JP2019020870A - 車両制御装置 - Google Patents
車両制御装置 Download PDFInfo
- Publication number
- JP2019020870A JP2019020870A JP2017136710A JP2017136710A JP2019020870A JP 2019020870 A JP2019020870 A JP 2019020870A JP 2017136710 A JP2017136710 A JP 2017136710A JP 2017136710 A JP2017136710 A JP 2017136710A JP 2019020870 A JP2019020870 A JP 2019020870A
- Authority
- JP
- Japan
- Prior art keywords
- task
- access
- state
- time
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 91
- 230000007704 transition Effects 0.000 claims description 19
- 230000007717 exclusion Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 25
- 238000000034 method Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 230000004927 fusion Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/52—Program synchronisation; Mutual exclusion, e.g. by means of semaphores
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】
時間駆動スケジューリングにおける排他制御による他タスクへの影響を防止する。
【解決手段】
時間駆動スケジューリングでタスクの実行を管理する際に、排他制御に用いる共有資源のアクセス情報を用いずに行う。安全要求レベルの高い高優先度タスクに先行して実行される安全優先度レベルの低い低優先度タスクに割り当てられる実行スロットの最終部に、共有資源へのアクセス開始を保留するアクセス監視時間を設けることにより課題を解決する。
【選択図】 図1
時間駆動スケジューリングにおける排他制御による他タスクへの影響を防止する。
【解決手段】
時間駆動スケジューリングでタスクの実行を管理する際に、排他制御に用いる共有資源のアクセス情報を用いずに行う。安全要求レベルの高い高優先度タスクに先行して実行される安全優先度レベルの低い低優先度タスクに割り当てられる実行スロットの最終部に、共有資源へのアクセス開始を保留するアクセス監視時間を設けることにより課題を解決する。
【選択図】 図1
Description
本発明は、車両制御装置及び制御システムの時間駆動スケジューリングに関する。
本技術分野の背景技術として、特開2003−131892号公報(特許文献1)がある。この公報には、「排他制御による影響を受けず決められたタイミングで実行されるようにするタスク実行制御装置を提供する」ことを課題とし、解決手段として、「セマフォ管理部は、タスクCの共有資源獲得時に、タスクCの資源解放予想時刻を、タスクAの次の起動予定時刻と比較して、前者が後者より早ければタスクCに資源占有を許す。また、タスクCが資源占有中に第3のタスクBによる割り込み処理が生じた場合、優先度管理部は、タスクBの「割込処理時間」の累計が許容限度に達した時点でタスクCの優先度をタスクAと同じ優先度に上げるようスケジューリング部を制御する。」と記載されている。
上記背景技術ではタスクを優先度スケジューリングにより動作させる場合に、排他制御による高優先度タスクへの影響を防止する方法について記載されている。
しかしながら、各タスクがどの共有資源にアクセスするか公開されていない場合において、排他制御による影響を防止して各タスクを統合することは困難である。タスク統合を容易化する技術に時間駆動スケジューリングがある。時間駆動スケジューリングではタスクの起動タイミングとCPU資源を保証することが課題である。
本発明は上記課題を鑑みて為されたものであり、車両制御装置のタスクの統合を容易化させる手段を提供する。
上記課題を解決するために、本発明の一実施の態様は、例えば特許請求の範囲に記載されている技術的思想を用いればよい。具体的には、安全要求レベルの低いタスクに割り当てられた実行スロットの最終部に共有データへのアクセス開始を保留するアクセス監視時間を設けることにより解決可能である。
本発明によれば、車両制御装置において、時間駆動スケジューリングを実現する際に、他タスクと共有するデータアクセスへの考慮を不要にするなど、タスクの統合を容易化させつつかつ制御システムのタスクの動作時間に影響を与えないことが可能になる。これにより、時間駆動スケジューリングで動作する高信頼なシステムでタスクを統合することが容易となる。
以下、本発明に好適な実施形態の例(実施例)を説明する。本実施例は、主には車両システムにおける車両制御システム、および車両制御装置について説明しており、車両システムにおける実施に好適であるが、車両システム以外への適用を妨げるものではない。
<車両システムの構成>
図20は本実施例の車両制御装置を有する車両システムの概要である。2001は自動車など内部に車両制御装置を有する車両システム、2002は車両を制御するための車両制御装置、2003は地図などの情報を取得する無線通信部、2004は車両制御装置2002の制御に従って車両運動を制御する、たとえばエンジン、ホイール、ブレーキ、操舵装置等の駆動を行う駆動装置、2005は外界から入力される情報を取得し、外界認識情報を生成するための情報を出力するカメラやセンサーなどの認識装置、2006は車両の速度や警告など必要情報を表示する出力装置、2007はペダル、ハンドルなど車両操作の指示を入力するための入力装置、2008は車両システム2001が外界に対して、車両の状態等を通知するための、ランプ、LED、スピーカ等の通知装置、を示している。
図20は本実施例の車両制御装置を有する車両システムの概要である。2001は自動車など内部に車両制御装置を有する車両システム、2002は車両を制御するための車両制御装置、2003は地図などの情報を取得する無線通信部、2004は車両制御装置2002の制御に従って車両運動を制御する、たとえばエンジン、ホイール、ブレーキ、操舵装置等の駆動を行う駆動装置、2005は外界から入力される情報を取得し、外界認識情報を生成するための情報を出力するカメラやセンサーなどの認識装置、2006は車両の速度や警告など必要情報を表示する出力装置、2007はペダル、ハンドルなど車両操作の指示を入力するための入力装置、2008は車両システム2001が外界に対して、車両の状態等を通知するための、ランプ、LED、スピーカ等の通知装置、を示している。
<車両制御装置の構成>
様々な自動車の自動運転技術が実現されつつある。多くの自動運転技術はコンピュータによる制御装置により実現されている。図2は車両制御装置2002のブロック図である。アプリケーション214としてセンサーデバイス等の周辺装置から外部情報を処理するセンサーフュージョン201、自動運転のための地図情報を処理するマップフュージョン202、他の車両などに追突しそうになる直前に自動ブレーキを作動させて停止させたり前を走る車両と一定の間隔を保ったまま追従したり車線からはみ出さないようにステアリングを制御するといった機能を実現するADAS(Advanced Driving Assistant System)203、自動駐車を実現するオートパーキング204などがある。またアプリケーションで利用されるデータは共有データ群205により処理・管理が一元化されている。これにより各アプリケーションでのデータ管理機能を省くことができ自動運転での自動車の制御に求められる高速な応答を実現している。これらのアプリケーションはタスク実行制御部206によりリアルタイム性を保ちながら時間駆動スケジューリングによって実行される。タスク実行制御部206はスケジューリング部108の指定したタイミングに基づきタスク状態管理部107により後述する各タスク101、102に対して、後述する状態遷移に基づき管理を行う。
様々な自動車の自動運転技術が実現されつつある。多くの自動運転技術はコンピュータによる制御装置により実現されている。図2は車両制御装置2002のブロック図である。アプリケーション214としてセンサーデバイス等の周辺装置から外部情報を処理するセンサーフュージョン201、自動運転のための地図情報を処理するマップフュージョン202、他の車両などに追突しそうになる直前に自動ブレーキを作動させて停止させたり前を走る車両と一定の間隔を保ったまま追従したり車線からはみ出さないようにステアリングを制御するといった機能を実現するADAS(Advanced Driving Assistant System)203、自動駐車を実現するオートパーキング204などがある。またアプリケーションで利用されるデータは共有データ群205により処理・管理が一元化されている。これにより各アプリケーションでのデータ管理機能を省くことができ自動運転での自動車の制御に求められる高速な応答を実現している。これらのアプリケーションはタスク実行制御部206によりリアルタイム性を保ちながら時間駆動スケジューリングによって実行される。タスク実行制御部206はスケジューリング部108の指定したタイミングに基づきタスク状態管理部107により後述する各タスク101、102に対して、後述する状態遷移に基づき管理を行う。
オペレーティングシステムは組み込みOS207が使用されている。ハードウェア215はCPU208、メモリ209、リアルタイム制御のタイミングをとるためのタイマ210、ネットワークにアクセスするためのネットワークアダプタ211、そしてセンサーなどの外部状況を監視するものや自動ブレーキ装置などの周辺装置212から構成される。また、各タスクの動作を記録するため、動作ログ管理部213がある。
<タスク>
OSが管理対象とするプログラムの並行実行の単位、すなわち一つのタスク中のプログラムは逐次的に実行されるのに対して、異なるタスクのプログラムは並行して実行が行われる。ただし、並行して実行が行われるというのは、アプリケーションからみた概念的な動作であり、実装上はOSの制御のもとで、それぞれのタスクが時間駆動で実行される。タスクは1アプリケーションにつき最低1個生成される。
OSが管理対象とするプログラムの並行実行の単位、すなわち一つのタスク中のプログラムは逐次的に実行されるのに対して、異なるタスクのプログラムは並行して実行が行われる。ただし、並行して実行が行われるというのは、アプリケーションからみた概念的な動作であり、実装上はOSの制御のもとで、それぞれのタスクが時間駆動で実行される。タスクは1アプリケーションにつき最低1個生成される。
タスクには処理の内容に応じて実行時間を保証しなければならないものと、実行時間が多少遅れてもよいものがある。ISO26262では機能安全の視点からタスクを危険事象の低いものから高いものへ順にQM(Quality Management)、ASIL-A(Automotive Safety Integrity Level-A)、ASIL-B(Automotive Safety Integrity Level-B),ASIL-C(Automotive Safety Integrity Level-C),ASIL-D(Automotive Safety Integrity Level-D)に分類している。大きく分類すると安全性担保という点において実行時間を保証しなければならないタスクはASIL、安全保障に関係がなく実行時間が多少遅れてもよいタスクはQMとなる。
<タスクの状態遷移>
図3はタスクの状態遷移図である。タスクの状態は、以下のように分類される。
1.実行状態(RUNNING)301: CPUが割り当てられタスクが実行している状態。
2.実行可能状態(READY)302: タスクを実行する条件は整っているが、当該タスクよりも優先順位が高いタスクが実行状態であるため、実行できない状態。
3.待機状態(WAITING)303: 何らかの条件が整うまで、実行を中断した状態。
4.休止状態(DORMANT)304: タスクがいまだ起動されていないか、終了した状態。
図3はタスクの状態遷移図である。タスクの状態は、以下のように分類される。
1.実行状態(RUNNING)301: CPUが割り当てられタスクが実行している状態。
2.実行可能状態(READY)302: タスクを実行する条件は整っているが、当該タスクよりも優先順位が高いタスクが実行状態であるため、実行できない状態。
3.待機状態(WAITING)303: 何らかの条件が整うまで、実行を中断した状態。
4.休止状態(DORMANT)304: タスクがいまだ起動されていないか、終了した状態。
まず、新規に生成したタスクは最初に休止状態304に移行し、タスク起動によって実行可能状態302へと遷移する。時間駆動スケジューリングにおいては、タスクに割り当てられた時間(スロット)の開始タイミングにてディスパッチされ、実行状態301へと遷移、タスク処理を実行する。タスクの実行が完了、もしくは割り当てられたスロットの時間が終了した場合、タスク状態を実行可能状態302へ遷移する。
タスクがリソース要求を行い、排他制御によりリソースの取得ができない場合には、タスク状態を待機状態303へと遷移させる。その後リソースが解放され、該タスクがリソースを取得可能となった場合には、タスク状態を待機状態304から実行可能状態302へと遷移させる。タスクが強制終了命令を受けた、もしくはタスク自身が終了処理を行った場合、タスク状態は休止状態304へと遷移される。
<時間駆動スケジューリング>
時間駆動スケジューリングとは決められた実行順により、決められた時刻に決められた時間だけタスクを実行するOSのタスク実行スケジューリングである。時間駆動スケジューリングにて制御した場合のタスク実行の例を図4に示す。図4は横軸が時間経過を表しており、スロットID(ここではSL1からSL9)が割り振られることで分割されている。タスクは割り当てられたスロットの時間内で処理実行(ここではt_1, t_2, t_3)が可能である。最後のスロットへ到達した場合、最初のスロット(SL1)に戻りスケジューリングを継続する。
時間駆動スケジューリングとは決められた実行順により、決められた時刻に決められた時間だけタスクを実行するOSのタスク実行スケジューリングである。時間駆動スケジューリングにて制御した場合のタスク実行の例を図4に示す。図4は横軸が時間経過を表しており、スロットID(ここではSL1からSL9)が割り振られることで分割されている。タスクは割り当てられたスロットの時間内で処理実行(ここではt_1, t_2, t_3)が可能である。最後のスロットへ到達した場合、最初のスロット(SL1)に戻りスケジューリングを継続する。
時間駆動スケジューリングには図5に示すスケジューリングテーブル501を使用する。スケジューリングテーブルの構成はスロットID、スロットの開始時刻、スロットの終了時刻、タスクID、時間エラー判定フラグ、タスクが自ら待機状態へ遷移するための排他IDから構成される。スケジューリングテーブル501は各タスクの実行周期、最悪実行時間、安全要求レベル等の情報に基づいて作成される。スケジューリングテーブル501の1サイクルの長さは全タスクの実行周期を満たす長さにて作成される。サイクルの終端へ到達した場合、スロット1に戻りスケジューリングを継続する。
時間駆動スケジューリングを行う際のスケジューリング部208の動作フローを図6に示す。各スロットの開始時刻になるとタイマ210によりスケジューリング部208が動作開始し、前のスロットのタスクが実行完了しているか判定を行う(S101)。前のスロットのタスクが実行完了している場合(S101のyes)、スケジューリングテーブル501の終了時刻にスケジューリング部208が動作開始するようタイマ210をセットし(S102)、現在のスロットに割り当てられたタスクを実行状態へ遷移させる(S103)。スロットにタスクが割り当てられていない場合には、そのスロットではタスクを動作させない。このようにして決められた時間でのタスク実行処理を行うことで、各タスクの実行時間を確保する。
タスクの動作フローを図12に示す。タスクの処理(S301)が実行完了する際に実行完了フラグを立ち上げ(S302)、自タスクに割り当てられた排他を取得し(S303)、待機状態303に遷移することで実行完了したことを示す。スケジューリング部108は前スロットのタスクの実行完了フラグを参照することで動作完了しているかの判定を行う。また、該タスクに割り当てられた排他を解除することで、該タスクを実行可能状態302へと遷移、スケジューリング部108が待機状態303へ遷移することで該タスクは実行状態301へと遷移する。実行完了フラグはスケジューリング部108により立ち下げる、もしくは該タスクの次スロットにて再開時に該タスクが立ち下げる。
<時間エラー判定>
タスクの動作が割り当てられたスロットの時間内で完了しない場合の処理を説明する。前のスロットのタスクが実行完了していない場合(S101のno)、時間エラー判定フラグを参照し、“する”の場合には前スロットのタスクを待機状態303へ遷移させる(S105)。この処理を行うタスクを跨りタスクと呼ぶ。跨りタスクは1つのスロット内で処理が完了しない長い時間を要するタスクであり、複数のスロットにわたって動作を行う。
タスクの動作が割り当てられたスロットの時間内で完了しない場合の処理を説明する。前のスロットのタスクが実行完了していない場合(S101のno)、時間エラー判定フラグを参照し、“する”の場合には前スロットのタスクを待機状態303へ遷移させる(S105)。この処理を行うタスクを跨りタスクと呼ぶ。跨りタスクは1つのスロット内で処理が完了しない長い時間を要するタスクであり、複数のスロットにわたって動作を行う。
時間エラー判定フラグが“しない”の場合(S104のyes)、前のスロットのエラーフラグを立て(S106)、前のスロットのタスクを休止状態304へ遷移させる(S107)。強制終了には時間を要するため、S107にてタスクを一時的に待機状態303へ遷移させ、空いているスロットで休止状態304へ遷移させても良い。
<車両制御装置の構成>
タスクの実行を管理する制御装置の構成例について図1を用いて説明する。図1は図2の車両制御装置内部の1構成例である。安全要求レベルの低い第1タスク101と安全要求レベルの高い第2タスク102が存在する。安全要求レベルの低いアプリケーションの処理は第1タスク101となり、安全要求レベルの高いアプリケーションの処理は第2タスクとなる。
タスクの実行を管理する制御装置の構成例について図1を用いて説明する。図1は図2の車両制御装置内部の1構成例である。安全要求レベルの低い第1タスク101と安全要求レベルの高い第2タスク102が存在する。安全要求レベルの低いアプリケーションの処理は第1タスク101となり、安全要求レベルの高いアプリケーションの処理は第2タスクとなる。
タスク実行制御部206はタスクからの共有データ群205へのアクセス要求を制御するデータアクセス制御部105及びシステム状態を管理するシステム状態管理部106、タスク状態を管理するタスク状態管理部107及びこれらと協調してタスクスケジューリングを行うスケジューリング部108から構成される。
<タスクのデータアクセスにおける問題>
共有データ群205へのアクセスにおける問題について図15を用いて説明する。タスクには実行時間を保証しなければならないASILに分類されるタスクと、実行時間が多少遅れてもよいQMに分類されるものがある。複数のタスクが実行されるときにタスク間で共通のアクセスを行う共有データ群205がある場合は、同時アクセスが発生しないように排他制御(S601、S603)を行わなければならない。しかしながらQMタスクが実行され共有データ群を占有アクセスしている間に、実行時間を保証しなければならないASILタスクの実行時刻となり、ASILタスクの実行が開始されたとしてもQMタスクと同一の共有データ群205をアクセスする場合、ASILタスクは共有データ群205へのアクセスが排他制御によりASILタスクは待機状態とされてしまう。時間駆動スケジューリングではこのようなASILタスクの実行遅延を回避しなければならない。
共有データ群205へのアクセスにおける問題について図15を用いて説明する。タスクには実行時間を保証しなければならないASILに分類されるタスクと、実行時間が多少遅れてもよいQMに分類されるものがある。複数のタスクが実行されるときにタスク間で共通のアクセスを行う共有データ群205がある場合は、同時アクセスが発生しないように排他制御(S601、S603)を行わなければならない。しかしながらQMタスクが実行され共有データ群を占有アクセスしている間に、実行時間を保証しなければならないASILタスクの実行時刻となり、ASILタスクの実行が開始されたとしてもQMタスクと同一の共有データ群205をアクセスする場合、ASILタスクは共有データ群205へのアクセスが排他制御によりASILタスクは待機状態とされてしまう。時間駆動スケジューリングではこのようなASILタスクの実行遅延を回避しなければならない。
<タスクのデータアクセス監視時間>
タスクのデータアクセス監視時間について図7及び図13を用いて説明する。安全要求レベルの低い第1タスクと安全要求レベルの高い第2タスクが存在する場合、第1タスクは割り当てられたスロット時間T1aからT1dの間で動作する。安全要求レベルの低いタスクに割り当てられたスロットでは、スロットの最後(T1bからT1d)にデータアクセス監視用のアクセス監視時間を設ける。アクセス監視時間は想定されるデータアクセス時間(T1bからT1c)より長い時間を設ける。アクセス監視時間の開始時(T1b)にシステム状態管理部106がシステム状態をアクセス非監視状態からアクセス監視状態へ遷移させ(S402)、アクセス監視時間の終了時(T1d)にシステム状態をアクセス監視状態からアクセス非監視状態へ遷移させる(S403)。
タスクのデータアクセス監視時間について図7及び図13を用いて説明する。安全要求レベルの低い第1タスクと安全要求レベルの高い第2タスクが存在する場合、第1タスクは割り当てられたスロット時間T1aからT1dの間で動作する。安全要求レベルの低いタスクに割り当てられたスロットでは、スロットの最後(T1bからT1d)にデータアクセス監視用のアクセス監視時間を設ける。アクセス監視時間は想定されるデータアクセス時間(T1bからT1c)より長い時間を設ける。アクセス監視時間の開始時(T1b)にシステム状態管理部106がシステム状態をアクセス非監視状態からアクセス監視状態へ遷移させ(S402)、アクセス監視時間の終了時(T1d)にシステム状態をアクセス監視状態からアクセス非監視状態へ遷移させる(S403)。
<アクセス監視状態>
アクセス監視状態によるタスクのデータアクセス制御を図14及び図21を用いて説明する。第1タスクが共有データ群205へアクセスを試みる際に、システム状態がアクセス監視状態である場合には第1タスクによる共有データ群205へのアクセスをデータアクセス制御部105が禁止し、タスク状態管理部107により第1タスクのタスク状態を休止状態304へと遷移させる(S504)。システム状態がアクセス監視状態である場合に、第1タスクのタスク状態を休止状態304へと遷移せず、待機状態303へ遷移もしくは無限ループを実行させ、時間エラー判定させてもよい。第1タスクが共有データ群205へアクセスを試みる際に、システム状態がアクセス非監視状態である場合には第1タスクによる共有データ群205へのアクセスを実施する。
アクセス監視状態によるタスクのデータアクセス制御を図14及び図21を用いて説明する。第1タスクが共有データ群205へアクセスを試みる際に、システム状態がアクセス監視状態である場合には第1タスクによる共有データ群205へのアクセスをデータアクセス制御部105が禁止し、タスク状態管理部107により第1タスクのタスク状態を休止状態304へと遷移させる(S504)。システム状態がアクセス監視状態である場合に、第1タスクのタスク状態を休止状態304へと遷移せず、待機状態303へ遷移もしくは無限ループを実行させ、時間エラー判定させてもよい。第1タスクが共有データ群205へアクセスを試みる際に、システム状態がアクセス非監視状態である場合には第1タスクによる共有データ群205へのアクセスを実施する。
<跨りタスクのデータアクセス制御>
跨りタスクのデータアクセス制御について図8を用いて説明する。複数のスロットにまたがって動作する安全要求レベルの低い第1タスクと、安全要求レベルの高い第2タスクが存在する場合、第1タスクは割り当てられたスロット時間T2aからT2dで動作し、続きの動作をT2eからT2hの間で行う。
跨りタスクのデータアクセス制御について図8を用いて説明する。複数のスロットにまたがって動作する安全要求レベルの低い第1タスクと、安全要求レベルの高い第2タスクが存在する場合、第1タスクは割り当てられたスロット時間T2aからT2dで動作し、続きの動作をT2eからT2hの間で行う。
跨りのあるタスクのスロットにおいても、安全要求レベルの低いタスクに割り当てられたスロット全てにおいて、スロットの最終部(T2bからT2d及びT2fからT2h)にデータアクセス監視用のアクセス監視時間を設ける。
第1タスクが共有データ群205へアクセスを試みる際に、システム状態がアクセス監視状態である場合にはデータアクセス制御部105が第1タスクによる共有データ群205へのアクセスを保留し、タスク状態管理部107により第1タスクのタスク状態を待機状態へと遷移させる(S502)。システム状態がアクセス監視状態である場合に、第1タスクのタスク状態を待機状態303へと遷移させず、無限ループを実行させ、時間エラー判定にて待機状態303へ遷移させてもよい。保留された共有データ104へのアクセスは第1タスクの続きのスロット(T2eからT2f)にて開始される。第1タスクが共有データ群205へアクセスを試みる際に、システム状態がアクセス非監視状態である場合には第1タスクによる共有データ群205へのアクセスを実施する。
<割り当てスロットに基づいたアクセス監視時間配置>
アクセス監視時間の配置は安全要求レベルの高いタスクの起動タイミングに左右されず、安全要求レベルの低いタスクのスロット時間によって決定される。図9を用いて説明する。第1タスクと安全要求レベルが同様な第3タスクが存在する場合、第1タスクはT3aからT3d及びT3jからT3lにて動作する。第3タスクはT3fからT3hにて動作する。アクセス監視時間は第1タスク及び第3タスクにそれぞれ割り当てられたスロット最終部(T3bからT3d,T3fからT3h及びT3jからT3l)に配置される。安全要求レベルの低いタスクのスロット時間に基づいてアクセス監視時間を配置することにより、共有データへのアクセスを行うタスク情報が無い場合においても、排他中のタスク切り替えによる影響を防ぐことが可能となる。
アクセス監視時間の配置は安全要求レベルの高いタスクの起動タイミングに左右されず、安全要求レベルの低いタスクのスロット時間によって決定される。図9を用いて説明する。第1タスクと安全要求レベルが同様な第3タスクが存在する場合、第1タスクはT3aからT3d及びT3jからT3lにて動作する。第3タスクはT3fからT3hにて動作する。アクセス監視時間は第1タスク及び第3タスクにそれぞれ割り当てられたスロット最終部(T3bからT3d,T3fからT3h及びT3jからT3l)に配置される。安全要求レベルの低いタスクのスロット時間に基づいてアクセス監視時間を配置することにより、共有データへのアクセスを行うタスク情報が無い場合においても、排他中のタスク切り替えによる影響を防ぐことが可能となる。
<データアクセス時動作>
タスクがデータアクセスを試みた際の動作フローについて図10を用いて説明する。タスクからデータアクセス要求をデータアクセス制御部105が受け取ると、システム状態管理部106にてシステム状態を確認(S201)し、システム状態がアクセス非監視状態(S201のno)の場合には共有データ群205へのアクセス状況を示すアクセスフラグをアクセス中へ遷移させ(S202)、共有データ群205へのアクセスを実行する(S203)。共有データ群205へのアクセス完了の後、アクセスフラグを非アクセス中へと遷移させる(S204)。システム状態がアクセス監視状態(S201のyes)の場合には、スケジュールテーブル507にて現在のスロットの時間エラー判定フラグの内容を判定する(S205)。前記時間エラー判定フラグが“しない”の場合(S205のno)、タスク状態管理部107にてタスクの状態を待機状態303へ遷移させ(S206)、続きのスロットにてタスク状態が実行状態301へ遷移した後にデータアクセスを行う(S202,S203,S204)。前記時間エラー判定フラグが“する”の場合(S205のyes)、現在のスロットのマージン内エラーフラグをONに遷移させ(S207)、現在実行状態301のタスクを強制終了させて休止状態304にする(S208)。強制終了には時間を要するため、S208にてタスクを一時的に待機状態303へ遷移させ、空いているスロットで休止状態304へ遷移させても良い。
タスクがデータアクセスを試みた際の動作フローについて図10を用いて説明する。タスクからデータアクセス要求をデータアクセス制御部105が受け取ると、システム状態管理部106にてシステム状態を確認(S201)し、システム状態がアクセス非監視状態(S201のno)の場合には共有データ群205へのアクセス状況を示すアクセスフラグをアクセス中へ遷移させ(S202)、共有データ群205へのアクセスを実行する(S203)。共有データ群205へのアクセス完了の後、アクセスフラグを非アクセス中へと遷移させる(S204)。システム状態がアクセス監視状態(S201のyes)の場合には、スケジュールテーブル507にて現在のスロットの時間エラー判定フラグの内容を判定する(S205)。前記時間エラー判定フラグが“しない”の場合(S205のno)、タスク状態管理部107にてタスクの状態を待機状態303へ遷移させ(S206)、続きのスロットにてタスク状態が実行状態301へ遷移した後にデータアクセスを行う(S202,S203,S204)。前記時間エラー判定フラグが“する”の場合(S205のyes)、現在のスロットのマージン内エラーフラグをONに遷移させ(S207)、現在実行状態301のタスクを強制終了させて休止状態304にする(S208)。強制終了には時間を要するため、S208にてタスクを一時的に待機状態303へ遷移させ、空いているスロットで休止状態304へ遷移させても良い。
<動作ログ>
動作ログの作成方法について図11及び図16を用いて説明する。各スロットにおけるタスクの開始時刻、終了時刻、タスクID及びスロット終了時の状態を取得(S701、S702)・記録する(S703)。特に終了時の状態を記録しておくことにより、タスクが正常に動作しているか、長い動作時間を有する跨りタスクか、異常が発生したことによる強制終了か、アクセス監視時間内でのデータアクセスによる終了か、アクセス監視時間内でのデータアクセスによる跨り中断かを動作ログから確認可能となる。
動作ログの作成方法について図11及び図16を用いて説明する。各スロットにおけるタスクの開始時刻、終了時刻、タスクID及びスロット終了時の状態を取得(S701、S702)・記録する(S703)。特に終了時の状態を記録しておくことにより、タスクが正常に動作しているか、長い動作時間を有する跨りタスクか、異常が発生したことによる強制終了か、アクセス監視時間内でのデータアクセスによる終了か、アクセス監視時間内でのデータアクセスによる跨り中断かを動作ログから確認可能となる。
以上説明した実施例によれば、時間駆動によるスケジューリングにおいて、排他制御に用いる共有データ群のアクセス情報の有無にかかわらず、安全要求レベルの低いタスクの排他取得による他タスクの動作への影響を防ぐことが可能となる。また、これら処理について動作ログを記録することにより、他タスクへ影響を起こすタイミングでのデータアクセスを試みたタスクの発見が可能となる。
本発明にかかる第2の実施例について説明する。本実施例では、アクセス監視時間を超えてデータアクセスを行うタスクが存在する場合の例を示す。本実施例においては、第1タスク101もしくは第2タスク102が共有データ群205へデータアクセス中であることを示すアクセスフラグを用いたシステム制御を行う。タスクのデータアクセス開始時にデータアクセス制御部105にてアクセスフラグを“アクセス中”に遷移させ、データアクセス完了時にアクセスフラグを“非アクセス中”に遷移させる。アクセス監視時間の終了時にアクセスフラグが“アクセス中”の場合、車両制御装置2001を再起動することにより、全排他をリセットさせる。これによりアクセス監視時間を超えてデータアクセスを行った場合の排他による他タスクへの影響を最小限に抑え、早期の回復が可能となる。またアクセス監視時間開始時にタスク状態が実行状態かつアクセスフラグが“非アクセス中”である場合、異常発生中と判断しタスク状態管理部107によりタスクを待機状態へ遷移させてもよい。また、再起動する対象は車両制御装置2001に限らず、実装されるその他のシステム全体で再起動させてもよい。
以上説明した実施例によれば、データアクセス中かの状況を管理することにより、アクセス監視時間を超えてのデータアクセスによる他タスクの動作への影響を防止することが可能となる。
本発明にかかる第3の実施例について説明する。本実施例では、安全要求レベルの高い第2タスクにより他タスクへ影響を与えることが許されない場合の例について説明する。本実施例においては、安全要求レベルの低い第1タスク101に割り当てられたスロットの最終部にデータアクセス監視用のアクセス監視時間を設けるだけでなく、安全要求レベルの高い第2タスク102に割り当てられたスロットの次のスロットが同様の安全要求レベルであった場合にも、第2タスク102に割り当てられたスロット最終部にデータアクセス監視用のアクセス監視時間を設ける。これにより、安全要求レベルの高い第2タスク102が誤動作を起こした場合に他の安全要求レベルの高い第2タスク102への影響を防ぐことが可能となる。
以上説明した実施例によれば、アクセス監視時間の配置対象を変更することにより、安全要求レベルの高いタスクによる他タスクへの影響を防止することが可能となる。
本発明にかかる第4の実施例について説明する。本実施例では、開発ツールから本特許のスケジューリングテーブル501を生成する際の実施例を説明する。本実施例においては、各タスクの周期、最悪実行時間、安全要求レベル等の設計情報からスケジューリングテーブル501を自動生成する。自動生成時には安全要求レベルの情報をもとに、各スロットの最終部にデータアクセス監視用のアクセス監視時間を設けるかを決定する。アクセス監視時間を設ける場合には、アクセス監視時間を含めたスロット時間の配置が行われる。これにより、アクセス監視時間の必要有無を考えずにアプリケーション設計が可能となる。
本発明の第5の実施例について図17、図18および図19を用いて説明する。第1コアから第Nコアまでの複数のコア1701、1702、1703が共有データ群へデータアクセスを行う制御装置において、各コアは安全要求レベルの低い第1タスク101と安全要求レベルの高い第2タスク102を有する。時間駆動スケジューリングで制御されている各コアにおいて、各スロットの最終部(T4bからT4dおよびT4eからT4h)にアクセス監視時間を有する。第1タスク101用スロットにおいて、アクセス監視時間は「アクセス時間(T4bからT4c) < アクセス監視時間(T4bからT4d)」となるように配置する。
第2タスク102用スロットにおいて、アクセス監視時間は「アクセス時間×2(T4eからT4g) < アクセス監視時間(T4eからT4h)」となるように配置する。本実施例においては、各コアの状態を管理するシステム状態テーブル1901を使用する。システム状態テーブルは各コアがアクセス監視状態かアクセス非監視状態かの情報及び、"全コア用アクセス監視カウンタ"を保持する。全コア用アクセス監視カウンタは0からコア数の間を増減する。第1タスク101用スロットにおけるアクセス監視時間の開始時(T4b)にて、システム状態管理部105により該コアのシステム状態をアクセス監視状態へと遷移させる。
第1タスク101用スロットにおけるアクセス監視時間の終了時(T4c)にて、システム状態管理部105により該コアのシステム状態をアクセス非監視状態へと遷移させる。アクセス監視状態のコアでは、第1タスク101における共有データ群205への新規データアクセスを禁止する。第2タスク102用スロットにおけるアクセス監視時間の開始時(T4e)にて、システム状態管理部105により該コアのシステム状態をアクセス監視状態へと遷移させ、システム状態管理部105により全コア用アクセス監視カウンタを1インクリメントさせる。第2タスク102用スロットにおけるアクセス監視時間の終了時(T4h)にて、システム状態管理部105により該コアのシステム状態をアクセス非監視状態へと遷移させ、全コア用アクセス監視カウンタを1デクリメントさせる。全コア用アクセス監視カウンタが1以上の場合、すべてのコアにおける第1タスクによる共有データ群205への新規データアクセスを禁止する。複数のコア1701、1702、1703により共有データ群205へのデータアクセス要求がある場合、システム状態がアクセス監視状態のコアの第2タスク102によるデータアクセスを優先する。これにより、アクセス監視時間より前に他コアの第1タスク101がアクセスした際にも、第1タスク101によるデータアクセス完了後に第2タスク102によるデータアクセスを実行する時間を確保可能となる。これにより、メニーコア環境における第1タスク101のデータアクセスによる第2コア102への影響を防ぐことが可能となる。また、第2タスク102用スロットにおけるアクセス監視時間は「アクセス時間×コア数 < アクセス監視時間」となるように配置してもよい。これにより、他コアの第2タスク102のデータアクセスによる影響を防ぐことが可能となる。
以上説明した実施例によれば、複数のコアが存在する場合において、各コアにアクセス監視時間を設けることで、安全要求レベルの低いタスクによる安全要求レベルの高いタスクへの影響を防止することが可能となる。
101 第1タスク
102 第2タスク
105 データアクセス制御部
106 システム状態管理部
107 タスク状態管理部
108 スケジューリング部
201 センサーフュージョン
202 マップフュージョン
203 ADAS
204 オートパーキング
205 共有データ群
206 タスク実行制御部
207 組み込みOS
208 CPU
209 メモリ
210 タイマ
211 ネットワークアダプタ
212 周辺装置
213 動作ログ管理部
214 アプリケーション
215 ハードウェア
301 実行状態
302 実行可能状態
303 待機状態
304 休止状態
501 スケジューリングテーブル
1101 動作ログ
1701 第一コア
1702 第二コア
1703 第三コア
2001 車両システム
2002 車両制御装置
2003 無線通信部
2004 駆動装置
2005 認識装置
2006 出力装置
2007 入力装置
102 第2タスク
105 データアクセス制御部
106 システム状態管理部
107 タスク状態管理部
108 スケジューリング部
201 センサーフュージョン
202 マップフュージョン
203 ADAS
204 オートパーキング
205 共有データ群
206 タスク実行制御部
207 組み込みOS
208 CPU
209 メモリ
210 タイマ
211 ネットワークアダプタ
212 周辺装置
213 動作ログ管理部
214 アプリケーション
215 ハードウェア
301 実行状態
302 実行可能状態
303 待機状態
304 休止状態
501 スケジューリングテーブル
1101 動作ログ
1701 第一コア
1702 第二コア
1703 第三コア
2001 車両システム
2002 車両制御装置
2003 無線通信部
2004 駆動装置
2005 認識装置
2006 出力装置
2007 入力装置
Claims (9)
- 定められた時間に基づいて第1タスク及び第2タスクを起動し、排他制御下にある共有データ群を介して、制御を実施する車両制御装置において、
前記定められた時間とは別にデータアクセス時間に基づいて定義されるアクセス監視時間を備え、定義された前記アクセス監視時間に基づいてシステム状態をアクセス監視状態に遷移させ、前記アクセス監視時間の終了時には遷移前の状態に遷移させるシステム状態管理部と、前記アクセス監視状態の際には新たなデータアクセスを禁止するデータアクセス管理部と、を有することを特徴とする車両制御装置。 - 前記第1タスクの実行スロットの最終部に前記データアクセス時間より長い前記アクセス監視時間を有することを特徴とする、請求項1に記載の制御装置。
- 前記第1タスクによる排他を伴うデータアクセス開始時にシステム状態がアクセス監視状態の場合、前記第1タスクを終了状態に遷移させるタスク状態管理部を有することを特徴とする、請求項1に記載の制御装置。
- 複数に分離された実行スロットにて継続実行可能なタスクを起動した際に、前記タスクの最終スロット以外の実行スロットにおいても各分離された実行スロットの最終部に前記アクセス監視時間を有することを特徴とする、請求項1に記載の制御装置。
- 前記継続実行可能なタスクの分離された実行スロットにおいて、前記タスクによる排他を伴うデータアクセス開始の際にシステム状態を確認し、アクセス監視状態である場合には前記タスクを待機状態に遷移させるタスク状態管理部を有することを特徴とする、請求項1に記載の制御装置。
- 前記タスクが共有データにアクセス中であることを示すアクセスフラグを有し、データアクセス開始時に前記アクセスフラグをアクセス中に遷移させ、データアクセス終了時に前記アクセスフラグを非アクセス中に遷移させるフラグ管理部を有し、定義された前記アクセス監視時間の終了時に前記アクセスフラグがアクセス中である場合に、システムを再起動させ全ての排他を解除する機構を有することを特徴とする、請求項1に記載の制御装置。
- 安全要求レベルの低い第1タスクと安全要求レベルの高い第2タスクを有することを特徴とする、請求項1に記載の制御装置。
- 安全要求レベルが同じ第1タスク及び第2タスクを有することを特徴とする、請求項1に記載の制御装置。
- マルチコア環境において、第一タスクと第二タスクを有し、データアクセス時間に基づいて定義されるアクセス監視時間を備え、定義された前記アクセス監視時間内ではタスクによる新たなデータアクセスを禁止するデータアクセス管理部を有することを特徴とする制御装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017136710A JP6861591B2 (ja) | 2017-07-13 | 2017-07-13 | 車両制御装置 |
| PCT/JP2018/024506 WO2019012997A1 (ja) | 2017-07-13 | 2018-06-28 | 車両制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017136710A JP6861591B2 (ja) | 2017-07-13 | 2017-07-13 | 車両制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019020870A true JP2019020870A (ja) | 2019-02-07 |
| JP6861591B2 JP6861591B2 (ja) | 2021-04-21 |
Family
ID=65001242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017136710A Active JP6861591B2 (ja) | 2017-07-13 | 2017-07-13 | 車両制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6861591B2 (ja) |
| WO (1) | WO2019012997A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020161965A1 (ja) | 2019-02-07 | 2020-08-13 | 東芝キヤリア株式会社 | 回転式圧縮機、回転式圧縮機の製造方法及び冷凍サイクル装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS56127260A (en) * | 1980-03-10 | 1981-10-05 | Hitachi Ltd | Volume sharing system |
| JP2579081B2 (ja) * | 1991-08-15 | 1997-02-05 | 株式会社ピーエフユー | 禁止時間付競合調停方式 |
| JP2014241124A (ja) * | 2013-01-25 | 2014-12-25 | 株式会社リコー | 排他制御システム |
-
2017
- 2017-07-13 JP JP2017136710A patent/JP6861591B2/ja active Active
-
2018
- 2018-06-28 WO PCT/JP2018/024506 patent/WO2019012997A1/ja active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020161965A1 (ja) | 2019-02-07 | 2020-08-13 | 東芝キヤリア株式会社 | 回転式圧縮機、回転式圧縮機の製造方法及び冷凍サイクル装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019012997A1 (ja) | 2019-01-17 |
| JP6861591B2 (ja) | 2021-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9396353B2 (en) | Data allocation among devices with different data rates | |
| JP4196333B2 (ja) | 並列処理システム及び並列処理プログラム | |
| US7516323B2 (en) | Security management system in parallel processing system by OS for single processors | |
| JP4051703B2 (ja) | シングルプロセッサ向けosによる並列処理システム、並列処理プログラム | |
| US20150254113A1 (en) | Lock Spin Wait Operation for Multi-Threaded Applications in a Multi-Core Computing Environment | |
| JP5450271B2 (ja) | シミュレーション装置、シミュレーションプログラム及び方法 | |
| WO2017188109A1 (ja) | 車両制御装置、及び車両システム | |
| US10459771B2 (en) | Lightweight thread synchronization using shared memory state | |
| CN110597614A (zh) | 一种资源调整方法及装置 | |
| JP6861591B2 (ja) | 車両制御装置 | |
| US11061730B2 (en) | Efficient scheduling for hyper-threaded CPUs using memory monitoring | |
| JP6861275B2 (ja) | 車両制御装置 | |
| WO2019044226A1 (ja) | アクセス制御装置 | |
| CN104657204A (zh) | 短任务处理方法、装置及操作系统 | |
| JP6968726B2 (ja) | 車両制御装置 | |
| JP4325466B2 (ja) | タスク実行システム | |
| JP2013522710A (ja) | Itシステムの構成方法、そのコンピュータプログラムおよびitシステム | |
| JP2010026575A (ja) | スケジューリング方法およびスケジューリング装置並びにマルチプロセッサシステム | |
| JP6803709B2 (ja) | 車両制御装置および車両制御システム | |
| US12026549B2 (en) | Control unit for a vehicle and an operating system scheduling method thereof | |
| JP7472687B2 (ja) | 情報処理装置、情報処理プログラム、及び、情報処理方法 | |
| US8566829B1 (en) | Cooperative multi-level scheduler for virtual engines | |
| JPH02156336A (ja) | クロック処理方法 | |
| CN117909065A (zh) | 一种嵌入式容器操作系统的确定性调度方法 | |
| JP2010191522A (ja) | プログラム検査方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170714 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200623 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200731 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201228 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210118 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20210122 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210304 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210323 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210330 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6861591 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |