成し、周期（ＴＷ）のハードウェアタイマに起動をかける。その後、ソフトウェアによりハードウェアタイマの周期（ＴＷ）を越えない時間内に必ずリトリガ信号をハードウェアタイマに与え続ける様プログラムを構成する。なお、ハードウェアタイマには、リトリガブル・タイマが使用され、その周期Ｔｗを越えない時間内にリトリガ信号が与えられる限り、タイマのタイムアップが発生することはない。一方、ソフトウェアには、リトリガ信号発生用のプログラムコードが適当な箇所に埋め込まれており、システムが正常に動作している限り、Ｔｗ以内にリトリガ信号が必ず生成されるように設計されている。以上の構成において、システムに何らかの異常が発生し、プログラムの暴走、無限ループ実行となった場合や、ホールド状態への移行等の現象に波及した場合には、リトリガ信号の生成が不可となり、ハードウェアタイマがタイムアップする。このタイムアップ信号を利用することにより、システムの異常を検知することが可能となる。」という記載がある。

特開平４－４４１３２号公報

　ウォッチドッグタイマ(以降、「ＷＤＴ」)を使った障害検知方法では、異常が恒久的である場合、ＷＤＴのタイムアップが永久に繰り返されるという問題がある。また、異常であるがＷＤＴの定期リセットが可能な場合(たとえば、ＷＤＴの定期リセット処理を含んだ形での無限ループ)、ＷＤＴはタイムアップしないという問題がある。

　また、特許文献１は、ＷＤＴとバスタイマとを組み合わせることで、異常であるがＷＤＴの定期リセットが可能な検知方法であるが、異常が恒久的である場合、ＷＤＴのタイムアップが永久に繰り返されるという問題がある。本発明は、監視対象の起動中における暴走状態の継続を抑止することを目的とする。

　本願において開示される発明の一側面となる障害検出装置は、起動開始から所定時間内にリセット信号を出力する監視対象の障害を検出する障害検出装置であって、前記所定時間よりも長く、かつ、前記監視対象が起動に要する時間よりも短い第１タイムアップ時間が設定されており、前記監視対象の起動開始または前記リセット信号の入力により第１カウンタをリセットして計時を開始し、前記第１タイムアップ時間が経過した場合、当該経過を示す第１タイムアップ信号を前記監視対象に出力することにより前記監視対象の起動を再度開始させ、かつ、前記第１カウンタをリセットして計時する第１タイマと、前記監視対象が起動に要する時間よりも長い第２タイムアップ時間が設定されており、前記監視対象の起動開始により第２カウンタをリセットして計時を開始し、前記第２タイムアップ時間が経過した場合、当該経過を示す第２タイムアップ信号を出力する第２タイマと、前記監視対象に電力を供給し、前記第２タイマから前記第２タイムアップ信号が入力された場合、前記監視対象への電力の供給を停止する供給源と、を有することを特徴とする。

　本発明の代表的な実施の形態によれば、監視対象の起動中における暴走状態の継続を抑止することができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

障害検出装置のブロック構成例を示す説明図である。障害検出装置における動作処理手順例を示すフローチャートである。図２に示した障害検出装置の冗長化例を示す説明図である。図３に示したＳＶＰの動作処理シーケンス例１を示すシーケンス図である。図３に示したＳＶＰの動作処理シーケンス例２を示すシーケンス図である。障害検出装置のブロック構成の他の例を示す説明図である。

　＜障害検出装置のブロック構成例＞
　図１は、障害検出装置のブロック構成例を示す説明図である。障害検出装置１は、監視対象の一例であるマイコン１００と、第１ＷＤＴ１０１と、第２ＷＤＴ１０２と、電源回路１０４と、第１ＯＲ回路１０５と、第２ＯＲ回路１０６と、を有する。

　マイコン１００は、所定のプログラムを記憶するメモリと、所定のプログラムを実行するプロセッサとを内蔵する。マイコン１００の出力は、第１ＯＲ回路１０５の入力と第２ＷＤＴ１０２の入力と電源回路１０４の入力に接続される。また、マイコン１００の入力は、第１ＷＤＴ１０１の出力と電源回路１０４の出力に接続される。マイコン１００は、電源回路１０４からパワーオンリセット信号１２０の入力を受け付けると、プログラムの起動を開始する。

　マイコン１００は、定期的に第１ＷＤＴ定期リセット信号１２１を第１ＯＲ回路１０５に出力する。第１ＷＤＴ定期リセット信号１２１は、プログラムが正常に起動している場合に、第１ＷＤＴ１０１のタイムアップを阻止するための信号である。マイコン１００は、障害検出装置１が冗長化構成である場合、他の障害検出装置１内の他のマイコン１００と通信可能に接続され、他のマイコン１００の再起動を検出すると、第２ＷＤＴリセット信号１２２を、第１ＯＲ回路１０５および第２ＯＲ回路１０６に出力する。第２ＷＤＴリセット信号１２２は、第２ＷＤＴのカウンタをリセットするための信号である。また、マイコン１００は、プログラムの起動が完了すると、起動完了信号１２３を第２ＷＤＴ１０２に出力する。

　第１ＷＤＴ１０１は、監視対象の障害を検出するタイマである。第１ＷＤＴ１０１の出力は、第１ＯＲ回路１０５の入力およびマイコン１００の入力に接続されており、また、第１ＷＤＴ１０１の入力は、第１ＯＲ回路１０５の出力に接続されている。第１ＷＤＴ１０１には、マイコン１００の起動に要する時間よりも短い第１タイムアップ時間Ｔ１が設定されている。

　第１ＷＤＴ１０１は、第１ＯＲ回路１０５を介して電源回路１０４からのパワーオンリセット信号１２０の入力を受け付けると、カウンタをクリアし計時を開始する。そして、第１タイムアップ時間Ｔ１が経過すると、第１ＷＤＴ１０１は、第１ＷＤＴタイムアップ信号１２４をマイコン１００および第１ＯＲ回路１０５に出力する。第１ＷＤＴタイムアップ信号１２４は、第１タイムアップ時間Ｔ１が経過したことを通知する信号である。

　また、第１ＷＤＴ１０１は、第１ＯＲ回路１０５から第１ＷＤＴタイムアップ信号１２４の入力を受け付けると、カウンタをクリアし、計時を再実行する。また、第１ＷＤＴ１０１は、第１ＯＲ回路１０５を介してマイコン１００から第１ＷＤＴ定期リセット信号１２１の入力を受け付けると、カウンタをクリアし、計時を再実行する。

　また、第１ＷＤＴ１０１は、第１ＯＲ回路１０５を介してマイコン１００から第１ＷＤＴ定期リセット信号１２１の入力を受け付けると、カウンタをクリアし、計時を再実行する。

　第２ＷＤＴ１０２は、第１ＷＤＴ１０１を制御して、第１ＷＤＴ１０１による障害検出の暴走を抑止するタイマである。第２ＷＤＴ１０２の出力は電源回路１０４の入力に接続されており、第２ＷＤＴ１０２の入力は、第２ＯＲ回路１０６の出力に接続されている。第２ＷＤＴ１０２には、マイコン１００が正常に起動完了するのに十分な時間、すなわち、起動に要する時間よりも長い第２タイムアップ時間Ｔ２が設定されている。

　第２ＷＤＴ１０２は、第２ＯＲ回路１０６を介して電源回路１０４からのパワーオンリセット信号１２０またはマイコン１００からの第２ＷＤＴリセット信号１２２の入力を受け付けると、カウンタをクリアし、計時を開始する。そして、第２ＷＤＴ１０２は、第２タイムアップ時間Ｔ２が経過すると、第２ＷＤＴタイムアップ信号１２５を電源回路１０４に出力する。第２ＷＤＴタイムアップ信号１２５は、第２タイムアップ時間Ｔ２が経過したことを通知する信号である。また、第２ＷＤＴ１０２は、第２ＯＲ回路１０６を介してマイコン１００から第２ＷＤＴリセット信号１２２の入力を受け付けると、カウンタをクリアし、計時を再実行する。第２ＷＤＴ１０２は、マイコン１００から起動完了信号１２３をの入力を受け付けると、カウンタによる計時を停止する。これにより、正常にマイコン１００が起動した後におけるマイコン１００の電源断を抑止することができる。

　電源回路１０４は、マイコン１００、第１ＷＤＴ１０１、および第２ＷＤＴ１０２に電力を供給する供給源である。そして、電源回路１０４は、マイコン１００、第１ＷＤＴ１０１、および第２ＷＤＴ１０２を起動するために、マイコン１００、第１ＯＲ回路１０５、および第２ＯＲ回路１０６に、パワーオンリセット信号１２０を出力する。

　第１ＯＲ回路１０５は、３入力１出力のＯＲ回路である。第１ＯＲ回路１０５は、電源回路１０４からのパワーオンリセット信号１２０、マイコン１００からの第１ＷＤＴ定期リセット信号１２１、または、第１ＷＤＴ１０１からの第１ＷＤＴタイムアップ信号１２４の少なくともいずれか１つが入力された場合に、第１ＷＤＴ１０１のカウンタをリセットするリセット信号を第１ＷＤＴ１０１に出力する。

　第２ＯＲ回路１０６は、２入力１出力のＯＲ回路である。第２ＯＲ回路１０６は、電源回路１０４からのパワーオンリセット信号１２０、または、第１ＷＤＴ１０１からの第２ＷＤＴリセット信号１２２の少なくともいずれか１つが入力された場合に、第２ＷＤＴ１０２のカウンタをリセットするリセット信号を第２ＷＤＴ１０２に出力する。

　障害検出装置１では、マイコン１００が正常状態の場合、マイコン１００は定期的に第１ＷＤＴ定期リセット信号１２１を第１ＯＲ回路１０５を介して第１ＷＤＴ１０１に出力することにより、第１タイムアップ時間Ｔ１の経過前に第１ＷＤＴ１０１のカウンタをリセットする。したがって、第１ＷＤＴ１０１においてタイムアップは発生しない。また、第２ＷＤＴ１０２も、マイコン１００が時間内に起動すればタイムアップしない。

　マイコン１００に異常が発生した場合、マイコン１００は第１ＷＤＴ定期リセット信号１２１を第１ＯＲ回路１０５を介して第１ＷＤＴ１０１に出力しなくなる。したがって、第１ＷＤＴ１０１は第１タイムアップ時間Ｔ１の経過により、第１ＷＤＴタイムアップ信号１２４をマイコン１００に出力する。マイコン１００は、第１ＷＤＴタイムアップ信号１２４の入力を受け付けると、プログラムを再起動する。これにより、マイコン１００の異常が、第１ＷＤＴ定期リセット信号１２１が出力できない障害であったり、一時的な障害であれば、プログラムの再起動によりマイコン１００が正常に起動することになる。

　また、マイコン１００に異常が発生したが、当該異常が第１ＷＤＴ定期リセット信号１２１が出力できる障害であったり、恒久的な障害である場合、マイコン１００は、プログラムの再起動を繰り返すことになり、暴走状態が継続する。したがって、障害検出装置１では、暴走状態の継続抑止のため、第２ＷＤＴ１０２は、マイコン１００から起動完了信号１２３や第２ＷＤＴリセット信号１２２が入力されずに第２タイムアップ時間Ｔ２が経過すると、第２ＷＤＴタイムアップ信号１２５を電源回路１０４に出力する。電源回路１０４は、第２ＷＤＴタイムアップ信号１２５の入力を受け付けると、マイコン１００の電力供給を停止し、マイコン１００の電源はＯＦＦになる。これにより、マイコン１００に異常が発生したが、当該異常が第１ＷＤＴ定期リセット信号１２１が出力できる障害であったり、恒久的な障害である場合、暴走状態の継続を抑止することができる。

　＜障害検出装置１における動作処理手順例＞
　図２は、障害検出装置１における動作処理手順例を示すフローチャートである。図２において、左側がマイコン１００の動作処理手順例、中央が第１ＷＤＴ１０１の動作処理手順例、右側が第２ＷＤＴ１０２の動作処理手順例を示す。利用者の操作または外部からのトリガにより障害検出装置１の電源がＯＮになると（ステップＳ２００）、電源回路１０４からマイコン１００、第１ＷＤＴ１０１および第２ＷＤＴ１０２に電力供給され、第１ＷＤＴ１０１および第２ＷＤＴ１０２が起動する（ステップＳ２１１、Ｓ２２１）。

　まず、マイコン１００の動作から説明する。マイコン１００は、電源回路１０４からパワーオンリセット信号１２０の入力を受け付けると、プログラムの起動を開始する（ステップＳ２０１）。そして、マイコン１００は、第１ＷＤＴリセット（ステップＳ２０２）を繰り返す。第１ＷＤＴリセット（ステップＳ２０２）とは、第１ＷＤＴ定期リセット信号１２１を出力することである。これにより、第１ＷＤＴ１０１は、第１ＷＤＴ定期リセット信号１２１が入力されると、カウンタをリセットする（ステップＳ２１２）。

　そして、プログラムの起動が完了すると（ステップＳ２０３）、マイコン１００は、第２ＷＤＴ１０２を停止させる（ステップＳ２０４）。具体的には、マイコン１００は、起動完了信号１２３を第２ＷＤＴ１０２に出力する。これにより、第２ＷＤＴ１０２は、第２ＷＤＴ１０２の動作を停止する（ステップＳ２２６）。プログラムの起動後は、マイコン１００は、通常通り、第１ＷＤＴ１０１の第１定期リセット信号の出力（ステップＳ２０５）と、監視対象処理（ステップＳ２０６）と、を繰り返す。監視対象処理（ステップＳ２０６）が障害により停止すると、第１タイムアップ時間Ｔ１のタイムアップ（ステップＳ２１５）により、マイコン１００がリセットされ（ステップＳ２１６）、プログラムの再起動（ステップＳ２０１）、第１ＷＤＴ１０１のカウンタクリア（ステップＳ２１２）、および第２ＷＤＴ１０２のカウンタクリア（ステップＳ２２１）が実行されることになる。

　つぎに、第１ＷＤＴ１０１の動作について説明する。第１ＷＤＴ１０１は、第１ＷＤＴ１０１の起動後、電源回路１０４からパワーオンリセット信号１２０の入力を受け付けると、第１タイムアップ時間Ｔ１を計時するカウンタをクリアする（ステップＳ２１２）。ステップＳ２１２は、マイコン１００のＷＤＴリセット（ステップＳ２０２）により、第１ＷＤＴ定期リセット信号１２１の入力を受け付けた場合も実行される。

　そして、１秒スリープ後（ステップＳ２１３）、第１ＷＤＴ１０１はカウンタを加算し（ステップＳ２１４）、タイムアップか否か、すなわち、カウンタの値が第１タイムアップ時間Ｔ１を超えたか否かを判断する（ステップＳ２１５）。タイムアップでない場合（ステップＳ２１５：Ｎｏ）、第１ＷＤＴ１０１は、１秒スリープ（ステップＳ２１３）とカウンタ加算（ステップＳ２１４）を繰り返す。

　タイムアップである場合（ステップＳ２１５：Ｙｅｓ）、第１ＷＤＴ１０１は、マイコン１００を再起動させる（ステップＳ２１６）。すなわち、第１ＷＤＴ１０１は、第１ＷＤＴタイムアップ信号１２４をマイコン１００に出力する。これにより、マイコン１００はプログラムの再起動を開始する（ステップＳ２０１）。その後、第１ＷＤＴ１０１は、ステップＳ２１２に戻り、カウンタをクリアする（ステップＳ２１２）。

　つぎに、第２ＷＤＴ１０２の動作について説明する。第２ＷＤＴ１０２は、第１ＷＤＴ１０１の起動後、電源回路１０４からパワーオンリセット信号１２０の入力を受け付けると、第２タイムアップ時間Ｔ２を計時するカウンタをクリアする（ステップＳ２２２）。

　そして、１秒スリープ後（ステップＳ２２３）、第２ＷＤＴ１０２はカウンタを加算し（ステップＳ２２４）、停止指示があるか否かを判断する（ステップＳ２２５）。具体的には、第２ＷＤＴ１０２は、マイコン１００からの起動完了信号１２３の入力を受け付けたか否かを判断する。停止指示がある場合（ステップＳ２２５：Ｙｅｓ）、すなわち、起動完了信号１２３の入力があった場合、マイコン１００の起動が完了したため、第２ＷＤＴ１０２は、動作を停止する（ステップＳ２２６）。一方、停止指示がない場合（ステップＳ２２５：Ｎｏ）、すなわち、起動完了信号１２３の入力がない場合、第２ＷＤＴ１０２は、タイムアップか否か、すなわち、カウンタの値が第２タイムアップ時間Ｔ２を超えたか否かを判断する（ステップＳ２２７）。タイムアップでない場合（ステップＳ２２７：Ｎｏ）、第２ＷＤＴ１０２は、１秒スリープ（ステップＳ２２３）とカウンタ加算（ステップＳ２２４）を繰り返す。

　タイムアップである場合（ステップＳ２２７：Ｙｅｓ）、第２ＷＤＴ１０２は、第２ＷＤＴタイムアップ信号１２５を電源回路１０４に出力して、電源回路１０４により障害検出装置１の電力供給を停止させる（ステップＳ２２８）。これにより、電源回路１０４は、障害検出装置１の電源をＯＦＦにするため、第１ＷＤＴ１０１の暴走が抑止される。

　＜障害検出装置１の冗長化例＞
　図３は、図２に示した障害検出装置１の冗長化例を示す説明図である。図３は、ブレードサーバ３００に実装された障害検出装置１の冗長化例でる障害検出システムを示す。障害検出システムであるブレードサーバ３００は、シャーシ３０１と、着脱可能な１以上のブレード３０２であるブレード群３０３と、２台のサービスプロセッサ（以下、ＳＶＰ（Ｓｅｒｖｉｃｅ　Ｐｒｏｃｅｓｓｏｒ））３０４－１，３０４－２と、を有する。ブレード群３０３と第１ＳＶＰ３０４－１とは、ネットワークにより通信可能に接続される。ブレード群３０３と第２ＳＶＰ３０４－２とは、ネットワークにより通信可能に接続される。第１ＳＶＰ３０４－１と第２ＳＶＰ３０４－２を区別しない場合は、枝番を省略して、単に「ＳＶＰ３０４」と表記する。他の符号も同様である。

　シャーシ３０１は、ブレード群３０３が着脱可能な筐体である。ブレード３０２は、Ｗｅｂサービス、データベースサービス、分析サービスその他何らかの情報処理を実行するサーバである。ＳＶＰ３０４は、ブレード群３０３を管理するモジュールである。ＳＶＰ３０４は、ネットワークスイッチ３０５と障害検出装置１とを有する。ネットワークスイッチ３０５は、障害検出装置１との接続相手となるブレード３０２を切り替える。第１の障害検出装置１－１の第１のマイコン１００－１と第２の障害検出装置１－２のマイコン１００－２とは、回線３０７により通信可能に接続される。両マイコン１００－１，１００－２は、同期をとりあって主系および待機系を決定したり、他方のＳＶＰ３０４の再起動や電源ＯＦＦを検出しあう。

　ブレードサーバ３００は、起動時に両ＳＶＰ３０４のうちいずれか一方のＳＶＰ３０４を主系に決定し、他方のＳＶＰ３０４を待機系に決定する。ブレードサーバ３００では、起動時にいずれか一方のＳＶＰ３０４のマイコン１００の起動処理が暴走しても抑止されるため、他方のＳＶＰ３０４が主系となって運用される。

　＜ＳＶＰの動作処理手順例＞
　図４は、図３に示したＳＶＰ３０４の動作処理シーケンス例１を示すシーケンス図である。各障害検出装置１の動作処理は、図２に示した通りであるが、図４では、両ＳＶＰ３０４間のシーケンスに着目して説明する。なお、図４では、いずれのマイコン１００にも障害が発生しない場合の正常時のシーケンス例である。

　ブレードサーバ３００の主電源がＯＮになると、各ＳＶＰ３０４の電源回路１０４は、自ＳＶＰ３０４内のマイコン１００、第１ＷＤＴ１０１および第２ＷＤＴ１０２に電力供給する。これにより、第１ＷＤＴ１０１および第２ＷＤＴ１０２が起動する。マイコン１００は、電源回路１０４からのパワーオンリセット信号１２０の入力によりプログラムの起動を開始する（ステップＳ４００）。

　両マイコン１００は、主系決定のため同期をとりあい（ステップＳ４０１～Ｓ４０３）、主系および待機系を確定させる（ステップＳ４０４）。その間、各マイコン１００は、第１ＷＤＴ定期リセット信号１２１を自ＳＶＰの第１ＷＤＴ１０１に出力する（ステップＳ４０５）。各マイコン１００は、プログラムの起動が完了すると、起動完了信号１２３を第２ＷＤＴ１０２に出力する（ステップＳ４０６）。これにより、第２ＷＤＴ１０２の動作が停止する。

　図５は、図３に示したＳＶＰ３０４の動作処理シーケンス例２を示すシーケンス図である。各障害検出装置１の動作処理は、図２に示した通りであるが、図５でも、両ＳＶＰ３０４間のシーケンスに着目して説明する。なお、図５では、マイコン１００間の同期中にマイコン１００－２も障害が発生し、かつ、当該異常が第１ＷＤＴ定期リセット信号１２１が出力できる障害であったり、恒久的な障害である場合の障害時のシーケンス例である。したがって、マイコン１００－２は再起動開始後も障害が発生することになる。なお、図４と同一処理には同一ステップ番号を付す。

　両マイコン１００は、主系決定のため同期をとりあう（ステップＳ４０１、Ｓ４０２）が、同期２（ステップＳ４０２）のあとに、マイコン１００－２で障害が発生する。障害発生により、マイコン１００－２の動作が停止するため、第１ＷＤＴ１０１－２のタイムアップにより、第１ＷＤＴ１０１－２は第１ＷＤＴタイムアップ信号１２４をマイコン１００－２に出力する（ステップＳ５０１）。また、第１ＷＤＴ１０１－２は、第１ＷＤＴタイムアップ信号１２４を帰還させてリセット、すなわち、カウンタをクリアする（ステップＳ５０２）。なお、第２ＷＤＴ１０２－２はカウンタをクリアせずに、カウンタ加算を継続する（ステップＳ２２４）。

　また、マイコン１００－２は、第１ＷＤＴタイムアップ信号１２４の入力を受け付けるとプログラムの再起動を開始し（ステップＳ５０３）、再起動開始通知を回線３０７経由でマイコン１００－１に送信する（ステップＳ５０４）。マイコン１００－１は、再起動開始通知をマイコン１００－２から受信すると、同期のやり直しのため、プログラムの再起動を開始する（ステップＳ５０５）。また、これにともない、第１ＷＤＴ１０１－１および第２ＷＤＴ１０２－１はリセット、すなわち、カウンタをクリアする（ステップＳ５０５、Ｓ５０６）。具体的には、マイコン１００－１は、第１ＷＤＴ定期リセット信号１２１を第１ＯＲ回路１０５－１を介して第１ＷＤＴ１０１－１に出力し、第２ＷＤＴリセット信号１２２を第２ＯＲ回路１０６－１を介して第２ＷＤＴ１０２－１に出力する。

　その後、両マイコン１００は、再度主系決定のため同期をとりあう（ステップＳ４０１、Ｓ４０２）が、同期２（ステップＳ４０２）のあとに、マイコン１００－２で再度障害が発生する。障害発生により、マイコン１００－２の動作が停止するため、第１ＷＤＴ１０１－２のタイムアップにより、第１ＷＤＴ１０１－２は第１ＷＤＴタイムアップ信号１２４をマイコン１００－２に出力する（ステップＳ５０１）。また、第１ＷＤＴ１０１－２は、第１ＷＤＴタイムアップ信号１２４を帰還させてリセット、すなわち、カウンタをクリアする（ステップＳ５０２）。なお、第２ＷＤＴ１０２－２はカウンタをクリアせずに、カウンタ加算を継続する（ステップＳ２２４）。

　このあと、第２ＳＶＰ３０４－２の第２ＷＤＴ１０２でタイムアップが発生し、第２ＷＤＴ１０２－２は第２ＷＤＴタイムアップ信号１２５を電源回路１０４－２に出力し、電源回路１０４－２は、第２ＳＶＰ３０４－２の電源をＯＦＦにする（ステップＳ５０８）。これにより、マイコン１００－２の障害検出による再起動の繰り返しが抑止される。

　また、第１ＳＶＰ３０４－１では、マイコン１００－１はマイコン１００－２の電源ＯＦＦを検出することで、自身を主系に確定する（ステップＳ５０９）。マイコン１００－１は、プログラムの起動を完了すると、起動完了信号１２３を第２ＷＤＴ１０２－１に出力する（ステップＳ４０６－１）。これにより、第２ＷＤＴ１０２－１の動作が停止する。

　このように、マイコン１００－２の障害によりマイコン１００－２が再起動と障害発生を繰り返しても、第２ＷＤＴ１０２のタイムアップにより、マイコン１００－２の電源がＯＦＦになる。したがって、マイコン１００－２の暴走を抑止することができる。また、マイコン１００－２の電源ＯＦＦをマイコン１００－１が検出することにより、第１ＳＶＰ３０４－１が主系に決定され、起動処理が完了する。したがって、マイコン１００－２の異常が第１ＷＤＴ定期リセット信号１２１が出力できる障害であったり、恒久的な障害である場合であっても、同期処理（ステップＳ４０１、Ｓ４０２）が打ち切られ、マイコン１００－２が所属する第２ＳＶＰ３０４－２が切り離されるため、ブレードサーバ３００は、起動処理の遅延を抑制することができる。まお、障害があるマイコン１００－２については、メンテナンスにより正常な状態に復旧した場合に、再度ブレードサーバ３００に接続すればよい。

　＜障害検出装置１の他の例＞
　なお、上述した実施例では、第２ＷＤＴ１０２はタイムアップによりマイコン１００の電源をＯＦＦにさせる点について説明したが、電源ＯＦＦではなく、第２ＷＤＴ１０２のタイムアップにより、マイコン１００の再起動を停止するように制御してもよい。

　図６は、障害検出装置のブロック構成の他の例を示す説明図である。図６では、図１との相違点を中心に説明し、図１と同一構成には同一符号を付し、説明を省略する。障害検出装置１０は、ＡＮＤ回路６００を有する。ＡＮＤ回路６００は、２入力１出力のＡＮＤ回路であり、第１ＷＤＴタイムアップ信号１２４の出力を第２ＷＤＴタイムアップ信号１２５により制御する出力制御部である。

　ＡＮＤ回路６００の一方の入力が第１ＷＤＴ１０１の出力に接続され、他方の入力が第２ＷＤＴ１０２の出力と接続されている。他方の入力である否定入力は、第２ＷＤＴ１０２から出力される第２ＷＤＴタイムアップ信号１２５が入力される。ＡＮＤ回路６００の出力は、マイコン１００の入力および第１ＯＲ回路１０５の入力に接続される。また、図６では、第２ＷＤＴ１０２の出力が電源回路１０４に接続されておらず、ＡＮＤ回路６００の否定入力に接続される。

　ＡＮＤ回路６００は、第１ＷＤＴ１０１のタイムアップにより第１ＷＤＴタイムアップ信号１２４が出力され、かつ、第２ＷＤＴ１０２から第２ＷＤＴタイムアップ信号１２５が出力されていない場合、第１ＷＤＴタイムアップ信号１２４をマイコン１００に出力する。これにより、マイコン１００はプログラムの再起動を開始し、第１ＷＤＴ１０１もカウンタをクリアし、計時を再実行する。

　マイコン１００が障害により暴走した場合、第２ＷＤＴ１０２のタイムアップにより、第２ＷＤＴ１０２は第２ＷＤＴタイムアップ信号１２５をＡＮＤ回路６００の否定入力に出力する。これにより、ＡＮＤ回路６００からの第１ＷＤＴタイムアップ信号１２４の出力が停止され、マイコン１００は再起動されず、第１ＷＤＴ１０１もリセットされない。したがって、マイコン１００および第１ＷＤＴは動作しない。

　また、図５のシーケンスでは、マイコン１００－２の電源ＯＦＦをマイコン１００－１が検出したが、図６の障害検出装置１０を実装した場合、マイコン１００－２の電源はＯＦＦにならない。したがって、この場合は、マイコン１００－１は、マイコン１００－２の応答が一定期間ない場合に自身を主系に確定する。

　このように、本実施例によれば、障害が発生した監視対象の再起動を電源断または再起動停止をすることにより、起動時における監視対象の暴走を抑止することができる。また、障害検出装置を冗長化した場合、障害が発生した監視対象の起動時における暴走を抑止することにより、障害が発生した監視対象をシステムから切り離すことができる。したがって、障害が発生していない監視対象の起動時間の遅延を抑制することができ、システムの早期運用開始を図ることができる。

　また、上述したブレードサーバ３００において、両ＳＶＰ３０４に図１の障害検出装置１を実装する例を説明したが、両ＳＶＰ２０４に図６の障害検出装置１０を実装してもよく、また、一方のＳＶＰ３０４に障害検出装置１を実装し、他方のＳＶＰ３０４に障害検出装置１０を実装してもよい。

　なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

Claims

　起動開始から所定時間内にリセット信号を出力する監視対象の障害を検出する障害検出装置であって、
　前記所定時間よりも長く、かつ、前記監視対象が起動に要する時間よりも短い第１タイムアップ時間が設定されており、前記監視対象の起動開始または前記リセット信号の入力により第１カウンタをリセットして計時を開始し、前記第１タイムアップ時間が経過した場合、当該経過を示す第１タイムアップ信号を前記監視対象に出力することにより前記監視対象の起動を再度開始させ、かつ、前記第１カウンタをリセットして計時する第１タイマと、
　前記監視対象が起動に要する時間よりも長い第２タイムアップ時間が設定されており、前記監視対象の起動開始により第２カウンタをリセットして計時を開始し、前記第２タイムアップ時間が経過した場合、当該経過を示す第２タイムアップ信号を出力する第２タイマと、
　前記監視対象に電力を供給し、前記第２タイマから前記第２タイムアップ信号が入力された場合、前記監視対象への電力の供給を停止する供給源と、
　を有することを特徴とする障害検出装置。
　起動開始から所定時間内にリセット信号を出力する監視対象の障害を検出する障害検出装置であって、
　前記所定時間よりも長く、かつ、前記監視対象が起動に要する時間よりも短い第１タイムアップ時間が設定されており、前記監視対象の起動開始または前記リセット信号の入力により第１カウンタをリセットして計時を開始し、前記第１タイムアップ時間が経過した場合、当該経過を示す第１タイムアップ信号を出力する第１タイマと、
　前記監視対象が起動に要する時間よりも長い第２タイムアップ時間が設定されており、前記監視対象の起動開始により第２カウンタをリセットして計時を開始し、前記第２タイムアップ時間が経過した場合、当該経過を示す第２タイムアップ信号を出力する第２タイマと、
　前記第１タイムアップ信号および前記第２タイムアップ信号のうち、前記第１タイムアップ信号のみが入力された場合、前記第１タイムアップ信号を前記監視対象に出力することにより前記監視対象の起動を再度開始させ、かつ、前記第１カウンタをリセットし、さらに、前記第２タイムアップ信号が入力された場合、前記監視対象への前記第１タイムアップ信号の出力を停止する出力制御部と、
　を有することを特徴とする障害検出装置。
　前記監視対象は、前記第１タイムアップ信号が入力された場合、再起動を開始して、前記リセット信号を出力し、
　前記第１タイマは、前記第１タイムアップ信号が入力された場合、前記第１カウンタをリセットして計時することを特徴とする請求項１または２に記載の障害検出装置。
　前記第２タイマは、前記監視対象の起動が完了した場合、前記第２カウンタによる計時を停止することを特徴とする請求項１または２に記載の障害検出装置。
　障害検出装置を複数有する障害検出システムであって、
　前記障害検出装置の各々は、
　起動開始から所定時間内にリセット信号を出力し、かつ、他の障害検出装置における他の監視対象と同期処理を実行する監視対象と、
　前記所定時間よりも長く、かつ、前記監視対象が起動に要する時間よりも短い第１タイムアップ時間が設定されており、前記監視対象の起動開始または前記リセット信号の入力により第１カウンタをリセットして計時を開始し、前記第１タイムアップ時間が経過した場合、当該経過を示す第１タイムアップ信号を前記監視対象に出力することにより前記監視対象の起動を再度開始させ、かつ、前記第１カウンタをリセットして計時する第１タイマと、
　前記監視対象が起動に要する時間よりも長い第２タイムアップ時間が設定されており、前記監視対象の起動開始により第２カウンタをリセットして計時を開始し、前記第２タイムアップ時間が経過した場合、当該経過を示す第２タイムアップ信号を出力する第２タイマと、
　前記監視対象に電力を供給し、前記第２タイマから前記第２タイムアップ信号が入力された場合、前記監視対象への電力の供給を停止する供給源と、を有し、
　前記監視対象は、前記他の監視対象の再起動を検出した場合、前記第１カウンタおよび前記第２カウンタをリセットし、かつ、前記監視対象の起動を再度開始し、
　前記監視対象は、前記他の監視対象への電力の供給の停止を検出した場合、前記同期処理を終了してから、起動を完了することを特徴とする障害検出システム。
　前記監視対象は、前記第１タイムアップ信号が入力された場合、再起動を開始して、前記リセット信号を出力し、
　前記第１タイマは、前記第１タイムアップ信号が入力された場合、前記第１カウンタをリセットして計時することを特徴とする請求項５に記載の障害検出システム。
　前記第２タイマは、前記監視対象の起動が完了した場合、前記第２カウンタによる計時を停止することを特徴とする請求項５または６に記載の障害検出システム。