JP6004057B2 - 情報処理装置およびdmaコントローラの動作確認方法 - Google Patents

情報処理装置およびdmaコントローラの動作確認方法 Download PDF

Info

Publication number
JP6004057B2
JP6004057B2 JP2015137471A JP2015137471A JP6004057B2 JP 6004057 B2 JP6004057 B2 JP 6004057B2 JP 2015137471 A JP2015137471 A JP 2015137471A JP 2015137471 A JP2015137471 A JP 2015137471A JP 6004057 B2 JP6004057 B2 JP 6004057B2
Authority
JP
Japan
Prior art keywords
dma controller
dma
transfer
task
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015137471A
Other languages
English (en)
Other versions
JP2015212969A (ja
Inventor
平 哲也
哲也 平
浩司 尾藤
浩司 尾藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2015137471A priority Critical patent/JP6004057B2/ja
Publication of JP2015212969A publication Critical patent/JP2015212969A/ja
Application granted granted Critical
Publication of JP6004057B2 publication Critical patent/JP6004057B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Bus Control (AREA)

Description

本発明は、DMAコントローラによってデータを転送する情報処理装置およびDMAコントローラの動作確認方法に関する。
サービスロボットは、外界センサや自己診断装置によって安全状態を常時監視し、何らかの危険を検知した場合に適切な安全制御ロジックを実行することで、機能安全を確保する必要がある。
上述したサービスロボットのほか、運輸機器等の電気的な原理で動作するシステムを対象とした機能安全に関する国際標準としてIEC 61508が制定されている。IEC 61508では、機能安全の確保のために設けられるシステムのことを安全関連系と呼んでいる。IEC 61508は、マイクロプロセッサ及びPLC(Programmable Logic Controller)等のハードウェアとコンピュータプログラム(ソフトウェア)によって安全関連系を構築するための様々な技法を定めている。IEC 61508で定められている技法を用いることで、コンピュータシステムを用いて安全関連系を構築することが可能となる。
一方で、近年、マイクロプロセッサ等のプログラマブル電子機器の処理能力が向上している。このため、マルチタスクOS(Operating System)を利用し、1つのコンピュータシステム上で様々なアプリケーションプログラムを並列実行することで、サービスロボット及び自動車等の機器に搭載されている複数用途のコンピュータシステムを統合することができる。
例えば特許文献1に、機能安全の確保に関するアプリケーションプログラム(以下、安全関連アプリケーションと呼ぶ)を、その他のアプリケーションプログラム(以下、非安全関連アプリケーションと呼ぶ)と共に1つのコンピュータシステム上で動作させる技術が開示されている。
IEC 61508で定められている技法を、安全関連アプリケーションおよび非安全関連アプリケーションを含むソフトウェア全体に適用すると、非安全関連アプリケーションにまで適用する必要性が生じる。このため、ソフトウェア開発コストが増大するという問題がある。
そこで、特許文献1に開示される技術では、システムプログラムのタイム・パーティションニングによって、安全関連アプリケーション(安全監視プログラム及び安全制御プログラム)を非安全関連アプリケーション(通常制御プログラム)から独立させている。このため、通常制御プログラムを安全関連系から除外することができ、コンピュータシステムを用いて構成される安全関連系の低コスト化に寄与することができる。
特開2010−271759号公報
ここで、オペレーティングシステムが動作するコンピュータシステムには、DMA(Direct Memory Access)コントローラによって、DMA転送を行うことで、データの転送を行うものが存在する。
しかしながら、上述したように、安全関連アプリケーションと、非安全関連アプリケーションとを実行する機能安全対応OSを、DMAコントローラを有するマイクロコントローラ又はECU(Engine Control Unit)において動作させることを考えた場合、安全性を担保する上で、DMAコントローラが正常であるか否かを確認することができるようにすることが望ましい。
本発明は、上述した知見に基づいてなされたものであって、DMAコントローラが正常であるか否かを確認することが可能となる情報処理装置及びDMAコントローラの動作確認方法を提供することを目的とする。
本発明の第1の態様にかかる情報処理装置は、少なくとも1つのデバイスと、前記少なくとも1つのデバイスにおける転送元から、前記少なくとも1つのデバイスにおける転送先に対してデータを転送するDMAコントローラと、タスクを実行するとともに、当該タスクの実行に応じて、前記DMAコントローラによってデータをDMA転送するタスク実行部と、を備え、前記タスク実行部は、前記DMAコントローラを利用していない場合に、前記転送先のデータに変更がないか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定するものである。
本発明の第2の態様にかかるDMAコントローラの動作確認方法は、少なくとも1つのデバイスにおける転送元から、前記少なくとも1つのデバイスにおける転送先に対してデータを転送するDMAコントローラの動作確認方法であって、前記DMAコントローラを利用していない場合に、前記転送先のデータに変更がないか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定するステップを備えたものである。
上述した本発明の各態様によれば、DMAコントローラが正常であるか否かを確認することが可能となる情報処理装置及びDMAコントローラの動作確認方法を提供することができる。
発明の実施の形態1にかかる安全制御装置の構成例を示すブロック図である。 発明の実施の形態1にかかるタイム・パーティショニングの概念を説明するための図である。 発明の実施の形態1にかかるリソース・パーティショニングの概念を説明するための概念図である。 発明の実施の形態1にかかるパーティションスケジューラとタスクとの関係を示す図である。 スケジューリングパターンの具体例を示す図である。 スケジューリングパターンの具体例を示す図である。 発明の実施の形態1にかかるパーティションスケジューラの処理手順の具体例を示すフローチャートである。 発明の実施の形態1にかかるDMAコントローラチェックルーチンの処理手順の具体例を示すフローチャートである。 DMAコントローラチェックルーチンの実行タイミングの一例を示す図である。 発明の実施の形態2にかかるDMAコントローラチェックルーチンの処理手順の具体例を示すフローチャートである。 発明の実施の形態3にかかるパーティションスケジューラとタスクとの関係を示す図である。 発明の実施の形態3にかかるパーティションスケジューラの処理手順の具体例を示すフローチャートである。 その他の実施の形態にかかるパーティションスケジューラとタスクとの関係を示す図である。 その他の実施の形態にかかるパーティションスケジューラとタスクとの関係を示す図である。
以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。
<発明の実施の形態1>
本実施の形態にかかる安全制御装置1は、サービスロボットや運輸機器等に搭載されて機能安全確保のための安全制御を実行する。安全制御装置1は、安全関連アプリケーションと非安全関連アプリケーションを同一のコンピュータシステムで実行するよう構成される。図1は、本実施の形態にかかる安全制御装置1の構成例を示すブロック図である。
プロセッサ10は、プログラム(命令ストリーム)の取得、命令のデコード、命令のデコード結果に応じた演算処理を行う。なお、図1では、1つのプロセッサ10のみを示しているが、安全制御装置1は、複数のプロセッサ10を有するマルチプロセッサ構成であってもよい。また、プロセッサ10は、マルチコアプロセッサでもよい。プロセッサ10は、システムプログラムとしてのオペレーティングシステム(OS)100を実行することによりマルチプログラミング環境を提供する。マルチプログラミング環境とは、複数のプログラムを定期的に切り替えて実行したり、あるイベントの発生に応じて実行するプログラムを切り替えたりすることによって、複数のプログラムがあたかも並列実行されているような環境を意味する。
マルチプログラミングは、マルチプロセス、マルチスレッド、マルチタスク等と呼ばれる場合もある。プロセス、スレッド及びタスクは、マルチプログラミング環境で並列実行されるプログラム単位を意味する。本実施の形態のプロセッサ10が具備するマルチプログラミング環境は、マルチプロセス環境でもよいし、マルチスレッド環境でもよい。
実行用メモリ11は、プロセッサ10によるプログラム実行のために使用されるメモリである。実行用メモリ11には、不揮発性メモリ13からロードされたプログラム(OS100及びアプリケーション101〜103等)、プロセッサ10の入出力データ等が記憶される。なお、プロセッサ10は、プログラムを不揮発性メモリ13から実行用メモリ11にロードすることなく、これらのプログラムを不揮発性メモリ13から直接実行してもよい。
具体的には、実行用メモリ11は、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)等のランダムアクセス可能な揮発性メモリとすればよい。図1の実行用メモリ11は、論理的な構成単位を示している。すなわち、実行用メモリ11は、例えば、複数のSRAMデバイスの組み合わせ、複数のDRAMデバイスの組み合わせ、又はSRAMデバイスとDRAMデバイスの組み合わせでもよい。
I/Oポート12は、外部デバイスとの間のデータ送受信に使用される。例えば、安全制御装置1がサービスロボットに搭載される場合であれば、外部デバイスは、各種センサ及びサービスロボットを動作させるアクチュエータ等である。この場合、各種センサは、例えば、サービスロボット周囲の障害物を計測可能な視覚センサ、サービスロボットの姿勢を検知するための姿勢センサ、及びサービスロボットのアクチュエータの状態を検知するための回転センタ等のサービスロボットの内外の状態を検出するセンサを含む。
不揮発性メモリ13は、電力の供給を受けることなく、実行用メモリ11に比べて安定的に記憶内容を維持することが可能なメモリデバイスである。例えば、不揮発性メモリ13は、ROM(Read Only Memory)、フラッシュメモリ、ハードディスクドライブ若しくは光ディスクドライブ、又はこれらの組み合わせである。不揮発性メモリ13は、OS100及びアプリケーション101〜103を格納する。なお、不揮発性メモリ13の少なくとも一部は安全制御装置1から取り外し可能に構成されてもよい。例えば、アプリケーション101〜103が格納されたメモリを取り外し可能としてもよい。また、不揮発性メモリ13の少なくとも一部は、安全制御装置1の外部に配置されてもよい。
OS100は、プロセッサ10によって実行されることにより、プロセッサ10及び実行用メモリ11及び不揮発性メモリ13等のハードウェア資源を利用して、タスクスケジューリングを含むタスク管理、割り込み管理、時間管理、資源管理、タスク間同期およびタスク間通信機構の提供等を行う。
さらに、機能安全の確保に関連する安全監視アプリケーション101及び安全制御アプリケーション103の通常制御アプリケーション102からの独立性を高めるため、OS100は、ハードウェア資源を、時間的および空間的に保護する機能を有する。ここで、ハードウェア資源とは、プロセッサ10、実行用メモリ11、I/Oポート12を含む。
このうち、時間的な保護は、プロセッサ10の実行時間という時間的な資源をパーティショニングすることにより行う。具体的に述べると、時間的な保護は、プロセッサ10の実行時間をパーティショニングし、各パーティション(タイムパーティションと呼ぶ)にタスク(プロセス又はスレッド)を割り当てることにより行う。OS100のスケジューリング機能(パーティションスケジューラ21)は、各タイムパーティション(以下、TPと略称する場合がある。)に割り当てられたタスクに対して、プロセッサ10の実行時間を含む資源の利用を保証する。
図2は、タイム・パーティショニングに関する概念図である。図2の例では、予め定められた1サイクル時間を3つのTP1、TP2及びTP3に分割する例を示している。例えば、1サイクル時間を100Tickとした場合、このうち前半の20TickがTP1、中間の30TickがTP2、後半の50TickがTP3と規定される。
また、図2の例では、第1アプリケーション(APL1)〜第4アプリケーション(APL4)が、TP1〜TP3のいずれかに割り当てられている。OS100のスケジューリング機能(パーティションスケジューラ21)は、時間の経過に応じて、TP1〜TP3のいずれをアクティブにするかを選択・決定する。そして、アクティブなTPに割り当てられているアプリケーションが、プロセッサ10で実行される。
一方、空間的な保護は、実行用メモリ11及びI/Oポート12を含む固定的な資源をパーティショニングし、各パーティション(リソースパーティションと呼ぶ)にタスクを割り当てることにより行う。OS100のスケジューリング機能(パーティションスケジューラ21)は、予め割り当てられたリソースパーティション(以下、RPと略称する場合がある。)を超えてタスクが他のリソースにアクセスすることを禁止する。
図3は、リソース・パーティショニングに関する概念図である。図3の例では、2つのRP(RP1及びRP2)を示している。RP1には、実行用メモリ11及び不揮発性メモリ13の一部(A領域)と、I/Oポート12の一部(ポートA)が割り当てられている。また、RP2には、実行用メモリ11及び不揮発性メモリ13の他の一部(B領域)と、I/Oポート12の他の一部(ポートB)が割り当てられている。RP1からはRP2に割り当てられたリソースへのアクセスが禁止され、RP2からはRP1に割り当てられたリソースへのアクセスが禁止される。
なお、全てのリソースがいずれかのRPに排他的に割り当てられる必要はない。つまり、複数のRPによって共有されるリソースがあってもよい。例えば、サービスロボットの安全制御を行う場合、アクチュエータには、通常制御アプリケーション102及び安全制御アプリケーション103の双方からアクセスできる必要がある。よって、通常制御アプリケーション102が属するRPと安全制御アプリケーション103が属するRPによって、アクチュエータを制御するためのI/Oポートを共有するとよい。
図1に戻り説明を続ける。アプリケーション101〜103は、OS100及びプロセッサ10によって提供されるマルチプログラミング環境で実行される。このうち、安全監視アプリケーション101は、通常制御アプリケーション102の実行状況の監視と、安全制御アプリケーション103の実行状況の監視と、I/Oポート12への入出力データの監視と、をプロセッサ10に実行させるための命令コードを含む。さらに、安全監視アプリケーション101は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。つまり、安全監視アプリケーション101は、安全関連アプリケーションである。
また、通常制御アプリケーション102は、サービスロボット等の制御対象に通常の機能・動作を行わせるための制御手順をプロセッサ10に実行させるための命令コードを含む。さらに、通常制御アプリケーション102は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。つまり、通常制御アプリケーション102は、非安全関連アプリケーションである。
また、安全制御アプリケーション103は、何らかの異常が検出された場合に対応して、機能安全を確保するために定められた制御手順をプロセッサ10に実行させるための命令コードを含む。さらに、安全制御アプリケーション103は、パーティションスケジューラ21への結果通知をプロセッサ10に実行させるための命令コードを含む。つまり、安全制御アプリケーション103は、安全関連アプリケーションである。
DMAコントローラ14は、データのDMA転送を行う。DMAコントローラ14は、転送先アドレスが設定される転送先アドレスレジスタと、転送元アドレスが設定される転送元アドレスレジスタと、データを転送した回数を数える転送カウンタと、DMA転送を有効とするか無効とするかを示すイネーブルフラグが設定されるイネーブルレジスタとを有する。転送先アドレスレジスタと転送元アドレスレジスタのそれぞれには、実行用メモリ11、I/Oポート12、及び不揮発性メモリ13等のデバイスのいずれかにおけるアドレスを指定することが可能である。なお、転送先アドレスレジスタと転送元アドレスレジスタのそれぞれには、同一のデバイスにおけるアドレスを指定することも可能である。
DMAコントローラ14は、イネーブルフラグの値がアサートされているときにDMA転送を有効とし、イネーブルフラグの値がネゲートされているときにDMA転送を無効とする。すなわち、イネーブルフラグがネゲートされているときに、プロセッサ10から、DMAコントローラ14にデータの転送を指示されても、データの転送は行われない。イネーブルフラグがアサートされているときに、プロセッサ10が、転送先アドレスレジスタと転送元アドレスレジスタのそれぞれを設定して、DMAコントローラ14にデータの転送を指示することで、DMAコントローラ14によって設定された転送元から転送先へのデータの転送が行われる。そして、DMAコントローラ14は、データの転送が完了したとき、転送カウンタの値をカウントアップする。なお、DMAコントローラ14が有する転送カウンタは、DMA転送が行われる毎に、カウントダウンされるカウンタであってもよい。
リセット回路15は、OS100からの信号に基づき、マイクロコントローラ20のリセットを行う。パーティションスケジューラ21からリセット回路15に定期的に送信信号を送信するようにし、リセット回路15は、パーティションスケジューラ21からの送信信号が途絶えた場合に、マイクロコントローラ20をリセットする。例えば、パーティションスケジューラ21は、後述するように、1Tickごとに動作するタイミングで送信信号を送信する。また、OS100で異常を検知した場合、又は、アプリケーション101〜103のいずれかから異常を示す結果通知を受けた場合に、パーティションスケジューラ21がリセット回路15にリセット信号を送信するようにして、それに応じて、リセット回路15がマイクロコントローラ20をリセットするようにしてもよい。このようにすることで、マイクロコントローラ20に不具合が発生した場合に、マイクロコントローラ20をリセットして復旧することができる。
続いて以下では、パーティションスケジューラ21と、アプリケーション101〜103の起動により生成されるタスクと、の関係について、図4を用いて説明する。図4は、OS100によって提供されるマルチプログラミング環境で起動される、パーティションスケジューラ21とタスク24、26、28との関係を示す図である。
マイクロコントローラ20は、プロセッサ10、実行用メモリ11、I/Oポート12、不揮発性メモリ13、DMAコントローラ14等を含む。なお、図4では、マイクロコントローラ20の外部にリセット回路15を備える構成を例示しているが、マイクロコントローラ20の内部にリセット回路15を含む構成としてもよい。
マイクロコントローラ20には、外部のクロック源からのクロック信号が供給され、プロセッサ10等は、このクロック信号に基づく所定のタイマー周期で動作する。本実施の形態では、所定のタイマー周期を、1Tickであるとして説明する。このため、プロセッサ10によりOS100が実行されることで、パーティションスケジューラ21が1Tickごとに動作すると共に、各TPにおいて、タスクスケジューラ23、25、27およびタスク(安全監視タスク24、通常制御タスク26、安全制御タスク28)が1Tickごとに動作する。
パーティションスケジューラ21は、1Tickごとに動作し、TPの切り替え(パーティション・スケジューリング)を行う。パーティションスケジューラ21は、次の1Tickの間にTP1〜TP3のいずれをアクティブにするかを選択・決定する。さらに、パーティションスケジューラ21は、選択したTPに関するタスクスケジューラの動作を開始させる。
パーティションスケジューラ21によるパーティション・スケジューリングについて具体的に述べると、パーティションスケジューラ21は、スケジューリングテーブル22を参照し、TPの設定を定めたスケジューリングパターンに従って、パーティション・スケジューリングを行う。
スケジューリングテーブル22は、TPの切り替え順序およびタイミングを規定したスケジューリングパターンを保持している。スケジューリングテーブル22は、例えば、実行用メモリ11に予め格納されている。なお、スケジューリングテーブル22は、少なくとも2つの異なるスケジューリングパターンを保持している。1つは、安全監視タスク24による異常検知が行われていない場合(つまり通常時)に適用されるスケジューリングパターンである。もう1つは、安全監視タスク24によって異常が検知された場合に適用されるスケジューリングパターンである。以下では、通常時に適用されるスケジューリングパターンを“通常制御スケジューリングパターン”と呼ぶ。また、異常検知時に適用されるスケジューリングパターンを“安全制御スケジューリングパターン”と呼ぶ。
図5Aは、通常制御スケジューリングパターンの具体例を示している。図5Aでは、通常制御タスク26が属するTP2が1サイクル時間の前半(T1)に割り当てられている。また、安全監視タスク24が属するTP1が1サイクル時間の後半(T2)に割り当てられている。図5Aのスケジューリングパターンによれば、通常制御タスク26と安全監視タスク24が繰り返しスケジューリングされる。
図5Bは、安全制御スケジューリングパターンの具体例を示している。図5Bでは、安全制御タスク28が属するTP3が1サイクル時間の前半(T3)に割り当てられている。また、安全監視タスク24が属するTP1が1サイクル時間の後半(T4)に割り当てられている。図5Bのスケジューリングパターンによれば、安全制御タスク28と安全監視タスク24が繰り返しスケジューリングされる。
図4に戻り説明を続ける。タスクスケジューラ23、25、27は、それぞれが属するTP内でのタスクのスケジューリングを行う。各TP内でのタスクのスケジューリングには、一般的な優先度ベースのスケジューリングを適用すればよい。なお、図4では、各TPはそれぞれ1つのタスクのみを含むものとして図示しているが、1以上のタスクが含まれるようにしてもよい。例えば、通常制御用のTP2内には、通常制御タスクA及び通常制御タスクBの2つのタスクが含まれていてもよい。
安全監視タスク24は、安全監視アプリケーション101の起動によって生成されるタスクである。図4の例では、安全監視タスク24は、TP1及びRP1に割り当てられている。安全監視タスク24は、非安全関連アプリケーションである通常制御タスク26の実行状況の監視と、安全関連アプリケーションである安全制御タスク28の実行状況の監視と、I/Oポート12の入出力データを監視する。安全監視タスク24は、自身が属するRP1に割り当てられた実行用メモリ11のリソースを使用しながら、自身の処理を実行するために必要な演算等を行う。さらに、安全監視タスク24は、タスクの実行状況を、パーティションスケジューラ21へ通知する。
通常制御タスク26は、通常制御アプリケーション102の起動によって生成されるタスクである。図4の例では、通常制御タスク26は、TP2及びRP2に割り当てられている。通常制御タスク26は、サービスロボット等の制御対象に通常の機能・動作を行わせるための制御を行う。通常制御タスク26は、自身が属するRP2に割り当てられた実行用メモリ11のリソースを使用しながら、自身の処理を実行するために必要な演算等を行う。さらに、通常制御タスク26は、タスクの実行状況を、パーティションスケジューラ21へ通知する。
安全制御タスク28は、安全制御アプリケーション103の起動によって生成されるタスクである。図4の例では、安全制御タスク28は、TP3及びRP3に割り当てられている。安全制御タスク28は、何らかの異常が検出された場合に対応して、機能安全を確保するために定められた制御を行う。安全制御タスク28は、自身が属するRP3に割り当てられた実行用メモリ11のリソースを使用しながら、自身の処理を実行するために必要な演算等を行う。さらに、安全制御タスク28は、タスクの実行状況を、パーティションスケジューラ21へ通知する。
なお、各タスクからパーティションスケジューラ21へと結果を通知する具体的な構成としては、様々な手法を採用することができる。例えば、タスクがOS100のシステムコール(サービスコール)を呼び出し、OS100を介して、パーティションスケジューラ21に結果を通知することができる。具体的には、例えば、タスク間通信を行うシステムコールを呼び出す。また、例えば、タスクの実行状況に関するフラグを実行用メモリ11に格納するものとして、タスクがその実行状況に応じてフラグの値を設定し、パーティションスケジューラ21がフラグの設定値に応じてタスクの実行状況を判断することもできる。
OS100は、各タスク24、26、28の実行に応じて、デバイス間でデータを転送(コピー)する場合に、DMAコントローラ14によってデータをDMA転送する。なお、データをDMAコントローラ14によってDMA転送するか否かは、データの内容に応じてOS100が任意に決定するようにしてもよく、タスク24、26、28からシステムコールを介してOS100に対して指定できるようにしてもよい。
また、OS100は、DMAコントローラチェックルーチン29を含んでいる。DMAコントローラチェックルーチン29は、DMAコントローラ14が正常であるか否かを確認するルーチンである。実施の形態1では、DMAコントローラ14を利用していない場合においてDMAコントローラ14が正常であるか否かを確認する場合について説明する。具体的には、DMAコントローラチェックルーチン29は、DMAコントローラ14を利用していない場合には、DMAコントローラ14が暴走せずに、停止していることを確認する。DMAコントローラ14が利用されていない場合は、イネーブルフラグがネゲートされており、転送カウンタが進んでおらず、かつ、転送先レジスタに設定されている転送先のデータが変更されないことが期待される。そのため、DMAコントローラチェックルーチン29は、イネーブルフラグがネゲートされており、転送カウンタが進んでおらず、かつ、転送先のデータが変更されないか否かを判定することによって、DMAコントローラ14が正常であるか否かを確認する。
上述したように、パーティションスケジューラ21が1Tickごとに動作し、TP1〜TP3のいずれをアクティブにするかを選択・決定する。さらに、パーティションスケジューラ21が、選択したTPに関するタスクスケジューラの動作を開始させる。そして、タスクスケジューラ23、25、27が動作を開始することでタスクのスケジューリングが行われ、プロセッサ10が、タスクスケジューラ23、25、27によりスケジューリングされた順序に従って、TP内でのタスクを実行していく。これによって、アクティブなTPに割り当てられているアプリケーションが、プロセッサ10で実行される。
続いて以下では、パーティションスケジューラ21によるパーティション・スケジューリングについて、図6を用いて説明する。図6は、発明の実施の形態1にかかるパーティションスケジューラ21の処理手順の具体例を示すフローチャートである。
なお、図6では、通常制御スケジューリングパターン(例えば図5A)または安全制御スケジューリングパターン(例えば図5B)に従って、スケジューリングを実行する場合を例に説明する。すなわち、TP2またはTP3に続く次のTPはTP1であり、かつ、TP2での異常がTP1で検知された場合に、TP1からの結果を受けて次に選択・決定されるTPはTP3である場合を例に説明する。
OS100は、1Tick経過するごとに(S11)、パーティションスケジューラ21を起動する(S12)。パーティションスケジューラ21は、スケジューリングパターンを参照して、TPの切り替えタイミングか否かを判定する(S13)。
TPの切り替えタイミングでないと判定した場合(S13でNo)、パーティションスケジューラ21は、同一のTPXについての動作を継続させる。このため、TPの切り替えタイミングとなるまでの間、S11〜S13、S15、S16の処理が繰り返される。ここで、変数XはTPの番号を示し、Xは1〜3のうちのいずれかの値となる。すなわち、通常制御スケジューリングパターンに従ってパーティション・スケジューリングを実施している場合は、安全制御用のTP3を除いた、TP2及びTP1のいずれかを動作させる。
一方、TPの切り替えタイミングであると判定した場合(S13でYes)、パーティションスケジューラ21は、TPの切り替えを実行する(S14)。このように、パーティションスケジューラ21は、次にアクティブにするTPを変更する(S13でYes)場合には、さらに、切り替え前のTPに属するタスクからの通知結果に応じて、切り替え前のTPが正常であったか否かを判断する。判断の結果、切り替え前のTPが異常であった場合、パーティションスケジューラ21は、次の1Tickの間にアクティブにするTPXを、安全制御スケジューリングパターンに従って、TP1及びTP3のいずれかから選択・決定する。判断の結果、正常であった場合、パーティションスケジューラ21は、次の1Tickの間にアクティブにするTPXを、通常制御スケジューリングパターンに従って、TP1及びTP2のいずれかを選択・決定する。
パーティションスケジューラ21は、現在アクティブになっているTPXのタスクスケジューラを動作させる(S15)。S15で動作を開始したTPXのタスクスケジューラは、TPX内のタスクを優先度に応じて実行する(S16)。
そして、1Tickが経過すると(S11)、パーティションスケジューラ21が、再びTPのスケジューリングを開始する(S12)。すなわち、パーティションスケジューラ21は、スケジューリングパターンに従って、次の1Tickの間にいずれのTPをアクティブにするかを選択・決定する。
図6で示した処理に関して、パーティション・スケジューリングの具体例を説明する。まず、図5Aに例示した通常制御スケジューリングパターンに従って、S15においてTP2がアクティブの状態からスケジューリングを開始した場合を説明する。この場合、S15ではTPX=TP2として開始し、続くS16、S11〜S13にかけてもTPX=TP2のままである。そして、S13でNoが続く限り、TPX=TP2の状態が維持される。S13でYesとなり、S14でTP2からTP1へと変更された場合、続くS15〜S16、S11〜S13にかけてTP1のままである。そして、S13でNoが続く限り、TPX=TP1の状態が維持される。TP1がアクティブのときに、S16で、TP2に関する実行状況(データ入出力等)が正常であると判定されていた場合には、次のS14では、TPX=TP2となる(つまり、TP2から開始する通常制御スケジューリングパターンが継続される。)。一方で、S16で、TP2に関する実行状況(データ入出力等)が異常であると判定されていた場合には、次のS14で、TPX=TP3となる(つまり、TP3から開始する安全制御スケジューリングパターンに切り替わる。)。
また、図5Bに例示した安全制御スケジューリングパターンに従って、S15においてTP3がアクティブの状態からスケジューリングを開始した場合を説明する。この場合、S15ではTPX=TP3として開始し、続くS16、S11〜S13にかけてもTPX=TP3のままである。そして、S13でNoが続く限り、TPX=TP3の状態が維持される。S13でYesとなり、S14でTP3からTP1へと変更された場合、続くS15〜S16、S11〜S13にかけてTP1のままである。そして、S13でNoが続く限り、TPX=TP1の状態が維持される。TP1がアクティブのときに、S16で、TP3に関する実行状況(データ入出力等)が正常であると判定されていた場合には、次のS14では、TPX=TP2とする(つまり、TP2から開始する通常制御スケジューリングパターンに切り替わる。)。一方で、S16で、TP3に関する実行状況(データ入出力等)に異常があると判定されていた場合には、次のS14で、TPX=TP3となる(つまり、TP3から開始する安全制御スケジューリングパターンが継続される。)。
なお、上述の例では、スケジューリングパターンとして、3つのTP(安全監視用のTP1、通常制御用のTP2、安全制御用のTP3)のみを組み合わせた場合を例に説明したが、TP2のような通常制御用パーティションや、TP3のような安全制御用パーティションについては、それぞれ複数個存在するものとしてもよい。例えば、2つの通常制御用のTP2及びTP4と、安全監視用のTP1と、2つの安全制御用のTP3及びTP5と、が存在し、これら5つのTP(TP1〜TP5)を組み合わせてスケジューリングパターンを構成してもよい。この場合、S14では、パーティションスケジューラ21が、TPXに関する実行状況(データ入出力等)の異常状態の種類を判定し、その異常種類に応じて、安全制御用のTP3またはTP5のいずれかを選択すればよい。また、S14では、通常制御用のTP2またはTP4のいずれかを選択すればよい。
上述したように、本実施の形態では、OS100は、安全監視用のTP1からの通知、または、各TPからの通知に応じて、次にアクティブとするパーティションを選択・決定するパーティションスケジューラ21を備えている。パーティションスケジューラ21は、各TPにおいて実行されるタスクとは独立して、所定のタイマー周期で動作する。
独立に動作するパーティションスケジューラ21が、全てのTPから結果通知を受ける構成とすることで、パーティションスケジューラ21は、全てのTPに関する状況を一元的に把握することができる。このため、例えば、安全監視用のTP1からの結果通知に応じて、パーティションスケジューラ21が次のパーティションを決定・選択しようとする場合には、パーティションスケジューラ21は、各TPの状況を考慮した上で、正常状態にあるTPのみから次のパーティションを決定・選択することもできる。これによれば、より正確なパーティション・スケジューリングを実現することができるという効果を奏する。
続いて、DMAコントローラチェックルーチン29の処理手順について、図7を用いて説明する。図7は、発明の実施の形態1にかかるDMAコントローラチェックルーチン29の処理手順の具体例を示すフローチャートである。OS100がDMAコントローラチェックルーチン29を実行することによって、以下に説明する処理手順が実行されることになる。したがって、厳密には、以下に説明する処理は、OS100を実行するプロセッサ10によって実行されることになる。
OS100は、DMAコントローラ14のイネーブルフラグがネゲートされているか否かを確認する(S20)。イネーブルフラグがネゲートされていない場合には、DMAコントローラ14が、意図せずに有効になってしまっており、正常でないということを確認することができる。
また、OS100は、DMAコントローラ14の転送カウンタが進んでいないか否かを確認する(S21)。具体的には、OS100は、前回のDMAコントローラチェックルーチン29の実行時に読み出した転送カウンタの値を実行用メモリ11に保存しておく。そして、OS100は、今回のDMAコントローラチェックルーチン29の実行時に読み出した転送カウンタの値と、実行用メモリ11に保存しておいた前回の転送カウンタの値とが同一か否かを判定する。そして、転送カウンタの値が同一でない場合には、DMAコントローラ14が、意図せずにDMA転送を行ってしまっているか、もしくは、意図せずに転送カウンタを更新してしまっており、正常でないということを確認することができる。
また、OS100は、転送先のデータに変更がないことを確認する(S22)。具体的には、前回のDMAコントローラチェックルーチン29の実行時に読み出した転送先のデータを実行用メモリ11に保存しておく。そして、今回のDMAコントローラチェックルーチン29において転送先アドレスレジスタに設定されている転送先からデータを読み出して、読み出した今回のデータと、実行用メモリ11に保存しておいた前回のデータとが同一か否かを判定する。そして、データが同一でない場合には、DMAコントローラ14が、意図せずにDMA転送を行ってしまっており、正常でないということを確認することができる。
そして、OS100は、S20〜21の結果、イネーブルフラグがネゲートされており、転送カウンタが進んでおらず、かつ、転送先のデータが変更されていない場合には、DMAコントローラ14が正常であると判定する。逆に、OS100は、イネーブルフラグがアサートされているか、転送カウンタが進んでいるか、又は、転送先のデータが変更されている場合には、DMAコントローラ14が正常でないと判定する。この場合、OS100は、緊急停止ルーチンを実行する。
ここで、緊急停止ルーチンは、制御対象の安全を確保するために、制御対象を緊急停止させる処理となる。例えば、図5Aに示す通常制御スケジューリングパターンに従って動作している場合、スケジューリングパターンを、図5Bに示す安全制御スケジューリングパターンに切り替えるようにしてもよい。また、次のパーティションスケジューラ21の動作タイミングで、TPを強制的にTP3に切り替えるようにしてもよい。そして、TP3へ切り替えた後は、例えば、安全制御タスク28によって制御対象を停止させる。また、OS100は、直接、制御対象を停止させるように制御するようにしてもよい。
以上に説明したDMAコントローラチェックルーチン29は、OS100に制御が移ったときにおける任意のタイミングで実行するようにしてよい。例えば、図8に示すように、TPにおいてそのTPに属する全てのタスクの実行が終了してOS100に制御が移ったときに、残りのTPの時間の間、処理を実行するようにしてもよい。このようにすることで、TPにおいて余った時間を有効利用することができる。
また、例えば、パーティションスケジューラ21にDMAコントローラチェックルーチン29を有するようにして、パーティションスケジューラ21の動作タイミングでDMAコントローラチェックルーチン29を実行するようにしてもよい。この場合に、さらに、パーティションスケジューラ21が、TPの切り替えを行うときに実行するようにしてもよい。
また、以上に説明したDMAコントローラチェックルーチン29では、イネーブルフラグがネゲートされているか、転送カウンタが進んでいないか、及び、転送先のデータが変更されていないかを判定することで、DMAコントローラ14が正常であるか否かを判定するようにしているが、これらのうち、少なくとも1つを判定することによって、DMAコントローラ14が正常であるか否かを判定するようにしてもよい。
以上に説明したように、本実施の形態1では、DMAコントローラを利用していない場合に、転送先のデータに変更がないか否かを判定するようにしている。これによれば、DMAコントローラ14が、意図せずにDMA転送を行ってしまっており、正常でない場合を検出することができる。すなわち、DMAコントローラが正常であるか否かを確認することが可能となる。さらに、この判定に加えて、上述したように、転送カウンタがカウントされていないか否か、及び、DMA転送が無効に設定されているか否かを判定するようにすることで、多面的にDMAコントローラ14の動作確認を行うことができる。これによれば、より正確に、DMAコントローラが正常であるか否かを確認することが可能となる。
<発明の実施の形態2>
続いて、本発明の実施の形態2にかかる安全制御装置について説明する。本実施の形態2にかかる安全制御装置の構成、パーティションスケジューラ21とアプリケーション101〜103の起動により生成されるタスクとの関係、パーティションスケジューラ21の処理手順については、実施の形態1と同様であるため、説明を省略する。以下、その他、実施の形態1と同様の内容については、適宜、その説明を省略する。
実施の形態1では、DMAコントローラ14を利用していない場合においてDMAコントローラ14が正常であるか否かを確認する場合について説明したが、本実施の形態2では、DMAコントローラ14を利用している場合においてDMAコントローラ14が正常であるか否かを確認する場合について説明する。DMAコントローラ14を利用しているか否かは、OS100が、DMAコントローラ14を利用している状態か否かを内部的に保持して認識するようにすればよい。なお、この場合、厳密には、OS100が保持する状態は、DMAコントローラ14を利用している状態か否かを示す情報として実行用メモリ11に格納されることになる。
具体的には、DMAコントローラチェックルーチン29は、DMAコントローラ14を利用している場合には、DMAコントローラ14が予定通りの場所にデータ転送を実施していることを確認する。DMAコントローラ14が利用されている場合には、イネーブルフラグがアサートされていること、並びに、データを転送したときに、転送元レジスタに設定されている転送元のデータが転送先レジスタに設定されている転送先に転送され、かつ転送カウンタが進むことが期待される。そのため、DMAコントローラチェックルーチン29は、イネーブルフラグがアサートされており、転送カウンタが進んでおり、かつ、転送元のデータが転送先に転送されているか否かを確認することによって、DMAコントローラ14が正常であるか否かを確認する。
続いて、DMAコントローラチェックルーチン29の処理手順について、図9を用いて説明する。図9は、発明の実施の形態1にかかるDMAコントローラチェックルーチン29の処理手順の具体例を示すフローチャートである。OS100がDMAコントローラチェックルーチン29を実行することによって、以下に説明する処理手順が実行されることになる。したがって、厳密には、以下に説明する処理は、OS100を実行するプロセッサ10によって実行されることになる。
OS100は、DMAコントローラ14のイネーブルフラグがアサートされているか否かを確認する(S30)。イネーブルフラグがアサートされていない場合には、DMAコントローラ14が、意図せずに無効になってしまっており、正常でないということを確認することができる。
OS100は、DMAコントローラ14によって、安全関連のタスク24、28で利用されていないアドレスを利用してデータを転送する(S31)。例えば、転送元のアドレスと転送先のアドレスのそれぞれには、予め定めておいた、安全関連のタスク24、28で利用されない固定アドレスを設定するようにする。また、転送するデータ(転送元アドレスに設定するデータ)の値は、例えば、転送する毎に所定の2つの値(例えば、0xAA、0xBB)で交互に変更するようにしてもよく、所定の値から転送する毎にカウントアップした値(例えば、0x01からカウントアップした値)としてもよく、所定の値から転送する毎にカウントダウンした値(例えば、0xffからカウンタダウンした値)としてもよい。
なお、ここでは、データ転送を行うアドレスを、安全関連のタスク24、28で利用されていないアドレス(RP1、RP3以外のアドレス)としたが、これに限られない。データ転送を行うアドレスを、安全関連のタスク24、28で利用されているアドレスとしてもよい。しかしながら、好ましくは、安全関連のタスク24、28で利用されていないアドレスとすることで、安全関連のタスク24、28が利用するデータを破壊してしまい、安全関連のタスク24、28が期待しない動作をしてしまうことを防止することができる。これによれば、安全制御装置1による制御対象の制御における安全性を、より向上することができる。なお、いずれかのタスク24、26、28で利用されているアドレス(RP1〜RP3のアドレス)を利用する場合には、DMAコントローラチェックルーチン29の開始前に、そこに格納されているデータを実行用メモリ11の他の領域にバックアップしておき、DMAコントローラチェックルーチン29の終了後に復元するようにすればよい。
また、転送元のアドレスと転送先のアドレスのそれぞれは、固定アドレスとしなくてもよい。例えば、転送元のアドレスが指定されるデバイスと、転送先のアドレスが指定されるデバイスは、各デバイス(実行用メモリ11、I/Oポート12、及び不揮発性メモリ13等)からとり得る組み合わせにおいて、転送する毎に順番に選択していくようにしてもよい。また、1つのデバイス内で指定されるアドレスについても、数パターンを用意するようにしてもよい。
そして、OS100は、DMAコントローラ14の転送カウンタが1つ進んでいるか否かを確認する(S32)。転送カウンタが転送する毎にカウントアップされるカウンタである場合は、1つカウントアップされていることを確認し、転送カウンタが転送する毎にカウントダウンされるカウンタである場合は、1つカウントダウンされていることを確認する。具体的には、OS100は、前回のDMAコントローラチェックルーチン29の実行時に読み出した転送カウンタの値を実行用メモリ11に保存しておく。そして、OS100は、今回のDMAコントローラチェックルーチン29の実行時に読み出した転送カウンタの値が、実行用メモリ11に保存しておいた前回の転送カウンタの値よりも1つ進んでいるか否かを判定する。転送カウンタの値が1つ進んでいない場合には、DMAコントローラ14が、期待通りにDMA転送を行っていないか、DMA転送を行ったが期待通りに転送カウンタの値を進めておらず、正常でないということを確認することができる。なお、前回の転送カウンタの値として、S31における転送を実行する前の転送カウンタの値を実行用メモリ11に保存しておくようにしてもよい。
OS100は、上述したテストパターンが異常なく終了したか否かを判定する(S33)。具体的には、OS100は、S31〜32の結果、イネーブルフラグがアサートされており、転送先にデータが正常に転送されており、かつ、転送カウンタが1つ進んでいる場合には、テストパターンが異常なく終了したと判定する(S33でYes)。なお、転送先にデータが正常に転送されているか否かは、転送元アドレスに設定したデータが、転送先アドレスから読み出したデータと一致するか否かによって判定する。すなわち、転送元アドレスに設定したデータが、転送先アドレスから読み出したデータと一致する場合に、転送先にデータが正常に転送されていることになる。
テストパターンが異常なく終了したと判定した場合、OS100は、DMAによるデータの転送を開始する(S34)。すなわち、OS100は、それ以降にデータを転送する場合に、DMAコントローラ14を利用してデータをDMA転送する。
逆に、OS100は、イネーブルフラグがアサートされていないか、転送先にデータが正常に転送されていないか、又は、転送カウンタが1つ進んでいない場合には、テストパターンが異常なく終了していないと判定する(S33でNo)。テストパターンが異常なく終了していないと判定した場合、OS100は、DMAによるデータの転送を停止する(S35)。すなわち、OS100は、それ以降にデータを転送する場合に、DMAコントローラ14を利用せずに、データを転送する。この場合には、プロセッサ10によって、転送元からデータを読み出して、読み出したデータを転送先に格納するようにすればよい。また、この場合には、OS100は、DMAコントローラ14を利用していない状態に遷移したと認識して、上述した実施の形態2にかかるDMAコントローラチェックルーチン29の処理手順に代えて、実施の形態1にかかるDMAコントローラチェックルーチン29の処理手順を実行するようにしてもよい。また、この場合には、実施の形態1で説明したように、緊急停止ルーチンを実行するようにしてもよい。
以上に説明したDMAコントローラチェックルーチン29では、イネーブルフラグがアサートされているか、転送先にデータが正常に転送されているか、及び、転送カウンタが1つ進んでいるかを判定することで、DMAコントローラ14が正常であるか否かを判定するようにしているが、これらのうち、少なくとも1つを判定することによって、DMAコントローラ14が正常であるか否かを判定するようにしてもよい。
以上に説明したように、本実施の形態2では、DMAコントローラを利用している場合に、DMAコントローラによってデータをDMA転送して、DMA転送において転送された転送元のデータと、DMA転送において転送された転送先のデータとが一致するか否かを判定するようにしている。これによれば、DMAコントローラ14が、意図した通りにDMA転送を行なうことができておらず、正常でない場合を検出することができる。すなわち、DMAコントローラが正常であるか否かを確認することが可能となる。この判定に加えて、上述したように、転送カウンタが進んでいるか否か、及び、DMA転送が有効に設定されているか否かを判定するようにすることで、多面的にDMAコントローラ14の動作確認を行うことができる。そのため、より正確に、DMAコントローラが正常であるか否かを確認することが可能となる。
<発明の実施の形態3>
続いて、本発明の実施の形態3にかかる安全制御装置について説明する。本実施の形態2にかかる安全制御装置の構成は、図1を参照して説明した実施の形態1にかかる安全制御装置の構成と同様であるため、その説明を省略する。以下では、パーティションスケジューラ30と、アプリケーション101〜103の起動により生成されるタスクと、の関係について、図10を用いて説明する。図10は、本実施の形態2にかかるパーティションスケジューラ30とタスク24、26、28との関係を示す図である。以下、実施の形態1と同様の内容については、適宜、その説明を省略する。
図10に示すように、本実施の形態3は、実施の形態1と比較して、パーティションスケジューラ21に代えてパーティションスケジューラ30を有し、DMAコントローラチェックルーチン29がパーティションスケジューラ30に含まれる点が異なる。すなわち、本実施の形態3にかかるパーティションスケジューラ30は、実施の形態2にかかるパーティションスケジューラ21と比較して、DMAコントローラチェックルーチン29を実行する点が異なる。したがって、本実施の形態3では、DMAコントローラ14を利用している場合においてDMAコントローラ14が正常であるか否かを確認する場合について説明する。
続いて、パーティションスケジューラ30によるパーティション・スケジューリングについて、図11を用いて説明する。図11は、発明の実施の形態3にかかるパーティションスケジューラ30の処理手順の具体例を示すフローチャートである。なお、図6を参照して説明した、実施の形態1にかかる処理手順と同様の処理手順については、同一の符号を付し、説明を省略する。本実施の形態3にかかる処理手順では、実施の形態1にかかる処理手順と比較して、S13でYesとなったときにS17を実行して、その次にS14を実行する点が異なる。
TPの切り替えタイミングであると判定した場合(S13でYes)、パーティションスケジューラ30は、切り替え先のTPで利用するデバイスについて、DMAコントローラチェックルーチン29を実行する(S17)。そして、パーティションスケジューラ30は、DMAコントローラチェックルーチン29を実行した後に、TPの切り替えを実行する(S14)。
DMAコントローラチェックルーチン29における処理手順については、OS100のパーティションスケジューラ30が実行すること以外は、実施の形態2において図9を参照して説明した処理と同様となるため、その説明を省略する。ここで、本実施の形態3では、上述したように切り替え先のTPで利用するデバイスについて、DMAコントローラチェックルーチン29を実行する。具体的には、パーティションスケジューラ30は、切り替え先のTPに属するタスクを実行することによって、データのDMA転送が行われるデバイス間で、上述した処理手順を実行する。例えば、TP(又はタスク)毎に、そのTPでDMA転送が行われるデバイスを示す情報を実行用メモリ11に格納しておき、パーティションスケジューラ30が、その情報を参照することで、切り替え先のTPで利用するデバイスを認識可能とすればよい。
例えば、切り替え先のTP2に属する通常制御タスク26が処理を実行することによって、実行用メモリ11からI/Oポート12に対してデータをDMA転送する場合、パーティションスケジューラ30は、DMAコントローラチェックルーチン29において、実行用メモリ11からI/Oポート12に対してデータを転送する(S31)。また、例えば、切り替え先のTP1に属する安全監視タスク24が処理を実行することによって、実行用メモリ11のあるアドレスから実行用メモリ11の他のアドレスに対してデータをDMA転送する場合、パーティションスケジューラ30は、DMAコントローラチェックルーチン29において、実行用メモリ11のあるアドレスから実行用メモリ11の他のアドレスに対してデータを転送する(S31)。このようにすることで、直近に動作するタスクによる使用状況で、DMAコントローラ14の動作確認を行うことができる。そのため、特定のデバイス間でのDMA転送でDMAコントローラ14に異常が発生してしまう場合であっても、そのDMA転送が行われる前に、より早く異常を検出することが可能となる。これによれば、信頼性をより向上することができる。
また、上述した説明では、DMAコントローラ14が正常でないと判定した場合に、DMAによるデータの転送を抑止する(S35)ようにしているが、実施の形態1において説明したように切り替え先のTPを判定結果に応じて選択することで実現するようにしてもよい。例えば、2つの通常制御用のTP2及びTP4を用意して、一方のTP2ではDMA転送を使用してデータを転送する通常制御タスクを動作させ、他方のTP4ではDMA転送を使用せずにデータを転送する通常制御タスクを動作させるようにする。また、スケジューリングパターンにおいて、通常制御タスクが属するTPがアクティブとなる期間を、TP2及びTP4のいずれかを選択的にアクティブにするように定義する。そして、パーティションスケジューラ30は、DMAコントローラチェックルーチン29の実行(S17)において、DMAコントローラ14が正常であると判定した場合には、次にアクティブにするTPとしてTP2を選択して、TP2への切り替えを行う(S14)。逆に、パーティションスケジューラ30は、DMAコントローラチェックルーチン29の実行(S17)において、DMAコントローラ14が正常でないと判定した場合には、次にアクティブにするTPとしてTP4を選択して、TP4への切り替えを行う(S14)。以上に説明したようにすることで、DMAによるデータの転送を抑止するようにしてもよい。なお、安全監視タスク及安全制御タスクについても同様であるため、説明を省略する。
以上に説明したように、本実施の形態3では、TPを切り替えるときに、切り替え後のTPにおけるタスクの実行に応じて行われるDMA転送で転送元となるデバイスから、そのDMA転送で転送先となるデバイスへ、データをDMA転送することによって、DMAコントローラが正常であるか否かを判定するようにしている。これによれば、より早く異常を検出することが可能となり、信頼性をより向上することができる。
<発明の他の実施の形態>
本実施の形態では、TPのそれぞれに属するタスクが、それぞれ安全監視タスク24、通常制御タスク26及び安全制御タスク28である場合について例示したが、タスクの種類は、これに限られない。安全監視タスク24、通常制御タスク26及び安全制御タスク28に限られず、その他の制御対象の制御に関する任意の処理を実行するタスクを有するようにしてもよい。
例えば、図12に示すようなタスク31〜33を有するようにしてもよい。なお、この場合、安全制御装置は、アプリケーション101〜103に代えて、タスク31〜33に対応するアプリケーションを有する必要があるが、その点は自明であるため図示及び説明を省略する。
監視制御タスク31は、制御対象を制御する。具体的には、監視制御タスク31は、通常制御タスク32及び安全制御タスク33からの指令値に基づいて、制御対象のアクチュエータを制御する。通常制御タスク32は、制御対象に通常の機能・動作を行わせるための制御計算を行う。具体的には、通常制御タスク32は、通常制御におけるアクチュエータの制御計算をして、アクチュエータの指令値を算出する。通常制御タスク32は、算出した指令値を監視制御タスク31に出力する。安全制御タスク33は、機能安全を確保するために定められた制御計算を行う。具体的には、安全制御タスク33は、安全制御におけるアクチュエータの制御計算をして、アクチュエータの指令値を算出する。安全制御タスク33は、算出した指令値を監視制御タスク31に出力する。監視制御タスク31は、通常制御タスク32又は安全制御タスク33から出力された指令値に基づいてアクチュエータを制御する。
さらに、監視制御タスク31は、制御対象のセンサから、センサ値を取得する。監視制御タスク31は、取得したセンサ値を通常制御タスク32及び安全制御タスク33に出力する。通常制御タスク32及び安全制御タスク33のそれぞれは、監視制御タスク31から出力されたセンサ値に基づいて、アクチュエータの制御計算を行うようにしてもよい。なお、各タスク31〜33間での指令値及びセンサ値の受け渡しは、タスク間通信で行ってもよく、実行用メモリ11に設けられた、各タスク31〜33で共有してアクセス可能な領域である共有メモリを介して行うようにしてもよい。
また、その他に、例えば、図13に示すようなタスク34〜36を有するようにしてもよい。なお、この場合、安全制御装置は、アプリケーション101〜103に代えて、タスク34〜36に対応するアプリケーションを有する必要があるが、その点は自明であるため図示及び説明を省略する。
監視タスク34は、制御対象のセンサから、センサ値を取得する。このセンサには、上述したように制御対象の姿勢を検知するための姿勢センサを含む。ここで説明する例では、制御対象として、人が搭乗することができる走行装置に適用した場合について説明する。この場合、監視タスク34は、搭乗者による重心移動を姿勢センサにより検知することができる。監視タスク34は、取得したセンサ値をHMI(Human Machine Interface)タスク36に出力する。
HMIタスク36は、監視タスク34から出力されたセンサ値に基づいて、制御対象のアクチュエータの制御計算をして、アクチュエータの指令値を算出する。HMIタスク36は、算出した指令値を制御タスク35に出力する。制御タスク35は、HMIタスク36から出力された指令値に基づいて、アクチュエータを制御する。なお、各タスク34〜36間での指令値及びセンサ値の受け渡しは、タスク間通信で行ってもよく、実行用メモリ11に設けられた、各タスク34〜36で共有してアクセス可能な領域である共有メモリを介して行うようにしてもよい。
これによれば、搭乗者の操作に応じて制御対象が制御されるというHMIを実現することができる。例えば、搭乗者が重心を前後に移動させることで制御対象が前後後退を行い、搭乗者が重心を左右に移動させることで制御対象が左右旋回を行うといった制御が可能となる。これについては、実施の形態1〜3及び図12によって説明した例についても同様のことが言える。具体的には、安全監視タスク24又は監視制御タスク31が取得したセンサ値に応じて、通常制御タスク26及び安全制御タスク28、もしくは、通常制御タスク32及び安全制御タスク33が同様の制御をすることで、HMIを実現することが可能である。また、本実施の形態1〜3によれば、DMAコントローラが正常であるか否かを確認することが可能となるため、より信頼性を向上した制御対象の制御を行うことが可能となる。そのため、以上に説明したように、人が搭乗することができる走行装置を制御対象として適用することで、より安全性を向上した制御対象の制御を行うことが可能となる。
なお、走行装置として、例えば、立ち乗り方の同軸二輪車とすることもできる。その場合は、アクチュエータを制御することで、車輪が回転動作をすることになる。また、安全制御装置自体も制御対象に搭載される構成としてもよい。
さらに、本発明は上述した実施の形態のみに限定されるものではなく、既に述べた本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
本実施の形態では、OSが、TP1〜TP3を有する場合について例示したが、TPの種類及び数は、これに限られない。スケジューリングパターンについても、本実施の形態に例示したものに限られない。
本実施の形態では、タスクの数が3つである場合について例示したが、タスクの数は、これに限られない。例えば、本実施の形態では、TPがTP1〜TP3の3つである場合について例示したが、TPの数を3つ以外の数とし、それぞれのTPが1つ以上の任意の数のタスクを有するようにしてもよい。
本実施の形態では、タイム・パーティショニングを採用したマルチタスクOSについて例示したが、これに限られない。タイム・パーティショニングを採用していないマルチタスクOSに適用することもできる。
1 安全制御装置
10 プロセッサ
11 実行用メモリ
12 I/Oポート
13 不揮発性メモリ
14、16 MMU
15 リセット回路
17 ROM
20 マイクロコントローラ
21、30 パーティションスケジューラ
22 スケジューリングテーブル
23、25、27 タスクスケジューラ
24 安全監視タスク
26、32 通常制御タスク
28、33 安全制御タスク
29 DMAコントローラチェックルーチン
31 監視制御タスク
34 監視タスク
35 制御タスク
36 HMIタスク
100 オペレーティングシステム
101 安全監視アプリケーション
102 通常制御アプリケーション
103 安全制御アプリケーション

Claims (11)

  1. 少なくとも1つのデバイスと、
    前記少なくとも1つのデバイスにおける転送元から、前記少なくとも1つのデバイスにおける転送先に対してデータを転送するDMA(Direct Memory Access)コントローラと、
    タスクを実行するとともに、当該タスクの実行に応じて、前記DMAコントローラによってデータをDMA転送するタスク実行部と、を備え、
    前記タスク実行部は、前記DMAコントローラを利用していない場合に、前記転送先のデータに変更がないか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定する、
    情報処理装置。
  2. 前記タスク実行部は、前記DMAコントローラを利用している場合に、前記DMAコントローラによってデータをDMA転送して、当該DMA転送において転送された転送元のデータと、当該DMA転送において転送された転送先のデータとが一致するか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定する、
    請求項1に記載の情報処理装置。
  3. 前記タスク実行部は、それぞれで複数のタスクのうち少なくとも1つが実行される複数のタイムパーティションのスケジューリング内容を示すスケジューリング情報に従って、前記複数のタスクを実行し、
    前記タスク実行部は、前記タイムパーティションを切り替えるときに、切り替え後のタイムパーティションにおけるタスクの実行に応じて行われるDMA転送で転送元となるデバイスから、当該DMA転送で転送先となるデバイスへ、前記データをDMA転送することによって、前記DMAコントローラが正常であるか否かを判定する、
    請求項2に記載の情報処理装置。
  4. 前記タスク実行部は、所定の処理を実行するとともに、当該所定の処理の実行に応じて前記DMAコントローラによってデータをDMA転送する第1のタスクが実行される第1のタイムパーティションを含む複数のタイムパーティションのスケジューリング内容を示すスケジューリング情報に従って、前記第1のタスクを実行し、
    前記タスク実行部は、前記DMAコントローラが正常でないと判定した場合、前記第1のタイムパーティションに代えて、前記所定の処理を実行するとともに、当該所定の処理の実行に応じて前記DMAコントローラによらず、前記データを転送する第2のタスクが実行される第2のタイムパーティションを実行する、
    請求項2に記載の情報処理装置。
  5. 前記DMAコントローラは、前記DMA転送に応じてカウントされる転送カウンタを有し、
    前記タスク実行部は、さらに、前記DMAコントローラを利用している場合に、前記DMA転送によって前記転送カウンタがカウントされているか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定する、
    請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. 前記DMAコントローラは、当該DMAコントローラによるDMA転送の有効・無効が設定されるイネーブルレジスタを有し、
    前記タスク実行部は、さらに、前記DMAコントローラを利用している場合に、前記イネーブルレジスタにおいて前記DMA転送が有効に設定されているか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定する、
    請求項1乃至5のいずれか1項に記載の情報処理装置。
  7. 前記DMAコントローラは、前記DMA転送に応じてカウントされる転送カウンタを有し、
    前記タスク実行部は、さらに、前記DMAコントローラを利用していない場合に、前記転送カウンタがカウントされていないか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定する、
    請求項1乃至6のいずれか1項に記載の情報処理装置。
  8. 前記DMAコントローラは、当該DMAコントローラによるDMA転送の有効・無効が設定されるイネーブルレジスタを有し、
    前記タスク実行部は、さらに、前記DMAコントローラを利用していない場合に、前記イネーブルレジスタにおいて前記DMA転送が無効に設定されているか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定する、
    請求項1乃至7のいずれか1項に記載の情報処理装置。
  9. 前記情報処理装置は、制御対象を制御する制御装置であり、
    前記タスクは、前記制御対象の制御に関する処理を実行する、
    請求項1乃至8のいずれか1項に記載の情報処理装置。
  10. 前記タスク実行部は、
    前記タスクの実行、前記DMAコントローラによるDMA転送、及び、前記DMAコントローラが正常であるか否かの判定を実行するシステムプログラムと、
    前記システムプログラムを実行するプロセッサと、を含む、
    請求項1乃至9のいずれか1項に記載の情報処理装置。
  11. 少なくとも1つのデバイスにおける転送元から、前記少なくとも1つのデバイスにおける転送先に対してデータを転送するDMA(Direct Memory Access)コントローラの動作確認方法であって、
    前記DMAコントローラを利用していない場合に、前記転送先のデータに変更がないか否かを判定することによって、前記DMAコントローラが正常であるか否かを判定するステップを備えた
    DMAコントローラの動作確認方法。
JP2015137471A 2015-07-09 2015-07-09 情報処理装置およびdmaコントローラの動作確認方法 Expired - Fee Related JP6004057B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015137471A JP6004057B2 (ja) 2015-07-09 2015-07-09 情報処理装置およびdmaコントローラの動作確認方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015137471A JP6004057B2 (ja) 2015-07-09 2015-07-09 情報処理装置およびdmaコントローラの動作確認方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2012006967A Division JP5803689B2 (ja) 2012-01-17 2012-01-17 情報処理装置およびdmaコントローラの動作確認方法

Publications (2)

Publication Number Publication Date
JP2015212969A JP2015212969A (ja) 2015-11-26
JP6004057B2 true JP6004057B2 (ja) 2016-10-05

Family

ID=54697152

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015137471A Expired - Fee Related JP6004057B2 (ja) 2015-07-09 2015-07-09 情報処理装置およびdmaコントローラの動作確認方法

Country Status (1)

Country Link
JP (1) JP6004057B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242576A (zh) * 2017-02-13 2021-08-10 日本电信电话株式会社 带宽分配装置和带宽分配方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6159558A (ja) * 1984-08-30 1986-03-27 Fujitsu Ltd Dma診断方式
JPH05108546A (ja) * 1991-10-11 1993-04-30 Ricoh Co Ltd プリンタ制御装置
JPH0721093A (ja) * 1993-06-30 1995-01-24 Toshiba Corp ダイレクトメモリアクセス装置の異常監視方式
JPH11328046A (ja) * 1998-05-11 1999-11-30 Fujitsu Ltd 情報処理装置及び記録媒体
JP2005056067A (ja) * 2003-08-01 2005-03-03 Matsushita Electric Ind Co Ltd Dma転送制御装置

Also Published As

Publication number Publication date
JP2015212969A (ja) 2015-11-26

Similar Documents

Publication Publication Date Title
JP5446447B2 (ja) 安全制御装置および安全制御方法
JP5321686B2 (ja) 安全制御装置および安全制御方法
US8706265B2 (en) Safety controller and safety control method
US8756606B2 (en) Safety controller and safety control method in which time partitions are scheduled according to a scheduling pattern
EP2677377B1 (en) Safety control device and safety control method
JP5240402B2 (ja) 安全制御装置および安全制御方法
JP5621857B2 (ja) 安全制御装置および安全制御方法
JP5834935B2 (ja) 安全制御装置及び安全制御方法
JP5664530B2 (ja) 制御装置およびメモリ保護装置の動作確認方法
JP5633501B2 (ja) 制御装置および制御方法
JP6004057B2 (ja) 情報処理装置およびdmaコントローラの動作確認方法
JP2014211689A (ja) 安全制御装置および安全制御方法
JP5845902B2 (ja) 情報処理装置及びメモリアクセス管理方法
JP5906584B2 (ja) 制御装置及び制御方法
JP5803689B2 (ja) 情報処理装置およびdmaコントローラの動作確認方法
JP2013140476A (ja) 情報処理装置、アクセス権限付与方法、プログラム生成装置、及びその方法
JP5811865B2 (ja) 制御装置及びプログラム実行方法
JP5853716B2 (ja) 情報処理装置およびタスク制御方法
JP5699910B2 (ja) 制御装置および制御方法
JP5849731B2 (ja) 情報処理装置及びデータ格納方法
JP5712907B2 (ja) 制御装置、情報処理装置およびメモリ管理装置の動作確認方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160809

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160822

R151 Written notification of patent or utility model registration

Ref document number: 6004057

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees