JP5545250B2 - 制御装置 - Google Patents

制御装置 Download PDF

Info

Publication number
JP5545250B2
JP5545250B2 JP2011063122A JP2011063122A JP5545250B2 JP 5545250 B2 JP5545250 B2 JP 5545250B2 JP 2011063122 A JP2011063122 A JP 2011063122A JP 2011063122 A JP2011063122 A JP 2011063122A JP 5545250 B2 JP5545250 B2 JP 5545250B2
Authority
JP
Japan
Prior art keywords
reset
request signal
control device
unit
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011063122A
Other languages
English (en)
Other versions
JP2012198805A (ja
Inventor
祐 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2011063122A priority Critical patent/JP5545250B2/ja
Priority to DE102012204644.5A priority patent/DE102012204644B4/de
Publication of JP2012198805A publication Critical patent/JP2012198805A/ja
Application granted granted Critical
Publication of JP5545250B2 publication Critical patent/JP5545250B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Microcomputers (AREA)
  • Memory System (AREA)
  • Retry When Errors Occur (AREA)
  • Multi Processors (AREA)

Description

本発明は、複数のCPUコアを用いて複数のシステムを構成するための技術に関する。
従来、複数のCPUコアを備えたマルチコアマイコンが知られている(特許文献1参照)。こうしたマルチコアマイコンの活用例として、複数のCPUコアを用いて複数のシステムを構成する(複数の機能を動作させる)ことが挙げられる。つまり、マルチコアマイコンを用いれば、複数のシステムのそれぞれに単一のマイコンが割り当てられた構成を、複数のシステムのそれぞれにマルチコアマイコンの各CPUコアが割り当てられた構成に置き換えることができる。また、このような構成において、マイコンの内部又は外部に設けられるメモリや周辺機能部(ペリフェラル)は、複数のCPUコアによって共有することができる。
特開2009−245009号公報
ところで、マイコンを用いて構成されたシステムにおいて異常が発生した場合、異常がそのシステムに関してどこまで波及するかは分からないため、そのシステムに関するすべての回路を一度にリセットすることで、システムの安全性を確保する。なお、リセットとは、回路の動作を停止させ、回路の状態を強制的に電源投入直後の初期状態に戻すことを意味する。
複数のシステムのそれぞれに単一のマイコンが割り当てられた構成では、各システムが物理的に閉じているため、システムごとに独立にリセットすることが可能である。これに対し、複数のシステムのそれぞれにマルチコアマイコンの各CPUコアが割り当てられた構成では、各システムが物理的に閉じていないため、複数のシステムのそれぞれに単一のマイコンが割り当てられた構成と同様にはリセットすることができない。例えば、あるシステムに割り当てられたCPUコアだけが異常となってマルチコアマイコンがリセットされる場合にも、CPUコア、メモリ、周辺機能部といったすべての回路が一度にリセットされることになる。したがって、正常なシステムに割り当てられたCPUコアやメモリ、正常なシステムが動作している周辺機能部までリセットされてしまうという問題があった。
本発明は、こうした問題にかんがみてなされたものであり、複数のCPUコアを用いて構成される複数のシステムの中から異常状態のシステムを選択的にリセットするための技術を提供することを目的としている。
上記課題を解決するための構成例を以下に開示する。
第1の構成は、マルチコアマイコンの備える複数のCPUコアを用いて複数のシステムが構成された制御装置であって、複数のシステムの中から異常状態のシステムを検出し、異常状態のシステムを識別可能なリセット要求信号を出力するリセット手段を備える。また、各システムは複数の要素で構成され、複数の要素には、CPUコアと、複数のシステムで静的に共有される静的共有部と、が含まれ、静的共有部は、複数のシステムのそれぞれに割り当てられた複数の部分と、静的調停部と、を備える。複数の部分は、リセット要求信号が入力されることで独立してリセット可能である。静的調停部は、リセット手段によってリセット要求信号が出力された場合に、複数の部分の中から、リセット要求信号に基づき識別される異常状態のシステムに割り当てられた部分を特定し、特定した部分がリセットされるようにする。
この構成によれば、リセット手段によってリセット要求信号が出力された場合に、静的共有部の複数の部分のうち、正常なシステムに割り当てられた部分はリセットされないようにすることができる。その結果、静的共有部が、正常なシステムによって利用されている部分までリセットされないようにすることができる。したがって、複数のシステムで静的に共有される静的共有部を備える構成において、異常状態のシステムを選択的にリセットすることができる。
第2の構成は、第1の構成の制御装置であって、静的共有部は、CPUコアの動作に必要な情報が記憶されたメモリであり、複数の部分は、複数の記憶領域である。この構成によれば、複数のシステムでメモリを静的に共有した場合に、複数のシステムのそれぞれに割り当てられた複数の記憶領域のうち、正常なシステムによって利用されている記憶領域がリセットされないようにすることができる。
第3の構成は、第2の構成の制御装置であって、メモリのROM領域に記憶された情報が複製されるバックアップメモリを更に備える。そして、メモリは、ROM領域における異常状態のシステムに割り当てられた記憶領域に、バックアップメモリに複製されている情報が書き込まれることによってリセットされる。この構成によれば、ROM領域に記憶された情報を適切な情報に初期化することができる。
第4の構成は、第3の構成の制御装置であって、バックアップメモリには、ROM領域に記憶された情報のうちの一部の情報が複製される。この構成によれば、ROM領域に記憶されたすべての情報を複製する構成と比較して、バックアップメモリの記憶容量を節減することができる。
第5の構成は、第3又は4の構成の制御装置であって、バックアップメモリに複製されている情報をROM領域に定期的に書き込む更新処理を行う更新手段を更に備える。この構成によれば、メモリのROM領域に記憶されている情報を正常な状態に維持することができる。
第6の構成は、第5の構成の制御装置であって、更新手段は、バックアップメモリに複製されている情報とROM領域に記憶されている情報とを比較し、一致している場合には更新処理を行わない。この構成によれば、ROM領域の書換え回数を節減することができる。
第7の構成は、第5又は6の構成の制御装置であって、更新手段は、各CPUコアが動作を停止している状態で更新処理を行う。この構成によれば、CPUコアによって実行される通常処理に影響しないように更新処理を行うことができる。
第8の構成は、第1〜7の構成のいずれか1つの制御装置であって、リセット手段は、異常状態のシステムの識別情報をリセット要求信号に付与して出力することで、異常状態のシステムを識別可能なリセット要求信号を出力する。この構成によれば、リセット要求信号を出力するための信号線とは別に、識別情報を出力するための信号線を設けることなく、異常状態のシステムを識別可能なリセット要求信号を出力することができる。
第9の構成は、第1〜7の構成のいずれか1つの制御装置であって、リセット手段は、異常状態のシステムの識別情報を、リセット要求信号を出力するための信号線とは異なる信号線で出力することで、異常状態のシステムを識別可能なリセット要求信号を出力する。この構成によれば、リセット要求信号に識別情報を付与することなく、異常状態のシステムを識別可能なリセット要求信号を出力することができる。
なお、前述した各制御装置は、各構成要素をマルチコアマイコンの内部に設けることによりマルチコアマイコン単体で構成してもよく、また、一部の構成要素をマルチコアマイコンの外部に設けることによりマルチコアマイコン及び外部回路で構成してもよい。
第1実施形態のマルチコアマイコンの構成を示すブロック図である。 第1実施形態のリセット動作を示すタイミングチャートである。 第2実施形態のリセット動作を示すタイミングチャートである。 第3実施形態のリセット動作を示すタイミングチャートである。 第4実施形態のリセット動作を示すタイミングチャートである。 第5実施形態のマルチコアマイコンの構成を示すブロック図である。 第5実施形態の更新処理を示すタイミングチャートである。 第5実施形態の差分に基づく更新処理を示すタイミングチャートである。 第5実施形態の更新処理の実行タイミングを示すタイミングチャートである。
以下、本発明が適用された実施形態について、図面を用いて説明する。
[第1実施形態]
図1は、車両の制御装置として用いられるマルチコアマイコン1の構成を示すブロック図である。マルチコアマイコン1は、3つのCPUコア(第1CPUコア11、第2CPUコア12、第3CPUコア13)を備える。また、メモリ20、周辺機能部(ペリフェラル)30、異常監視部40及びリセット部50が、マルチコアマイコン1の内部に設けられている。なお、これらの一部がマルチコアマイコン1の外部に設けられた制御装置(マルチコアマイコン1及び外部回路を備える制御装置)として構成してもよく、また、例えばメモリ20や周辺機能部30が複数設けられた構成としてもよい。
3つのCPUコア11〜13は、それぞれ独立した3つのシステムを統合して構成するために用いられ、各システムは、複数の要素(本実施形態では、CPUコア11〜13、メモリ20及び周辺機能部30)で構成される。また、各システムは、ID(以下「システムID」という。)によって識別され、後述するように、マルチコアマイコン1において入出力される信号には、その信号に関連するシステムIDが付与される。本実施形態では、第1CPUコア11が用いられた第1システムのシステムIDが「000」、第2CPUコア12が用いられた第2システムのシステムIDが「001」、第3CPUコア13が用いられた第3システムのシステムIDが「002」と定められている。
メモリ20は、CPUコア11〜13の動作に必要な情報を記憶する要素であり、3つのシステム(3つのCPUコア11〜13)で静的に共有される。つまり、メモリ20は、各CPUコア11〜13によって利用される部分が経時的に変化せず一定であり、3つのCPUコア11〜13が同時に利用可能な状態で共有される。具体的には、メモリ20の記憶領域には、第1システム(第1CPUコア11)に割り当てられた第1領域21、第2システム(第2CPUコア12)に割り当てられた第2領域22、及び、第3システム(第3CPUコア13)に割り当てられた第3領域23が設けられている。そして、各記憶領域21〜23には、それぞれのシステム用のシステム制御プログラムが記憶されている。また、各記憶領域21〜23は、記憶領域ごとに独立してリセット可能となっている。
また、メモリ20には、調停器24が設けられている。調停器24は、メモリ20の外部から信号を入力した場合に、第1領域21、第2領域22及び第3領域23の中から、入力した信号に対応する記憶領域を特定する処理を行う。この処理を実現するため、メモリ20には、各記憶領域21〜23が3つのシステムのいずれに対応するかを示すシステムマップ25が記憶されている。具体的には、システムマップ25には、第1領域21を示す情報と第1システムのシステムID「000」、第2領域22を示す情報と第2システムのシステムID「001」、第3領域23を示す情報と第3システムのシステムID「002」が、それぞれ対応づけて記憶されている。このため、調停器24は、システムマップ25を参照することで、入力した信号に付与されたシステムIDによって識別されるシステムに割り当てられた記憶領域を特定することができる。また、後述するように、調停器24は、異常状態のシステムの発生によりリセット部50によってリセット要求信号が出力された場合に、3つの記憶領域21〜23の中から、リセット要求信号に基づき識別される異常状態のシステムに割り当てられた記憶領域を特定し、特定した記憶領域がリセットされるようにする。
一方、周辺機能部30は、例えば、汎用入出力ポート、通信機能部、タイマ、割込処理機能部、DMAコントローラ、AD変換器といった、各CPUコア11〜13から見て周辺機器となる要素である。周辺機能部30は、各CPUコア11〜13によって出力される動作要求信号に従い機能するものであり、3つのシステム(3つのCPUコア11〜13)で動的に共有される。つまり、利用するCPUコア11〜13が経時的に切り替わる状態で共有される(時分割で利用される)。
具体的には、周辺機能部30は、動作要求信号に従い機能する機能回路31と、周辺機能部30の外部から入力した信号を調停する調停器32とを備える。機能回路31は、3つのシステムによって利用されるとともに、同時に利用可能なシステムが1つに制限され、リセット要求信号が入力されることでリセットされる。そして、調停器32は、3つのシステム(3つのCPUコア11〜13)のうちの2つ以上から動作要求信号が出力されている状態において、機能回路31を利用可能なシステムを経時的に切り替えるように、機能回路31へ出力すべき1つの動作要求信号を選択する処理を行う。この処理は、例えばスタック構造で実現される。また、後述するように、調停器32は、機能回路31がいずれかのシステムによって利用されている状態において、異常状態のシステムの発生によりリセット部50によってリセット要求信号が出力された場合に、リセット要求信号に基づき識別される異常状態のシステムと機能回路31を利用しているシステムとが一致することを条件として、リセット要求信号が機能回路31に入力されるようにする。
異常監視部40は、各システムを構成する各要素(CPUコア11〜13、メモリ20及び周辺機能部30)を監視し、3つのシステムの中から異常状態のシステムを検出する。なお、異常監視部40は、例えば、ウォッチドッグタイマ、CPUを用いたソフトウェア監視、ロックステップコアによる監視などによって実現される。
そして、リセット部50は、異常監視部40によって異常状態のシステムが検出された場合に、異常状態のシステムを構成する各要素をリセット状態へ移行させるために、リセット要求信号を出力する(アクティブにする)。その後、リセット部50は、リセット要求信号の出力を停止する(非アクティブにする)ことで、リセット状態を解除する。
このように構成されたマルチコアマイコン1では、各CPUコア11〜13が、それぞれのシステム用のシステム制御プログラムをメモリ20の各記憶領域21〜23から読み出して実行し、システム制御プログラムの内容に応じて、動作要求信号を周辺機能部30へ出力する。また、各システムを構成する各要素(CPUコア11〜13、メモリ20及び周辺機能部30)が、動作状態を示す状態信号を異常監視部40へ定期的に出力する。異常監視部40は、各要素によって出力される状態信号に基づいて、いずれかのシステムが異常状態になったことを検出すると、リセット部50を介して、各要素に対してリセット要求信号を出力する。
ところで、ある1つのシステムが異常状態となった場合に、複数のシステムで共有される要素(本実施形態ではメモリ20及び周辺機能部30)をリセットすると、正常なシステムにまで影響し得るという問題がある。そこで、本実施形態では、マルチコアマイコン1において入出力される信号(動作要求信号、状態信号及びリセット要求信号)に、その信号に関連するシステムIDが付与され、どの信号がどのシステムに関するものであるかを識別できるようにしている。
そして、3つのシステムで静的に共有されるメモリ20では、リセット部50からリセット要求信号を入力した場合に、調停器24が、システムマップ25を参照して、リセット要求信号に付与されたシステムIDによって識別される異常状態のシステムに割り当てられた記憶領域を、リセットすべき記憶領域として特定する。つまり、各システムに割り当てられた記憶領域21〜23のうち、異常状態のシステムに割り当てられた記憶領域がリセットされ、正常なシステムに割り当てられた記憶領域がリセットされないようにする。
また、3つのシステムで動的に共有される周辺機能部30では、リセット部50からリセット要求信号を入力した場合に、調停器32が、リセット要求信号に付与されたシステムIDに応じて、リセット要求信号をマスクする。具体的には、調停器32は、CPUコア11〜13のいずれかから入力した動作要求信号を機能回路31へ出力している状態において、機能回路31へ出力している動作要求信号及びリセット部50から入力したリセット要求信号のそれぞれに付与されたシステムIDを照合する。そして、システムIDとが一致しない場合には、リセット要求信号をマスクし、リセット要求信号が機能回路31へ出力されないようにする。一方、システムIDが一致する場合や、CPUコア11〜13のいずれからも動作要求信号を入力していない場合には、リセット要求信号を機能回路31へ出力する。つまり、正常なシステムによって周辺機能部30が利用されているタイミングでは、周辺機能部30がリセットされないようにする。
以上のように、3つのシステム(3つのCPUコア11〜13)で静的に共有される要素(本実施形態ではメモリ20)及び動的に共有される要素(本実施形態では周辺機能部30)のいずれにおいても、正常なシステムに影響しないようにリセットすることが可能となる。
ただし、リセット処理の開始から完了までに要する時間(以下「リセット所要時間」という。)は要素ごとに異なる。特に、動的に共有される要素は、異常が発生したタイミングで直ちにリセット処理を開始することができない場合があるため、リセット処理を開始するタイミングも要素ごとに異なり得る。このため、異常状態のシステムが検出された場合には、リセットすべき要素のすべてについて適切なタイミングでリセット処理が開始され、これらすべての要素について正常にリセット処理が完了するような仕組み(リセットの同期)が必要となる。
そこで、本実施形態では、異常状態のシステムが検出されてリセット要求信号が出力された場合に、異常状態のシステムを構成する各要素が、リセット可能な状態となり次第リセット処理を開始し、異常状態のシステムを構成するすべての要素がリセット処理を完了した後、リセット要求信号の出力を停止(リセット状態を解除)する。
具体的には、各要素が、リセット処理が完了していない状態をオフで示し、リセット処理が完了した状態をオンで示す情報(リセットフラグ)を有し、リセットフラグをリセット部50へ出力する。そして、リセット部50は、各要素によって出力されるリセットフラグに基づいて、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを確認した場合に、リセット状態を解除する。
3つのシステムで静的に共有される要素(本実施形態ではメモリ20)には、第1領域21、第2領域22及び第3領域23のそれぞれで別々のリセットフラグが用いられる。そして、メモリ20では、リセット要求信号が入力されると、リセット要求信号に付与されたシステムIDによって識別される異常状態のシステムに割り当てられた記憶領域のリセットフラグが、リセット要求信号が入力されたタイミングでオフになり、リセット処理が完了したタイミングでオンになる。なお、異常状態のシステムに割り当てられた記憶領域以外の記憶領域のリセットフラグは、リセット要求信号が入力されてもオンのまま変化しない。
また、3つのシステムで動的に共有される要素(本実施形態では周辺機能部30)のリセットフラグは、リセット要求信号が入力されたタイミングでオフになり、リセット処理が完了したタイミングでオンになる。
なお、CPUコア11〜13のうち、異常状態のシステムを構成するCPUコアのリセットフラグは、リセット要求信号が入力されたタイミングでオフになり、リセット処理が完了したタイミングでオンになる。一方、異常状態のシステムを構成しないCPUコアのリセットフラグは、リセット要求信号入力されてもオンのまま変化しない。
そして、リセット部50は、すべての要素のリセットフラグのAND(アクティブが0の場合はNOR)演算結果が偽(リセット処理が完了していない要素が1つ以上存在することを示す状態)であればリセット状態を解除せず、AND演算結果が真(リセット処理が完了していない要素が存在しないことを示す状態)になるとリセット状態を解除する。
図2は、第3システムが異常になった場合のリセット動作の一例を示すタイミングチャートである。T1のタイミングにおいて、第3システムを構成する第3CPUコア13に異常が発生し、異常監視部40によって第3システムが異常状態であることが検出されると、システムID「002」の付与されたリセット要求信号が、リセット部50から各要素へ出力される。
第3CPUコア13は、リセット要求信号が入力されると、リセットフラグがオンからオフになり、直ちにリセット処理が開始される。そして、第3CPUコア13のリセット所要時間が経過することでリセット処理が完了し、リセットフラグがオフからオンになる。
メモリ20の第3領域23も、第3CPUコア13と同様、リセット要求信号が入力されると、リセットフラグがオンからオフになり、直ちにリセット処理が開始される。そして、第3領域23のリセット所要時間(第3CPUコア13のリセット所要時間とは異なる)が経過することでリセット処理が完了し、リセットフラグがオフからオンになる。なお、メモリ20の第1領域21及び第2領域22についてはリセットされないため、他のシステム(第1システム及び第2システム)には影響しない。
一方、周辺機能部30は、リセット要求信号が入力されると、リセットフラグがオンからオフになるが、この例ではT1のタイミングにおいて第2CPUコア12からの動作要求信号(システムID「001」)が入力されているため、第3システムに関するリセット要求信号は調停器32によってマスクされる。このため、第3CPUコア13及びメモリ20の第3領域23のリセット処理が完了しても、この時点で周辺機能部30から出力されるリセットフラグはオフであり、すべての要素のリセットフラグのAND演算結果が偽であるため、リセット部50によってリセット要求信号の出力が停止(リセット状態が解除)されない。
その後、T2のタイミングで第2CPUコア12から周辺機能部30への動作要求信号の出力が停止すると、リセット要求信号が調停器32から機能回路31へ出力されることにより周辺機能部30のリセット処理が開始され、周辺機能部30のリセット所要時間(第3CPUコア13やメモリ20のリセット所要時間とは異なる)が経過することでリセット処理が完了し、T3のタイミングでリセットフラグがオフからオンになる。この結果、すべての要素のリセットフラグのAND演算結果が真になり、リセット部50によりリセット要求信号の出力が停止(リセット状態が解除)される。
以上説明したように、第1実施形態では、機能回路31及び調停器32を備える周辺機能部30が、3つのシステムで動的に共有される。そして、機能回路31が3つのシステムのいずれかによって利用されている状態において、リセット部50によってリセット要求信号が出力された場合には、リセット要求信号に基づき識別される異常状態のシステムと機能回路31を利用しているシステムとが一致することを条件として、リセット要求信号が機能回路31に入力される。
このため、第1実施形態によれば、機能回路31が正常なシステムによって利用されている状態において、リセット部50によってリセット要求信号が出力された場合には、リセット要求信号が機能回路31に入力されないようにすることができる。その結果、周辺機能部30が、正常なシステムによって利用されている状態においてリセットされないようにすることができ、異常状態のシステムを選択的にリセットすることができる。
また、3つの記憶領域21〜23と、調停器24とを備えるメモリ20が、3つのシステムで静的に共有される。そして、調停器24は、リセット部50によってリセット要求信号が出力された場合には、3つの記憶領域21〜23のうち、リセット要求信号に基づき識別される異常状態のシステムに割り当てられた記憶領域がリセットされる。このため、リセット部50によってリセット要求信号が出力された場合に、正常なシステムによって利用されている記憶領域までリセットされないようにすることができ、異常状態のシステムを選択的にリセットすることができる。
また、リセット部50によってリセット要求信号が出力された場合に、異常状態のシステムを構成する各要素が、リセット可能な状態となり次第リセット処理を開始し、リセット部50は、異常状態のシステムを構成するすべての要素がリセット処理を完了したと判定した場合に、リセット要求信号の出力を停止する。このため、異常状態のシステムを構成する要素のリセット処理が早期に開始され、要素が異常状態のまま動作する時間を短くすることができる。
また、各要素が、リセット処理が完了したか否かを示すリセットフラグをリセット部50へ出力し、リセット部50は、要素によって出力されるリセットフラグに基づいて、異常状態のシステムを構成するすべての要素がリセット処理を完了したか否かを判定する。このため、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを早期に判定することが可能となり、リセット状態を早期に解除することが可能となる。
また、リセット部50が、異常状態のシステムのシステムIDをリセット要求信号に付与して出力するため、リセット要求信号を出力するための信号線とは別に、システムIDを出力するための信号線を設ける必要がない。
なお、本実施形態では、メモリ20が静的共有部に相当し、調停器24が静的調停部に相当する。また、周辺機能部30が動的共有部に相当し、機能回路31が機能部に相当し、調停器32が動的調停部に相当する。また、異常監視部40及びリセット部50がリセット手段に相当する。また、リセットフラグがリセット情報に相当し、システムIDが識別情報に相当する。
[第2実施形態]
第2実施形態は、第1実施形態と対比すると、リセット部50が各要素のリセットフラグを取得する構成が異なる。すなわち、第1実施形態では、各要素が、リセットフラグをリセット部50へ出力する例を示したが、第2実施形態では、リセット部50が、各要素のリセットフラグを定期的に読み出す例を示す。なお、マルチコアマイコン1の構成(図1)及び基本的な動作は第1実施形態と同様であるため説明を省略し、第1実施形態との相違点を中心に説明する。
第2実施形態も、第1実施形態と同様、異常状態のシステムが検出されてリセット要求信号が出力された場合に、異常状態のシステムを構成する各要素が、リセット可能な状態となり次第リセット処理を開始し、異常状態のシステムを構成するすべての要素がリセット処理を完了した後、リセット状態を解除する。
ただし、第2実施形態では、リセットフラグが、リセット部50が取得可能な状態で各要素の記憶部に記憶され、リセット部50は、各要素の記憶部からリセットフラグを取得する(読み出す)処理を定期的に実行する。メモリ20には、第1領域21、第2領域22及び第3領域23のそれぞれに対応するリセットフラグが記憶される。なお、リセット部50が、すべての要素のリセットフラグのAND(アクティブが0の場合はNOR)演算結果が偽であればリセット状態を解除せず、AND演算結果が真になるとリセット状態を解除する点は、第1実施形態と同様である。
図3は、第3システムが異常になった場合のリセット動作の一例を示すタイミングチャートである。T1のタイミングにおいて、第3システムを構成する第3CPUコア13に異常が発生し、異常監視部40によって第3システムが異常状態であることが検出されると、システムID「002」の付与されたリセット要求信号が、リセット部50から各要素へ出力される。
第3CPUコア13は、リセット要求信号が入力されると、リセットフラグがオンからオフになり、直ちにリセット処理が開始される。そして、第3CPUコア13のリセット所要時間が経過することでリセット処理が完了し、リセットフラグがオフからオンになる。
メモリ20の第3領域23も、第3CPUコア13と同様、リセット要求信号が入力されると、リセットフラグがオンからオフになり、直ちにリセット処理が開始される。そして、第3領域23のリセット所要時間が経過することでリセット処理が完了し、リセットフラグがオフからオンになる。なお、メモリ20の第1領域21及び第2領域22についてはリセットされないため、他のシステム(第1システム及び第2システム)には影響しない。
一方、周辺機能部30は、リセット要求信号が入力されると、リセットフラグがオンからオフになるが、この例ではT1のタイミングにおいて第2CPUコア12からの動作要求信号(システムID「001」)が入力されているため、第3システムに関するリセット要求信号は調停器32によってマスクされる。
リセット部50は、T1のタイミングから一定時間(すべての要素のリセット所要時間の最大値以上に設定された時間)待機後のT2のタイミングにおいて、各要素の記憶部からリセットフラグを読み出す。しかしながら、この時点で周辺機能部30の記憶部から読み出されるリセットフラグはオフであり、すべての要素のリセットフラグのAND演算結果が偽であるため、リセット部50によってリセット要求信号の出力が停止(リセット状態が解除)されない。
その後、T3のタイミングで第2CPUコア12から周辺機能部30への動作要求信号の出力が停止すると、リセット要求信号が調停器32から機能回路31へ出力されることにより周辺機能部30のリセット処理が開始され、周辺機能部30のリセット所要時間が経過することでリセット処理が完了し、リセットフラグがオフからオンになる。
リセット部50は、T2のタイミングから一定時間待機後のT4のタイミングにおいて、各要素の記憶部からリセットフラグを読み出す。この時点では周辺機能部30の記憶部から読み出されるリセットフラグはオンであり、すべての要素のリセットフラグのAND演算結果が真であるため、リセット部50によりリセット要求信号の出力が停止(リセット状態が解除)される。
以上説明したように、第2実施形態では、各要素が、リセット処理が完了したか否かを示すリセットフラグを、リセット部50が取得可能な状態で記憶し、リセット部50は、各要素が記憶するリセットフラグを取得し、取得したリセットフラグに基づいて、異常状態のシステムを構成するすべての要素がリセット処理を完了したか否かを判定する。このため、各要素にリセットフラグを出力する機能を持たせることなく、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを判定することができる。
[第3実施形態]
第3実施形態は、第1実施形態と対比すると、異常状態のシステムを構成する各要素がリセット処理を開始するタイミングが異なる。すなわち、第1実施形態では、異常状態のシステムを構成する各要素が、リセット可能な状態となり次第リセット処理を開始する例を示したが、第3実施形態では、異常状態のシステムを構成するすべての要素がリセット可能な状態になるまで、各要素がウェイト(待機)する例を示す。なお、マルチコアマイコン1の構成(図1)及び基本的な動作は第1実施形態と同様であるため説明を省略し、第1実施形態との相違点を中心に説明する。
第3実施形態では、異常状態のシステムが検出されてリセット要求信号が出力された場合に、異常状態のシステムを構成するすべての要素がリセット可能な状態になるまで各要素がウェイト(待機)する。そして、異常状態のシステムを構成するすべての要素がリセット可能な状態となり次第、各要素がリセット処理を開始し、リセット処理の開始から、すべての要素のリセット所要時間のうちの最大時間が経過した時点で、リセット状態を解除する。
このため、第3実施形態では、他の要素がリセット可能な状態であるか否かという情報を、各要素で共有する。具体的には、リセット要求信号が出力された場合に直ちにリセット可能な状態にならない可能性があるのは、3つのシステムで動的に共有される要素(本実施形態では周辺機能部30)である。そこで、第3実施形態では、周辺機能部30が、リセット可能な状態でない場合(調停器32がリセット要求信号をマスクしている場合)に、リセット要求信号を強制的にマスクするリセットマスク信号を他のすべての要素へ出力する。
図4は、第3システムが異常になった場合のリセット動作の一例を示すタイミングチャートである。T1のタイミングにおいて、第3システムを構成する第3CPUコア13に異常が発生し、異常監視部40によって第3システムが異常状態であることが検出されると、システムID「002」の付与されたリセット要求信号が、リセット部50から各要素へ出力される。
周辺機能部30は、この例ではT1のタイミングにおいて第2CPUコア12からの動作要求信号(システムID「001」)が入力されているため、第3システムに関するリセット要求信号は調停器32によってマスクされる。このため、周辺機能部30から他のすべての要素へリセットマスク信号が出力され、他の要素へのリセット要求信号が強制的にマスクされる。その結果、いずれの要素においてもリセット処理が開始されず(リセットがウェイトされ)、第3CPUコア13及びメモリ20の第3領域23においてそれぞれ異常動作及び成り行き動作が継続される。
その後、T2のタイミングで第2CPUコア12から周辺機能部30への動作要求信号の出力が停止すると、リセット要求信号が調停器32から機能回路31へ出力されることにより周辺機能部30のリセット処理が開始される。同時に、周辺機能部30から他の要素へのリセットマスク信号が出力されなくなり、第3CPUコア13及びメモリ20の第3領域23のリセット処理も開始される。その後、T2のタイミング(リセット処理の開始)から、すべての要素のリセット所要時間のうちの最大時間が経過したT3のタイミングで、リセット部50によりリセット要求信号の出力が停止(リセット状態が解除)される。
以上説明したように、第3実施形態では、リセット部50によってリセット要求信号が出力された場合に、異常状態のシステムを構成する各要素が、異常状態のシステムを構成するすべての要素がリセット可能な状態になるまでウェイトし、すべての要素がリセット可能な状態となり次第リセット処理を開始する。そして、リセット部50は、異常状態のシステムを構成するすべての要素がリセット処理を開始してから、すべての要素のリセット所要時間のうちの最大時間が経過したと判定した場合に、リセット要求信号の出力を停止する。このため、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを、所定時間の経過に基づいて簡易的に判定することができる。
[第4実施形態]
第4実施形態は、第1実施形態と対比すると、各要素がリセット処理を開始するタイミングが異なる。すなわち、第4実施形態では、すべての要素のリセット所要時間の最大値以上の幅に設定されたウィンドウ時間を、すべての要素で同期するように一定周期で設け、このウィンドウ時間中は動作要求信号をマスクし、リセット要求信号を必ず受け付けるようにする例を示す。なお、マルチコアマイコン1の構成(図1)及び基本的な動作は第1実施形態と同様であるため説明を省略し、第1実施形態との相違点を中心に説明する。
第4実施形態では、異常状態のシステムが検出されてリセット要求信号が出力された場合に、ウィンドウ時間外であればウィンドウ時間になるまで各要素がウェイト(待機)し、ウィンドウ時間内であることを条件にリセット処理を開始する。そして、リセット処理の開始から、すべての要素のリセット所要時間のうちの最大時間が経過した時点で、リセット状態を解除する。なお、ウィンドウ時間内にリセット処理が完了せず、かつ、ウィンドウ時間の終了後に他のシステムによる動作要求信号がある場合、各要素は動作を継続する。また、前述した第3実施形態と同様、周辺機能部30は、リセット可能な状態でない場合に、リセットマスク信号を他のすべての要素へ出力する。
図5は、第3システムが異常になった場合のリセット動作の一例を示すタイミングチャートである。T1のタイミングにおいて、第3システムを構成する第3CPUコア13に異常が発生し、異常監視部40によって第3システムが異常状態であることが検出されると、システムID「002」の付与されたリセット要求信号が、リセット部50から各要素へ出力される。
周辺機能部30は、この例ではT1のタイミングにおいて第2CPUコア12からの動作要求信号(システムID「001」)が入力されているため、第3システムに関するリセット要求信号は調停器32によってマスクされる。このため、周辺機能部30から他のすべての要素へリセットマスク信号が出力され、他の要素へのリセット要求信号が強制的にマスクされる。その結果、いずれの要素においてもリセット処理が開始されず(リセットがウェイトされ)、第3CPUコア13及びメモリ20の第3領域23においてそれぞれ異常動作及び成り行き動作が継続される。
その後、T2のタイミングでウィンドウ時間が挿入されると、周辺機能部30は、第2CPUコア12からの動作要求信号をマスクして、動作をいったんサスペンドする。このとき、直前の動作状態は退避レジスタに保存される。こうして周辺機能部30がサスペンドしたことにより、周辺機能部30のリセット処理が開始される。同時に、周辺機能部30から他の要素へのリセットマスク信号が出力されなくなり、第3CPUコア13及びメモリ20の第3領域23のリセット処理も開始される。その後、T2のタイミング(ウィンドウ時間の開始)から、すべての要素のリセット所要時間の最大値以上の時間が経過したT3のタイミングで、ウィンドウ時間が終了し、リセット部50によりリセット要求信号の出力が停止(リセット状態が解除)される。これにより、すべてのシステムが正常となる。ただし、T3のタイミングから一定時間経過後のT4のタイミングでウィンドウ時間が挿入されると、ウィンドウ時間の間は動作が停止される。なお、すべてのシステムが正常な状態ではウィンドウ時間を挿入しない構成にすれば、ウィンドウ時間の挿入によって通常処理に発生するオーバヘッドを軽減することができる。
以上説明したように、第4実施形態では、各要素が、リセット要求信号を優先的に入力するためのウィンドウ時間を、複数の要素で同期するように設け、リセット部50によってリセット要求信号が出力された場合に、異常状態のシステムを構成する各要素が、ウィンドウ時間内であることを条件にリセット処理を開始する。このため、周辺機能部30がリセット可能な状態とならないことによりリセット処理の開始が大幅に遅延してしまうといった問題を生じにくくすることができる。
[第5実施形態]
図6は、第5実施形態のマルチコアマイコン1の構成を示すブロック図である。第5実施形態は、第1実施形態(図1)と対比すると、メモリ20に記憶されている情報の一部をバックアップするバックアップメモリ60、及び、メモリ20及びバックアップメモリ60を制御するコントローラ70(更新手段に相当)を備えている点が異なる。その他、第1実施形態と共通する構成については説明を省略し、第1実施形態との相違点を中心に説明する。
メモリ20をリセットする場合、メモリ20のROM領域の電源投入前の初期値が、例えばユーザが指定した値などのように、デバイス固有の情報でなければ、初期値を記憶しておく必要がある。このため、第5実施形態のマルチコアマイコン1は、通常処理に用いられるメモリ20とは別にバックアップメモリ60を備え、メモリ20のROM領域に記憶されている情報がバックアップメモリ60に複製されている(ROM領域を二重化している)。具体的には、メモリ20のROM領域に記憶された情報のうちの一部の情報であって、異常になるとシステム上致命的な重要情報(例えば車両の走る・曲がる・止まるに関する制御情報)が、バックアップメモリ60に複製されている。図6に示す例では、メモリ20の3つの領域21〜23のうち、第2領域22及び第3領域23に重要情報が記憶されており、第2領域22及び第3領域23に記憶されている情報がバックアップメモリ60に複製されている。
このため、メモリ20をリセットする場合には、コントローラ70が、バックアップメモリ60に複製されている情報を、メモリ20のリセット範囲(ROM領域における異常状態のシステムに割り当てられた記憶領域)に上書きすることで、メモリ20を電源投入前の状態に初期化する。この場合、バックアップメモリ60に記憶されていない情報についてはリセットすることができないため、異常時であっても成り行きで動作する。なお、メモリ20のROM領域に記憶されているすべての情報を二重化(複製)してもよいが、第5実施形態のように二重化する記憶領域を重要情報が含まれる記憶領域に限定することで、シリコンチップ上の実装記憶領域を節減しコストダウンを図ることができる。
また、第5実施形態では、二重化されているROM領域のうち、一方の記憶情報を他方の記憶情報で更新する更新処理を定期的に行うことで異常発生を予防する。具体的には、図7に示すように、バックアップメモリ60の内容を、メモリ20のROM領域に定期的に(T1及びT3のタイミングで)上書きする更新処理を行うことで、異常発生を予防する。この例では、T2のタイミングでメモリ20に異常が発生し、バックアップメモリ60の内容が上書きされることで正常な状態に更新されている。
ただし、メモリ20には一般に書換え回数の制限があるため、二重化されているROM領域を比較し、差分がある場合に更新処理を行い、差分がない場合には更新処理を行わないようにすることで、書換え回数を節減する。具体的には、図8に示すように、メモリ20の内容とバックアップメモリ60の内容とを定期的に(T1及びT3のタイミングで)比較し、差分が検出された場合にバックアップメモリ60の内容でメモリ20を更新する。図8は、T1のタイミングでは差分が検出されて更新処理が行われ、T3のタイミングでは差分が検出されずに更新処理が行われない例を示している。また、図7と同様、T2のタイミングでメモリ20に異常が発生し、バックアップメモリ60の内容が上書きされることで正常な状態に更新される。
また、更新処理は、マルチコアマイコン1の電源オフ時(CPUコア11〜13が動作を停止している状態であって、コントローラ70は動作可能な状態)に行うことで、通常処理に影響しないようにすることができる。具体的には、図9に示すように、T1及びT3のタイミングでマルチコアマイコン1の電源がオフになり、このタイミングでメモリ20の内容とバックアップメモリ60の内容とを比較し、差分が検出された場合にバックアップメモリ60の内容でメモリ20を更新する。図8と同様、T1のタイミングでは差分が検出されて更新処理が行われ、T3のタイミングでは差分が検出されず更新処理が行われない例を示している。
以上説明したように、第5実施形態では、メモリ20のROM領域に記憶された情報がバックアップメモリ60に複製されており、メモリ20は、ROM領域における異常状態のシステムに割り当てられた記憶領域に、バックアップメモリ60に複製されている情報が書き込まれることによってリセットされる。このため、ROM領域に記憶された情報を適切な情報に初期化することができる。
また、バックアップメモリ60には、ROM領域に記憶された情報のうちの一部の情報が複製されるため、ROM領域に記憶されたすべての情報を複製する構成と比較して、バックアップメモリ60の記憶容量を節減することができる。
また、コントローラ70が、バックアップメモリ60に複製されている情報をROM領域に定期的に書き込む更新処理を行うため、メモリ20のROM領域に記憶されている情報を正常な状態に維持することができる。
また、コントローラ70が、バックアップメモリ60に複製されている情報とROM領域に記憶されている情報とを比較し、一致している場合には更新処理を行わないため、ROM領域の書換え回数を節減することができる。
また、コントローラ70が、各CPUコア11〜13が動作を停止している状態で更新処理を行うため、CPUコア11〜13によって実行される通常処理に影響しないように更新処理を行うことができる。
以上、本発明の実施形態について説明したが、本発明は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。
(1)上記第1実施形態及び上記第2実施形態では、リセット部50が、すべての要素のリセットフラグのAND演算結果が真になることでリセット要求信号の出力を停止(リセット状態を解除)する例を示したが、これに限定されるものではなく、例えば次の[1A]又は[1B]のようにしてもよい。
[1A]リセット部50が、各要素とそれに関連するシステムとの対応関係を示したマップ(システムマップ25と同様のもの)を、リセット部50の記憶部に記憶している。そして、そのマップに基づき、異常状態のシステムを構成する要素を特定し、特定したすべての要素のリセットフラグがオンになった場合にリセット状態を解除する。なお、この構成は、リセット部50がリセット状態を解除すべきであることを判定する手法が相違するものの、図2又は図3に示すリセット動作の流れは同じである。
[1B]リセット部50が、各要素のリセットフラグのエッジをラッチし、ラッチ信号のAND(アクティブが0の場合はNOR)演算結果を入力する。具体的には、リセットフラグの変化後の信号がラッチされ、オン→オフの変化ではラッチ信号がオフとなり、オフ→オンの変化ではラッチ信号がオンとなる。そして、ラッチ信号のAND演算結果が偽であればリセット状態を解除せず、ラッチ信号のAND演算結果が真になるとリセット状態を解除する。なお、この構成も、リセット部50がリセット状態を解除すべきであることを判定する手法が相違するものの、図2又は図3に示すリセット動作の流れは同じである。
(2)上記各実施形態では、リセット部50が、異常状態のシステムのシステムIDをリセット要求信号に付与して出力する例を示したが、これに代えて、リセット要求信号を出力するための信号線とは異なる信号線でシステムIDを出力してもよい。つまり、図1や図6に示す構成において、リセット要求信号を出力するための信号線を二重にした構成とする。このようにすれば、リセット要求信号にシステムIDを付与することなく、異常状態のシステムを識別可能なリセット要求信号を出力することができる。
(3)各CPUコア11〜13が、メモリ20において各システムに割り当てられた領域21〜23に対し、調停器24を介してアクセスするようにしてもよい。つまり、各CPUコア11〜13が、調停器24に対して、メモリ20のアドレスを指定した動作要求信号を送信する。この場合、調停器24では、動作要求信号で指定されているメモリ20のアドレスと、その動作要求信号に付与されたシステムIDとの対応関係が、システムマップ25に記憶されている対応関係と異なる場合に、動作要求信号をマスクして誤動作を抑制するといったことが可能となる。
(4)上記各実施形態では、3つのCPUコア11〜13を備えるマルチコアマイコン1の例を示したが、CPUコアの数は2つでもよく、4つ以上でもよい。また、マルチコアマイコン及び外部回路を備える制御装置として構成してもよい。
(5)上記[課題を解決するための手段]の欄で開示した第1〜9の構成とは別に、上記課題を解決するための構成例を以下に開示する。
第10の構成は、第1〜9の構成のいずれか1つの制御装置であって、複数の要素には、複数のシステムで動的に共有される動的共有部が更に含まれ、動的共有部は、機能部及び動的調停部を備える。機能部は、複数のシステムによって利用されるとともに同時に利用可能なシステムが1つに制限され、リセット要求信号が入力されることでリセットされる。動的調停部は、機能部が複数のシステムのいずれかによって利用されている状態において、リセット手段によってリセット要求信号が出力された場合には、リセット要求信号に基づき識別される異常状態のシステムと機能部を利用しているシステムとが一致することを条件として、リセット要求信号が機能部に入力されるようにする。この構成によれば、機能部が正常なシステムによって利用されている状態において、リセット手段によってリセット要求信号が出力された場合には、リセット要求信号が機能部に入力されないようにすることができる。その結果、動的共有部が、正常なシステムによって利用されている状態においてリセットされないようにすることができる。したがって、複数のシステムで動的に共有される動的共有部を備える構成において、異常状態のシステムを選択的にリセットすることができる。
第11の構成は、第10の構成の制御装置であって、リセット手段によってリセット要求信号が出力された場合に、異常状態のシステムを構成する複数の要素のそれぞれが、リセット可能な状態となり次第リセット処理を開始するように構成されている。また、複数の要素のそれぞれは、リセット処理の開始から、要素ごとに異なり得るリセット所要時間が経過することでリセット処理を完了する。そして、リセット手段は、異常状態のシステムを構成するすべての要素がリセット処理を完了したと判定した場合に、リセット要求信号の出力を停止する。この構成によれば、異常状態のシステムを構成する要素のリセット処理が早期に開始され、要素が異常状態のまま動作する時間を短くすることができる。
第12の構成は、第11の構成の制御装置であって、複数の要素のそれぞれは、リセット処理が完了したか否かを示すリセット情報をリセット手段へ出力する。そして、リセット手段は、要素によって出力されるリセット情報に基づいて、異常状態のシステムを構成するすべての要素がリセット処理を完了したか否かを判定する。この構成によれば、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを早期に判定することが可能となり、リセット要求信号の出力を早期に停止することが可能となる。
第13の構成は、第11の構成の制御装置であって、複数の要素のそれぞれは、リセット処理が完了したか否かを示すリセット情報を、リセット手段が取得可能な状態で記憶する。そして、リセット手段は、要素が記憶するリセット情報を取得し、取得したリセット情報に基づいて、異常状態のシステムを構成するすべての要素がリセット処理を完了したか否かを判定する。この構成によれば、各要素にリセット情報を出力する機能を持たせることなく、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを判定することができる。
第14の構成は、第10の構成の制御装置であって、リセット手段によってリセット要求信号が出力された場合に、異常状態のシステムを構成する複数の要素のそれぞれが、異常状態のシステムを構成するすべての要素がリセット可能な状態となり次第リセット処理を開始するように構成されている。また、複数の要素のそれぞれは、リセット処理の開始から、要素ごとに異なり得るリセット所要時間が経過することでリセット処理を完了する。そして、リセット手段は、異常状態のシステムを構成するすべての要素がリセット処理を開始してから、リセット所要時間の最大値以上の所定時間が経過したと判定した場合に、リセット要求信号の出力を停止する。この構成によれば、異常状態のシステムを構成するすべての要素がリセット処理を完了したことを、所定時間の経過に基づいて簡易的に判定することができる。
第15の構成は、第10の構成の制御装置であって、複数の要素のそれぞれは、リセット要求信号を優先的に入力するためのウィンドウ時間を、複数の要素で同期するように設ける。そして、リセット手段によってリセット要求信号が出力された場合に、異常状態のシステムを構成する複数の要素のそれぞれが、ウィンドウ時間内であることを条件にリセット処理を開始するように構成されている。また、複数の要素のそれぞれは、リセット処理の開始から、要素ごとに異なり得るリセット所要時間が経過することでリセット処理を完了する。そして、リセット手段は、異常状態のシステムを構成するすべての要素がリセット処理を完了したと判定した場合に、リセット要求信号の出力を停止する。この構成によれば、リセット可能な状態とならない要素の存在による、リセット要求信号の出力の停止の大幅な遅延を生じにくくすることができる。
1…マルチコアマイコン、11…第1CPUコア、12…第2CPUコア、13…第3CPUコア、20…メモリ、21…第1領域、22…第2領域、23…第3領域、24…調停器、25…システムマップ、30…周辺機能部、31…機能回路、32…調停器、40…異常監視部、50…リセット部

Claims (9)

  1. マルチコアマイコンの備える複数のCPUコアを用いて複数のシステムが構成された制御装置であって、
    前記複数のシステムの中から異常状態のシステムを検出し、前記異常状態のシステムを識別可能なリセット要求信号を出力するリセット手段を備え、
    前記各システムは複数の要素で構成され、前記複数の要素には、前記CPUコアと、前記複数のシステムで静的に共有される静的共有部と、が含まれ、
    前記静的共有部は、
    前記複数のシステムのそれぞれに割り当てられ、前記リセット要求信号が入力されることで独立してリセット可能な複数の部分と、
    前記リセット手段によって前記リセット要求信号が出力された場合に、前記複数の部分の中から、前記リセット要求信号に基づき識別される前記異常状態のシステムに割り当てられた部分を特定し、特定した部分がリセットされるようにする静的調停部と、
    を備えることを特徴とする制御装置。
  2. 請求項1に記載の制御装置であって、
    前記静的共有部は、前記CPUコアの動作に必要な情報が記憶されたメモリであり、
    前記複数の部分は、複数の記憶領域である
    ことを特徴とする制御装置。
  3. 請求項2に記載の制御装置であって、
    前記メモリのROM領域に記憶された情報が複製されるバックアップメモリを更に備え、
    前記メモリは、前記ROM領域における前記異常状態のシステムに割り当てられた記憶領域に、前記バックアップメモリに複製されている情報が書き込まれることによってリセットされる
    ことを特徴とする制御装置。
  4. 請求項3に記載の制御装置であって、
    前記バックアップメモリには、前記ROM領域に記憶された情報のうちの一部の情報が複製される
    ことを特徴とする制御装置。
  5. 請求項3又は請求項4に記載の制御装置であって、
    前記バックアップメモリに複製されている情報を前記ROM領域に定期的に書き込む更新処理を行う更新手段を更に備える
    ことを特徴とする制御装置。
  6. 請求項5に記載の制御装置であって、
    前記更新手段は、前記バックアップメモリに複製されている情報と前記ROM領域に記憶されている情報とを比較し、一致している場合には前記更新処理を行わない
    ことを特徴とする制御装置。
  7. 請求項5又は請求項6に記載の制御装置であって、
    前記更新手段は、前記各CPUコアが動作を停止している状態で前記更新処理を行う
    ことを特徴とする制御装置。
  8. 請求項1から請求項7までのいずれか1項に記載の制御装置であって、
    前記リセット手段は、前記異常状態のシステムの識別情報を前記リセット要求信号に付与して出力することで、前記異常状態のシステムを識別可能なリセット要求信号を出力する
    ことを特徴とする制御装置。
  9. 請求項1から請求項7までのいずれか1項に記載の制御装置であって、
    前記リセット手段は、前記異常状態のシステムの識別情報を、前記リセット要求信号を出力するための信号線とは異なる信号線で出力することで、前記異常状態のシステムを識別可能なリセット要求信号を出力する
    ことを特徴とする制御装置。
JP2011063122A 2011-03-22 2011-03-22 制御装置 Active JP5545250B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011063122A JP5545250B2 (ja) 2011-03-22 2011-03-22 制御装置
DE102012204644.5A DE102012204644B4 (de) 2011-03-22 2012-03-22 Steuervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011063122A JP5545250B2 (ja) 2011-03-22 2011-03-22 制御装置

Publications (2)

Publication Number Publication Date
JP2012198805A JP2012198805A (ja) 2012-10-18
JP5545250B2 true JP5545250B2 (ja) 2014-07-09

Family

ID=47180944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011063122A Active JP5545250B2 (ja) 2011-03-22 2011-03-22 制御装置

Country Status (1)

Country Link
JP (1) JP5545250B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5434942B2 (ja) * 2011-03-22 2014-03-05 株式会社デンソー 制御装置
DE112015006749T5 (de) 2015-07-30 2018-04-12 Mitsubishi Electric Corporation Programmausführvorrichtung, Programmausführsystem und Programmausführverfahren
JP6786448B2 (ja) * 2017-06-28 2020-11-18 ルネサスエレクトロニクス株式会社 半導体装置
JP7447755B2 (ja) 2020-09-30 2024-03-12 株式会社明電舎 メモリエラー検出・訂正システム、メモリエラー検出・訂正方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0746344B2 (ja) * 1986-02-04 1995-05-17 株式会社日立製作所 通信システムの障害情報収集方法
JPH0346350A (ja) * 1989-07-14 1991-02-27 Mitsubishi Electric Corp 半導体集積回路装置
JPH03265258A (ja) * 1990-03-14 1991-11-26 Nec Corp マルチプロセッサ交換機の障害履歴情報セーブ方式
JPH05216855A (ja) * 1992-02-04 1993-08-27 Fujitsu Ltd マルチcpu制御方式
JPH0683489A (ja) * 1992-08-31 1994-03-25 Oki Electric Ind Co Ltd リセット制御方式
JPH08185244A (ja) * 1994-12-28 1996-07-16 Fujitsu Ltd 機能ブロックの選択的リセット方法及びその装置
JPH08249089A (ja) * 1995-03-14 1996-09-27 Sharp Corp リセット制御回路を備える装置
US6467007B1 (en) * 1999-05-19 2002-10-15 International Business Machines Corporation Processor reset generated via memory access interrupt
JP2002259201A (ja) * 2001-03-02 2002-09-13 Hitachi Ltd 計算機システムの起動方法
JP3931757B2 (ja) * 2002-07-26 2007-06-20 日本電気株式会社 共有キャッシュメモリ障害処理方式
JP2005063295A (ja) * 2003-08-19 2005-03-10 Matsushita Electric Ind Co Ltd 制御装置
JP2005275629A (ja) * 2004-03-23 2005-10-06 Nec Corp マルチプロセッサシステム、及び、メモリアクセス方法
EP1943580A2 (en) * 2005-10-25 2008-07-16 Koninklijke Philips Electronics N.V. Data processing arrangement comprising a reset facility
JP2008041059A (ja) * 2006-08-10 2008-02-21 Toshiba Corp マルチプロセッサ制御装置及び情報処理装置
JP4783392B2 (ja) * 2008-03-31 2011-09-28 株式会社東芝 情報処理装置および障害回復方法
JP5434942B2 (ja) * 2011-03-22 2014-03-05 株式会社デンソー 制御装置

Also Published As

Publication number Publication date
JP2012198805A (ja) 2012-10-18

Similar Documents

Publication Publication Date Title
JP4947441B2 (ja) マルチプロセッサシステム、マルチプロセッサシステムにおけるシステム構成方法及びそのプログラム
KR102271185B1 (ko) 멀티 코어 프로세서 시스템 내에서 상이한 안전 단계를 갖는 소프트웨어의 공존 방법
JPH04246740A (ja) マイクロコンピュータ
JP5545250B2 (ja) 制御装置
US10002103B2 (en) Low-pin microcontroller device with multiple independent microcontrollers
JP2009157542A (ja) 情報処理装置及びそのスタックポインタ更新方法
JP6838222B2 (ja) 車両制御装置、及び車両システム
JP6297232B2 (ja) データ処理装置、データ処理方法及びデータ処理プログラム
JP4874165B2 (ja) マルチプロセッサシステム及びマルチプロセッサシステムにおけるアクセス権設定方法
JP2008518296A (ja) 少なくとも2つの実行ユニットを備えるコンピュータシステムで切換をする方法及び装置
JP5434942B2 (ja) 制御装置
JP2005539322A5 (ja)
US20140019509A1 (en) Parallel processing system and operation method of parallel processing system
JP2008033890A (ja) マイクロコンピュータシステム
JP5999216B2 (ja) データ処理装置
JP2008518300A (ja) 少なくとも2つの実行ユニットを備えるコンピュータシステムにおけるプログラムコードの処理分割方法および装置
WO2018084024A1 (ja) 車両制御装置
JP2006344087A (ja) 制御装置のタスク管理装置、及び、制御装置のタスク管理方法
JP5699896B2 (ja) 情報処理装置、異常判定方法
JP2010009454A (ja) 情報処理装置
JP4876093B2 (ja) 制御装置のタスク管理装置、及び、制御装置のタスク管理方法
EP3428799B1 (en) Data access device and access error notification method
JP5703505B2 (ja) バスパーティション構造を備えるコンピュータ
JP2008225710A (ja) コンピュータシステム及び該システムで用いられるプロセス切替え方法
US20230409403A1 (en) Control device and control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130730

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140331

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140415

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140428

R151 Written notification of patent or utility model registration

Ref document number: 5545250

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250