特許7316613 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニックＩＰマネジメント株式会社の特許一覧

特許7316613異常検出方法、異常検出プログラム、異常検出装置、書き換え方法、書き換えプログラム及び書き換え装置

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2A
2B
3A
3B
4
5
6
7

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-07-20

(45)【発行日】2023-07-28

(54)【発明の名称】異常検出方法、異常検出プログラム、異常検出装置、書き換え方法、書き換えプログラム及び書き換え装置

(51)【国際特許分類】

G06F 11/07 20060101AFI20230721BHJP

【ＦＩ】

G06F11/07 151

G06F11/07 140H

【請求項の数】 14

(21)【出願番号】P 2020058221

(22)【出願日】2020-03-27

(65)【公開番号】P2021157594

(43)【公開日】2021-10-07

【審査請求日】2022-02-07

(73)【特許権者】

【識別番号】314012076

【氏名又は名称】パナソニックＩＰマネジメント株式会社

(74)【代理人】

【識別番号】100109210

【弁理士】

【氏名又は名称】新居広守

(74)【代理人】

【識別番号】100137235

【弁理士】

【氏名又は名称】寺谷英作

(74)【代理人】

【識別番号】100131417

【弁理士】

【氏名又は名称】道坂伸一

(72)【発明者】

【氏名】大賀健司

(72)【発明者】

【氏名】村田紀文

(72)【発明者】

【氏名】上田恭子

【審査官】浦口幸宏

(56)【参考文献】

【文献】特開平０４－３６４５３１（ＪＰ，Ａ）

【文献】実開平０５－０６４９３３（ＪＰ，Ｕ）

【文献】特開昭６３－０５５６４４（ＪＰ，Ａ）

【文献】特開平０３－２６８０３４（ＪＰ，Ａ）

【文献】特開２０００－１７２５３２（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ１１／０７

Ｇ０６Ｆ１１／２８－１１／３６

Ｈ０４Ｌ１２／００－１２／６６

Ｈ０４Ｌ４１／００－１０１／６９５

(57)【特許請求の範囲】

【請求項1】

分岐命令に対応する分岐先アドレスを２回以上読み出し、
読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定し、
読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行し、
同一の前記分岐先アドレスは、プログラムが置かれたメモリ領域において、２つの異なるメモリ領域に保持され、
前記読み出しでは、前記分岐先アドレスを前記２つの異なるメモリ領域から２回以上読み出す
異常検出方法。

【請求項2】

前記異常検出方法では、特定の条件が満たされた場合に前記読み出しが行われ、前記特定の条件が満たされない場合には前記読み出しが行われない
請求項１に記載の異常検出方法。

【請求項3】

前記特定の条件は、前記分岐命令に対応する分岐先アドレスを２回以上読み込んだときに追加で必要となるメモリ容量が一定以下となる条件である
請求項２に記載の異常検出方法。

【請求項4】

前記特定の条件は、前記分岐命令に対応する分岐先アドレスを２回以上読み込んだときに追加で必要となる処理時間が一定以下となる条件である
請求項２に記載の異常検出方法。

【請求項5】

前記特定の条件は、読み出そうとしている分岐先アドレスに対応する分岐命令の優先順位が一定以上であるという条件である
請求項２に記載の異常検出方法。

【請求項6】

請求項１～５のいずれか１項に記載の異常検出方法をコンピュータに実行させるための異常検出プログラム。

【請求項7】

プログラムにおける分岐命令を検出する検出部と、
検出された前記分岐命令に対応する分岐先アドレスを２回以上読み出す読み出し部と、
読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定する判定部と、
読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する実行部と、を備え、
同一の前記分岐先アドレスは、プログラムが置かれたメモリ領域において、２つの異なるメモリ領域に保持され、
前記読み出し部は、前記分岐先アドレスを前記２つの異なるメモリ領域から２回以上読み出す
異常検出装置。

【請求項8】

プログラムの書き換え方法であって、
前記プログラムにおける分岐命令を検出し、
検出された前記分岐命令を異常検出命令に書き換え、
前記異常検出命令は、
前記分岐命令に対応する分岐先アドレスを２回以上読み出し、
読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定し、
読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する命令であり、
同一の前記分岐先アドレスは、プログラムが置かれたメモリ領域において、２つの異なるメモリ領域に保持され、
前記読み出しでは、前記分岐先アドレスを前記２つの異なるメモリ領域から２回以上読み出す
書き換え方法。

【請求項9】

前記書き換え方法では、特定の条件が満たされた場合に前記書き換えが行われ、前記特定の条件が満たされない場合には前記書き換えが行われない
請求項８に記載の書き換え方法。

【請求項10】

前記特定の条件は、前記分岐命令を前記異常検出命令に書き換えたときに追加で必要となるメモリ容量が一定以下となる条件である
請求項９に記載の書き換え方法。

【請求項11】

前記特定の条件は、前記分岐命令を前記異常検出命令に書き換えたときに追加で必要となる処理時間が一定以下となる条件である
請求項９に記載の書き換え方法。

【請求項12】

前記特定の条件は、書き換えようとしている分岐命令の優先順位が一定以上であるという条件である
請求項９に記載の書き換え方法。

【請求項13】

請求項８～１２のいずれか１項に記載の書き換え方法をコンピュータに実行させるための書き換えプログラム。

【請求項14】

プログラムの書き換え装置であって、
前記プログラムにおける分岐命令を検出する検出部と、
検出された前記分岐命令を異常検出命令に書き換える書き換え部と、を備え、
前記異常検出命令は、
前記分岐命令に対応する分岐先アドレスを２回以上読み出し、
読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定し、
読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する命令であり、
同一の前記分岐先アドレスは、プログラムが置かれたメモリ領域において、２つの異なるメモリ領域に保持され、
前記読み出しでは、前記分岐先アドレスを前記２つの異なるメモリ領域から２回以上読み出す
書き換え装置。

【発明の詳細な説明】

【技術分野】

【0001】

本開示は、異常検出方法、異常検出プログラム、異常検出装置、書き換え方法、書き換えプログラム及び書き換え装置に関する。

【背景技術】

【0002】

従来、関数コール又は割り込み関数の発生時において、復帰アドレスを退避するスタックを多重化する装置が開示されている（例えば特許文献１）。これにより、関数復帰時の異常を検出できる。

【先行技術文献】

【特許文献】

【0003】

【文献】特開２０１７－１２３１１９号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、上記特許文献１では、関数復帰時の異常を検出できるが、関数分岐時の異常を検出することについては開示されていない。

【0005】

そこで、本開示では、関数分岐時の異常を検出できる異常検出方法等を提供する。

【課題を解決するための手段】

【0006】

本開示の一態様に係る異常検出方法は、分岐命令に対応する分岐先アドレスを２回以上読み出し、読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定し、読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する処理を含む。

【0007】

本開示の一態様に係る異常検出プログラムは、上記の異常検出方法をコンピュータに実行させるためのプログラムである。

【0008】

本開示の一態様に係る異常検出装置は、プログラムにおける分岐命令を検出する検出部と、検出された前記分岐命令に対応する分岐先アドレスを２回以上読み出す読み出し部と、読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定する判定部と、読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する実行部と、を備える。

【0009】

本開示の一態様に係る書き換え方法は、プログラムの書き換え方法であって、前記プログラムにおける分岐命令を検出し、検出された前記分岐命令を異常検出命令に書き換える処理を含み、前記異常検出命令は、前記分岐命令に対応する分岐先アドレスを２回以上読み出し、読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定し、読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する命令である。

【0010】

本開示の一態様に係る書き換えプログラムは、上記の書き換え方法をコンピュータに実行させるためのプログラムである。

【0011】

本開示の一態様に係る書き換え装置は、プログラムの書き換え装置であって、前記プログラムにおける分岐命令を検出する検出部と、検出された前記分岐命令を異常検出命令に書き換える書き換え部と、を備え、前記異常検出命令は、前記分岐命令に対応する分岐先アドレスを２回以上読み出し、読み出された前記分岐先アドレスのそれぞれが一致しているか否かを判定し、読み出された前記分岐先アドレスのそれぞれが一致している場合、前記分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する命令である。

【0012】

なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。また、記録媒体は、非一時的な記録媒体であってもよい。

【発明の効果】

【0013】

本開示の一態様に係る異常検出方法等は、関数分岐時の異常を検出できる。

【図面の簡単な説明】

【0014】

【図1】図１は、実施の形態１に係る異常検出方法の一例を示すフローチャートである。

【図2A】図２Ａは、比較例に係るプログラムの一例及び一時異常発生時の状況を示す図である。

【図2B】図２Ｂは、実施の形態１に係る異常検出プログラムの一例及び一時異常発生時の状況を示す図である。

【図3A】図３Ａは、比較例に係るプログラムの一例及び恒久異常発生時の状況を示す図である。

【図3B】図３Ｂは、実施の形態１に係る異常検出プログラムの他の一例及び恒久異常発生時の状況を示す図である。

【図4】図４は、実施の形態１に係る異常検出装置の一例を示すブロック図である。

【図5】図５は、実施の形態２に係る書き換え方法の一例を示すフローチャートである。

【図6】図６は、実施の形態２に係る書き換え方法の具体例を模式的に表す図である。

【図7】図７は、実施の形態２に係る書き換え装置の一例を示すブロック図である。

【発明を実施するための形態】

【0015】

【0016】

これによれば、分岐命令に対応する分岐先アドレスが、プログラムカウンタ（ＰＣ）に代入される前に２回以上読み出されて、それぞれが一致した場合のみ分岐命令が実行され（つまり、分岐先アドレスがＰＣに代入され）、一致していない場合に異常検出処理が実行されるため、関数分岐時の異常を検出できる。

【0017】

例えば、前記分岐先アドレスは、１つのメモリ領域に保持され、前記読み出しでは、前記分岐先アドレスを前記１つのメモリ領域から２回以上読み出してもよい。

【0018】

これによれば、１つのメモリ領域からそれぞれ時間間隔を空けて２回以上分岐先アドレスを読み出すという時間的冗長性を利用することで、宇宙線に誘起されるビットステータスの反転等の一時異常を検出できる。また、１つのメモリ領域を利用することから、メモリの使用量を抑制できる。

【0019】

例えば、前記分岐先アドレスは、異なるメモリ領域に保持され、前記読み出しでは、前記分岐先アドレスを前記異なるメモリ領域から２回以上読み出してもよい。

【0020】

これによれば、異なるメモリ領域から２回以上分岐先アドレスを読み出すという空間的冗長性を利用することで、製造ばらつき又は経年劣化等による異常等の恒久異常を検出できる。また、異なるメモリ領域からそれぞれ時間間隔を空けて２回以上分岐先アドレスを読み出すという時間的冗長性も利用することで、恒久異常だけでなく一時異常も検出できる。

【0021】

例えば、前記異常検出方法では、特定の条件が満たされた場合に前記読み出しが行われ、前記特定の条件が満たされない場合には前記読み出しが行われなくてもよい。

【0022】

プログラムに存在する全ての分岐命令に対して、対応する分岐先アドレスが２回以上読み出されて異常検出のための処理が実行されると、処理負荷が増大する。これに対して、特定の条件が満たされた場合にのみ分岐先アドレスの読み出しが実行されることで、処理負荷を抑制できる。

【0023】

本開示の一態様に係る異常検出プログラムは、上記の異常検出方法をコンピュータに実行させるためのプログラムである。

【0024】

これによれば、関数分岐時の異常を検出できる異常検出プログラムを提供できる。

【0025】

【0026】

これによれば、関数分岐時の異常を検出できる異常検出装置を提供できる。

【0027】

【0028】

これによれば、既存のプログラムを、関数分岐時の異常を検出できる異常検出プログラムに書き換えることができる書き換え方法を提供できる。

【0029】

例えば、前記書き換え方法では、特定の条件が満たされた場合に前記書き換えが行われ、前記特定の条件が満たされない場合には前記書き換えが行われなくてもよい。

【0030】

プログラムに存在する全ての分岐命令に対して、書き換えの処理が実行されると、処理負荷が増大する。これに対して、特定の条件が満たされた場合にのみ書き換えの処理が実行されることで、処理負荷を抑制できる。

【0031】

本開示の一態様に係る書き換えプログラムは、上記の書き換え方法をコンピュータに実行させるためのプログラムである。

【0032】

これによれば、既存のプログラムを、関数分岐時の異常を検出できる異常検出プログラムに書き換えることができる書き換えプログラムを提供できる。

【0033】

【0034】

これによれば既存のプログラムを、関数分岐時の異常を検出できる異常検出プログラムに書き換えることができる書き換え装置を提供できる。

【0035】

以下、実施の形態について、図面を参照しながら具体的に説明する。

【0036】

なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。

【0037】

（実施の形態１）
実施の形態１について図１から図４を用いて説明する。実施の形態１では、関数分岐時の異常を検出できる異常検出方法、異常検出方法をコンピュータに実行させるための異常検出プログラム及び異常検出装置について説明する。

【0038】

異常検出方法は、プログラムにおける分岐命令（関数呼び出し命令）が実行される際の異常を検出する方法である。プログラムにおける分岐命令は、ジャンプ先の関数の命令コードが格納される分岐先アドレス（例えば関数ポインタの値）がＰＣに代入されることで実行される。このとき、ジャンプ先のアドレス、すなわち分岐先アドレスが何らかの要因で書き換えられることがある。例えば、書き換えられたアドレスがアクセス不可のメモリ領域だった場合には、Ａｂｏｒｔ例外として異常検出が可能であり、或いは、書き換えられたアドレスがアクセス可能だが無効命令（例えばコード領域外）だった場合には、無効命令例外として異常検出が可能である。しかし、書き換えられたアドレスがコード領域だった場合、例外処理ができないか遅れるため、プログラムが暴走するおそれがある。例えば、誤ったジャンプ先の関数の完了時には、スタックに正しい復帰アドレスが退避されていないため、誤った復帰アドレスをスタックからポップすることで、ＰＣが再度想定外の値となる。例えば、車載製品のプログラムがこのような想定外の動作をしてしまうと、事故等の要因になりかねない。このため、このような異常を検出する必要がある。

【0039】

図１は、実施の形態１に係る異常検出方法の一例を示すフローチャートである。

【0040】

まず、分岐命令に対応する分岐先アドレスを２回以上読み出す処理（ステップＳ１）が行われる。例えば、当該読み出しでは、分岐先アドレスを１つのメモリ領域から２回以上読み出してもよいし、分岐先アドレスを異なるメモリ領域から２回以上読み出してもよい。

【0041】

次に、読み出された分岐先アドレスのそれぞれが一致しているか否かを判定する処理（ステップＳ２）が行われる。例えば、読み出された分岐先アドレスがそれぞれ異なるレジスタに格納され、異なるレジスタに格納された分岐先アドレスのそれぞれが一致しているか否かが判定される。

【0042】

そして、読み出された分岐先アドレスのそれぞれが一致している場合（ステップＳ２でＹｅｓ）、分岐命令を実行する処理（ステップＳ３）が行われる。例えば、読み出された分岐先アドレスのそれぞれが一致している場合、ＰＣに分岐先アドレスが代入されることで、分岐命令が実行される。

【0043】

読み出された分岐先アドレスのそれぞれが一致していない場合（ステップＳ２でＮｏ）、異常検出処理を実行する処理（ステップＳ４）が行われる。異常検出処理は、例えば例外処理である。例えば、読み出された分岐先アドレスのそれぞれが一致していない場合、ＰＣに例外処理命令に対応するアドレスが代入されることで、異常検出処理が実行される。

【0044】

このように、分岐命令に対応する分岐先アドレスが、ＰＣに代入される前に２回以上読み出されて、それぞれが一致した場合のみ分岐命令が実行され（つまり、分岐先アドレスがＰＣに代入され）、一致していない場合に異常検出処理が実行されるため、関数分岐時の異常を検出できる。

【0045】

例えば、異常検出方法におけるステップは、コンピュータ（コンピュータシステム）によって実行されてもよい。そして、本開示は、異常検出方法に含まれるステップを、コンピュータに実行させるための異常検出プログラムとして実現できる。さらに、本開示は、異常検出プログラムを記録したＣＤ－ＲＯＭ等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。

【0046】

例えば、本開示が、異常検出プログラム（ソフトウェア）で実現される場合には、コンピュータのＣＰＵ、メモリ及び入出力回路等のハードウェア資源を利用して異常検出プログラムが実行されることによって、異常検出方法に含まれる各ステップが実行される。つまり、ＣＰＵがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。

【0047】

異常検出方法及び異常検出プログラムの具体例について、図２Ａから図３Ｂを用いて説明する。なお、異常検出プログラムは、アセンブリ言語等のような低水準言語により実現されてもよいし、Ｃ言語等のような高水準言語により実現されてもよい。

【0048】

図２Ａは、比較例に係るプログラムの一例及び一時異常発生時の状況を示す図である。

【0049】

図２Ａの上側には、比較例に係るプログラム１０００を示し、図２Ａの下側にはプログラム１０００が実行されるときに一時異常が発生したときの状況を示す。

【0050】

プログラム１０００は、関数ｆｕｎｃ１（）及び関数ｆｕｎｃ２（）を含むプログラムであり、例えばソースコードで模式的に表現されている。関数ｆｕｎｃ１（）及び関数ｆｕｎｃ２（）は、それぞれ分岐命令である。ここでは、関数ｆｕｎｃ２（）に着目する。

【0051】

図２Ａの下側に示されるように、プログラム１０００の置かれたメモリに保持された関数ｆｕｎｃ２（）に対応する分岐先アドレス（例えば０ｘＤＥ００＿００００）がＰＣに代入されることで、関数ｆｕｎｃ２（）が実行される。しかし、分岐先アドレスがＰＣに代入される際に、宇宙線に誘起されるビットステータスの反転等の一時異常が発生した場合、一時異常によって書き換えられた分岐先アドレス（例えば０ｘＢＥ００＿００００）がＰＣに代入され、プログラムが暴走するおそれがある。

【0052】

図２Ｂは、実施の形態１に係る異常検出プログラムの一例及び一時異常発生時の状況を示す図である。

【0053】

図２Ｂの上側には、実施の形態１に係る異常検出プログラム１００１を示し、図２Ｂの下側には異常検出プログラム１００１が実行されるときに一時異常が発生したときの状況を示す。

【0054】

例えば、関数ｆｕｎｃ２（）に対応する分岐先アドレスは、１つのメモリ領域に保持され、異常検出プログラム１００１では、関数ｆｕｎｃ２（）に対応する分岐先アドレスが１つのメモリ領域から２回以上読み出される。例えば、図２Ｂに示されるように、１つのメモリ領域から関数ｆｕｎｃ２（）に対応する分岐先アドレスが読み出されて、関数アドレス一時保存用変数Ａ（例えばレジスタＡ）に格納され（ステップＳ１Ａ）、１つのメモリ領域から関数ｆｕｎｃ２（）に対応する分岐先アドレスが再度読み出されて、関数アドレス一時保存用変数Ｂ（例えばレジスタＢ）に格納される（ステップＳ１Ｂ）。ここでのステップＳ１Ａ及びステップＳ１Ｂは、図１に示される異常検出方法におけるステップＳ１に対応する。なお、分岐先アドレスが読み出される時間間隔は、異常検出プログラム１００１を実行するコンピュータの性能等に応じて適宜決定される。

【0055】

図２Ｂの下側に示されるように、ステップＳ１Ａにおける分岐先アドレスの１回目の読み出しでは、一時異常が発生せずレジスタＡに正しい分岐先アドレス（例えば０ｘＤＥ００＿００００）が格納されることがわかる。ステップＳ１Ｂにおける分岐先アドレスの２回目の読み出しでは、一時異常が発生しており、レジスタＢに一時異常によって書き換えられた分岐先アドレス（例えば０ｘＢＥ００＿００００）が格納されることがわかる。

【0056】

次に、異常検出プログラム１００１では、読み出された分岐先アドレスのそれぞれが一致しているか否かが判定される（ステップＳ２）。ここでのステップＳ２は、図１に示される異常検出方法におけるステップＳ２に対応する。

【0057】

図２Ｂの下側に示されるように、ステップＳ２における判定では、レジスタＡに格納された分岐先アドレスとレジスタＢに格納された分岐先アドレスとが一致しているか否かが判定される。

【0058】

異常検出プログラム１００１では、読み出された分岐先アドレスのそれぞれが一致している場合、関数ｆｕｎｃ２（）が実行される（ステップＳ３）。すなわち、関数ｆｕｎｃ２（）に対応する分岐先アドレスがＰＣに代入される。ここでのステップＳ３は、図１に示される異常検出方法におけるステップＳ３に対応する。

【0059】

異常検出プログラム１００１では、読み出された分岐先アドレスのそれぞれが一致していない場合、異常検出処理として例えば例外処理が実行される。すなわち、例外処理命令に対応するアドレスがＰＣに代入される。ここでのステップＳ４は、図１に示される異常検出方法におけるステップＳ４に対応する。

【0060】

このように、１つのメモリ領域からそれぞれ時間間隔を空けて２回以上分岐先アドレスを読み出すという時間的冗長性を利用することで、宇宙線に誘起されるビットステータスの反転等の一時異常を検出できる。

【0061】

図３Ａは、比較例に係るプログラムの一例及び恒久異常発生時の状況を示す図である。

【0062】

図３Ａの上側には、比較例に係るプログラム１０００を示し、図３Ａの下側にはプログラム１０００が実行されるときに恒久異常が発生したときの状況を示す。

【0063】

プログラム１０００は、図２Ａで説明したものと同じであるため説明は省略する。

【0064】

図３Ａの下側に示されるように、プログラム１０００の置かれたメモリに保持された関数ｆｕｎｃ２（）に対応する分岐先アドレス（例えば０ｘＤＥ００＿００００）がＰＣに代入されることで、関数ｆｕｎｃ２（）が実行される。しかし、製造ばらつき又は経年劣化等によるメモリの異常等の恒久異常が発生した場合、メモリに保持された分岐先アドレスが書き換えられ、恒久異常によって書き換えられた分岐先アドレス（例えば０ｘＢＥ００＿００００）がＰＣに代入され、プログラムが暴走するおそれがある。

【0065】

図３Ｂは、実施の形態１に係る異常検出プログラムの他の一例及び恒久異常発生時の状況を示す図である。

【0066】

図３Ｂの上側には、実施の形態１に係る異常検出プログラム１００２を示し、図３Ｂの下側には異常検出プログラム１００２が実行されるときに恒久異常が発生したときの状況を示す。

【0067】

例えば、関数ｆｕｎｃ２（）に対応する分岐先アドレスは、異なるメモリ領域に保持され、異常検出プログラム１００２では、関数ｆｕｎｃ２（）に対応する分岐先アドレスが異なるメモリ領域から２回以上読み出される。例えば、図３Ｂに示されるように、メモリ領域１から関数ｆｕｎｃ２（）に対応する分岐先アドレスが読み出されて、関数アドレス一時保存用変数Ａ（例えばレジスタＡ）に格納され（ステップＳ１Ａ）、メモリ領域２から関数ｆｕｎｃ２（）に対応する分岐先アドレスが読み出されて、関数アドレス一時保存用変数Ｂ（例えばレジスタＢ）に格納される（ステップＳ１Ｂ）。ここでのステップＳ１Ａ及びステップＳ１Ｂは、図１に示される異常検出方法におけるステップＳ１に対応する。

【0068】

図３Ｂの下側に示されるように、ステップＳ１Ａにおける分岐先アドレスのメモリ領域１からの読み出しでは、メモリ領域１には恒久異常が発生しておらずレジスタＡに正しい分岐先アドレス（例えば０ｘＤＥ００＿００００）が格納されることがわかる。ステップＳ１Ｂにおける分岐先アドレスのメモリ領域２からの読み出しでは、メモリ領域２に恒久異常が発生しており、レジスタＢに恒久異常によって書き換えられた分岐先アドレス（例えば０ｘＢＥ００＿００００）が格納されることがわかる。

【0069】

次に、異常検出プログラム１００２では、読み出された分岐先アドレスのそれぞれが一致しているか否かが判定される（ステップＳ２）。ここでのステップＳ２は、図１に示される異常検出方法におけるステップＳ２に対応する。

【0070】

図３Ｂの下側に示されるように、ステップＳ２における判定では、レジスタＡに格納された分岐先アドレスとレジスタＢに格納された分岐先アドレスとが一致しているか否かが判定される。

【0071】

異常検出プログラム１００２では、読み出された分岐先アドレスのそれぞれが一致している場合、関数ｆｕｎｃ２（）が実行される（ステップＳ３）。すなわち、関数ｆｕｎｃ２（）に対応する分岐先アドレスがＰＣに代入される。ここでのステップＳ３は、図１に示される異常検出方法におけるステップＳ３に対応する。

【0072】

異常検出プログラム１００２では、読み出された分岐先アドレスのそれぞれが一致していない場合、異常検出処理として例えば例外処理が実行される。すなわち、例外処理命令に対応するアドレスがＰＣに代入される。ここでのステップＳ４は、図１に示される異常検出方法におけるステップＳ４に対応する。

【0073】

このように、異なるメモリ領域から２回以上分岐先アドレスを読み出すという空間的冗長性を利用することで、製造ばらつき又は経年劣化等による異常等の恒久異常を検出できる。なお、異なるメモリ領域からそれぞれ時間間隔を空けて２回以上分岐先アドレスを読み出すという時間的冗長性も利用することで、恒久異常だけでなく一時異常も検出できる。

【0074】

なお、プログラムには、数多くの分岐命令が存在する場合があり、プログラムに存在する全ての分岐命令に対して、対応する分岐先アドレスが２回以上読み出されて異常検出のための処理が実行されると、処理負荷が増大する。そこで、異常検出方法では、特定の条件が満たされた場合に上記読み出しが行われ、特定の条件が満たされない場合には上記読み出しが行われなくてもよい。例えば、特定の条件は、分岐命令に対応する分岐先アドレスを２回以上読み込んだときに追加で必要となるメモリ容量又は処理時間等が、一定以下となるという条件である。また、例えば、各分岐命令について、プログラムにおいて実行される頻度に応じて優先順位が付けられていてもよく、特定の条件は、読み出そうとしている分岐先アドレスに対応する分岐命令の優先順位が一定以上であるという条件であってもよい。このように、特定の条件が満たされた場合にのみ分岐先アドレスの読み出しが実行されることで、処理負荷を抑制できる。

【0075】

例えば、本開示は、関数分岐時の異常を検出できる異常検出装置として実現できる。

【0076】

図４は、実施の形態１に係る異常検出装置１０の一例を示すブロック図である。なお、図４には、異常検出装置１０の他に分岐命令を含むプログラム及び各種命令に対応するアドレス等を保持するメモリ２０、並びに、ＰＣ３０が示されている。メモリ２０及びＰＣ３０は、異常検出装置１０に備えられていてもよい。なお、分岐命令を含むプログラム及び各種命令に対応するアドレス等は、１つのメモリ２０に保持されていてもよいし、複数のメモリに分かれて保持されていてもよい。

【0077】

異常検出装置１０は、プロセッサ及びメモリ等を含むコンピュータである。メモリは、プロセッサにより実行される制御プログラムを記憶することができる。異常検出装置１０は、検出部１１、読み出し部１２、判定部１３、実行部１４及び記憶回路１５を備える。検出部１１、読み出し部１２、判定部１３及び実行部１４は、メモリに格納された制御プログラムを実行するプロセッサ等によって実現される。

【0078】

検出部１１は、メモリ２０に置かれたプログラムにおける分岐命令を検出する。

【0079】

読み出し部１２は、検出部１１によって検出された分岐命令に対応する分岐先アドレスを２回以上読み出す。例えば、読み出し部１２は、分岐先アドレスを２回読み出し、１回目に読み出した分岐先アドレスを記憶回路１５のレジスタＡに格納し、２回目に読み出した分岐先アドレスを記憶回路１５のレジスタＢに格納する。なお、ここでは、ある分岐命令に対応する分岐先アドレスが１つのメモリ領域に保持され、読み出し部１２は、分岐先アドレスを１つのメモリ領域から２回以上読み出す例を示しているが、ある分岐命令に対応する分岐先アドレスが異なるメモリ領域に保持され、読み出し部１２は、分岐先アドレスを異なるメモリ領域から２回以上読み出してもよい。

【0080】

判定部１３は、読み出された分岐先アドレスのそれぞれが一致しているか否かを判定する。例えば、判定部１３は、１回目に読み出されてレジスタＡに格納された分岐先アドレスと、２回目に読み出されてレジスタＢに格納された分岐先アドレスとが一致しているか否かを判定する。

【0081】

実行部１４は、読み出された分岐先アドレスのそれぞれが一致している場合、分岐命令を実行し、読み出された前記分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する。実行部１４は、読み出された分岐先アドレスのそれぞれが一致している場合、例えば、分岐命令に対応する分岐先アドレスとしてレジスタＢに格納された分岐先アドレスをＰＣ３０に代入することで、分岐命令を実行する。なお、実行部１４は、読み出された分岐先アドレスのそれぞれが一致している場合に、分岐命令に対応する分岐先アドレスとしてレジスタＡに格納された分岐先アドレスをＰＣ３０に代入することで、分岐命令を実行してもよい。実行部１４は、読み出された分岐先アドレスのそれぞれが一致していない場合、例えば、例外処理命令に対応するアドレスをＰＣ３０に代入することで、異常検出処理を実行する。

【0082】

なお、上述した特定の条件が満たされた場合に、検出部１１は、メモリ２０に置かれたプログラムにおける分岐命令を検出してもよく、読み出し部１２は、検出された分岐命令に対応する分岐先アドレスを２回以上読み出してもよい。

【0083】

このように、本開示は、関数分岐時の異常を検出できる異常検出装置１０（ハードウェア）として実現でき、ソフトウェアによる方式と比較して、メモリ資源の削減が可能となる。

【0084】

（実施の形態２）
実施の形態２について図５から図７を用いて説明する。実施の形態２では、既存のプログラムを、関数分岐時の異常を検出できる異常検出プログラムに書き換えることができる書き換え方法、書き換えプログラム及び書き換え装置について説明する。

【0085】

図５は、実施の形態２に係る書き換え方法の一例を示すフローチャートである。

【0086】

まず、プログラムにおける分岐命令を検出する処理（ステップＳ１１）が行われる。なお、実施の形態１で説明したように、処理負荷の抑制のために、プログラムに存在する複数の分岐命令のうちの一部の分岐命令を検出する処理が行われてもよい。

【0087】

次に、検出された分岐命令を異常検出命令に書き換える処理（ステップＳ１２）が行われる。異常検出命令は、分岐命令に対応する分岐先アドレスを２回以上読み出し、読み出された分岐先アドレスのそれぞれが一致しているか否かを判定し、読み出された分岐先アドレスのそれぞれが一致している場合、分岐命令を実行し、読み出された分岐先アドレスのそれぞれが一致していない場合、異常検出処理を実行する命令である。

【0088】

実施の形態２に係る書き換え方法の具体例について、図６を用いて説明する。

【0089】

図６は、実施の形態２に係る書き換え方法の具体例を模式的に表す図である。

【0090】

図６に示されるように、例えば、プログラム１０００における分岐命令（関数ｆｕｎｃ２（））が検出されることで、プログラム１０００における関数ｆｕｎｃ２（）が、異常検出命令に書き換えられる。これにより、既存のプログラム１０００を、関数分岐時の異常を検出できる異常検出プログラム１００１に書き換えることができる。なお、既存のプログラム１０００が異常検出プログラム１００２に書き換えられてもよい。

【0091】

なお、プログラムには、数多くの分岐命令が存在する場合があり、プログラムに存在する全ての分岐命令に対して、書き換えの処理が実行されると、処理負荷が増大する。そこで、書き換え方法では、特定の条件が満たされた場合に上記書き換えが行われ、特定の条件が満たされない場合には上記書き換えが行われなくてもよい。例えば、特定の条件は、分岐命令を異常検出命令に書き換えたときに追加で必要となるメモリ容量又は処理時間等が、一定以下となるという条件である。また、例えば、各分岐命令について、プログラムにおいて実行される頻度に応じて優先順位が付けられていてもよく、特定の条件は、書き換えようとしている分岐命令の優先順位が一定以上であるという条件であってもよい。このように、特定の条件が満たされた場合にのみ書き換えの処理が実行されることで、処理負荷を抑制できる。

【0092】

例えば、本開示は、既存のプログラムを、関数分岐時の異常を検出できる異常検出プログラムに書き換えることができる書き換え装置として実現できる。

【0093】

図７は、実施の形態２に係る書き換え装置１００の一例を示すブロック図である。なお、図７には、書き換え装置１００の他に分岐命令を含むプログラム及び各種命令に対応するアドレス等を保持するメモリ２０が示されている。なお、分岐命令を含むプログラム及び各種命令に対応するアドレス等は、１つのメモリ２０に保持されていてもよいし、複数のメモリに分かれて保持されていてもよい。

【0094】

書き換え装置１００は、プロセッサ及びメモリ等を含むコンピュータである。メモリは、プロセッサにより実行される制御プログラムを記憶することができる。書き換え装置１００は、検出部１０１及び書き換え部１０２を備える。検出部１０１及び書き換え部１０２は、メモリに格納された制御プログラムを実行するプロセッサ等によって実現される。

【0095】

検出部１０１は、メモリ２０に置かれたプログラムにおける分岐命令を検出する。

【0096】

書き換え部１０２は、検出部１０１によって検出された分岐命令を異常検出命令に書き換える。例えば、書き換え部１０２は、検出された分岐命令に対応する分岐先アドレス及び例外処理命令に対応するアドレス等を用いて書き換えを実行する。

【0097】

なお、上述した特定の条件が満たされた場合に、検出部１０１は、メモリ２０に置かれたプログラムにおける分岐命令を検出してもよく、書き換え部１０２は、検出された分岐命令を異常検出命令に書き換えてもよい。

【0098】

このように、本開示は、既存のプログラムを、関数分岐時の異常を検出できる異常検出プログラムに書き換えることができる書き換え装置１００（ハードウェア）として実現できる。

【0099】

例えば、書き換え方法におけるステップは、コンピュータ（コンピュータシステム）によって実行されてもよい。そして、本開示は、書き換え方法に含まれるステップを、コンピュータに実行させるための書き換えプログラムとして実現できる。さらに、本開示は、書き換えプログラムを記録したＣＤ－ＲＯＭ等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。

【0100】

例えば、本開示が、書き換えプログラム（ソフトウェア）で実現される場合には、コンピュータのＣＰＵ、メモリ及び入出力回路等のハードウェア資源を利用して書き換えプログラムが実行されることによって、書き換え方法に含まれる各ステップが実行される。つまり、ＣＰＵがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。

【0101】

（その他の実施の形態）
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。

【0102】

上記実施の形態の異常検出装置１０及び書き換え装置１００に含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。

【0103】

また、上記実施の形態の異常検出装置１０及び書き換え装置１００に含まれる各構成要素は、集積回路（ＩＣ：ＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔ）であるＬＳＩ（ＬａｒｇｅＳｃａｌｅＩｎｔｅｇｒａｔｉｏｎ）として実現されてもよい。

【0104】

また、集積回路はＬＳＩに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なＦＰＧＡ（ＦｉｅｌｄＰｒｏｇｒａｍｍａｂｌｅＧａｔｅＡｒｒａｙ）、又は、ＬＳＩ内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。

【0105】

さらに、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、異常検出装置１０及び書き換え装置１００に含まれる各構成要素の集積回路化が行われてもよい。

【0106】

その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。