WO2021111639A1

WO2021111639A1 - コントローラ

Info

Publication number: WO2021111639A1
Application number: PCT/JP2019/047960
Authority: WO
Inventors: 直輝伊藤; 洋平塚本
Original assignee: 三菱電機株式会社
Priority date: 2019-12-06
Filing date: 2019-12-06
Publication date: 2021-06-10
Also published as: US20220222187A1; DE112019007853T5; JPWO2021111639A1; TW202122997A; JP7012915B2; CN114761935A; KR20220074993A

Abstract

コントローラ（１０）では、ＣＰＵ装置＃１は周辺装置＃１を管理する第１権限を持ち、周辺装置＃１の管理装置である。ＣＰＵ装置＃２及びＣＰＵ装置＃３は、周辺装置＃１について、第１権限よりも下位の第２権限を持つ一般装置である。一般装置は、周辺装置＃１からデータ読み出しが失敗したとき、周辺装置＃１の診断を第２権限に基づき実行する。周辺装置＃１の管理装置であるＣＰＵ装置＃１は、一般装置による診断を契機として、周辺装置＃１のエラーを示すエラー通知を受信する。管理装置のＣＰＵ装置＃１はエラー通知を受信したときに、周辺装置＃１のエラーに、第１権限に基づき対処する。

Description

コントローラ

　この発明は、コントローラに関する。

　工場及び発電所のような設備、あるいは列車のような交通機関で使用される組み込みシステムでは、コントローラで制御を実現している。コントローラの実現形態は様々である。例えば、格納された制御プログラムを周期的に実行するセントラル・プロセッシング・ユニット装置（以下、ＣＰＵ装置）と、Ｉ／Ｏ（Ｉｎｐｕｔ／Ｏｕｔｐｕｔ）装置あるいはネットワーク接続に使用される通信装置を有する周辺装置とが組み合わされ、ＣＰＵ装置とＩ／Ｏ装置とがバスで接続されて、ＣＰＵ装置とＩ／Ｏ装置とが連携動作するコントローラが一般的である。
コントローラとは例えば、ＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）である。

　システムを高性能化するためコントローラによる制御を高速化する手段として、コントローラに複数のＣＰＵ装置を設けるマルチＣＰＵ構成がある。マルチＣＰＵ構成では、各ＣＰＵ装置の実行する制御プログラムは、ＣＰＵ装置ごとに設計される。さらに、各ＣＰＵ装置が使用する周辺装置も各々設けられる。これらにより、各ＣＰＵ装置の制御プログラムの結合度が低くされ、コントローラの高速化が実現される。マルチＣＰＵ構成において、ある周辺装置を制御するＣＰＵ装置は、管理装置と呼ばれる。ＣＰＵ装置は、ＣＵ装置自身が複数の周辺装置の管理装置となる。周辺装置の観点では、いずれか１台のＣＰＵ装置のみが、管理装置となる。

　マルチＣＰＵ構成のコントローラにおける障害管理では、周辺装置にエラーが発生した場合に備えて、周辺装置の管理装置であるＣＰＵ装置が、エラー対処方法を持つ。従って、周辺装置にエラーが発生すると、管理装置がエラーを検出し、診断、及び必要な対処を行っていた。「診断」とは、例えば、管理装置が、エラーの発生した周辺装置からエラーコードを読み出し、エラー内容を解釈する処理である。「必要な処理」とは、例えば、コントローラとしての全機能の停止または部分停止である。あるいは「必要な処理」とは、コントローラとしての機能を停止せず、エラーの発生していない周辺装置の制御を継続して、エラーの発生した周辺装置に対するリセットのような復旧処理である。

　近年、ＯｐｅｎＭＰといった並列化技術が、注目されている。ＯｐｅｎＭＰの並列化技術は、一つの制御プログラムを自動的に分割し並列に実行する。これにより、ＯｐｅｎＭＰは、コントローラによる制御の高速化を図る。ＯｐｅｎＭＰのような並列化技術が従来型のマルチＣＰＵ構成のコントローラに適用される場合、各ＣＰＵ装置が実行する制御プログラムの結合度が高くなることが想定される。この理由は、分割される元の制御プログラムは、一台のＣＰＵ装置が実行するよう設計されているからである。結合度が高い制御プログラムでは、ある周辺装置に入力される入力情報を、管理装置であるかどうかに関わらず、複数のＣＰＵ装置が読み出し、読み出された入力情報を契機として、複数のＣＰＵ装置が一斉に並列実行を行うという処理が想定される。
　なお、複数のＣＰＵ装置による一斉の並列実行の場合であっても、周辺装置に対する書き込みについては、いずれか１つのＣＰＵ装置、すなわち管理装置のみ行うことが一般的である。この理由は次のようである。複数のＣＰＵ装置が、周辺装置へ書き込みをできる場合、書き込みのタイミング如何によっては、いずれかのＣＰＵ装置が書き込んだ指令が実行されないまま、別のＣＰＵ装置がその指令を上書きする可能性があるためである。

　制御プログラムが分割された結合度が高い制御プログラムが、マルチＣＰＵ構成のコントローラで並列実行される環境下における障害管理では、以下の必要がある。すなわち、周辺装置にエラーが発生した場合、管理装置がエラーを検出した後に、管理装置は、周辺装置を診断し、必要な対処を決定し、その後、他のＣＰＵ装置に決定結果を通知する必要がある。このような場合、管理装置以外のＣＰＵ装置は、エラー対処方法を持たない。このため、管理装置以外のＣＰＵ装置は、周辺装置のエラーによって読み出しに失敗しても、例えば１周期前の情報を使用して制御を継続し、管理装置からの何らかの通知を待つ。従って、管理装置が周辺装置の読み出しに成功した直後に周辺装置にエラーが発生する場合は、管理装置は、次の周期の読み出しに失敗によってエラーを検出するので、周辺装置のエラーの検出に時間を要するという課題がある。

　周辺装置のエラー発生からエラーを検出するまでの時間が長くなるという課題に関係する先行技術として、特許文献１がある。

　特許文献１では、ＣＰＵ装置が主局・従局の二重系で構成されており、また、管理される周辺装置をも含めて相互に通信する手段が設けられている。

　特許文献１では、主局と周辺装置との間で読み出しの失敗といった通信障害が発生した場合、従局が代替して周辺装置の読み出しを試行し、周辺装置のエラー状況を判定する。従局の処理により、エラー検出とエラー内容の特定とを迅速に行うと述べている。

　しかし、特許文献１の技術を、結合度が高い制御プログラムをマルチＣＰＵ構成で並列実行する場合に適用しても、主局が読み出しに成功した直後にエラーが発生した場合は、主局が次の周期で読み出しに失敗し、さらに従局での読み出しを試行してエラー状況を判定する。よって、特許文献１では、周辺装置にエラーが発生してから、エラーを検出するまでに時間を要するという課題の解決には至っていない。

特開平０９－０９３３０８号公報

　本発明は、マルチＣＰＵ構成のコントローラにおいて、複数のＣＰＵ装置が、並列化技術で分割された比較的結合度が高い制御プログラムを並列実行する際に、周辺装置にエラー発生がしてから、管理装置であるＣＰＵ装置が周辺装置のエラーを検出するまでの時間を、短縮することを目的とする。

　この発明のコントローラは、
　複数のセントラル・プロセッシング・ユニット装置と、
　複数のセントラル・プロセッシング・ユニット装置からデータが読み出される周辺装置と、
を備える。
　前記複数のセントラル・プロセッシング・ユニット装置は、
　前記周辺装置を管理する第１権限を持つセントラル・プロセッシング・ユニット装置である管理装置と、エラーが発生した前記周辺装置の前記エラーを診断する権限であって、前記第１権限よりも下位の権限である第２権限を持つセントラル・プロセッシング・ユニット装置である一般装置とを含み、
　前記一般装置は、
　前記周辺装置からデータを読み出す読み出し部と、
　前記周辺装置からのデータ読み出しが失敗したときに、前記周辺装置の診断を前記第２権限に基づいて実行する診断部と、
　を備え、
　前記管理装置は、
　前記診断を契機として、前記周辺装置のエラーを示すエラー通知を受信する通信部と、
　前記エラー通知を受信したときに、前記周辺装置のエラーに前記第１権限に基づき対処する対処部と、
を備える。

　本発明では、管理装置は、一般装置による診断を契機として、周辺装置のエラーを示すエラー通知を受信する。よって、本発明によれば、複数のＣＰＵ装置が、並列化技術で分割された比較的結合度が高い制御プログラムを並列実行する際に、周辺装置にエラー発生がしてから、管理装置であるＣＰＵ装置が周辺装置のエラーを検出するまでの時間を、短縮できる。

実施の形態１の図で、コントローラのハードウェア構成を示す図。実施の形態１の図で、ＣＰＵ装置のハードウェア構成を示す図。実施の形態１の図で、Ｉ／Ｏ装置のハードウェア構成を示す図。実施の形態１の図で、エラー検出情報を示す図。実施の形態１の図で、エラー検出部の動作を示すフローチャート。実施の形態１の図で、コントローラの動作を示す図。実施の形態２の図で、Ｉ／Ｏ装置のハードウェア構成を示す図。実施の形態２の図で、コントローラの動作を示す図。実施の形態３の図で、コントローラの動作を示す図。実施の形態４の図で、コントローラのハードウェア構成を示す図。実施の形態４の図で、権限装置のハードウェア構成を示す図。実施の形態４の図で、付与部３１１の状態遷移を示す図。実施の形態４の図で、エラー検出部の動作を示すフローチャート。実施の形態４の図で、コントローラの動作を示す図。実施の形態４の図で、ＣＰＵ装置１００のハードウェア構成を補足する図。

　以降、本発明を実施するための形態について、図を用いて説明する。実施の形態で使用する用語を説明しておく。以下の実施の形態では複数のＣＰＵ装置が登場する。以下の説明において複数のＣＰＵ装置は、管理装置と一般装置とを含む。
（１）管理装置とは、周辺装置を管理する第１権限を持つＣＰＵ装置である。
（２）一般装置とは、エラーが発生した周辺装置のエラーを診断する権限であって、第１権限よりも下位の権限である第２権限を持つＣＰＵ装置である。
　例えば、第１権限は周辺装置への書き込みが認められる権限である。第２権限は周辺装置への書き込みはできない権限であり、周辺装置からエラーコードの読み出しが認められる権限である。

　実施の形態１．
図１～図６を参照して実施の形態１のコントローラ１０を説明する。実施の形態１のコントローラでは、元になる制御プログラムから分割された制御プログラム１２１を各ＣＰＵ装置が並列実行する際に、周辺装置のエラーを検出したＣＰＵ装置１００は、他のＣＰＵ装置１００に対してエラーを通知する。これにより管理装置は、迅速に周辺装置のエラー発生を知ることができる。以下に図を参照してコントローラ１０を説明する。

＊＊＊構成の説明＊＊＊
　図１は、実施の形態１のコントローラ１０のハードウェア構成を示す。コントローラ１０は、複数のＣＰＵ装置１００と、複数のＣＰＵ装置１００からデータが読み出される周辺装置２００と、を備える。コントローラ１０では、後述する制御プログラムを格納した複数のＣＰＵ装置１００と、複数の周辺装置とが、バス４００を介して接続されている。ＣＰＵ装置とは、格納している制御プログラムを周期的に実行する装置である。周辺装置とは、ＣＰＵ装置とは異なる装置との通信により、データの入出力をおこなう装置である。図１では、３台のＣＰＵ装置１００が、識別子である＃１、＃２及び＃３で識別されている。以下、ＣＰＵ装置１００をＣＰＵ装置＃１のように表記する場合がある。図１では、２台の周辺装置２００が、識別子である＃１及び＃２で識別されている。

　以下、周辺装置２００を周辺装置＃１のように表記する場合がある。周辺装置２００はＩ／Ｏ装置２００を想定する。図１よりも後の説明では、Ｉ／Ｏ装置をＩ／Ｏ装置２００と表記する場合もある。

　図１では周辺装置＃１にＣＰＵ＃１と表記されており、周辺装置＃２にＣＰＵ＃２と表記されている。これは、周辺装置＃１の管理装置がＣＰＵ装置＃１であり、周辺装置＃２の管理装置が、ＣＰＵ装置＃２であることを示している。周辺装置と管理装置との対応は、後述のエラー処理情報１２２によって定義されている。

　図２は、ＣＰＵ装置１００のハードウェア構成を示す。ＣＰＵ装置１００は、ハードウェアとして、プロセッサ１１０、主記憶装置１２０、補助記憶装置１３０、及び通信インタフェース装置１４０を備える。プロセッサ１１０は、バス１５０で、主記憶装置１２０、補助記憶装置１３０及び通信インタフェース装置１４０と接続されている。

　主記憶装置１２０は、プロセッサ１１０が実行する制御プログラム１２１及びエラー処理情報１２２を格納している。

　補助記憶装置１３０は、主記憶装置１２０に格納される情報及びデータを不揮発的に格納している。プロセッサ１１０は、補助記憶装置１３０から、制御プログラム１２１及びエラー処理情報１２２を主記憶装置１２０へロードし、ロードされた制御プログラム１２１及びエラー処理情報１２２を、主記憶装置１２０から読み出して実行する。

　通信インタフェース装置１４０は、プロセッサ１１０、主記憶装置１２０及び補助記憶装置１３０のうちのいずれか２つのハードウェアどうし通信、ＣＰＵ装置１００どうしの通信、またはＣＰＵ装置１００と周辺装置２００との通信に使用される。

　ＣＰＵ装置１００は、機能要素として、読み出し部１１１、エラー検出部１１２及び通信部１１３を備える。読み出し部１１１、エラー検出部１１２及び通信部１１３の機能は、制御プログラム１２１により実現される。読み出し部１１１は、周辺装置２００からデータを読み出す。ＣＰＵ装置１００が一般装置のとき、エラー検出部１１２は診断部である。診断部であるエラー検出部１１２は、周辺装置２００からのデータ読み出しが失敗したときに、周辺装置２００の診断を第２権限に基づいて実行する。

　プロセッサ１１０は、制御プログラム１２１を実行する装置である。プロセッサ１１０は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１０の具体例は、ＣＰＵ（Ｃｅｎｔｒａｌ　ＰｒｏｃｅＳＳｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　ＰｒｏｃｅＳＳｏｒ）、ＧＰＵ（ＧｒａｐｈｉｃＳ　ＰｒｏｃｅＳＳｉｎｇ　Ｕｎｉｔ）である。

　図３は、Ｉ／Ｏ装置２００のハードウェア構成を示す。Ｉ／Ｏ装置は、ハードウェアとして、プロセッサ２１０、主記憶装置２２０、補助記憶装置２３０、通信インタフェース装置２４０及び外部入出力装置２５０を備える。プロセッサ２１０は、バス２６０で、主記憶装置２２０、補助記憶装置２３０、通信インタフェース装置２４０及び外部入出力装置２５０と接続されている。

　プロセッサ２１０は、外部入出力装置２５０の状態に応じた簡易な演算及び自己診断の結果に基づくエラーコードの生成のような処理を行う。主記憶装置２２０及び補助記憶装置２３０には、プロセッサ２１０が実行する自己診断の結果と、エラーコードとが格納される。通信インタフェース装置２４０は、プロセッサ２１０、主記憶装置２２０、補助記憶装置２３０及び外部入出力装置２５０のうちのいずれか２つのハードウェアどうしの通信、及び周辺装置２００とＣＰＵ装置１００との通信に使用される。外部入出力装置２５０は、ＣＰＵ装置１００とは異なる外部の装置からデータを取り込み、及びその外部の装置へデータを出力する。

　Ｉ／Ｏ装置２００は、機能要素として、応答部２１１を備える。応答部２１１は、ＣＰＵ装置１００からデータ読み出しの要求があるとき、外部入出力装置２５０と連携して、要求されたデータをＣＰＵ装置１００へ通信インタフェース装置２４０を介して送信する。応答部２１１の機能は、プログラム２０１により実現される。プログラム２０１は補助記憶装置２３０に格納されている。プロセッサ２１０は補助記憶装置２３０から主記憶装置２２０プログラム２０１をロードし、主記憶装置２２０からプログラム２０１を読み出す。

　プロセッサ２１０は、プログラム２０１を実行する装置である。プロセッサ２１０の具体例は、プロセッサ１１０と同様である。

　図４は、エラー処理情報１２２を示す。エラー処理情報１２２は補助記憶装置１３０に格納されている。プロセッサ１１０は、エラー処理情報１２２を補助記憶装置１３０から主記憶装置１２０へロードし、主記憶装置１２０からエラー処理情報１２２を参照する。エラー処理情報１２２は、コントローラ１０のシステム構成に応じて、管理者によって予め定義される。定義されたエラー処理情報１２２は、補助記憶装置１３０に格納される。図４のエラー処理情報１２２では、左の列に、コントローラ１０の有する周辺装置が定義されている。中央の列に、簡易診断処理の内容が定義されている。「簡易診断処理の内容」とは、周辺装置にエラーが発生した場合に、そのエラーを検出したＣＰＵ装置１００が行うべき処理の内容である。右の列に、周辺装置の管理装置となるべきＣＰＵ装置１００が定義されている。

　Ｉ／Ｏ装置＃１のレコードを説明する。このレコードを第１レコードと表記する。第１レコードでは、Ｉ／Ｏ装置＃１の管理装置がＣＰＵ装置＃１である。以下の（１）から（３）は、第１レコードの簡易診断処理の内容を示す。
（１）エラーコードの読み出し。
（２）エラーコードの内容がａａである場合には、ＣＰＵ装置１００は管理装置であるＣＰＵ装置＃１に、割込みを伴うエラー通知を送信する。エラーコードの「ａａ」は、ある特定のエラーコードを意味する。
（３）読み出されたエラーコードが「ａａ」以外の場合には、ＣＰＵ装置１００は、管理装置であるＣＰＵ装置＃１にエラー通知を送信せず、処理を継続する。

　Ｉ／Ｏ装置＃２のレコードを説明する。このレコードを第２レコードと表記する。第２レコードでは、Ｉ／Ｏ装置＃２の管理装置がＣＰＵ装置＃２である。以下の（１）から（３）は、第２レコードの簡易診断処理の内容を示す。
（１）エラーコードの読み出し。
（２）エラーコードの内容がｂｂである場合には、ＣＰＵ装置１００は、すべてのＣＰＵ装置１００に、割込みを伴うエラー通知を送信する。「ｂｂ」とは、「ａａ」と異なる、ある特定のエラーコードを意味する。
（３）読み出されたエラーコードが「ｂｂ」以外の場合には、ＣＰＵ装置１００は、エラー通知を送信せず、処理を継続する。

＊＊＊動作の説明＊＊＊
　図５は、エラー検出部１１２の動作を示すフローチャートである。
　図６は、実施の形態１のコントローラ１０の動作を示す。図６の枠７１１，７１２，７１３，７１４，７１５，７１６で示すイベントは、周期的でない処理を示している。後述する図８の枠７２１，７２２，７２３，７２４，７２５で示すイベント、図９の枠７３１，７３２，７３３，７３４，７３５，７３６，７３７，７３８，７３９で示すイベント、及び図１４の枠７４１，７４２，７４３，７４４，７４５，７４６で示すイベントも、周期的でない処理を示している。
　図５及び図６を参照して、コントローラ１０の動作を説明する。以下の説明では、図１において、Ｉ／Ｏ装置＃１にエラーが発生した場合を想定し、コントローラ１０の動作を説明する。

　図５を説明する。読み出し部１１１が、Ｉ／Ｏ装置＃１に、データの読み出しを実行する。
　ステップＳ１１において、エラー検出部１１２が、読み出し部１１１のデータ読み出しが成功したかどうかを判定する。成功の場合、処理は終了し、失敗の場合、処理はステップＳ１２に進む。
　ステップＳ１２において、エラー検出部１１２は、自身のＣＰＵ装置が、Ｉ／Ｏ装置＃１の管理装置かどうかを、エラー処理情報１２２を参照して判定する。管理装置の場合、処理はステップＳ１３に進み、管理装置でない場合、処理はステップＳ１４に進む。
　ステップＳ１３において、管理装置のエラー検出部１１２は、予め設定されているエラー対処方法を実行する。
　ステップＳ１４において、一般装置のエラー検出部１１２は、エラー処理情報１２２の「簡易診断処理」を参照して、Ｉ／Ｏ装置＃１に簡易診断処理を実行する。

＜事前設定＞
　ＣＰＵ装置１００に格納する制御プログラム１２１の設計者は、予めＩ／Ｏ装置のエラーによる、コントローラ１０が使用されるシステムへの影響を考慮して、ステップＳ１３で述べた、管理装置が行うべきエラー対処方法を決定しておく。また、制御プログラム１２１の設計者は、エラー処理情報１２２の内容を予め定義し、各ＣＰＵ装置１００の補助記憶装置１３０に設定しておく。システムが稼働した後、各ＣＰＵ装置１００のエラー検出部１１２は、図５の処理を周期的に実行する。図５のステップＳ１４の簡易診断処理の内容は、図４のエラー処理情報１２２の「簡易診断処理」である。ステップＳ１４の簡易診断処理は、一般装置のＣＰＵ装置１００に許容される第２権限の範囲内で可能な、簡易な処理である。

　ステップＳ１４の簡易診断処理は、例えば、エラーコードの読み出しである。なお、簡易診断処理を実行する制御プログラム１２１は、「マルチＣＰＵ構成を前提としたＣＰＵ装置毎の設計」ではない。制御プログラム１２１は以下のような想定である。制御プログラム１２１のもとになる制御プログラムは、並列化技術を用いて分割される。制御プログラム１２１は、このもとになる制御プログラムが分割されたプログラムである。もとの制御プログラムから分割された制御プログラム１２１が、各ＣＰＵ装置１００に格納され、各ＣＰＵ装置１００が、制御プログラム１２１を並列実行する。このように、制御プログラム１２１は、比較的、結合度が高いことを想定している。

　図６を参照してコントローラ１０の動作を説明する。
　ステップＳ２１において、ＣＰＵ装置＃１の読み出し部１１１が、Ｉ／Ｏ装置＃１の外部入出力装置２５０の読み出しに成功する。
　ステップＳ２２において、ＣＰＵ装置＃１による読み出しに成功の直後に、Ｉ／Ｏ装置＃１にエラーが発生する。エラー発生以前では、ＣＰＵ装置＃１、ＣＰＵ装置＃２及びＣＰＵ装置＃３は、Ｉ／Ｏ装置＃１の外部入出力装置２５０に入力される入力情報を順番に参照する。この状態では、ＣＰＵ装置＃１、ＣＰＵ装置＃２及びＣＰＵ装置＃３は、それぞれの有する制御プログラム１２１を並列に実行している。
　ステップＳ２３において、エラー発生後に、ＣＰＵ装置＃２の読み出し部１１１が、Ｉ／Ｏ装置＃１の入力情報を参照する。Ｉ／Ｏ装置＃１にはエラーが発生しているので、ＣＰＵ装置＃２の読み出し部１１１は読み出しに失敗する。ＣＰＵ装置＃２のエラー検出部１１２は、読み出し部１１１の読み出しの失敗を検出する。エラー処理情報１２２に示すように、ＣＰＵ装置＃２はＩ／Ｏ装置＃１の管理装置ではない。
　ステップＳ２４において、一般装置であるＣＰＵ装置＃２のエラー検出部１１２は、簡易診断処理による診断の実行として、周辺装置２００であるＩ／Ｏ装置＃１からエラーコードの読み出しを実行し、エラーコードを読み出したときに、エラー通知を管理装置であるＣＰＵ装置＃１に送信する。具体的には以下のようである。ＣＰＵ装置＃２では、診断部であるエラー検出部１１２は、Ｉ／Ｏ装置＃１の読み出しの失敗を検出すると、図５のフローチャートに示すように、エラー処理情報１２２に従って、Ｉ／Ｏ装置＃１に対する簡易診断処理を実行する。ステップＳ２４では、エラー検出部１１２は、Ｉ／Ｏ装置＃１から、エラーコード「ａａ」を取得したとする。
　ステップＳ２５において、エラーコードが「ａａ」であるので、ＣＰＵ装置＃２のエラー検出部１１２は、Ｉ／Ｏ装置＃１の管理装置であるＣＰＵ装置＃１に、エラーの発生を知らせるエラー通知６０１を送信する。通信部１１３は、一般装置であるＣＰＵ装置＃２による簡易診断処理による診断を契機として、周辺装置２００であるＩ／Ｏ装置＃１のエラーを示すエラー通知６０１を受信する。

　ＣＰＵ装置１００が管理装置のとき、エラー検出部１１２は対処部である。対処部であるエラー検出部１１２は、エラー通知６０１を受信したときに、周辺装置２００のエラーに第１権限に基づき対処する。具体的には以下のようである。
　ステップＳ２６において、管理装置であるＣＰＵ装置＃１では、エラー通知６０１の受信を契機として、制御プログラム１２１の実行中に割り込みが発生し、ＣＰＵ装置＃１のエラー検出部１１２は、Ｉ／Ｏ装置＃１のエラー対処方法を最優先で実行する。管理装置によるエラー対処方法は、周辺装置の諸元あるいはエラー内容によって様々である。図６では、管理装置であるＣＰＵ装置＃１は、Ｉ／Ｏ装置＃１のエラーコード内容を確認した上で、対処方法を決定する。

　ステップＳ２７において、管理装置であるＣＰＵ装置＃１のエラー検出部１１２は、エラー対処方法として、システムを停止すべきと判断し、他のすべてのＣＰＵ装置に、エラーを通知する通知であり割り込みを伴う通知である管理通知６０２を送信する。ＣＰＵ装置＃１のエラー検出部１１２は、管理通知６０２によって、他のすべてのＣＰＵ装置に、制御プログラム１２１の実行を停止させる。ＣＰＵ装置＃１のエラー検出部１１２は、エラーの発生したＩ／Ｏ装置＃１に、リセット処理を実行して復旧を試みる。

　なお、エラー通知６０１は、エラーコードの内容によって、制御プログラム１２１に対する割り込みを伴っても良いし、割り込みを伴わなくても良い。エラー検出部１１２は、エラーコードの内容によって、割り込みを伴うかどうかを決めることができる。

　図４のエラー処理情報１２２に定義されているエラー通知６０１は、管理装置のみ送信するのではなく、第２のレコードに定義されているように、すべてのＣＰＵ装置に同報送信しても良い。また、エラー検出部１１２が簡易診断処理において、エラーコードの読み出しに失敗するような重篤なエラーの場合では、この同報送信は、すべてのＣＰＵ装置に対して、制御プログラム１２１の実行を停止する割り込みを伴う内容でも良い。

＊＊＊実施の形態１の効果＊＊＊
コントローラ１０では、すべてのＣＰＵ装置１００がエラー処理情報１２２を有している。エラー処理情報１２２には、一般装置に許容される第２権限の範囲内で実行の可能な簡易診断処理が定義されている。簡易診断処理によりエラー通知６０１が管理装置に送信される。
　よって一般装置のＣＰＵ装置１００が、エラー処理情報１２２に基づく簡易診断処理を行うことで、周辺装置がエラー発生した際に、管理装置は次の周読み出し周期を待つことなく、周辺装置のエラーを知ることができる。
　したがって、複数のＣＰＵ装置が、並列化技術で分割された比較的結合度が高い制御プログラムを並列実行する際に、周辺装置にエラー発生がしてから、管理装置であるＣＰＵ装置が周辺装置のエラーを検出するまでの時間を、短縮できる。

　実施の形態２．
　図７及び図８を参照して、実施の形態２を説明する。
　図７は、実施の形態２のＩ／Ｏ装置の構成を示す。
　図８は、実施の形態２のコントローラ１０の動作を示す。図７のＩ／Ｏ装置２００は、図３のＩ／Ｏ装置２００と比較すると、機能要素として同報送信部２１２を備えている。ＣＰＵ装置１００の構成は実施の形態１の図２と同じである。またコントローラ１０の構成は図１と同じである。

　実施の形態１では、図４のエラー処理情報１２２及び図５のステップＳ１４に示すように、一般装置であるＣＰＵ装置１００は、周辺装置２００からエラーコードを読み出した後、エラー対処方法を持つ管理装置に、エラー通知６０１を送信する必要があった。これに対して実施の形態２では、Ｉ／Ｏ装置２００の同報送信部２１２が、エラー通知６０１を各ＣＰＵ装置１００に送信する。

＊＊＊動作の説明＊＊＊
　図８を参照して、コントローラ１０の動作を説明する。図８のステップＳ３１からステップＳ３４は、図６のステップＳ３１からステップＳ３４と、同一である。なお、ＣＰＵ装置＃１，ＣＰＵ装置＃２及びＣＰＵ装置＃３は、図５の処理を実行する。

　実施の形態２では、一般装置からエラーコード読出し要求が行われたＩ／Ｏ装置２００の同報送信部２１２は、エラーコード読出しの要求元の一般装置だけでなく、すべてのＣＰＵ装置１００に、エラーコードの読み出し結果を、同報送信する。

　ステップＳ３１において、ＣＰＵ装置＃１の読み出し部１１１が、Ｉ／Ｏ装置＃１の外部入出力装置２５０の読み出しに成功する。
　ステップＳ３２において、ＣＰＵ装置＃１による読み出しに成功の直後に、Ｉ／Ｏ装置＃１にエラーが発生する。
　ステップＳ３３において、エラー発生後に、一般装置であるＣＰＵ装置＃２の読み出し部１１１が、Ｉ／Ｏ装置＃１の読み出しとして、Ｉ／Ｏ装置＃１の入力情報を参照する。
　ステップＳ３４において、ＣＰＵ装置＃２のエラー検出部１１２は、読み出し部１１１による読み出しの失敗を検出し、エラー処理情報１２２の定義に従って、簡易診断処理を実行する。エラー処理情報１２２に従って、ＣＰＵ装置＃２のエラー検出部１１２は、Ｉ／Ｏ装置＃１にエラーコード読み出し要求を送信する。
　ステップＳ３５において、周辺装置であるＩ／Ｏ装置＃１の同報送信部２１２は、一般装置によって簡易診断処理による診断が実行されたときに、エラー通知６０１を、複数のＣＰＵ装置１００に同報送信する。Ｉ／Ｏ装置＃１の同報送信部２１２は、エラーコード読み出し要求を受信すると、すべてのＣＰＵ装置１００に、エラー通知６０１に相当するエラーコードの読み出し結果を、通信インタフェース装置２４０を介して同報送信する。このとき、Ｉ／Ｏ装置＃１の同報送信部２１２は、自身のエラー状況に応じて、同報送信するＣＰＵ装置１００を限定しても良いし、管理装置であるＣＰＵ装置＃１に、直接、エラー通知６０１を送信しても良い。エラー通知６０１が、割り込みを伴っても良い。

＊＊＊実施の形態２の効果＊＊＊
　実施の形態２のコントローラ１０ではＩ／Ｏ装置が、エラーコードの読み出し結果を、エラー通知６０１として、すべてのＣＰＵ装置に同報送信する。よって、Ｉ／Ｏ装置が応答可能な状況では、管理装置は一般装置からエラー通知６０１を待つことなく、Ｉ／Ｏ装置からエラー通知を受信できるので、実施の形態１に対して、更に、管理装置のエラー検出時間を短縮できる。

　実施の形態３．
　図９を参照して実施の形態３のコントローラ１０を説明する。実施の形態３のコントローラ１０の構成は、実施の形態１のコントローラ１０と同一である。実施の形態３では管理装置が、一般装置の送信するエラー通知６０１の示す内容を集約する。管理装置は、集約結果に基づき、エラーの発生したＩ／Ｏ装置に、エラー対処方法を実行する。

　Ｉ／Ｏ装置２００のエラーによっては、初期の軽微なエラーが、エラーの波及によって、重大にエラーになることがあり、エラー状況は遷移する場合がある。実施の形態３のコントローラ１０は、エラー状況が遷移しても、早期に、かつ、適切にエラー遷移に対処できる。

　実施の形態３では、図４のエラー処理情報１２２におけるエラーコードは、ａａ１，ａａ２，ａａ３，ａａ４のように、複数のエラーコードが定義されているとする。ＣＰＵ装置１００のエラー検出部１１２は、Ｉ／Ｏ装置２００のエラーを検出すると、エラーコードを含めて、エラー通知６０１を管理装置に送信する。

　各ＣＰＵ装置１００のエラー検出部１１２は、他のＣＰＵ装置１００からエラー通知６０１を受信した場合及び管理装置から管理通知６０２を受信した場合であっても、エラー処理情報１２２で定義されている簡易診断処理を実行する。簡易診断処理の結果、各ＣＰＵ装置１００のエラー検出部１１２は、管理装置に、エラーコードを含むエラー通知６０１を送信する。管理装置は、すべてのＣＰＵ装置１００からエラー通知６０１を受信する。例えば、管理装置は、エラー通知６０１の中で最も重篤であるエラーコードに基づいてエラーに対処しても良いし、あるいは最新のエラー通知６０１に含まれるエラーコードに基づいて、Ｉ／Ｏ装置２００のエラーに対処しても良い。このように、管理装置は、受信したエラー通知６０１に含まれるエラーコードの内容を集約する。
　このとき、管理装置のエラー検出部１１２は、すべてのＣＰＵ装置１００からエラー通知６０１を受信するまで待つことなく、自身がエラー対処可能な状態に到達したときに、エラーに対処しても良い。

＊＊＊動作の説明＊＊＊
　図９は実施の形態３のコントローラ１０の動作を示す。図９を参照して、コントローラ１０の動作を説明する。図９のステップＳ４１からステップＳ４４は、図６のステップＳ２１からステップＳ２４と同一である。ＣＰＵ装置＃１，ＣＰＵ装置＃２及びＣＰＵ装置＃３は、図５の処理を実行する。
　ステップＳ４１において、ＣＰＵ装置＃１の読み出し部１１１が、Ｉ／Ｏ装置＃１の外部入出力装置２５０の読み出しに成功する。
　ステップＳ４２において、ＣＰＵ装置＃１による読み出しに成功の直後に、Ｉ／Ｏ装置＃１にエラーが発生する。
　ステップＳ４３において、Ｉ／Ｏ装置＃１にエラー発生後に、一般装置であるＣＰＵ装置＃２の読み出し部１１１が、データ読み出しにより、Ｉ／Ｏ装置＃１の入力情報を参照する。
　ステップＳ４４において、ＣＰＵ装置＃２のエラー検出部１１２は、読み出し部１１１による読み出しの失敗を検出し、エラー処理情報１２２に基づき、Ｉ／Ｏ装置＃１に、簡易診断処理を実行する。
　ステップＳ４５において、ＣＰＵ装置＃２のエラー検出部１１２は、エラーコードを含むエラー通知６０１を、管理装置であるＣＰＵ装置＃１に送信する。
　ステップＳ４６において、ＣＰＵ装置＃１のエラー検出部１１２は、ＣＰＵ装置＃２及びＣＰＵ装置＃３に、管理通知６０２を送信する。
　ステップＳ４７において、Ｉ／Ｏ装置＃１のエラーは重篤なエラーに遷移する。
　ステップＳ４８において、ＣＰＵ装置＃３の読み出し部１１１が、Ｉ／Ｏ装置＃１のデータ読み出しを実行する。Ｉ／Ｏ装置＃１にはエラーが発生しているので、読み出し部１１１は読み出しに失敗する。
　ステップＳ４９において、ＣＰＵ装置＃３のエラー検出部１１２は、読み出し部１１１によるデータ読み出しの失敗を検出し、エラー処理情報１２２に従って、Ｉ／Ｏ装置＃１に、簡易診断処理を実行する。
　ステップＳ５０において、ＣＰＵ装置＃３のエラー検出部１１２は、エラーコードを含むエラー通知６０１を、管理装置であるＣＰＵ装置＃１に送信する。
　ステップＳ５０ａにおいて、管理装置であるＣＰＵ装置＃１のエラー検出部１１２は、複数の一般装置からエラー通知６０１を受信し、受信した複数のエラー通知６０１に基づいて、周辺装置２００のエラーに対処する。具体的には、ＣＰＵ装置＃１のエラー検出部１１２は、ＣＰＵ装置＃２及びＣＰＵ装置＃３から受信したエラー通知６０１のエラーコードの内容を集約し、集約結果に基づいて、Ｉ／Ｏ装置＃１へのエラー対処方法を決定する。

＊＊＊実施の形態３の効果＊＊＊
　実施の形態３では、一般装置は、他の一般装置からのエラー通知６０１の受信及び管理装置からの管理通知６０２の受信に関わらず、簡易診断処理を実行し、簡易診断処理の結果を管理装置に通知する。管理装置は、すべての一般装置から受け取った簡易診断処理の結果であるエラー通知に基づいて、エラーの発生した周辺装置のエラー対処方法を決定する。よって、管理装置は、時間の経過に伴って変化する周辺装置のエラー状況に、迅速かつ柔軟に対処できる。つまり、管理装置は、時間の経過に伴って生じる周辺装置の重篤なエラーまたは最新のエラーに対処できる。

　実施の形態４．
　図１０から図１４を参照して実施の形態４を説明する。実施の形態１から実施の形態３では、Ｉ／Ｏ装置２００のエラー発生後の、復旧処理または退避処理のようなＩ／Ｏ装置２００へのエラー対処は、Ｉ／Ｏ装置２００への書き込み権限を持つ、管理装置のみが実行できる。このため、管理装置の制御プログラム１２１の実行状況によっては、Ｉ／Ｏ装置２００へのエラー対処の開始が遅延するおそれがある。また、管理装置はエラー通知６０１の受信後にエラーに対処するので、このことからも、エラー対処の開始が遅延するおそれがある。

　エラー対処の開始遅延の対策として、単純に、すべてのＣＰＵ装置が、すべてのＩ／Ｏ装置２００のエラー対処方法を持ち、すべてのＣＰＵ装置１００が、すべてのＩ／Ｏ装置２００のエラー対処方法を、実行できるようにすると、以下の状況が発生する。
　ＣＰＵ装置＃１、ＣＰＵ装置＃２及びＩ／Ｏ装置＃１を例に説明する。ＣＰＵ装置＃１及びＣＰＵ装置＃２は、Ｉ／Ｏ装置＃１の管理装置に相当するとする。ＣＰＵ装置＃１がＩ／Ｏ装置＃１の復旧処理を行っている最中に、ＣＰＵ装置＃２がＩ／Ｏ装置＃１の読み出しに失敗する。そうするとＣＰＵ装置＃２は、Ｉ／Ｏ装置＃１の復旧処理を開始するため、ＣＰＵ装置＃１の復旧処理とＣＰＵ装置＃２の復旧処理とが発生し、処理が冗長になる。
　実施の形態４では、Ｉ／Ｏ装置２００に対するエラー対処の開始を迅速に行うとともに、復旧処理の冗長化をなくすことを目的とする。

　図１０は、実施の形態４のコントローラ１０のハードウェア構成である。実施の形態４のコントローラ１０は、実施の形態１のコントローラ１０に対して、さらに、権限装置３００を備えている。バス４００には、権限装置３００が接続している。また、図１０のコントローラ１０では、すべてのＣＰＵ装置１００が、Ｉ／Ｏ装置２００のエラー対処方法を持っている。Ｉ／Ｏ装置２００の管理装置は、特に指定されない。後述のように、すべてのＣＰＵ装置１００が管理装置になり得る。実施の形態４のＣＰＵ装置１００は、エラー検出部１１２は診断部と対処部との両方の機能を有する。

　図１１は、権限装置３００のハードウェア構成を示す。権限装置３００のハードウェア構成は図２のＣＰＵ装置１００の構成と同様である。権限装置３００は、ハードウェアとして、プロセッサ３１０、主記憶装置３２０、補助記憶装置３３０、及び通信インタフェース装置３４０を備える。プロセッサ３１０は、バス３５０で、主記憶装置３２０、補助記憶装置３３０及び通信インタフェース装置３４０と接続されている。権限装置３００は、機能要素とし付与部３１１と、権限装置３００とＣＰＵ装置１００との通信を制御する通信部３１２とを備えている。プロセッサ３１０は、主記憶装置３２０から、プログラム３０１を読み出して実行する。プログラム３０１は付与部３１１及び通信部３１２を実現するプログラムである。プログラム３０１は補助記憶装置３３０に記憶されている。通信部３１２は、各ＣＰＵ装置１００の読み出し部１１１からデータが読み出される周辺装置２００に対するデータ読み出しに失敗したＣＰＵ装置１００から、周辺装置２００を管理する権限の付与を要求する要求情報を受信する。付与部３１１は、要求情報を受信したときに、他のＣＰＵ装置１００に権限を与えていない場合に限り、権限の付与を要求するＣＰＵ装置１００に権限を与え、対処部であるエラー検出部１１２による周辺装置２００への対処を権限に基づき認める。

　図１２は、エラーの検出されたＩ／Ｏ装置２００の診断処理の権限をＣＰＵ装置１００に付与する付与部３１１の状態遷移図である。付与部３１１の初期状態は「管理可能状態」である。この権限は管理装置の持つ第１権限に相当する。「管理可能状態」とは、Ｉ／Ｏ装置２００の診断処理の権限を、ＣＰＵ装置１００に付与可能な状態を意味する。管理可能状態のときにいずれかのＣＰＵ装置１００からＩ／Ｏ装置２００への管理要求があった場合に、付与部３１１は管理許可をＣＰＵ装置１００に応答し、「管理不可状態」に遷移する。これは遷移３５１である。「管理不可状態」とは、Ｉ／Ｏ装置２００の診断処理の権限を、ＣＰＵ装置１００に付与できない状態を意味する。「管理不可状態」で、いずれかのＣＰＵ装置１００から管理要求があった場合は、付与部３１１は、ＣＰＵ装置１００に不許可を応答する。これは遷移３５２である。また、ＣＰＵ装置１００から管理権限を返却する通知があれば、付与部３１１は、管理可能状態に遷移する。これは遷移３５３である。付与部３１１の状態遷移は、Ｉ／Ｏ装置２００の診断処理を先着の１台のＣＰＵ装置１００のみが行えることを目的として設けている。よって、Ｉ／Ｏ装置２００ごとの管理権限を設けても良い。つまり、Ｉ／Ｏ装置２００ごとに、図１２で示す権限を設けても良い。

　図１３は、ＣＰＵ装置１００のエラー検出部１１２のフローチャートである。Ｉ／Ｏ装置２００の読み出しに失敗した場合は、ＣＰＵ装置１００のエラー検出部１１２は、権限装置３００の付与部３１１に、エラーの発生したＩ／Ｏ装置２００の管理権限を要求する。以下、具体的に説明する。
　ステップＳ５１において、エラー検出部１１２は、読み出し部１１１がＩ／Ｏ装置２００の読み出しに成功したかを判定する。成功ならば、処理は終了する。読み出し部１１１が周辺装置の読み出しに失敗した場合、処理はＳ５２に進む。
　ステップＳ５２において、ＣＰＵ装置１００のエラー検出部１１２は、権限装置３００に、Ｉ／Ｏ装置２００の管理権限の獲得を試みる。具体的には、エラー検出部１１２は、付与部１１に管理権限の付与を要求する。エラー検出部１１２に付与部３１１から管理権限が付与された場合、処理はＳ５３に進む。エラー検出部１１２に付与部３１１から管理権限が付与されない場合、処理は終了する。
　ステップＳ５３において、エラー検出部１１２は、獲得した管理権限に基づき、エラーの発生した周辺装置のエラー対処方法を実行する。ここで管理権限が第１権限に相当する。

　図１４は、実施の形態４のコントローラ１０の動作を示す。図１４を参照しながらコントローラ１０の動作を説明する。ステップＳ６１からステップＳ６３はステップＳ２１からステップＳ２３と同一であるので説明は省略する。ステップＳ６４において、ＣＰＵ装置＃２では、エラー検出部１１２が読み出し部１１１の読み出し失敗を検出する。エラー検出部１１２は、管理権限の獲得を、権限装置３００の付与部３１１に要求する。
　ステップＳ６５において、付与部３１１の初期状態は管理可能状態であるので、ＣＰＵ装置＃２のエラー検出部１１２は、付与部３１１から管理権限を獲得する。
　ステップＳ６６において、ＣＰＵ装置＃２のエラー検出部１１２は、管理権限を獲得したので、Ｉ／Ｏ装置＃１に、エラー対処方法を実行する。

　ＣＰＵ装置＃３も制御プログラム１２１を並列に実行している。このため、ステップＳ６７において、ＣＰＵ装置＃３の読み出し部１１１は、ステップＳ６６におけるＣＰＵ装置＃２によるＩ／Ｏ装置＃１へのエラー対処方法の実行中に、Ｉ／Ｏ装置＃１に読み出しを試みる。ＣＰＵ装置＃３の試み出しは失敗する。
　ステップＳ６８において、ＣＰＵ装置＃３では、エラー検出部１１２が、読み出し部１１１の読み出し失敗を検出し、付与部３１１に対して、管理権限の獲得を要求する。しかし、付与部３１１は管理不可状態であるので、ＣＰＵ装置＃３のエラー検出部１１２は、管理権限の獲得に失敗し、Ｉ／Ｏ装置＃１のエラー対処方法は実行しない。

＊＊＊実施の形態４の効果＊＊＊
　実施の形態４では、すべてのＣＰＵ装置が、すべての周辺装置のエラー対処方法を持つ。つまり、すべてのＣＰＵ装置が、どの周辺装置に対しても、実施の形態１から実施の形態３の管理装置になることができる。実施の形態４では実施の形態１から実施の形態３で使用される、管理装置エラー通知６０１は不要である。また、一台の周辺装置に対して、同時に複数のＣＰＵ装置が管理装置になることない。よって、実施の形態４によれば、周辺装置２００のエラーに迅速に対応できるとともに、複数のＣＰＵ装置が同一の周辺装置にエラー対処するという冗長性を排除することができる。

＜ハードウェア構成の補足＞
　ＣＰＵ装置１００、Ｉ／Ｏ装置２００及び権限装置３００のハードウェア構成を補足しておく。図２のＣＰＵ装置＃１、図３のＩ／Ｏ装置２００、図７のＩ／Ｏ装置２００及び図１１の権限装置３００では、各装置の機能がソフトウェアで実現されるが、各の機能がハードウェアで実現されてもよい。

　以下では、ＣＰＵ装置１００を例に説明する。図２では、読み出し部１１１、エラー検出部１１２及び通信部１１３の機能はプログラムで実現される。しかし、読み出し部１１１、エラー検出部１１２及び通信部１１３の機能は、ハードウェアで実現されても良い。
　図１５は、読み出し部１１１、エラー検出部１１２及び通信部１１３がハードウェアで実現される構成を示す。図１５の電子回路９０は、読み出し部１１１、エラー検出部１１２、通信部１１３、主記憶装置１２０、補助記憶装置１３０、通信インタフェース装置１４０の機能を実現する専用の電子回路である。電子回路９０は、信号線９１に接続している。

　電子回路９０は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ、ＡＳＩＣ、または、ＦＰＧＡである。ＧＡは、Ｇａｔｅ　Ａｒｒａｙの略語である。ＡＳＩＣは、Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略語である。ＦＰＧＡは、Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略語である。ＣＰＵ装置１００の構成要素の機能は、１つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。また、ＣＰＵ装置１００の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。

　プロセッサ１１０と電子回路９０の各々は、プロセッシングサーキットリとも呼ばれる。ＣＰＵ装置１００において、読み出し部１１１、エラー検出部１１２、通信部１１３、主記憶装置１２０、補助記憶装置１３０、通信インタフェース装置１４０の機能が、プロセッシングサーキットリにより実現されてもよい。

　読み出し部１１１、エラー検出部１１２及び通信部１１３の機能を実現する制御プログラム１２１は、コンピュータ読み取り可能な記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。

　以上のＣＰＵ装置１００についてのハードウェアの補足は、Ｉ／Ｏ装置２００及び権限装置３００にも当てはまる。すなわち、Ｉ／Ｏ装置２００の機能を実現するプログラム２０１及び権限装置３００を実現するプログラム３０１は、コンピュータ読み取り可能な記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。また、Ｉ／Ｏ装置２００の機能及び権限装置３００の機能は、プロセッシングサーキットリにより実現されてもよい。

　以上に説明したＣＰＵ装置１００の動作手順は、処理方法に相当する。ＣＰＵ装置１００の動作を実現するプログラムは、制御プログラム１２１に相当する。また、Ｉ／Ｏ装置２００の動作手順は、Ｉ／Ｏ装置２００が行う方法に相当する。Ｉ／Ｏ装置２００の動作を実現するプログラムは、プログラム２０１に相当する。権限装置３００の動作手順は、権限装置３００が行う方法に相当する。権限装置３００の動作を実現するプログラムは、プログラム３０１に相当する。

　実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャートを用いて説明した手順は、適宜に変更してもよい。

　１０　コントローラ、１００　ＣＰＵ装置、１０１　プログラム、１１０　プロセッサ、１１１　読み出し部、１１２　エラー検出部、１１３　通信部、１２０　主記憶装置、１２１　制御プログラム、１２２　エラー処理情報、１３０　補助記憶装置、１４０　通信インタフェース装置、２００　周辺装置、２０１　プログラム、２１０　プロセッサ、２１１　応答部、２１２　同報送信部、２２０　主記憶装置、２３０　補助記憶装置、２４０　通信インタフェース装置、２５０　外部入出力装置、３００　権限装置、３０１　プログラム、３１０　プロセッサ、３１１　付与部、３１２　通信部、３２０　主記憶装置、３３０　補助記憶装置、３４０　通信インタフェース装置、３５１，３５２，３５３　遷移、４００　バス、６０１　エラー通知、６０２　管理通知、７１１，７１２，７１３，７１４，７１５，７１６，７２１，７２２，７２３，７２４，７２５，７３１，７３２，７３３，７３４，７３５，７３６，７３７，７３８，７３９，７４１，７４２，７４３，７４４，７４５，７４６　枠。

Claims

　複数のセントラル・プロセッシング・ユニット装置と、
　複数のセントラル・プロセッシング・ユニット装置からデータが読み出される周辺装置と、
を備えるコントローラにおいて、
　前記複数のセントラル・プロセッシング・ユニット装置は、
　前記周辺装置を管理する第１権限を持つセントラル・プロセッシング・ユニット装置である管理装置と、エラーが発生した前記周辺装置の前記エラーを診断する権限であって、前記第１権限よりも下位の権限である第２権限を持つセントラル・プロセッシング・ユニット装置である一般装置とを含み、
　前記一般装置は、
　前記周辺装置からデータを読み出す読み出し部と、
　前記周辺装置からのデータ読み出しが失敗したときに、前記周辺装置の診断を前記第２権限に基づいて実行する診断部と、
　を備え、
　前記管理装置は、
　前記診断を契機として、前記周辺装置のエラーを示すエラー通知を受信する通信部と、
　前記エラー通知を受信したときに、前記周辺装置のエラーに前記第１権限に基づき対処する対処部と、
を備えるコントローラ。
　前記一般装置の前記診断部は、
　前記診断の実行として前記周辺装置からエラーコードの読み出しを実行し、前記エラーコードを読み出したときに、前記エラー通知を前記管理装置に送信する請求項１に記載のコントローラ。
　前記周辺装置は、
　前記一般装置によって前記診断が実行されたときに、前記エラー通知を、前記複数のセントラル・プロセッシング・ユニット装置に同報送信する同報送信部を備える請求項１または請求項２に記載のコントローラ。
　前記管理装置の前記対処部は、
　複数の一般装置から前記エラー通知を受信し、受信した複数のエラー通知に基づいて、前記周辺装置のエラーに対処する請求項２に記載のコントローラ。
　読み出し部と、対処部とを有する複数のセントラル・プロセッシング・ユニット装置と、
　前記複数のセントラル・プロセッシング・ユニット装置の各セントラル・プロセッシング・ユニット装置の前記読み出し部からデータが読み出される周辺装置に対するデータ読み出しに失敗した前記セントラル・プロセッシング・ユニット装置から、前記周辺装置を管理する権限の付与を要求する要求情報を受信する通信部と、前記要求情報を受信したときに、他の前記セントラル・プロセッシング・ユニット装置に前記権限を与えていない場合に限り、前記権限の付与を要求する前記セントラル・プロセッシング・ユニット装置に前記権限を与え、前記対処部による前記周辺装置への対処を前記権限に基づき認める付与部とを有する権限装置と、
を備えるコントローラ。