ホーム > 特許ランキング > トヨタ自動車株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-18
(45)【発行日】2024-11-26
(54)【発明の名称】情報処理装置、車両、及び情報処理方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20241119BHJP
G06F 9/455 20180101ALI20241119BHJP
【FI】
G06F11/07 157
G06F11/07 140R
G06F9/455 150
【請求項の数】
3
(21)【出願番号】P 2021180654
(22)【出願日】2021-11-04
(65)【公開番号】P2023069059
(43)【公開日】2023-05-18
【審査請求日】2023-11-08
(73)【特許権者】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】水谷 太貴
【審査官】松平 英
(56)【参考文献】
【文献】特開2019-144785(JP,A)
【文献】特開昭62-154037(JP,A)
【文献】特開2020-091683(JP,A)
【文献】特開2021-093002(JP,A)
【文献】特開2017-228159(JP,A)
【文献】特開2018-041211(JP,A)
【文献】特開2020-149130(JP,A)
【文献】特開2020-129238(JP,A)
【文献】特開2019-185130(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60R16/00-17/02
G06F 9/455-9/54
11/07
11/28-11/36
(57)【特許請求の範囲】
【請求項1】
複数の仮想マシンの生成、実行、及び前記複数の仮想マシンの異常検出機能の提供のそれぞれを行うソフトウエアの仮想マシン管理部、並びに、前記異常検出機能の双方へクロック信号を供給するハードウエアの供給部と、前記供給部の前記クロック信号の供給を監視することにより、前記仮想マシン管理部の異常を検出するハードウエアの異常検出部と、
を含み、
前記異常検出部は、予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマである情報処理装置。
【請求項2】
複数の仮想マシンの生成、実行、及び前記複数の仮想マシンの異常検出機能の提供のそれぞれを行うソフトウエアの仮想マシン管理部、並びに、前記異常検出機能の双方へクロック信号を供給するハードウエアの供給部と、
前記供給部の前記クロック信号の供給を監視することにより、前記仮想マシン管理部の異常を検出するハードウエアの異常検出部と、
を含み、
前記異常検出部は、予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマである情報処理装置を搭載した車両。
【請求項3】
複数の仮想マシンの生成、実行、及び前記複数の仮想マシンの異常検出機能の提供のそれぞれを行うソフトウエアの仮想マシン管理部、並びに、前記異常検出機能の双方へクロック信号をハードウエアの供給部から供給し、
予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマであるハードウエアの異常検出部が、前記供給部の前記クロック信号の供給を監視することにより、前記仮想マシン管理部の異常を検出する情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異常を検出する情報処理装置、車両、及び情報処理方法に関する。
【背景技術】
【0002】
特許文献1には、仮想マシンの故障検出をウォッチドッグタイマのタイムアウトを用いて検出することが記載されている。詳細には、特許文献1には、複数の仮想マシンが搭載された複数の汎用装置と、仮想マシンの稼働系と待機系の二系統による二重化運転を制御する仮想マシン制御装置とで構成される二重化運転システムにおいて、ウォッチドッグタイマのタイムアップ等を用いて仮想マシンの故障を検出することが記載されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2020-135101号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
仮想マシンの異常を検出するウォッチドッグタイマをソフトウエア的に提供する場合、ソフトウエアのウォッチドッグタイマ(ソフトウエアWDT)の異常を検出するためのハードウエアのウォッチドッグタイマ等が必要となる。この場合、図6に示すように、仮想マシン(VM)の生成及び実行を行うHypervisor50を監視するハードウエアのウォッチドッグタイマ(WDT)を含む複数のハードウエアのWDT52、又は複数のインタフェースを持つハードウエアのWDTが異常検出部として必要となる。また、異常検出部に対応して、ハイパーバイザー50及びソフトウエアWDT56のそれぞれにクロック供給するタイマ54も必要となるためコストに影響する。
【0005】
本発明は、上記事実を考慮して成されたもので、単一のインタフェースを持つ単一の異常検出部で仮想マシンと仮想マシン管理部の双方の異常を検出可能な情報処理装置、車両、及び情報処理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために請求項1に記載の情報処理装置は、複数の仮想マシンの生成、実行、及び前記複数の仮想マシンの異常検出機能の提供のそれぞれを行うソフトウエアの仮想マシン管理部、並びに、前記異常検出機能の双方へクロック信号を供給するハードウエアの供給部と、前記供給部の前記クロック信号の供給を監視することにより、前記仮想マシン管理部の異常を検出するハードウエアの異常検出部と、を含み、前記異常検出部は、予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマである。
【0007】
請求項1に記載の発明によれば、仮想マシン管理部では、複数の仮想マシンの生成、実行、及び複数の仮想マシンの異常検出機能の提供が行われ、供給部では、仮想マシン管理部及び異常検出機能の双方へクロック信号が供給される。これにより、仮想マシン管理部及び異常検出機能の双方が駆動される。
【0008】
そして、異常検出部では、供給部の前記クロック信号の供給を監視することにより、仮想マシン管理部の異常が検出される。これにより、仮想マシンの異常検出機能と、仮想マシン管理部へのクロック信号の供給を同じ供給部で行うので、故障により仮想マシンの異常検出機能にクロック信号が供給されなくなったとしたら、仮想マシン管理部にもクロック供給されていないことになるため仮想マシン管理部自体を監視している異常検出部により仮想マシンの異常検出機能の異常も検出できるので、単一のインタフェースを持つ単一の異常検出部で仮想マシンと仮想マシン管理部の双方の異常を検出できる。
【0009】
なお、前記異常検出部は、予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、予め定めた時間内に前記仮想マシン管理部から前記クロック信号が入力されない若しくは複数のクロック信号が入力された場合にリセット信号を出力するウインドウモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマを適用してもよい。これにより、仮想マシン管理部と仮想マシンの異常検出機能の双方の異常を検出できる。
【0010】
また、複数の仮想マシンの生成、実行、及び前記複数の仮想マシンの異常検出機能の提供のそれぞれを行うソフトウエアの仮想マシン管理部、並びに、前記異常検出機能の双方へクロック信号を供給するハードウエアの供給部と、前記供給部の前記クロック信号の供給を監視することにより、前記仮想マシン管理部の異常を検出するハードウエアの異常検出部と、を含み、前記異常検出部は、予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマである情報処理装置を搭載した車両としてもよい。
【0011】
また、複数の仮想マシンの生成、実行、及び前記複数の仮想マシンの異常検出機能の提供のそれぞれを行うソフトウエアの仮想マシン管理部、並びに、前記異常検出機能の双方へクロック信号をハードウエアの供給部から供給し、予め定めた時間内に前記クロック信号が前記仮想マシン管理部から入力されない場合にリセット信号を出力するタイムアウトモードのウォッチドッグタイマ、又は前記仮想マシン管理部から予め定めた信号が入力されない場合にリセット信号を出力するQ&Aモードのウォッチドッグタイマであるハードウエアの異常検出部が、前記供給部の前記クロック信号の供給を監視することにより、前記仮想マシン管理部の異常を検出する情報処理方法としてもよい。
【発明の効果】
【0012】
以上説明したように本発明によれば、単一のインタフェースを持つ単一の異常検出部で仮想マシンと仮想マシン管理部の双方の異常を検出可能な情報処理装置、車両、及び情報処理方法を提供できる。
【図面の簡単な説明】
【0013】
【図1】本実施形態に係るセントラルECUを搭載した車両を示す図である。
【図2】本実施形態に係るセントラルECUの概略構成を示すブロック図である。
【図3】タイムアウトモードを説明するための図である。
【図4】ウインドウモードを説明するための図である。
【図5】WDTで行われる処理の流れの一例を示すフローチャートである。
【図6】ソフトウエアWDTの異常を検出するために、ハイパーバイザーを監視するハードウエアのWDTを含む複数のハードウエアのWDTを搭載した例を示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施の形態の一例を詳細に説明する。本実施形態では、車両に搭載されたセントラルECUを情報処理装置の一例として説明する。本実施形態では、図1は、本実施形態に係るセントラルECU(Electronic Control Unit)を搭載した車両を示す図であり、図2は、本実施形態に係るセントラルECUの概略構成を示すブロック図である。
【0015】
本実施形態に係るセントラルECU12は、車両10に搭載され、車両10に設けられた各種ECUを統合的に制御する。
【0016】
セントラルECU12には、ハードウエアとして、CPU(Central Processing Unit)14A、ROM(Read Only Memory)14B、及びRAM(Random Access Memory)14C等のコンピュータ構成14を有する。
【0017】
本実施形態では、コンピュータを仮想化するためのソフトウエアである、仮想マシン管理部としてのHypervisor16により、物理的なCPU14Aが仮想化され、仮想マシンとしてのVM(Virtual Machine)18が生成され、VM18の実行が制御される。本実施形態では、Hypervisor16により複数のVM18が生成される。図2では、複数のVM18として、VM0~VM2の3つのVM18が生成された例を示す。
【0018】
また、Hypervisor16は、ウォッチドッグタイマ(WDT:Watchdog timer)をソフトウエア的に提供するソフトウエアWDT24が異常検出機能として実装されている。ソフトウエアWDT24は、Hypervisor16によって生成された各VM18を監視し、各VM18の異常を検出する。
【0019】
また、セントラルECU12には、ハードウエアとして、供給部の一例としてのタイマ22及び異常検出部の一例としてのWDT20が設けられている。
【0020】
タイマ22は、Hypervisor16に対してクロック信号を供給すると共に、ソフトウエアWDT24に対してもクロック信号を供給する。すなわち、タイマ22は、Hypervisor16及びソフトウエアWDT24のそれぞれを駆動するクロック信号を供給する。
【0021】
WDT20は、タイマ22からHypervisor16に供給されるクロック信号を監視することにより、コンピュータ構成14の暴走や停止等による異常を検出する。
【0022】
ここで、Hypervisor16に実装されたソフトウエアWDT24、及びハードウエアとして実装されたWDT20による異常検出方法について説明する。
【0023】
ソフトウエアWDT24及びWDT20の異常検出方法としては、タイムアウトモード、ウインドウモード、及びQ&Aモードのうち何れかが適用される。
【0024】
【0025】
タイムアウトモードでは、ソフトウエアWDT24が各VM18へ供給するクロック信号等の信号を監視し、WDT20がタイマ22から供給されるクロック信号等の信号を監視する。
【0026】
そして、図3に示すように、ソフトウエアWDT24及びWDT20が、信号の発生を検出してから予め定めたタイムアウト時間内に信号の発生を検出した場合は正常と判定する。一方、信号の発生の検出からタイムアウト時間内に信号の発生が検出されない場合は異常と判定して、リセット信号を出力する。
【0027】
ウインドウモードにおいても、ソフトウエアWDT24が各VM18へ供給するクロック信号等の信号を監視し、WDT20がタイマ22から供給されるクロック信号等の信号を監視する。
【0028】
そして、図4に示すように、ソフトウエアWDT24及びWDT20が、タイムアウトモード同様に、信号の発生を検出してから予め定めたタイムアウト時間内に信号の発生を検出した場合は正常と判定する。一方、信号の発生の検出からタイムアウト時間内に信号の発生が検出されない場合は異常と判定して、リセット信号を出力する。また、ウインドウモードでは、更に、信号の発生を検出してから予め定めた検出時間以内に信号の発生を続けて検出した場合も異常と判定してリセット信号を出力する。
【0029】
ここで、タイムアウトモード、またはウインドウモードを適用する場合に、ソフトウエアWDT24及びWDT20で行われる具体的な処理について簡単に説明する。以下では、WDT20の処理を代表して説明する。図5は、WDT20で行われる処理の流れの一例を示すフローチャートである。
【0030】
ステップ100では、WDT20が、タイマ信号を監視してステップ102へ移行する。すなわち、タイマ22からHypervisor16及びソフトウエアWDT24のそれぞれに供給される信号を監視する。
【0031】
ステップ102では、WDT20が、異常検出したか否かを判定する。すなわち、タイムアウトモードの場合は、信号の発生を検出してから予め定めたタイムアウト時間内に信号が未検出であるか否かを判定する。また、ウインドウモードの場合は、信号の発生を検出してから予め定めた検出時間以内に信号検出、またはタイムアウト時間内に信号が未検出であるか否かを判定する。該判定が否定された場合にはステップ100に戻って上述の処理を繰り返す。一方、判定が肯定された場合にはステップ104へ移行する。
【0032】
ステップ104では、WDT20が、リセット信号をコンピュータ構成14に出力することにより、コンピュータ構成14をリセットして一連の処理を終了する。
【0033】
一方、Q&Aモードでは、予め定めたデータをソフトウエアWDT24及びWDT20に入力するように構成する。
【0034】
そして、ソフトウエアWDT24及びWDT20は、入力されるデータが予め決められたものと一致するか否かを判定し、一致している場合に正常と判定し、一致しない場合は異常と判定してリセット信号を出力する。
【0035】
具体的には、Q&AモードをソフトウエアWDT24に適用する場合は、各VM18が予め定めたデータとして「01000010」等の予め定めたデータをソフトウエアWDT24に入力するように構成する。そして、ソフトウエアWDT24が各VM18から入力されたデータが「01000010」である場合に正常と判定する。一方、入力されたデータが「01000011」のように、異なるデータが入力された場合は異常と判定する。そして、VM18にリセット信号を出力してVM18をリセットする。
【0036】
一方、Q&AモードをWDT20に適用する場合は、Hypervisor16が予め定めたデータとして「01000010」等の予め定めたデータをWDT20に入力するように構成する。そして、WDT20がHypervisor16から入力されたデータが「01000010」である場合に正常と判定する。一方、入力されたデータが「01000011」のように、異なるデータが入力された場合は異常と判定する。そして、Hypervisor16にリセット信号を出力してHypervisor16をリセットする。
【0037】
続いて、上述のように構成された本実施形態に係るセントラルECU12の作用について説明する。
【0038】
本実施形態に係るセントラルECU12では、Hypervisor16によって複数のVM18が生成され、各VM18の動作がソフトウエアWDT24によって監視される。
【0039】
ここで、各VM18に異常が発生した場合には、ソフトウエアWDT24によって検出され、異常が発生したVM18がリセットされる。これにより、VM18の暴走や停止を検出して再起動することが可能となる。
【0040】
また、ハードウエアのWDT20は、タイマ22からHypervisor16に供給されるクロック信号を監視する。Hypervisor16に異常が発生した場合には、WDT20によって検出され、Hypervisor16がリセットされる。これにより、Hypervisor16の暴走や停止を検出して再起動することが可能となる。
【0041】
また、本実施形態では、ソフトウエアWDT24と、Hypervisor16へのクロック供給を同じタイマ22で行うことで、故障によりソフトウエアWDT24にクロック供給されなくなったとしたら、Hypervisor16にもクロックが供給されていないことになるため、Hypervisor16自体を監視しているハードウエアのWDT20によりソフトウエアWDT24の異常も検出できる。従って、単一のインタフェースを持つ単一のハードウエアのWDT20でVM18とHypervisor16の双方の異常を検出できる。
【0042】
なお、上記の実施形態では、ソフトウエアWDT24をHypervisor16に設ける例を説明したが、これに限るものではなく、例えば、VM18毎にソフトウエアWDT24を設ける形態としてもよい。
【0043】
さらに、本発明は、上記に限定されるものでなく、上記以外にも、その主旨を逸脱しない範囲内において種々変形して実施可能であることは勿論である。
【符号の説明】
【0044】
10 車両
12 セントラルECU(情報処理装置)
14 コンピュータ構成
16 Hypervisor(仮想マシン管理部)
18 VM(仮想マシン)
20 WDT(異常検出部)
22 タイマ(供給部)
24 ソフトウエアWDT(異常検出機能)
12 セントラルECU(情報処理装置)
14 コンピュータ構成
16 Hypervisor(仮想マシン管理部)
18 VM(仮想マシン)
20 WDT(異常検出部)
22 タイマ(供給部)
24 ソフトウエアWDT(異常検出機能)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
