JP6090094B2 - 情報処理装置 - Google Patents
情報処理装置 Download PDFInfo
- Publication number
- JP6090094B2 JP6090094B2 JP2013207486A JP2013207486A JP6090094B2 JP 6090094 B2 JP6090094 B2 JP 6090094B2 JP 2013207486 A JP2013207486 A JP 2013207486A JP 2013207486 A JP2013207486 A JP 2013207486A JP 6090094 B2 JP6090094 B2 JP 6090094B2
- Authority
- JP
- Japan
- Prior art keywords
- cpu
- program
- failure detection
- failure
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、CPU(Central Processing Unit)などの演算処理手段の故障を検出する機能を有する情報処理装置に関する。
安全性が重要な自動車などに搭載される情報処理装置には、高い信頼性が求められる。この情報処理装置の信頼性を高くする手法として、CPUなどの演算処理手段の故障を検出する手法が存在する。例えば、このCPUの故障検出機能として主流になりつつあるロックステップデュアルコア(LSDC:Lock Step Dual Core)方式では、2つのCPUに同じ演算を実行させ、その出力結果を比較することでCPUの故障を検出する。例えば、特許文献1および特許文献2を参照。
自動車などに搭載される情報処理装置では、CPUが実行する全てのプログラムを、車両の安全に関わるプログラムと、車両の安全に関わらないプログラムとに、大別できる。ここで、車両の安全に関わらないプログラムであれば、たとえCPUが演算間違いを起こしたとしても運転上の安全性に問題はない。
ところが、現状の情報処理装置では、車両の安全に関わるプログラムと車両の安全に関わらないプログラムとを明確に判別していない。このため、実際には、車両の安全に関わらないプログラムの実行中に発生した故障のようにそのまま処理を継続しても問題ない故障の場合でも、故障が検出されてしまうと何かしらのフェールオペレーション(システムリセットやシステムダウンなど)を実施して車両機能の縮退を行ってしまうことがある。しかし、この場合における車両機能の縮退は、本来不必要であり避けたいものである。
また、車両の安全に関わらないプログラムの実行中に発生した故障は、そのプログラム実行中に顕在化しなくても、その後の安全性に関わるプログラムの実行中に顕在化して検出できれば、運転上の安全性に問題はない。
また、車両の安全に関わらないプログラムの実行中に発生した故障は、そのプログラム実行中に顕在化しなくても、その後の安全性に関わるプログラムの実行中に顕在化して検出できれば、運転上の安全性に問題はない。
上記特許文献1には、ソフトウエアによって故障検出に対する通知不可フラグを切り替えることによって、故障検出機能のON/OFFを制御する情報処理装置が開示されている。
しかしながら、この特許文献1に記載されたソフトウエアによって故障検出機能をON/OFFする構成の場合、そのソフトウエアを実行するCPU自体に故障が発生した場合、故障検出機能のON/OFFが不正に切り替えられる危険性があるという問題が生じる。また、故障検出機能のON/OFFに処理負荷のオーバーヘッドが発生するという問題もある。
しかしながら、この特許文献1に記載されたソフトウエアによって故障検出機能をON/OFFする構成の場合、そのソフトウエアを実行するCPU自体に故障が発生した場合、故障検出機能のON/OFFが不正に切り替えられる危険性があるという問題が生じる。また、故障検出機能のON/OFFに処理負荷のオーバーヘッドが発生するという問題もある。
また、上記特許文献2には、故障検出機能のON/OFFを行う切り替え手段が、故障検出対象のCPUとは異なる演算手段で動作する情報処理装置が開示されている。
しかしながら、この特許文献2に記載されたCPUとは異なる演算手段で故障検出を動作させる構成の場合、故障検出が不必要なプログラムに対しても故障検出処理を行うため、不必要な車両機能の縮退が生じて情報処理装置の処理継続性が低下してしまうという問題がある。
しかしながら、この特許文献2に記載されたCPUとは異なる演算手段で故障検出を動作させる構成の場合、故障検出が不必要なプログラムに対しても故障検出処理を行うため、不必要な車両機能の縮退が生じて情報処理装置の処理継続性が低下してしまうという問題がある。
本発明は、上記の課題を鑑みてなされたものであり、処理継続性の向上、故障検出結果出力処理のリアルタイム性確保、故障判定信号の不正出力防止、小面積低コスト化を実現させた、情報処理装置を提供することを目的とする。
上記の課題を解決するための本発明の一態様は、フェイルセーフ機能を有する情報処理装置であって、故障検出機能を有する演算処理ユニットと、故障検出の対象となるプログラムまたは故障検出の対象外となるプログラムのアドレス範囲を記憶するアドレス記憶部と、演算処理ユニットが実行するプログラムを監視して、アドレス記憶部に記憶されたアドレス範囲に基づいて、その実行するプログラムが故障検出の対象外のプログラムであるか否かを判断する監視判断部と、監視判断部が、実行するプログラムが故障検出の対象外となるプログラムでないと判断した場合は演算処理ユニットが検出した結果を出力し、実行するプログラムが故障検出の対象外となるプログラムであると判断した場合は演算処理ユニットの検出結果に関わらず故障が無いとする結果を出力する出力制御部とを備える、ことを特徴とする情報処理装置である。
上記本発明によれば、故障の監視が必要なプログラムを実行中である場合にだけ、故障検出処理結果を出力する。よって、安全性に影響しないプログラムなどに対して得られたCPU故障検出の結果を過剰に反映させなくてすみ、情報処理装置の処理継続性を向上させることができる。
本発明は、フェイルセーフ機能を有する情報処理装置であって、CPUなどの演算処理手段(以下、単に「CPU」と記す)の故障検出機能を有する構成を含む様々な情報処理装置に適用可能である。
以下の実施形態では、ロックステップデュアルコア(LSDC)方式による常時実施のCPU故障検出機能を有する情報処理装置を一例に挙げて、本発明を説明する。しかし、本発明は、この実施形態に限定されるものではなく、他の常時実施されるCPUの故障検出機能を有する装置の全般に適用することができる。
以下の実施形態では、ロックステップデュアルコア(LSDC)方式による常時実施のCPU故障検出機能を有する情報処理装置を一例に挙げて、本発明を説明する。しかし、本発明は、この実施形態に限定されるものではなく、他の常時実施されるCPUの故障検出機能を有する装置の全般に適用することができる。
図1は、本発明の一実施形態に係るLSDC方式による常時実施のCPU故障検出機能を有する情報処理装置1の構成を説明する図である。図1に例示する本実施形態の情報処理装置1は、LSDC−CPU11と、アドレス記憶部12と、監視判断部13と、出力制御部14とを備えている。
まず、本実施形態の情報処理装置1の各構成を説明する。
まず、本実施形態の情報処理装置1の各構成を説明する。
LSDC−CPU11は、ロックステップデュアルコア(LSDC)方式によって演算処理手段の故障を検出する演算処理ユニットであって、マスタCPU11aと、チェッカCPU11bと、比較器11cとを含んでいる。
マスタCPU11aは、情報処理装置1におけるプログラム処理を実行するメイン演算処理手段である。チェッカCPU11bは、演算処理手段の故障検出のために冗長的に設けられたサブ演算処理手段である。チェッカCPU11bは、マスタCPU11aと同等の性能を発揮できる機能を持っていればよく、マスタCPU11aと全く同じCPUであっても、異なるCPUであってもよい。これらのマスタCPU11a、チェッカCPU11b、および比較器11cは、プログラムやデータやコマンドなど(以下、まとめてプログラムなどと記す)の送受信が行われるデータバス21にそれぞれ接続されている。
マスタCPU11aは、情報処理装置1におけるプログラム処理を実行するメイン演算処理手段である。チェッカCPU11bは、演算処理手段の故障検出のために冗長的に設けられたサブ演算処理手段である。チェッカCPU11bは、マスタCPU11aと同等の性能を発揮できる機能を持っていればよく、マスタCPU11aと全く同じCPUであっても、異なるCPUであってもよい。これらのマスタCPU11a、チェッカCPU11b、および比較器11cは、プログラムやデータやコマンドなど(以下、まとめてプログラムなどと記す)の送受信が行われるデータバス21にそれぞれ接続されている。
このLSDC−CPU11では、CPUの故障検出が次のように常時行われる。
マスタCPU11aおよびチェッカCPU11bには、データバス21を介して同じプログラムなどが入力される。マスタCPU11aは、入力されたプログラムなどに従って所定の演算処理を実行し、得られた演算結果をデータバス21に出力すると共に比較器11cにも出力する。チェッカCPU11bは、入力されたプログラムなどに従ってマスタCPU11aと同じ演算処理を同時に実行し、得られた演算結果を比較器11cに出力する。
マスタCPU11aおよびチェッカCPU11bには、データバス21を介して同じプログラムなどが入力される。マスタCPU11aは、入力されたプログラムなどに従って所定の演算処理を実行し、得られた演算結果をデータバス21に出力すると共に比較器11cにも出力する。チェッカCPU11bは、入力されたプログラムなどに従ってマスタCPU11aと同じ演算処理を同時に実行し、得られた演算結果を比較器11cに出力する。
比較器11cは、マスタCPU11aが出力する演算結果と、チェッカCPU11bが出力する演算結果とを入力し、双方の演算結果を比較する。そして、比較器11cは、双方の演算結果を比較した結果、双方の演算結果が一致すればマスタCPU11aおよびチェッカCPU11bの両者に故障が無い(すなわち、正常状態)と判断し、双方の演算結果が一致しなければマスタCPU11aおよびチェッカCPU11bのいずれかに故障がある(すなわち、不良状態)と判断する。
この判断の理由は、2つの演算処理手段が共に故障していなければ、同一のプログラムなどを入力して同一の演算処理を実行することによってそれぞれ得られる2つの結果は、自ずと同じになるという理由によるものである。従って、2つの結果が異なるということによって、2つある演算処理手段の少なくともいずれか1つに故障が有ると判断できるのである。
この判断の理由は、2つの演算処理手段が共に故障していなければ、同一のプログラムなどを入力して同一の演算処理を実行することによってそれぞれ得られる2つの結果は、自ずと同じになるという理由によるものである。従って、2つの結果が異なるということによって、2つある演算処理手段の少なくともいずれか1つに故障が有ると判断できるのである。
そして、比較器11cは、マスタCPU11aおよびチェッカCPU11bの両者に故障が無いと判断した場合には、「OK」を示すCPU故障判定信号を出力制御部14へ出力する。一方、比較器11cは、マスタCPU11aおよびチェッカCPU11bのいずれかに故障が有ると判断した場合には、「NG」を示すCPU故障判定信号を出力制御部14へ出力する。
アドレス記憶部12には、情報処理装置1において扱われる全てのプログラムのうち、CPUの故障検出処理を行わないCPU故障検出処理対象外のプログラムのアドレスが記憶されている。このCPU故障検出処理の対象外となるプログラムとは、例えば安全性に影響しないプログラムなどの、故障検出が不必要なプログラムをいう。
このアドレス記憶部12に記憶されている具体的な一例としては、CPU故障検出処理対象外であるプログラムの先頭アドレス(start_add)と終了アドレス(end_add)とのアドレス対が挙げられる。図1に示した例では、第1プログラムの先頭アドレス(start_add1)および終了アドレス(end_add1)のアドレス対が、第2プログラムの先頭アドレス(start_add2)および終了アドレス(end_add2)のアドレス対が、第3プログラムの先頭アドレス(start_add3)および終了アドレス(end_add3)のアドレス対が、それぞれ記憶されている。
このアドレス記憶部12に記憶されている具体的な一例としては、CPU故障検出処理対象外であるプログラムの先頭アドレス(start_add)と終了アドレス(end_add)とのアドレス対が挙げられる。図1に示した例では、第1プログラムの先頭アドレス(start_add1)および終了アドレス(end_add1)のアドレス対が、第2プログラムの先頭アドレス(start_add2)および終了アドレス(end_add2)のアドレス対が、第3プログラムの先頭アドレス(start_add3)および終了アドレス(end_add3)のアドレス対が、それぞれ記憶されている。
なお、このアドレス記憶部12には、情報処理装置1において扱われる全てのプログラムのうち、CPUの故障検出処理を行うCPU故障検出処理対象のプログラム(例えば、安全性に影響するプログラムなど)のアドレスが記憶されていてもよい。すなわち、このアドレス記憶部12には、LSDC−CPU11が実行するプログラムがCPU故障検出処理の実施対象か否かを判断できる内容が記憶されていればよい。
また、CPU故障検出処理対象またはCPU故障検出処理対象外のどちらの範囲をアドレス記憶部12に記憶するかを、任意に切り替えられるようにしてもよい。このようにすれば、アドレス記憶部12に記憶するアドレス対が少なくなる方の範囲を選択することができる。
また、CPU故障検出処理対象またはCPU故障検出処理対象外のどちらの範囲をアドレス記憶部12に記憶するかを、任意に切り替えられるようにしてもよい。このようにすれば、アドレス記憶部12に記憶するアドレス対が少なくなる方の範囲を選択することができる。
監視判断部13は、LSDC−CPU11が実行するプログラムを常時監視している。この監視は、例えば、マスタCPU11aが備えるプログラムカウンタPCの値を監視判断部13がモニタリングすることで実行される。監視判断部13は、マスタCPU11aが備えるプログラムカウンタPCの値と、アドレス記憶部12に記憶されているCPU故障検出処理対象外プログラム(または故障検出処理対象プログラム)のアドレスとに基づいて、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であるか否かを判断する。
そして、監視判断部13は、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であると判断した場合、「ON」を示すCPU監視信号を出力制御部14へ出力する。一方、監視判断部13は、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であると判断した場合、「OFF」を示すCPU監視信号を出力制御部14へ出力する。
そして、監視判断部13は、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であると判断した場合、「ON」を示すCPU監視信号を出力制御部14へ出力する。一方、監視判断部13は、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であると判断した場合、「OFF」を示すCPU監視信号を出力制御部14へ出力する。
出力制御部14は、LSDC−CPU11の比較器11cが出力するCPU故障判定信号と、監視判断部13が出力するCPU監視信号とを入力する。
そして、出力制御部14は、CPU監視信号が「ON」の場合には、「OK」を示すCPU故障判定信号は「OK」を示すCPU故障外部通知信号として、「NG」を示すCPU故障判定信号は「NG」を示すCPU故障外部通知信号として、後段に存在する構成へ出力する(CPU故障検出機能の動作)。
一方、出力制御部14は、CPU監視信号が「OFF」の場合には、CPU故障判定信号が「OK」か「NG」かにかかわらず、後段に存在する構成へのCPU故障外部通知信号の出力を「OK」のまま固定する。つまり、CPU監視信号が「OFF」の場合には、CPU故障判定信号がマスクされて外部に通知されないことになる(CPU故障検出機能の非動作)。
そして、出力制御部14は、CPU監視信号が「ON」の場合には、「OK」を示すCPU故障判定信号は「OK」を示すCPU故障外部通知信号として、「NG」を示すCPU故障判定信号は「NG」を示すCPU故障外部通知信号として、後段に存在する構成へ出力する(CPU故障検出機能の動作)。
一方、出力制御部14は、CPU監視信号が「OFF」の場合には、CPU故障判定信号が「OK」か「NG」かにかかわらず、後段に存在する構成へのCPU故障外部通知信号の出力を「OK」のまま固定する。つまり、CPU監視信号が「OFF」の場合には、CPU故障判定信号がマスクされて外部に通知されないことになる(CPU故障検出機能の非動作)。
上述した比較器11c、監視判断部13、および出力制御部14の具体的な構成例としては、次のような構成が考えられる。
比較器11cは、マスタCPU11aおよびチェッカCPU11bの両者に故障が無いと判断した場合に出力する「OK」を示すCPU故障判定信号として、「1」の論理値を出力制御部14へ出力する。一方、比較器11cは、マスタCPU11aおよびチェッカCPU11bのいずれかに故障が有ると判断した場合に出力する「NG」を示すCPU故障判定信号として、「0」の論理値を出力制御部14へ出力する。
監視判断部13は、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中であると判断した場合に出力する「ON」を示すCPU監視信号として、「1」の論理値を出力制御部14へ出力する。一方、監視判断部13は、マスタCPU11aがCPU故障検出処理対象外のプログラムを実行中であると判断した場合に出力する「OFF」を示すCPU監視信号として、「0」の論理値を出力制御部14へ出力する。
出力制御部14には、図1に示すように2入力の論理積(AND)素子を用い、一方の入力端子にLSDC−CPU11の比較器11cが出力するCPU故障判定信号を、他方の入力端子に監視判断部13が出力するCPU監視信号をそれぞれ入力する。
比較器11cは、マスタCPU11aおよびチェッカCPU11bの両者に故障が無いと判断した場合に出力する「OK」を示すCPU故障判定信号として、「1」の論理値を出力制御部14へ出力する。一方、比較器11cは、マスタCPU11aおよびチェッカCPU11bのいずれかに故障が有ると判断した場合に出力する「NG」を示すCPU故障判定信号として、「0」の論理値を出力制御部14へ出力する。
監視判断部13は、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中であると判断した場合に出力する「ON」を示すCPU監視信号として、「1」の論理値を出力制御部14へ出力する。一方、監視判断部13は、マスタCPU11aがCPU故障検出処理対象外のプログラムを実行中であると判断した場合に出力する「OFF」を示すCPU監視信号として、「0」の論理値を出力制御部14へ出力する。
出力制御部14には、図1に示すように2入力の論理積(AND)素子を用い、一方の入力端子にLSDC−CPU11の比較器11cが出力するCPU故障判定信号を、他方の入力端子に監視判断部13が出力するCPU監視信号をそれぞれ入力する。
図2に、上述した構成例において、各構成がCPU故障検出処理において入出力する信号のタイミングチャートを示す。
監視判断部13は、マスタCPU11aが備えるプログラムカウンタPCの値およびアドレス記憶部12に記憶されているアドレス対に基づいて、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合には、論理値「1」のCPU監視信号を出力し(監視区間)、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中でない場合には、論理値「0」のCPU監視信号を出力する(非監視区間)。論理値「1」のCPU監視信号が出力されている監視区間では、CPUの故障が検出されれば(CPU故障判定信号「NG」)「NG」のCPU故障外部通知信号が出力され、CPUの故障が検出されなければ(CPU故障判定信号「OK」)「OK」のCPU故障外部通知信号が出力される。一方、論理値「0」のCPU監視信号が出力されている非監視区間では、CPUの故障が検出されても(CPU故障判定信号「NG」)「NG」のCPU故障外部通知信号が出力されず、「OK」のCPU故障外部通知信号のままである。
監視判断部13は、マスタCPU11aが備えるプログラムカウンタPCの値およびアドレス記憶部12に記憶されているアドレス対に基づいて、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合には、論理値「1」のCPU監視信号を出力し(監視区間)、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中でない場合には、論理値「0」のCPU監視信号を出力する(非監視区間)。論理値「1」のCPU監視信号が出力されている監視区間では、CPUの故障が検出されれば(CPU故障判定信号「NG」)「NG」のCPU故障外部通知信号が出力され、CPUの故障が検出されなければ(CPU故障判定信号「OK」)「OK」のCPU故障外部通知信号が出力される。一方、論理値「0」のCPU監視信号が出力されている非監視区間では、CPUの故障が検出されても(CPU故障判定信号「NG」)「NG」のCPU故障外部通知信号が出力されず、「OK」のCPU故障外部通知信号のままである。
これらのCPU監視信号、CPU故障判定信号、およびCPU故障外部通知信号は、各ハードウエアにおいてCPUのクロック信号に同期して生成される。よって、クロック信号のサイクル毎にプログラムカウンタPCの値がモニタリングされてCPU監視信号が更新されるため、CPU故障検出機能の動作/非動作をリアルタイムに切り替えることができる。
なお、上述した構成例はあくまで一例であって、各々の論理値を反転したり、出力制御部14に否定論理積(NAND)素子を用いたりしても、もちろん構わない。
なお、上述した構成例はあくまで一例であって、各々の論理値を反転したり、出力制御部14に否定論理積(NAND)素子を用いたりしても、もちろん構わない。
このような構成により、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合にだけ、LSDC−CPU11が実行するCPU故障検出処理の結果を後段に存在する構成へ出力することができる。
次に、上記構成による情報処理装置1が実行するCPU故障検出処理の手順を説明する。図3は、本発明の一実施形態に係る情報処理装置1の監視判断部13によって行われるCPU故障検出処理の手順を示すフローチャートである。
図3において、監視判断部13は、マスタCPU11aおよびチェッカCPU11bによって現在演算処理が実行されているプログラムを、マスタCPU11aが備えるプログラムカウンタPCの値をモニタリングすることで監視する(ステップS31)。次に、監視判断部13は、アドレス記憶部12に記憶されているCPU故障検出処理対象外プログラムのアドレス範囲を参照し、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であるか否かを判断する(ステップS32)。
マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象のプログラムを実行中であると判断した場合、監視判断部13は、「ON」を示すCPU監視信号を出力制御部14へ出力し、CPU故障検出機能を作動させる(ステップS33)。すなわち、LSDC−CPU11の比較器11cが出力するCPU故障判定の結果を外部に通知することを許可する。
一方、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であると判断した場合、監視判断部13は、「OFF」を示すCPU監視信号を出力制御部14へ出力し、CPU故障検出機能を非作動にする(ステップS34)。すなわち、LSDC−CPU11の比較器11cが出力するCPU故障判定の結果を外部に通知することを許可しない。
上記ステップS31〜S34の処理は、繰り返して行われる。
一方、マスタCPU11aおよびチェッカCPU11bがCPU故障検出処理対象外のプログラムを実行中であると判断した場合、監視判断部13は、「OFF」を示すCPU監視信号を出力制御部14へ出力し、CPU故障検出機能を非作動にする(ステップS34)。すなわち、LSDC−CPU11の比較器11cが出力するCPU故障判定の結果を外部に通知することを許可しない。
上記ステップS31〜S34の処理は、繰り返して行われる。
以上のように、本発明の一実施形態に係るLSDC方式による常時実施のCPU故障検出機能を有する情報処理装置1によれば、CPU故障検出処理対象または対象外のプログラムを予め記憶しておき、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中であるか否かを判断する。
これにより、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合にだけ、LSDC−CPU11が実行するCPU故障検出処理の結果を後段に存在する構成へ出力する(CPU故障検出機能を動作させる)ことができる。よって、故障検出が不必要なプログラム(安全性に影響しないプログラムなど)に対して得られたCPU故障検出の結果を過剰に反映させなくてすみ、情報処理装置1の処理継続性を向上させることができる。
これにより、マスタCPU11aがCPU故障検出処理対象のプログラムを実行中である場合にだけ、LSDC−CPU11が実行するCPU故障検出処理の結果を後段に存在する構成へ出力する(CPU故障検出機能を動作させる)ことができる。よって、故障検出が不必要なプログラム(安全性に影響しないプログラムなど)に対して得られたCPU故障検出の結果を過剰に反映させなくてすみ、情報処理装置1の処理継続性を向上させることができる。
また、本実施形態に係る情報処理装置1の構成によれば、CPU故障検出処理範囲の特定およびCPU故障検出機能の動作/非動作を、ハードウエアで実現している。よって、CPU監視(CPU故障検出結果の出力処理)のリアルタイム性を確保することができる。
また、本実施形態に係る情報処理装置1の構成によれば、マスタCPU11aがCPU故障検出処理対象外のプログラムを実行中であるか否かを判断する監視判断部13を、LSDC−CPU11とは異なるハードウエアで構成している。よって、LSDC−CPU11の不良などによってCPU故障判定信号が不正に出力されることを防止することができ、装置やシステムの安全性を確保することができる。
さらに、本実施形態に係る情報処理装置1の構成によれば、LSDC−CPU11自体には何ら変更を加える必要がない。よって、既存の装置に対して微小な回路を追加するだけでよく、小面積かつ低設計コストで、簡単に本実施形態に係る情報処理装置1を実現することができる。
本発明は、CPUなどの演算処理手段の故障検出機能を有する構成を含む様々な情報処理装置に利用可能であり、特に情報処理装置の処理継続性を向上させたい場合などにおいて有効である。
1 情報処理装置
11 LSDC−CPU
11a マスタCPU
11b チェッカCPU
11c 比較器
12 アドレス記憶部
13 監視判断部
14 出力制御部
21 データバス
PC プログラムカウンタ
11 LSDC−CPU
11a マスタCPU
11b チェッカCPU
11c 比較器
12 アドレス記憶部
13 監視判断部
14 出力制御部
21 データバス
PC プログラムカウンタ
Claims (1)
- フェイルセーフ機能を有する情報処理装置であって、
故障検出機能を有する演算処理ユニットと、
故障検出の対象となるプログラムまたは故障検出の対象外となるプログラムのアドレス範囲を記憶するアドレス記憶部と、
前記演算処理ユニットが実行するプログラムを監視して、前記アドレス記憶部に記憶されたアドレス範囲に基づいて、当該実行するプログラムが故障検出の対象外のプログラムであるか否かを判断する監視判断部と、
前記監視判断部が、前記実行するプログラムが故障検出の対象外となるプログラムでないと判断した場合は前記演算処理ユニットが検出した結果を出力し、前記実行するプログラムが故障検出の対象外となるプログラムであると判断した場合は前記演算処理ユニットの検出結果に関わらず故障が無いとする結果を出力する出力制御部とを備えることを特徴とする、情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013207486A JP6090094B2 (ja) | 2013-10-02 | 2013-10-02 | 情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013207486A JP6090094B2 (ja) | 2013-10-02 | 2013-10-02 | 情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015072567A JP2015072567A (ja) | 2015-04-16 |
| JP6090094B2 true JP6090094B2 (ja) | 2017-03-08 |
Family
ID=53014896
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013207486A Active JP6090094B2 (ja) | 2013-10-02 | 2013-10-02 | 情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6090094B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6645467B2 (ja) * | 2017-03-28 | 2020-02-14 | 株式会社デンソー | マイクロコンピュータ |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5675803A (en) * | 1994-01-28 | 1997-10-07 | Sun Microsystems, Inc. | Method and apparatus for a fast debugger fix and continue operation |
| JP2003140924A (ja) * | 2001-11-05 | 2003-05-16 | Toshiba Corp | マイクロプロセッサ、デバッグシステム及びデバッグプログラム |
| US20070277023A1 (en) * | 2003-06-24 | 2007-11-29 | Reinhard Weiberle | Method For Switching Over Between At Least Two Operating Modes Of A Processor Unit, As Well Corresponding Processor Unit |
| JP5518021B2 (ja) * | 2011-09-19 | 2014-06-11 | 三菱電機株式会社 | 情報処理装置 |
-
2013
- 2013-10-02 JP JP2013207486A patent/JP6090094B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015072567A (ja) | 2015-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5739290B2 (ja) | 電子制御装置 | |
| US8819485B2 (en) | Method and system for fault containment | |
| US9063906B2 (en) | Thread sparing between cores in a multi-threaded processor | |
| JP6360387B2 (ja) | プロセッサシステム、エンジン制御システム及び制御方法 | |
| WO2011114493A1 (ja) | マイコン相互監視システム及びマイコン相互監視方法 | |
| WO2016203505A1 (ja) | 半導体装置及び診断テスト方法 | |
| KR20190035480A (ko) | 마이크로 컨트롤러 및 마이크로 컨트롤러의 제어방법 | |
| US10360115B2 (en) | Monitoring device, fault-tolerant system, and control method | |
| US9678870B2 (en) | Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data | |
| CN115826393A (zh) | 一种飞控系统的双余度管理方法及装置 | |
| JP6090094B2 (ja) | 情報処理装置 | |
| JP5518021B2 (ja) | 情報処理装置 | |
| US20230281092A1 (en) | Glitch suppression apparatus and method | |
| WO2008004330A1 (fr) | Système à processeurs multiples | |
| US8954794B2 (en) | Method and system for detection of latent faults in microcontrollers | |
| JP2010020621A (ja) | プログラム修復システムおよび方法 | |
| US11467865B2 (en) | Vehicle control device | |
| US11294787B2 (en) | Apparatus and method for controlling assertion of a trigger signal to processing circuitry | |
| JP6094387B2 (ja) | 制御装置 | |
| JP5978873B2 (ja) | 電子制御装置 | |
| JP2011126327A (ja) | 車載制御装置 | |
| JP5034972B2 (ja) | 電子機器およびプログラム | |
| US20230398955A1 (en) | In-vehicle use control system | |
| JP5559100B2 (ja) | 電子制御システム | |
| JP2018097442A (ja) | 電子制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161004 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170123 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6090094 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |