WO2022239331A1

WO2022239331A1 - 電子制御装置及び異常判定方法

Info

Publication number: WO2022239331A1
Application number: PCT/JP2022/004527
Authority: WO
Inventors: 将史溝口; 朋仁蛯名; 一芹沢; 健一長田; 祐石郷岡; 毅福田
Original assignee: 日立Astemo株式会社
Priority date: 2021-05-12
Filing date: 2022-02-04
Publication date: 2022-11-17
Also published as: US20240241747A1; JP2022174784A; DE112022001480T5

Abstract

電子制御装置であって、第一の仮想ドライバにアクセスして、処理を実行する仮想マシンと、前記第一の仮想ドライバから受信したペリフェラルアクセス要求に基づいて第一のペリフェラルの第一の実ドライバを呼び出すハイパーバイザと、前記第一の仮想ドライバを呼び出して、前記ハイパーバイザへ送信したペリフェラルアクセス要求を記録するアクセス記録部と、前記第一の実ドライバを呼び出して、前記第一のペリフェラルのレジスタの状態を記録する状態記録部と、前記ハイパーバイザの動作を監視する監視部とを備え、前記監視部は、前記アクセス記録部の記録と前記状態記録部の記録に基づいて、前記ハイパーバイザの異常を判定する。

Description

電子制御装置及び異常判定方法

参照による取り込み

　本出願は、令和３年（２０２１年）５月１２日に出願された日本出願である特願２０２１－８０７４３の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、電子制御装置に関する。

　ハイパーバイザを用いると、異なるＯＳ（Operating System）上で動作する複数の制御ソフトウェアアプリケーションを単一のマイコンに搭載できる。ハイパーバイザを監視する技術として、特開２０１９－１４４７８５（特許文献１）、特開２０１４－１０６５８７（特許文献２）に記載の技術がある。特許文献１には、仮想化ソフトウェア上に、仮想化ソフトウェアを含む複数の監視対象の監視に用いられる監視用の仮想マシンを配置し、所定間隔において監視用の仮想マシンによって実行された所定のテストの結果を取得し、取得したテストの結果から監視用の仮想マシンの異常有無を判定し、監視用の仮想マシンが異常である場合、複数の監視対象の所定の状態を取得し、監視用の仮想マシンの異常有無の判定結果と、複数の監視対象の所定の状態とを出力する監視プログラムが記載されている。

　また、特許文献２には、ハイパバイザと第１のゲストＯＳがＩ／Ｏデバイスを共有する方法であって、Ｉ／Ｏデバイスは、物理機能と仮想機能を有し、ハイパバイザは、物理機能を利用する物理ドライバを有し、第１のゲストＯＳは、仮想機能を利用する仮想ドライバを有し、前記ハイパバイザが、物理ドライバを介してＩ／Ｏデバイスの状態を取得し、第１のゲストＯＳが、ハイパバイザを監視して所定の状態になったときには、Ｉ／Ｏデバイスを操作するサブ物理ドライバを起動し、前記第１のゲストＯＳは、メモリ上に予め設定したキューを介して送受信を行うＩ／Ｏデバイスの制御方法が記載されている。

　異なるＯＳ上で動作する複数の制御ソフトウェアアプリケーションを一つのマイコン（ハードウェア）に統合した電子制御装置においては、ハイパーバイザと呼称される仮想化ソフトウェアが用いられる。ハイパーバイザは、ＯＳ及び制御ソフトウェアアプリケーションを動作させるための環境として、仮想マシンを提供する。仮想マシンとは、マイコン上のＣＰＵ（Central Processing Unit）、メモリ領域、及びマイコン上に搭載されたＣＡＮ（Controller Area Network）コントローラやＡ／Ｄ（Ａｎａｌｏｇ／Ｄｉｇｉｔａｌ）コンバータなどのペリフェラルに対するアクセス権を設定した単位である。各仮想マシン内のゲストＯＳ及び制御ソフトウェアアプリケーションから見て、アクセス権限が付与されていないＣＰＵ、メモリ領域及びペリフェラルが別のマイコン上に存在することと論理的に等価である。一般に、電子制御装置の安全性や信頼性を確保するため、当該電子制御装置の動作中に、当該電子制御装置を構成するハードウェア及びソフトウェアが正常に動作しており、異常を発生していないことの監視が求められる。特に、ハイパーバイザを用いた電子制御装置において、ハイパーバイザの動作の監視が求められる。

　特許文献１によれば、仮想マシンとして監視用仮想マシンを設置し、該監視用仮想マシンが定期的にテストパターンを実行するとともに、ハイパーバイザの内部状態（正常・異常）を取得し、前記テストパターンの実行結果及び前記ハイパーバイザの内部状態の取得結果に基づき、電子制御装置に異常が発生しているか否か、及び異常が発生している場合に該異常による影響範囲を特定できる。しかし、特許文献１におけるハイパーバイザの監視は、ハイパーバイザ自身が判定する正常又は異常の状態を取得することにより実施されているため、ハイパーバイザに異常が発生することによってハイパーバイザによる異常状態が適切に判定されない場合が考慮されておらず、ハイパーバイザの正常動作が保証されない。また、ハイパーバイザの内部状態を取得する必要があるため、内部状態が公開されていないサードパーティ製のハイパーバイザに適用できない。

　特許文献２によれば、ハイパーバイザに対しカウンタ（ウォッチドッグタイマ）を設置し、当該カウンタを所定周期内にカウントアップ又はカウントダウンするよう要件を課し、当該カウンタが所定周期内に更新されない場合にハイパーバイザに異常が発生と判定する方法が記載されている。これにより、ハイパーバイザの予期しない停止や、ハイパーバイザに発生したデッドロックやライブロックを検出可能である。しかし、この方法を適用するためには、カウンタの更新に関する要件をハイパーバイザに課す必要がある。また、ウォッチドッグタイマのカウント更新処理は一般的に高優先度に設定されるため、ハイパーバイザ内部においてカウンタ更新処理の優先度がデッドロック又はライブロックを発生しているタスクの処理優先度より高い場合に、当該デッドロック及び当該ライブロックを検出できない。

　そこで本発明では、サードパーティ製などの、内部ロジックが公開されていないハイパーバイザの入力及び出力のみに基づいた、当該ハイパーバイザの監視、当該ハイパーバイザに発生した異常の検知を目的とする。

　本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、電子制御装置であって、第一の仮想ドライバにアクセスして、処理を実行する仮想マシンと、前記第一の仮想ドライバから受信したペリフェラルアクセス要求に基づいて第一のペリフェラルの第一の実ドライバを呼び出すハイパーバイザと、前記第一の仮想ドライバを呼び出して、前記ハイパーバイザへ送信したペリフェラルアクセス要求を記録するアクセス記録部と、前記第一の実ドライバを呼び出して、前記第一のペリフェラルのレジスタの状態を記録する状態記録部と、前記ハイパーバイザの動作を監視する監視部とを備え、前記監視部は、前記アクセス記録部の記録と前記状態記録部の記録に基づいて、前記ハイパーバイザの異常を判定する。

　本発明の一態様によれば、、ハイパーバイザの内部状態にアクセスせずに、ハイパーバイザの異常を検知できる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。

第一の実施例の電子制御装置のハードウェア構成を示す図である。第一の実施例の電子制御装置のソフトウェア構成を示す図である。第一の実施例の第一の制御ソフトウェアアプリケーションが第一のペリフェラルを使用するときの処理フローの概要を表す図である。第一の実施例の第一の制御ソフトウェアアプリケーションが共有ペリフェラルを使用するときの処理フロー概要を示す図である。第一の実施例のペリフェラルアクセス要求情報の例を示す図である。第一の実施例のペリフェラルアクセス結果情報の例を示す図である。第一の実施例の第二の制御ソフトウェアアプリケーションが第二のペリフェラルを使用するときの処理フロー概要を示す図である。第一の実施例の第二の制御ソフトウェアアプリケーションが共有ペリフェラルを使用するときの処理フロー概要を示す図である。第一の実施例のペリフェラルアクセス記録情報の例を示す図である。第一の実施例のペリフェラル状態記録情報の例を示す図である。第一の実施例のハイパーバイザ監視プログラムの処理フロー概要を示す図である。第一の実施例のペリフェラル所望状態情報の例を示す図である。第一の実施例のハイパーバイザ監視プログラムのステップＳ１におけるペリフェラル所望状態情報の生成処理を模式的に示す図である。第一の実施例のハイパーバイザ監視プログラムのステップＳ１におけるペリフェラル所望状態情報の生成処理を模式的に示す図である。第二の実施例の電子制御装置のソフトウェア構成を示す図である。第二の実施例のハイパーバイザ監視プログラムの処理フロー概要を示す図である。第三の実施例の電子制御装置のハードウェア構成を示す図である。第三の実施例の電子制御装置のソフトウェア構成を示す図である。第三の実施例の第一の制御ソフトウェアアプリケーションが共有ペリフェラルであるＣＡＮコントローラを使用するときの処理フロー概要を示す図である。第三の実施例のＣＡＮ台帳を示す図である。第四の実施例の監視結果保存プログラムの処理フロー概要を示す図である。第四の実施例のハイパーバイザ異常発生時刻情報の例を示す図である。第四の実施例の監視結果保存プログラムのステップＳ７における処理の概要を模式的に示す図である。

　本実施例は、電子制御装置に関するものであって、特に、複数の制御ソフトウェアアプリケーションを一つのマイコン上に統合した電子制御装置に関する。

　以下、本発明に好適な実施形態の例（実施例）を説明する。説明のため本実施例においては、第一の制御ソフトウェアアプリケーションと第二の制御ソフトウェアアプリケーションの二つの制御ソフトウェアアプリケーションを一つの電子制御装置に統合する例を説明するが、これに限らず、第三の制御ソフトウェアアプリケーションや第四の制御ソフトウェアアプリケーションを一つの電子制御装置に統合するものでもよい。

　＜構成＞
　図１は、第一の実施例の電子制御装置のハードウェア構成を示す図である。

　＜電子制御装置０＞
　図１を参照して、本実施例の電子制御装置について説明する。電子制御装置０は、マイコン９００と電源回路９０１を有する。マイコン９００は、演算処理を行うＣＰＵ（Central Processing Unit）１、電子制御装置０に搭載された周辺機器群であるペリフェラル２、ソフトウェアを格納するメモリ３、ＣＰＵ１とペリフェラル２とメモリ３を接続しＣＰＵ１からペリフェラル２及びメモリ３へのアクセスを可能とするバス４で構成される。

　マイコン９００の電源入力端子は、電源回路９０１と接続されている。マイコン９００は電源回路９０１から電源供給を受けると起動する。マイコン９００は、自己リセット信号出力端子を有する。マイコン９００が自己リセット信号出力端子からデジタル信号を出力することによって、電源回路９０１はマイコン９００への電源供給を停止する。

　＜ＣＰＵ１＞
　ＣＰＵ１は、第一のＣＰＵコア１０１と第二のＣＰＵコア１０２の二つのコアを有する。なお、説明のためＣＰＵコアは二つとしているが、これに限らず、例えば一つでも三つ以上でもよい。

　＜ペリフェラル２＞
　ペリフェラル２は、マイコン９００の内部又は外部にデータ及び信号を入出力するデバイスであり、第一の制御ソフトウェアアプリケーション１０（すなわち第一のＣＰＵコア１０１）及び第二の制御ソフトウェアアプリケーション１５（すなわち第二のＣＰＵコア１０２）の両方からアクセスされる共用ペリフェラル２０１と、第一の制御ソフトウェアアプリケーション１０（すなわち第一のＣＰＵコア１０１）のみからアクセスされる第一のペリフェラル２０２と、第二の制御ソフトウェアアプリケーション１５（すなわち第二のＣＰＵコア１０３）のみからアクセスされる第二のペリフェラル２０３とを含む。ペリフェラル２とは、マイコン９００に搭載されるＣＰＵ１及びメモリ３以外の周辺回路の一般的な呼称であり、具体的には、マイコン９００に搭載されたＣＡＮ（Controller Area Network）コントローラ、アナログ・デジタル・コンバータ、ダイレクト・メモリ・アクセスコントローラ、ＧＰＩＯ（General Purpose Input/Output）などを含む。

　＜メモリ３＞
　メモリ３は、不揮発性の記憶素子であるＲＯＭ及び揮発性の記憶素子であるＲＡＭを含む。ＲＯＭは、不変のプログラム（例えば、ＢＩＯＳ）などを格納する。ＲＡＭは、ＤＲＡＭ（Dynamic Random Access Memory）のような高速かつ揮発性の記憶素子であり、ＣＰＵ１が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。

　簡単のため、本実施例においては、共用ペリフェラル２０１がデジタル出力ポート２０１１を含み、第一のペリフェラル２０２がアナログ出力ポート２０２１を含み、第二のペリフェラル２０３がデジタル入力ポート２０３１を含むものとする。

　図２は、第一の実施例の電子制御装置のソフトウェア構成を示す図である。図２に示すソフトウェアはメモリ３に格納される。

　＜ソフトウェア構成＞
　以下の処理は、ＣＰＵ１の第一のＣＰＵコア１０１又は第二のＣＰＵコア１０２のいずれかにおいて実行される。

　ホストＯＳ（Operating System）５は、マイコン９００上に搭載される。ホストＯＳ５は、ハイパーバイザ６とハイパーバイザ監視プログラム１７とレジスタ値取得プログラム１８を起動する。ハイパーバイザ６は、ハイパーバイザ６によって定められる起動方法に従って起動される。ハイパーバイザ監視プログラム１７とレジスタ値取得プログラム１８は５ミリ秒周期で起動し、監視のための情報を取得する。なお、簡単のため本実施例では起動周期を５ミリ秒としたが、これに限らず、他のタイミングで起動してもよい。ハイパーバイザ６は、ホストＯＳ５上で実行されるソフトウェアで構成されても、マイコン９００に実装されるハードウェアで構成されてもよい。

　ハイパーバイザ６は、ハイパーバイザ６によって定められる方法によって、第一の仮想マシン７と第二の仮想マシン８を構成し、それぞれを起動する。なお、簡単のため本実施例では仮想マシンの数を２としたが、これに限らず、１又は３以上でもよい。

　第一の仮想マシン７では、第一のゲストＯＳ９と、第一の制御ソフトウェアアプリケーション１０と、仮想ドライバ１１と、ペリフェラルアクセス要求記録プログラム１９と、アナログ出力ポートドライバ１２が実行される。第二の仮想マシン８では、第二のゲストＯＳ１３と、第二の制御ソフトウェアアプリケーション１５と、仮想ドライバ１１と、デジタル入力ポートドライバ１４が実行される。ペリフェラルアクセス要求記録プログラム１９は、第一の仮想マシン７上で実行されているが、第二の仮想マシン８上で実行されてもよい。すなわち、ペリフェラルアクセス要求記録プログラム１９は、ハイパーバイザ６上で少なくとも一つ実行されていればよい。

　＜第一の仮想マシン７＞
　第一の仮想マシン７におけるソフトウェアの動作について説明する。ハイパーバイザ６が第一の仮想マシン７を構成すると、第一の仮想マシン７は第一のゲストＯＳ９を起動する。第一のゲストＯＳ９は、第一の制御ソフトウェアアプリケーション１０を起動する。第一の制御ソフトウェアアプリケーション１０は、共用ペリフェラル２０１であるデジタル出力ポート２０１１と第一のペリフェラル２０２であるアナログ出力ポート２０２１を使用する。

　図３は、第一の制御ソフトウェアアプリケーション１０が第一のペリフェラル２０２を使用するときの処理フローの概要を表す図である。

　＜第一の仮想マシン７から第一のペリフェラル２０２へのアクセス＞
　第一の制御ソフトウェアアプリケーション１０から第一のペリフェラル２０２であるアナログ出力ポート２０２１にアクセスするためには、アナログ出力ポートドライバ１２を用いる。すなわち、第一の制御ソフトウェアアプリケーション１０がペリフェラルアクセス要求として、引数に５Ｖを指定してアナログ出力ポートドライバ１２をコールすると、アナログ出力ポートドライバ１２はアナログ出力ポート２０２１のレジスタにアクセスし、出力電圧値を５Ｖとするための値をマイコン９００の所定のレジスタにセットし、第一の制御ソフトウェアアプリケーション１０に正常終了をリターンする。

　図４は、第一の制御ソフトウェアアプリケーション１０が共用ペリフェラル２０１を使用するときの処理フロー概要を示す図である。

　＜第一の仮想マシン７から共用ペリフェラル２０１へのアクセス＞
　第一の制御ソフトウェアアプリケーション１０から共用ペリフェラル２０１であるデジタル出力ポート２０１１にアクセスするためには、ペリフェラルアクセス要求記録プログラム１９と仮想ドライバ１１とハイパーバイザ６とデジタル出力ポートドライバ１６を用いる。すなわち、第一の制御ソフトウェアアプリケーション１０は、ペリフェラルアクセス要求として、引数にＨを指定してペリフェラルアクセス要求記録プログラム１９をコールする。ペリフェラルアクセス要求記録プログラム１９は、第一の制御ソフトウェアアプリケーション１０によるペリフェラルアクセス要求情報５１を記録し、引数にＨを指定して仮想ドライバ１１をコールする。仮想ドライバ１１は、ＣＰＵ１の処理コンテクストを第一の仮想マシン７からハイパーバイザ６に変更するための処理（一般にＶＭＥｘｉｔと呼称される）を実行する。ハイパーバイザ６は、デジタル出力ポート２０１１の使用状況を確認する。すなわち、ハイパーバイザ６は、第二の仮想マシン８がデジタル出力ポート２０１１を使用中でなければ、引数をＨとしてデジタル出力ポート２０１１にアクセスするためのデジタル出力ポートドライバ１６をコールする。第二の仮想マシン８がデジタル出力ポート２０１１を使用中の場合は、ハイパーバイザ６の内部に準備されたバッファに引数Ｈを格納して待機し、第二の仮想マシン８によるデジタル出力ポート２０１１の使用終了後にバッファから引数Ｈを取り出し、取り出した引数を付してデジタル出力ポートドライバ１６をコールする。

　デジタル出力ポートドライバ１６は、デジタル出力ポート２０１１のレジスタにアクセスし、出力値をＨ（Ｈｉｇｈ，１）とするためのマイコン９００の所定のレジスタに値をセットし、ハイパーバイザ６に正常終了をリターンする。ハイパーバイザ６は、デジタル出力ポートドライバ１６から正常終了のリターンを受け取ると、ＣＰＵ１の処理コンテクストをハイパーバイザ６から第一の仮想マシン７に変更するための処理（一般にＶＭＥｎｔｒｙと呼称される）を実行する。仮想ドライバ１１は、ハイパーバイザ６から正常終了の情報を受け取ると、ペリフェラルアクセス要求記録プログラム１９をコールする。ペリフェラルアクセス要求記録プログラム１９は、第一の制御ソフトウェアアプリケーション１０に対するペリフェラルアクセス結果情報５２を記録し、第一の制御ソフトウェアアプリケーション１０に正常終了をリターンする。

　図５は、第一の制御ソフトウェアアプリケーション１０によるペリフェラルアクセス要求情報５１の例を示す図である。

　＜第一の制御ソフトウェアアプリケーション１０によるペリフェラルアクセス要求情報５１＞
　第一の制御ソフトウェアアプリケーション１０によるペリフェラルアクセス要求情報５１は、第一の制御ソフトウェアアプリケーション１０がペリフェラルアクセス要求記録プログラム１９をコールした時刻と、当該コールによってアクセスを要求したペリフェラルと、当該コールにおいて付加した引数の情報を含む。

　図６は、第一の制御ソフトウェアアプリケーション１０に対するペリフェラルアクセス結果情報５２の例を示す図である。

　＜第一の制御ソフトウェアアプリケーション１０に対するペリフェラルアクセス結果情報５２＞
　第一の制御ソフトウェアアプリケーション１０に対するペリフェラルアクセス結果情報５２は、ハイパーバイザ６が仮想ドライバ１１に対して正常処理済みである旨の情報を返信した時刻と、ハイパーバイザ６が処理を行ったペリフェラルの情報と、処理結果の情報を含む。

　＜第二の仮想マシン８＞
　第二の仮想マシン８におけるソフトウェアの動作について説明する。ハイパーバイザ６が第二の仮想マシン８を構成すると、第二の仮想マシン８は第二のゲストＯＳ１３を起動する。第二のゲストＯＳ１３は、第二の制御ソフトウェアアプリケーション１５を起動する。第二の制御ソフトウェアアプリケーション１５は、共用ペリフェラル２０１であるデジタル出力ポート２０１１と第二のペリフェラル２０３であるデジタル入力ポート２０３１を使用する。

　図７は、第二の制御ソフトウェアアプリケーション１５が第二のペリフェラル２０３を使用するときの処理フロー概要を示す図である。

　＜第二の仮想マシン８から第二のペリフェラル２０３へのアクセス＞
　第二の制御ソフトウェアアプリケーション１５から第二のペリフェラル２０３であるデジタル入力ポート２０３１にアクセスするためには、デジタル入力ポートドライバ１４を用いる。すなわち、第二の制御ソフトウェアアプリケーション１５がペリフェラルアクセス要求として、デジタル入力ポートドライバ１４をコールすると、デジタル入力ポートドライバ１４はデジタル入力ポート２０３１のレジスタにアクセスし、マイコン９００の所定のレジスタの値を読み取り、該読み取りの結果を付して第二の制御ソフトウェアアプリケーション１５にリターンする。

　図８は、第二の制御ソフトウェアアプリケーション１５が共用ペリフェラル２０１を使用するときの処理フロー概要を示す図である。

　＜第二の仮想マシン８から共用ペリフェラル２０１へのアクセス＞
　第二の制御ソフトウェアアプリケーション１５から共用ペリフェラル２０１であるデジタル出力ポート２０１１にアクセスするためには、仮想ドライバ１１とハイパーバイザ６とデジタル出力ポートドライバ１６を用いる。すなわち、第一の制御ソフトウェアアプリケーション１０は、ペリフェラルアクセス要求として、引数にＨを指定して仮想ドライバ１１をコールする。仮想ドライバ１１は、ＣＰＵ１の処理コンテクストを第二の仮想マシン８からハイパーバイザ６に変更するための処理（一般にＶＭＥｘｉｔと呼称される）を実行する。ハイパーバイザ６は、デジタル出力ポート２０１１の使用状況を確認する。すなわち、ハイパーバイザ６は、第一の仮想マシン７がデジタル出力ポート２０１１を使用中でなければ、引数をＨとしてデジタル出力ポート２０１１にアクセスするためのデジタル出力ポートドライバ１６をコールする。第一の仮想マシン７がデジタル出力ポート２０１１を使用中の場合は、ハイパーバイザ６の内部に準備されたバッファに引数Ｈを格納して待機し、第一の仮想マシン７によるデジタル出力ポート２０１１の使用終了後にバッファから引数Ｈを取り出し、取り出した引数を付してデジタル出力ポートドライバ１６をコールする。

　デジタル出力ポートドライバ１６は、デジタル出力ポート２０１１のレジスタにアクセスし、出力値をＨ（Ｈｉｇｈ，１）とするためのマイコン９００の所定のレジスタに値をセットし、ハイパーバイザ６に正常終了をリターンする。ハイパーバイザ６は、デジタル出力ポートドライバ１６から正常終了のリターンを受け取ると、ＣＰＵ１の処理コンテクストをハイパーバイザ６から第一の仮想マシン７に変更するための処理（一般にＶＭＥｎｔｒｙと呼称される）を実行する。仮想ドライバ１１は、ハイパーバイザ６から正常終了の情報を受け取ると、第一の制御ソフトウェアアプリケーション１０に正常終了をリターンする。

　＜ペリフェラルアクセス要求記録プログラム１９＞
　ペリフェラルアクセス要求記録プログラム１９は、図４に示すように、第一の制御ソフトウェアアプリケーション１０がペリフェラルアクセス要求を送出したときに、第一の制御ソフトウェアアプリケーション１０によるペリフェラルアクセス要求情報５１を生成する。また、ペリフェラルアクセス要求記録プログラム１９は、図４に示すように、仮想ドライバ１１がハイパーバイザ６から正常終了済みとの情報を受け取ったときに、第一の制御ソフトウェアアプリケーション１０に対するペリフェラルアクセス結果情報５２を生成する。さらに、ペリフェラルアクセス要求記録プログラム１９は、第一のゲストＯＳ９によって所定のタイミングで繰り返し（例えば１００ミリ秒周期で）起動され、第一の制御ソフトウェアアプリケーション１０によるペリフェラルアクセス要求情報５１と第一の制御ソフトウェアアプリケーション１０に対するペリフェラルアクセス結果情報５２を統合したペリフェラルアクセス記録情報５３を生成し、当該ペリフェラルアクセス記録情報５３をハイパーバイザ監視プログラム１７が参照可能なメモリ領域に書き込む。

　図９は、ペリフェラルアクセス記録情報５３の例を示す図である。

　＜ペリフェラルアクセス記録情報５３＞
　ペリフェラルアクセス記録情報５３は、第一の制御ソフトウェアアプリケーション１０がペリフェラルアクセス要求記録プログラム１９をコールした時刻と、当該要求によるアクセス要求先のペリフェラルと、当該要求において付加した引数の情報と、当該ペリフェラルアクセス要求に従ってハイパーバイザ６が仮想ドライバ１１に対して正常処理済みとの情報を送信した時刻と、ハイパーバイザ６による処理結果の情報を含む。

　＜レジスタ値取得プログラム１８＞
　レジスタ値取得プログラム１８は、ホストＯＳ５によって所定のタイミングで繰り返し（例えば５ミリ秒周期で）起動される。レジスタ値取得プログラム１８は、起動毎にデジタル出力ポートドライバ１６をコールして、共用ペリフェラル２０１であるデジタル出力ポート２０１１の状態を表すマイコン９００の所定のレジスタの値を取得し、ペリフェラル状態記録情報５４を生成し、生成したペリフェラル状態記録情報５４をハイパーバイザ監視プログラム１７が参照可能なメモリ領域に書き込む。レジスタ値取得プログラム１８は、ホストＯＳ５上で実行されているが、ハイパーバイザ６上で実行されてもよい。

　図１０は、ペリフェラル状態記録情報５４の例を示す図である。

　＜ペリフェラル状態記録情報５４＞
　ペリフェラル状態記録情報５４は、レジスタ値取得プログラム１８の処理対象のペリフェラルと、レジスタ値取得プログラム１８がペリフェラル（デジタル出力ポートドライバ１６）をコールした時刻と、該コールにより取得したレジスタの値の情報を含む。

　図１１は、ハイパーバイザ監視プログラム１７の処理フロー概要を示す図である。

　＜ハイパーバイザ監視プログラム１７＞
　ハイパーバイザ監視プログラム１７は、ペリフェラルアクセス記録情報５３に基づいてレジスタ値が本来取るべき値を計算し、この本来取るべき値とペリフェラル状態記録情報５４が一致していない場合に、ハイパーバイザ６に異常が発生したと判定する。

　ステップＳ１において、ハイパーバイザ監視プログラム１７は、ペリフェラルアクセス記録情報５３に含まれるすべての情報とペリフェラル状態記録情報５４に含まれる状態確認時刻情報に基づいて、ペリフェラル所望状態情報５５を生成する。

　ステップＳ２において、ハイパーバイザ監視プログラム１７は、ペリフェラル状態記録情報５４とペリフェラル所望状態情報５５を比較し、ハイパーバイザ６の状態が正常であるか異常であるかを判定する。

　図１２は、ペリフェラル所望状態情報５５の例を示す図である。

　＜ペリフェラル所望状態情報５５＞
　ペリフェラル所望状態情報５５は、レジスタ値取得プログラム１８がデジタル出力ポートドライバ１６をコールした時刻と、ペリフェラルアクセス記録情報５３に基づいて計算された時刻におけるペリフェラルレジスタの値の情報を含む。

　図１３は、ハイパーバイザ監視プログラム１７のステップＳ１におけるペリフェラル所望状態情報生成処理を模式的に示す図である。

　＜ステップＳ１＞
　本実施例では、レジスタの初期値は不定である。

　ペリフェラルアクセス記録情報５３によると、第一の制御ソフトウェアアプリケーション１０は、時刻１０：００に引数をＨとしてペリフェラルアクセス要求を送信している。第一の制御ソフトウェアアプリケーション１０がペリフェラルアクセス要求を送信してから図４に示すフローに従ってデジタル出力ポートドライバ１６のレジスタの値が実際に操作されるまでの間にはオーバヘッドが存在する。当該オーバヘッドの長さは予測できないが、ペリフェラルアクセス記録情報５３のハイパーバイザ返答時刻情報によって、時刻１０：００と時刻１６：００の間のいずれかの時刻でレジスタの値がＨにセットされていると計算される。

　同様に、ペリフェラルアクセス記録情報５３によると、第一の制御ソフトウェアアプリケーション１０は、時刻２５：００に引数をＬとしてペリフェラルアクセス要求を送信している。第一の制御ソフトウェアアプリケーション１０がペリフェラルアクセス要求を送信してから図４に示すフローに従ってデジタル出力ポートドライバ１６のレジスタの値が実際に操作されるまでの間にはオーバヘッドが存在する。当該オーバヘッドの長さは予測できないが、ペリフェラルアクセス記録情報５３のハイパーバイザ返答時刻情報によって、時刻２５：００と時刻３２：００の間のいずれかの時刻でレジスタの値がＬにセットされていると計算される。

　従って、ペリフェラル所望状態情報５５は、図１２に示す通りに生成される。すなわち、時刻１２：１０においては不定値である初期値が維持されているか、時刻１０：００に送信されたペリフェラルアクセス要求に従いＨとなっているかのいずれかであり、レジスタの値はＨ又はＬいずれも取り得る。時刻１６：００より後の時刻１７：１０においては、レジスタの値はＨ、時刻２２：１０においては引き続きレジスタの値はＨとなっている。また、時刻２７：１０においては、引き続きレジスタの値はＨとなっているか、時刻２５：００におけるペリフェラルアクセス要求に従ってＬとなっているかのいずれかであり、レジスタの値はＨ又はＬいずれも取り得る。時刻３２：００より後の時刻３２：１０においては、レジスタの値はＬ、時刻３７：１０においては引き続きレジスタの値はＬと計算される。

　図１４は、ハイパーバイザ監視プログラム１７のステップＳ１におけるペリフェラル所望状態情報生成処理を模式的に示す図である。

　＜ステップＳ２＞
　ステップＳ２において、ハイパーバイザ監視プログラム１７は、ペリフェラル所望状態情報５５とペリフェラル状態記録情報５４を比較し、ペリフェラル所望状態情報５５で計算された各時刻におけるペリフェラルレジスタの値がペリフェラル状態記録情報５４に記録されたレジスタの値と異なる場合に、ハイパーバイザ６の異常が発生したと判定する。すなわち、図１４に示す場合、時刻３２：１０において、ペリフェラル所望状態情報５５によるとレジスタの値はＬであるべきだが、ペリフェラル状態記録情報５４によると実際のレジスタの値はＨとなっているため、ハイパーバイザ６の異常が検知される。これは、第一の制御ソフトウェアアプリケーション１０が、デジタル出力ポート２０１１をＬにするようペリフェラルアクセス要求を送信し、ハイパーバイザ６は正常に処理した旨を第一の制御ソフトウェアアプリケーション１０に返答しているが、実際にはデジタル出力ポート２０１１の値がＨのまま変更されていないことを表している。

　本実施例によれば、内部ロジックが公開されていないハイパーバイザ６であっても、ハイパーバイザ６が操作するマイコン９００のレジスタの値の変化の記録によって、ハイパーバイザ６が仮想マシン７、８の内部の制御ソフトウェアアプリケーション１０、１５が要求した処理が正しく実行しているか否かをハイパーバイザ６の外部から監視する。このため、ハイパーバイザ６の内部状態にアクセスせずに、ハイパーバイザ６の入力及び出力に基づいて、ハイパーバイザ６の異常を検知できる。すなわち、ハイパーバイザ６が仮想マシン７、８に対して正常処理を返信している場合でも、実際に正常に処理が行われていなければハイパーバイザ６の異常を検出できる。

　また、レジスタの実際の値と予定値の不整合によってハイパーバイザ６の異常を判定するので、テストパターンのような余分な処理が不要となり、本来の処理への影響を抑制できる。

　本発明の第二の実施例の電子制御装置及び方法について説明する。第二の実施例は、ソフトウェア構成に監視結果保存プログラム２０が追加される点で第一の実施例と異なる。なお、第一の実施例と同じ構成には、同じ符号を付して、その説明を省略する。

　図１５は、第二の実施例の電子制御装置のソフトウェア構成を示す図である。図１５に示すソフトウェアはメモリ３に格納される。

　＜ソフトウェア構成＞
　ホストＯＳ５はマイコン９００上に搭載される。ホストＯＳ５は、ハイパーバイザ６とハイパーバイザ監視プログラム１７とレジスタ値取得プログラム１８を起動する。また、ホストＯＳ５は、異常検知フラグ５６の値を所定のタイミングで繰り返し（例えば５ミリ秒周期で）確認し、異常検知フラグ５６がＴｒｕｅであることを確認した場合、異常検知フラグ５６をＦａｌｓｅに書き換えた後、監視結果保存プログラム２０を起動する。

　＜異常検知フラグ５６＞
　異常検知フラグ５６はＴｒｕｅ、Ｆａｌｓｅの２値のいずれかをとる変数である。

　図１６は、ハイパーバイザ監視プログラム１７の処理フロー概要を示す図である。

　＜ステップＳ３＞
　ステップＳ３において、ハイパーバイザ監視プログラム１７は、ステップＳ２における判定結果が正常であるか異常であるかに従って、処理を分岐する。すなわち、ステップＳ２における判定結果が正常である場合は何もせずに終了し、ステップＳ２における判定結果が異常である場合はステップＳ４に進む。

　＜ステップＳ４＞
　ステップＳ４において、ハイパーバイザ監視プログラム１７は、異常検知フラグ５６の値をＴｒｕｅに変更し、処理を終了する。

　＜監視結果保存プログラム２０＞
　監視結果保存プログラム２０は、ペリフェラルアクセス記録情報５３とペリフェラル状態記録情報５４とペリフェラル所望状態情報５５をマイコン９００のメモリ３の内部の不揮発メモリ領域に保存する。

　本実施例によれば、不揮発メモリ領域の参照によって、ペリフェラルアクセス記録情報５３とペリフェラル状態記録情報５４とペリフェラル所望状態情報５５を、ハイパーバイザ６に異常が検知された理由及びハイパーバイザ６に異常が発生する動作パターンを特定するデバッグのための情報とし使用できる。

　本発明の第三の実施例の電子制御装置及び方法について説明する。第三の実施例は、ペリフェラルアクセス記録情報５３を取り出すために別の仮想ドライバを使用する点で第一の実施例と異なる。なお、第一の実施例と同じ構成については、同じ符号を付して、その説明を省略する。

　＜構成＞
　図１７は、第三の実施例の電子制御装置のハードウェア構成を示す図である。

　＜ペリフェラル２＞
　本実施例においては、共用ペリフェラル２０１にデジタル出力ポート２０１１及びＣＡＮコントローラ２０１２が含まれ、第一のペリフェラル２０２にアナログ出力ポート２０２１が含まれ、第二のペリフェラル２０３にデジタル入力ポート２０３１が含まれる。

　図１８は、第三の実施例の電子制御装置のソフトウェア構成を示す図である。図１８に示すソフトウェアはメモリ３に格納される。

　＜ソフトウェア構成＞
　第一の仮想マシン７は、第一のゲストＯＳ９と、第一の制御ソフトウェアアプリケーション１０と、仮想ドライバ１１と、ペリフェラルアクセス要求記録プログラム１９と、アナログ出力ポートドライバ１２と、仮想ＣＡＮドライバ２１を含む。第二の仮想マシン８は、第二のゲストＯＳ１３と、第二の制御ソフトウェアアプリケーション１５と、仮想ドライバ１１と、デジタル入力ポートドライバ１４と、仮想ＣＡＮドライバ２１を含む。

　＜第一の仮想マシン７＞
　第一の仮想マシン７におけるソフトウェアの動作について説明する。ハイパーバイザ６が第一の仮想マシン７を構成すると、第一の仮想マシン７は第一のゲストＯＳ９を起動する。第一のゲストＯＳ９は、第一の制御ソフトウェアアプリケーション１０を起動する。第一の制御ソフトウェアアプリケーション１０は、共用ペリフェラル２０１であるデジタル出力ポート２０１１とＣＡＮコントローラ２０１２と、第一のペリフェラル２０２であるアナログ出力ポート２０２１を使用する。

　図１９は、第三の実施例の第一の制御ソフトウェアアプリケーション１０が共用ペリフェラル２０１であるＣＡＮコントローラ２０１２を使用するときの処理フロー概要を示す図である。

　＜第一の仮想マシン７からＣＡＮコントローラ２０１２へのアクセス＞
　第一の制御ソフトウェアアプリケーション１０から共用ペリフェラル２０１であるＣＡＮコントローラ２０１２にアクセスするためには、仮想ＣＡＮドライバ２１とハイパーバイザ６とＣＡＮドライバ２２を用いる。すなわち、第一の制御ソフトウェアアプリケーション１０は、ペリフェラルアクセス要求として、引数にＣＡＮメッセージプロトコルで指定されるＩＤ及びＣＡＮフレームに送信するデータｄａｔａを指定して仮想ＣＡＮドライバ２１をコールする。仮想ＣＡＮドライバ２１は、ＣＰＵ１の処理コンテクストを第一の仮想マシン７からハイパーバイザ６に変更するための処理（一般にＶＭＥｘｉｔと呼称される）を実行する。ハイパーバイザ６は、ＣＡＮコントローラ２０１２の使用状況を確認する。すなわち、ハイパーバイザ６は、第二の仮想マシン８がＣＡＮコントローラ２０１２を使用中でなければ、引数にＩＤとｄａｔａを指定してＣＡＮコントローラ２０１２にアクセスするためのＣＡＮドライバ２２をコールする。第二の仮想マシン８がＣＡＮコントローラ２０１２を使用中の場合は、ハイパーバイザ６の内部に準備したバッファに引数ＩＤとｄａｔａを格納して待機し、第二の仮想マシン８によるＣＡＮコントローラ２０１２の使用が終了した後に、前記バッファから引数ＩＤとｄａｔａを取り出し、前記取り出した引数をつけてＣＡＮドライバ２２をコールする。

　ＣＡＮドライバ２２はＣＡＮコントローラ２０１２のレジスタにアクセスし、ＣＡＮ通信バスに対してＩＤとｄａｔａをＣＡＮフレームに格納して送信し、ハイパーバイザ６に対し、正常終了をリターンする。ハイパーバイザ６は、ＣＡＮドライバ２２から正常終了のリターンを受け取ると、ＣＰＵ１の処理コンテクストをハイパーバイザ６から第一の仮想マシン７に変更するための処理（一般にＶＭＥｎｔｒｙと呼称される）を実行する。仮想ＣＡＮドライバ２１は、ハイパーバイザ６から正常終了の情報を受け取ると、第一の制御ソフトウェアアプリケーション１０に対し正常終了をリターンする。

　図２０は、第三の実施例のＣＡＮ台帳５７を示す図である。

　＜ＣＡＮ台帳５７＞
　ＣＡＮ台帳５７は、ＣＡＮドライバ２２内部に保持され、各ＣＡＮフレームを識別するためのメッセージＩＤと当該ＣＡＮフレームに含まれるデータの内容と当該ＣＡＮフレームを送信処理するか受信処理するかの情報と当該ＣＡＮフレームにおけるデータ長の情報を含む。本実施例では、ＩＤ０かから２０００までのＣＡＮフレームは、通常の制御処理に使用され、ＣＡＮ通信バスに対し送信される又はＣＡＮ通信バスから受信される。メッセージＩＤ９９００のＣＡＮフレームには、ペリフェラル状態記録情報５４における状態確認時刻と処理対象とレジスタ値の組を８バイトのデータとして格納し、当該ＣＡＮフレームの送信・受信の情報は監視部送信と記載する。

　＜ＣＡＮドライバ２２＞
　ＣＡＮドライバ２２は、ＣＡＮ台帳５７に記述された情報に従って、ＣＡＮコントローラ２０１２のレジスタを操作する。すなわち、メッセージＩＤ０の８バイトデータについてはＣＡＮコントローラ２０１２のレジスタを操作して車両速度としてＣＡＮ通信バスから受信し、メッセージＩＤ１の８バイトデータについてはＣＡＮコントローラ２０１２のレジスタを操作してエンジン回転数としてＣＡＮ通信バスに送信し、メッセージＩＤ２の８バイトデータについてはＣＡＮコントローラ２０１２のレジスタを操作してスロットル開度としてＣＡＮ通信バスに送信する。

　さらに、ＣＡＮドライバ２２は、ＣＡＮ台帳５７において送信・受信の種別が監視部送信となっているメッセージＩＤ９９００のデータについては、ＣＡＮコントローラ２０１２のレジスタを操作せず、ハイパーバイザ監視プログラム１７が参照可能なメモリ領域に当該データを書き込む。ＣＡＮドライバ２２は第一の仮想マシン７及びハイパーバイザ６の外部に存在するため、ハイパーバイザ６によるメモリ領域の参照領域の制限の影響を受けない。また、ハイパーバイザ６の監視に使用するペリフェラル（デジタル出力ポート２０１１）と別のペリフェラル（ＣＡＮコントローラ２０１２）を用いることによって、ハイパーバイザ６はデジタル出力ポート２０１１の操作において異常が発生している場合においても、ペリフェラルアクセス記録情報５３をハイパーバイザ監視プログラム１７が参照可能なメモリ領域に格納できる。

　本実施例によれば、ハイパーバイザ６が構成した仮想マシン内部から仮想マシン外部へのアクセスが禁止され、ペリフェラルアクセス要求記録プログラム１９がペリフェラルアクセス記録情報５３をハイパーバイザ監視プログラム１７が参照可能なメモリ領域に書き込むことが不可能な場合でも、当該ペリフェラルアクセス記録情報５３を第一の仮想マシン７の外部に取り出し、ハイパーバイザ監視プログラム１７が参照可能なメモリ領域に書き込むことができる。

　本発明の第四の実施例の電子制御装置及び方法について説明する。第四の実施例は、ハイパーバイザ６の故障を所定の値以上の頻度で検出した場合に、電子制御装置をシャットダウンする点で第二の実施例と異なる。なお、第二の実施例と同じ構成については、同一の符号を付して、その説明を省略する。

　図２１は、第四の実施例の監視結果保存プログラム２０の処理フロー概要を示す図である。

　＜監視結果保存プログラム２０＞
　監視結果保存プログラム２０は、ペリフェラルアクセス記録情報５３とペリフェラル状態記録情報５４とペリフェラル所望状態情報５５をマイコン９００のメモリ３の内部の不揮発メモリ領域に保存し、ハイパーバイザ６の異常発生頻度を計算し、計算された異常発生頻度が所定の閾値以上の場合に電子制御装置０をシャットダウンする。

　＜ステップＳ５＞
　ステップＳ５において、監視結果保存プログラム２０は、ペリフェラルアクセス記録情報５３とペリフェラル状態記録情報５４とペリフェラル所望状態情報５５をマイコン９００のメモリ３の内部の不揮発メモリ領域に保存する。

　＜ステップＳ６＞
　ステップＳ６において、監視結果保存プログラム２０は、ハイパーバイザ６に異常が発生した時刻を計算する。ハイパーバイザ６に実際に異常が発生した時刻をハイパーバイザ６の外部からの特定は困難であるため、異常が発生した時刻として、ハイパーバイザ監視プログラム１７がハイパーバイザ６に異常が発生したと判定する根拠としたペリフェラル状態記録情報５４とペリフェラル所望状態情報５５に記載された時刻をハイパーバイザ６に異常が発生した時刻とする。すなわち、ペリフェラル状態記録情報５４とペリフェラル所望状態情報５５が図１４に示すものある場合、ハイパーバイザ６に異常が発生した時刻は、時刻００：３２：１０と計算される。監視結果保存プログラム２０は、この時刻をハイパーバイザ異常発生時刻情報５８に保存する。

　図２２は、第四の実施例のハイパーバイザ異常発生時刻情報５８の例を示す図である。

　＜ハイパーバイザ異常発生時刻情報５８＞
　ハイパーバイザ異常発生時刻情報５８は、第四の実施例の電子制御装置の監視結果保存プログラム２０のステップＳ６で計算された時刻の情報を格納する。

　＜ハイパーバイザ異常発生頻度要件５９＞
　ハイパーバイザ異常発生頻度要件５９は、電子制御装置０をシャットダウンするための条件である。本実施例では、時間１０：００以内にハイパーバイザ６の異常を２回検出とする。

　図２３は、第四の実施例の監視結果保存プログラム２０のステップＳ７における処理の概要を模式的に示す図である。

　＜ステップＳ７＞
　監視結果保存プログラム２０は、ステップＳ７において、ハイパーバイザ６に異常が発生した頻度を計算する。ハイパーバイザ異常発生頻度要件５９によって時間１０：００以内のハイパーバイザ６の異常発生頻度が条件となっているため、最新の異常発生時刻から遡って時間１０：００以内に発生したハイパーバイザ異常発生時刻の記録回数を計算する。図２３を用いて説明する。時刻５０：２５において、最新の異常発生時刻は４７：１０であり、この時刻から遡って時間１０：００、すなわち時刻３７：１０から時刻４７：１０の間に発生した回数はハイパーバイザ異常発生時刻情報５８によれば１回であるため、頻度は１回であると計算される。時刻５４：３５において、最新の異常発生時刻は５２：１０であり、この時刻から遡って時間１０：００、すなわち時刻４２：１０から時刻５２：１０の間に発生した回数は、ハイパーバイザ異常発生時刻情報５８によれば２回であるため、頻度は２回であると計算される。

　＜ステップＳ８＞
　ステップＳ８において、監視結果保存プログラム２０は、ステップＳ７で計算した異常発生頻度がハイパーバイザ異常発生頻度要件５９で規定した値以上であれば、ステップＳ９に進み、そうでなければステップＳ９をスキップしてこの処理を終了する。

　＜ステップＳ９＞
　ステップＳ９において、監視結果保存プログラム２０は、マイコン９００の自己リセット出力端子からリセット信号を出力する。これにより、電源回路９０１はマイコン９００への電源供給を停止し、電子制御装置０はシャットダウンする。電子制御装置０の停止範囲は、その一部でも全部でもよい。

　本実施例によれば、ハイパーバイザ６に異常を検知した頻度が低ければ、電子制御装置の動作を継続して、当該電子制御装置や当該電子制御装置が搭載された車両への影響を抑制し、ハイパーバイザ６に異常を検知した頻度が高ければ、電子制御装置をシャットダウンして、ハイパーバイザ６に発生した異常が当該電子制御装置や当該電子制御装置が搭載された車両の安全に与える影響を低減でき、可用性と安全性を両立できる。

　なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

Claims

　電子制御装置であって、
　第一の仮想ドライバにアクセスして、処理を実行する仮想マシンと、
　前記第一の仮想ドライバから受信したペリフェラルアクセス要求に基づいて第一のペリフェラルの第一の実ドライバを呼び出すハイパーバイザと、
　前記第一の仮想ドライバを呼び出して、前記ハイパーバイザへ送信したペリフェラルアクセス要求を記録するアクセス記録部と、
　前記第一の実ドライバを呼び出して、前記第一のペリフェラルのレジスタの状態を記録する状態記録部と、
　前記ハイパーバイザの動作を監視する監視部とを備え、
　前記監視部は、前記アクセス記録部の記録と前記状態記録部の記録に基づいて、前記ハイパーバイザの異常を判定する電子制御装置。
　請求項１に記載の電子制御装置であって、
　前記監視部は、前記アクセス記録部の記録と前記状態記録部の記録が整合しない場合、前記ハイパーバイザが異常であると判定する電子制御装置。
　請求項２に記載の電子制御装置であって、
　前記状態記録部は、所定のタイミングで繰り返し前記レジスタの状態を取得することを特徴とする電子制御装置。
　請求項２に記載の電子制御装置であって、
　前記監視部は、前記アクセス記録部にアクセス要求の記録があり、前記実ドライバの処理結果を前記仮想ドライバへ正常に返答した記録があり、かつ前記状態記録部のレジスタの状態が変化ない場合に、前記ハイパーバイザが異常であると判定する電子制御装置。
　請求項１に記載の電子制御装置であって、
　前記監視部が異常を判定した場合、前記アクセス記録部の記録及び前記状態記録部の記録を不揮発に保存する監視結果保存部を備える電子制御装置。
　請求項５に記載の電子制御装置であって、
　前記監視結果保存部は、前記ハイパーバイザが異常であると判定された頻度が所定の閾値以上である場合、前記電子制御装置の一部又は全部を停止する電子制御装置。
　請求項１に記載の電子制御装置であって、
　前記第一のペリフェラルと異なる第二のペリフェラルと、
　前記第二のペリフェラルを操作するための第二の実ドライバを備え、
　前記第二のペリフェラルは、前記第二の実ドライバの指示に従って、前記アクセス記録部の記録を前記仮想マシンの外部に出力し、
　前記監視部は、前記仮想マシンの外部に出力された前記アクセス記録部の記録を参照する電子制御装置。
　電子制御装置で動作するハイパーバイザの異常判定方法であって、
　前記電子制御装置は、
　第一の仮想ドライバにアクセスして、処理を実行する仮想マシンと、
　前記第一の仮想ドライバから受信したペリフェラルアクセス要求に基づいて第一のペリフェラルの第一の実ドライバを呼び出すハイパーバイザと、
　前記第一の仮想ドライバを呼び出して、前記ハイパーバイザへ送信したペリフェラルアクセス要求を記録するアクセス記録部と、
　前記第一の実ドライバを呼び出して、前記第一のペリフェラルのレジスタの状態を記録する状態記録部と、
　前記ハイパーバイザの動作を監視する監視部とを有し、
　前記異常判定方法は、
　前記状態記録部が、前記第一の実ドライバを呼び出して、前記第一のペリフェラルのレジスタの状態を記録し、
　前記監視部が、前記アクセス記録部の記録と前記状態記録部の記録に基づいて、前記ハイパーバイザの異常を判定する異常判定方法。