以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。
<発明の実施の形態1>
本実施の形態にかかる安全制御装置1は、サービスロボットや運輸機器等に搭載されて機能安全確保のための安全制御を実行する。安全制御装置1は、安全関連アプリケーションと非安全関連アプリケーションを同一のコンピュータシステムで実行するよう構成される。図1は、本実施の形態にかかる安全制御装置1の構成例を示すブロック図である。
プロセッサ10は、プログラム(命令ストリーム)の取得、命令のデコード、命令のデコード結果に応じた演算処理を行う。なお、図1では、1つのプロセッサ10のみを示しているが、安全制御装置1は、複数のプロセッサ10を有するマルチプロセッサ構成であってもよい。また、プロセッサ10は、マルチコアプロセッサでもよい。プロセッサ10は、システムプログラムとしてのオペレーティングシステム(OS)100を実行することによりマルチプログラミング環境を提供する。マルチプログラミング環境とは、複数のプログラムを定期的に切り替えて実行したり、あるイベントの発生に応じて実行するプログラムを切り替えたりすることによって、複数のプログラムがあたかも並列実行されているような環境を意味する。
マルチプログラミングは、マルチプロセス、マルチスレッド、マルチタスク等と呼ばれる場合もある。プロセス、スレッド及びタスクは、マルチプログラミング環境で並列実行されるプログラム単位を意味する。本実施の形態のプロセッサ10が具備するマルチプログラミング環境は、マルチプロセス環境でもよいし、マルチスレッド環境でもよい。
実行用メモリ11は、プロセッサ10によるプログラム実行のために使用されるメモリである。実行用メモリ11には、不揮発性メモリ13からロードされたプログラム(OS100及びアプリケーション101〜103等)、プロセッサ10の入出力データ等が記憶される。なお、プロセッサ10は、プログラムを不揮発性メモリ13から実行用メモリ11にロードすることなく、これらのプログラムを不揮発性メモリ13から直接実行してもよい。
具体的には、実行用メモリ11は、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)等のランダムアクセス可能な揮発性メモリとすればよい。図1の実行用メモリ11は、論理的な構成単位を示している。すなわち、実行用メモリ11は、例えば、複数のSRAMデバイスの組み合わせ、複数のDRAMデバイスの組み合わせ、又はSRAMデバイスとDRAMデバイスの組み合わせでもよい。
I/Oポート12は、外部デバイスとの間のデータ送受信に使用される。例えば、安全制御装置1がサービスロボットに搭載される場合であれば、外部デバイスは、各種センサ及びサービスロボットを動作させるアクチュエータ等である。この場合、各種センサは、例えば、サービスロボット周囲の障害物を計測可能な視覚センサ、サービスロボットの姿勢を検知するための姿勢センサ、及びサービスロボットのアクチュエータの状態を検知するための回転センタ等のサービスロボットの内外の状態を検出するセンサを含む。
不揮発性メモリ13は、電力の供給を受けることなく、実行用メモリ11に比べて安定的に記憶内容を維持することが可能なメモリデバイスである。例えば、不揮発性メモリ13は、ROM(Read Only Memory)、フラッシュメモリ、ハードディスクドライブ若しくは光ディスクドライブ、又はこれらの組み合わせである。不揮発性メモリ13は、OS100及びアプリケーション101〜103を格納する。なお、不揮発性メモリ13の少なくとも一部は安全制御装置1から取り外し可能に構成されてもよい。例えば、アプリケーション101〜103が格納されたメモリを取り外し可能としてもよい。また、不揮発性メモリ13の少なくとも一部は、安全制御装置1の外部に配置されてもよい。
OS100は、プロセッサ10によって実行されることにより、プロセッサ10及び実行用メモリ11及び不揮発性メモリ13等のハードウェア資源を利用して、タスクスケジューリングを含むタスク管理、割り込み管理、時間管理、資源管理、タスク間同期およびタスク間通信機構の提供等を行う。
さらに、機能安全の確保に関連する安全監視アプリケーション101及び安全制御アプリケーション103の通常制御アプリケーション102からの独立性を高めるため、OS100は、ハードウェア資源を、時間的および空間的に保護する機能を有する。ここで、ハードウェア資源とは、プロセッサ10、実行用メモリ11、I/Oポート12を含む。
このうち、時間的な保護は、プロセッサ10の実行時間という時間的な資源をパーティショニングすることにより行う。具体的に述べると、時間的な保護は、プロセッサ10の実行時間をパーティショニングし、各パーティション(タイムパーティションと呼ぶ)にタスク(プロセス又はスレッド)を割り当てることにより行う。OS100のスケジューリング機能(パーティションスケジューラ21)は、各タイムパーティション(以下、TPと略称する場合がある。)に割り当てられたタスクに対して、プロセッサ10の実行時間を含む資源の利用を保証する。
図2は、タイム・パーティショニングに関する概念図である。図2の例では、予め定められた1サイクル時間を3つのTP1、TP2及びTP3に分割する例を示している。例えば、1サイクル時間を100Tickとした場合、このうち前半の20TickがTP1、中間の30TickがTP2、後半の50TickがTP3と規定される。
また、図2の例では、第1アプリケーション(APL1)〜第4アプリケーション(APL4)が、TP1〜TP3のいずれかに割り当てられている。OS100のスケジューリング機能(パーティションスケジューラ21)は、時間の経過に応じて、TP1〜TP3のいずれをアクティブにするかを選択・決定する。そして、アクティブなTPに割り当てられているアプリケーションが、プロセッサ10で実行される。
一方、空間的な保護は、実行用メモリ11及びI/Oポート12を含む固定的な資源をパーティショニングし、各パーティション(リソースパーティションと呼ぶ)にタスクを割り当てることにより行う。OS100のスケジューリング機能(パーティションスケジューラ21)は、予め割り当てられたリソースパーティション(以下、RPと略称する場合がある。)を超えてタスクが他のリソースにアクセスすることを禁止する。
図3は、リソース・パーティショニングに関する概念図である。図3の例では、2つのRP(RP1及びRP2)を示している。RP1には、実行用メモリ11及び不揮発性メモリ13の一部(A領域)と、I/Oポート12の一部(ポートA)が割り当てられている。また、RP2には、実行用メモリ11及び不揮発性メモリ13の他の一部(B領域)と、I/Oポート12の他の一部(ポートB)が割り当てられている。RP1からはRP2に割り当てられたリソースへのアクセスが禁止され、RP2からはRP1に割り当てられたリソースへのアクセスが禁止される。実行用メモリ11におけるリソース・パーティショニングは、後述するMMUのメモリ保護機能を利用して実現される。
なお、全てのリソースがいずれかのRPに排他的に割り当てられる必要はない。つまり、複数のRPによって共有されるリソースがあってもよい。例えば、サービスロボットの安全制御を行う場合、アクチュエータには、通常制御アプリケーション102及び安全制御アプリケーション103の双方からアクセスできる必要がある。よって、通常制御アプリケーション102が属するRPと安全制御アプリケーション103が属するRPによって、アクチュエータを制御するためのI/Oポートを共有するとよい。
図1に戻り説明を続ける。アプリケーション101〜103は、OS100及びプロセッサ10によって提供されるマルチプログラミング環境で実行される。このうち、安全監視アプリケーション101は、通常制御アプリケーション102の実行状況の監視と、安全制御アプリケーション103の実行状況の監視と、I/Oポート12への入出力データの監視と、をプロセッサ10に実行させるための命令コードを含む。さらに、安全監視アプリケーション101は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。つまり、安全監視アプリケーション101は、安全関連アプリケーションである。
また、通常制御アプリケーション102は、サービスロボット等の制御対象に通常の機能・動作を行わせるための制御手順をプロセッサ10に実行させるための命令コードを含む。さらに、通常制御アプリケーション102は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。つまり、通常制御アプリケーション102は、非安全関連アプリケーションである。
また、安全制御アプリケーション103は、何らかの異常が検出された場合に対応して、機能安全を確保するために定められた制御手順をプロセッサ10に実行させるための命令コードを含む。さらに、安全制御アプリケーション103は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。つまり、安全制御アプリケーション103は、安全関連アプリケーションである。
MMU14は、メモリ保護機能及び仮想記憶管理機能を有する。メモリ保護機能は、プロセッサ10から実行用メモリ11に対するアクセスを監視して、メモリ保護違反となるアクセスを検出する機能である。プロセッサ10から実行用メモリ11のあるアドレスに対するアクセスがあったときに、そのアクセスがそのアドレスに対するアクセス権限を有しているか否かを判定する。そして、そのアクセスがそのアドレスに対するアクセス権限を有していない場合には、そのアクセスをメモリ保護違反として検出するとともに、メモリ保護違反をプロセッサ10に通知する。また、この場合、MMU14は、実行用メモリ11に対するアクセスを抑止するようにしてもよい。
MMU14は、このメモリ保護機能によって、実行用メモリ11におけるリソース・パーティショニングを実現する。具体的には、図3に例示する場合には、RP1に属するタスクには、RP1に割り当てられた実行用メモリ11の領域のみにアクセス可能なアクセス権限が付与され、RP2に属するタスクには、RP2に割り当てられた実行用メモリ11の領域のみにアクセス可能なアクセス権限が付与される。これによって、例えば、RP1に属するタスクが、RP2に割り当てられた実行用メモリ11の領域に対してアクセスした場合に、MMU14は、そのアクセスをメモリ保護違反として検出する。アクセス権限は、実行用メモリ11のページ単位に付与される。また、1ページのサイズとして、予め任意のサイズを定めることができる。
仮想記憶管理機能は、プロセッサ10が実行用メモリ11にアクセスするときに指定された仮想アドレスを、その仮想アドレスに対応する物理アドレスに変換する機能である。すなわち、MMU14は、仮想記憶管理機能によって、プロセッサ10からの仮想アドレスを指定した実行用メモリ11へのアクセスを、その仮想アドレスが示す実行用メモリ11上のアドレスと同一のアドレスを示す物理アドレスを指定した実行用メモリ11へのアクセスに変換して、実行用メモリ11に発行する。
ここで、アクセス権限及び仮想アドレスに対応する物理アドレスは、プロセッサ10によって、MMU14が有するTLB(Translation Look-aside Buffer)(図示せず)に設定される。TLBは、例えば、MMU14が有するレジスタ及びメモリ等の記憶装置(図示せず)に格納される。TLBは、複数のエントリを含んでいる。1エントリには、1つのページについての内容が設定される。1エントリには、ASID(アドレス空間識別子:Address Space Identification)、仮想アドレス、その仮想アドレスに対応する物理アドレス、ページに対するアクセス権限等が設定される。
ASIDは、RPごとに一意に定められた値をとる。なお、本実施の形態では、1つのTPに1つのRPが対応することになるため、ASIDは、TPごとに一意に定められた値ともなる。TLBにおける仮想アドレスとして、仮想アドレスのうち、ページを特定可能な一定の範囲を示す仮想ページ番号が設定されることが一般的である。物理アドレスについても同様である。この場合は、仮想アドレスのうち、仮想ページ番号に該当する範囲を物理ページ番号とされているアドレスに置き換え、その他のオフセットアドレスを示す範囲をそのまま用いることで、仮想アドレスを物理アドレスに変換することができる。アクセス権限としては、データの読み出し権限、データの書き込み権限、及び、データ(命令)の実行権限の有無を設定することができる。すなわち、アクセス権限は、アクセス種別(読み出し、書き込み、又は実行)ごとに、その有無を設定することが可能である。
例えば、実行用メモリ11上のあるページについて、あるTPに属するタスクからのデータの読み出し及び書き込みを許容する場合、エントリには、そのTPに対応するASID、そのページの仮想アドレス、そのページの物理アドレス、及び、読み出し権限及び書き込み権限を有りとしたアクセス権限等が設定される。
プロセッサ10は、実行用メモリ11上のあるページ内のあるアドレスに対して、データの読み出し又は書き込みによるアクセスを行う場合、ASID、仮想アドレス、及びアクセス種別(読み出し又は書き込み)を指定したアクセスをMMU14に発行する。すなわち、ASID、仮想アドレス、及びアクセス種別のそれぞれを示す信号がMMU14に出力される。ASIDには、そのアクセスの発行元となったタスクに応じた値が指定される。すなわち、指定されたASIDを参照することで、どのTPに属するタスクの権限でのアクセスかを特定することができる。なお、本実施の形態では、同一のTPに属するタスクからアクセスには同一のASIDが指定されることになる。また、アクセス種別が書き込みである場合は、さらに実行用メモリ11に書き込むデータも指定される。
MMU14は、TLBを参照して、指定されたASIDが設定されており、指定された仮想アドレスに対応する仮想アドレスが設定されており(仮想ページ番号が一致する)、かつ、指定されたアクセス種別の権限が有りに設定されているエントリを検出できた場合、そのアクセスを許容する。この場合、MMU14は、検出したエントリに基づいて、アクセスにおいて指定された仮想アドレスを物理アドレスに変換して、変換後の物理アドレスとアクセス種別を指定したアクセスを実行用メモリ11に発行する。すなわち、物理アドレス及びアクセス種別のそれぞれを示す信号が実行用メモリ11に出力される。また、アクセス種別が書き込みである場合は、さらに実行用メモリ11に書き込むデータも指定される。
また、プロセッサ10は、実行用メモリ11上のあるページ内のあるアドレスに対して、データ(命令)の実行によるアクセスを行う場合、ASID及び仮想アドレスを指定したアクセスをMMU14に発行する。MMU14は、上述と同様に、アドレスの変換及びアクセス権限のチェックを行う。そして、MMU14は、そのアクセスを許容する場合、変換後の物理アドレスを指定したアクセスを実行用メモリ11に発行する。
実行用メモリ11は、MMU14からのアクセスに応じて、そのアクセスに応じたデータの処理を行う。具体的には、実行用メモリ11は、読み出し又は書き込みによるアクセスであり、かつ、アクセス種別が読み出しである場合は、指定された物理アドレスのデータをプロセッサ10に出力する。実行用メモリ11は、読み出し又は書き込みによるアクセスであり、かつ、アクセス種別が書き込みである場合は、指定された物理アドレスに、指定されたデータを書き込む。実行用メモリ11は、データ(命令)の実行によるアクセスである場合、指定された物理アドレスのデータをプロセッサ10に出力する。
一方、MMU14は、TLBを参照して、アクセスで指定された仮想アドレスに対応する仮想アドレスが設定されている(仮想ページ番号が一致する)が、指定されたASID及び指定されたアクセス種別の権限が設定されていない場合は、メモリ保護違反を検出する。なお、アクセスで指定された仮想アドレスに対応する仮想アドレスが設定されていない場合は、ページフォルトが検出されることになる。
また、MMU14は、その有効/無効をプロセッサ10からの指示で切り替えることが可能である。すなわち、プロセッサ10がMMU14を有効にする旨の指示をMMU14に出力したとき、MMU14はその指示に応じて、上述したメモリ管理機能及び仮想記憶管理機能を有効にする。これによって、上述したメモリ保護違反の検出及びアドレスの変換が行われるようになる。一方、プロセッサ10がMMU14を無効にする旨の指示をMMU14に出力したとき、MMU14はその指示に応じて、上述したメモリ管理機能及び仮想管理機能を無効にする。これによって、上述したメモリ保護違反の検出及びアドレスの変換が行われないようになる。プロセッサ10は、MMU14を無効にしている場合、直接、物理アドレスを指定したアクセスを発行することで、実行用メモリ11に対してアクセスすることが可能である。この場合、MMU14は、アクセスで指定された物理アドレスをそのまま指定したアクセスを実行用メモリ11に発行する。
なお、図1では、MMU14を、プロセッサ10の外部に有する場合について例示したが、プロセッサ10がMMU14を有するようにしてもよい。
リセット回路15は、OS100からの信号に基づき、マイクロコントローラ20のリセットを行う。パーティションスケジューラ21からリセット回路15に定期的に送信信号を送信するようにし、リセット回路15は、パーティションスケジューラ21からの送信信号が途絶えた場合に、マイクロコントローラ20をリセットする。例えば、パーティションスケジューラ21は、後述するように、1Tickごとに動作するタイミングで送信信号を送信する。また、OS100で異常を検知した場合、又は、アプリケーション101〜103のいずれかから異常を示す結果通知を受けた場合に、パーティションスケジューラ21がリセット回路15にリセット信号を送信するようにして、それに応じて、リセット回路15がマイクロコントローラ20をリセットするようにしてもよい。このようにすることで、マイクロコントローラ20に不具合が発生した場合に、マイクロコントローラ20をリセットして復旧することができる。
続いて以下では、パーティションスケジューラ21と、アプリケーション101〜103の起動により生成されるタスクと、の関係について、図4を用いて説明する。図4は、OS100によって提供されるマルチプログラミング環境で起動される、パーティションスケジューラ21とタスク24、26、28との関係を示す図である。
マイクロコントローラ20は、プロセッサ10、実行用メモリ11、I/Oポート12、不揮発性メモリ13等を含む。なお、図4では、マイクロコントローラ20の外部にリセット回路15を備える構成を例示しているが、マイクロコントローラ20の内部にリセット回路15を含む構成としてもよい。
マイクロコントローラ20には、外部のクロック源からのクロック信号が供給され、プロセッサ10等は、このクロック信号に基づく所定のタイマー周期で動作する。本実施の形態では、所定のタイマー周期を、1Tickであるとして説明する。このため、プロセッサ10によりOS100が実行されることで、パーティションスケジューラ21が1Tickごとに動作すると共に、各TPにおいて、タスクスケジューラ23、25、27およびタスク(安全監視タスク24、通常制御タスク26、安全制御タスク28)が1Tickごとに動作する。
パーティションスケジューラ21は、1Tickごとに動作し、TPの切り替え(パーティション・スケジューリング)を行う。パーティションスケジューラ21は、次の1Tickの間にTP1〜TP3のいずれをアクティブにするかを選択・決定する。さらに、パーティションスケジューラ21は、選択したTPに関するタスクスケジューラの動作を開始させる。
パーティションスケジューラ21によるパーティション・スケジューリングについて具体的に述べると、パーティションスケジューラ21は、スケジューリングテーブル22を参照し、TPの設定を定めたスケジューリングパターンに従って、パーティション・スケジューリングを行う。
スケジューリングテーブル22は、TPの切り替え順序およびタイミングを規定したスケジューリングパターンを保持している。スケジューリングテーブル22は、例えば、実行用メモリ11に予め格納されている。なお、スケジューリングテーブル22は、少なくとも2つの異なるスケジューリングパターンを保持している。1つは、安全監視タスク24による異常検知が行われていない場合(つまり通常時)に適用されるスケジューリングパターンである。もう1つは、安全監視タスク24によって異常が検知された場合に適用されるスケジューリングパターンである。以下では、通常時に適用されるスケジューリングパターンを"通常制御スケジューリングパターン"と呼ぶ。また、異常検知時に適用されるスケジューリングパターンを"安全制御スケジューリングパターン"と呼ぶ。
図5Aは、通常制御スケジューリングパターンの具体例を示している。図5Aでは、通常制御タスク26が属するTP2が1サイクル時間の前半(T1)に割り当てられている。また、安全監視タスク24が属するTP1が1サイクル時間の後半(T2)に割り当てられている。図5Aのスケジューリングパターンによれば、通常制御タスク26と安全監視タスク24が繰り返しスケジューリングされる。
図5Bは、安全制御スケジューリングパターンの具体例を示している。図5Bでは、安全制御タスク28が属するTP3が1サイクル時間の前半(T3)に割り当てられている。また、安全監視タスク24が属するTP1が1サイクル時間の後半(T4)に割り当てられている。図5Bのスケジューリングパターンによれば、安全制御タスク28と安全監視タスク24が繰り返しスケジューリングされる。
図4に戻り説明を続ける。タスクスケジューラ23、25、27は、それぞれが属するTP内でのタスクのスケジューリングを行う。各TP内でのタスクのスケジューリングには、一般的な優先度ベースのスケジューリングを適用すればよい。なお、図4では、各TPはそれぞれ1つのタスクのみを含むものとして図示しているが、1以上のタスクが含まれるようにしてもよい。例えば、通常制御用のTP2内には、通常制御タスクA及び通常制御タスクBの2つのタスクが含まれていてもよい。
安全監視タスク24は、安全監視アプリケーション101の起動によって生成されるタスクである。図4の例では、安全監視タスク24は、TP1及びRP1に割り当てられている。安全監視タスク24は、非安全関連アプリケーションである通常制御タスク26の実行状況の監視と、安全関連アプリケーションである安全制御タスク28の実行状況の監視と、I/Oポート12の入出力データを監視する。安全監視タスク24は、自身が属するRP1に割り当てられた実行用メモリ11のリソースを使用しながら、自身の処理を実行するために必要な演算等を行う。さらに、安全監視タスク24は、タスクの実行状況を、パーティションスケジューラ21へ通知する。
通常制御タスク26は、通常制御アプリケーション102の起動によって生成されるタスクである。図4の例では、通常制御タスク26は、TP2及びRP2に割り当てられている。通常制御タスク26は、サービスロボット等の制御対象に通常の機能・動作を行わせるための制御を行う。通常制御タスク26は、自身が属するRP2に割り当てられた実行用メモリ11のリソースを使用しながら、自身の処理を実行するために必要な演算等を行う。さらに、通常制御タスク26は、タスクの実行状況を、パーティションスケジューラ21へ通知する。
安全制御タスク28は、安全制御アプリケーション103の起動によって生成されるタスクである。図4の例では、安全制御タスク28は、TP3及びRP3に割り当てられている。安全制御タスク28は、何らかの異常が検出された場合に対応して、機能安全を確保するために定められた制御を行う。安全制御タスク28は、自身が属するRP3に割り当てられた実行用メモリ11のリソースを使用しながら、自身の処理を実行するために必要な演算等を行う。さらに、安全制御タスク28は、タスクの実行状況を、パーティションスケジューラ21へ通知する。
なお、各タスクからパーティションスケジューラ21へと結果を通知する具体的な構成としては、様々な手法を採用することができる。例えば、タスクがOS100のシステムコール(サービスコール)を呼び出し、OS100を介して、パーティションスケジューラ21に結果を通知することができる。具体的には、例えば、タスク間通信を行うシステムコールを呼び出す。また、例えば、タスクの実行状況に関するフラグを実行用メモリ11に格納するものとして、タスクがその実行状況に応じてフラグの値を設定し、パーティションスケジューラ21がフラグの設定値に応じてタスクの実行状況を判断することもできる。
OS100は、MMU確認ルーチン29を含んでいる。MMU確認ルーチン29は、MMU14が正常に動作できているか否かを確認するルーチンである。具体的には、MMU確認ルーチン29は、メモリの領域に対して、そのメモリの領域に対してアクセス権限が付与されていないタスクの権限で意図的にアクセスを行う。そして、そのアクセスによってMMU14がメモリ保護違反を検出したか否かによって、MMU14が正常に動作しているか否かを判定する。すなわち、このようなアクセスによって、MMU14がメモリ保護違反を検出した場合には、正常にメモリ保護機能が動作していることになり、MMU14が正常に動作していることが確認される。なお、このときのアクセスは、検査対象のページに対して、検査対象とするタスクによる書き込み権限及び読み出し権限を無しに設定して行うことになる。
上述したように、パーティションスケジューラ21が1Tickごとに動作し、TP1〜TP3のいずれをアクティブにするかを選択・決定する。さらに、パーティションスケジューラ21が、選択したTPに関するタスクスケジューラの動作を開始させる。そして、タスクスケジューラ23、25、27が動作を開始することでタスクのスケジューリングが行われ、プロセッサ10が、タスクスケジューラ23、25、27によりスケジューリングされた順序に従って、TP内でのタスクを実行していく。これによって、アクティブなTPに割り当てられているアプリケーションが、プロセッサ10で実行される。
続いて以下では、パーティションスケジューラ21によるパーティション・スケジューリングについて、図6を用いて説明する。図6は、発明の実施の形態1にかかるパーティションスケジューラ21の処理手順の具体例を示すフローチャートである。
なお、図6では、通常制御スケジューリングパターン(例えば図5A)または安全制御スケジューリングパターン(例えば図5B)に従って、スケジューリングを実行する場合を例に説明する。すなわち、TP2またはTP3に続く次のTPはTP1であり、かつ、TP2での異常がTP1で検知された場合に、TP1からの結果を受けて次に選択・決定されるTPはTP3である場合を例に説明する。
OS100は、1Tick経過するごとに(S11)、パーティションスケジューラ21を起動する(S12)。パーティションスケジューラ21は、スケジューリングパターンを参照して、TPの切り替えタイミングか否かを判定する(S13)。
TPの切り替えタイミングでないと判定した場合(S13でNo)、パーティションスケジューラ21は、同一のTPXについての動作を継続させる。このため、TPの切り替えタイミングとなるまでの間、S11〜S13、S15、S16の処理が繰り返される。ここで、変数XはTPの番号を示し、Xは1〜3のうちのいずれかの値となる。すなわち、通常制御スケジューリングパターンに従ってパーティション・スケジューリングを実施している場合は、安全制御用のTP3を除いた、TP2及びTP1のいずれかを動作させる。
一方、TPの切り替えタイミングであると判定した場合(S13でYes)、パーティションスケジューラ21は、TPの切り替えを実行する(S14)。このように、パーティションスケジューラ21は、次にアクティブにするTPを変更する(S13でYes)場合には、さらに、切り替え前のTPに属するタスクからの通知結果に応じて、切り替え前のTPが正常であったか否かを判断する。判断の結果、切り替え前のTPが異常であった場合、パーティションスケジューラ21は、次の1Tickの間にアクティブにするTPXを、安全制御スケジューリングパターンに従って、TP1及びTP3のいずれかから選択・決定する。判断の結果、正常であった場合、パーティションスケジューラ21は、次の1Tickの間にアクティブにするTPXを、通常制御スケジューリングパターンに従って、TP1及びTP2のいずれかを選択・決定する。
パーティションスケジューラ21は、現在アクティブになっているTPXのタスクスケジューラを動作させる(S15)。S15で動作を開始したTPXのタスクスケジューラは、TPX内のタスクを優先度に応じて実行する(S16)。
そして、1Tickが経過すると(S11)、パーティションスケジューラ21が、再びTPのスケジューリングを開始する(S12)。すなわち、パーティションスケジューラ21は、スケジューリングパターンに従って、次の1Tickの間にいずれのTPをアクティブにするかを選択・決定する。
図6で示した処理に関して、パーティション・スケジューリングの具体例を説明する。まず、図5Aに例示した通常制御スケジューリングパターンに従って、S15においてTP2がアクティブの状態からスケジューリングを開始した場合を説明する。この場合、S15ではTPX=TP2として開始し、続くS16、S11〜S13にかけてもTPX=TP2のままである。そして、S13でNoが続く限り、TPX=TP2の状態が維持される。S13でYesとなり、S14でTP2からTP1へと変更された場合、続くS15〜S16、S11〜S13にかけてTP1のままである。そして、S13でNoが続く限り、TPX=TP1の状態が維持される。TP1がアクティブのときに、S16で、TP2に関する実行状況(データ入出力等)が正常であると判定されていた場合には、次のS14では、TPX=TP2となる(つまり、TP2から開始する通常制御スケジューリングパターンが継続される。)。一方で、S16で、TP2に関する実行状況(データ入出力等)が異常であると判定されていた場合には、次のS14で、TPX=TP3となる(つまり、TP3から開始する安全制御スケジューリングパターンに切り替わる。)。
また、図5Bに例示した安全制御スケジューリングパターンに従って、S15においてTP3がアクティブの状態からスケジューリングを開始した場合を説明する。この場合、S15ではTPX=TP3として開始し、続くS16、S11〜S13にかけてもTPX=TP3のままである。そして、S13でNoが続く限り、TPX=TP3の状態が維持される。S13でYesとなり、S14でTP3からTP1へと変更された場合、続くS15〜S16、S11〜S13にかけてTP1のままである。そして、S13でNoが続く限り、TPX=TP1の状態が維持される。TP1がアクティブのときに、S16で、TP3に関する実行状況(データ入出力等)が正常であると判定されていた場合には、次のS14では、TPX=TP2とする(つまり、TP2から開始する通常制御スケジューリングパターンに切り替わる。)。一方で、S16で、TP3に関する実行状況(データ入出力等)に異常があると判定されていた場合には、次のS14で、TPX=TP3となる(つまり、TP3から開始する安全制御スケジューリングパターンが継続される。)。
なお、上述の例では、スケジューリングパターンとして、3つのTP(安全監視用のTP1、通常制御用のTP2、安全制御用のTP3)のみを組み合わせた場合を例に説明したが、TP2のような通常制御用パーティションや、TP3のような安全制御用パーティションについては、それぞれ複数個存在するものとしてもよい。例えば、2つの通常制御用のTP2及びTP4と、安全監視用のTP1と、2つの安全制御用のTP3及びTP5と、が存在し、これら5つのTP(TP1〜TP5)を組み合わせてスケジューリングパターンを構成してもよい。この場合、S14では、パーティションスケジューラ21が、TPXに関する実行状況(データ入出力等)の異常状態の種類を判定し、その異常種類に応じて、安全制御用のTP3またはTP5のいずれかを選択すればよい。また、S14では、通常制御用のTP2またはTP4のいずれかを選択すればよい。
上述したように、本実施の形態では、OS100は、安全監視用のTP1からの通知、または、各TPからの通知に応じて、次にアクティブとするパーティションを選択・決定するパーティションスケジューラ21を備えている。パーティションスケジューラ21は、各TPにおいて実行されるタスクとは独立して、所定のタイマー周期で動作する。
独立に動作するパーティションスケジューラ21が、全てのTPから結果通知を受ける構成とすることで、パーティションスケジューラ21は、全てのTPに関する状況を一元的に把握することができる。このため、例えば、安全監視用のTP1からの結果通知に応じて、パーティションスケジューラ21が次のパーティションを決定・選択しようとする場合には、パーティションスケジューラ21は、各TPの状況を考慮した上で、正常状態にあるTPのみから次のパーティションを決定・選択することもできる。これによれば、より正確なパーティション・スケジューリングを実現することができるという効果を奏する。
続いて、MMU確認ルーチン29によるMMU確認処理について、図7を用いて説明する。図7は、発明の実施の形態1にかかるMMU確認ルーチン29の処理手順の具体例を示すフローチャートである。OS100がMMU確認ルーチン29を実行することによって、以下に説明する処理手順が実行されることになる。なお、厳密には、以下に説明する処理は、OS100を実行するプロセッサ10によって実行されることになる。
OS100は、検査対象とするTBLのエントリに格納されたデータのバックアップをとる(S21)。ここで、バックアップしたデータは、実行用メモリ11に格納するようにしてもよく、不揮発性メモリ13に格納するようにしてもよい。
OS100は、検査対象のエントリに、検査対象のページに関する内容を設定する。具体的には、検査対象のエントリに、検査対象のタスクのASID、検査対象のページの仮想アドレス、検査対象のページの物理アドレス、並びに、読み出し権限、書き込み権限、及び実行権限を無しとしたアクセス権限等を設定する(S22)。なお、設定するアクセス権限は、ここで例示したパターンに限られない。すなわち、検査対象とするアクセス種別のみを権限無しに設定すればよい。例えば、読み出し権限について、正常にアクセス保護違反が検出されるか否かを検査する場合は、少なくとも読み出し権限のみを無しに設定すればよい。
OS100は、検査対象のページの境界にアクセス(読み出し、書き込み又は実行)する(S23)。具体的には、OS100は、先頭と末尾のそれぞれにアクセスする。ここで、ページの先頭と末尾には、例えば4ワード等の予め任意に定めた固定長の範囲でアクセスするものとする。
OS100は、S11において、バックアップしたデータを、検査対象のエントリに復元する(S24)。そして、OS100は、S13におけるアクセスで、メモリ保護違反が検出されたか否かを判定する(S25)。すなわち、OS100は、MMU14からメモリ保護違反が通知されたか否かを判定する。
OS100は、メモリ保護違反が検出された場合(S25でYes)、MMU14が正常に動作していると判定する(S26)。この場合、OS100は、通常の処理(パーティションスケジューラ21、タスクスケジューラ23、25、27、タスク24、26、28の実行等)の実行を継続する(S27)。一方、OS100は、メモリ保護違反が検出されなかった場合(S25でNo)、MMU14が正常に動作していないと判定する(S28)。この場合、OS100は、緊急停止ルーチンを実行する。
ここで、緊急停止ルーチンは、制御対象の安全を確保するために、制御対象を緊急停止させる処理となる。例えば、図5Aに示す通常制御スケジューリングパターンに従って動作している場合、スケジューリングパターンを、図5Bに示す安全制御スケジューリングパターンに切り替えるようにしてもよい。また、パーティションスケジューラ21の次の動作タイミングで、TPを強制的にTP3に切り替えるようにしてもよい。そして、TP3へ切り替えた後は、例えば、安全制御タスク28によって制御対象を停止させる。また、OS100は、直接、制御対象を停止させるように制御するようにしてもよい。
以上に説明したMMU確認ルーチン29の処理は、OS100に制御が移ったときにおける任意のタイミングで実行するようにしてよい。例えば、図8に示すように、TPにおいてそのTPに属する全てのタスクの実行が終了してOS100に制御が移ったときに、残りのTPの時間の間、処理を実行するようにしてもよい。このようにすることで、TPにおいて余った時間を有効利用することができる。
なお、MMU確認ルーチン29で検査対象とするページ、タスク、及びエントリの組み合わせは、任意の組み合わせを、任意の順序で組み合わせていくようにしてよい。例えば、検査対象とするページは、実行用メモリ11の全てのページを先頭からの順番に、検査対象とするタスクは、全てのタスク24、26、28を対象として予め定めた順番に、検査対象とするエントリは、TLBの全てのエントリを先頭から順番に組み合わせて検査していくことで、全ての組み合わせに対するMMU14の動作確認を行うようにしてもよい。また、図8に示すように、TP2の余った時間でMMU14の動作確認を行う場合は、次にアクティブとなるTP1に属するタスクを検査対象としてMMU14の動作確認を行うようにしてもよい。
以上に説明したMMU確認ルーチン29の処理手順では、ページの先頭と末尾に対して、アクセスするようにしているが、これに限られない。例えば、先頭と末尾のいずれか一方に対して、アクセスをするようにしてもよい。また、ページ全体に対して、アクセスをするようにしてもよい。また、ページの先頭と末尾以外の任意の位置に対して、アクセスをするようにしてもよい。しかしながら、好ましくは、上述したように、ページの先頭と末尾を対象とすることで、境界値分析を行うこととなるため、MMU14の異常を検出する精度が向上することが期待される。
以上に説明したように、本実施の形態1では、検査対象とするタスクの権限で、そのタスクに対してアクセス権限が付与されていない実行用メモリ11の領域に意図的にアクセスするようにしている。そして、そのアクセスによってMMU14がメモリ保護違反を検出したか否かを判定する。これによれば、メモリ保護違反が検出された場合に、MMU14によるメモリ保護が正常に行われていることを確認することができる。つまり、MMU14が正常に動作していることを確認することができる。
<発明の実施の形態2>
続いて、本発明の実施の形態2にかかる安全制御装置について説明する。本実施の形態2にかかる安全制御装置の構成は、図1を参照して説明した実施の形態1にかかる安全制御装置の構成と同様であるため、その説明を省略する。以下では、パーティションスケジューラ30と、アプリケーション101〜103の起動により生成されるタスクと、の関係について、図9を用いて説明する。図9は、本実施の形態2にかかるパーティションスケジューラ30とタスク24、26、28との関係を示す図である。以下、実施の形態1と同様の内容については、適宜、その説明を省略する。
図9に示すように、本実施の形態2は、実施の形態1と比較して、パーティションスケジューラ21に代えてパーティションスケジューラ30を有し、MMU確認ルーチン29がパーティションスケジューラ30に含まれる点が異なる。すなわち、本実施の形態2にかかるパーティションスケジューラ30は、実施の形態1にかかるパーティションスケジューラ21と比較して、MMU確認ルーチン29を実行する点が異なる。
続いて、パーティションスケジューラ30によるパーティション・スケジューリングについて、図10を用いて説明する。図10は、発明の実施の形態2にかかるパーティションスケジューラ30の処理手順の具体例を示すフローチャートである。なお、図6を参照して説明した、実施の形態1にかかる処理手順と同様の処理手順については、同一の符号を付し、説明を省略する。本実施の形態2にかかる処理手順では、実施の形態1にかかる処理手順と比較して、S13でYesとなったときにS17を実行して、その次にS14を実行する点が異なる。
TPの切り替えタイミングであると判定した場合(S13でYes)、パーティションスケジューラ30は、切り替え先のTPで利用するページに関して、MMU確認ルーチン29を実行する(S17)。そして、パーティションスケジューラ30は、MMU確認ルーチン29を実行した後に、TPの切り替えを実行する(S14)。
MMU確認ルーチン29における処理手順については、OS100のパーティションスケジューラ30が実行すること以外は、実施の形態1において図7を参照して説明した処理と同様となるため、その説明を省略する。ここで、本実施の形態2では、上述したように切り替え先のTPで利用するページに関して、MMU確認ルーチン29を実行する。すなわち、パーティションスケジューラ30は、切り替え先のTPで利用するページに対するアクセスの影響を受ける可能性の高い、切り替え先のTPで利用するページに隣接するページについて検査を行う。その理由は、タスクが誤動作をしてメモリ保護違反となるアクセスをするケースで可能性が高いものとして、タスクが誤って隣接するページにまではみ出してアクセスしてしまうことが考えられるからである。よって、パーティションスケジューラ30は、切り替え先のTPに属するタスクの権限(ASID)で、切り替え先のTPに属するタスクで利用するページに隣接し、かつ、切り替え先のTPに属するタスクに対してアクセス権限が付与されていないページについてMMU確認ルーチン29を実行する。
具体的には、パーティションスケジューラ30は、MMU14のTLBを参照して、切り替え先のTPに対応するASIDが設定されているエントリを検索する。そして、この検索によって検出したエントリにおいて設定されているページが切り替え先のTPで利用するページとなる。さらに、パーティションスケジューラ30は、検出したエントリにおいて設定されている仮想アドレス又は物理アドレスに基づいて、検出したエントリのページに隣接するページについて設定されており、かつASIDが切り替え先のTPに対応するASIDでないエントリを検索する。そして、パーティションスケジューラ30は、この検索によって検出したエントリにおいて設定されているページを検査対象のページとして認識する。よって、検査対象のページは、TLBのエントリの設定を変更しなくても、切り替え先のTPに属するタスクの権限(ASID)でのアクセス権限は有していない。そのため、パーティションスケジューラ30は、S21でのエントリのバックアップ、S22でのエントリの設定、及びS24でのエントリの復元は実行せずに、MMU確認ルーチン29を実施するようにしてもよい。なお、上述した理由から、ステップS23では、検査対象のページの先頭と末尾のうち、切り替え先のTPに属するタスクで利用するページに隣接する側のみにアクセスするようにしてもよい。
以上に説明したように、本実施の形態2では、TPを切り替えるときに、切り替え先のTPで実行されるタスクがアクセスする実行用メモリ11のページに関して、MMU14の動作確認を行うようにしている。これによれば、直近で使用される実行用メモリ11のページに関してMMU14の動作が正常に行われていることを確認することができる。そのため、MMU14の異常をより早く検出することが可能となり、より信頼性を向上することが可能となる。
<発明の実施の形態3>
続いて、本発明の実施の形態3にかかる安全制御装置2について説明する。図11は、本実施の形態3にかかる安全制御装置2の構成例を示すブロック図である。以下、実施の形態1と同様の内容については、適宜、その説明を省略する。
本実施の形態3にかかる安全制御装置2は、図1を参照して説明した実施の形態1にかかる安全制御装置1と比較して、OS100に代えてOS200を有し、さらにMMU確認アプリケーション104を有する点が異なる。
MMU確認アプリケーション104は、MMU確認ルーチン29を実行することによって、MMU14が正常に動作しているか否かを確認する処理をプロセッサ10に実行させるための命令コードを含む。MMU確認アプリケーション104は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。MMU確認アプリケーション104は、安全関連アプリケーションである。なお、OS100とOS200との違いについては、後述する。
続いて、パーティションスケジューラ21と、アプリケーション101〜104の起動により生成されるタスクと、の関係について、図12を用いて説明する。図12は、本実施の形態3にかかるパーティションスケジューラ21とタスク24、26、28、32との関係を示す図である。
図12に示すように、本実施の形態3は、実施の形態1と比較して、OS100に代えてOS200を有し、スケジューリングテーブル22に代えてスケジューリングテーブル33を有し、さらにタスクスケジューラ31とMMU確認タスク32とを有する点が異なる。また、本実施の形態3は、実施の形態1と比較して、さらにTP4及びRP4が定義されている。TP4及びRP4には、タスクスケジューラ31とMMU確認タスク32とが属する。
本実施の形態3にかかるOS200は、実施の形態1にかかるOS100と比較して、MMU確認ルーチン29を有しない点が異なる。すなわち、OS200によって、直接、MMU14の動作確認は行わない。後述するように、本実施の形態3では、OS200上で動作するMMU確認タスク32がMMU確認ルーチン29を実行する。
タスクスケジューラ31は、タスクスケジューラ23、25、27と同様に、自身が属するTP4内のタスクのスケジューリングを行う。なお、図12では、TP4は1つのタスクのみを含むものとして図示しているが、1以上のタスクが含まれるようにしてもよい。
MMU確認タスク32は、MMU確認アプリケーション104の起動によって生成されるタスクである。図12の例では、MMU確認タスク32は、TP4及びRP4に割り当てられている。MMU確認タスク32は、MMU確認ルーチン29を実行することによって、MMU14が正常に動作しているか否かを確認する。
スケジューリングテーブル33は、図13A及び図13Bに示すスケジューリングパターンを保持している。図13Aは、通常制御スケジューリングパターンの具体例を示している。図13Aでは、1サイクル時間において、通常制御タスク26が属するTP2の期間(T1)、安全監視タスク24が属するTP1の期間(T2)、及びMMU確認タスク32が属するTP4の期間(T5)が割り当てられている。図13Bは、安全制御スケジューリングパターンの具体例を示している。図13Bでは、1サイクル時間において、安全監視タスク24が属するTP1の期間(T1)、安全監視タスク24が属するTP1の期間(T2)、及びMMU確認タスク32が属するTP4の期間(T6)が割り当てられている。
MMU確認ルーチン29における処理手順については、MMU確認タスク32が実行すること以外は、実施の形態1において図7を参照して説明した処理と同様となるため、その説明を省略する。ここで、MMU確認タスク32は、TP4のタスクの権限でRP4に割り当てられたリソースしかアクセスすることができない。また、通常、OS200は、OS200上で動作するタスクからは、MMU14内のTLBのエントリにアクセスすることができないようにしている。そこで、本実施の形態3にかかるOS200は、MMU確認タスク32に対して、エントリのデータのバックアップ、復元及び検索のためのアクセスを可能とするAPI関数、及び、検査対象となるタスクの権限(ASID)で検査対象となるページに対するアクセスの発行を可能とするAPI関数等を提供する。そして、MMU確認タスク32は、それぞれのAPI関数を使用して、MMU確認ルーチン29を実行する。
また、MMU確認タスク32は、MMU14の異常を検出した場合(S25でNo、S28)には、緊急停止ルーチンとして、パーティションスケジューラ21に異常を通知する。そして、パーティションスケジューラ21は、その通知に応じて、スケジューリングパターンを、安全制御スケジューリングパターンに切り替えて、制御対象を緊急停止させる。
以上に説明した本実施の形態3のように、MMU14の動作確認を行うための専用のTPを定義して、そのTPに属するタスクによって、MMU14の動作確認を行うようにすることもできる。
<発明の実施の形態4>
続いて、本発明の実施の形態4にかかる安全制御装置について説明する。本実施の形態4にかかる安全制御装置の構成は、図1を参照して説明した実施の形態1にかかる安全制御装置の構成と同様であるため、その説明を省略する。以下では、パーティションスケジューラ21と、アプリケーション101〜103の起動により生成されるタスクと、の関係について、図14を用いて説明する。図14は、本実施の形態4にかかるパーティションスケジューラ21とタスク34〜36との関係を示す図である。以下、実施の形態1と同様の内容については、適宜、その説明を省略する。
図14に示すように、本実施の形態4は、実施の形態1と比較して、OS100に代えてOS200を有し、安全監視タスク24、通常制御タスク26、及び安全制御タスク28に代えて安全監視タスク34、通常制御タスク35、及び安全制御タスク36を有する点が異なる。安全監視タスク34、通常制御タスク35、及び安全制御タスク36のそれぞれは、安全監視タスク24、通常制御タスク26、及び安全制御タスク28のそれぞれと比較して、MMU確認ルーチン29を有する点が異なる。
本実施の形態4にかかるOS200は、実施の形態1にかかるOS100と比較して、実施の形態3にかかるOS200と同様にMMU確認ルーチン29を有しない。すなわち、OS200において、直接、MMU14の動作確認は行わない。
本実施の形態4にかかる安全監視タスク34は、実施の形態1にかかる安全監視タスク24と比較して、さらに、MMU確認ルーチン29を実行することによって、MMU14が正常に動作しているか否かを確認する点が異なる。本実施の形態4にかかる通常制御タスク35は、実施の形態1にかかる通常制御タスク26と比較して、さらに、MMU確認ルーチン29を実行することによって、MMU14が正常に動作しているか否かを確認する点が異なる。本実施の形態4にかかる安全制御タスク36は、実施の形態1にかかる安全制御タスク28と比較して、さらに、MMU確認ルーチン29を実行することによって、MMU14が正常に動作しているか否かを確認する点が異なる。
MMU確認ルーチン29における処理手順については、安全監視タスク34、通常制御タスク35、及び安全制御タスク36のそれぞれが実行すること以外は、実施の形態1において図7を参照して説明した処理と同様となるため、その説明を省略する。ここで、安全監視タスク34、通常制御タスク35、及び安全制御タスク36のそれぞれは、それぞれが属するTPで利用するページに関して、MMU確認ルーチン29を実行する。すなわち、それぞれのタスク34〜36は、それぞれが属するTPで利用するページに隣接するページについて検査を行う。それぞれのタスク34〜36の権限(ASID)で、それぞれが利用するページについてMMU確認ルーチン29を実行することになる。よって、それぞれのタスク34〜36は、それぞれのタスク34〜36の権限(ASID)で、それぞれのタスク34〜36が利用するページに隣接し、かつ、それぞれのタスク34〜36に対してアクセス権限が付与されていないページについてMMU確認ルーチン29を実行する。ここで、それぞれのタスク34〜36が検査対象のページを特定する方法については、実施の形態2において説明した方法と同様であるため、説明を省略する。また、実施の形態2と同様の理由で、ステップS23では、検査対象のページの先頭と末尾のうち、それぞれのタスク34〜36が属するTPで利用するページに隣接する側のみにアクセスするようにしてもよい。
また、検査対象のページは、TLBのエントリの設定を変更しなくても、それぞれのタスク34〜36の権限(ASID)でのアクセス権限は有していない。そのため、それぞれのタスク34〜36は、S21でのエントリのバックアップ、S22でのエントリの設定、及びS24でのエントリの復元は実行せずに、MMU確認ルーチン29を実施するようにしてもよい。
ここで、通常、OS200は、OS200上で動作するタスクからは、MMU14のエントリにアクセスすることができないようにしている。そこで、本実施の形態4にかかるOS200は、実施の形態3にかかるOS200と同様に、各タスク34〜36に対して、エントリのデータのバックアップ、復元及び検索のためのアクセスを可能とするAPI関数を提供する。そして、各タスク34〜36は、それぞれのAPI関数を使用して、MMU確認ルーチン29を実行する。
また、各タスク34〜36は、MMU14の異常を検出した場合(S25でNo、S28)には、緊急停止ルーチンとして、パーティションスケジューラ21に異常を通知する。そして、パーティションスケジューラ21は、その通知に応じて、スケジューリングパターンを、安全制御スケジューリングパターンに切り替えて、制御対象を緊急停止させる。
以上に説明したように、本実施の形態4では、TP1〜3のそれぞれにおいて、それぞれのTPに属するタスクによって、それぞれのTPに対応するRPに割り当てられた実行用メモリ11のページについてMMU14の動作確認を行うようにすることもできる。
発明の他の実施の形態.
本実施の形態では、TPのそれぞれに属するタスクが、それぞれ安全監視タスク24、34、通常制御タスク26、35及び安全制御タスク28、36である場合について例示したが、タスクの種類は、これに限られない。安全監視タスク24、通常制御タスク26及び安全制御タスク28に限られず、その他の任意の制御対象の制御に関する処理を実行するタスクを有するようにしてもよい。
例えば、図22に示すようなタスク37〜39を有するようにしてもよい。なお、この場合、安全制御装置は、アプリケーション101〜103に代えて、タスク37〜39に対応するアプリケーションを有する必要があるが、その点は自明であるため図示及び説明を省略する。
監視制御タスク37は、制御対象を制御する。具体的には、監視制御タスク37は、通常制御タスク38及び安全制御タスク39からの指令値に基づいて、制御対象のアクチュエータを制御する。通常制御タスク38は、制御対象に通常の機能・動作を行わせるための制御計算を行う。具体的には、通常制御タスク38は、通常制御におけるアクチュエータの制御計算をして、アクチュエータの指令値を算出する。通常制御タスク38は、算出した指令値を監視制御タスク37に出力する。安全制御タスク39は、機能安全を確保するために定められた制御計算を行う。具体的には、安全制御タスク39は、安全制御におけるアクチュエータの制御計算をして、アクチュエータの指令値を算出する。安全制御タスク39は、算出した指令値を監視制御タスク37に出力する。監視制御タスク37は、通常制御タスク38又は安全制御タスク39から出力された指令値に基づいてアクチュエータを制御する。
さらに、監視制御タスク37は、制御対象のセンサから、センサ値を取得する。監視制御タスク37は、取得したセンサ値を通常制御タスク38及び安全制御タスク39に出力する。通常制御タスク38及び安全制御タスク39のそれぞれは、監視制御タスク37から出力されたセンサ値に基づいて、アクチュエータの制御計算を行うようにしてもよい。
また、その他に、例えば、図23に示すようなタスク40〜42を有するようにしてもよい。なお、この場合、安全制御装置は、アプリケーション101〜103に代えて、タスク40〜42に対応するアプリケーションを有する必要があるが、その点は自明であるため図示及び説明を省略する。
監視タスク40は、制御対象のセンサから、センサ値を取得する。このセンサには、上述したように制御対象の姿勢を検知するための姿勢センサを含む。ここで説明する例では、制御対象として、人が搭乗することができる走行装置に適用した場合について説明する。この場合、監視タスク40は、搭乗者による重心移動を姿勢センサにより検知することができる。監視タスク40は、取得したセンサ値をHMI(Human Machine Interface)タスク39に出力する。
HMIタスク42は、監視タスク40から出力されたセンサ値に基づいて、制御対象のアクチュエータの制御計算をして、アクチュエータの指令値を算出する。HMIタスク42は、算出した指令値を制御タスク41に出力する。制御タスク41は、HMIタスク42から出力された指令値に基づいて、アクチュエータを制御する。
これによれば、搭乗者の操作に応じて制御対象が制御されるというHMIを実現することができる。例えば、搭乗者が重心を前後に移動させることで制御対象が前後後退を行い、搭乗者が重心を左右に移動させることで制御対象が左右旋回を行うといった制御が可能となる。これについては、実施の形態1〜4及び図22によって説明した例についても同様のことが言える。具体的には、安全監視タスク24、34又は監視制御タスク37が取得したセンサ値に応じて、通常制御タスク26、35及び安全制御タスク28、36、もしくは、通常制御タスク38及び安全制御タスク39が同様の制御をすることで、HMIを実現することが可能である。また、本実施の形態によれば、より信頼性を向上した制御対象の制御を行うことが可能となる。そのため、以上に説明したように、人が搭乗することができる走行装置を制御対象として適用することで、より安全性を向上した制御対象の制御を行うことが可能となる。
なお、走行装置として、例えば、立ち乗り方の同軸二輪車とすることもできる。その場合は、アクチュエータを制御することで、車輪が回転動作をすることになる。また、安全制御装置自体も制御対象に搭載される構成としてもよい。
さらに、本発明は上述した実施の形態のみに限定されるものではなく、既に述べた本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
本実施の形態では、OSが、TP1〜TP3を有する場合について例示したが、TPの種類及び数は、これに限られない。スケジューリングパターンについても、本実施の形態に例示したものに限られない。
本実施の形態では、タスクの数が3つである場合について例示したが、タスクの数は、これに限られない。例えば、本実施の形態では、TPがTP1〜TP3の3つである場合について例示したが、TPの数を3つ以外の数とし、それぞれのTPが1つ以上の任意の数のタスクを有するようにしてもよい。
本実施の形態では、TP(RP)ごとに異なるアクセス権限を付与する場合について例示した。すなわち、本実施の形態では、同一のTPに属するタスクに対して同一のアクセス権限を付与する場合について例示したが、これに限られない。例えば、タスクごとに異なるアクセス権限を付与するようにしてもよい。この場合は、タスクごとにASIDが一意に定義されることになる。また、この場合は、実施の形態2おいて、切り替え先のTPに属するタスクのそれぞれで利用するページに関して、MMU確認ルーチン29を実行するようにすればよい。
本実施の形態では、タイム・パーティショニングを採用したマルチタスクOSについて例示したが、これに限られない。タイム・パーティショニングを採用していないマルチタスクOSに適用することもできる。この場合は、タスクごとにASIDが一意に定義されることになる。
本実施の形態では、MMU14の管理対象をRAMである実行用メモリ11とした場合について例示したが、これに限られない。例えば、MMUが管理対象とする記憶装置は、ROMであってもよい。また、MMUが管理対象とする記憶装置は、RAM及びROMの組み合わせであってもよい。
また、MMU確認ルーチンを実施前に、プロセッサ10に対するMMUに関連しない割り込みを抑止して、MMU確認ルーチンの実施後に、割り込み抑止を解除するようにしてもよい。このようにすることで、TLBのエントリに検査時のデータが格納されたまま、他の処理が行われることを防止することができる。
本実施の形態では、MMUによってメモリ保護機能を実装する場合について例示したが、これに限られない。例えば、MPUによってメモリ保護機能を実装するようにしてもよい。