WO2021038923A1

WO2021038923A1 - 制御装置、ユーザプログラムの実行制御方法、およびシステムプログラム

Info

Publication number: WO2021038923A1
Application number: PCT/JP2020/007778
Authority: WO
Inventors: 雅哉工藤; 紀昭鈴木; 中村　満
Original assignee: オムロン株式会社
Priority date: 2019-08-23
Filing date: 2020-02-26
Publication date: 2021-03-04
Also published as: JP7379932B2; JP2021033623A

Abstract

メモリに生じる誤りの検出および復元に要する時間を短縮する。揮発性メモリ（１０６Ｘ）は、誤り検出用の検出用情報（１４４Ｘ）を付加してデータ（１４２）を格納するとともに、読み出し要求に応じて、指定されたアドレスのデータ、および、指定されたアドレスに対応する検出用情報に基づいて決定される指定された領域における誤りの発生有無、を応答するように構成されている。アクセス制御部（２０４Ｘ）は、揮発性メモリ（１０６Ｘ）から命令を読み出した場合に、読み出した命令を格納していた領域に誤りが発生していることが揮発性メモリ（１０６Ｘ）から応答されると、誤りが発生している領域のデータをバックアップメモリ（１１０Ｘ）から揮発性メモリ（１０６Ｘ）にロードしなおし、揮発性メモリ（１０６Ｘ）から命令を再度読み出す。

Description

制御装置、ユーザプログラムの実行制御方法、およびシステムプログラム

　本発明は、制御対象を制御するためにユーザプログラムを実行する制御装置と、当該制御装置におけるユーザプログラムの実行制御方法と、当該制御装置を実現するためのシステムプログラムに関する。

　様々な製造現場において、ＰＬＣ（Programmable　Logic　Controller）などの制御装置が導入されている。このような制御装置は、一種のコンピュータであり、ＲＡＭ（Random　Access　Memory）などの揮発性メモリと、ＣＰＵ（Central　Processing　Unit）などのプロセッサとを備える。揮発性メモリは、製造装置または製造設備などに応じて設計されたユーザプログラムを格納する。プロセッサは、揮発性メモリに格納されたユーザプログラムを構成する命令を順番に読み込み、逐次実行する。

　揮発性メモリに格納されたユーザプログラムを実行する場合に、ユーザプログラムのデータが放射線の影響を受けて１ビット単位で破壊され、揮発性メモリにソフトエラーが発生することがある。このように、ユーザプログラムのデータが破壊されてソフトエラーが発生することがあるため、ソフトエラーの検出、および、検出したソフトエラーを修正する機能を制御装置に対して設けることが望まれている。

　特開２００４－２２０５８０号公報（特許文献１）は、ユーザプログラムが格納されるユーザプログラムメモリに加えて、ユーザプログラムメモリに格納されたユーザプログラムと同一内容のデータが格納されたバックアップメモリとを備えたプログラマブルコントローラ用ユニットを開示する。このプログラマブルコントローラ用ユニットは、バックアップメモリとユーザプログラムメモリの内容を比較することで異常を検知し、異常を検知した場合にユーザプログラムメモリに格納されたユーザプログラムをバックアップメモリに格納されたデータに基づいて修復する。

特開２００４－２２０５８０号公報

　特許文献１に開示されたエラーの検知方法は、２つのメモリを互いに比較することでエラーを検知するため、比較結果を得るまでに時間がかかるという課題がある。

　本発明は、メモリに生じる誤りの検出および復元に要する時間を短縮することを目的とする。

　本開示の一例によれば、制御対象を制御するための制御装置が提供される。制御装置は、ユーザプログラムに含まれる命令を順次実行する命令実行部と、ユーザプログラムを格納する揮発性メモリと、揮発性メモリに格納されたユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリと、所定の実行順序に従って、ユーザプログラムに含まれる命令を揮発性メモリから読み出して命令実行部へ提供するアクセス制御部とを含む。揮発性メモリは、誤り検出用の情報を付加してデータを格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、指定された領域に対応する誤り検出用の情報に基づいて決定される指定された領域における誤りの発生有無、を応答するように構成されている。アクセス制御部は、揮発性メモリから命令を読み出した場合に、読み出した命令を格納していた領域に誤りが発生していることが揮発性メモリから応答されると、誤りが発生している領域のデータをバックアップメモリから揮発性メモリにロードしなおし、揮発性メモリから命令を再度読み出すように構成されている。

　本開示によれば、指定された領域の誤りの検出を誤り検出用の情報に基づいて誤りの発生有無が決定されるため、メモリ間を比較して誤りの発生を検知する場合に比べて、処理にかかる時間を短縮することができる。

　上述の開示において、揮発性メモリは、パリティチェックにより誤りの発生有無を応答するように構成されていてもよい。この構成によれば、１ビット単位の誤りを検知することができる。

　上述の開示において、アクセス制御部は、命令実行部に命令を提供することを目的とした読み出しとは別に、揮発性メモリに格納されたデータを予め定められた順番に予め定められたタイミングで読み出し、読み出したデータを格納していた領域に誤りが発生していることが揮発性メモリから応答されると、バックアップメモリに格納されている命令を含むデータをバックアップメモリから揮発性メモリにロードしなおす。

　この開示によれば、命令の実行順序によっては、呼び出される頻度が極めて低い命令にかかるデータに対しても、定期的に誤り検出と誤りの復元とが実行される。

　上述の開示において、バックアップメモリは、バックアップ用のユーザプログラムを不揮発的に格納するメモリであってもよい。この場合に、揮発性メモリに格納されるユーザプログラムは、バックアップメモリからロードされる。

　この開示によれば、電断用のメモリをバックアップメモリに用いることができるため、バックアップメモリを別途用意する必要がなく、メモリ容量を削減することができる。

　上述の開示において、バックアップメモリは、バックアップ用のユーザプログラムを揮発的に格納するメモリであってもよい。アクセス制御部は、命令の実行に伴って揮発性メモリに格納されたデータの書き換えが必要な場合、揮発性メモリに格納されたデータおよびバックアップメモリに格納されたデータを書き換える。

　この開示によれば、揮発性メモリに格納されたデータに加えてバックアップメモリに格納されたデータを書き換えることで、データの書き換えが生じる命令を含むユーザプログラムのソフトエラーにも対応することができる。

　本開示の別の一例によれば、制御対象を制御するための制御装置におけるユーザプログラムの実行制御方法が提供される。制御装置は、ユーザプログラムを格納する揮発性メモリと、揮発性メモリに格納されたユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリとを含む。揮発性メモリは、誤り検出用の情報を付加してデータを格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、指定された領域に対応する誤り検出用の情報に基づいて決定される指定された領域における誤りの発生有無、を応答するように構成されている。ユーザプログラムの実行制御方法は、所定の実行順序に従って、ユーザプログラムに含まれる命令を揮発性メモリから読み出すステップと、揮発性メモリから命令を読み出した場合に、読み出した命令を格納していた領域に誤りが発生していることが揮発性メモリから応答されると、誤りが発生している領域のデータをバックアップメモリから揮発性メモリにロードしなおし、揮発性メモリから命令を再度読み出すステップと、揮発性メモリから読み出した命令を実行するステップとを含む。

　この開示によれば、指定された領域の誤りの検出を誤り検出用の情報に基づいて誤りの発生有無が決定されるため、メモリ間を比較して誤りの発生を検知する場合に比べて、処理にかかる時間を短縮することができる。

　本開示のさらに別の一例によれば、制御対象を制御するための制御装置を実現するためのシステムプログラムが提供される。制御装置は、ユーザプログラムを格納する揮発性メモリと、揮発性メモリに格納されたユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリとを含む。揮発性メモリは、誤り検出用の情報を付加してデータを格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、指定された領域に対応する誤り検出用の情報に基づいて決定される指定された領域における誤りの発生有無、を応答するように構成されている。システムプログラムは制御装置のプロセッサに、所定の実行順序に従って、ユーザプログラムに含まれる命令を揮発性メモリから読み出すステップと、揮発性メモリから命令を読み出した場合に、読み出した命令を格納していた領域に誤りが発生していることが揮発性メモリから応答されると、誤りが発生している領域のデータをバックアップメモリから揮発性メモリにロードしなおし、揮発性メモリから命令を再度読み出すステップと、揮発性メモリから読み出した命令を実行するステップとを実行させる。

　本発明によれば、メモリに生じる誤りの検出および復元に要する時間を短縮することができる。

本開示の適用例を模式的に説明するための図である。制御装置１００の構成を模式的に示した図である。プロセッサ１０２が実行する処理の一例を説明するためのフローチャートである。プロセッサ１０２が実行する処理の変形例を示す。図４に示した処理を実行したときのデータの読出／書込／復元の模式図である。ログデータの一例を示す図である。

　以下、図面を参照しつつ、本発明に従う各実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらについての詳細な説明は繰り返さない。なお、以下で説明される各実施の形態および各変形例は、適宜選択的に組み合わせてもよい。

　§１．適用例
　図１を参照して、本発明が適用される場面の一例について説明する。図１は、本開示の適用例を模式的に説明するための図である。図１を参照して、本開示に係る制御装置１００Ｘは、例えば、ＰＬＣ（プログラマブルコントローラ）と称される産業用のコントローラに相当し、図示しない各種の製造設備や機械を制御する。制御装置１００Ｘによる制御においては、センサなどを用いて必要な情報を取得し、制御装置１００Ｘで実行されるプログラムに従って、それらの取得された情報を用いて予め定められた制御演算を実行することで、制御出力を算出する。

　制御装置１００Ｘは、命令実行部２０２Ｘと、揮発性メモリ１０６Ｘと、バックアップメモリ１１０Ｘと、アクセス制御部２０４Ｘとを含む。

　命令実行部２０２Ｘは、ユーザプログラム１１４に含まれる命令を順次実行する。ユーザプログラム１１４は、制御対象を制御することを目的として作成されたプログラム、制御装置１００と通信可能な他の装置（たとえば、データベース、他の制御装置、ＨＭＩ（Human　Machine　Interface）など）との間でデータの送受信を行うためのプログラムなど、任意のアプリケーションを実現するためのプログラムである。

　アクセス制御部２０４Ｘは、所定の実行順序に従って、メインメモリ１０６からユーザプログラム１１４に含まれる命令を読み出して命令実行部２０２Ｘに提供する。

　命令実行部２０２Ｘおよびアクセス制御部２０４Ｘは、たとえば、制御装置１００のプロセッサが、制御装置の基本的な機能を実現するためのシステムプログラムを実行することで実現される機能である。なお、命令実行部２０２Ｘおよびアクセス制御部２０４Ｘの機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）またはＦＰＧＡ（Field-Programmable　Gate　Array）など）を用いて実装してもよい。たとえば、命令実行部２０２Ｘの機能を専用のハードウェア回路を用いて実装し、アクセス制御部２０４Ｘの機能を制御装置１００Ｘのプロセッサがシステムプログラムを実行することで実現してもよい。

　揮発性メモリ１０６Ｘは、ユーザプログラム１１４を揮発的に格納する。揮発性メモリ１０６Ｘに格納されたユーザプログラム１１４は、実行用のプログラムであって、ユーザデータ１４０である。

　バックアップメモリ１１０Ｘは、揮発性メモリ１０６Ｘに格納されたユーザプログラム１１４と同一内容のバックアップ用のユーザプログラム１１４であるバックアップデータ１６０を格納する。バックアップメモリ１１０Ｘは、揮発性のメモリであっても、不揮発性のメモリであってもよい。

　バックアップデータ１６０は、ユーザデータ１４０が破壊された際に当該ユーザデータ１４０を復元するために利用される。たとえば、ユーザデータ１４０が宇宙線中性子などにより破壊された場合に、揮発性メモリ１０６Ｘにバックアップデータ１６０をロードしなおすことで、破壊されたデータを復元する。

　揮発性メモリ１０６Ｘは、誤り検出機能を搭載したメモリであって、具体的には、データ１４２を格納する際に、データ１４２に誤り検出用の情報（検出用情報１４４Ｘ）を付加して格納する。また、揮発性メモリ１０６Ｘは、読み出し要求に応じて、指定された領域のデータを出力する場合に、指定された領域に誤りの発生有無を合わせて出力する。誤りの発生有無は、検出用情報１４４Ｘに基づいて決定される。誤りの発生有無は、たとえば、従来から知られているパリティチェックに従って決定される。

　アクセス制御部２０４Ｘは、読み出した命令を格納していた領域に誤りが発生していることが揮発性メモリ１０６Ｘから応答されると、誤りが発生している領域のデータについて、バックアップメモリ１１０Ｘから揮発性メモリ１０６Ｘにロードしなおす。アクセス制御部２０４Ｘは、ロードしなおした後、揮発性メモリ１０６Ｘから命令を再度読み出す。

　このように、指定された領域の誤りの検出を誤り検出用の情報に基づいて誤りの発生有無が決定されるため、メモリ間を比較して誤りの発生を検知する場合に比べて、処理にかかる時間を短縮することができる。

　また、データの誤りを検出する機能を備えた揮発性メモリは、市場に一般的に流通している。本開示に係る制御装置１００Ｘは、このような一般的に流通している揮発性メモリ１０６Ｘを利用しつつ、誤りが発生している場合に揮発性メモリ１０６Ｘから命令を再度読み出す処理をプロセッサに実行させるように構成すればよく、容易に実現することが可能である。

　また、データの誤りをハードウェア的に検知し、かつ訂正する機能を有するメモリが存在するが、このようなメモリは高価である。本開示に係る制御装置１００Ｘは、誤り検出機能のみを備えるメモリを利用することでも実現可能であるため、コストを抑えて実現することが可能である。

　なお、揮発性メモリ１０６Ｘは、データの誤りをハードウェア的に検知し、かつ訂正する機能を有するメモリであってもよい。この場合、たとえば、メモリによりデータの訂正ができない場合であっても、プロセッサの処理としてデータをロードしなおすように構成することで、メモリが備える訂正機能を補うことができる。

　また、本開示にかかる制御装置１００Ｘは、命令を実行する前に、データをロードしなおすため、誤ったデータに従って命令が実行されることを防止することができる。

　また、命令を実行した後に、誤ったデータをロードしなおす場合には、誤ったデータに従って命令を実行して更新される入出力データについてもバックアップをとっておくことが望まれる。これに対して、本開示にかかる制御装置１００Ｘは、命令を実行する前に、誤ったデータをロードしなおすため、入出力データのバックアップを必ずしもとっておく必要がなく、メモリの削減をすることができる。

　また、本開示に係る制御装置１００Ｘは、データの読み出し要求に応じて、誤りの発生有無の応答がされる。そのため、ユーザプログラム１１４全体を実行した後に誤りの発生有無を行うような場合に比べてデータの誤りを早くに発見することができる。

　なお、データを復元するタイミングは、誤りの発生有無の応答がされたときであってもよく、また、誤りの発生有無の応答がされたあと、当該誤りの発生有無にかかるデータの命令を実行するときであってもよい。

　また、誤りが発生している場合、誤りが発生しているデータのみをバックアップメモリ１１０Ｘからロードしなおしてもよく、また、読み出した命令単位でデータをバックアップメモリ１１０Ｘからロードしなおしてもよく、また、ユーザプログラム１１４全体をロードしなおすことで誤りが発生しているデータをロードしなおしてもよい。

　なお、誤りが発生している場合にロードをしなおす場合、誤りが発生しているデータのみ、または、読み出した命令にかかるデータを読み出すようにした方が、ユーザプログラム１１４全体をロードしなおす場合に比べて、復元に要する時間を短縮することができる。

　§２．具体例
　＜Ａ．制御装置１００の構成＞
　図２は、制御装置１００の構成を模式的に示した図である。図２においては、制御装置１００の中心的な処理を行う構成の一部を示している。

　図２を参照して、制御装置１００は、プロセッサ１０２、メインメモリ１０６およびフラッシュメモリ１０８を有する。プロセッサ１０２、メインメモリ１０６、およびフラッシュメモリ１０８は、ワンチップマイコンに搭載された形で制御装置１００に設けられていてもよく、また、各々、別々に搭載された形で制御装置１００に設けられていてもよい。

　プロセッサ１０２は、フラッシュメモリ１０８に格納されたシステムプログラム１１２を直接実行することで、ユーザプログラム１１４をメインメモリ１０６に展開して順次実行する。プロセッサ１０２は、ユーザプログラム１１４を読み出して、メインメモリ１０６に展開して実行することで、制御対象に対する制御を実現する。なお、システムプログラム１１２をメインメモリ１０６に展開して実行するような構成であってもよいが、システムプログラム１１２がメインメモリ１０６に展開されることなく直接実行されることで、制御装置１００を実現するための重要なプログラムが宇宙線中性子などの放射線の影響を受けて化けることを防止することができる。

　フラッシュメモリ１０８は、不揮発性メモリであって、システムプログラム１１２およびユーザプログラム１１４を含む各種プログラムおよび、各種プログラムで利用される各種パラメータを保持する。本実施の形態において、フラッシュメモリ１０８は、メインメモリ１０６に展開される実行用のユーザプログラム１１４と同一内容のユーザプログラム１１４であるバックアップデータ１６０を格納するバックアップメモリとして機能する。

　システムプログラム１１２は、ファームウェアであって、制御装置１００を実現するためのプログラムである。ユーザプログラム１１４は、システムプログラム１１２以外のプログラムであって、たとえば、制御対象を制御することを目的として作成されたプログラム、制御装置１００と通信可能な他の装置（たとえば、データベース、他の制御装置、ＨＭＩなど）との間でデータの送受信を行うためのプログラムなどを含み得る。

　なお、システムプログラム１１２、およびシステムプログラム１１２以外のユーザプログラム１１４などのデータを、互いに異なる不揮発性メモリに格納するように構成してもよい。この場合に、メインメモリ１０６に展開することなく直接実行されるシステムプログラム１１２は高速のフラッシュメモリに格納し、書き換え頻度の高いユーザプログラム１１４等のデータについては別の不揮発性メモリに格納してもよい。

　メインメモリ１０６は、揮発性メモリであって、プロセッサ１０２がユーザプログラム１１４を実行するときの実行用のユーザデータ１４０を保持する。

　なお、図２に記載していないものの、制御装置１００は、他の装置と通信するためのインターフェイス、および、内部バスを通じて連結される機能ユニットとの間でデータを遣り取りするための内部バスコントローラ、メモリカードに格納されたデータの読み書きを行うためのメモリカードインターフェイスなどを備える。

　制御装置１００と連結される機能ユニットとしては、Ｉ／Ｏ（Input　Output）ユニット、セーフティＩ／Ｏユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。

　また、制御装置１００は、制御対象に関するセーフティ機能を実現するための制御演算を実行するセーフティユニットであってもよい。

　＜Ｂ．プロセッサおよびメインメモリの機能構成＞
　図２を参照して、プロセッサ１０２およびメインメモリ１０６の機能構成について説明する。プロセッサ１０２は、命令実行部２０２と、アクセス制御部２０４と、レジスタ２０６と、アクセスインターフェイス２２０とを含む。

　命令実行部２０２は、演算器であって、１または複数の演算回路から構成されている。命令実行部２０２は、メインメモリ１０６から読み込んだ命令を実行する。

　アクセス制御部２０４は、システムプログラム１１２が実行されることで実現される機能であって、アクセスインターフェイス２２０を制御することで、プロセッサ１０２とフラッシュメモリ１０８とメインメモリ１０６との間のデータの遣り取りを制御することで、所定の実行順序に従って、ユーザプログラム１１４に含まれる命令をメインメモリ１０６から読み出して命令実行部２０２へ提供する。

　レジスタ２０６は、エラーアドレスレジスタ２０８と、エラーステータスレジスタ２１０と、命令レジスタ２１２とを含み得る。プロセッサ１０２は、他の種類のレジスタをさらに備えていてもよい。

　エラーアドレスレジスタ２０８は、メインメモリ１０６内においてソフトエラーの発生しているエリア（アドレス）を保持する。

　エラーステータスレジスタ２１０は、メインメモリ１０６内においてソフトエラーが発生している状態にあることを保持する。

　命令レジスタ２１２は、命令実行部２０２が実行する命令を保持する。プロセッサ１０２は、命令レジスタ２１２を複数備えてもよい。

　アクセスインターフェイス２２０は、アクセス制御部２０４の指示に従って制御され、メインメモリ１０６およびフラッシュメモリ１０８との間でデータの遣り取りを行う。

　メインメモリ１０６は、アドレスデコーダ６０２と、メモリセル６０４と、読出／書込回路６０６と、パリティチェック回路６１０とを備える。

　アドレスデコーダ６０２は、アドレスバス４０２を介してプロセッサ１０２に接続されている。アドレスデコーダ６０２は、アドレスバス４０２上に出力された信号をデコードすることでアドレスを特定し、メモリセル６０４のうち特定したアドレスのセルを活性化させる。アドレスデコーダ６０２によってデコードされた結果は、パリティチェック回路６１０に出力される。

　メモリセル６０４には、実行用のユーザプログラム１１４であるユーザデータ１４０が格納される。メモリセル６０４には、誤り検出用の情報としてパリティビット１４４が付加された状態でデータ１４２が格納される。

　読出／書込回路６０６は、コントロールバス４０４およびデータバス４０６を介してプロセッサ１０２に接続されている。読出／書込回路６０６は、コントロールバス４０４からの制御信号に応じて、メモリセル６０４に対し、データの読み出しまたは書き込みを行う。

　読出／書込回路６０６は、パリティ生成回路６０８を有する。パリティ生成回路６０８は、データバス４０６を介して送信されたデータ１４２からパリティビット１４４を生成する。読出／書込回路６０６は、データの書き込みを行う場合、アドレスデコーダ６０２によって活性化されたセルに、パリティ生成回路６０８が生成したパリティビット１４４を付加して、データバス４０６を介して送られたデータ１４２を格納する。

　読出／書込回路６０６は、データの読み出しを行う場合、アドレスデコーダ６０２によって活性化されたセルに格納されたデータ（データ１４２およびパリティビット１４４）を読み出し、データバス４０６に出力する。また、読出／書込回路６０６は、読み出したデータ（データ１４２およびパリティビット１４４）をパリティチェック回路６１０に出力する。なお、読出／書込回路６０６は、データバス４０６にデータ１４２だけを出力するようにしてもよい。

　パリティチェック回路６１０は、エラーバス４０８を介してプロセッサ１０２に接続されている。パリティチェック回路６１０は、読出／書込回路６０６から出力されたデータに誤りが発生しているか否かをパリティチェックによりチェックする。たとえば、書き込み時のデータ１４２が、宇宙線中性子などにより破壊される場合、１ビット単位で破壊される。パリティビット１４４が付与されたデータ１４２が宇宙線中性子により２ビット以上破壊される可能性は低いため、パリティチェックをすることで宇宙線中性子により破壊されているか否かを検知することができる。なお、パリティチェックの方法について、従来技術であるため、詳細な説明は省略する。

　パリティチェック回路６１０は、データ誤りの発生有無と、アドレスデコーダ６０２から出力されたアドレス（パリティチェックをしたセルのアドレス）とをエラーバス４０８に出力する。なお、パリティチェック回路６１０は、データ誤りが発生している場合にのみ、データ誤りの発生と、アドレスとをエラーバス４０８に出力するようにしてもよい。

　なお、図２に示した構成は一例であって、データ誤りを検出するための回路を有する揮発性メモリであれば、図２に示した構成に限られない。また、データ誤りを検出する方法は、パリティチェックに限られず、任意の方法を適用可能である。

　プロセッサ１０２とフラッシュメモリ１０８とは、アドレスバス４１０、コントロールバス４１２、およびデータバス４１４を介して接続されている。プロセッサ１０２は、これらのバスを介してシステムプログラム１１２を実行する。また、プロセッサ１０２は、これらのバスを介して、適宜、フラッシュメモリ１０８からプログラムをメインメモリ１０６に展開して、ユーザプログラム１１４を実行する。

　＜プロセッサの処理＞
　図３は、プロセッサ１０２が実行する処理の一例を説明するためのフローチャートである。以下では、ステップは、単に「Ｓ」と記載する。図３に示すフローチャートは、プロセッサ１０２がシステムプログラム１１２を実行することで実現される。図３に示すフローチャートは、制御装置１００に電源が供給されると実行される。

　Ｓ１０２において、プロセッサ１０２は、ユーザプログラム１１４をメインメモリ１０６に展開する。Ｓ１０２の処理により、メインメモリ１０６のメモリセル６０４にパリティビット１４４を付加したデータ１４２が格納される。

　Ｓ１０４において、プロセッサ１０２は、実行対象の命令をメインメモリ１０６からフェッチする。より具体的には、アクセスインターフェイス２２０は、アクセス制御部２０４の指示に従って、実行対象の命令に対応するデータが格納されたアドレスをアドレスバス４０２に出力し、コントロールバス４０４に読み出しを要求する信号を出力する。

　メインメモリ１０６は、プロセッサ１０２からの読み出し要求に対して、指定されたアドレスのデータ１４２と、当該指定されたアドレスのデータ１４２に対するパリティチェックの結果とを出力することで応答する。具体的には、アドレスデコーダ６０２は、アドレスバス４０２に出力されたアドレスのセルを活性化させ、また、アドレスをパリティチェック回路６１０に出力する。読出／書込回路６０６は、読み出しを要求する信号を受けて、活性化されているセルのデータ１４２およびパリティビット１４４をデータバス４０６と、パリティチェック回路６１０とに出力する。パリティチェック回路６１０は、データ１４２およびパリティビット１４４に基づいて、データ１４２の誤りの有無をチェックし、チェック結果と、チェックしたデータ１４２のアドレスとをエラーバス４０８に出力する。

　データバス４０６を介して送られたデータ１４２は、命令レジスタ２１２に格納される。エラーバス４０８を介して送られたデータのうちのチェックしたデータ１４２のアドレスは、エラーアドレスレジスタ２０８に格納される。エラーバス４０８を介して送られたデータのうちのチェック結果は、エラーステータスレジスタ２１０に格納される。

　Ｓ１０６において、プロセッサ１０２は、エラーがあるか否かを判定する。具体的には、プロセッサ１０２は、エラーステータスレジスタ２１０に格納されたチェック結果に基づいて判定する。

　エラーがあると判定された場合（Ｓ１０６においてＹＥＳ）、Ｓ１０８において、プロセッサ１０２は、データを復元する。具体的には、アクセス制御部２０４は、エラーアドレスレジスタ２０８に格納されているアドレスのデータをフラッシュメモリ１０８からメインメモリ１０６に再度ロードするようにアクセスインターフェイス２２０を制御する。

　たとえば、アクセス制御部２０４は、エラーアドレスレジスタ２０８に格納されているアドレスに基づいて、当該アドレスのデータが格納されたフラッシュメモリ１０８内のアドレスを特定する。アクセスインターフェイス２２０は、アクセス制御部２０４の指示に従って、特定されたアドレスをアドレスバス４１０に、読み出しを要求する信号をコントロールバス４１２に、それぞれ出力する。

　そして、アクセスインターフェイス２２０は、アクセス制御部２０４の指示に従って、復元対象のデータ１４２が格納されたアドレスをアドレスバス４０２に、フラッシュメモリ１０８が読み出し要求に応じて出力したデータをデータバス４０６に、書き込みを要求する信号をコントロールバス４０４に、それぞれ出力する。

　メインメモリ１０６は、プロセッサ１０２からの書き込みを要求する信号を受けて、アドレスバス４０２を介して指定されたアドレスに、データバス４０６を介して送られたデータ１４２およびパリティビット１４４が書き込まれる。これにより、誤りのあるデータが、復元されることとなる。

　Ｓ１１０において、プロセッサ１０２は、エラーアドレスレジスタ２０８とエラーステータスレジスタ２１０のデータをクリアする。プロセッサ１０２は、Ｓ１１０の処理を実行した後、再度Ｓ１０４およびＳ１０６の処理を実行し、データが復元されたことでパリティエラーが解消されたことを確認する。

　図３に示す例では、エラーがないと判定されるまで、Ｓ１０８およびＳ１１０の処理を繰り返すものとしている。なお、Ｓ１０８およびＳ１１０の処理を所定回数繰り返し実行した場合には、プロセッサ１０２は、ユーザプログラム１１４の実行を停止して、エラーをユーザに対して通知するようにしてもよい。

　また、本実施の形態において、エラーバス４０８を介して送られたデータは、エラーアドレスレジスタ２０８とエラーステータスレジスタ２１０とに格納されるとした。なお、エラーバス４０８を介して送られたデータに基づいてエラーがあるか否かを判定し、エラーがある場合に、エラーアドレスレジスタ２０８とエラーステータスレジスタ２１０とにデータを格納するようにしてもよい。

　エラーがないと判定された場合（Ｓ１０６においてＮＯ）、Ｓ１１２において、プロセッサ１０２は、フェッチした命令を実行する。具体的には、プロセッサ１０２の命令実行部２０２は、命令レジスタ２１２に格納されたデータ１４２が示す命令を実行する。

　Ｓ１１４において、プロセッサ１０２は、ユーザプログラム１１４を１サイクル分実行したか否かを判定する。ユーザプログラム１１４を１サイクル分実行していないと判定された場合（Ｓ１１４においてＮＯ）、プロセッサ１０２は、Ｓ１２６に処理を切り替える。

　ユーザプログラム１１４を１サイクル分実行したと判定された場合（Ｓ１１４においてＹＥＳ）、Ｓ１１６において、プロセッサ１０２は、データ１４２をダミーでメインメモリ１０６からフェッチする。

　Ｓ１１８，１２０，１２２の処理は、Ｓ１０６，１０８，１１０の処理と共通するため、説明を省略する。

　Ｓ１１８においてエラーがないと判定された場合、または、Ｓ１２０およびＳ１２２の処理が実行された後、Ｓ１２４において、プロセッサ１０２は、ダミーで読み出すアドレスを更新する。具体的には、プロセッサ１０２は、命令の実行結果に関わらず、アドレスを順次更新し、Ｓ１１８からＳ１２４の処理を繰り返すことで、ユーザプログラム１１４を複数サイクル実行したときに、メモリセル６０４内の全てのデータ１４２を少なくとも１度は読み出す。すなわち、プロセッサ１０２は、メモリセル６０４に格納されたデータを予め定められた順で読み出されるように、ダミーで読み出すアドレスを更新する。

　Ｓ１２６において、プロセッサ１０２は、Ｓ１１２において実行した命令の結果に応じて、次に実行する命令が格納されたアドレスを特定する。プロセッサ１０２は、Ｓ１０４～Ｓ１２６の処理を繰り返すことで、ユーザプログラム１１４を実行する。

　ユーザプログラム１１４を構成する命令の中には、実行頻度の低いものも存在する。Ｓ１１６～Ｓ１２４の処理を実行しなかった場合には、実行頻度の低い命令を実行するためのデータについては、長期間に亘ってチェックされないこととなる。また、パリティチェックは、１ビットの誤りしか検出することができない。そのため、長期間に亘ってチェックされることなく放置されて２ビット以上の破壊が生じている場合、当該破壊を検出することができない。

　本実施の形態においては、Ｓ１１６～Ｓ１２４が繰り返し実行されることで、メインメモリ１０６に格納されたデータ１４２が少なくとも１度は読み出されることになるため、実行頻度の低い命令を実行するためのデータが長期間に亘ってチェックされることなく放置されてしまうことを防止することができる。

　なお、命令の実行とは別にデータの読み出しをするタイミングは、ユーザプログラム１１４を１サイクル分実行した後としたが（Ｓ１１６）、これに限られない。命令の実行とは別にデータの読み出しをするタイミングは、たとえば、ユーザプログラム１１４を複数サイクル分実行した後であってもよく、また、複数の命令を実行した後であってもよい。また、制御装置１００に複数のプロセッサが搭載されている場合には、命令の実行とは別にデータの読み出しをするタイミングは、ユーザプログラム１１４の実行中であってもよい。また、Ｓ１１６において読み出すデータの量は、任意であり、限定されるものではない。

　＜変形例＞
　（変形例１）
　上記実施の形態においては、データの復元に用いるバックアップデータ１６０を保持するメモリは、不揮発性メモリであるフラッシュメモリ１０８とした。すなわち、上記実施の形態においては、フラッシュメモリ１０８のような不揮発性メモリに格納された電断保持用のデータを、バックアップ用のデータとして用いた。そのため、新たにバックアップ用のデータを用意する必要がなく、メモリを削減することができる。

　なお、バックアップデータ１６０は、電断保持用のデータとは別に保持されていてもよい。たとえば、バックアップデータ１６０は、メインメモリ１０６のような揮発性メモリに、ユーザデータ１４０とは別に格納されていてもよい。プロセッサ１０２からのアクセスがフラッシュメモリ１０８に比べて早い揮発性メモリにバックアップデータ１６０を格納することで、復元にかかる時間を短縮することができる。バックアップデータ１６０は、メインメモリ１０６に格納されてもよく、また、メインメモリ１０６とは異なる別の揮発性メモリに格納されてもよい。

　なお、バックアップデータ１６０を保持するメモリを揮発性メモリとする場合、プロセッサ１０２は、ユーザプログラム１１４をメインメモリ１０６に展開する際に、バックアップデータ１６０を保持するメモリにもユーザプログラム１１４を読み出す。

　＜変形例２＞
　上記実施の形態においては、命令の実行に伴ってユーザプログラム１１４のデータが更新されることについて言及しなかった。なお、ユーザプログラム１１４によっては、命令の実行に伴って、ユーザプログラム１１４のデータが動的に変化することもある。このような場合には、バックアップデータ１６０についても、実行用のデータと同様に更新されるように構成することが好ましい。

　ユーザプログラム１１４の実行に伴いデータを更新する場合、バックアップデータ１６０へのアクセス回数が増える。そのため、ユーザプログラム１１４が動的に変化する場合は、電断保持用のデータとは別に揮発性メモリにバックアップデータ１６０を格納しておくことが好ましい。

　図４は、プロセッサ１０２が実行する処理の変形例を示す。図４において、図３と共通する処理には共通のステップ番号を付す。図４に示す処理は、新たにＳ１０３、Ｓ１１３－１およびＳ１１３－２の処理を、Ｓ１０８およびＳ１２０の代わりにＳ１０８’およびＳ１２０’の処理を実行する点で図３に示す処理と異なる。以下では、図３に示す処理と異なる処理を中心に説明する。

　Ｓ１０３において、プロセッサ１０２は、バックアップデータ１６０をメインメモリに格納する。すなわち、プロセッサ１０２は、メインメモリ１０６のメモリセル６０４に、ユーザデータ１４０と、当該ユーザデータ１４０と同じバックアップデータ１６０とを格納する。

　Ｓ１０８’の処理は、Ｓ１０８の処理と比べて、再度ロードするときに参照するデータが、フラッシュメモリ１０８に格納されたデータではなく、メインメモリ１０６に格納されているバックアップデータ１６０である点が異なる（図５参照）。Ｓ１２０’の処理とＳ１２０の処理との違いは、Ｓ１０８’の処理とＳ１０８の処理との違いと共通する。

　Ｓ１１３－１において、プロセッサ１０２は、データの変更があるか否かを判定する。データの変更がある場合には、データを書き換える必要がある。すなわち、データの変更があるか否かを判定することで、データを書き換える必要があるか否かが判定される。具体的には、プロセッサ１０２は、Ｓ１１２において実行した命令の結果、データの変更が生じたか否かを判定する。

　データの変更がある場合（Ｓ１１３－１においてＹＥＳ）、すなわち、データを書き換える必要がある場合、プロセッサ１０２は、Ｓ１１３－２において、ユーザデータ１４０とバックアップデータ１６０とを書き換える。データの変更がない場合（Ｓ１１３－１においてＮＯ）、すなわち、データを書き換える必要がない場合、プロセッサ１０２は、Ｓ１１３－２の処理を実行することなく、Ｓ１１４以降の処理を実行する。

　図５は、図４に示した処理を実行したときのデータの読出／書込／復元の模式図である。メモリセル６０４には、実行用のユーザデータ１４０と、バックアップデータ１６０とがそれぞれ格納されている。書き込み時は、ユーザデータ１４０およびバックアップデータ１６０の双方にデータが書き込まれる（図４のＳ１１３－２）。データを復元する場合は、バックアップデータ１６０を用いてユーザデータ１４０のデータを復元する（図４のＳ１０８’、Ｓ１２０’）。また、データを読み出す時は、ユーザデータ１４０から読み出され、バックアップデータ１６０からは読み出されない（図４のＳ１０４）。

　なお、バックアップデータ１６０が破壊されることも考えられるが、ユーザデータ１４０とバックアップデータ１６０とについて、共通のデータが両方とも破壊される確率は極めて低い。そのため、バックアップデータ１６０が破壊されることを考慮する必要性は低い。

　なお、バックアップデータ１６０とユーザデータ１４０とを共通のメインメモリ１０６に格納する例を示したが、バックアップデータ１６０を格納するための揮発性メモリを別途設けてもよい。

　また、Ｓ１１６～Ｓ１２４の処理を実行することで、命令の実行とは別にユーザデータ１４０だけをチェックするようにしてもよく、ユーザデータ１４０に加えてバックアップデータ１６０についてもチェックするようにしてもよい。

　また、Ｓ１０８’およびＳ１２０’においてデータの復元をする場合に、プロセッサ１０２は、バックアップデータ１６０のデータについてもチェックするようにし、エラーがある場合には、復元することができないとしてエラーを通知するように構成してもよい。

　＜変形例３＞
　上記実施の形態においては、パリティチェックをした結果、エラーとなった場合は、単にデータを復元するに留めたが、プロセッサ１０２は、エラーの情報をログとして残しても良い。

　図６は、ログデータの一例を示す図である。プロセッサ１０２は、エラーが発生した場合に、エラーを検出した日と、エラーとなったデータが格納されているアドレスと、復元前のデータ１４２と、復元後のデータ１４２とをログデータ１８０として残す。

　なお、プロセッサ１０２は、バックアップデータ１６０を残していないデータに対してエラーが検知された場合においても、当該エラーが検知された日時と、エラーが発生したデータと、当該データが格納されているアドレスとをログデータとして残しても良い。

　このように、ログデータ１８０を残すことで、ユーザは、ログデータ１８０を確認することで、パリティチェックエラーが発生している頻度、発生原因などを解析することができる。

　＜その他の変形例＞
　上記実施の形態において、誤りの発生有無を決定する方法は、パリティチェックによる方法とした。これは、市場に流通している誤り検出機能付きの揮発性メモリは、誤りの発生有無の決定をパリティチェックにより実現していることが多いため、誤りの発生有無を決定する方法の一例としてパリティチェックによる方法を挙げた。なお、誤りの発生有無を決定する方法は、これに限られない。なお、コストの面を考慮すると、市場に一般的に流通しているパリティチェック機能付きの揮発性メモリを制御装置１００に設けることが好ましい。

　上記実施の形態において、バックアップデータ１６０として、ユーザプログラム１１４のみを格納する例を示した。なお、バックアップデータ１６０は、ユーザプログラム１１４を実行する上で必要なパラメータ等のユーザプログラム１１４とは別のデータを含み得る。

　§３．付記
　以上のように、上記の実施の形態および変形例は以下のような開示を含む。

　＜構成１＞
　制御対象を制御するための制御装置（１００，１００Ｘ）であって、
　ユーザプログラムに含まれる命令を順次実行する命令実行部（２０２，２０２Ｘ）と、
　前記ユーザプログラムを格納する揮発性メモリ（１０６，１０６Ｘ）と、
　前記揮発性メモリに格納された前記ユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリ（１０８，１１０Ｘ，１０６）と、
　所定の実行順序に従って、前記ユーザプログラムに含まれる命令を前記揮発性メモリから読み出して前記命令実行部へ提供するアクセス制御部（２０４，２０４Ｘ）とを備え、
　前記揮発性メモリは、誤り検出用の情報（１４４，１４４Ｘ）を付加してデータ（１４２）を格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、当該指定された領域に対応する誤り検出用の情報に基づいて決定される当該指定された領域における誤りの発生有無、を応答するように構成されており（６０６，６０８，６１０）、
　前記アクセス制御部は、前記揮発性メモリから命令を読み出した場合に、当該読み出した命令を格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、誤りが発生している領域のデータを前記バックアップメモリから前記揮発性メモリにロードしなおし、前記揮発性メモリから当該命令を再度読み出すように構成されている（Ｓ１０４，Ｓ１０６，Ｓ１０８，Ｓ１０８’）、制御装置。

　＜構成２＞
　前記揮発性メモリは、パリティチェックにより誤りの発生有無を応答するように構成されている（６１０）、構成１に記載の制御装置。

　＜構成３＞
　前記アクセス制御部は、前記命令実行部に命令を提供することを目的とした読み出しとは別に、前記揮発性メモリに格納されたデータを予め定められた順番に予め定められたタイミングで読み出し、当該読み出したデータを格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、前記バックアップメモリに格納されている当該命令を含むデータを前記バックアップメモリから前記揮発性メモリにロードしなおす（Ｓ１１６，Ｓ１１８，Ｓ１２０，Ｓ１２０’，Ｓ１２４）、構成１または構成２に記載の制御装置。

　＜構成４＞
　前記バックアップメモリは、前記バックアップ用のユーザプログラムを不揮発的に格納するメモリ（１０８）であって、
　前記揮発性メモリに格納される前記ユーザプログラムは、前記バックアップメモリからロードされる（Ｓ１０２）、構成１～構成３のうちいずれか１に記載の制御装置。

　＜構成５＞
　前記バックアップメモリは、前記バックアップ用のユーザプログラムを揮発的に格納するメモリであって（１０６）、
　前記アクセス制御部は、前記命令の実行に伴って前記揮発性メモリに格納されたデータの書き換えが必要な場合、前記揮発性メモリに格納されたデータおよび前記バックアップメモリに格納されたデータを書き換える（Ｓ１１３－１，Ｓ１１３－２）、構成１～構成３のうちいずれか１に記載の制御装置。

　＜構成６＞
　制御対象を制御するための制御装置におけるユーザプログラムの実行制御方法であって、
　前記制御装置（１００，１００Ｘ）は、
　　前記ユーザプログラムを格納する揮発性メモリ（１０６，１０６Ｘ）と、
　　前記揮発性メモリに格納された前記ユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリ（１０８，１１０Ｘ，１０６）とを備え、
　前記揮発性メモリは、誤り検出用の情報（１４４，１４４Ｘ）を付加してデータ（１４２）を格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、当該指定された領域に対応する誤り検出用の情報に基づいて決定される当該指定された領域における誤りの発生有無、を応答するように構成されており（６０６，６０８，６１０）、
　所定の実行順序に従って、前記ユーザプログラムに含まれる命令を前記揮発性メモリから読み出すステップ（Ｓ１０４）と、
　前記揮発性メモリから命令を読み出した場合に、当該読み出した命令を格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、誤りが発生している領域のデータを前記バックアップメモリから前記揮発性メモリにロードしなおし、前記揮発性メモリから当該命令を再度読み出すステップ（Ｓ１０４，Ｓ１０６，Ｓ１０８，Ｓ１０８’）と、
　前記揮発性メモリから読み出した命令を実行するステップ（Ｓ１１２）とを備える、ユーザプログラムの実行制御方法。

　＜構成７＞
　制御対象を制御するための制御装置を実現するためのシステムプログラムであって、
　前記制御装置（１００，１００Ｘ）は、
　　ユーザプログラムを格納する揮発性メモリ（１０６，１０６Ｘ）と、
　　前記揮発性メモリに格納された前記ユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリ（１０８，１１０Ｘ，１０６）とを備え、
　前記揮発性メモリは、誤り検出用の情報（１４４，１４４Ｘ）を付加してデータ（１４２）を格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、当該指定された領域に対応する誤り検出用の情報に基づいて決定される当該指定された領域における誤りの発生有無、を応答するように構成されており（６０６，６０８，６１０）、
　前記システムプログラムは前記制御装置のプロセッサ（１０２）に、
　　所定の実行順序に従って、前記ユーザプログラムに含まれる命令を前記揮発性メモリから読み出すステップ（Ｓ１０４）と、
　　前記揮発性メモリから命令を読み出した場合に、当該読み出した命令を格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、誤りが発生している領域のデータを前記バックアップメモリから前記揮発性メモリにロードしなおし、前記揮発性メモリから当該命令を再度読み出すステップ（Ｓ１０４，Ｓ１０６，Ｓ１０８，Ｓ１０８’）と、
　　前記揮発性メモリから読み出した命令を実行するステップ（Ｓ１１２）とを実行させる、システムプログラム。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。また、実施の形態および各変形例において説明された発明は、可能な限り、単独でも、組み合わせても、実施することが意図される。

　１００，１００Ｘ　制御装置、１０２　プロセッサ、１０６　メインメモリ、１０６Ｘ　揮発性メモリ、１０８　フラッシュメモリ、１１０Ｘ　バックアップメモリ、１１２　システムプログラム、１１４　ユーザプログラム、１４０　ユーザデータ、１４２　データ、１４４　パリティビット、１４４Ｘ　検出用情報、１６０　バックアップデータ、１８０　ログデータ、２０２，２０２Ｘ　命令実行部、２０４，２０４Ｘ　アクセス制御部、２０６　レジスタ、２０８　エラーアドレスレジスタ、２１０　エラーステータスレジスタ、２１２　命令レジスタ、２２０　アクセスインターフェイス、４０２，４１０　アドレスバス、４０４，４１２　コントロールバス、４０６，４１４　データバス、４０８　エラーバス、６０２　アドレスデコーダ、６０４　メモリセル、６０６　読出／書込回路、６０８　パリティ生成回路、６１０　パリティチェック回路。

Claims

　制御対象を制御するための制御装置であって、
　ユーザプログラムに含まれる命令を順次実行する命令実行部と、
　前記ユーザプログラムを格納する揮発性メモリと、
　前記揮発性メモリに格納された前記ユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリと、
　所定の実行順序に従って、前記ユーザプログラムに含まれる命令を前記揮発性メモリから読み出して前記命令実行部へ提供するアクセス制御部とを備え、
　前記揮発性メモリは、誤り検出用の情報を付加してデータを格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、当該指定された領域に対応する誤り検出用の情報に基づいて決定される当該指定された領域における誤りの発生有無、を応答するように構成されており、
　前記アクセス制御部は、前記揮発性メモリから命令を読み出した場合に、当該読み出した命令を格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、誤りが発生している領域のデータを前記バックアップメモリから前記揮発性メモリにロードしなおし、前記揮発性メモリから当該命令を再度読み出すように構成されている、制御装置。
　前記揮発性メモリは、パリティチェックにより誤りの発生有無を応答するように構成されている、請求項１に記載の制御装置。
　前記アクセス制御部は、前記命令実行部に命令を提供することを目的とした読み出しとは別に、前記揮発性メモリに格納されたデータを予め定められた順番に予め定められたタイミングで読み出し、当該読み出したデータを格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、前記バックアップメモリに格納されている当該命令を含むデータを前記バックアップメモリから前記揮発性メモリにロードしなおす、請求項１または請求項２に記載の制御装置。
　前記バックアップメモリは、前記バックアップ用のユーザプログラムを不揮発的に格納するメモリであって、
　前記揮発性メモリに格納される前記ユーザプログラムは、前記バックアップメモリからロードされる、請求項１～請求項３のうちいずれか１項に記載の制御装置。
　前記バックアップメモリは、前記バックアップ用のユーザプログラムを揮発的に格納するメモリであって、
　前記アクセス制御部は、前記命令の実行に伴って前記揮発性メモリに格納されたデータの書き換えが必要な場合、前記揮発性メモリに格納されたデータおよび前記バックアップメモリに格納されたデータを書き換える、請求項１～請求項３のうちいずれか１項に記載の制御装置。
　制御対象を制御するための制御装置におけるユーザプログラムの実行制御方法であって、
　前記制御装置は、
　　前記ユーザプログラムを格納する揮発性メモリと、
　　前記揮発性メモリに格納された前記ユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリとを備え、
　前記揮発性メモリは、誤り検出用の情報を付加してデータを格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、当該指定された領域に対応する誤り検出用の情報に基づいて決定される当該指定された領域における誤りの発生有無、を応答するように構成されており、
　所定の実行順序に従って、前記ユーザプログラムに含まれる命令を前記揮発性メモリから読み出すステップと、
　前記揮発性メモリから命令を読み出した場合に、当該読み出した命令を格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、誤りが発生している領域のデータを前記バックアップメモリから前記揮発性メモリにロードしなおし、前記揮発性メモリから当該命令を再度読み出すステップと、
　前記揮発性メモリから読み出した命令を実行するステップとを備える、ユーザプログラムの実行制御方法。
　制御対象を制御するための制御装置を実現するためのシステムプログラムであって、
　前記制御装置は、
　　ユーザプログラムを格納する揮発性メモリと、
　　前記揮発性メモリに格納された前記ユーザプログラムと同一内容のバックアップ用のユーザプログラムを格納するバックアップメモリとを備え、
　前記揮発性メモリは、誤り検出用の情報を付加してデータを格納するとともに、読み出し要求に応じて、指定された領域のデータ、および、当該指定された領域に対応する誤り検出用の情報に基づいて決定される当該指定された領域における誤りの発生有無、を応答するように構成されており、
　前記システムプログラムは前記制御装置のプロセッサに、
　　所定の実行順序に従って、前記ユーザプログラムに含まれる命令を前記揮発性メモリから読み出すステップと、
　　前記揮発性メモリから命令を読み出した場合に、当該読み出した命令を格納していた領域に誤りが発生していることが前記揮発性メモリから応答されると、誤りが発生している領域のデータを前記バックアップメモリから前記揮発性メモリにロードしなおし、前記揮発性メモリから当該命令を再度読み出すステップと、
　　前記揮発性メモリから読み出した命令を実行するステップとを実行させる、システムプログラム。