JP2015072567A - Information processing apparatus - Google Patents
Information processing apparatus Download PDFInfo
- Publication number
- JP2015072567A JP2015072567A JP2013207486A JP2013207486A JP2015072567A JP 2015072567 A JP2015072567 A JP 2015072567A JP 2013207486 A JP2013207486 A JP 2013207486A JP 2013207486 A JP2013207486 A JP 2013207486A JP 2015072567 A JP2015072567 A JP 2015072567A
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- program
- failure detection
- output
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、CPU(Central Processing Unit)などの演算処理手段の故障を検出する機能を有する情報処理装置に関する。 The present invention relates to an information processing apparatus having a function of detecting a failure of arithmetic processing means such as a CPU (Central Processing Unit).
安全性が重要な自動車などに搭載される情報処理装置には、高い信頼性が求められる。この情報処理装置の信頼性を高くする手法として、CPUなどの演算処理手段の故障を検出する手法が存在する。例えば、このCPUの故障検出機能として主流になりつつあるロックステップデュアルコア(LSDC:Lock Step Dual Core)方式では、2つのCPUに同じ演算を実行させ、その出力結果を比較することでCPUの故障を検出する。例えば、特許文献1および特許文献2を参照。 High reliability is required for an information processing apparatus mounted in an automobile or the like where safety is important. As a technique for increasing the reliability of this information processing apparatus, there is a technique for detecting a failure of arithmetic processing means such as a CPU. For example, in the lock step dual core (LSDC) system, which is becoming mainstream as a failure detection function of this CPU, two CPUs execute the same calculation, and the output results are compared to compare the CPU failure. Is detected. For example, see Patent Document 1 and Patent Document 2.
自動車などに搭載される情報処理装置では、CPUが実行する全てのプログラムを、車両の安全に関わるプログラムと、車両の安全に関わらないプログラムとに、大別できる。ここで、車両の安全に関わらないプログラムであれば、たとえCPUが演算間違いを起こしたとしても運転上の安全性に問題はない。 In an information processing apparatus mounted on an automobile or the like, all programs executed by the CPU can be broadly classified into programs related to vehicle safety and programs not related to vehicle safety. Here, if the program is not related to vehicle safety, there is no problem in driving safety even if the CPU makes a calculation error.
ところが、現状の情報処理装置では、車両の安全に関わるプログラムと車両の安全に関わらないプログラムとを明確に判別していない。このため、実際には、車両の安全に関わらないプログラムの実行中に発生した故障のようにそのまま処理を継続しても問題ない故障の場合でも、故障が検出されてしまうと何かしらのフェールオペレーション(システムリセットやシステムダウンなど)を実施して車両機能の縮退を行ってしまうことがある。しかし、この場合における車両機能の縮退は、本来不必要であり避けたいものである。
また、車両の安全に関わらないプログラムの実行中に発生した故障は、そのプログラム実行中に顕在化しなくても、その後の安全性に関わるプログラムの実行中に顕在化して検出できれば、運転上の安全性に問題はない。
However, current information processing apparatuses do not clearly distinguish between a program related to vehicle safety and a program not related to vehicle safety. For this reason, in fact, even if a failure that does not cause a problem if processing continues as it is, such as a failure that occurred during the execution of a program that is not related to vehicle safety, if a failure is detected, some failure operation ( System reset or system down) may be performed to reduce the vehicle function. However, the degradation of the vehicle function in this case is essentially unnecessary and is to be avoided.
In addition, if a failure that occurs during the execution of a program that is not related to vehicle safety does not become obvious during the execution of the program, and if it becomes obvious during the execution of a program related to safety, it can be detected, There is no problem with sex.
上記特許文献1には、ソフトウエアによって故障検出に対する通知不可フラグを切り替えることによって、故障検出機能のON/OFFを制御する情報処理装置が開示されている。
しかしながら、この特許文献1に記載されたソフトウエアによって故障検出機能をON/OFFする構成の場合、そのソフトウエアを実行するCPU自体に故障が発生した場合、故障検出機能のON/OFFが不正に切り替えられる危険性があるという問題が生じる。また、故障検出機能のON/OFFに処理負荷のオーバーヘッドが発生するという問題もある。
Patent Document 1 discloses an information processing apparatus that controls ON / OFF of a failure detection function by switching a notification impossible flag for failure detection by software.
However, in the case of a configuration in which the failure detection function is turned ON / OFF by the software described in Patent Document 1, if a failure occurs in the CPU executing the software, the failure detection function is turned ON / OFF illegally. The problem arises that there is a risk of switching. There is also a problem that processing load overhead occurs when the failure detection function is turned ON / OFF.
また、上記特許文献2には、故障検出機能のON/OFFを行う切り替え手段が、故障検出対象のCPUとは異なる演算手段で動作する情報処理装置が開示されている。
しかしながら、この特許文献2に記載されたCPUとは異なる演算手段で故障検出を動作させる構成の場合、故障検出が不必要なプログラムに対しても故障検出処理を行うため、不必要な車両機能の縮退が生じて情報処理装置の処理継続性が低下してしまうという問題がある。
Further, Patent Document 2 discloses an information processing apparatus in which switching means for turning on / off a failure detection function is operated by a calculation means different from a failure detection target CPU.
However, in the case of a configuration in which failure detection is operated by a calculation means different from the CPU described in Patent Document 2, since failure detection processing is performed even for a program that does not require failure detection, an unnecessary vehicle function There is a problem in that degeneration occurs and processing continuity of the information processing apparatus decreases.
本発明は、上記の課題を鑑みてなされたものであり、処理継続性の向上、故障検出結果出力処理のリアルタイム性確保、故障判定信号の不正出力防止、小面積低コスト化を実現させた、情報処理装置を提供することを目的とする。 The present invention has been made in view of the above problems, and has realized improvement in processing continuity, real-time performance of failure detection result output processing, prevention of unauthorized output of failure determination signals, and reduction in cost of a small area, An object is to provide an information processing apparatus.
上記の課題を解決するための本発明の一態様は、フェイルセーフ機能を有する情報処理装置であって、故障検出機能を有する演算処理ユニットと、故障検出の対象となるプログラムまたは故障検出の対象外となるプログラムのアドレス範囲を記憶するアドレス記憶部と、演算処理ユニットが実行するプログラムを監視して、その実行するプログラムがアドレス記憶部に記憶されたアドレス範囲のプログラムであるか否かを判断する監視判断部と、監視判断部におけるプログラム判断の結果に基づいて、演算処理ユニットが検出した結果を出力するか否かを制御する出力制御部とを備える、ことを特徴とする情報処理装置である。 One embodiment of the present invention for solving the above-described problem is an information processing apparatus having a fail-safe function, an arithmetic processing unit having a failure detection function, a program that is a target of failure detection, or a target that is not subject to failure detection The address storage unit for storing the address range of the program to be executed and the program executed by the arithmetic processing unit are monitored to determine whether the program to be executed is a program in the address range stored in the address storage unit. An information processing apparatus comprising: a monitoring determination unit; and an output control unit that controls whether to output a result detected by the arithmetic processing unit based on a result of program determination in the monitoring determination unit. .
上記本発明によれば、故障の監視が必要なプログラムを実行中である場合にだけ、故障検出処理結果を出力する。よって、安全性に影響しないプログラムなどに対して得られたCPU故障検出の結果を過剰に反映させなくてすみ、情報処理装置の処理継続性を向上させることができる。 According to the present invention, the fault detection processing result is output only when a program that requires fault monitoring is being executed. Therefore, it is not necessary to excessively reflect the result of CPU failure detection obtained for a program that does not affect safety, and the processing continuity of the information processing apparatus can be improved.
本発明は、フェイルセーフ機能を有する情報処理装置であって、CPUなどの演算処理手段(以下、単に「CPU」と記す)の故障検出機能を有する構成を含む様々な情報処理装置に適用可能である。
以下の実施形態では、ロックステップデュアルコア(LSDC)方式による常時実施のCPU故障検出機能を有する情報処理装置を一例に挙げて、本発明を説明する。しかし、本発明は、この実施形態に限定されるものではなく、他の常時実施されるCPUの故障検出機能を有する装置の全般に適用することができる。
The present invention is an information processing apparatus having a fail-safe function, and can be applied to various information processing apparatuses including a configuration having a failure detection function of arithmetic processing means such as a CPU (hereinafter simply referred to as “CPU”). is there.
In the following embodiments, the present invention will be described by taking as an example an information processing apparatus having a CPU failure detection function that is always performed by the lockstep dual core (LSDC) method. However, the present invention is not limited to this embodiment, and can be applied to any other apparatus having a CPU failure detection function that is always performed.
図1は、本発明の一実施形態に係るLSDC方式による常時実施のCPU故障検出機能を有する情報処理装置1の構成を説明する図である。図1に例示する本実施形態の情報処理装置1は、LSDC−CPU11と、アドレス記憶部12と、監視判断部13と、出力制御部14とを備えている。
まず、本実施形態の情報処理装置1の各構成を説明する。
FIG. 1 is a diagram illustrating the configuration of an information processing apparatus 1 having a CPU failure detection function that is always performed by the LSDC method according to an embodiment of the present invention. An information processing apparatus 1 according to this embodiment illustrated in FIG. 1 includes an LSDC-CPU 11, an address storage unit 12, a monitoring determination unit 13, and an output control unit 14.
First, each structure of the information processing apparatus 1 of this embodiment is demonstrated.
LSDC−CPU11は、ロックステップデュアルコア(LSDC)方式によって演算処理手段の故障を検出する演算処理ユニットであって、マスタCPU11aと、チェッカCPU11bと、比較器11cとを含んでいる。
マスタCPU11aは、情報処理装置1におけるプログラム処理を実行するメイン演算処理手段である。チェッカCPU11bは、演算処理手段の故障検出のために冗長的に設けられたサブ演算処理手段である。チェッカCPU11bは、マスタCPU11aと同等の性能を発揮できる機能を持っていればよく、マスタCPU11aと全く同じCPUであっても、異なるCPUであってもよい。これらのマスタCPU11a、チェッカCPU11b、および比較器11cは、プログラムやデータやコマンドなど(以下、まとめてプログラムなどと記す)の送受信が行われるデータバス21にそれぞれ接続されている。
The LSDC-CPU 11 is an arithmetic processing unit that detects a failure of arithmetic processing means by a lockstep dual core (LSDC) system, and includes a master CPU 11a, a checker CPU 11b, and a comparator 11c.
The master CPU 11 a is a main arithmetic processing unit that executes program processing in the information processing apparatus 1. The checker CPU 11b is a sub operation processing unit provided redundantly for detecting a failure of the operation processing unit. The checker CPU 11b only needs to have a function capable of exhibiting the same performance as the master CPU 11a, and may be the same CPU as the master CPU 11a or a different CPU. The master CPU 11a, the checker CPU 11b, and the comparator 11c are connected to a data bus 21 that transmits and receives programs, data, commands, and the like (hereinafter collectively referred to as programs).
このLSDC−CPU11では、CPUの故障検出が次のように常時行われる。
マスタCPU11aおよびチェッカCPU11bには、データバス21を介して同じプログラムなどが入力される。マスタCPU11aは、入力されたプログラムなどに従って所定の演算処理を実行し、得られた演算結果をデータバス21に出力すると共に比較器11cにも出力する。チェッカCPU11bは、入力されたプログラムなどに従ってマスタCPU11aと同じ演算処理を同時に実行し、得られた演算結果を比較器11cに出力する。
In the LSDC-CPU 11, CPU failure detection is always performed as follows.
The same program or the like is input to the master CPU 11a and the checker CPU 11b via the data bus 21. The master CPU 11a executes predetermined arithmetic processing according to the input program or the like, and outputs the obtained arithmetic result to the data bus 21 and also to the comparator 11c. The checker CPU 11b simultaneously executes the same arithmetic processing as the master CPU 11a according to the input program and the like, and outputs the obtained arithmetic result to the comparator 11c.
比較器11cは、マスタCPU11aが出力する演算結果と、チェッカCPU11bが出力する演算結果とを入力し、双方の演算結果を比較する。そして、比較器11cは、双方の演算結果を比較した結果、双方の演算結果が一致すればマスタCPU11aおよびチェッカCPU11bの両者に故障が無い(すなわち、正常状態)と判断し、双方の演算結果が一致しなければマスタCPU11aおよびチェッカCPU11bのいずれかに故障がある(すなわち、不良状態)と判断する。
この判断の理由は、2つの演算処理手段が共に故障していなければ、同一のプログラムなどを入力して同一の演算処理を実行することによってそれぞれ得られる2つの結果は、自ずと同じになるという理由によるものである。従って、2つの結果が異なるということによって、2つある演算処理手段の少なくともいずれか1つに故障が有ると判断できるのである。
The comparator 11c receives the calculation result output from the master CPU 11a and the calculation result output from the checker CPU 11b, and compares both calculation results. Then, as a result of comparing the two calculation results, the comparator 11c determines that both the master CPU 11a and the checker CPU 11b have no failure (that is, a normal state), and both the calculation results are the same. If they do not match, it is determined that either the master CPU 11a or the checker CPU 11b has a failure (ie, a defective state).
The reason for this determination is that if the two arithmetic processing means are not in failure, the two results respectively obtained by inputting the same program and executing the same arithmetic processing are the same as each other. Is due to. Therefore, since the two results are different, it can be determined that at least one of the two arithmetic processing means has a failure.
そして、比較器11cは、マスタCPU11aおよびチェッカCPU11bの両者に故障が無いと判断した場合には、「OK」を示すCPU故障判定信号を出力制御部14へ出力する。一方、比較器11cは、マスタCPU11aおよびチェッカCPU11bのいずれかに故障が有ると判断した場合には、「NG」を示すCPU故障判定信号を出力制御部14へ出力する。 When the comparator 11c determines that there is no failure in both the master CPU 11a and the checker CPU 11b, the comparator 11c outputs a CPU failure determination signal indicating “OK” to the output control unit 14. On the other hand, when the comparator 11c determines that either the master CPU 11a or the checker CPU 11b has a failure, the comparator 11c outputs a CPU failure determination signal indicating “NG” to the output control unit 14.
アドレス記憶部12には、情報処理装置1において扱われる全てのプログラムのうち、CPUの故障検出処理を行わないCPU故障検出処理対象外のプログラムのアドレスが記憶されている。このCPU故障検出処理の対象外となるプログラムとは、例えば安全性に影響しないプログラムなどの、故障検出が不必要なプログラムをいう。
このアドレス記憶部12に記憶されている具体的な一例としては、CPU故障検出処理対象外であるプログラムの先頭アドレス(start_add)と終了アドレス(end_add)とのアドレス対が挙げられる。図1に示した例では、第1プログラムの先頭アドレス(start_add1)および終了アドレス(end_add1)のアドレス対が、第2プログラムの先頭アドレス(start_add2)および終了アドレス(end_add2)のアドレス対が、第3プログラムの先頭アドレス(start_add3)および終了アドレス(end_add3)のアドレス対が、それぞれ記憶されている。
The address storage unit 12 stores the addresses of programs that are not subject to CPU failure detection processing and that are not subject to CPU failure detection processing among all programs handled in the information processing apparatus 1. The program that is not subject to the CPU failure detection process is a program that does not require failure detection, such as a program that does not affect safety.
A specific example stored in the address storage unit 12 is an address pair of a start address (start_add) and an end address (end_add) of a program that is not subject to CPU failure detection processing. In the example shown in FIG. 1, the address pair of the first address (start_add1) and end address (end_add1) of the first program is the third address pair of the start address (start_add2) and end address (end_add2) of the second program. An address pair of a program start address (start_add3) and an end address (end_add3) is stored.
なお、このアドレス記憶部12には、情報処理装置1において扱われる全てのプログラムのうち、CPUの故障検出処理を行うCPU故障検出処理対象のプログラム(例えば、安全性に影響するプログラムなど)のアドレスが記憶されていてもよい。すなわち、このアドレス記憶部12には、LSDC−CPU11が実行するプログラムがCPU故障検出処理の実施対象か否かを判断できる内容が記憶されていればよい。
また、CPU故障検出処理対象またはCPU故障検出処理対象外のどちらの範囲をアドレス記憶部12に記憶するかを、任意に切り替えられるようにしてもよい。このようにすれば、アドレス記憶部12に記憶するアドレス対が少なくなる方の範囲を選択することができる。
The address storage unit 12 includes addresses of CPU failure detection processing target programs (for example, programs that affect safety) that perform CPU failure detection processing among all programs handled in the information processing apparatus 1. May be stored. In other words, the address storage unit 12 only needs to store contents that allow the program executed by the LSDC-CPU 11 to determine whether or not the CPU failure detection process is to be performed.
Further, it may be possible to arbitrarily switch between the CPU failure detection process target and the CPU failure detection process target range to be stored in the address storage unit 12. In this way, it is possible to select a range in which the number of address pairs stored in the address storage unit 12 is reduced.
監視判断部13は、LSDC−CPU11が実行するプログラムを常時監視している。この監視は、例えば、マスタCPU11aが備えるプログラムカウンタPCの値を監視判断部13がモニタリングすることで実行される。監視判断部13は、マスタCPU11aが備えるプログラムカウンタPCの値と、アドレス記憶部12に記憶されているCPU故障検出処理対象外プログラム(または故障検出処理対象プログラム)のアドレスとに基づいて、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であるか否かを判断する。
そして、監視判断部13は、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であると判断した場合、「ON」を示すCPU監視信号を出力制御部14へ出力する。一方、監視判断部13は、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であると判断した場合、「OFF」を示すCPU監視信号を出力制御部14へ出力する。
The monitoring determination unit 13 constantly monitors a program executed by the LSDC-CPU 11. This monitoring is executed by, for example, the monitoring determination unit 13 monitoring the value of the program counter PC provided in the master CPU 11a. Based on the value of the program counter PC provided in the master CPU 11a and the address of the CPU failure detection processing non-target program (or failure detection processing target program) stored in the address storage unit 12, the monitoring judgment unit 13 is based on the master CPU 11a. Then, it is determined whether or not the checker CPU 11b is executing a program that is not subject to CPU failure detection processing.
When the master CPU 11 a and the checker CPU 11 b determine that the CPU failure detection processing target program is being executed, the monitoring determination unit 13 outputs a CPU monitoring signal indicating “ON” to the output control unit 14. On the other hand, when determining that the master CPU 11a and the checker CPU 11b are executing a program not subject to CPU failure detection processing, the monitoring determination unit 13 outputs a CPU monitoring signal indicating "OFF" to the output control unit 14.
出力制御部14は、LSDC−CPU11の比較器11cが出力するCPU故障判定信号と、監視判断部13が出力するCPU監視信号とを入力する。
そして、出力制御部14は、CPU監視信号が「ON」の場合には、「OK」を示すCPU故障判定信号は「OK」を示すCPU故障外部通知信号として、「NG」を示すCPU故障判定信号は「NG」を示すCPU故障外部通知信号として、後段に存在する構成へ出力する(CPU故障検出機能の動作)。
一方、出力制御部14は、CPU監視信号が「OFF」の場合には、CPU故障判定信号が「OK」か「NG」かにかかわらず、後段に存在する構成へのCPU故障外部通知信号の出力を「OK」のまま固定する。つまり、CPU監視信号が「OFF」の場合には、CPU故障判定信号がマスクされて外部に通知されないことになる(CPU故障検出機能の非動作)。
The output control unit 14 inputs the CPU failure determination signal output from the comparator 11 c of the LSDC-CPU 11 and the CPU monitoring signal output from the monitoring determination unit 13.
When the CPU monitoring signal is “ON”, the output control unit 14 uses the CPU failure determination signal indicating “OK” as the CPU failure external notification signal indicating “OK”, and the CPU failure determination indicating “NG”. The signal is output as a CPU failure external notification signal indicating “NG” to the configuration existing in the subsequent stage (operation of the CPU failure detection function).
On the other hand, when the CPU monitoring signal is “OFF”, the output control unit 14 outputs the CPU failure external notification signal to the configuration existing in the subsequent stage regardless of whether the CPU failure determination signal is “OK” or “NG”. The output is fixed as “OK”. That is, when the CPU monitoring signal is “OFF”, the CPU failure determination signal is masked and is not notified to the outside (non-operation of the CPU failure detection function).
上述した比較器11c、監視判断部13、および出力制御部14の具体的な構成例としては、次のような構成が考えられる。
比較器11cは、マスタCPU11aおよびチェッカCPU11bの両者に故障が無いと判断した場合に出力する「OK」を示すCPU故障判定信号として、「1」の論理値を出力制御部14へ出力する。一方、比較器11cは、マスタCPU11aおよびチェッカCPU11bのいずれかに故障が有ると判断した場合に出力する「NG」を示すCPU故障判定信号として、「0」の論理値を出力制御部14へ出力する。
監視判断部13は、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中であると判断した場合に出力する「ON」を示すCPU監視信号として、「1」の論理値を出力制御部14へ出力する。一方、監視判断部13は、マスタCPU11aがCPU故障検出処理対象外のプログラムを実行中であると判断した場合に出力する「OFF」を示すCPU監視信号として、「0」の論理値を出力制御部14へ出力する。
出力制御部14には、図1に示すように2入力の論理積(AND)素子を用い、一方の入力端子にLSDC−CPU11の比較器11cが出力するCPU故障判定信号を、他方の入力端子に監視判断部13が出力するCPU監視信号をそれぞれ入力する。
As specific configuration examples of the comparator 11c, the monitoring determination unit 13, and the output control unit 14 described above, the following configurations may be considered.
The comparator 11c outputs a logical value of “1” to the output control unit 14 as a CPU failure determination signal indicating “OK” that is output when it is determined that there is no failure in both the master CPU 11a and the checker CPU 11b. On the other hand, the comparator 11c outputs a logical value of “0” to the output control unit 14 as a CPU failure determination signal indicating “NG” that is output when it is determined that either the master CPU 11a or the checker CPU 11b has a failure. To do.
The monitoring determination unit 13 outputs a logical value of “1” to the output control unit 14 as a CPU monitoring signal indicating “ON” that is output when the master CPU 11 a determines that the CPU failure detection processing target program is being executed. Output. On the other hand, the monitoring determination unit 13 outputs a logic value of “0” as a CPU monitoring signal indicating “OFF” that is output when the master CPU 11a determines that a program that is not subject to CPU failure detection is being executed. To the unit 14.
As shown in FIG. 1, the output control unit 14 uses a 2-input AND (AND) element, and the CPU failure determination signal output from the comparator 11c of the LSDC-CPU 11 is output to one input terminal of the other input terminal. The CPU monitoring signal output from the monitoring determination unit 13 is input to each.
図2に、上述した構成例において、各構成がCPU故障検出処理において入出力する信号のタイミングチャートを示す。
監視判断部13は、マスタCPU11aが備えるプログラムカウンタPCの値およびアドレス記憶部12に記憶されているアドレス対に基づいて、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合には、論理値「1」のCPU監視信号を出力し(監視区間)、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中でない場合には、論理値「0」のCPU監視信号を出力する(非監視区間)。論理値「1」のCPU監視信号が出力されている監視区間では、CPUの故障が検出されれば(CPU故障判定信号「NG」)「NG」のCPU故障外部通知信号が出力され、CPUの故障が検出されなければ(CPU故障判定信号「OK」)「OK」のCPU故障外部通知信号が出力される。一方、論理値「0」のCPU監視信号が出力されている非監視区間では、CPUの故障が検出されても(CPU故障判定信号「NG」)「NG」のCPU故障外部通知信号が出力されず、「OK」のCPU故障外部通知信号のままである。
FIG. 2 shows a timing chart of signals input and output by each configuration in the CPU failure detection process in the configuration example described above.
Based on the value of the program counter PC provided in the master CPU 11 a and the address pair stored in the address storage unit 12, the monitoring determination unit 13 is executing the CPU failure detection processing target program. A CPU monitoring signal with a logical value “1” is output (monitoring section), and if the master CPU 11a is not executing a program for CPU failure detection processing, a CPU monitoring signal with a logical value “0” is output (non-monitoring). section). In the monitoring section in which the CPU monitoring signal of logical value “1” is output, if a CPU failure is detected (CPU failure determination signal “NG”), a CPU failure external notification signal of “NG” is output, and the CPU If no failure is detected (CPU failure determination signal “OK”), an “OK” CPU failure external notification signal is output. On the other hand, in the non-monitoring period in which the CPU monitoring signal of logical value “0” is output, even if a CPU failure is detected (CPU failure determination signal “NG”), a CPU failure external notification signal of “NG” is output. However, the CPU failure external notification signal “OK” remains.
これらのCPU監視信号、CPU故障判定信号、およびCPU故障外部通知信号は、各ハードウエアにおいてCPUのクロック信号に同期して生成される。よって、クロック信号のサイクル毎にプログラムカウンタPCの値がモニタリングされてCPU監視信号が更新されるため、CPU故障検出機能の動作/非動作をリアルタイムに切り替えることができる。
なお、上述した構成例はあくまで一例であって、各々の論理値を反転したり、出力制御部14に否定論理積(NAND)素子を用いたりしても、もちろん構わない。
The CPU monitoring signal, CPU failure determination signal, and CPU failure external notification signal are generated in synchronization with the CPU clock signal in each hardware. Therefore, since the value of the program counter PC is monitored and the CPU monitoring signal is updated every cycle of the clock signal, the operation / non-operation of the CPU failure detection function can be switched in real time.
Note that the above configuration example is merely an example, and it goes without saying that each logical value may be inverted or a negative logical product (NAND) element may be used for the output control unit 14.
このような構成により、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合にだけ、LSDC−CPU11が実行するCPU故障検出処理の結果を後段に存在する構成へ出力することができる。 With such a configuration, only when the master CPU 11a is executing a program targeted for CPU failure detection processing, the result of the CPU failure detection processing executed by the LSDC-CPU 11 can be output to the configuration existing in the subsequent stage.
次に、上記構成による情報処理装置1が実行するCPU故障検出処理の手順を説明する。図3は、本発明の一実施形態に係る情報処理装置1の監視判断部13によって行われるCPU故障検出処理の手順を示すフローチャートである。 Next, a procedure of CPU failure detection processing executed by the information processing apparatus 1 having the above configuration will be described. FIG. 3 is a flowchart showing a procedure of CPU failure detection processing performed by the monitoring determination unit 13 of the information processing apparatus 1 according to an embodiment of the present invention.
図3において、監視判断部13は、マスタCPU11aおよびチェッカCPU11bによって現在演算処理が実行されているプログラムを、マスタCPU11aが備えるプログラムカウンタPCの値をモニタリングすることで監視する(ステップS31)。次に、監視判断部13は、アドレス記憶部12に記憶されているCPU故障検出処理対象外プログラムのアドレス範囲を参照し、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であるか否かを判断する(ステップS32)。 In FIG. 3, the monitoring determination unit 13 monitors the program that is currently being processed by the master CPU 11 a and the checker CPU 11 b by monitoring the value of the program counter PC provided in the master CPU 11 a (step S <b> 31). Next, the monitoring determination unit 13 refers to the address range of the CPU failure detection processing non-target program stored in the address storage unit 12, and the master CPU 11a and the checker CPU 11b are executing the CPU failure detection processing target program. Whether or not (step S32).
マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であると判断した場合、監視判断部13は、「ON」を示すCPU監視信号を出力制御部14へ出力し、CPU故障検出機能を作動させる(ステップS33)。すなわち、LSDC−CPU11の比較器11cが出力するCPU故障判定の結果を外部に通知することを許可する。
一方、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であると判断した場合、監視判断部13は、「OFF」を示すCPU監視信号を出力制御部14へ出力し、CPU故障検出機能を非作動にする(ステップS34)。すなわち、LSDC−CPU11の比較器11cが出力するCPU故障判定の結果を外部に通知することを許可しない。
上記ステップS31〜S34の処理は、繰り返して行われる。
When the master CPU 11a and the checker CPU 11b determine that the CPU failure detection processing target program is being executed, the monitoring determination unit 13 outputs a CPU monitoring signal indicating "ON" to the output control unit 14, and the CPU failure detection function Is operated (step S33). That is, it is permitted to notify the outside of the CPU failure determination result output from the comparator 11c of the LSDC-CPU 11.
On the other hand, when the master CPU 11a and the checker CPU 11b determine that a program that is not subject to CPU failure detection processing is being executed, the monitoring determination unit 13 outputs a CPU monitoring signal indicating "OFF" to the output control unit 14, and the CPU The failure detection function is deactivated (step S34). In other words, it is not permitted to notify the CPU failure determination result output from the comparator 11c of the LSDC-CPU 11 to the outside.
The processes in steps S31 to S34 are repeated.
以上のように、本発明の一実施形態に係るLSDC方式による常時実施のCPU故障検出機能を有する情報処理装置1によれば、CPU故障検出処理対象または対象外のプログラムを予め記憶しておき、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中であるか否かを判断する。
これにより、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合にだけ、LSDC−CPU11が実行するCPU故障検出処理の結果を後段に存在する構成へ出力する(CPU故障検出機能を動作させる)ことができる。よって、故障検出が不必要なプログラム(安全性に影響しないプログラムなど)に対して得られたCPU故障検出の結果を過剰に反映させなくてすみ、情報処理装置1の処理継続性を向上させることができる。
As described above, according to the information processing apparatus 1 having the CPU failure detection function that is always performed by the LSDC method according to the embodiment of the present invention, the CPU failure detection processing target or the non-target program is stored in advance. It is determined whether or not the master CPU 11a is executing the CPU failure detection processing target program.
As a result, only when the master CPU 11a is executing the CPU failure detection processing target program, the result of the CPU failure detection processing executed by the LSDC-CPU 11 is output to the configuration existing in the subsequent stage (the CPU failure detection function is operated). Can). Therefore, it is not necessary to excessively reflect the result of CPU failure detection obtained for a program that does not require failure detection (such as a program that does not affect safety), and the processing continuity of the information processing apparatus 1 is improved. Can do.
また、本実施形態に係る情報処理装置1の構成によれば、CPU故障検出処理範囲の特定およびCPU故障検出機能の動作/非動作を、ハードウエアで実現している。よって、CPU監視(CPU故障検出結果の出力処理)のリアルタイム性を確保することができる。 Further, according to the configuration of the information processing apparatus 1 according to the present embodiment, the CPU failure detection processing range is specified and the operation / non-operation of the CPU failure detection function is realized by hardware. Therefore, the real-time property of CPU monitoring (CPU failure detection result output processing) can be ensured.
また、本実施形態に係る情報処理装置1の構成によれば、マスタCPU11aがCPU故障検出処理対象外のプログラムを実行中であるか否かを判断する監視判断部13を、LSDC−CPU11とは異なるハードウエアで構成している。よって、LSDC−CPU11の不良などによってCPU故障判定信号が不正に出力されることを防止することができ、装置やシステムの安全性を確保することができる。 Further, according to the configuration of the information processing apparatus 1 according to the present embodiment, the monitoring determination unit 13 that determines whether the master CPU 11a is executing a program that is not subject to CPU failure detection processing is referred to as the LSDC-CPU 11. Consists of different hardware. Therefore, it is possible to prevent the CPU failure determination signal from being illegally output due to a failure of the LSDC-CPU 11 or the like, and to ensure the safety of the apparatus or the system.
さらに、本実施形態に係る情報処理装置1の構成によれば、LSDC−CPU11自体には何ら変更を加える必要がない。よって、既存の装置に対して微小な回路を追加するだけでよく、小面積かつ低設計コストで、簡単に本実施形態に係る情報処理装置1を実現することができる。 Furthermore, according to the configuration of the information processing apparatus 1 according to the present embodiment, it is not necessary to make any changes to the LSDC-CPU 11 itself. Therefore, it is only necessary to add a minute circuit to the existing apparatus, and the information processing apparatus 1 according to the present embodiment can be easily realized with a small area and a low design cost.
本発明は、CPUなどの演算処理手段の故障検出機能を有する構成を含む様々な情報処理装置に利用可能であり、特に情報処理装置の処理継続性を向上させたい場合などにおいて有効である。 The present invention can be used in various information processing apparatuses including a configuration having a failure detection function of arithmetic processing means such as a CPU, and is particularly effective when it is desired to improve processing continuity of the information processing apparatus.
1 情報処理装置
11 LSDC−CPU
11a マスタCPU
11b チェッカCPU
11c 比較器
12 アドレス記憶部
13 監視判断部
14 出力制御部
21 データバス
PC プログラムカウンタ
1 Information processing apparatus 11 LSDC-CPU
11a Master CPU
11b Checker CPU
11c Comparator 12 Address storage unit 13 Monitoring judgment unit 14 Output control unit 21 Data bus PC Program counter
Claims (1)
故障検出機能を有する演算処理ユニットと、
故障検出の対象となるプログラムまたは故障検出の対象外となるプログラムのアドレス範囲を記憶するアドレス記憶部と、
前記演算処理ユニットが実行するプログラムを監視して、当該実行するプログラムが前記アドレス記憶部に記憶されたアドレス範囲のプログラムであるか否かを判断する監視判断部と、
前記監視判断部におけるプログラム判断の結果に基づいて、前記演算処理ユニットが検出した結果を出力するか否かを制御する出力制御部とを備えることを特徴とする、情報処理装置。 An information processing apparatus having a fail-safe function,
An arithmetic processing unit having a failure detection function;
An address storage unit that stores an address range of a program that is a target of failure detection or a program that is not a target of failure detection;
A monitoring determination unit that monitors a program executed by the arithmetic processing unit and determines whether the execution program is a program in an address range stored in the address storage unit;
An information processing apparatus comprising: an output control unit that controls whether to output a result detected by the arithmetic processing unit based on a result of program determination in the monitoring determination unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013207486A JP6090094B2 (en) | 2013-10-02 | 2013-10-02 | Information processing device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013207486A JP6090094B2 (en) | 2013-10-02 | 2013-10-02 | Information processing device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015072567A true JP2015072567A (en) | 2015-04-16 |
| JP6090094B2 JP6090094B2 (en) | 2017-03-08 |
Family
ID=53014896
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013207486A Active JP6090094B2 (en) | 2013-10-02 | 2013-10-02 | Information processing device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6090094B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110462603A (en) * | 2017-03-28 | 2019-11-15 | 株式会社电装 | Microcomputer |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08179940A (en) * | 1994-09-01 | 1996-07-12 | Sun Microsyst Inc | Method for debugging of computer application program and computer system |
| JP2003140924A (en) * | 2001-11-05 | 2003-05-16 | Toshiba Corp | Microprocessor, debug system, and debug program |
| JP2007507015A (en) * | 2003-06-24 | 2007-03-22 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | Method for switching between at least two operating modes of a processor unit and corresponding processor unit |
| JP2013065220A (en) * | 2011-09-19 | 2013-04-11 | Mitsubishi Electric Corp | Information processor |
-
2013
- 2013-10-02 JP JP2013207486A patent/JP6090094B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08179940A (en) * | 1994-09-01 | 1996-07-12 | Sun Microsyst Inc | Method for debugging of computer application program and computer system |
| JP2003140924A (en) * | 2001-11-05 | 2003-05-16 | Toshiba Corp | Microprocessor, debug system, and debug program |
| JP2007507015A (en) * | 2003-06-24 | 2007-03-22 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | Method for switching between at least two operating modes of a processor unit and corresponding processor unit |
| JP2013065220A (en) * | 2011-09-19 | 2013-04-11 | Mitsubishi Electric Corp | Information processor |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110462603A (en) * | 2017-03-28 | 2019-11-15 | 株式会社电装 | Microcomputer |
| CN110462603B (en) * | 2017-03-28 | 2023-09-22 | 株式会社电装 | Microcomputer |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6090094B2 (en) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6360387B2 (en) | Processor system, engine control system, and control method | |
| JP5739290B2 (en) | Electronic control unit | |
| US8819485B2 (en) | Method and system for fault containment | |
| US9063906B2 (en) | Thread sparing between cores in a multi-threaded processor | |
| WO2011114493A1 (en) | Microcomputer cross-monitoring system and microcomputer cross-monitoring method | |
| US9952922B2 (en) | Fault detection apparatus and method | |
| WO2016203505A1 (en) | Semiconductor device and diagnostic test method | |
| KR20190035480A (en) | Microcontroller and control method of the same | |
| US10360115B2 (en) | Monitoring device, fault-tolerant system, and control method | |
| JP6090094B2 (en) | Information processing device | |
| JP5518021B2 (en) | Information processing device | |
| US20230281092A1 (en) | Glitch suppression apparatus and method | |
| WO2008004330A1 (en) | Multiple processor system | |
| US8954794B2 (en) | Method and system for detection of latent faults in microcontrollers | |
| JP2010020621A (en) | Program recovery system and method | |
| US11467865B2 (en) | Vehicle control device | |
| US11294787B2 (en) | Apparatus and method for controlling assertion of a trigger signal to processing circuitry | |
| JP2011126327A (en) | On-vehicle controller | |
| JP5978873B2 (en) | Electronic control unit | |
| JP2010283230A (en) | Semiconductor device and abnormality prediction method thereof | |
| JP5559100B2 (en) | Electronic control system | |
| JP5756413B2 (en) | Control device | |
| JP2018097442A (en) | Electronic controller | |
| JP2012160149A (en) | Duplex circuit, semiconductor device and test method | |
| JP5034972B2 (en) | Electronic equipment and programs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161004 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170123 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6090094 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |