JP2009505186A - コンピュータシステムの機能監視方法および機能監視装置 - Google Patents
コンピュータシステムの機能監視方法および機能監視装置 Download PDFInfo
- Publication number
- JP2009505186A JP2009505186A JP2008525528A JP2008525528A JP2009505186A JP 2009505186 A JP2009505186 A JP 2009505186A JP 2008525528 A JP2008525528 A JP 2008525528A JP 2008525528 A JP2008525528 A JP 2008525528A JP 2009505186 A JP2009505186 A JP 2009505186A
- Authority
- JP
- Japan
- Prior art keywords
- function
- execution units
- comparison
- mode
- switching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000006870 function Effects 0.000 claims description 129
- 238000012545 processing Methods 0.000 claims description 11
- 230000001419 dependent effect Effects 0.000 claims description 4
- 238000012806 monitoring device Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 12
- 238000004364 calculation method Methods 0.000 description 6
- 230000015654 memory Effects 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000015572 biosynthetic process Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/845—Systems in which the redundancy can be transformed in increased performance
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Tests Of Electronic Circuits (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
本発明は、少なくとも2つの実行ユニットを備えたコンピュータシステムの機能監視方法および監視装置に関する。この場合、切替手段が設けられており、少なくとも2つの動作モード間で切り替えが行われ、比較手段が設けられており、第1の動作モードは比較モードに対応し、第2の動作モードはパフォーマンスモードに対応し、第1の機能が第2の機能により監視される。さらに第2の機能は比較モードで少なくとも2つの実行ユニットにおいて処理され、少なくとも2つの実行ユニットにおいて処理される第2の機能各々は、同じ第1の機能により監視される。
Description
埋め込みシステムたとえば自動車技術またはオートメーション技術の分野では、マイクロコンピュータハードウェアにおけるエラーが場合によっては安全にとって重要な結果を招く可能性のある適用事例が存在する。そのような結果を回避する目的で、あるいは深刻な影響を回避する目的で、エラーを検出する監視措置が適用される。この種の監視がほぼ持続的に必要とされる適用事例もあるし、他の適用事例では規則的に(たとえば周期的に)あるいは特定の要求に応じてコンピュータまたは他のコンポーネントも依然として適正に機能しているか否かをチェックする監視機能がある。本発明はこの種の適用事例に関する。
この種の適用事例において、上述の監視機能の一部分としてたとえば、専用のコンポーネントが依然として機能しているか否かを調べるチェックルーチンが実行される。このルーチンをたとえば、実際の機能アルゴリズムの一部分をデフォルト入力値を用いて計算し、ついで既知となった結果を格納されている基準値と比較するものとすることができる。格納されているこの基準値は事前に計算することができる。なぜならばデフォルト入力値とアルゴリズムはソフトウェア作成時点ですでにわかっているからである。
他の形式の監視機能は、出力チャネルに所期のように負荷を与えることによって実現される。これは場合によってはセンサ値のフィードバック読み出しと組み合わせられ、この場合、それらの値は特定の範囲内にあるべきものである。さらに数多くのバリエーションが存在する。
これらの監視手法すべてに共通するのは、それらがソフトウェアとして実行され制御され(場合によってはマイクロコンピュータの外部のハードウェアコンポーネントを利用しながら行われ)、システムの機能についてチェックすることである。
ここで考察しているチェック手法の場合には常に細心の注意を払いながら、すべてのソフトウェアに影響を及ぼすマイクロコンピュータコアにおけるエラーにより監視ルーチン自体が機能しなくなってしまわないよう、留意しなければならない。検出に関して措置の判断を下すにあたり、コア自体およびそこで実行されるチェックソフトウェアが適正に動作していることが保証されなければならない。このような前提のもとであれば、チェックルーチン自体が適正に実行されていることも明確に保証することができる。このことにより全体として、コアのチェックならびにコアのエラーに対する他のチェックルーチンの独立性に著しく多くの手間をかけなければならなくなってしまう。
オートメーション技術においては、いくつかの個所でいわゆる安全性機能について一般に論じされている。これらはアプリケーション全体で個別に識別してドキュメンテーションとして表さなければならず、一般には規格(たとえばIEC 61508)の要求に適合させなければならない。たとえば規格が有効でないにしても、それらの安全機能に関するエラー検出に対しきわめて高い要求が課され、監視対象物においていつでも監視機能を稼働できるわけでもない。
しかも公知のチェック手法の場合には、機能性チェックにあたりそのチェックが特定のコンテキストないしは状況における機能だけにしか関連しないケースも多々ある。
つまりあらゆる状況においてまたは着目時点で有効な状況において機能が監視されるのではなく、デフォルトの状況においてしか機能チェックが行われない。
発明の利点
したがって本発明の課題は、埋め込みシステムの安全性向上にあたり、状況に依存した機能チェックを実現し、つまりは監視機能の品質を向上させることにある。さらに、制御コンピュータにおいて安全機能を稼働させることができるようにし、安全機能に対する有利な実装形態を提供することにある。さらに本発明の課題は、ソフトウェアとして実行される監視機能の開発時にも稼働時にも手間ないしはコストを削減することにある。
したがって本発明の課題は、埋め込みシステムの安全性向上にあたり、状況に依存した機能チェックを実現し、つまりは監視機能の品質を向上させることにある。さらに、制御コンピュータにおいて安全機能を稼働させることができるようにし、安全機能に対する有利な実装形態を提供することにある。さらに本発明の課題は、ソフトウェアとして実行される監視機能の開発時にも稼働時にも手間ないしはコストを削減することにある。
したがって本発明の利点は、監視機能の実行にあたりその機能が(ハードウェアエラーに関して)適正かつエラーなく実行されるのか、併せてチェックされることである。つまり監視機能におけるエラーを検出することができる。これによって著しく簡単にされた安全性コンセプトを実現することができる。ソフトウェアによる監視は、その機能においてそもそも明らかにされる実行ユニットのエラーに関して、100%のカバー率を保つものである。この場合、コンテキストないしは周辺状況をいっしょに関与させた機能性チェックが可能となる。その際、安全性コンセプトに対する開発コストが削減される。さらにシステム全体の複雑さが低減される。他の安全性関連機能を比較モードで実行させることができるよう、このコンセプトを容易に拡張可能である。このコンセプトによれば、安全性機能をいっそう簡単に実装できるようになり、制御コンピュータにおいて特別なモードでいっしょに実行させることができる。
有利には本発明は、少なくとも2つの実行ユニットを備えたコンピュータシステムの機能監視方法に関する。この場合、少なくとも2つの動作モード間で切り替えが行われ、第1の動作モードは比較モードに対応し、第2の動作モードはパフォーマンスモードに対応し、第1の機能が第2の機能により監視される。本発明の特徴によれば、第2の機能は比較モードで少なくとも2つの実行ユニットにおいて処理され、少なくとも2つの実行ユニットにおいて処理されるこの第2の機能各々は、同じ第1の機能により監視される。
本発明によれば有利には、第2の機能は第1の機能を周期的に監視する。
有利には本発明によれば、第1の機能はパフォーマンスモードで処理される。有利には本発明による方法によれば、少なくとも2つの実行ユニットにおける第2の機能の処理により生じた結果がそれぞれ互いに比較されて、第2の機能が監視される。
有利には本発明によれば、少なくとも2つの実行ユニットにおける第2の機能は状況に依存した値に基づき処理され、この処理により生じた結果が比較される。
有利には本発明によれば、第2の機能のほかに別の機能が設けられており、この機能は他の機能を監視し、この別の機能の一部分は比較モードで少なくとも2つの実行ユニットにおいて実行され、それ自体がチェックされる。
有利には本発明は、少なくとも2つの実行ユニットを備えたコンピュータシステムの機能監視装置に関する。この場合、切替手段が設けられており、少なくとも2つの動作モード間で切り替えが行われ、比較手段が設けられており、第1の動作モードは比較モードに対応し、第2の動作モードはパフォーマンスモードに対応し、第1の機能が第2の機能により監視される。本発明による装置は、第2の機能が比較モードで少なくとも2つの実行ユニットにおいて処理され、少なくとも2つの実行ユニットにおいて処理される第2の機能各々が、同じ第1の機能により監視されるように構成されている。
有利には本発明による装置によれば、少なくとも2つの実行ユニットにおける第2の機能の処理により生じた結果が比較手段によりそれぞれ互いに比較されて、第2の機能が監視されるように構成されている。
有利には本発明による装置によれば、少なくとも2つの実行ユニットにおける第2の機能は状況に依存した値に基づき処理され、この処理により生じた結果が比較されるように構成されている。
有利には本発明による装置によれば、第2の機能のほかに別の機能が設けられており、この機能は他の機能を監視し、この別の機能の一部分は比較モードで少なくとも2つの実行ユニットにおいて実行され、それ自体がチェックされるように構成されている。
有利には本発明による装置によれば、切替手段と比較手段は切替および比較ユニットにまとめられている。
有利には本発明による装置によれば、切替および比較ユニットは第2の機能の監視を実行する。
そのほかの利点および有利な実施形態については、各請求項に記載の特徴ならびに以下の説明に示されている。
図1は、切替および比較ユニットを一般化して示す図である。
図2は、本発明によるシステムの計算ユニットにどのようなコンポーネントが設けられているのかを示す図である。
図3は、機能の集合の分割について示す図である。
図4は、機能の集合の分割に関する代案について示す図である。
図5は、判定プロセスの流れを示す図である。
図6は、2つの実行ユニットを備えたマルチプロセッサシステムを示す図である。
実施例の説明
以下では実行ユニットをプロセッサ/コア/CPUとも、FPU(浮動小数点演算装置)、DSP(ディジタルシグナルプロセッサ)、コプロセッサまたはALU(演算論理装置)とも称する。本発明は、図6に示したマイクロプロセッサW100に関する。このマイクロプロセッサは、少なくとも2つの実行ユニットW110a、W110b、比較ユニットW120ならびに切替ユニットW150を備えている。この図では、2プロセッサシステムに基づき切替可能なマルチプロセッサの原理が示されている。その後、図1を参照しながら、2つよりも多くの実行ユニットのための切替および比較ユニットの一般的な事例について説明する。ここで本発明は、2つまたはそれよりも多くの実行ユニットを備えた一般的な事例に常に係わるものである。図6の実行ユニットは、それぞれオプションのバッファメモリW111a,W111bを介して比較ユニットW120および切替ユニットW150と接続されている。切替ユニットW150は、2つのシステムインタフェースW130a,W130bへの少なくとも2つの出力側を有している。これらのインタフェースを介して、レジスタ、メモリまたはディジタル出力側、ディジタル/アナログ変換器、通信コントローラといった周辺機器を駆動制御することができる。これらのマルチプロセッサシステムを少なくとも2つの動作モードすなわち比較モードVMとパフォーマンスモードで駆動することができる。パフォーマンスモードPM中、それぞれ異なる実行ユニットにおいてそれぞれ異なる命令、プログラムセグメントまたはプログラムがパラレルに実行される。この動作モード中、比較ユニットは非アクティブ状態にされる。
以下では実行ユニットをプロセッサ/コア/CPUとも、FPU(浮動小数点演算装置)、DSP(ディジタルシグナルプロセッサ)、コプロセッサまたはALU(演算論理装置)とも称する。本発明は、図6に示したマイクロプロセッサW100に関する。このマイクロプロセッサは、少なくとも2つの実行ユニットW110a、W110b、比較ユニットW120ならびに切替ユニットW150を備えている。この図では、2プロセッサシステムに基づき切替可能なマルチプロセッサの原理が示されている。その後、図1を参照しながら、2つよりも多くの実行ユニットのための切替および比較ユニットの一般的な事例について説明する。ここで本発明は、2つまたはそれよりも多くの実行ユニットを備えた一般的な事例に常に係わるものである。図6の実行ユニットは、それぞれオプションのバッファメモリW111a,W111bを介して比較ユニットW120および切替ユニットW150と接続されている。切替ユニットW150は、2つのシステムインタフェースW130a,W130bへの少なくとも2つの出力側を有している。これらのインタフェースを介して、レジスタ、メモリまたはディジタル出力側、ディジタル/アナログ変換器、通信コントローラといった周辺機器を駆動制御することができる。これらのマルチプロセッサシステムを少なくとも2つの動作モードすなわち比較モードVMとパフォーマンスモードで駆動することができる。パフォーマンスモードPM中、それぞれ異なる実行ユニットにおいてそれぞれ異なる命令、プログラムセグメントまたはプログラムがパラレルに実行される。この動作モード中、比較ユニットは非アクティブ状態にされる。
切替ユニットW150はこの動作モード中、各実行ユニットがオプションのバッファメモリを介してシステムタフェースW130a,W130bの1つと接続されるようコンフィギュレーションされる。システムインタフェースを介して実行ユニットの結果をメモリW170に書き込むことができ、あるいは周辺コンポーネントW180,W190に出力することができる。周辺コンポーネントをたとえばアナログ/ディジタル変換器または通信システムの通信コントローラ(たとえばSPI,LIN,CAN,FlexRay)とすることができる。比較ユニットを非アクティブにするために複数の可能性がある。1つの可能性として、比較器に対し、これをアクティブ化または非アクティブ化する信号を供給することができる。この目的で比較器に付加的なロジックを挿入することができ、これによって上述のことを実行することができる。別の可能性は、比較すべきデータを比較器に供給しないことである。第3の可能性は、システムレベルで比較器のエラー信号を無視することである。さらにエラー信号自体を遮断することもできる。
すべてのやり方に共通するのは、場合によっては比較される2つまたはそれよりも多くのデータがそれぞれ異なる場合に問題とはならない状態をシステムにおいて作り出すことである。この状態が比較器における措置あるいはその入力信号または出力信号によって達成されるならば、比較器はパッシブまたは非アクティブであると呼ばれる。比較モードVM中、両方の実行ユニットにおいて同じまたは同種の命令、プログラムセグメントまたはプログラムが処理される。オプションのバッファメモリW111a,W111bを介して、実行ユニットの出力信号は比較ユニットW120および切替ユニットW150へ供給される。比較ユニットにおいて、双方のデータが一致しているか否かチェックされる。
比較が行われた後、切替ユニットへステータス信号W125を介して、一致した結果のうちの1つをシステムフェースへ送出してよいか、あるいは結果に不一致が認められたことから信号を阻止しなければならないかを通知する。このケースでは、比較ユニットからオプションのエラー信号W155を送出することができる。このエラー信号を、比較ユニットではなく切替ユニットから送出することができる(W156)。この場合、切り替えを特別な切替命令、特別な命令シーケンス、明示的に表された命令を介してトリガすることができるし、あるいはマルチプロセッサシステムにおける複数の実行ユニットのうち少なくとも1つによる特定のメモリアドレスへのアクセスによってトリガすることができる。
さらに図1には切替および比較ユニットについて、有利にはそれらをどのように利用すべきかについて、一般化して示す。考慮すべきn個の実行ユニットからn個の信号N140〜N14nが、切替および比較コンポーネントN100に到来する。この切替および比較コンポーネントN100は、これらの入力信号からn個までの出力信号N160〜N16nを生成することができる。最も簡単なケースすなわち「純粋なパフォーマンスモード」では、すべての信号N14iが対応する出力信号N16iとなる。これとは反対の極端なケース、すなわち「純粋な比較モード」では、全ての信号N140〜N14iが出力信号N16iの内の1つにのみ誘導される。
この図面には、考えられる種々のモードをどのようにして生じさせることができるかについて描かれている。このためにこの図面においては切替ロジックN110の論理構成要素が含まれている。この切替ロジックは先ず、そもそも出力信号が幾つ存在するかを確定する。さらに切替ロジックN110は、入力信号の内のどの入力信号が出力信号の内のどの出力信号に寄与するかを確定する。ここでは1つの入力信号がちょうど1つの出力信号に寄与することができる。つまり数学的に別の形で表すと、量{N140〜N14n}の各要素に量{N160〜N16n}の1つの要素を対応付ける関数が切替ロジックによって定義されている。この場合、処理ロジックN120は出力側N16iの各々に対し、どのかたちで入力側がこの出力信号に寄与するかを決定する。例示的に種々の変形形態を説明するために、一般性を制限することなく、出力側N160が信号N141〜N14mによって形成されるものとする。m=1であればこのことは単に信号のスルーコネクションに相当し、m=2であれば信号N141,N142が比較される。この比較を同期または非同期に実施することができ、さらにこの比較をビットごとにまたは最上位ビットに対してのみ実施することができるし、あるいは許容範囲を用いて実施することもできる。
m≧3である場合には、それよりも多くのオプションがある。1つめのオプションによれば、すべての信号を比較し、少なくとも2つの異なる値が存在する場合にはエラーを検出し、このエラーを選択的にシグナリングすることができる。2つめのオプションによれば、m個からk個の選択が行われる(k>m/2)。このことは比較の利用により実現可能である。選択的に、信号のうちの1つが偏差があるとして識別されると、エラー信号を発生させることができる。3つのすべての信号が異なっている場合には、考えられる種々のエラー信号を形成することができる。3つめのオプションによれば、これらの値が1つのアルゴリズムに供給される。このアルゴリズムをたとえば平均値やメディアン値の形成、あるいはフォールトトレランスアルゴリズム(FTA)の使用とすることができる。上述のようなFTAは、入力値の極値を取り除き、残りの値に対し一種の平均値形成を行うことに基づくものである。この平均値形成を残りの値の集合すべてについて行うこともできるし、あるいは有利にはハードウェアHWにおいて容易に形成できる部分集合について行うことができる。この場合には、必ずしも値を実際に比較しなくてもよい。平均値形成であればたとえば加算と除算のみでよく、FTM,FTAまたはメディアンであれば部分的なソートが必要である。この場合も必要に応じて、極値が相当に大きい場合には選択的にエラー信号を送出することができる。
複数の信号を処理して1つの信号を生成する上述の様々なオプションを略して比較演算と称する。
したがって処理ロジックの役割は、出力信号各々に対する比較演算の詳細な構造、つまりは対応する入力信号に対する比較演算の詳細な構造を決定することである。切替ロジックN110の情報(すなわち上述の関数)と処理ロジックの情報(すなわち出力信号、つまり関数値毎の比較演算の確定)との組み合わせがモード情報であり、このモード情報がモードを確定する。この情報は一般的な事例では当然ながら多値であり、つまり1つの論理ビットだけでは表現できない。論理的に考えられるすべてのモードがある1つの定められた実現形態において有意であるのではなく、有利には許容されるモードの数が制限される。ここで強調しておくと、実行ユニットが2つしかない場合であれば実行ユニットには、すべての情報をただ1つの論理ビットに集約可能な1つの比較モードだけしか存在しない。
一般的な事例ではパフォーマンスモードから比較モードへの切り替えの特徴は、パフォーマンスモードではそれぞれ異なる出力側にマッピングされる実行ユニットが比較モードでは同じ出力側にマッピングされることである。このことは有利には、実行ユニットの部分システムが存在し、この部分システムにおいて考慮されるべき全ての入力信号N14iがパフォーマンスモードにおいては対応する出力信号N16iに直接的に切り替えられ、他方比較モードにおいては全ての入力信号が1つの出力側にマッピングされることによって実現されている。択一的に、このような切り換えをペアリングの変更によっても実現可能である。つまり本発明による1つの実施形態として、許容されるモードの量をそれが該当するよう制限できるにもかかわらず、一般的なケースにおいてはパフォーマンスモードおよび比較モードについて論じることはできない。しかしながらパフォーマンスモードから比較モードへの切り替え(またその逆の切り替え)については常に論じることができる。
これらのモードをソフトウェアを介する制御により動的に動作中に切り替えることができる。切り替えはたとえば特別な切替命令、特別な命令シーケンス、明示的に表される命令の実行を介してトリガされるかまたは、マルチプロセッサシステムにおける実行ユニットのうち少なくとも1つによる特定のアドレスへのアクセスによってトリガされる。
ここでは、監視機能を比較モードにおいて実行させることを提案する。この場合、監視機能とは、コンポーネント、サブシステムまたはオブジェクトの機能または機能正常性をチェックする機能のことである。
この着想について以下で詳しく説明する。図2には、本発明によるシステムの計算ユニットにどのようなコンピュータが設けられているのかが描かれている。計算ユニットO200自体には複数の実行ユニットO210〜O21nが含まれている。これに加えて、切替および比較ユニットO220も設けられているこれを計算ユニット内のコンポーネントして設けるのが有利であるけれども、それぞれ異なるコンポーネントに分散させておくことも可能であり、しかもそれらを計算ユニット自体の外側に配置させるようにしてもよい。ここで重要であるのは、計算ユニットは図1に例示したような切替および比較ユニットにより必要とされる機能を提供できることである。しかもこの計算ユニットにおいて、有利にはソフトウェアとして実現されている機能が実行される。これらの機能は図中、ブロックO230として計算ユニットO200の横に書き込まれている。その理由は、それらは概念的には他の考察レベルにおかれていることによる。
図3は、機能O230の分割について示す図である。この場合、機能の全体集合O300がO230に対応する。これを監視機能O320と他の機能O310に分けることができる。基本的な着想の最も簡単な形態によれば、監視機能が比較モード中に計算または実行される一方、他の機能はパフォーマンスモード中に実行される。
この場合の重要な利点は、監視機能の実行にあたりその機能が(ハードウェアエラーに関して)適正かつエラーなく実行されるのか、併せてチェックされることである。これに加えて、監視機能自体におけるエラーを検出することもできる。これによって著しく簡単にされた安全性コンセプトを実現することができる。ソフトウェアによる監視は、その機能において総じて明らかにされる実行ユニットエラーに関して、100%のカバー率を維持するものである。ここで述べる監視機能はソフトウェアとして実行されるので、そのための前提条件となるのは、その機能が適正に果たされ、それが実行される「頭脳」(実行ユニット)が適正に動作していることである。この実行ユニットをいっしょに監視することのほか、これによって監視機能自体の品質も改善される。安全性コンセプトの開発にあたり、この問題(実行ユニットをいっしょに監視しなければならない点)を常に解決しなければならないことから通例、実行ユニットのエラー検出ひいては監視機能において相関するエラーの検出のために、きわめて多大な手間ないしはコストをかけなければならない。このような手間ないしはコストは、開発においてかけなければならない。ただしこれはシステム自体にも降りかかるものであって、このシステムにおいてそのような手間ないしはコストのためにいっそう煩雑なコンポーネントが必要とされ、システムが複雑になってしまう。システムの信頼性に関しても安全性に関しても、これによっていっそう悪影響が及ぼされる傾向にある。ここで説明してきた本発明によって、安全性コンセプトまたは監視コンセプトのための開発コストが削減され、全体的なシステムの複雑性が低減される。したがって間接的にこのことによって、システムの信頼性と安全性も向上する。
しかも多くの適用事例に本発明を適用することで、目下の状況と併せてこのような監視機能が計算されるようにして、安全性をさらに著しく改善することができる。1つの実行ユニットにおいてのみ監視機能を実行する場合、監視機能の適正を確認するためには通例、ここで考察してきたコンポーネントの外部において既知である基準値との比較が必要とされる。多くの適用事例においては、不揮発性記憶素子に格納されたデフォルト値を計算することによってのみ、このことを実現することができる。この値は開発時点においてすなわち動作中ではないときに計算され、つまりはここで前提とした特別な状況についてのみ有効である。ただし、エラーが特定の状況においてのみ現れるケースもよくある。たとえば乗算コンポーネントにおけるエラーは、2つの決まり切った数値を互いに乗算し、その結果を既知の格納されている値と比較するだけでは、必ずしも見分けられない。このようなエラーは、入力値の特別な組み合わせにおいて誤った積が形成されることによってのみ発生することが多い。つまり上述のようなデフォルト値に限られた監視機能であれば、エラー検出が低下する。本発明を適用することによって、状況に応じた値を監視機能にもたせることも可能である。それというのも複数の実行ユニットにおけるエラーを検出するのに必要とされる比較は、切替および比較ユニットにより行われるからである。
たいていの適用事例においては、その他の機能O310をパフォーマンスモードで計算させるのが有利である。なぜならばそのようにすればシステム性能が最適化されるからである。
図4には、このような着想による実施形態が示されている。部分集合O301,O311,O321は図3のO300,O310,O320に対応する。部分集合O311およびO321はさらに2つに分割され、集合O350,O360もしくはO330,O340となる。背景を成す着想としてあげられるのは、監視機能すべてを比較モードで実行する必要はなく、実行ユニットの監視にとって重要な監視機能だけを実行させることである。これらをO330と称する一方、監視機能のうち他の(有利には著しく小さい)部分集合はO340であり、これについては実行ユニットの監視が重要ではなく、パフォーマンスモードで実行される。同様にO311の分割についても以下のように解することができる:O350をたとえば、クリティカルなアクチュエータをダイレクトに駆動制御する機能とすることができる。つまり、監視機能ではない機能の一部分を比較モードにおいて実行させることもできる。それらはO350にまとめられる。残りの機能O360はパフォーマンスモードで実行される。
図5には、有利なケースに関する基本的な判定プロセスが示されている。このケースによればO340は空であり、パフォーマンスおよび比較モードのみが存在する。
ここで前提条件とするのは、監視機能の集合O311が既知であることである。これによって、タスク/プロセス/スレッドレベル(以下では単にプロセスと称する)において、監視機能を処理するVプロセスと、以下ではPプロセスと称する他のプロセスとに区別することができる。Pプロセスとしてさらに挙げられるのは、監視機能には関係しないけれども比較モード中に計算すべきプロセスである(これは部分集合O350の機能に対応する)。これらを以下ではPVプロセスと称する。
ステップO400では、スケジューラが「静止状態」となっている。スケジューラがステップO410においてスケジューリングプロセスに入ると、ステップO420において、PプロセスであるのかVプロセスであるのかの判定が下される。Vプロセスであるならば、そのプロセスが(ステップO460において)比較モードで処理され、ついでスケジューラは静止状態(ステップO400)に戻る。Pプロセスであるならば、次のステップとしてステップO430で、PVプロセスであるか否かがチェックされる。PVプロセスであるならば、そのプロセスが(ステップO460において)比較モードで処理され、ついでスケジューラは静止状態(ステップO400)に戻る。PVプロセスでなければ、そのプロセスは(ステップO400において)パフォーマンスモードで処理される。このケースでは、ステップO450においてさらに1つの実行ユニットへの割り当てが行われる。その後、スケジューラは再び静止状態に戻る(O400)。
Claims (12)
- 少なくとも2つの動作モード間で切り替えが行われ、第1の動作モードは比較モードに対応し、第2の動作モードはパフォーマンスモードに対応し、第1の機能が第2の機能により監視される、
少なくとも2つの実行ユニットを備えたコンピュータシステムの機能監視方法において、
前記第2の機能は比較モードで少なくとも2つの実行ユニットにおいて処理され、
少なくとも2つの実行ユニットにおいて処理される該第2の機能各々は、同じ第1の機能により監視されることを特徴とする、
コンピュータシステムの機能監視方法。 - 請求項1記載の方法において、
前記第2の機能は前記第1の機能を周期的に監視することを特徴とする方法。 - 請求項1記載の方法において、
前記第1の機能はパフォーマンスモードで処理されることを特徴とする方法。 - 請求項1記載の方法において、
前記少なくとも2つの実行ユニットにおける第2の機能の処理により生じた結果がそれぞれ互いに比較されて、第2の機能が監視されることを特徴とする方法。 - 請求項1記載の方法において、
少なくとも2つの実行ユニットにおける第2の機能は状況に依存した値に基づき処理され、該処理により生じた結果が比較されることを特徴とする方法。 - 請求項1記載の方法において、
前記第2の機能のほかに別の機能が設けられており、該機能は他の機能を監視し、該別の機能の一部分は比較モードで少なくとも2つの実行ユニットにおいて実行され、それ自体がチェックされることを特徴とする方法。 - 切替手段が設けられており、少なくとも2つの動作モード間で切り替えが行われ、
比較手段が設けられており、第1の動作モードは比較モードに対応し、第2の動作モードはパフォーマンスモードに対応し、第1の機能が第2の機能により監視される、
少なくとも2つの実行ユニットを備えたコンピュータシステムの機能監視装置において、
前記第2の機能を比較モードで少なくとも2つの実行ユニットにおいて処理し、
少なくとも2つの実行ユニットにおいて処理される該第2の機能各々を、同じ第1の機能により監視することを特徴とする、
コンピュータシステムの機能監視装置。 - 請求項7記載の装置において、
前記少なくとも2つの実行ユニットにおける第2の機能の処理により生じた結果が前記比較手段によりそれぞれ互いに比較されて、第2の機能が監視されることを特徴とする装置。 - 請求項7記載の装置において、
少なくとも2つの実行ユニットにおける第2の機能は状況に依存した値に基づき処理され、該処理により生じた結果が比較されることを特徴とする装置。 - 請求項7記載の装置において、
前記第2の機能のほかに別の機能が設けられており、該機能は他の機能を監視し、該別の機能の一部分は比較モードで少なくとも2つの実行ユニットにおいて実行され、それ自体がチェックされることを特徴とする装置。 - 請求項7記載の装置において、
前記切替手段と比較手段は切替および比較ユニットにまとめられていることを特徴とする装置。 - 請求項7記載の装置において、
切替および比較ユニットは前記第2の機能の監視を実行することを特徴とする装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102005037230A DE102005037230A1 (de) | 2005-08-08 | 2005-08-08 | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems |
| PCT/EP2006/064742 WO2007017396A2 (de) | 2005-08-08 | 2006-07-27 | Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009505186A true JP2009505186A (ja) | 2009-02-05 |
Family
ID=37680924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008525528A Pending JP2009505186A (ja) | 2005-08-08 | 2006-07-27 | コンピュータシステムの機能監視方法および機能監視装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8108716B2 (ja) |
| EP (1) | EP1915690A2 (ja) |
| JP (1) | JP2009505186A (ja) |
| KR (1) | KR101031181B1 (ja) |
| CN (1) | CN101243403A (ja) |
| DE (1) | DE102005037230A1 (ja) |
| RU (1) | RU2008108475A (ja) |
| TW (1) | TW200736901A (ja) |
| WO (1) | WO2007017396A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013025570A (ja) * | 2011-07-21 | 2013-02-04 | Denso Corp | 電子制御ユニット |
| CN105765541A (zh) * | 2013-12-03 | 2016-07-13 | 罗伯特·博世有限公司 | 用于机动车的控制器 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005037230A1 (de) | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems |
| EP3940533A1 (en) | 2009-09-08 | 2022-01-19 | Abbott Diabetes Care, Inc. | Methods and articles of manufacture for hosting a safety critical application on an uncontrolled data processing device |
| DE102011086530A1 (de) * | 2010-11-19 | 2012-05-24 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem mit fehlertoleranter Architektur |
| CA2830846C (en) * | 2011-03-21 | 2018-08-28 | Irdeto B.V. | System and method for securely binding and node-locking program execution to a trusted signature authority |
| DE102012207215A1 (de) | 2012-04-30 | 2013-10-31 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges |
| KR101558280B1 (ko) | 2013-09-02 | 2015-10-12 | 주식회사 팀스톤 | 계측 윈도우 제어 방법 및 이를 수행하는 사용자 단말 |
| DE102013227165A1 (de) * | 2013-12-27 | 2015-07-16 | Siemens Aktiengesellschaft | Überwachungsvorrichtung zur Überwachung eines Schaltkreises |
| DE102016125240A1 (de) * | 2016-12-21 | 2018-06-21 | Endress+Hauser SE+Co. KG | Elektronische Schaltung für ein Feldgerät der Automatisierungstechnik |
| DE102018120344B4 (de) * | 2018-08-21 | 2024-11-21 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| DE102020001561A1 (de) | 2020-03-10 | 2021-09-16 | Drägerwerk AG & Co. KGaA | Medizingeräteanordnung mit einem Prüfmodul |
| DE102020119297A1 (de) | 2020-07-22 | 2022-01-27 | Endress+Hauser SE+Co. KG | Verfahren zum Überwachen eines ersten Prozessors eines Sensormoduls durch einen zweiten Prozessor |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08297588A (ja) * | 1995-04-25 | 1996-11-12 | Fujitsu Ltd | 二重照合装置 |
| JP2004259137A (ja) * | 2003-02-27 | 2004-09-16 | Denso Corp | 電子制御装置 |
| WO2005045664A2 (de) * | 2003-10-24 | 2005-05-19 | Robert Bosch Gmbh | Verfahren und vorrichtung zur umschaltung zwischen wenigstens zwei betriebsmodi einer prozessoreinheit |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5233615A (en) | 1991-06-06 | 1993-08-03 | Honeywell Inc. | Interrupt driven, separately clocked, fault tolerant processor synchronization |
| US5751932A (en) * | 1992-12-17 | 1998-05-12 | Tandem Computers Incorporated | Fail-fast, fail-functional, fault-tolerant multiprocessor system |
| US5875195A (en) * | 1997-03-31 | 1999-02-23 | International Business Machines Corporation | Method and apparatus for error injection techniques |
| US6625749B1 (en) * | 1999-12-21 | 2003-09-23 | Intel Corporation | Firmware mechanism for correcting soft errors |
| US6640313B1 (en) * | 1999-12-21 | 2003-10-28 | Intel Corporation | Microprocessor with high-reliability operating mode |
| US6615366B1 (en) | 1999-12-21 | 2003-09-02 | Intel Corporation | Microprocessor with dual execution core operable in high reliability mode |
| US6772368B2 (en) | 2000-12-11 | 2004-08-03 | International Business Machines Corporation | Multiprocessor with pair-wise high reliability mode, and method therefore |
| DE10136335B4 (de) * | 2001-07-26 | 2007-03-22 | Infineon Technologies Ag | Prozessor mit mehreren Rechenwerken |
| US7085959B2 (en) | 2002-07-03 | 2006-08-01 | Hewlett-Packard Development Company, L.P. | Method and apparatus for recovery from loss of lock step |
| WO2005003962A2 (de) * | 2003-06-24 | 2005-01-13 | Robert Bosch Gmbh | Verfahren zur umschaltung zwischen wenigstens zwei betriebsmodi einer prozessoreinheit sowie entsprechende prozessoreinheit |
| GB0325553D0 (en) * | 2003-11-01 | 2003-12-03 | Ibm | Method and apparatus for activating/deactivating run-time determined software routines in Java compiled bytecode applications |
| KR20070083760A (ko) * | 2004-10-25 | 2007-08-24 | 로베르트 보쉬 게엠베하 | 적어도 2개의 실행 유닛을 구비한 컴퓨터 시스템에서전환을 위한 방법 및 장치 |
| KR20070083759A (ko) * | 2004-10-25 | 2007-08-24 | 로베르트 보쉬 게엠베하 | 적어도 2개의 실행 유닛을 포함하는 컴퓨터 시스템에서모드 전환을 위한 방법 및 장치 |
| KR100663864B1 (ko) * | 2005-06-16 | 2007-01-03 | 엘지전자 주식회사 | 멀티-코어 프로세서의 프로세서 모드 제어장치 및 방법 |
| DE102005037230A1 (de) | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems |
-
2005
- 2005-08-08 DE DE102005037230A patent/DE102005037230A1/de not_active Withdrawn
-
2006
- 2006-07-27 US US11/990,097 patent/US8108716B2/en not_active Expired - Fee Related
- 2006-07-27 WO PCT/EP2006/064742 patent/WO2007017396A2/de active Application Filing
- 2006-07-27 KR KR1020087003210A patent/KR101031181B1/ko not_active Expired - Fee Related
- 2006-07-27 JP JP2008525528A patent/JP2009505186A/ja active Pending
- 2006-07-27 EP EP06778027A patent/EP1915690A2/de not_active Withdrawn
- 2006-07-27 RU RU2008108475/09A patent/RU2008108475A/ru unknown
- 2006-07-27 CN CN200680029402.8A patent/CN101243403A/zh active Pending
- 2006-08-07 TW TW095128809A patent/TW200736901A/zh unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08297588A (ja) * | 1995-04-25 | 1996-11-12 | Fujitsu Ltd | 二重照合装置 |
| JP2004259137A (ja) * | 2003-02-27 | 2004-09-16 | Denso Corp | 電子制御装置 |
| WO2005045664A2 (de) * | 2003-10-24 | 2005-05-19 | Robert Bosch Gmbh | Verfahren und vorrichtung zur umschaltung zwischen wenigstens zwei betriebsmodi einer prozessoreinheit |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013025570A (ja) * | 2011-07-21 | 2013-02-04 | Denso Corp | 電子制御ユニット |
| CN105765541A (zh) * | 2013-12-03 | 2016-07-13 | 罗伯特·博世有限公司 | 用于机动车的控制器 |
| JP2017502389A (ja) * | 2013-12-03 | 2017-01-19 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 車両のための制御装置 |
| CN105765541B (zh) * | 2013-12-03 | 2018-12-14 | 罗伯特·博世有限公司 | 用于机动车的控制器 |
| US10657039B2 (en) | 2013-12-03 | 2020-05-19 | Robert Bosch Gmbh | Control device for a motor vehicle |
Also Published As
| Publication number | Publication date |
|---|---|
| US8108716B2 (en) | 2012-01-31 |
| WO2007017396A2 (de) | 2007-02-15 |
| RU2008108475A (ru) | 2009-09-20 |
| TW200736901A (en) | 2007-10-01 |
| CN101243403A (zh) | 2008-08-13 |
| KR20080032168A (ko) | 2008-04-14 |
| US20100192021A1 (en) | 2010-07-29 |
| KR101031181B1 (ko) | 2011-04-26 |
| WO2007017396A3 (de) | 2007-10-25 |
| EP1915690A2 (de) | 2008-04-30 |
| DE102005037230A1 (de) | 2007-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2009505186A (ja) | コンピュータシステムの機能監視方法および機能監視装置 | |
| JP4996605B2 (ja) | コンピュータシステムの制御方法および制御装置 | |
| RU2453903C2 (ru) | Способ и устройство для контроля работоспособности блока управления двигателем внутреннего сгорания | |
| CN102708013B (zh) | 用于程序语句控制的指令流控制的设备、签名模块及方法 | |
| US20130268798A1 (en) | Microprocessor System Having Fault-Tolerant Architecture | |
| WO2009006607A1 (en) | Dynamically composing processor cores to form logical processors | |
| EP2793133B1 (en) | Multi-core processor | |
| US20120317576A1 (en) | method for operating an arithmetic unit | |
| US8316261B2 (en) | Method for running a computer program on a computer system | |
| JP5367970B2 (ja) | 信号処理システムを起動/再起動する方法及び信号処理システム | |
| JP5699896B2 (ja) | 情報処理装置、異常判定方法 | |
| JP2008513899A (ja) | コンピュータシステム上でコンピュータプログラムを処理する方法 | |
| JP2023042054A (ja) | プロセッサ | |
| KR20070083776A (ko) | 적어도 하나의 외부 신호에 의한 멀티 프로세서 시스템의작동 모드 사이의 스위칭을 위한 방법 및 장치 | |
| JP7236811B2 (ja) | 情報処理装置 | |
| CN101243397B (zh) | 用于控制计算机系统的方法和设备 | |
| US8468405B2 (en) | Integrated circuit testing | |
| JP7310521B2 (ja) | マイクロコンピュータ | |
| US8464100B2 (en) | System for checking a program memory of a processing unit | |
| JP2006099654A (ja) | 半導体回路装置 | |
| US9342359B2 (en) | Information processing system and information processing method | |
| US20100268923A1 (en) | Method and device for controlling a computer system having at least two groups of internal states | |
| US20090037705A1 (en) | Method and Device for Processing Data Words and/or Instructions | |
| WO2016014081A1 (en) | Exception handling predicate register | |
| JP2010211286A (ja) | 情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101224 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101227 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110314 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110322 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110421 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110428 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110727 |