JP2008508626A - コンピュータプログラムを処理する方法、オペレーティングシステムおよび計算装置 - Google Patents
コンピュータプログラムを処理する方法、オペレーティングシステムおよび計算装置 Download PDFInfo
- Publication number
- JP2008508626A JP2008508626A JP2007524328A JP2007524328A JP2008508626A JP 2008508626 A JP2008508626 A JP 2008508626A JP 2007524328 A JP2007524328 A JP 2007524328A JP 2007524328 A JP2007524328 A JP 2007524328A JP 2008508626 A JP2008508626 A JP 2008508626A
- Authority
- JP
- Japan
- Prior art keywords
- error
- program
- computing device
- computer program
- program object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1438—Restarting or rejuvenating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Retry When Errors Occur (AREA)
Abstract
本発明は、計算装置(20)上、特にマイクロプロセッサ(22)上でコンピュータプログラム(23)を処理する方法に関する。コンピュータプログラムは、例えばタスクとして形成される複数のプログラムオブジェクトを有する。コンピュータプログラムの処理中に、過渡的エラーおよび恒久的エラーが検出される。過渡的エラーが発生すると、可能な限り短いエラー許容時間内で、計算機システムの機能能力および機能安全性が再び回復されるように構造的に処理する。このため、エラーが検出されると、既に処理中である少なくとも1つのプログラムオブジェクトが規定の状態に移行されて、その状態から新たに開始される。プログラムオブジェクトは、例えばコンピュータプログラムのランタイムオブジェクト、いわゆるタスクである。本発明の主旨において、エラー発生時に処理中または処理済みの1つまたは複数のタスクが、新たに開始され実行されうる。
【選択図】図2
【選択図】図2
Description
本発明は、計算装置上、特にマイクロプロセッサ上でコンピュータプログラムを処理する方法に関する。コンピュータプログラムは、複数のプログラムオブジェクトを有する。本方法においては、計算装置上でコンピュータプログラムを処理中にエラーが検出される。
本発明は、さらに、計算装置上、特にマイクロプロセッサ上で実行可能なオペレーティングシステムに関する。
そして、本発明は、複数のプログラムオブジェクトを有するコンピュータプログラムを処理する計算装置にも関する。計算装置は、計算装置上でコンピュータプログラムを処理中にエラーを検出するエラー検出機構を備える。
計算装置上でコンピュータプログラムを処理する際には、いわゆる過渡的エラーが発生しうる。半導体モジュール(いわゆるチップ)上の構造がますます小さくなる一方で、信号のクロック速度がますます大きく、信号の電圧がますます低くなるので、過渡的エラーがますます頻繁に発生する。過渡的エラーは、恒久的エラーと異なり、一時的にのみ発生し、通常ある程度の時間が経てば自ずと消滅する。過渡的エラーでは、幾つかのビットがエラーとなるのみで、計算装置自体が恒久的に損傷することはない。過渡的エラーは、例えば電磁的な影響、アルファ粒子または中性子のような種々の原因に起因しうる。
通信システムでは、今日既に、エラー処理の重点が過渡的エラーに置かれている。通信システム(例えばコントローラエリアネットワーク:CAN)では、エラーが検出されると、エラーを伴って伝達されたデータを新たに送信することが知られている。さらに、通信システムでエラーカウンタを使用することが知られており、エラーカウンタは、エラーが検出されるとインクリメントされ、正しく送信されるとデクリメントされて、所定値を上回ると直ぐにデータの送信を阻止する。
しかし、コンピュータプログラムを処理する計算装置では、基本的に恒久的エラーのみを対象としてエラー処理が行われる。過渡的エラーの考慮は、エラーカウンタのインクリメントと、場合によってはデクリメントに限定される。エラーカウンタの値がメモリに記憶され、オフラインで、すなわち、例えば車両制御装置として形成される計算装置では修理工場で待機中に、診断情報またはエラー情報として読出される。この場合に初めて、エラーに応じた対応がなされうる。
すなわち、エラーカウンタを用いたエラー処理は、特に安全上重要なシステムに要求される短いエラー許容時間内にエラー処理を許容しない一方で、エラー許容時間内にコンピュータプログラムを再び規定通りに処理するような、構造的なエラー処理をも許容しない。代替的に、従来技術におけるコンピュータプログラムは、エラーカウンタが所定の値を上回ると、非常走行オペレーションに切替えられる。これは、コンピュータプログラムのエラーを伴う部分の代りに、他の部分が処理されて、その方法で求められた代替値が後続する他の処理に使用されることを意味する。代替値は、例えば、他の変量を用いて生成されうる。代替的に、コンピュータプログラムのエラーを伴う部分によって計算された結果を誤りとして棄却して、他の計算用には非常走行オペレーション用に設けられた標準値を使用しうる。よって、計算装置上で実行されるコンピュータプログラムの過渡的エラーを処理する既知の方法は、大抵のエラーの過渡的な性質を系統的かつ構造的に取扱うことを許容しない。
従来技術として、さらに、計算装置上でコンピュータプログラムを処理する際に発生した過渡的エラーを、計算装置の完全に新たな開始によって除去することが知られている。この解決策も、実際には満足できるものではない。というのは、コンピュータプログラムのある処理より従前の過程(Verlauf)で得られた変量が失われてしまい、新たな開始の間に計算装置が所定の機能を満たせないからである。これは、特に安全上重要なシステムでは受け容れられない。
そして、計算装置上で処理されるコンピュータプログラムの過渡的エラーに対するエラー処理として、コンピュータプログラムを数クロックのみ後退させて、コンピュータプログラムの個々の機械命令を繰返すことも知られている。この方法は、マイクロロールバックとも称される。この既知の方法では、オブジェクトのためにのみマシンレベル(Maschineneben;クロック、機械命令)にジャンプバック(zurueckgesprungen)される。これは、マシンレベル上でそれに応じたハードウェア支援を必要とし、計算装置の側における多大な労力をもたらす。この既知の方法は、純粋なソフトウェアによっては実施不能である。
従来技術として既知のエラー処理機構は、計算装置上でコンピュータプログラムを処理する際に発生する過渡的エラーに適切な方法で対応できない。
本発明の課題は、計算機システム上でコンピュータプログラムを処理中に過渡的エラーが発生すると、そのエラーを可能な限り短いエラー許容時間内で、計算機システムの完全な機能能力および機能安全性が再び回復されるように構造的に処理することにある。
本課題を解決するために、前述した種類の方法に基づいてエラーが検出されると、既に処理中である少なくとも1つのプログラムオブジェクトが規定の状態に移行されて、その状態から新たに開始されることが提案される。
(発明の利点)
新たに開始されるプログラムオブジェクトは、エラーが検出された際に完全に処理されている必要はない。本発明の主旨において、エラー検出の時点までに完全に処理されていないが、既に処理が開始されているプログラムオブジェクトもまた、エラーが発生した際に新たに開始されうる。すなわち、本発明によれば、過渡的エラーまたは恒久的エラーが発生した際には、少なくとも1つのオペレーティングシステムのオブジェクトが新たに実行される。マイクロロールバックの利点は、特にプログラムオブジェクトの繰返しを非常に僅かなハードウェア支援によって実現しうることにある。プログラムオブジェクトの新たな実行に必要とされる情報(例えばプログラムオブジェクトの入力変量)を記憶可能なように、たかだか付加的なメモリ領域が必要とされるのみである。本発明に基づく方法の本質的な管理(Verwaltung)は、計算装置のオペレーティングシステムによって実施されうる。すなわち、本発明に基づく方法は、付加的なハードウェアを必要とせずに、従来の商業用プロセッサによって実現可能である。もちろん、本発明に基づく方法をハードウェア支援によって実現することも可能である。
新たに開始されるプログラムオブジェクトは、エラーが検出された際に完全に処理されている必要はない。本発明の主旨において、エラー検出の時点までに完全に処理されていないが、既に処理が開始されているプログラムオブジェクトもまた、エラーが発生した際に新たに開始されうる。すなわち、本発明によれば、過渡的エラーまたは恒久的エラーが発生した際には、少なくとも1つのオペレーティングシステムのオブジェクトが新たに実行される。マイクロロールバックの利点は、特にプログラムオブジェクトの繰返しを非常に僅かなハードウェア支援によって実現しうることにある。プログラムオブジェクトの新たな実行に必要とされる情報(例えばプログラムオブジェクトの入力変量)を記憶可能なように、たかだか付加的なメモリ領域が必要とされるのみである。本発明に基づく方法の本質的な管理(Verwaltung)は、計算装置のオペレーティングシステムによって実施されうる。すなわち、本発明に基づく方法は、付加的なハードウェアを必要とせずに、従来の商業用プロセッサによって実現可能である。もちろん、本発明に基づく方法をハードウェア支援によって実現することも可能である。
エラー検出自体は、任意の方法に従って行われうる。コンピュータプログラムの処理中にエラーを検出しうる(いわゆるconcurrent checking)種類のエラー検出機構の使用が考えられうる。例えばデュアルコアアーキテクチャでは、完全な計算機コアが二重に形成される。計算機コアがロックステップモードで駆動されると、2つの計算機コアが同一の結果を提供するか否かが命令毎に比較されうる。この場合に結果の相違は、確実にエラーを推定させる。すなわち、エラー検出機構は、プログラムオブジェクトを処理中にリアルタイムでエラーを検出する。プロセッサアーキテクチャで一貫して使用されるエラー検出コード、または計算装置の二重化された部分コンポーネントについても、同様である。これら全てのエラー検出機構の共通点は、過渡的エラーを非常に迅速に検出し、エラーが検出されるとエラー信号を供給することにある。
この種のエラー信号は、プログラムオブジェクトを繰返すエラー処理機構が供給しうる。新たな実行に際して同一のエラーが再び発生した場合には、恒久的エラーが推定可能であり、またはエラーカウンタがインクリメントされ、その場合にエラーカウンタが所定値を上回る場合に初めて、恒久的エラーが推定される。一方、プログラムオブジェクトの新たな実行に際して、もはやエラーが発生しない場合には、エラーが過渡的エラーであったとみなしうる。プログラムオブジェクトがエラーを伴わずに新たに実行される間に、コンピュータプログラムは、規定に基づく機能のために再び準備される。すなわち、非常に短い時間の後には、再び可用性(Verfuegbarkeit)が得られる。よって、少なくとも1つのプログラムオブジェクトの繰返しは、過渡的エラーを処理する良好な手段となる。
本発明の望ましい展開によれば、プログラムオブジェクトがコンピュータプログラムのランタイムオブジェクトとして形成されており(以下では、特にタスクと称する。)、エラーの検出に際して、少なくとも1つのタスクが新たに実行されることが提案される。タスクは、特にオペレーティングシステム水準上の典型的なオブジェクトである。タスク繰返しは、望ましくは純粋にソフトウェア的に制御されて、最小限の労力で実現されうる。
本発明の望ましい実施形態によれば、エラーが検出された時点で実行されていたプログラムオブジェクトが新たに開始されることが提案される。代替的または付加的に、エラーが検出された時点で既に完全に処理されていたプログラムオブジェクトが、開始されて新たに処理されることも可能である。
プログラムオブジェクトの処理中、特にプログラムオブジェクトの処理の開始時に、プログラムオブジェクトの少なくとも1つの規定された状態が形成され、記憶されることが提案される。これは、例えば、プログラムオブジェクトの状態として重要な全ての変量の値が記憶されることによって行われうる。
さらに、エラー検出のために、複数のプログラムオブジェクトを伴うコンピュータプログラムが処理される計算装置に対して、冗長に作動する他の計算装置が使用されることが提案される。もちろん、エラー検出のために、1つ以上の冗長な計算装置も使用されうる。
望ましくは、本発明に基づく方法が車両で、特に車両制御装置で、コンピュータプログラムの処理に際して不可避な過渡的エラーにもかかわらず、コンピュータプログラムの確実かつ信頼できる処理を保証するために使用される。これは、特に、車両の安全上重要な適用では、開ループおよび/または閉ループ制御プログラム(Steuer- und/oder Regelungsprogrammen)を処理するために重要となる。
さらに、少なくとも1つのプログラムオブジェクトを新たに実行された際に同一のエラーが新たに発生した場合には、恒久的エラーが推定されることが提案される。また、プログラムオブジェクトが予め設定可能な回数で繰返された後でもまだエラーが発生すれば、恒久的エラーが初めて推定されることも考えられうる。すなわち、この場合、プログラムオブジェクトが3回またはさらに繰返された後に初めてエラーが消滅しても、まだ過渡的エラーとして推定される。本発明のこの展開によって、重要なプログラムオブジェクトが例えば2回のみならず3回繰返されうる。
本発明の他の望ましい展開によれば、少なくとも1つのプログラムオブジェクトの繰返回数が、予め設定可能な値に制限されることが提案される。これによって、恒久的エラーに際して、同一のプログラムオブジェクトが任意に何度も繰返されることが回避される。少なくとも1つのプログラムオブジェクトの繰返回数を制限することは、例えば、カウンタを用いて、または制限時間を介して行いうる。さらに、タスクに依存する繰返回数の設定によって、重要性の高いタスクを重要性の低いタスクより頻繁に繰返し、よって重要性の高いタスクには、過渡的エラーを伴わない誤りのない実行の可能性が、より頻繁に、またはより長期に与えられうる一方で、重要性の低いタスクでは、恒久的エラーがより迅速に推定され、他のシステム応答が導入される。
本発明の他の望ましい実施形態によれば、少なくとも1つのプログラムオブジェクトの繰返回数が、予め設定可能な値に動的に制限されることが提案される。望ましくは、少なくとも1つのプログラムオブジェクトの繰返回数が、スケジューリング上で残されている空き時間(Restzeit)に応じて予め設定可能な値に動的に制限される。このようにして、例えば、第1および第2のタスクをスケジューリング(duerchlaufen)しうる一方で、第3のタスクを複数回繰返しうる。
本発明に基づく方法を実現するために、コンピュータプログラムの処理中、プログラムオブジェクトの実行前に、プログラムオブジェクトの処理に必要とされる値またはプログラムオブジェクトの状態を規定する変量が記憶されることが提案される。すなわち、本実施形態によれば、全てのプログラムオブジェクトの変量が記憶される。
代替的に、一周期で周期的に処理すべきコンピュータプログラムにおいて、所定のプログラムオブジェクト上でエラーが検出されると、コンピュータプログラムの周期内で予め設定可能なチェックポイント(Ruecksprungpunkt)にジャンプバックされることが提案される。すなわち、本実施形態によれば、エラーに際して、周期内の同一箇所に常にジャンプされる。この場合に望ましくは、コンピュータプログラムの処理中、チェックポイントでのプログラムオブジェクトの実行前にのみ、プログラムオブジェクトの状態として重要とされる全ての変量の値が記憶される。すなわち、サイクル毎または周期毎に1回だけ、チェックポイントにおけるプログラムオブジェクトの重要とされる変量の値のみが記憶される必要がある。これによって、記憶に要する時間およびメモリ領域が節約されうる。
そして、エラー検出後のプログラムオブジェクトの新たな実行に際して、記憶された入力変量が読出されて、新に実行すべきプログラムオブジェクトに入力変量として提供される。
本発明の他の実施形態として、1つのプログラムオブジェクトに複数のチェックポイントが設定されることが提案される。エラーの発生に際して、プログラムオブジェクトの全体ではなく、一部のみが新たに処理される必要がある。エラーが発生すると、プログラムオブジェクトの処理にエラーを伴わなかった、先行のチェックポイントに単純にジャンプされる。例えばn番目のチェックポイントまでプログラムオブジェクトの処理にエラーを伴わなかった際には、n番目のチェックポイントと(n+1)番目のチェックポイントとの間でエラーが発生すれば、n番目のチェックポイントにジャンプバックされうる。そして、プログラムオブジェクトは、n番目のチェックポイントから新たに処理される。よって、時間の節約が可能となる。望ましくは、プログラムオブジェクトの処理中に各チェックポイントを超えれば、少なくとも1つの規定された状態が形成されて記憶される。
本発明に基づく方法をオペレーティングシステムの形式で実現することが特に重要である。この場合にオペレーティングシステムは、計算装置上、特にマイクロプロセッサ上で実行可能であり、計算装置上で実行されると、本発明に基づく方法を実施するようにプログラミングされる。すなわち、この場合に本発明がオペレーティングシステムによって実現されるので、オペレーティングシステムは、オペレーティングシステムの実施に適した方法と同様に本発明を表すものである。オペレーティングシステムは、望ましくはメモリ素子上に格納されており、処理のために計算装置に読出される。メモリ素子としては、特に任意のデータ媒体、または、例えばランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)もしくはフラッシュメモリのような、電気的なメモリ媒体が使用されうる。
本発明の課題に係る他の解決策としては、前述した種類の計算装置に基づいて、計算装置がエラー処理機構を有しており、エラー処理機構は、エラー検出機構によってエラーが検出されると、少なくとも1つのプログラムオブジェクトの新たな実行を促すことが提案される。
本発明の望ましい展開によれば、エラーが検出されると、少なくとも1つのプログラムオブジェクトを新たに開始させるトリガーロジック(Triggerlogik)を、エラー処理機構が備えることが提案される。
望ましい実施形態によれば、計算装置上でリアルタイムオペレーティングシステム、例えばOSEKtimeが実行されることが提案される。そして、計算装置がマイクロプロセッサを備えることが提案される。
本発明の他の特徴、適用可能性および利点は、図面に示される本発明の実施例に関する以下の説明から明らかにされる。この場合、記載または図示される全ての特徴は、それ自体または任意の組合せにおいて、特許請求項に係る要約またはその帰属に関係なく、かつ、明細書中の表現または図面中の表示に関係なく、本発明の対象を形成する。
(実施例)
本発明は、計算装置上、特にマイクロプロセッサ上でコンピュータプログラムを処理する方法に関する。コンピュータプログラムは、望ましくはタスクとして形成される複数のプログラムオブジェクトを有する。本方法においては、計算装置上でコンピュータプログラムを処理中にエラーが検出される。検出されたエラーは、過渡的(すなわち一時的)または恒久的なものでありうる。
本発明は、計算装置上、特にマイクロプロセッサ上でコンピュータプログラムを処理する方法に関する。コンピュータプログラムは、望ましくはタスクとして形成される複数のプログラムオブジェクトを有する。本方法においては、計算装置上でコンピュータプログラムを処理中にエラーが検出される。検出されたエラーは、過渡的(すなわち一時的)または恒久的なものでありうる。
計算装置上でコンピュータプログラムを処理する際には、過渡的なエラーが発生しうる。計算装置の半導体モジュール(いわゆるチップ)上の構造がますます小さくなる一方で、信号のクロック速度がますます大きく、信号の電圧がますます低くなるので、計算装置上でコンピュータプログラムを処理する際には、過渡的エラーがますます頻繁に発生する。恒久的エラーと異なり、過渡的エラーは、一時的にのみ発生し、通常ある程度の時間が経てば自ずと消滅する。過渡的エラーでは、幾つかのビットがエラーとなるのみで、計算装置自体が恒久的に損傷することはない。過渡的エラーは、例えば電磁的な影響、アルファ粒子または中性子のような種々の原因に起因しうる。
過渡的エラーがほとんど予測不能に発生し、よって再現不能であるという事実に基づいて、従来技術として既知の計算装置では、基本的に恒久的エラーのみを対象としてエラー処理が行われる。過渡的エラーの考慮は、エラーカウンタのインクリメント、場合によってはデクリメントに限定される。エラーカウンタの値がメモリに記憶され、オフラインで、すなわち修理工場で待機中に、診断情報またはエラー情報として読出される。この場合に初めて、エラーに応じた対応がなされうる。すなわち、既知のエラー処理は、特に安全上重要なシステムに要求される短いエラー許容時間内にエラー処理を許容しない一方で、エラー許容時間内にコンピュータプログラムを再び規定通りに処理して計算装置が所定の課題を遂行可能となるような、構造的なエラー処理をも許容しない。
これとは異なり、本発明に基づく方法は、大抵のエラーの過渡的な性質を系統的かつ構造的に取扱うことで、計算装置上で実行されるコンピュータプログラムの過渡的エラーの処理を許容する。ランタイムオブジェクト、いわゆるタスクの例における、本発明に基づく方法のフローチャートが図1に示される。他のタスクの存在は、根本的なシーケンスに影響を与えず、すなわち考慮から省かれる。すなわち、図1に示すようなシーケンスでタスクが処理されれば、本発明に基づいて複数のタスクも処理されうる。並列処理するエラー検出機構(いわゆるconcurrent checking)が特に効果的である。しかし、これは、フローチャート内でそのように表示不能であるので、適切な箇所に直列モジュールとして挿入される。
本発明に基づく方法が機能ブロック1で開始される。機能ブロック1において、計算装置上でタスクの処理が開始される(すなわち、タスクが呼出される。)。機能ブロック2において、チェックポイントが形成される。この目的のために、新たな開始用に規定された状態に移行させ、タスクを再び開始させるために十分な、確実で重要なタスク入力変量が計算装置のメモリ素子に記憶される。望ましくはタスクの全ての入力変量が記憶される。そして、機能ブロック3において、タスクがさらに処理される。処理は、他のチェックポイントまで、またはタスクの最後まで行いうる。その後、エラー検出機構が実行される。エラー検出は、任意の方法に従って行いうる。エラーがコンピュータプログラムの処理中に検出される(いわゆるConcurrent checking)。すなわち、例えば、いわゆるデュアルコアアーキテクチャでは、完全な計算機コアが二重に形成される。計算機コアがいわゆるロックステップモードで駆動されると、2つの計算機コアが同一の結果を提供するか否かが命令毎に比較されうる。この場合に結果の相違は、確実にエラーを推定させる。すなわち、この種のエラー検出機構は、タスクを処理する際にリアルタイムでエラーを検出する。プロセッサアーキテクチャで一貫して使用されるエラー検出コード、または計算装置の二重化された部分コンポーネントについても、同様である。望ましくは、過渡的エラーを非常に迅速に検出し、エラーが検出されるとエラー信号を供給する、この種のエラー検出機構が使用される。
判断ブロック4において、エラー、すなわち過渡的エラーまたは恒久的エラーが検出されるか否かが調べられる。エラーが検出された場合には、他の判断ブロック7に分岐し、エラーカウンタロジックの現在値が調べられる。エラーカウンタが予め設定可能なカウンタ状態をまだ下回らない場合(エラーカウンタがデクリメントされる際)、または上回らない場合(エラーカウンタがインクリメントされる際)には、処理中にエラーが発生したタスク、またはエラー発生前に処理された所定数のタスクを再び実行しうる。タスク処理の新たな開始が可能である場合には、機能ブロック8に分岐され、エラーカウンタロジックのステータスは、「他のエラーが発生している」という情報で更新(デクリメントまたはインクリメント)される。そして、機能ブロック5に分岐されて、機能ブロック2において記憶された変量が読込まれて、規定された状態を形成させるタスクが処理を開始する。そして、機能ブロック3に分岐されて、繰返されるべきタスクが部分的に、すなわち例えば既に処理されたチェックポイントから、または全体的に、すなわち最初から再び開始されて、再び処理される。
判断ブロック4において、機能ブロック3でタスクを処理中にエラーが発生していないことが明らかにされた場合には、機能ブロック9に分岐されて、エラーカウンタロジックのステータスは、「エラーが検出されていない」という情報で更新される。そして、判断ブロック11に分岐されて、コンピュータプログラムが最後まで処理されているか否かが調べられる。最後まで処理されている場合には、機能ブロック6でコンピュータプログラムの最後に分岐される。最後まで処理されていない場合には、機能ブロック12に分岐されて、現在のタスクステータスに応じて他のチェックポイントが形成されて、タスクを再び開始させるために十分な、確実で重要なタスク入力変量が規定されて記憶される。そして、機能ブロック3に再び分岐されて、繰返されるべきタスクが新たに開始されて、部分的または全体的に再び処理される。
判断ブロック7において、エラーカウンタロジックの状態に基づいて、タスクを新たに処理するための他の試みがもはや不能であることが明らかにされた場合には、機能ブロック10に分岐される。判断ブロック7において、タスク用のエラーカウンタロジックの値が、タスクに依存する繰返回数よりも大きいか否かが調べられる。タスクに依存する繰返回数は、異なるタスクに対して同一、または各タスクに対して個々に設定されうる。このような方法で、例えば特に重要なタスクは、恒久的エラーが報告される前にまず数回繰返されうる。タスクに依存する繰返回数が1として予め設定されると、恒久的エラーが検出される前にタスクが1回のみ繰返される。タスクに依存する繰返回数が2または3に予め設定されると、恒久的エラーが検出される前にタスクが2回または3回繰返される。すなわち、この場合にタスクは、過渡的エラーがもはや発生しなくなるまでに、より長い時間を有し、もしくはより多くのスケージューリング期間(Durchlaufe)が提供される。機能ブロック10において、恒久的エラーが検出されて、それに応じた措置が導入される。措置は、例えば、コンピュータプログラムを非常走行オペレーションに移行させ、またはとりあえず措置を講じずにコンピュータプログラムの実行を終了することでもありうる。
本発明に基づく方法は、図1に示すとともに前述で説明した、全ての機能ブロックおよび判断ブロックを必ずしも有する必要はない。すなわち、例えば、エラーカウンタロジックに関するブロック7〜9を省略しうる。エラーが検出されると、新たに開始されて実行されるべき1つまたは複数のタスクは、エラーがもはや発生しなくなるまで繰返される。恒久的エラーが検出されないので、機能ブロック10も省略しうる。代替的に、タスクに依存する繰返回数が1として予め設定されうるので、エラーカウンタを更新する機能ブロック8および9を省略しうる。そして、唯一のチェックポイントを伴う唯一のタスクのみが実行される場合には、ブロック11および12も省略しうる。
図2には、コンピュータプログラムを処理する、本発明に基づく計算装置が、望ましい実施形態に基づいて示される。計算装置は、全体が参照符号20で示される。計算装置は、メモリ素子21を有しており、そのメモリ素子が例えば電子メモリ、特にフラッシュメモリとして形成される。さらに、計算装置20は、マイクロプロセッサ22を有しており、その上でコンピュータプログラムを処理しうる。コンピュータプログラムは、電子メモリ媒体21に格納され、参照符号23で示される。マイクロプロセッサ22上でコンピュータプログラムを処理するために、コンピュータプログラムが全体的または部分的に、例えば命令単位で、データ接続24を介してマイクロプロセッサ22に伝送される。データ接続24は、1つもしくは複数のデータ線、またはデータ伝送用のバスシステムとして形成されうる。メモリ媒体21上には、さらにオペレーティングシステムが格納されており、オペレーティングシステムは、計算装置20の起動に際して、少なくとも部分的にメモリ21からマイクロプロセッサ22に伝送されて処理される。オペレーティングシステムが参照符号25で示される。オペレーティングシステムは、マイクロプロセッサ22上のコンピュータプログラム23の処理と、計算装置20に接続された周辺装置とを制御し、管理するという課題を有する。本発明に基づくオペレーティングシステム25は、特別な方法で形成されているので、本発明に基づく方法を実施するようにプログラミングされており、かつ、マイクロプロセッサ22上で実行されると、本発明に基づく方法を実施する。特にオペレーティングシステム25は、マイクロプロセッサ22上でコンピュータプログラムを処理中に発生したエラーを検出する、エラー検出機構へのアクセスを有する。さらに、オペレーティングシステム25は、エラー処理機構を有しており、それは、エラーが検出されると、コンピュータプログラム23の少なくとも1つのプログラムオブジェクト(タスク)の新たな実行を促す。
20 計算装置
21 メモリ媒体
22 マイクロプロセッサ
23 コンピュータプログラム
24 データ接続
25 オペレーティングシステム
21 メモリ媒体
22 マイクロプロセッサ
23 コンピュータプログラム
24 データ接続
25 オペレーティングシステム
Claims (19)
- 計算装置(20)上、特にマイクロプロセッサ(22)上でコンピュータプログラム(23)を処理する方法であって、前記コンピュータプログラム(23)が複数のプログラムオブジェクトを有し、かつ、前記計算装置(20)上で前記コンピュータプログラム(23)を処理中にエラーが検出される、前記方法において、
エラーが検出されると、既に処理中である少なくとも1つのプログラムオブジェクトが規定された状態に移行され、その状態から新たに開始されることを特徴とする、計算装置上でコンピュータプログラムを処理する方法。 - 前記プログラムオブジェクトが前記コンピュータプログラム(23)のタスクとして形成されており、前記エラーが検出されると、少なくとも1つのタスクが新たに実行されることを特徴とする、請求項1に記載の方法。
- 前記エラーが検出された時点で実行されていたプログラムオブジェクトが、新たに実行されることを特徴とする、請求項1または2に記載の方法。
- 前記プログラムオブジェクトの処理中、特に前記プログラムオブジェクトの処理の開始時に、前記プログラムオブジェクトの少なくとも1つの規定された状態が形成され、記憶されることを特徴とする、請求項1〜3のいずれか1項に記載の方法。
- エラー検出のために、前記計算装置(20)に対して冗長に作動する他の計算装置が使用されることを特徴とする、請求項1〜4のいずれか1項に記載の方法。
- 前記方法が車両で、特に車両制御装置で使用されることを特徴とする、請求項1〜5のいずれか1項に記載の方法。
- 少なくとも1つのプログラムオブジェクトが新たに実行された際に同一のエラーが新たに発生した場合には、恒久的エラーが推定される(12)ことを特徴とする、請求項1〜6のいずれか1項に記載の方法。
- 少なくとも1つのプログラムオブジェクトの繰返回数が、予め設定可能な値に制限されることを特徴とする、請求項7に記載の方法。
- 少なくとも1つのプログラムオブジェクトの繰返回数が、予め設定可能な値に動的に制限されることを特徴とする、請求項8に記載の方法。
- 少なくとも1つのプログラムオブジェクトの繰返回数が、スケジューリング上で残されている空き時間に応じて、予め設定可能な値に動的に制限されることを特徴とする、請求項9に記載の方法。
- 前記コンピュータプログラム(23)の処理中、プログラムオブジェクトの実行前に、前記プログラムオブジェクトの処理に必要とされる変量の値が記憶される(2)ことを特徴とする、請求項1〜10のいずれか1項に記載の方法。
- 一周期で周期的に処理すべきコンピュータプログラム(23)において、所定のプログラムオブジェクト上でエラーが検出されると、前記コンピュータプログラム(23)の前記周期内で予め設定可能なチェックポイントにジャンプバックされることを特徴とする、請求項1〜10のいずれか1項に記載の方法。
- 前記コンピュータプログラム(23)の処理中、前記チェックポイントでのプログラムオブジェクトの実行前にのみ、前記プログラムオブジェクトに含まれる全ての入力変量が記憶されることを特徴とする、請求項12に記載の方法。
- エラー検出後のプログラムオブジェクトの新たな実行に際して、前記プログラムオブジェクトのために記憶されている入力変量によって、前記プログラムオブジェクトが新たに実行されることを特徴とする、請求項11または13に記載の方法。
- 計算装置(20)上、特にマイクロプロセッサ(22)上で実行可能なオペレーティングシステム(25)において、
前記オペレーティングシステム(25)が、請求項1〜14のいずれか1項に記載の方法を実施するようにプログラミングされており、前記計算装置(20)上で実行されると、請求項1〜14のいずれか1項に記載の方法を実施することを特徴とする、駆動システム。 - 複数のプログラムオブジェクトを有するコンピュータプログラム(23)を処理する計算装置(20)であって、その場合に前記計算装置(20)上で前記コンピュータプログラム(23)の処理中にエラーを検出するエラー検出機構を有する、前記計算装置(20)において、
エラー処理機構を有しており、前記エラー検出機構によってエラーが検出されると、既に処理中である少なくとも1つのプログラムオブジェクトが、規定された状態に移行されて、その状態から新たに開始されるように促すことを特徴とする、計算装置。 - エラーが検出されると、前記少なくとも1つのプログラムオブジェクトを新たに開始させるトリガーロジックを、前記エラー処理機構が備えることを特徴とする、請求項16に記載の計算装置。
- 前記計算装置(20)上で、リアルタイムオペレーティングシステム(25)が実行されることを特徴とする、請求項16または17に記載の計算装置。
- マイクロプロセッサ(22)を備えることを特徴とする、請求項16〜18のいずれか1項に記載の計算装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004037713A DE102004037713A1 (de) | 2004-08-04 | 2004-08-04 | Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms |
| DE102004037713.8 | 2004-08-04 | ||
| PCT/EP2005/053621 WO2006015945A2 (de) | 2004-08-04 | 2005-07-25 | Verfahren, betriebssystem und rechengerät zum abarbeiten eines computerprogramms |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008508626A true JP2008508626A (ja) | 2008-03-21 |
| JP4728334B2 JP4728334B2 (ja) | 2011-07-20 |
Family
ID=35395722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007524328A Expired - Fee Related JP4728334B2 (ja) | 2004-08-04 | 2005-07-25 | コンピュータプログラムを処理する方法、オペレーティングシステムおよび計算装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7890800B2 (ja) |
| EP (1) | EP1854007A2 (ja) |
| JP (1) | JP4728334B2 (ja) |
| CN (1) | CN1993679B (ja) |
| BR (1) | BRPI0513229A (ja) |
| DE (1) | DE102004037713A1 (ja) |
| RU (1) | RU2431182C2 (ja) |
| WO (1) | WO2006015945A2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102004051967A1 (de) * | 2004-10-25 | 2006-04-27 | Robert Bosch Gmbh | Verfahren, Betriebssystem und Rechengerät zum Abarbeiten eines Computerprogramms |
| DE102005037247A1 (de) * | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung eines Speicherzugriffs bei einem Rechnersystem mit wenigstens zwei Ausführungseinheiten |
| US8205113B2 (en) * | 2009-07-14 | 2012-06-19 | Ab Initio Technology Llc | Fault tolerant batch processing |
| CN102279787B (zh) * | 2010-06-08 | 2015-06-17 | 腾讯科技(深圳)有限公司 | 一种平均无故障时间的测试方法和装置 |
| EP2657797B1 (de) | 2012-04-27 | 2017-01-18 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines redundanten Automatisierungssystems |
| RU2521265C2 (ru) * | 2012-09-28 | 2014-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматической обработки системных ошибок программного обеспечения |
| RU2543960C1 (ru) * | 2013-08-29 | 2015-03-10 | Открытое акционерное общество "Концерн "Системпром" | Способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей |
| US10235232B2 (en) | 2014-02-10 | 2019-03-19 | Via Alliance Semiconductor Co., Ltd | Processor with approximate computing execution unit that includes an approximation control register having an approximation mode flag, an approximation amount, and an error threshold, where the approximation control register is writable by an instruction set instruction |
| US9588845B2 (en) * | 2014-02-10 | 2017-03-07 | Via Alliance Semiconductor Co., Ltd. | Processor that recovers from excessive approximate computing error |
| US9389863B2 (en) | 2014-02-10 | 2016-07-12 | Via Alliance Semiconductor Co., Ltd. | Processor that performs approximate computing instructions |
| US9990245B2 (en) * | 2015-11-25 | 2018-06-05 | Stmicroelectronics S.R.L. | Electronic device having fault monitoring for a memory and associated methods |
| GB2604089B (en) * | 2020-11-27 | 2024-05-08 | Advanced Risc Mach Ltd | Data processing systems |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH076103A (ja) * | 1993-06-21 | 1995-01-10 | Nec Corp | 入出力チャネルの障害処理システム |
| JPH113306A (ja) * | 1997-06-12 | 1999-01-06 | Mitsubishi Electric Corp | エージェント方式 |
| JP2001357637A (ja) * | 2000-06-14 | 2001-12-26 | Sony Corp | 情報再生装置、情報処理方法及び情報記録媒体 |
| JP2002527820A (ja) * | 1998-10-12 | 2002-08-27 | センタ・ナショナル・デチュード・スパティアレ | 過渡エラー制約を受ける電子システムのための処理手順およびメモリアクセス監視装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4852092A (en) * | 1986-08-18 | 1989-07-25 | Nec Corporation | Error recovery system of a multiprocessor system for recovering an error in a processor by making the processor into a checking condition after completion of microprogram restart from a checkpoint |
| JP2674764B2 (ja) | 1987-10-17 | 1997-11-12 | 日本電気株式会社 | 冗長系切替回路網 |
| JP2685712B2 (ja) * | 1994-03-30 | 1997-12-03 | 株式会社サンポウロック | ハンドルロック |
| US6105148A (en) * | 1995-06-16 | 2000-08-15 | Lucent Technologies Inc. | Persistent state checkpoint and restoration systems |
| JP3258228B2 (ja) * | 1996-03-15 | 2002-02-18 | 株式会社東芝 | チェックポイント生成方法 |
| US6625756B1 (en) * | 1997-12-19 | 2003-09-23 | Intel Corporation | Replay mechanism for soft error recovery |
| US6366980B1 (en) | 1999-06-04 | 2002-04-02 | Seagate Technology Llc | Disc drive for achieving improved audio and visual data transfer |
| US6584581B1 (en) * | 1999-12-06 | 2003-06-24 | Ab Initio Software Corporation | Continuous flow checkpointing data processing |
| US6542844B1 (en) * | 2000-08-02 | 2003-04-01 | International Business Machines Corporation | Method and apparatus for tracing hardware states using dynamically reconfigurable test circuits |
| US7412520B2 (en) * | 2001-06-07 | 2008-08-12 | Intel Corporation | Systems and methods for recoverable workflow |
| US20030088807A1 (en) * | 2001-11-07 | 2003-05-08 | Mathiske Bernd J.W. | Method and apparatus for facilitating checkpointing of an application through an interceptor library |
| CA2365427A1 (en) | 2001-12-19 | 2003-06-19 | Ibm Canada Limited-Ibm Canada Limitee | Internal product fault monitoring apparatus and method |
| US7206964B2 (en) * | 2002-08-30 | 2007-04-17 | Availigent, Inc. | Consistent asynchronous checkpointing of multithreaded application programs based on semi-active or passive replication |
| US7543001B2 (en) * | 2004-06-17 | 2009-06-02 | International Business Machines Corporation | Storing object recovery information within the object |
| US7634687B2 (en) * | 2005-01-13 | 2009-12-15 | Microsoft Corporation | Checkpoint restart system and method |
| US7516361B2 (en) * | 2005-06-27 | 2009-04-07 | Sun Microsystems, Inc. | Method for automatic checkpoint of system and application software |
-
2004
- 2004-08-04 DE DE102004037713A patent/DE102004037713A1/de not_active Withdrawn
-
2005
- 2005-07-25 EP EP05777777A patent/EP1854007A2/de not_active Ceased
- 2005-07-25 WO PCT/EP2005/053621 patent/WO2006015945A2/de active Application Filing
- 2005-07-25 BR BRPI0513229-0A patent/BRPI0513229A/pt not_active Application Discontinuation
- 2005-07-25 CN CN2005800262785A patent/CN1993679B/zh not_active Expired - Fee Related
- 2005-07-25 RU RU2007106437/08A patent/RU2431182C2/ru not_active IP Right Cessation
- 2005-07-25 US US11/659,307 patent/US7890800B2/en not_active Expired - Fee Related
- 2005-07-25 JP JP2007524328A patent/JP4728334B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH076103A (ja) * | 1993-06-21 | 1995-01-10 | Nec Corp | 入出力チャネルの障害処理システム |
| JPH113306A (ja) * | 1997-06-12 | 1999-01-06 | Mitsubishi Electric Corp | エージェント方式 |
| JP2002527820A (ja) * | 1998-10-12 | 2002-08-27 | センタ・ナショナル・デチュード・スパティアレ | 過渡エラー制約を受ける電子システムのための処理手順およびメモリアクセス監視装置 |
| JP2001357637A (ja) * | 2000-06-14 | 2001-12-26 | Sony Corp | 情報再生装置、情報処理方法及び情報記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102004037713A1 (de) | 2006-03-16 |
| US7890800B2 (en) | 2011-02-15 |
| WO2006015945A2 (de) | 2006-02-16 |
| RU2431182C2 (ru) | 2011-10-10 |
| JP4728334B2 (ja) | 2011-07-20 |
| US20090217090A1 (en) | 2009-08-27 |
| WO2006015945A3 (de) | 2006-06-08 |
| CN1993679B (zh) | 2010-05-26 |
| CN1993679A (zh) | 2007-07-04 |
| RU2007106437A (ru) | 2008-09-10 |
| BRPI0513229A (pt) | 2008-04-29 |
| EP1854007A2 (de) | 2007-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4728334B2 (ja) | コンピュータプログラムを処理する方法、オペレーティングシステムおよび計算装置 | |
| CN102063286B (zh) | 程序流控制 | |
| JP4648396B2 (ja) | コンピュータプログラムを処理する方法、駆動システムおよび計算装置 | |
| TWI478052B (zh) | 處置例外事件之裝置及方法 | |
| JP4903149B2 (ja) | コンピュータシステム上でコンピュータプログラムを処理する方法 | |
| US20120317576A1 (en) | method for operating an arithmetic unit | |
| EP2642392A1 (en) | Semiconductor integrated circuit device and system using the same | |
| TWI498820B (zh) | 具有用於分支錯誤預測之第二跳躍執行單元的處理器 | |
| JP2008513899A (ja) | コンピュータシステム上でコンピュータプログラムを処理する方法 | |
| RU2603497C2 (ru) | Способ управления исполнением задачи в компьютерной системе | |
| JP4596488B2 (ja) | コンピュータプログラムを処理する方法、駆動システム、および計算装置 | |
| CN110673975B (zh) | 一种星载计算机软件的安全内核结构及安全运行方法 | |
| JP2011008702A (ja) | 故障処理装置 | |
| CN105474174A (zh) | 控制时间密集的指令 | |
| JP2016066139A (ja) | 車両制御装置 | |
| US6938115B2 (en) | Method and computer device with different criticality | |
| US20220382581A1 (en) | Method, arrangement, and computer program product for organizing the excitation of processing paths for testing a microelectric circuit | |
| RU2305313C1 (ru) | Способ я.а. горбадея обеспечения надежной работы программного вычислительного средства | |
| US20230333891A1 (en) | Method, data processing module, and data processing network for processing data | |
| Abdi et al. | Achieving system-level fault-tolerance with controlled resets | |
| CN115629934A (zh) | 监控方法、微控制器、计算机程序及其存储介质 | |
| JPS63263543A (ja) | マルチレベルプログラミング方式 | |
| CN118132214A (zh) | 控制器及包括控制器的车辆 | |
| CN115225633A (zh) | 基于对端网络信号的状态机状态转换方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100209 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101019 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110119 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110126 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110207 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110414 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140422 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |