DE112020007129T5 - Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren - Google Patents

Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren Download PDF

Info

Publication number
DE112020007129T5
DE112020007129T5 DE112020007129.4T DE112020007129T DE112020007129T5 DE 112020007129 T5 DE112020007129 T5 DE 112020007129T5 DE 112020007129 T DE112020007129 T DE 112020007129T DE 112020007129 T5 DE112020007129 T5 DE 112020007129T5
Authority
DE
Germany
Prior art keywords
verification
functional unit
unit
reliability
highly reliable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020007129.4T
Other languages
English (en)
Inventor
Katsuhisa Ogasawara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112020007129T5 publication Critical patent/DE112020007129T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • G07C5/0825Indicating performance data, e.g. occurrence of a malfunction using optical means

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Es besteht die Aufgabe, eine Technologie anzugeben, die eine kontinuierliche Verifikation von hochzuverlässigen Funktionseinheiten ermöglicht. Eine Informations-Verarbeitungsvorrichtung weist Folgendes auf: eine Verifikations-Funktionseinheit zum Injizieren von injizierten Verifikationsdaten in eine Eingabe zum Durchführen einer hochzuverlässigen Funktionseinheit und zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit auf der Basis der Ausgabe aus einem Ausgang, wenn die hochzuverlässige Funktionseinheit in einer Verifikations-Ausführungsumgebung durchgeführt wird, die eine sichere Ausführungsumgebung ist, und zwar gegen eine System-Ausführungsumgebung. Die Informations-Verarbeitungsvorrichtung weist Folgendes auf: eine Zeitverwaltungs-Funktionseinheit zum Verwalten des Timings des Verifikationsbetriebs und der maximalen Zeit des Verifikationsbetriebs.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft Informations-Verarbeitungsvorrichtungen und Informations-Verarbeitungsverfahren.
  • Stand der Technik
  • Bei einem typischen automatischen Steuerungssystem wirken eine Mehrzahl von Funktionen zur Erkennung, Bestimmung und Steuerung zusammen und sind integriert. Ein autonomes Fahrsystem, wie etwa ein solches automatisches Steuerungssystem, weist z. B. Folgendes auf: eine autonome Fahrsteuerungseinrichtung zum Erzeugen eines optimalen Steuerungsparameters aus einer Fahrzeug-Umgebungsbedingung, sowie eine Motorsteuerungseinrichtung, eine Bremssteuerungseinrichtung und eine Lenksteuerungseinrichtung zum jeweiligen Erzielen einer Motorsteuerung, einer Bremssteuerung und einer Lenksteuerung eines Fahrzeugs. Das autonome Fahren kann, im Falle einer Anomalie irgendwo im autonomen Fahrsystem, nicht fortgesetzt werden. Zur Fortsetzung in einem solchen Fall muss ein automatisches Steuerungssystem einen Wartungsbetrieb (Fehlfunktionsbetrieb) durchführen, und zwar vor dem Übergang in einen gesicherten Zustand, und einen Übergang (Ausfallsicherheits-Betrieb) in einen sicheren Zustand.
  • Im automatischen Steuerungssystem nimmt der vom System übernommene Verantwortungsbereich mit zunehmendem Autonomieniveau zu, wie z. B. dem Niveau des autonomen Fahrens. Beispielsweise hat das autonome Fahren ein Niveau des autonomen Fahrens, das von der internationalen Gesellschaft von Fahrzeugingenieuren (Society of Automotive Engineers (SAE) International) definiert ist, und der Verantwortungsbereich, der vom System übernommen wird, nimmt mit zunehmendem Niveau zu.
  • Um sich dieser Problematik anzunehmen, wurde schon eine Systemkonfiguration vorgeschlagen, die hochzuverlässige Funktionseinheiten (hochzuverlässige Funktionen) verwendet und Folgendes aufweist: (1) einen Überwachungsmechanismus, (2) eine Fehlerdetektions-/Korrekturfunktion, (3) einen Majoritäts-Mechanismus und (4) ein mehrfach redundantes System, um die Sicherheit im Falle einer Fehlfunktion bzw. eines Ausfalls zu gewährleisten.
  • Die hochzuverlässigen Funktionseinheiten (hochzuverlässigen Funktionen) weisen jedoch Funktionen auf, die für einen langen Zeitraum nicht betrieben werden, bis eine Fehlfunktion bzw. ein Ausfall auftritt, und zwar sogar während des Betriebs nach einem Versand von Produkten, wie z. B. die Funktion (4), sowie Funktionen, bei denen Daten außerhalb eines normalen Datenbereichs nicht eingegeben werden, wie z. B. die Funktionen (1) bis (3). Es war demnach schwierig, in geeigneter Weise zu gewährleisten, dass das System insgesamt normal funktioniert, bis eine Fehlfunktion bzw. ein Ausfall auftritt.
  • Um dieses Problems zu überwinden, schlägt das Patentdokument 1 ein System vor, mittels dessen ein Fehlfunktions-Detektionssystem zum Detektieren einer Fehlfunktion von elektronischer Ausrüstung selbst zu jedem Zeitpunkt geprüft werden kann. Das Patentdokument 2 offenbart ein System und ein Verfahren zum Überprüfen der Integrität einer elektronischen Einrichtung.
  • Dokumente zum Stand der Technik
  • Patentdokumente
    • Patentdokument 1: Japanische Patentanmeldungs-Offenlegungsschrift JP 7- 264 266 A
    • Patentdokument 2: Japanische ungeprüfte Patentanmeldungs-Veröffentlichung (Übersetzung der PCT-Anmeldung) JP 2018- 519 705 A
  • Zusammenfassung
  • Mit der Erfindung zu lösendes Problem
  • Das Patentdokument 1 offenbart, dass geprüft wird, ob eine Signal-Empfangsschaltung einer Fehlfunktions-Überwachung zum Anzeigen von Informationen in Anwesenheit einer Fehlfunktion und eine Fehlfunktions-Signal-Übertragungsleitung von der elektronischen Ausrüstung normal sind, aber berücksichtigt nicht die kontinuierliche Verifikation des Betriebs von hochzuverlässigen Funktionseinheiten, die mit einem Programm betrieben werden, das auf dem System läuft.
  • Das Patentdokument 2 offenbart eine Prüfung einer Manipulation des Systems unter Verwendung einer sicheren Ausführungsumgebung, aber berücksichtigt auf ähnliche Weise nicht die Verifikation des Betriebs von hochzuverlässigen Funktionseinheiten. Wenn Verifikationsdaten in das System im Betrieb zur Überprüfung eingebracht bzw. injiziert werden, ist eine geplante, geschützte und sichere Überprüfung bzw. Verifikation schwierig, ohne in die Verarbeitung des laufenden Programms einzugreifen.
  • Die vorliegende Erfindung wurde in Anbetracht des oben beschriebenen Problems konzipiert. Es ist Aufgabe der vorliegenden Erfindung, eine Technologie anzugeben, die eine kontinuierliche Verifikation von hochzuverlässigen Funktionseinheiten ermöglicht.
  • Wege zum Lösen des Problems
  • Eine Informations-Verarbeitungsvorrichtung gemäß der vorliegenden Erfindung weist Folgendes auf: eine Mehrzahl von hochzuverlässigen Funktionseinheiten, die jeweils einen Eingang und einen Ausgang aufweisen; eine Normalfunktionseinheit, die imstande ist zum Durchführen einer Verarbeitung in einer System-Ausführungsumgebung und imstande ist zum Aufrufen einer der hochzuverlässigen Funktionseinheiten entsprechend der Verarbeitung und zum Injizieren von Daten, die zum Durchführen der hochzuverlässigen Funktionseinheit verwendet werden, in den Eingang, während die Verarbeitung durchgeführt wird; eine Verifikationstabelle zum Halten von injizierten Verifikationsdaten, die zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit verwendet werden; eine Verifikations-Funktionseinheit zum Injizieren der injizierten Verifikationsdaten in den Eingang zum Durchführen der hochzuverlässigen Funktionseinheit und zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit auf der Basis der Ausgabe aus dem Ausgang, wenn die hochzuverlässige Funktionseinheit in einer Verifikations-Ausführungsumgebung durchgeführt wird, die eine sichere Ausführungsumgebung ist, und zwar gegen die System-Ausführungsumgebung; und eine Zeitverwaltungs-Funktionseinheit zum Verwalten des Timings des Verifikationsbetriebs und der maximalen Zeit des Verifikationsbetriebs.
  • Wirkungen der Erfindung
  • Gemäß der vorliegenden Erfindung wird der Betrieb der hochzuverlässigen Funktionseinheiten in der Verifikations-Ausführungsumgebung verifiziert, die die sichere Ausführungsumgebung ist, und zwar gegen die System-Ausführungsumgebung, und das Timing des Verifikationsbetriebs und die maximale Zeit des Verifikationsbetriebs werden verwaltet. Mit einer solchen Konfiguration können die hochzuverlässigen Funktionseinheiten kontinuierlich verifiziert werden.
  • Die Aufgaben, Merkmale, Aspekte und Vorteile der vorliegenden Erfindung werden noch deutlicher aus der folgenden detaillierten Beschreibung und den beigefügten Zeichnungen.
  • Figurenliste
    • 1 ist ein Blockdiagramm, das eine Konfiguration einer Informations-Verarbeitungsvorrichtung gemäß Ausführungsform 1 zeigt.
    • 2 zeigt ein Beispiel der Inhalte einer Verifikationstabelle für hochzuverlässige Funktionen gemäß Ausführungsform 1.
    • 3 zeigt ein Beispiel der Inhalte einer Zustandstabelle für hochzuverlässige Funktionen gemäß Ausführungsform 1.
    • 4 ist ein Ablaufdiagramm, das den Betrieb einer Verifikations-Planungseinheit gemäß Ausführungsform 1 zeigt.
    • 5 ist ein Ablaufdiagramm, das den Betrieb einer Verifikations-Ausführungseinheit gemäß Ausführungsform 1 zeigt.
    • 6 ist ein Ablaufdiagramm, das den Betrieb einer Verifikationsdaten-Injektionseinheit gemäß Ausführungsform 1 zeigt.
    • 7 ist ein Ablaufdiagramm, das den Betrieb einer Ausgabe-Verwaltungseinheit gemäß Ausführungsform 1 zeigt.
    • 8 ist ein Ablaufdiagramm, das den Betrieb einer Betriebsprotokoll-Erfassungseinheit gemäß Ausführungsform 1 zeigt.
    • 9 ist ein Ablaufdiagramm, das den Betrieb einer Gesundheits-Bestimmungseinheit gemäß Ausführungsform 1 zeigt.
    • 10 ist ein Ablaufdiagramm, das einen Abbruchbetrieb einer Zeitverwaltungs-Funktionseinheit gemäß Ausführungsform 1 zeigt.
    • 11 ist ein Blockdiagramm, das eine Konfiguration einer Informations-Verarbeitungsvorrichtung gemäß Ausführungsform 2 zeigt.
    • 12 ist ein Blockdiagramm, das eine Konfiguration einer Informations-Verarbeitungsvorrichtung gemäß Ausführungsform 3 zeigt.
    • 13 ist ein Blockdiagramm, das eine Hardwarekonfiguration einer Informations-Verarbeitungsvorrichtung in einer Modifikation zeigt.
    • 14 ist ein Blockdiagramm, das eine Hardwarekonfiguration einer Informations-Verarbeitungsvorrichtung in einer Modifikation zeigt.
  • Beschreibung von Ausführungsformen
  • Ausführungsform 1
  • 1 ist ein Blockdiagramm, das eine Konfiguration einer Informations-Verarbeitungsvorrichtung 1000 gemäß Ausführungsform 1 zeigt. Die Informations-Verarbeitungsvorrichtung 1000 kann eine Informations-Verarbeitungsvorrichtung eines automatischen Steuerungssystems (nicht dargestellt) sein, wie z. B. eines autonomen Fahrsystems, das an einem autonomen Fahrzeug installiert ist.
  • Eine System-Ausführungsumgebung 1100 und eine sichere Ausführungsumgebung 1200 sind für die Informations-Verarbeitungsvorrichtung 1000 definiert. Die System-Ausführungsumgebung 1100 ist eine Umgebung zum Durchführen einer normalen Funktion entsprechend eines Funktionserfordernisses des Systems. Die sichere Ausführungsumgebung 1200 ist eine Verifikations-Ausführungsumgebung, die im Wesentlichen getrennt ist von der System-Ausführungsumgebung 1100 und bei der die sichere Ausführung gegen die System-Ausführungsumgebung 1100 bzw. gegenüber der System-Ausführungsumgebung gewährleistet ist. Die Informations-Verarbeitungsvorrichtung 1000 weist einen sicheren Datenpfad 1300 auf, der zwischen der System-Ausführungsumgebung 1100 und der sicheren Ausführungsumgebung 1200 verläuft und auf dem eine sichere Datenkommunikation gewährleistet ist.
  • Eine Betriebsmodus-Verwaltungs-Funktionseinheit 1110, eine Normalfunktionseinheit 1120 und eine Mehrzahl von hochzuverlässigen Funktionseinheiten 1130 sind in der System-Ausführungsumgebung 1100 angeordnet. Wie nachstehend beschrieben, können die Betriebsmodus-Verwaltungs-Funktionseinheit 1110, die Normalfunktionseinheit 1120 und die Mehrzahl von hochzuverlässigen Funktionseinheiten 1130 jeweils dedizierte Hardware sein oder eine Funktion, die mit Software durchgeführt wird, wie z. B. einem Programm.
  • Die Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltet - unter einer Mehrzahl von Betriebsmodi, die von dem System betrieben werden können - einen Betriebsmodus, der von dem System in der System-Ausführungsumgebung 1100 betrieben wird. Beispielsweise weist die Mehrzahl von Betriebsmodi des autonomen Fahrsystems einen autonomen Fahrmodus für gewöhnliche Straßen, einen autonomen Fahrmodus für Schnellstraßen, einen automatischen Parkmodus und einen manuellen Fahrmodus auf.
  • Die Betriebsmodus-Verwaltungs-Funktionseinheit 1110 weist eine Fehlfunktionsbetriebs-Funktionseinheit 1111 auf, und die Fehlfunktionsbetriebs-Funktionseinheit 1111 hat eine Systembetriebsfunktion zum Umschalten des Betriebsmodus, der vom System betrieben wird, im Falle einer Fehlfunktion eines Teils des Systems. Der Betriebsmodus, der von der Fehlfunktionsbetriebs-Funktionseinheit 1111 umgeschaltet wird, weist einen manuellen Modus auf, wie z. B. einen manuellen Fahrmodus.
  • Die Normalfunktionseinheit 1120 hat eine Systembetriebsfunktion zum Durchführen der Verarbeitung im Betriebsmodus, der von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltet wird. Die Systembetriebsfunktion wird auch als Systemverarbeitungsfunktion bezeichnet.
  • Die Mehrzahl von hochzuverlässigen Funktionseinheiten 1130 (hochzuverlässigen Funktionseinheiten 1130-1 bis 1130-nl gemäß 1) hat die Funktion, die Verarbeitungsfunktion der Normalfunktionseinheit 1120 hoch zuverlässig zu machen. Die Funktion, die hoch zuverlässig gemacht wird, schließt beispielsweise Folgendes ein: (1) einen Überwachungsmechanismus; (2) eine Fehlerdetektions-/Korrekturfunktion, (3) einen Majoritäts-Mechanismus; und (4) ein mehrfach redundantes System. Die Mehrzahl von hochzuverlässigen Funktionseinheiten 1130 weist jeweils - als Schnittstellen zwischen der hochzuverlässigen Funktionseinheit 1130 und der Normalfunktionseinheit 1120 - einen Eingang 1131 zum Entgegennehmen einer Eingabe von Daten von der Normalfunktionseinheit 1120 und einen Ausgang 1132 zum Ausgeben von Daten an die Normalfunktionseinheit 1120 auf.
  • Die Normalfunktionseinheit 1120 weist eine Aufrufeinheit 1121 für hochzuverlässige Funktionen auf, und die Aufrufeinheit 1121 für hochzuverlässige Funktionen ruft die jeweilige der hochzuverlässigen Funktionseinheiten 1130 auf. Die Normalfunktionseinheit 1120 kann demzufolge - während sie eine normale Verarbeitung durchführt - eine der hochzuverlässigen Funktionseinheiten 1130 entsprechend der Verarbeitung aufrufen (diese durchführen), und sie kann Daten, die zum Durchführen der hochzuverlässigen Funktionseinheit 1130 verwendet werden, in den Eingang 1131 injizieren (in diesen eingeben). Während eine einzelne Normalfunktionseinheit 1120 in 1 gezeigt ist, ist die Anzahl von Normalfunktionseinheiten 1120 nicht auf Eins beschränkt, und die Informations-Verarbeitungsvorrichtung 1000 kann eine Mehrzahl von Normalfunktionseinheiten 1120 aufweisen, die jeweils die Systembetriebsfunktion haben.
  • Eine Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen, eine Verifikationstabelle 1220 für hochzuverlässige Funktionen, eine Zeitverwaltungs-Funktionseinheit 1230 und eine Zustandstabelle 1240 für hochzuverlässige Funktionen sind in der sicheren Ausführungsumgebung 1200 enthalten.Wie nachstehend noch beschrieben wird, können die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen und die Zeitverwaltungs-Funktionseinheit 1230 jeweils dedizierte Hardware sein oder eine Funktion, die mit Software durchgeführt wird, wie z. B. einem Programm.
  • Die Verifikationstabelle 1220 für hochzuverlässige Funktionen als Verifikationstabelle hält injizierte Verifikationsdaten, die zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit 1130 verwendet werden.
  • Die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen als eine Verifikations-Funktionseinheit verifiziert, ob die hochzuverlässige Funktionseinheit 1130, die parallel mit der Normalfunktionseinheit 1120 betriebsfähig ist, gesund bzw. zuverlässig und korrekt arbeitet und ob das System insgesamt normal funktioniert.
  • Genauer gesagt: Die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen injiziert die oben erwähnten injizierten Verifikationsdaten in den Eingang 1131 (gibt diese in den Eingang ein) und führt so die hochzuverlässige Funktionseinheit 1130 in der sicheren Ausführungsumgebung 1200 durch. Die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen verifiziert den Betrieb der hochzuverlässigen Funktionseinheit 1130 auf der Basis der Ausgabe aus dem Ausgang 1132, wenn sie die hochzuverlässige Funktionseinheit 1130 durchführt.
  • Die Zeitverwaltungs-Funktionseinheit 1230 verwaltet das Timing des Verifikationsbetriebs und die maximale Zeit des Verifikationsbetriebs.
  • Die Zustandstabelle 1240 für hochzuverlässige Funktionen als eine Zustandstabelle hält - als Ergebnis des Verifikationsbetriebs, der von der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen durchgeführt wird - Zustandsdaten, die angeben, ob die hochzuverlässige Funktionseinheit 1130 normal ist.
  • Die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen, die Verifikationstabelle 1220 für hochzuverlässige Funktionen, die Zeitverwaltungs-Funktionseinheit 1230 und die Zustandstabelle 1240 für hochzuverlässige Funktionen werden nachstehend beschrieben.
  • 2 zeigt ein Beispiel der Inhalte einer Verifikationstabelle 1220 für hochzuverlässige Funktionen gemäß Ausführungsform 1.
  • Die hochzuverlässigen Funktionseinheiten 1130 haben Verifikationsdaten-Einträge 2000 (Verifikationsdaten-Einträge 2000-1 bis 2000-n2 im Beispiel gemäß 2), die für die hochzuverlässigen Funktionseinheiten 1130 eindeutig sind. Die Inhalte der Daten, die zur Verifikation des Betriebs notwendig sind, sind für jeden der Verifikationsdaten-Einträge 2000 in der Verifikationstabelle 1220 für hochzuverlässige Funktionen vorgegeben. Die Inhalte der Daten, die zur Verifikation des Betriebs notwendig sind, sind auch für jeden der Betriebsmodi 2300 (Betriebsmodi 2300-1 bis 2300-n3 im Beispiel gemäß 2), die von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltbar sind, in der Verifikationstabelle 1220 für hochzuverlässige Funktionen vorgegeben.
  • In Abhängigkeit von der Kombination aus einem Verifikationsdaten-Eintrag 2000 und einem Betriebsmodus 2300 der hochzuverlässigen Funktionseinheit 1130 werden nicht die Inhalte der Daten, die zur Verifikation des Betriebs notwendig sind, sondern „NICHT ZU VERIFIZIEREN“ vorgegeben.
  • Die Inhalte der Verifikationstabelle 1220 für hochzuverlässige Funktionen in dem Beispiel gemäß 2 schließen Folgendes ein: Verifikationsbetriebs-Timing, injizierte Verifikationsdaten, erwartete Ausgabedaten, ein erwartetes Betriebsprotokoll, ein Ausgabe-Steuerungsflag und eine maximale Verifikationszeit.
  • Das Verifikationsbetriebs-Timing gibt das Timing (die Zeit) an, wenn die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen den Verifikationsbetrieb der hochzuverlässigen Funktionseinheit 1130 startet. Die injizierten Verifikationsdaten sind Daten, die in den Eingang 1131 der hochzuverlässigen Funktionseinheit 1130 injiziert werden (in diesen eingegeben werden), wie oben beschrieben. Die erwarteten Ausgabedaten geben die erwartete Ausgabe, d. h. einen erwarteten Wert, aus dem Ausgang 1132 an, wenn die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen die hochzuverlässige Funktionseinheit 1130 durchführt. Das erwartete Betriebsprotokoll gibt ein erwartetes Betriebsprotokoll der hochzuverlässigen Funktionseinheit 1130 an, wenn die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen die hochzuverlässige Funktionseinheit 1130 durchführt.
  • Das Ausgabe-Steuerungsflag gibt an, ob die Normalfunktionseinheit 1120 die hochzuverlässige Funktionseinheit 1130 aufruft und durchführt, nachdem die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen die hochzuverlässige Funktion 1130 durchgeführt hat. Das heißt, das Ausgabe-Steuerungsflag gibt an, ob ein Steuerungsübergang zur Übergangssteuerung der hochzuverlässigen Funktionseinheit 1130 zur Normalfunktionseinheit 1120 durchgeführt werden soll, nachdem die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen die hochzuverlässige Funktionseinheit 1130 durchgeführt hat.
  • Beispielsweise kann das Ausgabe-Steuerungsflag, das angibt, dass ein Steuerungsübergang nicht durchgeführt wird, vorgegeben werden, wenn das Verifikationsbetriebs-Timing vorgegeben ist. Beispielsweise kann das Ausgabe-Steuerungsflag, das angibt, dass ein Steuerungsübergang nicht durchgeführt wird, vorgegeben werden, wenn das Verifikationsbetriebs-Timing nicht vorgegeben ist.
  • Die maximale Verifikationszeit gibt die maximal zulässige Zeit des Verifikationsbetriebs der hochzuverlässigen Funktionseinheit 1130 an.
  • Die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen gemäß 1 wird als Nächstes detailliert beschrieben. Die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen weist Folgendes auf: eine Verifikations-Planungseinheit 1211, eine Verifikations-Ausführungseinheit 1212, eine Verifikationsdaten-Injektionseinheit 1213, eine Ausgabe-Verwaltungseinheit 1214, eine Betriebsprotokoll-Erfassungseinheit 1215, eine Gesundheits-Bestimmungseinheit 1216 und eine Anzeigeeinheit 1217.
  • Die Verifikations-Planungseinheit 1211 bestimmt eine hochzuverlässige Funktionseinheit 1130, die verifiziert werden soll, aus der Mehrzahl von hochzuverlässigen Funktionseinheiten 1130, und zwar auf der Basis des Verifikationsbetriebs-Timings in der Verifikationstabelle 1220 für hochzuverlässige Funktionen, und sie plant das Timing des Verifikationsbetriebs der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll.
  • Die Verifikationsdaten-Injektionseinheit 1213 injiziert (gibt ein) die injizierten Verifikationsdaten in der Verifikationstabelle 1220 für hochzuverlässige Funktionen in den Eingang 1131 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll.
  • Die Verifikations-Ausführungseinheit 1212 führt zu dem Timing, das von der Verifikations-Planungseinheit 1211 geplant worden ist, die hochzuverlässige Funktionseinheit 1130 durch, die verifiziert werden soll, in die die injizierten Verifikationsdaten injiziert worden sind.
  • Die Ausgabe-Verwaltungseinheit 1214 erfasst, wenn die Verifikations-Ausführungseinheit 1212 die hochzuverlässige Funktionseinheit 1130 durchgeführt hat, die verifiziert werden soll, die Ausgabe (Daten eines Ausgabewerts) vom Ausgang 1132 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll. Die Ausgabe-Verwaltungseinheit 1214 steuert auch den Betrieb des Ausgangs 1132 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, so dass die Normalfunktionseinheit 1120 die hochzuverlässige Funktionseinheit 1130, die verifiziert werden soll, auf der Basis des Ausgabe-Steuerungsflags in der Verifikationstabelle 1220 für hochzuverlässige Funktionen durchführt.
  • Die Betriebsprotokoll-Erfassungseinheit 1215 erfasst das Betriebsprotokoll der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, wenn die Verifikations-Ausführungseinheit 1212 die hochzuverlässige Funktionseinheit 1130 durchgeführt hat, die verifiziert werden soll.
  • Die Gesundheits-Bestimmungseinheit 1216 vergleicht die Ausgabe, die von der Ausgabe-Verwaltungseinheit 1214 erfasst wird, mit den erwarteten Ausgabedaten in der Verifikationstabelle 1220 für hochzuverlässige Funktionen, und sie vergleicht das Betriebsprotokoll, das von der Betriebsprotokoll-Erfassungseinheit 1215 erfasst wird, mit dem erwarteten Betriebsprotokoll in der Verifikationstabelle 1220 für hochzuverlässige Funktionen.Die Gesundheits-Bestimmungseinheit 1216 bestimmt die Gesundheit der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, auf der Basis der Ergebnisse des Vergleichs zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit 1130. Die Gesundheits-Bestimmungseinheit 1216 der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen aktualisiert die oben erwähnten Zustandsdaten, die von der Zustandstabelle 1240 für hochzuverlässige Funktionen gehalten werden, und zwar jedes Mal, wenn der Betrieb verifiziert wird.
  • Die Anzeigeeinheit 1217 zeigt einem Benutzer z. B. Informationen an. Während die Anzeigeeinheit 1217 in der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen gemäß Ausführungsform 1 enthalten ist, kann die Anzeigeeinheit 1217 auch nicht in der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen enthalten sein.
  • Die Verifikations-Planungseinheit 1211 gibt das Verifikationsbetriebs-Timing für die Zeitverwaltungs-Funktionseinheit 1230 vor, und die Verifikations-Ausführungseinheit 1212 gibt die maximale Verifikationszeit für die Zeitverwaltungs-Funktionseinheit 1230 vor. Die Zeitverwaltungs-Funktionseinheit 1230 verwaltet demzufolge das Timing des Verifikationsbetriebs und die maximale Zeit des Verifikationsbetriebs. Infolge der Verwaltung der Zeitverwaltungs-Funktionseinheit 1230 verifiziert die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen den Betrieb der hochzuverlässigen Funktionseinheit 1130 parallel zur Verarbeitung, die von der Normalfunktionseinheit 1120 durchgeführt wird, ohne in die Verarbeitung einzugreifen, die von der Normalfunktionseinheit 1120 durchgeführt wird.
  • 3 zeigt ein Beispiel der Inhalte einer Zustandstabelle 1240 für hochzuverlässige Funktionen gemäß Ausführungsform 1.
  • Die hochzuverlässigen Funktionseinheiten 1130 haben Zustandsdaten-Einträge 3000 (Zustandsdaten-Einträge 3000-1 bis 3000-n2 in dem Beispiel gemäß 3), die für die hochzuverlässigen Funktionseinheiten 1130 eindeutig sind. Ein Zustand der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen wird für jede der Zustandsdaten-Einträge 3000 in der Zustandstabelle 1240 für hochzuverlässige Funktionen gehalten. Der Zustand der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen und der ein Betriebsmodus-Möglichkeits-Zustandseintrag 3100 werden für jeden der Betriebsmodi 3300 (Betriebsmodi 3300-1 bis 3300-n3 im Beispiel gemäß 3) gehalten, die von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltbar sind, und zwar in der Zustandstabelle 1240 für hochzuverlässige Funktionen.
  • Der Zustand, der für jeden der Betriebsmodi 3300 gehalten wird, schließt zumindest eine von Verwendbarkeitsdaten, Normalzustandsdaten, abnormen Zustandsdaten und Betriebsmodus-Möglichkeitsdaten ein.Die Verwendbarkeitsdaten geben an, ob die hochzuverlässige Funktionseinheit 1130 im Betriebsmodus 3300 verwendet werden soll. Die Verwendbarkeitsdaten, die als „ZU VERWENDEN“ in 3 gezeigt sind, geben an, dass die hochzuverlässige Funktionseinheit 1130 von der Normalfunktionseinheit 1120 und dergleichen im Betriebsmodus 3300 verwendet werden soll.
  • Die Verwendbarkeitsdaten, die als „NICHT ZU VERWENDEN“ in 3 gezeigt sind, geben an, dass die hochzuverlässige Funktionseinheit 1130 nicht von der Normalfunktionseinheit 1120 und dergleichen im Betriebsmodus 3300 verwendet werden soll. Die Normalzustandsdaten geben an, dass die hochzuverlässige Funktionseinheit 1130, die verwendet werden soll, normal ist. Die abnormen Zustandsdaten geben an, dass die hochzuverlässige Funktionseinheit 1130, die verwendet werden soll, abnorm ist.
  • Die Betriebsmodus-Möglichkeitsdaten geben an, ob die hochzuverlässige Funktionseinheit 1130, die im Betriebsmodus 3300 verwendet wird, betriebsfähig ist.Wenn die abnormen Zustandsdaten für irgendeine der hochzuverlässigen Funktionseinheiten 1130 vorhanden sind, die im Betriebsmodus 3300 verwendet werden, hält der Betriebsmodus-Möglichkeits-Zustandseintrag 3100 „NICHT BETRIEBSFÄHIG“, was angibt, dass der oben erwähnte Betrieb nicht möglich ist. Wenn wiederum die abnormen Zustandsdaten für keine der hochzuverlässigen Funktionseinheiten 1130 vorhanden sind, die im Betriebsmodus 3300 verwendet werden, hält der Betriebsmodus-Möglichkeits-Zustandseintrag 3100 „BETRIEBSFÄHIG“, was angibt, dass der oben erwähnte Betrieb möglich ist.
  • Was die hochzuverlässigen Funktionseinheiten 1130 anbelangt, die im Betriebsmodus verwendet werden, der von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltet wird, wird hier angenommen, dass die abnormen Zustandsdaten in der Zustandstabelle 1240 für hochzuverlässige Funktionen enthalten sind. In diesem Fall schaltet die Fehlfunktionsbetriebs-Funktionseinheit 1111 den Betriebsmodus um, der vom System betrieben wird, und die Anzeigeeinheit 1217 zeigt eine Anomalie an.
  • Betrieb
  • Betrieb der Verifikations-Planungseinheit
  • 4 ist ein Ablaufdiagramm, das den Betrieb der Verifikations-Planungseinheit 1211 gemäß Ausführungsform 1 zeigt. Die Verifikations-Planungseinheit 1211 startet den Betrieb in der sicheren Ausführungsumgebung 1200 jeweils beim Start und bei der Änderung des Betriebsmodus, der von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltet wird.
  • Im Schritt S1 erfasst die Verifikations-Planungseinheit 1211 den gegenwärtigen Betriebsmodus, der von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 verwaltet wird, und zwar in der System-Ausführungsumgebung 1100.
  • Im Schritt S2 bestimmt die Verifikations-Planungseinheit 1211 für den Betriebsmodus, der im Schritt S1 erfasst wird, eine der hochzuverlässigen Funktionseinheiten 1130, die nicht eine hochzuverlässige Funktionseinheit 1130 ist, die außerhalb der Verifikation in der Verifikationstabelle 1220 für hochzuverlässige Funktionen ist, als die hochzuverlässige Funktionseinheit 1130, die verifiziert werden soll.
  • Im Schritt S3 prüft die Verifikations-Planungseinheit 1211 für den Betriebsmodus, der im Schritt S1 erfasst wird, das Verifikationsbetriebs-Timing in der Verifikationstabelle 1220 für hochzuverlässige Funktionen und prüft, ob das Verifikationsbetriebs-Timing vorgegeben ist. Die Verarbeitung fährt mit dem Schritt S4 fort, wenn bestimmt wird, dass das Verifikationsbetriebs-Timing vorgegeben ist, und fährt mit dem Schritt S5 fort, wenn bestimmt wird, dass das Verifikationsbetriebs-Timing nicht vorgegeben ist.
  • Im Schritt S4 gibt die Verifikations-Planungseinheit 1211 für die Zeitverwaltungs-Funktionseinheit 1230 das Verifikationsbetriebs-Timing zur Inbetriebnahme-Zeit der Verifikations-Ausführungseinheit 1212 vor. Der Betrieb wird dadurch nicht synchron mit dem Betrieb der Normalfunktionseinheit 1120 verifiziert. Die Verarbeitung fährt dann mit dem Schritt S6 fort.
  • Im Schritt S5 registriert die Verifikations-Planungseinheit 1211 die Ausführung der Verifikations-Ausführungseinheit 1212 in der Aufrufeinheit 1121 für hochzuverlässige Funktionen der Normalfunktionseinheit 1120 so, dass die Normalfunktionseinheit 1120 die hochzuverlässige Funktionseinheit 1130 verifiziert, wenn sie die hochzuverlässige Funktionseinheit 1130 aufruft. In diesem Fall wird die Verifikations-Ausführungseinheit 1212 während des Betriebs der Normalfunktionseinheit 1120 ausgeführt. Nach Schritt S5 fährt die Verarbeitung mit dem Schritt S6 fort.
  • Im Schritt S6 bestimmt in dem Fall, in dem die Anzahl von hochzuverlässigen Funktionseinheiten 1130, die verifiziert werden sollen, zwei oder mehr beträgt, die Verifikations-Planungseinheit 1211, ob Schritt S4 oder S5 durchgeführt worden ist, und zwar für jede der hochzuverlässigen Funktionseinheiten 1130, die verifiziert werden sollen. Der Betrieb gemäß 4 endet, wenn bestimmt wird, dass Schritt S4 oder S5 für jede der hochzuverlässigen Funktionseinheiten 1130 durchgeführt worden ist, die verifiziert werden sollen, und die Verarbeitung springt zum Schritt S2 zurück, wenn die Bestimmung negativ ist.
  • Schritt S4 oder S5 wird für jede der hochzuverlässigen Funktionseinheiten 1130 durchgeführt, die verifiziert werden sollen, um das Timing des Verifikationsbetriebs jeder der hochzuverlässigen Funktionseinheiten 1130 zu planen, die verifiziert werden sollen. Das oben erwähnte Timing kann so geplant werden, dass eine hochzuverlässige Funktionseinheit 1130, die verifiziert werden soll und deren Betrieb nicht verifiziert worden ist, bevorzugt durchgeführt wird.
  • Betrieb der Verifikations-Ausführungseinheit
  • 5 ist ein Ablaufdiagramm, das den Betrieb der Verifikations-Ausführungseinheit 1212 gemäß Ausführungsform 1 zeigt. Der Betrieb der Zeitverwaltungs-Funktionseinheit 1230 ist ebenfalls in 5 gezeigt. Nachdem der Betrieb gemäß 4 durchgeführt worden ist, beginnt die Verifikations-Ausführungseinheit 1212 den Betrieb in der sicheren Ausführungsumgebung 1200 gemäß dem Timing, das von der Verifikations-Planungseinheit 1211 geplant worden ist.
  • Im Schritt S 11 erfasst die Verifikations-Ausführungseinheit 1212 für eine Kombination aus dem gegenwärtigen Betriebsmodus und dem Verifikationsdaten-Eintrag 2000 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, die maximale Verifikationszeit aus der Verifikationstabelle 1220 für hochzuverlässige Funktionen. Die Verifikations-Ausführungseinheit 1212 gibt die erfasste maximale Verifikationszeit für einen Timer bzw. Zeitgeber der Zeitverwaltungs-Funktionseinheit 1230 als die maximale Zeit des Verifikationsbetriebs vor, und die Zeitverwaltungs-Funktionseinheit 1230 startet den Timer.
  • Das Vorgeben der maximalen Verifikationszeit, das Vorgeben des Timers und die Inbetriebnahme des Timers werden für die hochzuverlässige Funktionseinheit 1130 durchgeführt, die verifiziert werden soll und für die das Timing von der Verifikations-Planungseinheit 1211 vorgegeben worden ist. Die Verifikations-Ausführungseinheit 1212 führt eine Verarbeitung in dem und nach dem Schritt S12 gemäß 5 für die hochzuverlässige Funktionseinheit 1130 aus, die verifiziert werden soll und für die das Vorgeben der maximalen Verifikationszeit, das Vorgeben des Timers und die Inbetriebnahme des Timers durchgeführt worden sind.
  • Im Schritt S12 führt die Verifikations-Ausführungseinheit 1212 die Verifikationsdaten-Injektionseinheit 1213 aus.
  • Im Schritt S13 aktiviert die Verifikations-Ausführungseinheit 1212 die hochzuverlässige Funktionseinheit 1130, die verifiziert werden soll, in die die injizierten Verifikationsdaten injiziert worden sind, und führt diese aus.
  • Im Schritt S14 führt die Verifikations-Ausführungseinheit 1212 die Ausgabe-Verwaltungseinheit 1214 aus, und die Ausgabe-Verwaltungseinheit 1214 erfasst die Ausgabe aus der hochzuverlässigen Funktionseinheit 1130, die während Schritt S13 in Betrieb ist.
  • Im Schritt S15 führt die Verifikations-Ausführungseinheit 1212 die Betriebsprotokoll-Erfassungseinheit 1215 aus, und die Betriebsprotokoll-Erfassungseinheit 1215 erfasst das Betriebsprotokoll der hochzuverlässigen Funktionseinheit 1130, der Normalfunktionseinheit 1120 und des Systems, die während der Schritte S12 bis S14 arbeiten.
  • Im Schritt S16 führt die Verifikations-Ausführungseinheit 1212 die Gesundheits-Bestimmungseinheit 1216 aus, und nach dem Schritt S16 endet der Betrieb gemäß 5.
  • Betrieb der Verifikationsdaten-Injektionseinheit
  • 6 ist ein Ablaufdiagramm, das den Betrieb der Verifikationsdaten-Injektionseinheit 1213 gemäß Ausführungsform 1 zeigt. Wenn sie von der Verifikations-Ausführungseinheit 1212 im Schritt S12 (5) aufgerufen wird, startet die Verifikationsdaten-Injektionseinheit 1213 den Betrieb in der sicheren Ausführungsumgebung 1200.
  • Im Schritt S21 erfasst die Verifikationsdaten-Injektionseinheit 1213 für die Kombination aus dem gegenwärtigen Betriebsmodus und dem Verifikationsdaten-Eintrag 2000 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, die injizierten Verifikationsdaten aus der Verifikationstabelle 1220 für hochzuverlässige Funktionen.
  • Im Schritt S22 injiziert die Verifikationsdaten-Injektionseinheit 1213 die im Schritt S21 erfassten injizierten Verifikationsdaten in den Eingang 1131 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll. Der Betrieb gemäß 6 endet dann.
  • Betrieb der Ausgabe-Verwaltungseinheit
  • 7 ist ein Ablaufdiagramm, das den Betrieb der Ausgabe-Verwaltungseinheit 1214 gemäß Ausführungsform 1 zeigt. Wenn sie von der Verifikations-Ausführungseinheit 1212 im Schritt S14 (5) aufgerufen wird, startet die Ausgabe-Verwaltungseinheit 1214 den Betrieb in der sicheren Ausführungsumgebung 1200.
  • Im Schritt S31 erfasst die Ausgabe-Verwaltungseinheit 1214 die Ausgabe (Daten des Ausgabewerts) vom Ausgang 1132 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll.
  • Im Schritt S32 erfasst die Ausgabe-Verwaltungseinheit 1214 für die Kombination aus dem gegenwärtigen Betriebsmodus und dem Verifikationsdaten-Eintrag 2000 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, das Ausgabe-Steuerungsflag aus der Verifikationstabelle 1220 für hochzuverlässige Funktionen.
  • Im Schritt S33 bestimmt die Ausgabe-Verwaltungseinheit 1214, ob das erfasste Ausgabe-Steuerungsflag angibt, dass der Steuerungsübergang durchgeführt wird (ein normaler Ablauf durchgeführt wird). Die Verarbeitung fährt mit dem Schritt S34 fort, wenn bestimmt wird, dass das Ausgabe-Steuerungsflag nicht angibt, dass der Steuerungsübergang durchgeführt wird, und fährt mit dem Schritt S35 fort, wenn bestimmt wird, dass das Ausgabe-Steuerungsflag angibt, dass der Steuerungsübergang durchgeführt wird.
  • Im Schritt S34 verwirft die Ausgabe-Verwaltungseinheit 1214 die Ausgabe, die im Schritt S31 erfasst wird, so dass der Steuerungsübergang nicht durchgeführt wird. Das heißt, die Ausgabe-Verwaltungseinheit 1214 übergibt die Steuerung der hochzuverlässigen Funktionseinheit 1130 nicht an die aufrufende Normalfunktionseinheit 1120. Wenn nicht die Verarbeitung im Schritt S5 (Verarbeitung zum Registrieren der Ausführung der Verifikations-Ausführungseinheit 1212 in der Aufrufeinheit 1121 für hochzuverlässige Funktionen der Normalfunktionseinheit 1120), sondern die Verarbeitung im Schritt S4 (Verarbeitung zum Vorgeben des Verifikationsbetriebs-Timings) durchgeführt wird, so wird der Betrieb nicht synchron mit dem Betrieb der Normalfunktionseinheit 1120 durchgeführt. Das Ausgabe-Steuerungsflag kann folglich so vorgegeben werden, dass in einem solchen Fall der Schritt S34 durchgeführt wird. Nach Schritt S34 endet der Betrieb gemäß 7.
  • Im Schritt S35 führt die Ausgabe-Verwaltungseinheit 1214 einen Steuerungsübergang durch, ohne die Ausgabe, die im Schritt S31 erfasst wird, zu verwerfen, nachdem die Verifikations-Ausführungseinheit 1212 die hochzuverlässige Funktionseinheit 1130 ausgeführt hat. Das heißt, die Ausgabe-Verwaltungseinheit 1214 übergibt die Steuerung der hochzuverlässigen Funktionseinheit 1130 an die aufrufende Normalfunktionseinheit 1120. Wenn beispielsweise die Verarbeitung im Schritt S5 (Verarbeitung zum Registrieren der Ausführung der Verifikations-Ausführungseinheit 1212 in der Aufrufeinheit 1121 für hochzuverlässige Funktionen der Normalfunktionseinheit 1120) durchgeführt wird, so wird die Verifikations-Ausführungseinheit 1212 während des Betriebs der Normalfunktionseinheit 1120 ausgeführt. Das Ausgabe-Steuerungsflag kann folglich so vorgegeben werden, dass in einem solchen Fall Schritt S35 durchgeführt wird. Nach Schritt S35 endet der Betrieb gemäß 7.
  • Betrieb der Betriebsprotokoll-Erfassungseinheit
  • 8 ist ein Ablaufdiagramm, das den Betrieb einer Betriebsprotokoll-Erfassungseinheit 1215 gemäß Ausführungsform 1 zeigt. Wenn sie von der Verifikations-Ausführungseinheit 1212 im Schritt S15 (5) aufgerufen wird, startet die Betriebsprotokoll-Erfassungseinheit 1215 den Betrieb in der sicheren Ausführungsumgebung 1200.
  • Im Schritt S41 erfasst die Betriebsprotokoll-Erfassungseinheit 1215 das Betriebsprotokoll der hochzuverlässigen Funktionseinheit 1130, der Normalfunktionseinheit 1120 und des Systems, die während der Schritte S 12 bis S 14 arbeiten. Der Betrieb gemäß 8 endet dann.
  • Betrieb der Gesundheits-Bestimmungseinheit
  • 9 ist ein Ablaufdiagramm, das den Betrieb einer Gesundheits-Bestimmungseinheit 1216 gemäß Ausführungsform 1 zeigt. Wenn sie von der Verifikations-Ausführungseinheit 1212 im Schritt S16 (5) aufgerufen wird, startet die Gesundheits-Bestimmungseinheit 1216 den Betrieb in der sicheren Ausführungsumgebung 1200.
  • Im Schritt S51 erfasst die Gesundheits-Bestimmungseinheit 1216 für die Kombination aus dem gegenwärtigen Betriebsmodus und dem Verifikationsdaten-Eintrag 2000 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, die erwarteten Ausgabedaten aus der Verifikationstabelle 1220 für hochzuverlässige Funktionen.
  • Im Schritt S52 vergleicht die Gesundheits-Bestimmungseinheit 1216 die erwarteten Ausgabedaten, die im Schritt S51 erfasst werden, mit der Ausgabe aus der hochzuverlässigen Funktionseinheit 1130, die von der Ausgabe-Verwaltungseinheit 1214 im Schritt S31 erfasst wird, und bestimmt, ob sie äquivalent sind. Die Verarbeitung fährt mit dem Schritt S53 fort, wenn bestimmt wird, dass sie äquivalent sind, und fährt mit dem Schritt S56 fort, wenn bestimmt wird, dass sie nicht äquivalent sind.
  • Im Schritt S53 erfasst die Gesundheits-Bestimmungseinheit 1216 für die Kombination aus dem gegenwärtigen Betriebsmodus und dem Verifikationsdaten-Eintrag 2000 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, das erwartete Betriebsprotokoll aus der Verifikationstabelle 1220 für hochzuverlässige Funktionen.
  • Im Schritt S54 vergleicht die Gesundheits-Bestimmungseinheit 1216 das erwartete Betriebsprotokoll, das im Schritt S53 erfasst wird, mit dem Betriebsprotokoll, das von der Betriebsprotokoll-Erfassungseinheit 1215 im Schritt S41 erfasst wird, und bestimmt, ob sie äquivalent sind.Die Verarbeitung fährt mit dem Schritt S55 fort, wenn bestimmt wird, dass sie äquivalent sind, und fährt mit dem Schritt S56 fort, wenn bestimmt wird, dass sie nicht äquivalent sind.
  • Im Schritt S55 prüft die Gesundheits-Bestimmungseinheit 1216, und zwar für die Kombination aus dem gegenwärtigen Betriebsmodus und dem Zustandsdaten-Eintrag 3000 der hochzuverlässigen Funktionseinheit 1130, die verifiziert werden soll, ob „NICHT ZU VERWENDEN“ in der Zustandstabelle 1240 für hochzuverlässige Funktionen gehalten wird. Die Gesundheits-Bestimmungseinheit 1216 aktualisiert die Inhalte der Zustandstabelle 1240 für hochzuverlässige Funktionen für die oben erwähnte Kombination auf „ZU VERWENDEN: NORMAL“, ausgenommen dann, wenn die Gesundheits-Bestimmungseinheit 1216 prüft, dass „NICHT ZU VERWENDEN“ gehalten wird. Die Normalzustandsdaten werden dadurch in der Zustandstabelle 1240 für hochzuverlässige Funktionen gehalten. Der Betrieb gemäß 9 endet dann.
  • Im Schritt S56 prüft die Gesundheits-Bestimmungseinheit 1216, und zwar für die Kombination aus dem gegenwärtigen Betriebsmodus und dem Zustandsdaten-Eintrag 3000 der hochzuverlässigen Funktionseinheit 1130 die verifiziert werden soll, ob „NICHT ZU VERWENDEN“ in der Zustandstabelle 1240 für hochzuverlässige Funktionen gehalten wird. Die Gesundheits-Bestimmungseinheit 1216 aktualisiert die Inhalte der Zustandstabelle 1240 für hochzuverlässige Funktionen für die oben erwähnte Kombination auf „ZU VERWENDEN: ABNORM“, ausgenommen dann, wenn die Gesundheits-Bestimmungseinheit 1216 prüft, dass „NICHT ZU VERWENDEN“ gehalten wird. Die abnormen Zustandsdaten werden dadurch in der Zustandstabelle 1240 für hochzuverlässige Funktionen gehalten.
  • Im Schritt S57 führt die Gesundheits-Bestimmungseinheit 1216 die Anzeigeeinheit 1217 aus, und die Anzeigeeinheit 1217 zeigt einen Alarm an, der angibt, dass die hochzuverlässige Funktionseinheit 1130, die im gegenwärtigen Betriebsmodus verwendet wird, nicht betriebsfähig ist, d. h. eine Anomalie vorliegt.
  • Im Schritt S58 vertraut die Gesundheits-Bestimmungseinheit 1216 der Fehlfunktionsbetriebs-Funktionseinheit 1111 der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 die Ausführungssteuerung an, und die Fehlfunktionsbetriebs-Funktionseinheit 1111 schaltet den Betriebsmodus um. Der Betrieb gemäß 9 endet dann.
  • Betrieb der Zeitverwaltungs-Funktionseinheit wenn die Zeit, die vom Timer gemessen wird, die maximale Verifikationszeit überschreitet
  • 10 ist ein Ablaufdiagramm, das die Ereignis-Verarbeitung zeigt, die von der Zeitverwaltungs-Funktionseinheit 1230 gemäß Ausführungsform 1 gestartet bzw. aktiviert und durchgeführt wird, wenn die Zeit, die vom Timer gemessen wird, die maximale Verifikationszeit überschreitet, die für die Zeitverwaltungs-Funktionseinheit 1230 von der Verifikations-Ausführungseinheit 1212 im Schritt S 11 vorgegeben wird.Der Betrieb gemäß 10 wird in der sicheren Ausführungsumgebung 1200 durchgeführt.
  • Im Schritt S61 bricht die Zeitverwaltungs-Funktionseinheit 1230 sämtliche Inbetriebnahme-Vorgaben der Verifikations-Ausführungseinheit 1212 ab, die im Schritt S4 (4) von der Zeitverwaltungs-Funktionseinheit 1230 vorgegeben werden.
  • Im Schritt S62 bricht die Zeitverwaltungs-Funktionseinheit 1230 sämtliche Ausführungs-Vorgaben der Verifikations-Ausführungseinheit 1212 ab, die im Schritt S5 (4) von der Aufrufeinheit 1121 für hochzuverlässige Funktionen registriert werden.Der Betrieb gemäß 10 endet dann.
  • Die Zeitverwaltungs-Funktionseinheit 1230 kann veranlassen, dass die Anzeigeeinheit 1217 einen Alarm anzeigt, wenn sie den Betrieb gemäß 10 durchführt.
  • Zusammenfassung von Ausführungsform 1
  • Bei der Informations-Verarbeitungsvorrichtung 1000 gemäß Ausführungsform 1, die so, wie oben beschrieben, konfiguriert ist, wird der Betrieb der hochzuverlässigen Funktionseinheit 1130 mit dem Timing und der maximalen Zeit des Verifikationsbetriebs verifiziert, der in der sicheren Ausführungsumgebung 1200 verwaltet wird. Eine solche Konfiguration ermöglicht eine geplante, geschützte und sichere Verifikation der hochzuverlässigen Funktionseinheit 1130, die auf dem System durchgeführt werden kann, während die Normalfunktionseinheit 1120 die Verarbeitung durchführt, ohne in die Verarbeitung einzugreifen, die von der Normalfunktionseinheit 1120 durchgeführt wird. Fehlfunktions-Beständigkeit und Verfügbarkeit können somit im System kontinuierlich verifiziert, bewiesen und gewährleistet werden.
  • Das Verifikationsbetriebs-Timing kann für jede der hochzuverlässigen Funktionseinheiten 1130 vorgegeben werden, die auf dem System durchgeführt werden können, während die Normalfunktionseinheit 1120 die Verarbeitung durchführt, so dass der Betrieb der hochzuverlässigen Funktionseinheit 1130 zum geeigneten Zeitpunkt bzw. mit dem geeigneten Timing verifiziert werden kann.
  • Außerdem können die Inhalte der Verifikation für jeden der Betriebsmodi des Systems vorgegeben werden, so dass eine geeignete Verifikation für jeden der Betriebsmodi durchgeführt werden kann.
  • Ausführungsform 2
  • 11 ist ein Blockdiagramm, das eine Konfiguration der Informations-Verarbeitungsvorrichtung 1000 gemäß Ausführungsform 2 zeigt. Den Komponenten gemäß Ausführungsform 2, die die gleichen oder ähnlich denjenigen der oben erwähnten Komponenten sind, sind Bezugszeichen zugeordnet, die die gleichen wie oder ähnlich zu denjenigen der oben erwähnten Komponenten sind, und es werden nachstehend hauptsächlich die abweichenden Komponenten beschrieben.
  • Bei der Ausführungsform 2 sind die System-Ausführungsumgebung 1100, die sichere Ausführungsumgebung 1200 und der sichere Datenpfad 1300 bei der Ausführungsform 1 jeweils durch eine VM-System-Ausführungsumgebung 1100a, eine VM-Verifikations-Ausführungsumgebung 1200a und einen Inter-VM-Daten-Kommunikationspfad 1300a ersetzt. VM ist eine Abkürzung für eine virtuelle Maschine. Bei der Ausführungsform 2 wird die VM-Verifikations-Ausführungsumgebung 1200a, die eine sichere Verifikations-Ausführungsumgebung ist, die im Wesentlichen von der VM-System-Ausführungsumgebung 1100a getrennt ist, durch die virtuelle Maschine erreicht.
  • Bei der Informations-Verarbeitungsvorrichtung 1000 gemäß Ausführungsform 2, wie oben beschrieben, kann die hochzuverlässige Funktionseinheit 1130 kontinuierlich verifiziert werden, wie bei der Ausführungsform 1. Die System-Ausführungsumgebung und die Verifikations-Ausführungsumgebung können im Wesentlichen durch eine Container-Funktion des Betriebssystems (OS) voneinander getrennt sein, die eine im Wesentlichen getrennte Anwendungs-Ausführungsumgebung auf einem einzelnen Betriebssystem erzeugen kann.
  • Ausführungsform 3
  • 12 ist ein Blockdiagramm, das eine Konfiguration der Informations-Verarbeitungsvorrichtung 1000 gemäß Ausführungsform 3 zeigt. Den Komponenten gemäß Ausführungsform 3, die die gleichen oder ähnlich denjenigen der oben erwähnten Komponenten sind, sind Bezugszeichen zugeordnet, die die gleichen wie oder ähnlich zu denjenigen der oben erwähnten Komponenten sind, und es werden nachstehend hauptsächlich die abweichenden Komponenten beschrieben.
  • Bei der Ausführungsform 3, sind die System-Ausführungsumgebung 1100, die sichere Ausführungsumgebung 1200, und der sichere Datenpfad 1300 bei der Ausführungsform 1 jeweils durch eine CPU-System-Ausführungsumgebung 1100b, eine CPU-Verifikations-Ausführungsumgebung 1200b und einen Inter-CPU-Datenkommunikationspfad 1300b ersetzt. CPU ist eine Abkürzung für zentrale Verarbeitungseinheit. Bei der Ausführungsform 3 wird die CPU-System-Ausführungsumgebung 1100b auf Einzel-CPU-Hardware verwirklicht, und die CPU-Verifikations-Ausführungsumgebung 1200b, die eine sichere Verifikations-Ausführungsumgebung ist, die von der CPU-System-Ausführungsumgebung 1100b im Wesentlichen getrennt ist, wird auf anderer CPU-Hardware verwirklicht.
  • Mit der Informations-Verarbeitungsvorrichtung 1000 gemäß Ausführungsform 3 wie oben beschrieben, kann die hochzuverlässige Funktionseinheit 1130 kontinuierlich verifiziert werden, wie bei der Ausführungsform 1. Die Hardware zum Verwirklichen der Ausführungsumgebung ist nicht auf die CPU beschränkt, und sie braucht bloß Hardware zu sein, die ein feldprogrammierbares Gate-Array (FPGA) verarbeiten kann, eine Grafik-Verarbeitungseinheit (GPU) und ein Programm für dedizierte Hardware und dergleichen.
  • Modifikationen
  • Die hochzuverlässigen Funktionseinheiten 1130, die Normalfunktionseinheit 1120, die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen und die Zeitverwaltungs-Funktionseinheit 1230 gemäß 1, die oben beschrieben sind, werden nachstehend als die „hochzuverlässigen Funktionseinheiten 1130 und dergleichen“ bezeichnet.Die hochzuverlässigen Funktionseinheiten 1130 und dergleichen werden durch eine Verarbeitungsschaltung 81 erzielt, die in 13 gezeigt ist.
  • Das heißt, die Verarbeitungsschaltung 81 weist Folgendes auf: die Mehrzahl von hochzuverlässigen Funktionseinheiten 1130, die jeweils den Eingang 1131 und den Ausgang 1132 aufweisen; die Normalfunktionseinheit 1120, die imstande ist zum Durchführen einer Verarbeitung in der System-Ausführungsumgebung 1100 und imstande ist zum Aufrufen einer der hochzuverlässigen Funktionseinheiten 1130, entsprechend der Verarbeitung, und zum Injizieren von Daten, die zum Durchführen der hochzuverlässigen Funktionseinheit 1130 verwendet werden, in den Eingang 1131, während die Verarbeitung durchgeführt wird; die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen zum Injizieren der injizierten Verifikationsdaten in den Eingang 1131 zum Durchführen der hochzuverlässigen Funktionseinheit 1130 und Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit 1130 auf der Basis der Ausgabe aus dem Ausgang 1132, wenn sie die hochzuverlässige Funktionseinheit 1130 in der sicheren Ausführungsumgebung 1200 durchführt; und die Zeitverwaltungs-Funktionseinheit 1230 zum Verwalten des Timings des Verifikationsbetriebs und der maximalen Zeit des Verifikationsbetriebs.
  • Dedizierte Hardware oder ein Prozessor zum Ausführen eines Programms, das in einem Speicher gespeichert ist, kann in der Verarbeitungsschaltung 81 verwendet werden. Der Prozessor entspricht beispielsweise einer zentralen Verarbeitungseinheit, einer Verarbeitungseinheit, einer arithmetischen Einheit, einem Mikroprozessor, einem Mikrocomputer, einem digitalen Signalprozessor (DSP) und dergleichen.
  • Wenn die Verarbeitungsschaltung 81 dedizierte Hardware ist, entspricht die Verarbeitungsschaltung 81 z. B. einer Einzelschaltung, einer zusammengesetzten Schaltung, einem programmierten Prozessor, einem parallel programmierten Prozessor, einer anwendungsspezifischen integrierten Schaltung (ASIC), dem FPGA oder einer Kombination daraus. Die Funktionen der Komponenten, wie z. B. der hochzuverlässigen Funktionseinheiten 1130 und dergleichen können durch verteilte Verarbeitungsschaltungen erzielt werden, oder sie können kollektiv von einer einzigen Verarbeitungsschaltung erzielt werden.
  • Wenn die Verarbeitungsschaltung 81 der Prozessor ist, werden die Funktionen der hochzuverlässigen Funktionseinheiten 1130 und dergleichen durch eine Kombination mit Software und dergleichen erzielt. Die Software und dergleichen entspricht beispielsweise Software, Firmware oder Software und Firmware. Die Software und dergleichen wird als ein Programm beschrieben und im Speicher gespeichert. Wie in 14 gezeigt liest ein Prozessor 82, der auf die Verarbeitungsschaltung 81 angewendet wird, das in einem Speicher 83 gespeicherte Programm aus und führt es aus, so dass er die Funktionen der Komponenten erzielt.
  • Das heißt, die Informations-Verarbeitungsvorrichtung 1000 weist den Speicher 83 zum Speichern des Programms auf, das, wenn es von der Verarbeitungsschaltung 81 ausgeführt wird, zur Durchführung der Schritte führt, die Folgendes umfassen: unter Verwendung der Normalfunktionseinheit 1120, die imstande ist zum Durchführen einer Verarbeitung in der System-Ausführungsumgebung 1100, Aufrufen einer der Mehrzahl von hochzuverlässigen Funktionseinheiten 1130, entsprechend der Verarbeitung, und Injizieren von Daten, die zum Durchführen der hochzuverlässigen Funktionseinheit 1130 verwendet werden, in den Eingang 1131, während die Verarbeitung durchgeführt wird; unter Verwendung der Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen, Injizieren der injizierten Verifikationsdaten in den Eingang 1131 zum Durchführen der hochzuverlässigen Funktionseinheit 1130, und Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit 1130 auf der Basis der Ausgabe aus dem Ausgang 1132, wenn sie die hochzuverlässige Funktionseinheit 1130 in der sicheren Ausführungsumgebung 1200 durchführt; und unter Verwendung der Zeitverwaltungs-Funktionseinheit 1230, Verwalten des Timings des Verifikationsbetriebs und der maximalen Zeit des Verifikationsbetriebs.
  • Mit anderen Worten: Das Programm veranlasst einen Computer, Prozeduren oder Verfahren der hochzuverlässigen Funktionseinheiten 1130 und dergleichen auszuführen. Der Speicher 83 hier kann beispielsweise ein nichtflüchtiger oder flüchtiger Halbleiterspeicher sein, wie z. B. ein Speicher mit wahlweisem Zugriff (RAM), ein Nur-Lese-Speicher (ROM), ein Flash-Speicher, ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM), ein elektrisch löschbarer programmierbarer Nur-Lese-Speicher (EEPROM), ein Festplattenlaufwerk (HDD), eine Magnetscheibe, eine flexible Scheibe, eine optische Scheibe, eine Compact Disc, eine Mini Disc, eine Digital Versatile Disc (DVD), eine Antriebseinrichtung davon und dergleichen oder ein Speichermedium, das in der Zukunft verwendet wird.
  • Eine Konfiguration, bei der die Funktionen der hochzuverlässigen Funktionseinheiten 1130 und dergleichen entweder durch Hardware oder durch Software erzielt werden, ist oben beschrieben. Die Konfiguration ist jedoch nicht auf diese Konfiguration beschränkt, und sie kann eine Konfiguration sein, bei der eine oder mehrere der hochzuverlässigen Funktionseinheiten 1130 und dergleichen durch dedizierte Hardware erzielt werden und die anderen ein oder mehreren Komponenten durch Software und dergleichen erzielt werden. Beispielsweise können die Funktionen der hochzuverlässigen Funktionseinheiten 1130 durch die Verarbeitungsschaltung 81, eine Schnittstelle, einen Empfänger und dergleichen als dedizierte Hardware erzielt werden, und die Funktionen der übrigen Komponenten können durch die Verarbeitungsschaltung 81, wie etwa den Prozessor 82 erzielt werden, der das im Speicher 83 gespeicherte Programm liest und ausführt.
  • Wie oben beschrieben, kann die Verarbeitungsschaltung 81 die oben erwähnten Funktionen mittels Hardware, Software oder eine Kombination daraus erzielen.
  • Die Betriebsmodus-Verwaltungs-Funktionseinheit 1110 und die Schritte, die von der Betriebsmodus-Verwaltungs-Funktionseinheit 1110 durchgeführt werden, können auf ähnliche Weise, wie oben beschrieben, erzielt werden. Die Normalfunktionseinheit 1120, die Verifikations-Funktionseinheit 1210 für hochzuverlässige Funktionen, die Zeitverwaltungs-Funktionseinheit 1230 und die Betriebsmodus-Verwaltungs-Funktionseinheit 1110 können jeweils einem normalen Programm, einem Verifikationsprogramm für hochzuverlässige Funktionen, einem Zeitverwaltungs-Programm und einem Betriebsmodus-Verwaltungs-Programm entsprechen.
  • Ausführungsformen und Modifikationen können frei miteinander kombiniert werden, und sie können geeignet modifiziert oder dabei Merkmale weggelassen werden.
  • Die obige Beschreibung ist in sämtlichen Aspekten nur anschaulich und nicht einschränkend.Es versteht sich, dass zahlreiche nicht dargestellte Modifikationen verwendet werden können.
  • Bezugszeichenliste
    • 1000
    Informations-Verarbeitungsvorrichtung
    1100
    System-Ausführungsumgebung
    1110
    Betriebsmodus-Verwaltungs-Funktionseinheit
    1111
    Fehlfunktionsbetriebs-Funktionseinheit
    1120
    Normalfunktionseinheit
    1130
    hochzuverlässige Funktionseinheit
    1131
    Eingang
    1132
    Ausgang
    1200
    sichere Ausführungsumgebung
    1210
    hochzuverlässige Funktion Verifikations-Funktionseinheit
    1211
    Verifikations-Planungseinheit
    1212
    Verifikations-Ausführungseinheit
    1213
    Verifikationsdaten-Inj ektionseinheit
    1214
    Ausgabe-Verwaltungseinheit
    1215
    Betriebsprotokoll-Erfassungseinheit
    1216
    Gesundheits-Bestimmungseinheit
    1217
    Anzeigeeinheit
    1220
    Verifikationstabelle für hochzuverlässige Funktionen
    1230
    Zeitverwaltungs-Funktionseinheit
    1240
    Zustandstabelle für hochzuverlässige Funktionen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 7264266 A [0006]
    • JP 2018519705 A [0006]

Claims (9)

  1. Informations-Verarbeitungsvorrichtung, die Folgendes aufweist: - eine Mehrzahl von hochzuverlässigen Funktionseinheiten, die jeweils einen Eingang und einen Ausgang aufweisen; - eine Normalfunktionseinheit, die imstande ist zum Durchführen einer Verarbeitung in einer System-Ausführungsumgebung und imstande ist zum Aufrufen einer der hochzuverlässigen Funktionseinheiten entsprechend der Verarbeitung und zum Injizieren von Daten, die zum Durchführen der hochzuverlässigen Funktionseinheit verwendet werden, in den Eingang, während die Verarbeitung durchgeführt wird; - eine Verifikationstabelle zum Halten von injizierten Verifikationsdaten, die zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit verwendet werden; - eine Verifikations-Funktionseinheit zum Injizieren der injizierten Verifikationsdaten in den Eingang zum Durchführen der hochzuverlässigen Funktionseinheit und zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit auf der Basis der Ausgabe aus dem Ausgang, wenn die hochzuverlässige Funktionseinheit in einer Verifikations-Ausführungsumgebung durchgeführt wird, die eine sichere Ausführungsumgebung ist, und zwar gegen die System-Ausführungsumgebung; und - eine Zeitverwaltungs-Funktionseinheit zum Verwalten des Timings des Verifikationsbetriebs und der maximalen Zeit des Verifikationsbetriebs.
  2. Informations-Verarbeitungsvorrichtung nach Anspruch 1, die ferner Folgendes aufweist: eine Zustandstabelle zum Halten - als ein Ergebnis des Verifikationsbetriebs - von Zustandsdaten, die angeben, ob die hochzuverlässige Funktionseinheit normal ist.
  3. Informations-Verarbeitungsvorrichtung nach Anspruch 2, wobei die Verifikations-Funktionseinheit die Zustandsdaten, die von der Zustandstabelle gehalten werden, jedes Mal aktualisiert, wenn der Betrieb verifiziert wird.
  4. Informations-Verarbeitungsvorrichtung nach Anspruch 1, wobei die Verifikationstabelle ferner Folgendes hält: - ein Verifikationsbetriebs-Timing, das das Timing zum Starten des Verifikationsbetriebs angibt; - erwartete Ausgabedaten, die die erwartete Ausgabe aus dem Ausgang angeben, wenn die Verifikations-Funktionseinheit die hochzuverlässige Funktionseinheit durchführt; - ein erwartetes Betriebsprotokoll, das ein erwartetes Betriebsprotokoll der hochzuverlässigen Funktionseinheit angibt, wenn die Verifikations-Funktionseinheit die hochzuverlässige Funktionseinheit durchführt; - ein Ausgabe-Steuerungsflag, das angibt, ob die Normalfunktionseinheit die hochzuverlässige Funktionseinheit durchführt, nachdem die Verifikations-Funktionseinheit die hochzuverlässige Funktionseinheit durchgeführt hat; und - eine maximale Verifikationszeit, die eine maximal zulässige Zeit des Verifikationsbetriebs angibt.
  5. Informations-Verarbeitungsvorrichtung nach Anspruch 4, wobei die Verifikations-Funktionseinheit Folgendes aufweist: - eine Verifikations-Planungseinheit zum Bestimmen einer hochzuverlässigen Funktionseinheit, die aus der Mehrzahl von hochzuverlässige Funktionseinheiten auf der Basis des Verifikationsbetriebs-Timing verifiziert werden soll, und zum Planen des Timings des Verifikationsbetriebs der hochzuverlässigen Funktionseinheit, die verifiziert werden soll; - eine Verifikationsdaten-Injektionseinheit zum Injizieren der injizierten Verifikationsdaten in den Eingang der hochzuverlässigen Funktionseinheit, die verifiziert werden soll; - eine Verifikations-Ausführungseinheit zum Durchführen - zu dem Timing, das von der Verifikations-Planungseinheit geplant ist - der hochzuverlässigen Funktionseinheit, die verifiziert werden soll, in die die injizierten Verifikationsdaten injiziert worden sind; - eine Ausgabe-Verwaltungseinheit zum Erfassen - wenn die Verifikations-Ausführungseinheit die hochzuverlässige Funktionseinheit durchgeführt hat, die verifiziert werden soll - der Ausgabe aus dem Ausgang der hochzuverlässigen Funktionseinheit, die verifiziert werden soll, und zum Veranlassen, dass die Normalfunktionseinheit die hochzuverlässige Funktionseinheit durchführt, die verifiziert werden soll, und zwar auf der Basis des Ausgabe-Steuerungsflags; - eine Betriebsprotokoll-Erfassungseinheit zum Erfassen eines Betriebsprotokolls der hochzuverlässigen Funktionseinheit, die verifiziert werden soll, wenn die Verifikations-Ausführungseinheit die hochzuverlässige Funktionseinheit durchgeführt hat, die verifiziert werden soll; und - eine Gesundheits-Bestimmungseinheit zum Bestimmen der Gesundheit der hochzuverlässigen Funktionseinheit, die verifiziert werden soll, auf der Basis eines Vergleichs zwischen der Ausgabe, die von der Ausgabe-Verwaltungseinheit erfasst wird, und den erwarteten Ausgabedaten und eines Vergleichs zwischen dem Betriebsprotokoll, das von der Betriebsprotokoll-Erfassungseinheit erfasst wird, und dem erwarteten Betriebsprotokoll.
  6. Informations-Verarbeitungsvorrichtung nach Anspruch 2, die ferner Folgendes aufweist: eine Betriebsmodus-Verwaltungs-Funktionseinheit zum Verwalten eines Betriebsmodus, der von einem System in der System-Ausführungsumgebung betrieben wird, wobei für jeden Betriebsmodus die Zustandstabelle zumindest eines der Folgenden aufweist: - Verwendbarkeitsdaten, die angeben, ob die hochzuverlässige Funktionseinheit verwendet werden soll; - Normalzustandsdaten, die angeben, dass die hochzuverlässige Funktionseinheit, die verwendet werden soll, normal ist; - abnorme Zustandsdaten, die angeben, dass die hochzuverlässige Funktionseinheit, die verwendet werden soll, abnorm ist; und - Betriebsmodus-Möglichkeitsdaten, die angeben, ob die hochzuverlässige Funktionseinheit, die im Betriebsmodus verwendet wird, betriebsfähig ist.
  7. Informations-Verarbeitungsvorrichtung nach Anspruch 6, wobei die Betriebsmodus-Verwaltungs-Funktionseinheit ferner Folgendes aufweist: eine Fehlfunktionsbetriebs-Funktionseinheit zum Umschalten des Betriebsmodus, der von dem System betrieben wird, wenn die Zustandstabelle die abnormen Zustandsdaten für die hochzuverlässige Funktionseinheit enthält, die im Betriebsmodus verwendet wird, der von der Betriebsmodus-Verwaltungs-Funktionseinheit verwaltet wird.
  8. Informations-Verarbeitungsvorrichtung nach Anspruch 6, die ferner Folgendes aufweist: eine Anzeigeeinheit zum Anzeigen einer Anomalie, wenn die Zustandstabelle die abnormen Zustandsdaten für die hochzuverlässige Funktionseinheit enthält, die im Betriebsmodus verwendet wird, der von der Betriebsmodus-Verwaltungs-Funktionseinheit verwaltet wird.
  9. Informations-Verarbeitungsverfahren, das Folgendes umfasst: - während eine Normalfunktionseinheit, die zum Durchführen der Verarbeitung in einer System-Ausführungsumgebung imstande ist, die Verarbeitung durchführt, Aufrufen - aus eine Mehrzahl von hochzuverlässigen Funktionseinheiten, die jeweils einen Eingang und einen Ausgang aufweisen - einer hochzuverlässigen Funktionseinheit entsprechend der Verarbeitung, und Injizieren von Daten, die verwendet werden, um die hochzuverlässige Funktionseinheit durchzuführen, in den Eingang; - Halten, in einer Verifikationstabelle, von injizierten Verifikationsdaten, die zum Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit verwendet werden; - Injizieren, unter Verwendung einer Verifikations-Funktionseinheit, der injizierten Verifikationsdaten in den Eingang zum Durchführen der hochzuverlässigen Funktionseinheit und Verifizieren des Betriebs der hochzuverlässigen Funktionseinheit auf der Basis der Ausgabe aus dem Ausgang, wenn die hochzuverlässige Funktionseinheit in einer Verifikations-Ausführungsumgebung durchgeführt wird, die eine sichere Ausführungsumgebung ist, und zwar gegen die System-Ausführungsumgebung; und - Verwalten, unter Verwendung einer Zeitverwaltungs-Funktionseinheit, des Timings des Verifikationsbetriebs und der maximalen Zeit des Verifikationsbetriebs.
DE112020007129.4T 2020-04-27 2020-04-27 Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren Pending DE112020007129T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/017879 WO2021220321A1 (ja) 2020-04-27 2020-04-27 情報処理装置及び情報処理方法

Publications (1)

Publication Number Publication Date
DE112020007129T5 true DE112020007129T5 (de) 2023-03-09

Family

ID=78331839

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020007129.4T Pending DE112020007129T5 (de) 2020-04-27 2020-04-27 Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren

Country Status (5)

Country Link
US (1) US20230177894A1 (de)
JP (1) JP7278478B2 (de)
CN (1) CN115461723A (de)
DE (1) DE112020007129T5 (de)
WO (1) WO2021220321A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE543122C2 (sv) * 2019-02-05 2020-10-13 Brokk Ab Förfarande, anordning och användargränssnitt som beskriver ett operativt drifttillstånd hos en demoleringsrobot

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07264266A (ja) 1994-03-18 1995-10-13 Fujitsu Ltd 障害検出システム
JP2018519705A (ja) 2016-03-29 2018-07-19 ファーウェイ インターナショナル プライベート リミテッドHuawei International Pte. Ltd. 電子装置のインテグリティを検証するシステム及び方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07121409A (ja) * 1993-10-28 1995-05-12 Fujitsu Ltd 性能評価装置
DE10163655A1 (de) * 2001-12-21 2003-07-03 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs
JP2004126854A (ja) * 2002-10-01 2004-04-22 Mitsubishi Electric Corp 攻撃対策装置
JP5056396B2 (ja) * 2007-12-19 2012-10-24 株式会社豊田中央研究所 ソフトウェア動作監視装置、プログラム
JP2009282751A (ja) * 2008-05-22 2009-12-03 Toyota Infotechnology Center Co Ltd プログラム検査システムおよび方法
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP5867495B2 (ja) * 2013-12-20 2016-02-24 株式会社デンソー 電子制御装置
JP6294145B2 (ja) * 2014-04-28 2018-03-14 日本電信電話株式会社 監視方法、監視装置および監視制御プログラム
JP7121409B2 (ja) 2020-08-17 2022-08-18 西部自動機器株式会社 ワーク搬送装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07264266A (ja) 1994-03-18 1995-10-13 Fujitsu Ltd 障害検出システム
JP2018519705A (ja) 2016-03-29 2018-07-19 ファーウェイ インターナショナル プライベート リミテッドHuawei International Pte. Ltd. 電子装置のインテグリティを検証するシステム及び方法

Also Published As

Publication number Publication date
US20230177894A1 (en) 2023-06-08
WO2021220321A1 (ja) 2021-11-04
CN115461723A (zh) 2022-12-09
JP7278478B2 (ja) 2023-05-19
JPWO2021220321A1 (de) 2021-11-04

Similar Documents

Publication Publication Date Title
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE112018006702T5 (de) Bestimmung der zuverlässigkeit von fahrzeugsteuerbefehlen unter verwendung eines abstimmungsmechanismus
DE102015201443A1 (de) Verfahren und Vorrichtung zum Steuern eines Watchdog
EP1346881A2 (de) Verfahren und Vorrichtung zum Übernehmen von Daten
DE112007003231T5 (de) Programmierbare Anzeigevorrichtung, Steuersystem und Backup-/Wiederherstellungsprozessverfahren
DE102015107671A1 (de) Steuerung und Diagnose einer Steuerungs-Wakeup-Funktionalität
DE112012005257T5 (de) Steuereinrichtung und Prozessüberwachungsverfahren
EP2907072A1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
DE102022109592A1 (de) Vorrichtungen und Verfahren zur Überwachung eines Quantencomputers im Betrieb
DE112020007129T5 (de) Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren
DE102016200130B4 (de) Elektronische Steuervorrichtung
DE102016200413A1 (de) Mikrocomputer
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
DE102013221343A1 (de) Steuervorrichtung und fahrzeugsteuersystem
DE102018207504A1 (de) Steuervorrichtung und Steuerverfahren
DE112016005806B4 (de) Leerlaufstoppsteuerungsvorrichtung und fehlerdiagnosesystem
DE112020002650T5 (de) Fahrzeugvorrichtung
DE102018219700B4 (de) Steuervorrichtung
DE102019007542A1 (de) Verfahren zur Nutzungsfreigabe eines Wasserstofftanksystems
DE102017219195A1 (de) Verfahren zum gewährleisten eines betriebs eines rechners
EP3876123B1 (de) Anordnung und betriebsverfahren für einen sicheren hochfahrablauf einer elektronischen einrichtung
DE102019208129B4 (de) Elektronische Steuereinheit
DE102010042574A1 (de) Verfahren zum Betreiben eines Mikrocontrollers für ein Automobil und Mikrocontroller
DE112017006135T5 (de) Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren
WO2017153411A1 (de) Verfahren zum betreiben eines steuergeräts für ein kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence