CN110419028B - 控制装置和计算机可读的存储介质 - Google Patents
控制装置和计算机可读的存储介质 Download PDFInfo
- Publication number
- CN110419028B CN110419028B CN201780088378.3A CN201780088378A CN110419028B CN 110419028 B CN110419028 B CN 110419028B CN 201780088378 A CN201780088378 A CN 201780088378A CN 110419028 B CN110419028 B CN 110419028B
- Authority
- CN
- China
- Prior art keywords
- time
- control
- monitoring
- partition
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4812—Task transfer initiation or dispatching by interrupt, e.g. masked
- G06F9/4831—Task transfer initiation or dispatching by interrupt, e.g. masked with variable priority
- G06F9/4837—Task transfer initiation or dispatching by interrupt, e.g. masked with variable priority time dependent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/301—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4812—Task transfer initiation or dispatching by interrupt, e.g. masked
- G06F9/4818—Priority circuits therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45575—Starting, stopping, suspending or resuming virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Microcomputers (AREA)
- Programmable Controllers (AREA)
Abstract
提供控制装置和计算机可读的存储介质。微控制器(200)在用于执行一般控制的第1时间分区中产生了优先控制的中断的情况下,根据第1监视规则进行第1监视,在用于执行安全监视的第2时间分区中产生了优先控制的中断的情况下,根据第2监视规则进行第2监视。在第1时间分区中产生了针对第1监视规则的违规的情况下以及在第2时间分区中产生了针对第2监视规则的违规的情况下,微控制器分别进行安全控制。
Description
技术领域
本发明涉及用于一边进行安全监视一边进行各种控制的技术。
背景技术
在汽车的功能安全标准即ISO 26262和家庭用电气设备的安全标准即IEC 60335-1中,除了通常控制处理以外,还需要进行硬件的故障诊断、外界的危险状态和异常事项的基于传感器的监视等安全监视处理。
在这种安全监视处理中,需要根据***确定的FTTI(Fault Tolerant TimeInterval)来分配CPU时间。CPU是Central Processing Unit的简称。
例如,在从故障产生到检测到故障为止的容许时间为1500毫秒以内的***中,在诊断硬件的诊断对象的全部部位需要500毫秒的情况下,需要保证在1500毫秒周期内对安全监视处理分配500毫秒的CPU时间。当对安全监视处理分配的CPU时间短于500毫秒时,在故障产生时可能无法遵守***确定的FTTI。
在专利文献1所公开的技术中,通过时间划分,对通常控制处理和安全监视处理分别独立地分配CPU时间。因此,保证在一定的周期内对安全监视处理分配一定的CPU时间。
在非专利文献1中公开了在时间划分中的每个循环的末尾确保空闲窗口。
能够在安全监视处理的时间分区中受理来自通常控制处理的中断,在安全监视处理的时间分区中产生了来自通常控制处理的中断的情况下,分配给空闲窗口的CPU时间被转让给安全监视处理的时间分区。由此,能够抑制通常控制处理的延迟,并且保证安全监视处理的CPU时间。
在专利文献2和专利文献3中公开了对中断的产生频度和中断处理的执行时间进行监视的技术。
如果对来自通常控制处理的中断进行这种监视,则在安全监视处理的时间分区中能够受理来自通常控制处理的中断的情况下,能够保证安全监视处理的CPU时间。
现有技术文献
专利文献
专利文献1:国际公开2012/104901号公报;
专利文献2:国际公开2016/046931号公报;
专利文献3:日本特开平07-110774号公报。
非专利文献
非专利文献1:Hiroaki TAKADA,“Introducing a new temporal partitioningscheme to AUTOSAR OS”,8th AUTOSAR Open Conference,October 29th,2015。
发明内容
发明要解决的问题
在发动机控制等传动***ECU(Electronic Control Unit)和EPS(ElectronicPower Steering)等底盘***ECU中,一般而言,马达控制或电力转换等控制处理、通信处理或监视守护程序等非控制处理、以及硬件的故障诊断或外界的异常监视等安全监视处理进行动作。
控制处理是由于以数十微秒~数百微秒的间隔产生的中断而起动并进行反馈控制的处理。在控制处理中,要求极力减小延迟。此外,控制处理不会被其他处理中断。即,在正常处理中以最高优先级执行控制处理。
非控制处理与控制处理相比,允许较大延迟,此外还容许被其他处理中断。在非控制处理中,存在从毫秒级的周期处理起动、此外在CPU时间具有富余的情况下起动这样的特征。
安全监视处理与控制处理相比,允许较大延迟,此外还容许被其他处理中断。但是,如上所述,在数百毫秒~数千毫秒的规定的周期中,需要保证对安全监视处理分配规定的CPU时间。
非专利文献1所公开的技术保证安全监视处理的CPU时间,并且抑制控制处理的延迟。但是,需要在时间划分中的每个循环的末尾确保空闲窗口,因此,产生未使用的CPU时间,无法有效活用CPU时间。
在安全监视处理的时间分区中受理来自控制处理的中断,通过专利文献2和专利文献3的技术,对来自控制处理的中断的产生频度和中断处理的执行时间进行监视,由此能够保证安全监视处理的CPU时间。
但是,在该方法中,在全部时间分区中对中断的产生频度和中断处理的执行时间进行监视,因此,可能在安全监视处理以外的处理的时间分区中检测到违规。其结果,虽然保证了安全监视处理的CPU时间且装置没有问题,但是也判定为装置产生了异常。
此外,由于控制处理不能被中断,因此,需要以比时间分区的切换处理高的优先级使控制处理进行动作。因此,当在安全监视处理的时间分区的紧前的时间分区完成的紧前产生来自控制处理的中断时,时间分区的切换延迟,安全监视处理的时间分区的CPU时间减少。
如专利文献1所公开的技术那样,当按照每1次载波中断来切换时间分区时,时间分区的切换频度变多,CPU开销增加。
另一方面,当以时间分区的切换频度不会成为问题的程度对载波中断进行间疏时,控制处理的起动周期变长,对控制处理造成障碍。
此外,仅在来自控制处理的中断如载波中断那样是固定周期的中断的情况下,能够应用专利文献1所公开的技术。
本发明的目的在于,不会在安全监视处理以外的处理的时间分区中检测到违规,不会虽然保证了安全监视处理的CPU时间但是判定为装置产生了异常。
用于解决问题的手段
本发明的控制装置具有监视部,该监视部在第1时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第1监视规则对应的监视即第1监视,在第2时间分区中产生了控制中断的情况下,进行与第2监视规则对应的监视即第2监视,其中,该第1时间分区是1个周期中包含的多个时间分区中的一个时间分区、并且是用于执行一般控制的时间分区,该第2时间分区是所述多个时间分区中的一个时间分区、并且是用于执行监视有无产生障碍的安全监视的时间分区。
发明的效果
根据本发明,使用安全监视处理以外的处理的时间分区(第1时间分区)用的监视规则,因此,不会在安全监视处理以外的处理的时间分区中检测到违规。因此,不会虽然保证了安全监视处理的CPU时间但是判定为装置产生了异常。
附图说明
图1是实施方式1中的控制装置100的结构图。
图2是实施方式1中的微控制器200的结构图。
图3是实施方式1中的处理器201的结构图。
图4是实施方式1中的主机OS220的结构图。
图5是实施方式1中的访客OS230的结构图。
图6是实施方式1中的划分的概念图。
图7是实施方式1中的调度表224的概念图。
图8是实施方式1中的第1监视表2291的结构图。
图9是实施方式1中的TP切换处理的流程图。
图10是实施方式1中的控制中断处理的流程图。
图11是实施方式1中的第1期满中断处理的流程图。
图12是实施方式1中的VM任务处理的流程图。
图13是实施方式1中的安全监视任务处理的流程图。
图14是实施方式2中的主机OS220的结构图。
图15是实施方式2中的第2监视表2292的结构图。
图16是示出实施方式2中的第1监视表2291的设定的图。
图17是实施方式2中的TP切换处理的流程图。
图18是实施方式2中的TP切换处理的流程图。
图19是实施方式2中的TP切换处理的流程图。
图20是实施方式2中的第2期满中断处理的流程图。
图21是实施方式3中的第2监视表2292的结构图。
图22是示出实施方式3中的第1监视表2291的设定的图。
图23是实施方式3中的TP切换处理的流程图。
图24是实施方式3中的TP切换处理的流程图。
图25是实施方式3中的TP切换处理的流程图。
图26是实施方式中的控制装置100的硬件结构图。
具体实施方式
在实施方式和附图中,对相同要素和对应要素标注相同标号。标注了相同标号的要素的说明适当省略或简化。图中的箭头主要表示数据流或处理流。
实施方式1
根据图1~图13说明用于一边进行安全监视一边进行各种控制的方式。
***结构的说明***
根据图1对控制装置100的结构进行说明。
控制装置100具有微控制器200和周边电路110。
微控制器200是设置在控制装置100中的计算机。
周边电路110是与微控制器200连接的周边电路。
例如,周边电路110是传感器或致动器等。
根据图2对微控制器200的结构进行说明。
微控制器200具有处理器201、存储器202、辅助存储装置203、输入输出接口204、通信控制器205、中断控制器206、计时器207这样的硬件。这些硬件经由信号线而相互连接。
处理器201例如是CPU。
存储器202是易失性存储装置。例如,存储器202是RAM(Random Access Memory)。
辅助存储装置203是非易失性存储装置。例如,辅助存储装置203是ROM(Read OnlyMemory)或闪存。
在输入输出接口204连接有传感器和致动器等。输入输出接口204包含用于得到传感器值的AD转换器和用于对致动器进行控制的PWM电路等。AD是Analog to Digital的简称,PWM是Pulse Width Modulation的简称。
通信控制器205是作为发送机和接收机发挥功能的通信装置。通信控制器205包含CAN控制器和SPI控制器等。CAN是Controller Area Network的简称,SPI是SerialPeripheral Interface的简称。
中断控制器206是用于对中断进行控制的控制器。
计时器207是检测所设定的时间的经过的要素。
微控制器200具有虚拟化辅助功能。
微控制器200具有用于切换处理器201的特权模式的命令。
根据图3对处理器201的结构进行说明。
处理器201在主机模式211或访客模式212下进行动作。
主机模式211和访客模式212是处理器201的特权模式。
主机模式211是用于执行虚拟机监视器的模式。
访客模式212是用于执行虚拟机214的模式。
在主机模式211中,处理器201作为主机OS220发挥功能。主机OS220发挥虚拟机监视器的作用。
主机OS220是主机模式211中的OS(Operating System:操作***)。
虚拟机监视器对虚拟机214进行控制。虚拟机监视器被称为VMM。
在访客模式212中,处理器201作为虚拟机214发挥功能。
虚拟机214是通过软件虚拟构筑的计算机。虚拟机214被称为VM。
将虚拟机214中的OS称为访客OS230。
主机OS220在主机模式211下进行动作,能够访问微控制器200的全部硬件资源。
访客OS230在访客模式212下进行动作,无法访问主机OS220使用的硬件资源。
在控制装置100是车载控制装置的情况下,使用AUTOSAR OS作为访客OS230。AUTOSAR是Automotive Open System Architecture(汽车开放***架构)的简称。
微控制器200具有对存储器202、输入输出接口204和中断控制器206等硬件资源进行分割的功能。进而,微控制器200具有以独占或共享的方式对虚拟机214和主机OS220分配硬件资源的功能。
虚拟机214利用被分配的硬件资源进行动作。例如,在虚拟机214的执行中产生了针对虚拟机214的中断的情况下,不转变为主机模式,而在虚拟机214中直接受理中断。此外,在产生了针对其他虚拟机的中断的情况下,该中断被保留。此外,在虚拟机214的执行中产生了针对主机OS220的中断的情况下,虚拟机214的执行被中断,转变为主机模式,在主机OS220中受理中断。
通过处理器201执行主机OS220,由此提供任务管理功能、任务调度功能、中断管理功能、时间管理功能和资源管理功能等。
作为与确保安全相关联的功能,主机OS220具有在空间和时间上保护被分割的硬件资源的功能。
例如,空间上的保护是基于处理器201的一部分即MPU(Memory Protection Unit)对存储器202的保护、以及基于微控制器200所具有的***保护功能对输入输出接口204的保护等。
例如,时间上的保护通过针对处理器201的执行时间的划分或控制中断的监视等来实现。
根据图4对主机OS220的结构进行说明。
主机OS220具有VM任务221、VM管理部222、调度器223、调度表224、安全监视任务225、控制中断受理部226、安全控制部227、监视部228、第1监视表2291。
VM任务221是用于执行虚拟机214的任务。
VM管理部222发挥虚拟机监视器的作用,进行虚拟机214的管理。具体而言,VM管理部222进行针对虚拟机214的硬件资源的分配、特权模式的切换、虚拟机214的上下文的保存和复原等。
调度器223使用调度表224进行针对处理器201的执行时间的划分以及在主机OS220上进行动作的任务的调度。例如,调度是执行时间的分配。
调度表224是表示时间分区和任务的调度的表。
安全监视任务225是用于执行安全监视的任务。安全监视是监视有无产生障碍(failure)的处理。例如,安全监视是被称为故障诊断的处理和被称为异常监视的处理。
控制中断受理部226受理控制中断。控制中断是作为优先控制的契机的中断。优先控制在后面叙述。
安全控制部227进行安全控制。安全控制是产生了障碍时用的处理。例如,安全控制是故障保护处理或故障操作处理。
监视部228根据第1监视表2291中设定的监视规则进行监视。
第1监视表2291是设定了每个时间分区的监视规则的表。
根据图5对访客OS230的结构进行说明。
访客OS230具有调度器231、优先控制例行程序232、一般控制任务233。
调度器231进行在访客OS230上进行动作的任务的调度。
优先控制例行程序232是优先控制用的例行程序。优先控制是产生了控制中断时的控制。优先控制的优先级比一般控制和安全监视高,优先于一般控制和安全监视来执行。具体而言,优先控制例行程序232作为ISR(Interrupt Service Routine)进行安装。在访客OS230是AUTOSAR OS的情况下,优先控制例行程序232能够作为Category 1ISR进行安装。
一般控制任务233是用于执行一般控制的任务。一般控制是优先控制以外的控制。
根据图6对调度器223的划分进行说明。
将预定的一定的时间称为1个周期。
1个周期被分割成多个时间分区(TP)。时间分区是1个周期中的一定的时间。在图6中,1个周期被分割成3个时间分区。
对各个时间分区分配一个以上的任务。
调度器223按照每1个周期对多个时间分区进行管理,按照每个时间分区对任务进行管理。在对时间分区分配了多个任务的情况下,调度器223根据多个任务各自的优先级对多个任务进行调度。
根据图7对调度表224中设定的内容的具体例进行说明。
在调度表224中,作为1个周期中包含的多个时间分区,设定第1时间分区和第2时间分区。
第1时间分区(TP1)是被分配了VM任务221的时间分区。第1时间分区的长度为T1。
VM任务是执行虚拟机214的任务。
第2时间分区(TP2)是被分配了安全监视任务225的时间分区。第2时间分区的长度为T2。
根据图8对第1监视表2291的结构进行说明。
第1监视表2291具有中断编号、第1监视规则、第2监视规则、第1监视历史、第2监视历史的各个栏。
中断编号的栏示出对中断进行识别的编号即中断编号。
中断编号NP是对控制中断进行识别的编号。
第1监视规则的栏示出第1时间分区中的监视规则即第1监视规则。
在第1时间分区中产生了控制中断的情况下,监视部228进行第1监视。第1监视是与第1监视规则对应的监视。
具体而言,第1监视规则是对第1时间分区中的优先控制的执行时间进行限制的规则。作为第1监视,监视部228对第1时间分区中的优先控制的执行时间进行监视。
在第1时间分区中产生了针对第1监视规则的违规的情况下,安全控制部227进行安全控制。
第2监视规则的栏示出第2时间分区中的监视规则即第2监视规则。
在第2时间分区中产生了控制中断的情况下,监视部228进行第2监视。第2监视是与第2监视规则对应的监视。
具体而言,第2监视规则是限制第2时间分区中的优先控制的执行次数和执行时间的规则。作为第2监视,监视部228对第2时间分区中的优先控制的执行次数和执行时间进行监视。
在第2时间分区中产生了针对第2监视规则的违规的情况下,安全控制部227进行安全控制。
第1监视规则的栏和第2监视规则的栏分别具有执行次数的栏和执行时间的栏。
执行次数的栏示出执行优先控制的次数的上限。执行次数的栏中的NULL意味着不需要进行执行次数的监视。
执行时间的栏示出执行优先控制的时间的上限。
第1监视历史的栏示出第1时间分区中的优先控制的执行次数。
第2监视历史的栏示出第2时间分区中的优先控制的执行次数。
***动作的说明***
控制装置100的动作相当于控制方法。此外,控制方法的步骤相当于控制程序的步骤。
根据图9对TP切换处理进行说明。
TP切换处理是用于切换时间分区的处理。
通过调度器223,每当主机OS220的TIC(task interrupt control)中断时执行TP切换处理。
在步骤S111中,调度器223判定当前时刻是否是TP切换时刻。TP切换时刻是切换时间分区的时刻。
具体而言,调度器223参照调度表224中设定的当前的时间分区的分配时间,判定当前的时间分区的执行时间是否超过了当前的时间分区的分配时间。在当前的时间分区的执行时间超过了当前的时间分区的分配时间的情况下,当前时刻是TP切换时刻。
在当前时刻是TP切换时刻的情况下,处理进入步骤S112。
在当前时刻不是TP切换时刻的情况下,处理进入步骤S119。
在步骤S112中,调度器223判定是否存在执行中任务。执行中任务是当前正在执行的任务。
在存在执行中任务的情况下,处理进入步骤S113。
在不存在执行中任务的情况下,处理进入步骤S116。
在步骤S113中,调度器223判定是否处于VM任务221的执行中。即,调度器223判定执行中任务是否是VM任务221。
在处于VM任务221的执行中的情况下,处理进入步骤S114。
在未处于VM任务221的执行中的情况下,处理进入步骤S116。
在步骤S114中,调度器223保存VM上下文。
VM上下文是虚拟机214的上下文。
在步骤S115中,调度器223设定VM任务221的再次开始地址。
VM任务221的再次开始地址是再次开始VM任务221时的执行地址。
执行地址是存储有被执行的命令的区域的地址。
具体而言,调度器223将VM任务221的TCB(Task Control Block)中的程序计数器改写为复原VM上下文并起动虚拟机214的处理的紧前的执行地址(图12的步骤S401的紧前的执行地址)。
在步骤S116中,调度器223保存执行中上下文。执行中上下文是执行中任务的上下文。
在步骤S117中,调度器223对当前监视历史进行复位。当前监视历史是当前的时间分区的监视历史。
具体而言,调度器223从第1监视表2291中选择当前的时间分区的监视历史,将选择出的监视历史中设定的执行次数更新为0。
在步骤S118中,调度器223参照调度表224决定下一个时间分区,开始下一个时间分区。
在步骤S119中,调度器223在下一个时间分区中进行任务调度。
具体而言,调度器223参照调度表224中设定的下一个时间分区的任务调度,按照所参照的任务调度进行任务调度。
根据图10对控制中断处理进行说明。
控制中断处理是产生了控制中断的情况下的处理。
在控制中断受理部226受理了控制中断时执行控制中断处理。
在步骤S201中,控制中断受理部226保存中断时上下文。中断时上下文是中断时任务的上下文。中断时任务是产生了控制中断时执行的任务。
在步骤S202中,控制中断受理部226调出监视部228,监视部228对当前监视历史进行更新。
具体而言,监视部228从第1监视表2291中选择当前的时间分区的监视历史,对选择出的监视历史中设定的执行次数加1。
在步骤S203中,监视部228判定是否产生了执行次数的规则违规。
具体而言,监视部228如下所述进行判定。
首先,监视部228从第1监视表2291取得当前的时间分区的监视规则中设定的执行次数和当前的时间分区的监视历史中设定的执行次数。
接着,监视部228将监视历史的执行次数与监视规则的执行次数进行比较。但是,在监视规则的执行次数为NULL的情况下,监视部228不将监视历史的执行次数与监视规则的执行次数进行比较。
在监视历史的执行次数比监视规则的执行次数多的情况下,监视部228判定为产生了执行次数的规则违规。
在监视历史的执行次数为监视规则的执行次数以下的情况下,监视部228判定为未产生执行次数的规则违规。此外,在监视规则的执行次数为NULL的情况下,监视部228判定为未产生执行次数的规则违规。
在产生了执行次数的规则违规的情况下,处理进入步骤S210。
在未产生执行次数的规则违规的情况下,处理进入步骤S204。
在步骤S204中,监视部228起动控制监视计时器。控制监视计时器是用于监视优先控制的执行时间的计时器。
具体而言,监视部228从第1监视表2291取得当前的时间分区的监视规则中设定的执行时间,在计时器中设定所取得的执行时间,起动计时器。被起动的计时器是控制监视计时器。
在步骤S205中,控制中断受理部226将处理器201的特权模式从主机模式转变为访客模式。
在步骤S206中,虚拟机214在访客模式下从优先控制例行程序232的开头起执行优先控制例行程序232。
在步骤S207中,虚拟机214将处理器201的特权模式从访客模式转变为主机模式。
具体而言,虚拟机214执行优先控制例行程序232中包含的转变命令,由此将处理器201的特权模式从访客模式转变为主机模式。
在步骤S208中,监视部228停止控制监视计时器。
在步骤S209中,控制中断受理部226对中断时上下文进行复原。
在步骤S209之后,产生了控制中断时执行的任务再次开始。
在步骤S210中,控制中断受理部226调出安全控制部227,安全控制部227执行安全控制。
根据图11对第1期满中断处理进行说明。
第1期满中断处理是产生了第1期满中断的情况下的处理。第1期满中断是步骤S204(参照图10)中起动的控制监视计时器期满时产生的中断。控制监视计时器的期满意味着经过控制监视计时器中设定的时间。
在监视部228受理了第1期满中断时执行第1期满中断处理。
在步骤S301中,监视部228开始执行第1期满中断例行程序。第1期满中断例行程序作为监视部228的一部分进行安装。
在步骤S310中,监视部228调出安全控制部227,安全控制部227执行安全控制。具体而言,监视部228执行第1期满中断例行程序中包含的调出命令,由此调出安全控制部227。
根据图12对VM任务处理进行说明。
VM任务处理是由VM任务221执行的处理。
在步骤S401中,VM任务221对VM上下文进行复原。
在步骤S402中,VM任务221起动虚拟机214。具体而言,VM任务221通过转变命令将处理器201的特权模式从主机模式转变为访客模式。由此,虚拟机214被起动。
在虚拟机214的执行中,当通过调度器223中断VM任务221后,调度器223设定VM任务221的再次开始地址。
即,在VM任务221中断时,虚拟机214的执行也被中断,在VM任务221的再次开始时,虚拟机214的执行也再次开始。
根据图13对安全监视任务处理进行说明。
安全监视任务处理是由安全监视任务225执行的处理。
在步骤S501中,安全监视任务225执行安全监视。
在步骤S502中,安全监视任务225根据安全监视的结果判定有无产生障碍。
在产生了障碍的情况下,处理进入步骤S510。
在未产生障碍的情况下,处理进入步骤S501。
在步骤S510中,安全监视任务225调出安全控制部227,安全控制部227执行安全控制。
***实施方式1的补充***
优先控制也称为控制处理,一般控制也称为非控制处理。
安全监视也称为安全监视处理,安全控制也称为安全控制处理。
控制处理用的应用、非控制处理用的应用、安全监视处理用的应用和安全控制处理用的应用存储在辅助存储装置203中,被读入到存储器202,通过处理器201来执行。也可以由处理器201直接执行辅助存储装置203中存储的应用。
控制处理用的应用是控制处理的执行图像。非控制处理用的应用是非控制处理的执行图像。安全监视处理用的应用是安全监视处理的执行图像。安全控制处理用的应用是安全控制处理的执行图像。
各要素的优先级如下所述进行设定。
监视部228的一部分即期满中断例行程序的优先级比控制中断受理部226的优先级高。
控制中断受理部226的优先级与优先控制例行程序232的优先级相同。
优先控制例行程序232的优先级比调度器223的优先级高。
调度器223的优先级比安全监视任务225的优先级高。
一般控制任务233的优先级比调度器223的优先级低。
控制中断是OS的管理外的中断。
微控制器200具有主机OS220和访客OS230这样的软件要素。软件要素是通过软件实现的要素。
在辅助存储装置203中存储有用于使计算机作为主机OS220和访客OS230发挥功能的控制程序。控制程序载入到存储器202,通过处理器201来执行。也可以由处理器201直接执行辅助存储装置203中存储的控制程序。
微控制器200也可以具有代替处理器201的多个处理器。多个处理器分担处理器201的作用。
控制程序能够以计算机可读取的方式存储在磁盘、光盘或闪存等非易失性存储介质中。非易失性存储介质是非暂时性的有形介质。
***实施方式1的效果***
根据实施方式1,能够抑制不必要的异常检测和CPU开销,并且实现安全监视处理的CPU时间的保证和控制处理的延迟的抑制。
在实施方式1中,根据时间分区的切换对控制中断的监视规则进行切换。由此,能够解决专利文献2和专利文献3的课题。即,能够解决如下的课题:虽然保证了安全监视处理的CPU时间且装置没有问题,但是在安全监视处理以外的处理的时间分区中检测到违规的结果判定为装置产生了异常。
此外,优先控制例行程序232和控制中断受理部226是OS管理外中断,因此,即使在访客OS和主机OS的中断禁止中也能够受理中断。因此,能够抑制优先控制的延迟。
此外,通过虚拟机214执行优先控制例行程序232和一般控制任务233。因此,能够使优先控制例行程序232和一般控制任务233在空间上和时间上独立于安全监视任务225和安全控制部227。由此,能够保证安全监视处理的CPU时间。此外,能够以比安全监视任务225和安全控制部227要求的安全级水准低的安全级水准开发优先控制例行程序232和一般控制任务233。
实施方式2
针对代替监视第1时间分区中的优先控制的执行时间而监视第1时间分区的执行时间的方式,根据图14~图20主要对与实施方式1不同之处进行说明。
***结构的说明***
根据图14对主机OS220的结构进行说明。
主机OS220除了具有实施方式1(参照图4)中说明的要素以外,还具有第2监视表2292。
第2监视表2292是设定了每个时间分区的监视规则的表。
根据图15对第2监视表2292的结构进行说明。
第2监视表2292具有TP编号、监视标志、监视规则、期满预定时刻的各个栏。
TP编号的栏示出对时间分区进行识别的编号即TP编号。
监视标志的栏示出表示是否需要安全监视的标志即监视标志的值。
在监视标志的值为ON(有效)的情况下,需要安全监视。
在监视标志的值为OFF(无效)的情况下,不需要安全监视。
监视规则的栏示出每个时间分区的监视规则。具体而言,监视规则的栏按照每个时间分区示出时间分区的执行时间的上限。
与TP1对应的监视规则是第1监视规则。
第1监视规则是限制第1时间分区的执行时间的规则。
第1时间分区的执行时间是对第1时间分区中的一般控制的执行时间和第1时间分区中的优先控制的执行时间进行合计而得到的时间。
与TP2对应的监视规则是第2监视规则。
第2监视规则为NULL,因此,不存在针对第2时间分区的执行时间的监视规则。
期满预定时刻的栏示出时间分区的期满预定时刻。
期满预定时刻是从时间分区的开始时刻起经过了时间分区的分配时间(一般控制的执行时间)时的时刻。
在监视标志的值为OFF的情况下,期满预定时刻为零。
根据图16对第1监视表2291的设定进行说明。
在第1监视规则中,执行次数和执行时间为NULL。因此,在第1时间分区中的优先控制中不存在监视规则。
根据图15的第2监视表2292,作为第1监视,监视部228对第1时间分区的执行时间进行监视。
根据图16的第1监视表2291,作为第2监视,监视部228对第2时间分区中的优先控制的执行次数和执行时间进行监视。
***动作的说明***
根据图17、图18和图19对TP切换处理进行说明。
在图17中,步骤S111~步骤S117的处理如实施方式1(参照图9)中说明的那样。
在步骤S117之后,处理进入步骤S120(参照图18)。
在步骤S120(参照图18)中,调度器223判定当前的时间分区是否是TP监视对象。TP监视对象是作为对时间分区的执行时间进行监视的对象的时间分区。
具体而言,调度器223从第2监视表2292中选择当前的时间分区的监视标志,判定选择出的监视标志的值是否为ON。
在当前的时间分区是TP监视对象的情况下,处理进入步骤S121。
在当前的时间分区不是TP监视对象的情况下,处理进入步骤S126。
在步骤S121中,当前的时间分区用的TP监视计时器进行动作。TP监视计时器是用于对时间分区的执行时间进行监视的计时器。
调度器223停止当前的时间分区的TP监视计时器。
在步骤S122中,对虚拟机214分配控制中断。
调度器223调出VM管理部222,VM管理部222将控制中断分配给主机OS220。在控制中断被分配给主机OS220后,通过主机OS220受理控制中断。
在步骤S123中,调度器223调出监视部228,监视部228判定是否过了期满预定时刻。
即,监视部228判定是否经过了第1时间分区的分配时间(一般控制的执行时间)。
具体而言,监视部228如下所述进行判定。
首先,监视部228从第2监视表2292取得当前的时间分区的期满预定时刻。
然后,监视部228将当前时刻与当前的时间分区的期满预定时刻进行比较。
在过了期满预定时刻的情况下,处理进入步骤S124。
在没过期满预定时刻的情况下,处理进入步骤S126。
在步骤S124中,调度器223判定下一个时间分区是否是控制监视对象。控制监视对象是作为对时间分区中的优先控制进行监视的对象的时间分区。
具体而言,调度器223如下所述进行判定。
首先,调度器223参照调度表224,由此确定下一个时间分区。
接着,调度器223从第1监视表2291中选择下一个时间分区的监视规则。
然后,调度器223判定是否选择出的监视规则中执行次数和执行时间中的至少任意一方是NULL以外的值。
在执行次数和执行时间中的至少任意一方是NULL以外的值的情况下,下一个时间分区是控制监视对象。
在下一个时间分区是控制监视对象的情况下,处理进入步骤S125。
在下一个时间分区不是控制监视对象的情况下,处理进入步骤S126。
在步骤S125中,调度器223调出监视部228,监视部228对下一个监视历史进行更新。下一个监视历史是下一个时间分区的监视历史。
具体而言,监视部228从第1监视表2291中选择下一个时间分区的监视历史,对选择出的监视历史中设定的执行次数加1。
在步骤S126中,调度器223判定下一个时间分区是否是TP监视对象。
具体而言,调度器223从第2监视表2292中选择下一个时间分区的监视标志,判定选择出的监视标志的值是否是ON。
在下一个时间分区是TP监视对象的情况下,处理进入步骤S127。
在下一个时间分区不是TP监视对象的情况下,处理进入步骤S118(参照图19)。
在步骤S127中,调度器223调出VM管理部222,VM管理部222将控制中断分配给虚拟机214。在控制中断被分配给虚拟机214后,通过虚拟机214受理控制中断。
在步骤S128中,调度器223起动下一个时间分区用的TP监视计时器。
具体而言,调度器223从第2监视表2292取得下一个时间分区的监视规则中设定的执行时间,在计时器中设定所取得的执行时间,起动计时器。被起动的计时器是下一个时间分区用的TP监视计时器。
在步骤S129中,调度器223调出监视部228,监视部228设定下一个期满预定时刻。下一个期满预定时刻是下一个时间分区的期满预定时刻。
具体而言,监视部228如下所述设定下一个时间分区的期满预定时刻。
首先,监视部228计算从当前时刻起经过了下一个时间分区的分配时间时的时刻。计算出的时刻是期满预定时刻。
接着,监视部228计算与期满预定时刻对应的计时器计数值。
接着,监视部228从第2监视表2292中选择下一个时间分区的期满预定时刻的栏。
然后,监视部228在选择出的期满预定时刻的栏中设定计时器计数值。
在步骤S129之后,处理进入步骤S118(参照图19)。
在图19中,步骤S118和步骤S119如实施方式1(参照图9)中说明的那样。
根据图20对第2期满中断处理进行说明。
第2期满中断处理是产生了第2期满中断的情况下的处理。第2期满中断是步骤S128(参照图18)中起动的TP监视计时器期满时产生的中断。TP监视计时器的期满意味着经过TP监视计时器中设定的时间。即,在第1时间分区中产生了针对第1监视规则的违规的情况下产生第2期满中断。
在监视部228受理了第2期满中断时执行第2期满中断处理。
在步骤S601中,监视部228开始执行第2期满中断例行程序。第2期满中断例行程序作为监视部228的一部分进行安装。
在步骤S610中,监视部228调出安全控制部227,安全控制部227执行安全控制。具体而言,监视部228执行第2期满中断例行程序中包含的调出命令,由此调出安全控制部227。
***实施方式2的补充***
第1时间分区中的控制中断是在访客模式212下受理的中断。
第2时间分区中的控制中断是在主机模式211下受理的中断。
监视部228在第1时间分区中过了时间分区的期满预定时刻、且在第1时间分区中未产生针对第2监视表2292中定义的第1监视规则的违规的情况下,对第2时间分区中的优先控制的执行次数加1。
监视部228在第1时间分区中过了时间分区的期满预定时刻、且在第1时间分区中产生了针对第2监视表2292中定义的第1监视规则的违规的情况下,调出安全控制部227。
***实施方式2的效果***
在实施方式2中,代替监视控制中断的执行次数和控制中断的执行时间而监视时间分区的执行时间。由此,保证了安全监视任务225的执行时间。此外,在虚拟机214的执行中产生了控制中断的情况下,不需要为了使监视部228的控制中断的监视有效化而转变为主机模式。由此,在虚拟机214的执行中,也能够通过虚拟机214直接受理控制中断。因此,能够抑制优先控制例行程序232的执行开销。由此,能够抑制伴随上下文的切换的CPU负荷的增大。
在实施方式2中,在由于控制中断而使VM任务221用的时间分区的执行时间延长了的情况下,安全监视任务225用的时间分区中的控制中断的执行次数增加。即,在由于VM任务221即将结束时产生的控制中断而使VM任务221用的时间分区延长、安全监视任务225用的时间分区的执行时间减少了的情况下,设为在安全监视任务225用的时间分区中产生了控制中断,对执行次数进行计数。由此,能够在安全监视任务225用的时间分区中确保安全监视任务225的执行时间。
实施方式3
针对在从第1时间分区切换为第2时间分区的切换时刻的一定时间之前将控制中断的受理目的地从访客模式212切换为主机模式211的方式,根据图21~图25主要对与实施方式1和实施方式2不同之处进行说明。
根据图21对第2监视表2292的结构进行说明。
第2监视表2292代替实施方式2(参照图15)中说明的期满预定时刻的栏而具有切换时间、中断编号、切换目的地的各个栏。
切换时间的栏示出切换时间。切换时间是确定对中断的受理目的地进行切换的时刻的时间。具体而言,切换时间的栏示出切换时的时间分区的执行时间。
中断编号的栏示出对中断进行识别的编号即中断编号。中断编号NP是控制中断的中断编号。
切换目的地的栏示出切换目的地。切换目的地是切换后的控制中断的受理目的地。
根据图22对第1监视表2291的设定进行说明。
第1监视表2291的设定与实施方式2(参照图16)中的设定相同。
***动作的说明***
根据图23、图24和图25对TP切换处理进行说明。
在图23中,步骤S111~步骤S117的处理如实施方式1(参照图9)中说明的那样。
在步骤S111中判定为当前时刻不是TP切换时刻的情况下,处理进入步骤S131(参照图25)。
在步骤S117之后,处理进入步骤S120(参照图24)。
在图24中,步骤S120~步骤S122的处理和步骤S126~步骤S128的处理如实施方式2(参照图18)中说明的那样。
此外,步骤S118和步骤S119如实施方式1(参照图9)中说明的那样。
在步骤S131(参照图25)中,调度器223判定当前的时间分区是否是TP监视对象。判定方法与实施方式2中步骤S120(参照图18)中说明的方法相同。
在当前的时间分区是TP监视对象的情况下,处理进入步骤S132。
在当前的时间分区不是TP监视对象的情况下,处理进入步骤S119(参照图24)。
在步骤S132中,调度器223判定当前时刻是否是中断切换时刻。中断切换时刻是对控制中断的中断目的地进行切换的时刻。
具体而言,调度器223从第2监视表2292取得当前的时间分区的切换时间,判定当前的时间分区的执行时间是否超过了当前的时间分区的切换时间。在当前的时间分区的执行时间超过了当前的时间分区的切换时间的情况下,当前时刻是中断切换时刻。
在当前时刻是中断切换时刻的情况下,处理进入步骤S133。
在当前时刻不是中断切换时刻的情况下,处理进入步骤S119(参照图24)。
在步骤S133中,调度器223判定下一个时间分区是否是控制监视对象。判定方法与实施方式2中步骤S124(参照图18)中说明的方法相同。
在下一个时间分区是控制监视对象的情况下,处理进入步骤S134。
在下一个时间分区不是控制监视对象的情况下,处理进入步骤S119(参照图24)。
在步骤S134中,调度器223调出VM管理部222,VM管理部222将控制中断分配给主机OS。
***实施方式3的补充***
除了第1时间分区的结束前的一定时间以外,第1时间分区中的控制中断是在访客模式212下受理的中断。
第1时间分区的结束前的一定时间中的控制中断是在主机模式211下受理的中断。
第2时间分区中的控制中断是在主机模式211下受理的中断。
***实施方式3的效果***
在实施方式3中,从时间分区的结束时刻往前倒控制中断的最差执行时间,将控制中断的分配目的地从虚拟机214变更为主机OS220。由此,在由于VM任务221用的时间分区即将结束时产生的控制中断而使VM任务221用的时间分区延长、且安全监视任务225用的时间分区的执行时间减少的情况下,设为在安全监视任务225用的时间分区中产生了控制中断,对执行次数进行计数。其结果,能够在安全监视任务225用的时间分区中确保安全监视任务225的执行时间。
***实施方式的补充***
在实施方式中,控制装置100的功能可以通过硬件实现。
图26中示出控制装置100的功能通过硬件实现的情况下的结构。
控制装置100具有处理电路990。处理电路990也称为处理线路。
处理电路990是实现处理器201、存储器202、辅助存储装置203的专用电子电路。
例如,处理电路990是单一电路、复合电路、程序化的处理器、并行程序化的处理器、逻辑IC、GA、ASIC、FPGA或它们的组合。GA是Gate Array的简称,ASIC是ApplicationSpecific Integrated Circuit的简称,FPGA是Field Programmable Gate Array的简称。
控制装置100也可以具有代替处理电路990的多个处理电路。多个处理电路分担处理电路990的作用。
实施方式是优选方式的例示,并不意图限制本发明的技术范围。实施方式可以实施一部分,也可以与其他方式组合实施。使用流程图等说明的步骤也可以适当变更。
标号说明
100:控制装置;110:周边电路;200:微控制器;201:处理器;202:存储器;203:辅助存储装置;204:输入输出接口;205:通信控制器;206:中断控制器;207:计时器;211:主机模式;212:访客模式;214:虚拟机;220:主机OS;221:VM任务;222:VM管理部;223:调度器;224:调度表;225:安全监视任务;226:控制中断受理部;227:安全控制部;228:监视部;2291:第1监视表;2292:第2监视表;230:访客OS;231:调度器;232:优先控制例行程序;233:一般控制任务;990:处理电路。
Claims (13)
1.一种控制装置,其具有:
监视部,其在第1时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第1监视规则对应的监视即第1监视,所述第1监视规则是限制所述第1时间分区中的所述优先控制的执行时间的规则,在第2时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第2监视规则对应的监视即第2监视,所述第2监视规则是限制所述第2时间分区中的所述优先控制的执行次数和执行时间的规则,其中,该第1时间分区是1个周期中包含的多个时间分区中的一个时间分区、并且是用于执行一般控制的时间分区,该第2时间分区是所述多个时间分区中的一个时间分区、并且是用于执行监视有无产生障碍的安全监视的时间分区,所述一般控制是所述优先控制以外的控制;以及
安全控制部,其在所述第1时间分区中产生了针对所述第1监视规则的违规的情况下以及在所述第2时间分区中产生了针对所述第2监视规则的违规的情况下,分别进行产生了障碍时用的安全控制。
2.根据权利要求1所述的控制装置,其中,
所述一般控制和所述优先控制是在访客模式下执行的处理,
所述安全监视和所述安全控制是以主机模式执行的处理。
3.根据权利要求1所述的控制装置,其中,
作为所述第1监视,所述监视部对所述第1时间分区中的所述优先控制的执行时间进行监视,
作为所述第2监视,所述监视部对所述第2时间分区中的所述优先控制的执行次数和执行时间进行监视。
4.根据权利要求2所述的控制装置,其中,
作为所述第1监视,所述监视部对所述第1时间分区中的所述优先控制的执行时间进行监视,
作为所述第2监视,所述监视部对所述第2时间分区中的所述优先控制的执行次数和执行时间进行监视。
5.根据权利要求1~4中的任意一项所述的控制装置,其中,
所述控制中断是操作***的管理外的中断,
所述管理外的中断是在操作***的中断禁止中也能够被受理的中断。
6.根据权利要求1或2所述的控制装置,其中,
所述第1监视规则是限制对所述第1时间分区中的所述一般控制的执行时间和所述第1时间分区中的所述优先控制的执行时间进行合计而得到的所述第1时间分区的执行时间的规则,
作为所述第1监视,所述监视部对所述第1时间分区的执行时间进行监视。
7.根据权利要求6所述的控制装置,其中,
所述第1时间分区中的所述控制中断是不经由主机模式地在访客模式下直接受理的中断,
所述第2时间分区中的所述控制中断是在主机模式下受理的中断。
8.根据权利要求6所述的控制装置,其中,
所述监视部在所述第1时间分区中经过了所述第1时间分区的执行时间的情况下,对所述第2时间分区中的所述优先控制的执行次数加1。
9.根据权利要求7所述的控制装置,其中,
所述监视部在所述第1时间分区中经过了所述第1时间分区的执行时间的情况下,对所述第2时间分区中的所述优先控制的执行次数加1。
10.根据权利要求6所述的控制装置,其中,
除了所述第1时间分区的结束前的一定时间以外,所述第1时间分区中的所述控制中断是在访客模式下受理的中断,
所述第1时间分区的所述一定时间中的所述控制中断是在主机模式下受理的中断,
所述第2时间分区中的所述控制中断是在主机模式下受理的中断。
11.一种存储了控制程序的计算机可读的存储介质,该控制程序用于使计算机执行以下处理:
监视处理,在第1时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第1监视规则对应的监视即第1监视,所述第1监视规则是限制所述第1时间分区中的所述优先控制的执行时间的规则,在第2时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第2监视规则对应的监视即第2监视,所述第2监视规则是限制所述第2时间分区中的所述优先控制的执行次数和执行时间的规则,其中,该第1时间分区是1个周期中包含的多个时间分区中的一个时间分区、并且是用于执行一般控制的时间分区,该第2时间分区是所述多个时间分区中的一个时间分区、并且是用于执行监视有无产生障碍的安全监视的时间分区,所述一般控制是所述优先控制以外的控制;以及
安全控制处理,在所述第1时间分区中产生了针对所述第1监视规则的违规的情况下以及在所述第2时间分区中产生了针对所述第2监视规则的违规的情况下,分别进行产生了障碍时用的安全控制。
12.一种控制装置,其具有监视部,该监视部在第1时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第1监视规则对应的监视即第1监视,在第2时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第2监视规则对应的监视即第2监视,其中,该第1时间分区是1个周期中包含的多个时间分区中的一个时间分区、并且是用于执行一般控制的时间分区,该第2时间分区是所述多个时间分区中的一个时间分区、并且是用于执行监视有无产生障碍的安全监视的时间分区,所述一般控制是所述优先控制以外的控制,其中,
所述第1监视规则是限制对所述第1时间分区中的所述一般控制的执行时间和所述第1时间分区中的所述优先控制的执行时间进行合计而得到的所述第1时间分区的执行时间的规则,
作为所述第1监视,所述监视部对所述第1时间分区的执行时间进行监视,
所述第2监视规则是限制所述第2时间分区中的所述优先控制的执行次数和所述优先控制的执行时间的规则,
作为所述第2监视,所述监视部对所述第2时间分区中的所述优先控制的执行次数和执行时间进行监视。
13.一种存储了控制程序的计算机可读的存储介质,该控制程序用于使计算机执行监视处理,在该监视处理中,在第1时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第1监视规则对应的监视即第1监视,在第2时间分区中产生了作为优先控制的契机的控制中断的情况下,进行与第2监视规则对应的监视即第2监视,其中,该第1时间分区是1个周期中包含的多个时间分区中的一个时间分区、并且是用于执行一般控制的时间分区,该第2时间分区是所述多个时间分区中的一个时间分区、并且是用于执行监视有无产生障碍的安全监视的时间分区,所述一般控制是所述优先控制以外的控制,其中,
所述第1监视规则是限制对所述第1时间分区中的所述一般控制的执行时间和所述第1时间分区中的所述优先控制的执行时间进行合计而得到的所述第1时间分区的执行时间的规则,
作为所述第1监视,在所述监视处理中对所述第1时间分区的执行时间进行监视,
所述第2监视规则是限制所述第2时间分区中的所述优先控制的执行次数和所述优先控制的执行时间的规则,
作为所述第2监视,在所述监视处理中对所述第2时间分区中的所述优先控制的执行次数和执行时间进行监视。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/011245 WO2018173123A1 (ja) | 2017-03-21 | 2017-03-21 | 制御装置および制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110419028A CN110419028A (zh) | 2019-11-05 |
| CN110419028B true CN110419028B (zh) | 2023-06-30 |
Family
ID=60570386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780088378.3A Active CN110419028B (zh) | 2017-03-21 | 2017-03-21 | 控制装置和计算机可读的存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200233702A1 (zh) |
| JP (1) | JP6242557B1 (zh) |
| CN (1) | CN110419028B (zh) |
| WO (1) | WO2018173123A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020052960A (ja) * | 2018-09-28 | 2020-04-02 | 株式会社デンソーテン | 車両制御装置および車両制御方法 |
| EP3671450A1 (en) * | 2018-12-18 | 2020-06-24 | Aptiv Technologies Limited | Virtual electronic control units in autosar |
| JP7243459B2 (ja) * | 2019-05-31 | 2023-03-22 | 株式会社デンソー | 車両用装置 |
| WO2020261519A1 (ja) * | 2019-06-27 | 2020-12-30 | 三菱電機株式会社 | 電子制御ユニット及びプログラム |
| JP7322734B2 (ja) * | 2020-02-05 | 2023-08-08 | 株式会社デンソー | 制御装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2653822Y (zh) * | 2003-10-29 | 2004-11-03 | 北京科技大学 | 数字与模拟技术相结合的图像监控装置 |
| CN105301955A (zh) * | 2015-10-19 | 2016-02-03 | 中国航空无线电电子研究所 | 一种***级重构管理应用软件主从切换方法 |
| US9373253B2 (en) * | 2013-04-17 | 2016-06-21 | Toyota Jidosha Kabushiki Kaisha | Safety controller and safety control method |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073354A (ja) * | 2000-08-29 | 2002-03-12 | Ricoh Co Ltd | タスク制御装置とタスク制御方法 |
| JP4856983B2 (ja) * | 2006-03-02 | 2012-01-18 | 株式会社日立製作所 | ストレージシステム及びスケジューリング方法 |
| JP5151791B2 (ja) * | 2008-08-07 | 2013-02-27 | 日本精工株式会社 | 電動パワーステアリング装置 |
| WO2012070102A1 (ja) * | 2010-11-22 | 2012-05-31 | 三菱電機株式会社 | 計算機装置及びプログラム |
| EP2833264B1 (en) * | 2012-03-29 | 2020-06-24 | Hitachi, Ltd. | Virtual computer schedule method |
-
2017
- 2017-03-21 WO PCT/JP2017/011245 patent/WO2018173123A1/ja active Application Filing
- 2017-03-21 US US16/487,026 patent/US20200233702A1/en not_active Abandoned
- 2017-03-21 JP JP2017547594A patent/JP6242557B1/ja active Active
- 2017-03-21 CN CN201780088378.3A patent/CN110419028B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2653822Y (zh) * | 2003-10-29 | 2004-11-03 | 北京科技大学 | 数字与模拟技术相结合的图像监控装置 |
| US9373253B2 (en) * | 2013-04-17 | 2016-06-21 | Toyota Jidosha Kabushiki Kaisha | Safety controller and safety control method |
| CN105301955A (zh) * | 2015-10-19 | 2016-02-03 | 中国航空无线电电子研究所 | 一种***级重构管理应用软件主从切换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018173123A1 (ja) | 2018-09-27 |
| CN110419028A (zh) | 2019-11-05 |
| JPWO2018173123A1 (ja) | 2019-03-28 |
| JP6242557B1 (ja) | 2017-12-06 |
| US20200233702A1 (en) | 2020-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110419028B (zh) | 控制装置和计算机可读的存储介质 | |
| EP2672342B1 (en) | Safety control device and safety control method | |
| US8756606B2 (en) | Safety controller and safety control method in which time partitions are scheduled according to a scheduling pattern | |
| EP3470980A1 (en) | Control unit, method for operating a control unit, method for configuring a virtualization system of a control unit | |
| US20220055637A1 (en) | Electronic control unit and computer readable medium | |
| US20100281485A1 (en) | Method For Changing Over A System Having Multiple Execution Units | |
| JP5621857B2 (ja) | 安全制御装置および安全制御方法 | |
| TWI654561B (zh) | 用於控制時間密集的指令的資訊處理設備及方法 | |
| US20050160425A1 (en) | Limitation of the response time of a software process | |
| US10019395B2 (en) | Processing system with stack management and method for stack management | |
| JP2013143093A (ja) | 情報処理装置、情報処理システム | |
| JP2013148957A (ja) | 安全制御装置及び安全制御方法 | |
| US8423681B2 (en) | Control apparatus for process input-output device | |
| CN101937371A (zh) | 一种嵌入式***中监控任务执行状态的方法及装置 | |
| US11947970B2 (en) | Information processing device, moving object, and information processing method | |
| JP5906584B2 (ja) | 制御装置及び制御方法 | |
| JP5533777B2 (ja) | プログラム群 | |
| JPWO2005013130A1 (ja) | リアルタイム制御システム | |
| US20200183733A1 (en) | Vehicle control device | |
| US20230418658A1 (en) | Computer System and Method for Executing an Automotive Customer Function | |
| CN107066321B (zh) | 用于准并行地执行多个线程的方法和装置 | |
| CN114661408A (zh) | 信息处理装置、控制方法、非暂时性存储介质以及车辆 | |
| JP5718712B2 (ja) | 情報処理装置 | |
| JP2023032307A (ja) | 仮想化制御装置および割り込み制御方法 | |
| JP2013001141A (ja) | 情報処理装置、ソフト起動方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |