特許 7524562 プロセッサ及びプロセッサの冗長化方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-07-22

(45)【発行日】2024-07-30

(54)【発明の名称】プロセッサ及びプロセッサの冗長化方法

(51)【国際特許分類】

   G06F 11/20 20060101AFI20240723BHJP

【ＦＩ】

G06F11/20 628

【請求項の数】 5

(21)【出願番号】P 2020047474

(22)【出願日】2020-03-18

(65)【公開番号】P2021149393

(43)【公開日】2021-09-27

【審査請求日】2023-03-08

(73)【特許権者】

【識別番号】000004260

【氏名又は名称】株式会社デンソー

(74)【代理人】

【識別番号】100113549

【弁理士】

【氏名又は名称】鈴木 守

(74)【代理人】

【識別番号】100115808

【弁理士】

【氏名又は名称】加藤 真司

(74)【代理人】

【識別番号】100169199

【弁理士】

【氏名又は名称】石本 貴幸

(72)【発明者】

【氏名】小林 利彦

【審査官】坂東 博司

(56)【参考文献】

【文献】特開２０１２－２４３２０５（ＪＰ，Ａ）

【文献】特開平０７－００６０５０（ＪＰ，Ａ）

【文献】特開２０１６－０３５６２６（ＪＰ，Ａ）

【文献】特開２００６－１７８５５２（ＪＰ，Ａ）

【文献】特開平０８－０７７０３１（ＪＰ，Ａ）

【文献】特開昭５７－１７２４５９（ＪＰ，Ａ）

【文献】特開平６－２６６５７４（ＪＰ，Ａ）

【文献】鈴木 洋一，フォールト・トレラント・システム，日経コンピュータ ｎｏ．３９１ NIKKEI COMPUTER，日本，日経ＢＰ社 Nikkei Business Publications,Inc.，1996年05月13日，ｎｏ．３９１，146-152

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ １１／２０

(57)【特許請求の範囲】

【請求項1】

正常時に動作する正常時動作コア（１２）、及び故障した前記正常時動作コアに代替して動作する代替用コア（１４）が設けられるプロセッサ（１０）であって、
故障した前記正常時動作コアのレジスタ情報の破損の有無を判定する破損判定手段（３２）と、
前記レジスタ情報が破損していない場合、前記代替用コアに前記レジスタ情報を用いて処理を開始させ、前記レジスタ情報が破損している場合、前記代替用コアに前記レジスタ情報を用いることなく処理を開始させる再開制御手段（３４）と、
故障した前記正常時動作コアの故障要因を特定する故障要因特定手段（３０）と、
を備え、
前記破損判定手段は、前記故障要因特定手段によって特定した前記故障要因に基づいて、前記レジスタ情報の破損の有無を判定する、
プロセッサ。

【請求項2】

前記代替用コアは、前記レジスタ情報を用いて処理を開始する場合、前記レジスタ情報に含まれるプログラムカウンタに基づいて、前記正常時動作コアの故障発生前からの処理を開始する、請求項１記載のプロセッサ。

【請求項3】

前記破損判定手段は、前記代替用コアに備えられ、前記代替用コアが前記正常時動作コアに代替して処理を開始する前に、前記レジスタ情報の破損の有無を判定する、請求項１又は請求項２記載のプロセッサ。

【請求項4】

前記代替用コアの数は、前記正常時動作コアの数よりも少ない数である、請求項１から請求項３の何れか１項記載のプロセッサ。

【請求項5】

正常時に動作する正常時動作コア、及び故障した前記正常時動作コアに代替して動作する代替用コアが設けられるプロセッサの冗長化方法であって、
故障した前記正常時動作コアのレジスタ情報の破損の有無を破損判定手段が判定する第１工程と、
前記レジスタ情報が破損していない場合、前記代替用コアに前記レジスタ情報を用いて処理を開始させ、前記レジスタ情報が破損している場合、再開制御手段が前記代替用コアに前記レジスタ情報を用いることなく処理を開始させる第２工程と、
を有し、
故障した前記正常時動作コアの故障要因を特定する故障要因特定手段によって特定した前記故障要因に基づいて、前記破損判定手段が前記レジスタ情報の破損の有無を判定する、
プロセッサの冗長化方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、プロセッサ及びプロセッサの冗長化方法に関する。

【背景技術】

【0002】

近年、複数のコアプロセッサ（以下「コア」ともいう。）を備えたマルチコアプロセッサシステムが一般的となっている。マルチコアプロセッサシステムには、コアの動作を監視するためにＤＣＬＳ（Dual Core Lock-Step)のような故障検知機構を備えたものもある。しかしながら、コアの故障を検知した場合に、故障したコアを停止させて故障していないコアのみで動作が継続されると、故障発生後の性能と機能安全性を十分確保できないという課題があった。

【0003】

そこで、特許文献１には、制御システムの安全な動作を担保することを目的として、複数のコアで構成されるマルチコアシステムとロックステップコアシステムとを有する再構成制御装置が開示されている。この再構成制御装置は、マルチコアシステム内のコアにエラーが発生した場合にロックステップコアシステムがマルチコア動作に動的に切り替えられ、コアにエラーが発生した動作不能となったソフトに対応した縮退ソフトをマルチコア動作に切り替えられたコアが実行する。

【先行技術文献】

【特許文献】

【0004】

【文献】国際公開第２０１８／１９８１８４号

【発明の概要】

【発明が解決しようとする課題】

【0005】

特許文献１の再構成制御装置では、故障が発生したコアの代替用コアとしてロックステップコアが機能するものの、代替用コアで行われる処理は故障したコアによる処理からの連続性が失われる。

【0006】

ここで、近年開発が進んでいる車両の自動運転制御等では、プロセッサに故障が発生しても自動運転制御の継続が要求されている。車両の自動運転制御のように高い安全性が求められるような制御処理においては、故障したコアを代替用コアに切り替えた場合であっても処理の連続性を保つことが求められる。

【0007】

本発明は上記背景に鑑み、故障したコアによる処理と切り替えられた代替用コアによる処理との連続性を保つことができる、プロセッサ及びプロセッサの冗長化方法を提供することを目的とする。

【課題を解決するための手段】

【0008】

本発明は上記課題を解決するために以下の技術的手段を採用する。特許請求の範囲及びこの項に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示す一例であって、本発明の技術的範囲を限定するものではない。

【0009】

本発明の一態様のプロセッサ（１０）は、正常時に動作する正常時動作コア（１２）、及び故障した前記正常時動作コアに代替して動作する代替用コア（１４）が設けられるプロセッサであって、故障した前記正常時動作コアのレジスタ情報の破損の有無を判定する破損判定手段（３２）と、前記レジスタ情報が破損していない場合、前記代替用コアに前記レジスタ情報を用いて処理を開始させ、前記レジスタ情報が破損している場合、前記代替用コアに前記レジスタ情報を用いることなく処理を開始させる再開制御手段（３４）と、
を備える。

【発明の効果】

【0010】

本発明によれば、故障したコアによる処理と切り替えられた代替用コアによる処理との連続性を保つことができる。

【図面の簡単な説明】

【0011】

【図1】実施形態のマルチコアプロセッサの概略図である。

【図2】実施形態のマルチコアプロセッサのコア切り替えに関する構成図である。

【図3】実施形態の代替用コアのレジスタ判定処理に関する機能ブロック図である。

【図4】実施形態の故障コア切替処理の流れを示すフローチャートである。

【発明を実施するための形態】

【0012】

以下、図面を参照して本発明の実施形態を説明する。なお、以下に説明する実施形態は、本発明を実施する場合の一例を示すものであって、本発明を以下に説明する具体的構成に限定するものではない。本発明の実施にあたっては、実施形態に応じた具体的構成が適宜採用されてよい。

【0013】

図１は、本実施形態のマルチコアプロセッサ１０の概略図である。なお、本実施形態のマルチコアプロセッサ１０は、例えば、自動車やプラント等の制御処理に用いられる。

【0014】

マルチコアプロセッサ１０は、正常時に動作する正常時動作コア１２（１２Ａ～１２Ｄ）、及び故障が発生した正常時動作コア１２に代替して動作する代替用コア１４（１４Ｘ，１４Ｙ）が設けられるマルチコアシステムとして構成されている。このため、正常時動作コア１２の何れもが故障していない場合には、代替用コア１４は動作しない。本実施形態のマルチコアプロセッサ１０は、このような正常時動作コア１２と代替用コア１４との構成により冗長化が行われる。

【0015】

なお、本実施形態の正常時動作コア１２及び代替用コア１４は、ＤＣＬＳとして構成されている。しかしながら、マルチコアプロセッサ１０は、コアの故障検知を行う機能を有していれば、必ずしも正常時動作コア１２及び代替用コア１４がＤＣＬＳ（Dual Core Lock-Step)として構成されていなくてもよい。

【0016】

ここで、二つ以上の正常時動作コア１２が同時に故障する確率は非常に低い。そこで、本実施形態の代替用コア１４の数は、一例として、正常時動作コア１２の数よりも少ない数とされる。図１の例では、本実施形態の正常時動作コア１２は４つであり、代替用コア１４は２つである。なお、代替用コア１４の数は、一つ以上であればよく、マルチコアプロセッサ１０の故障率や性能に応じてその数は決定される。

【0017】

このように、代替用コア１４の数を正常時動作コア１２の数よりも少ない数とすることで、正常時動作コア１２と代替用コア１４との数を同数とする構成に比べて、マルチコアプロセッサ１０の回路規模を小さくすることができる。また、代替後において動作するコアの数は故障前と変わらないので、マルチコアプロセッサ１０は、正常時動作コア１２が故障した後であっても、故障前と同じ性能を確保できる。

【0018】

図２は、本実施形態のマルチコアプロセッサ１０による正常時動作コア１２から代替用コア１４への切り替え（以下「コア切り替え」という。）に関する構成図である。

【0019】

マルチコアプロセッサ１０は、正常時動作コア１２及び代替用コア１４と共に、コア切替ユニット２０、レジスタ転送ユニット２２、及びマルチプレクサ２４（２４Ａ～２４Ｄ）を備える。これらは、各々がバス２６によって電気的に接続されており、各種情報（データ）の入出力が可能とされている。なお、マルチコアプロセッサ１０が備えるマルチプレクサ２４の数は、正常時動作コア１２の数と同じである。

【0020】

コア切替ユニット２０は、ハードウェアユニットであり、正常時動作コア１２の故障判定を行うと共に、正常時動作コア１２が故障した場合に、代替用コア１４への切り替えを行う。このため、コア切替ユニット２０は、正常時動作コア１２が故障した場合に、代替用コア１４Ｘ，１４Ｙの何れか一方を選択し、選択した代替用コア１４へ動作を開始させるための動作開始信号を出力する。なお、コア切替ユニット２０は、故障が発生した正常時動作コア１２（以下「故障コア」という。）に対して動作を終了させるための動作終了信号を出力する。

【0021】

そして、コア切替ユニット２０は、コア切り替えを行う場合に、故障コアに対応するマルチプレクサ２４Ａ～２４Ｄの何れかへ、正常時動作コア１２から代替用コア１４へ切り替えるための切替信号（mux1～mux4）を送信する。

【0022】

なお、本実施形態のマルチコアプロセッサ１０は、一例として、代替用コア１４Ｘ，１４Ｙに切り替え順が予め定められており、その順番は先に代替用コア１４Ｘが用いられ、次に代替用コア１４Ｙが用いられる。このため、コア切替ユニット２０は、複数の正常時動作コア１２の何れか一つが故障した場合にまず代替用コア１４Ｘへ切り替え、さらに２つ目の正常時動作コア１２が故障した場合に代替用コア１４Ｙへ切り替える。

【0023】

レジスタ転送ユニット２２は、ハードウェアユニットであり、故障コアからレジスタ情報を読み出し、故障コアの代替となる代替用コア１４へ転送する。これにより、正常時動作コア１２の故障発生時におけるレジスタ情報が代替用コア１４へ継承される。

【0024】

なお、レジスタ情報は、コントロールレジスタ（ＣＲ：Control Resister）、ステータスレジスタ（ＳＲ：Status Resister）、汎用レジスタ（ＧＰＲ：General purpose Register）等で記憶された情報やプログラムカウンタ（ＰＣ：Program Counter）等が含まれる。また、本実施形態のレジスタ転送ユニット２２は、レジスタ情報と共に他の情報も含むコアコンテキストや、正常時動作コア１２の故障が発生したときの情報（以下「故障情報」という。）を正常時動作コア１２から読み出し、代替用コア１４へ転送する。

【0025】

なお、本実施形態の正常時動作コア１２は、故障が発生した場合にその故障要因が特定可能なように設計されている。例えば、正常時動作コア１２が有する機能のうちどの機能が故障したのか、ＤＣＬＳを構成する２つのコアの処理結果を比較する比較回路が故障したのかを特定可能な情報が故障情報に含まれるように、正常時動作コア１２が設計される。

【0026】

マルチプレクサ２４は、コア切替ユニット２０からの切替信号に基づいて、入力された情報のうち、出力する情報を選択的に切り替える。

【0027】

具体的には、マルチプレクサ２４Ａは、正常時動作コア１２Ａ、代替用コア１４Ｘ，１４Ｙと接続され、正常時動作コア１２Ａの出力信号又は代替用コア１４Ｘ，１４Ｙの出力信号が入力される。正常時動作コア１２Ａが故障していない場合には、マルチプレクサ２４Ａは、正常時動作コア１２Ａからの出力信号が入力され、マルチプレクサ２４は正常時動作コア１２Ａからの出力信号を出力する。

【0028】

一方、正常時動作コア１２Ａに故障が発生した場合には、マルチプレクサ２４Ａには、コア切替ユニット２０からの切替信号mux1が入力される。切替信号が代替用コア１４Ｘへの切り替えを示している場合には、マルチプレクサ２４Ａは、代替用コア１４Ｘからの出力信号を出力する。切替信号が代替用コア１４Ｙへの切り替えを示している場合には、マルチプレクサ２４Ａは、代替用コア１４Ｙからの出力信号を出力する。

【0029】

同様に、マルチプレクサ２４Ｂは、正常時動作コア１２Ｂ、代替用コア１４Ｘ，１４Ｙと接続され、切替信号mux2に基づいて、正常時動作コア１２Ｂと代替用コア１４Ｘ，１４Ｙの何れかとの切り替えを行う。同様に、マルチプレクサ２４Ｃは、正常時動作コア１２Ｃ、代替用コア１４Ｘ，１４Ｙと接続され、切替信号mux3に基づいて、正常時動作コア１２Ｃと代替用コア１４Ｘ，１４Ｙの何れかとの切り替えを行う。同様に、マルチプレクサ２４Ｄは、正常時動作コア１２Ｄ、代替用コア１４Ｘ，１４Ｙと接続され、切替信号mux4に基づいて、正常時動作コア１２Ｄと代替用コア１４Ｘ，１４Ｙの何れかとの切り替えを行う。

【0030】

ここで、上述したように、本実施形態のマルチコアプロセッサ１０は、コア切り替えを行う場合、故障コアの代替となる代替用コア１４へレジスタ情報を転送するものの、レジスタ情報が破損していたら、代替用コア１４は安定して動作しない可能性がある。

【0031】

そこで、本実施形態のマルチコアプロセッサ１０は、故障コアのレジスタ情報の破損の有無を判定する。そして、マルチコアプロセッサ１０は、レジスタ情報が破損していない場合、代替用コア１４にレジスタ情報を用いて処理を開始させ、レジスタ情報が破損している場合、代替用コア１４にレジスタ情報を用いることなく処理を開始させる。これにより、本実施形態のマルチコアプロセッサ１０は、故障コアによる処理と切り替えられた代替用コア１４による処理との連続性を保つことができる。

【0032】

本実施形態のマルチコアプロセッサ１０は、一例として、このようなレジスタ情報の破損判定、及び代替用コア１４によるレジスタ情報の使用有無の決定に関する処理（以下「レジスタ判定処理」という。）を代替用コア１４がソフトウェア（プログラム）処理として行う。

【0033】

図３は、本実施形態の代替用コア１４のレジスタ判定処理に関する機能ブロック図である。図３に示されるように、代替用コア１４は、故障要因特定部３０、レジスタ破損判定部３２、及び再開制御部３４を備える。なお、これらの機能は、上述のようにソフトウェア（プログラム）により実行されるものであり、レジスタ判定処理を実行するためのプログラムは、マルチコアプロセッサ１０が備えるＲＯＭ（Read Only Memory）又はその他の記憶媒体に記憶されている。

【0034】

故障要因特定部３０は、故障コアの故障要因を特定する。本実施形態では、故障コアの故障情報に基づいて、故障要因特定部３０が故障要因を特定する。故障情報は、故障コアからレジスタ転送ユニット２２を介して、代替用コア１４へ転送される。

【0035】

レジスタ破損判定部３２は、故障コアのレジスタ情報の破損の有無を判定する。本実施形態では、故障要因特定部３０によって特定した故障要因に基づいて、レジスタ破損判定部３２がレジスタ情報の破損の有無を判定する。すなわち、特定した故障要因がレジスタ情報を破損させるようなものであれば、レジスタ情報は破損していると判定される。

【0036】

このように本実施形態のレジスタ破損判定部３２は、故障コアの故障情報に基づいて、レジスタ情報の破損の有無を判定するが、これに限らず、故障情報を用いることなく、レジスタ情報の内容に基づいて、レジスタ情報の破損の有無が判定されてもよい。なお、レジスタ情報の破損とは、例えば、レジスタ情報のデータ領域の破損をいう。データ領域には、故障コアがそれまでの制御処理によって生成した各種データであって、その後の制御処理によっても用いられる各種データ等が記憶されている。

【0037】

なお、レジスタ破損判定部３２は、代替用コア１４が故障コアに代替して制御処理を開始する前に、レジスタ情報の破損の有無を判定する。これにより、破損したレジスタ情報を代替用コア１４が用いることが防止される。

【0038】

再開制御部３４は、レジスタ情報の破損有無に応じて、代替用コア１４がレジスタ情報を用いて制御処理を開始（再開）するか否かを決定する。すなわち、再開制御部３４は、レジスタ情報が破損していない場合、代替用コア１４にレジスタ情報を用いて制御処理を開始させ、レジスタ情報が破損している場合、代替用コア１４にレジスタ情報を用いることなく制御処理を開始させる。

【0039】

図４は、マルチコアプロセッサ１０による故障コア切替処理の流れを示すフローチャートである。故障コア切替処理は、コア切替ユニット２０によって正常時動作コア１２の故障が検知された場合に実行される。

【0040】

まず、ステップ１００では、レジスタ転送ユニット２２が故障コアからレジスタ情報を含むコアコンテキストを読み出して保存する。

【0041】

次のステップ１０２では、故障情報を保存する。この保存処理は、レジスタ転送ユニット２２が行ってもよいし、他のハードウェアが行ってもよい。

【0042】

次のステップ１０４では、故障コアと代替用コア１４とをコア切替ユニット２０が切り替える。このため、コア切替ユニット２０は、所定の代替用コア１４へ動作開始信号を出力すると共に故障コアへ動作停止信号を出力し、故障コアと所定の代替用コア１４とに対応するマルチプレクサ２４に切替信号を出力する。

【0043】

次のステップ１０６では、レジスタ判定処理の開始指示をコア切替ユニット２０が代替用コア１４へ出力する。

【0044】

次のステップ１０８では、故障情報に基づいて故障コアの故障要因を故障要因特定部３０が特定する。

【0045】

次のステップ１１０では、レジスタ情報が破損しているか否かをレジスタ破損判定部３２が判定し、肯定判定の場合はステップ１１４へ移行し、否定判定の場合はステップ１１２へ移行する。このステップ１１０は、換言すると、代替用コア１４がレジスタ情報を用いて制御処理の開始が可能か否かを判定するものである。

【0046】

なお、本実施形態のレジスタ破損判定部３２は、上述のように、故障要因特定部３０によって特定された故障要因に基づいて、レジスタ情報が破損しているか否かを判定する。例えば、レジスタ破損判定部３２は、特定された故障要因がレジスタ情報のデータ領域を破損させるような要因である場合にレジスタ情報が破損していると判定する。

【0047】

ステップ１１２では、レジスタ情報が破損しているため、再開制御部３４が代替用コア１４をリセットした後に、当該代替用コア１４による制御処理を開始させ、本故障コア切替処理を終了する。これにより、代替用コア１４は、破損したレジスタ情報を用いることなく処理を開始する。

【0048】

一方、ステップ１１４では、レジスタ情報が破損していないため、故障発生直前の処理から代替用コア１４が制御処理を開始するように、再開制御部３４がレジスタ転送ユニット２２へ再開指示信号を出力する。

【0049】

次のステップ１１６では、レジスタ転送ユニット２２が故障時のコアコンテキストを代替用コア１４に転送する。

【0050】

次のステップ１１８では、代替用コア１４に転送されたレジスタ情報に含まれるプログラムカウンタに基づいて、代替用コア１４が正常時動作コア１２の故障発生前から制御処理を開始するように、コア切替ユニット２０が代替用コア１４へ制御開始信号を出力し、本故障コア切替処理を終了する。より具体的には、故障コアに故障が発生したとされる制御処理に対応するプログラムカウンタの直前から、代替用コア１４は、制御処理を開始する。これにより、代替用コア１４は、転送されたコアコンテキストに含まれるレジスタ情報、及びその他の情報を用いて、故障コアが故障するまでに行っていた制御処理を継続して実行することになる。

【0051】

このように代替用コア１４は、レジスタ情報を用いて制御処理を開始する場合、レジスタ情報に含まれるプログラムカウンタに基づいて、正常時動作コア１２の故障発生直前からの制御処理を開始するので、制御処理の連続性がより確実なものとなる。

【0052】

以上説明したように、本実施形態の代替用コア１４は、故障コアのレジスタ情報が破損していない場合には、故障コアのレジスタ情報を用いて制御処理を開始する。一方で、レジスタ情報が破損している場合には、代替用コア１４は故障コアのレジスタ情報を用いることなく制御処理を開始する。これにより、マルチコアプロセッサ１０は、故障コアによる制御処理と代替用コア１４による制御処理との連続性を保つことができる。

【0053】

以上、本発明を、上記実施形態を用いて説明したが、本発明の技術的範囲は上記実施形態に記載の範囲には限定されない。発明の要旨を逸脱しない範囲で上記実施形態に多様な変更又は改良を加えることができ、該変更又は改良を加えた形態も本発明の技術的範囲に含まれる。

【0054】

上記実施形態では、レジスタ判定処理を代替用コア１４で行う形態について説明したが、本発明は、これに限定されるものではない。例えば、レジスタ転送ユニット２２やバス２６に接続されている他のハードウェアでレジスタ判定処理が行われてもよい。より具体的には、故障要因特定部３０、レジスタ破損判定部３２及び再開制御部３４によって実行される処理をハードウェアで行い、その処理結果が代替用コア１４に出力される。

【0055】

すなわち、上記実施形態では、レジスタ判定処理として故障コアの故障情報を利用してソフトウェアで代替用コア１４によるレジスタ情報の使用有無の決定を行う形態について説明したが、本発明は、これに限定されるものではない。レジスタ判定処理は、ハードウェア（レジスタ転送ユニット２２、その他のハードウェア）とソフトウェアの協調で動作してもよい。例えば、上記実施形態では図４に示されるフローチャートのステップ１０８，１１０，１１２，１１４等はソフトウェアによる処理として説明したが、ステップ１０６開始前の時点で、明らかに代替用コア１４のリセットが必要な故障（レジスタ情報が破損している故障）が発生していることがハードウェアによって検出された場合には、ソフトウェアを介さずにハードウェアで代替用コア１４のリセットが行われ、当該代替用コア１４による制御処理が開始されてもよい。

【符号の説明】

【0056】

１０・・・マルチコアプロセッサ、１２・・・正常時動作コア、１４・・・代替用コア、
３２・・・破損判定部、３４・・・再開制御部

【図1】

【図2】

【図3】

【図4】