使跳过执行中不需要的时间区成为可能。OS(100)具有一部分区调度器(21),该分区调度器(21)按照包含向安全监视程序分配执行时间的TP1、向通常控制程序分配执行时间的TP2、以及向安全控制程序分配执行时间的TP3的调度模式,来选择并决定接下来要调度的时间区。处理器通过执行OS(100),使分区调度器(21)周期性地动作。分区调度器(21)响应于来自TP1至TP3的至少一个时间区内执行的程序的执行结果通知,而跳过在调度模式包含的TP中包含不需要执行的程序的TP。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及为了确保功能安全而被安装于服务机器人以及运输设备等的安全控 制装置,特别涉及使用了计算机系统的安全控制装置。
技术介绍
服务机器人需要通过外部传感器或者自我诊断装置来持续监视安全状态,并在检 测到任何的危险时执行适当的安全控制逻辑,由此来确保功能安全。作为与以除了上述的服务机器人以外还包括运输设备等通过电气原理进行动作 的系统为对象的功能安全有关的国际标准,制定了 IEC 61508。在IEC 61508中将为了确 保功能安全而设置的系统称为安全相关系统。IEC 61508规定了用于通过微处理器以及 PLC(Programmable Logic Controller :可编程逻辑控制器)等硬件和计算机程序(软件) 来构筑安全相关系统的各种各样的技术。通过使用IEC 61508所规定的技术,能够使用计 算机系统来构筑安全相关系统。另一方面,近年来微处理器等可编程电子设备的处理能力正在提高。因此,通过利 用多任务OS (Operating System:操作系统)在一个计算机系统上并行执行各种各样的应 用程序,能够整合安装于服务机器人以及汽车等设备中的多用途的计算机系统。例如在专利文献I中公开了以下的技术使与确保功能安全相关的应用程序(以 下,称为安全相关应用)和其他的应用程序(以下,称为非安全相关应用)在一个计算机系 统上运行。如果将IEC 61508所规定的技术应用到包含安全相关应用以及非安全相关应用 的全体软件中,那么需要将其也应用到非安全相关应用程序。因此,存在软件开发成本增大 的问题。因此,在专利文献I所公开的技术中,通过系统程序的时间分区,使安全相关应用 (安全监视程序以及安全控制程序)从非安全相关应用程序(通常控制程序)中独立出来。 因此,能够从安全相关系统中排除通常控制程序,能够有助于降低使用计算机系统构成的 安全相关系统的成本。在先技术文献专利文献专利文献1:日本专利文献特开2010-271759号公报。
技术实现思路
专利技术所要解决的问题但是,在如专利文献I所例示的以往的安全控制装置中存在如以下说明的问题。首先,对于第一个问题使用图1lA来具体地说明。在图1lA中,TPl是执行安全监 视程序的时间区、TP2是执行通常控制程序的时间区、TP3是执行安全控制程序的时间区。以往技术中的系统程序根据预先确定的固定调度模式来切换时间区。因此,例如,在按照如图1lA的上部所示的通常控制时的调度模式(固定模式)进行调度的情况下发生异常时,调度模式被切换到如图1lA的下部所示的安全控制时的调度模式(固定模式),之后按照安全控制时的调度模式(固定模式)来进行调度。但是,根据异常的种类,有在发生异常时需要立即应对的异常。关于这样的异常, 如果根据例如图1lA的下部所示的安全控制时的调度模式执行调度的话,不仅反复执行为了异常处理而要求实时执行的TP3,而且甚至对于所发生的异常不需要执行的TPl也被反复地执行。因此,在直到安全被确保的期间内,尽管需要实时并且连续地执行TP3,但是作为固定模式所包含的TPl也需要执行。因此,在发生异常时,无法使仅执行安全控制程序的时间区实时并且连续地来执行,安全控制程序执行的处理产生延迟,其结果是,存在发生异常时的安全控制有可能没有被恰当地进行的问题。接着,使用图12以及图13来具体地说明第二个问题。图12示出了以往技术中的通常控制时的调度模式的具体例子。图13示出了以往技术中的关于系统程序执行的任务初始化处理的处理步骤的具体例子。在具有时间分区功能的系统程序中,为了执行由安全监视程序等生成的任务,需要分配执行该任务的时间资源(时间区)。另外,为了分配时间区来执行任务,需要在执行通常的任务处理之前进行初始化处理。而且,为了进行任务的初始化处理,至少需要一个时间区。这里,假定以往技术的系统程序根据图12中所示的基本的调度模式来执行调度的情况。这里,作为基本的调度模式,以在一次周期中包含全部种类的时间区(这里是, TP1、TP2、TP3)的情况为例进行说明。图13示出与以往技术中的系统程序执行的任务初 始化处理相关的处理步骤的具体例子。在图13中,分区调度器使与TPX(TPl TP3中的任一个TP)相关的任务动作 (Slll),在直到与所有的时间区相关的任务的初始化处理结束为止的期间内,依次执行与 TPX相关的任务的初始化处理(SI 12 SI 14)。而且,在与所有的时间区相关的任务的初始化处理结束了的情况下,分区调度器使与TPX相关的任务动作,之后开始执行通常的任务处理(SI 15)。因此,在以往技术中的系统程序基于图13所示的处理步骤按照基本的调度模式 (例如图12)执行调度时,首先在最初的周期中,使与所有的时间区(TP1、TP2、TP3)有关的任务的初始化处理分别在至少一个时间区中执行,在所有的任务的初始化处理结束之后, 在第二次以后的周期所包含的时间区中能够开始通常的任务处理。但是,在没有发生异常的情况下,对于ΤΡ3,并不是通常的任务处理执行的。因此, 第二次以后的周期所包含的ΤΡ3不执行任何任务。即,在最初的周期中在与ΤΡ3相关的任务的初始化处理结束了的情况下,在第二次以后的周期所包含的ΤΡ3中除异常时以外不存在要执行的任务。由此,在针对所有的任务的初始化处理结束之后,即使是在诸如异常几乎不发生的情況下,实际上不需要的ΤΡ3也在每个周期被调度。对于由通常控制程序生成的任务,与由安全监视程序生成的任务等相比,可以说优选能够确保更长的执行时间。在以往技术中,由于即使是在初始化处理结束之后不需要的ΤΡ3也被调度,因此其结果是,存在不能对由通常控制程序生成的任务的执行时间(ΤΡ2)分配更长的时间的问题。本申请的专利技术人认真研究了专利文献I所公开的以往技术,发现上述的问题是由于以下的原因造成的。首先,在专利文献I所公开的OS 100中,安全监视进程21选择规定时间区的切换顺序以及定时的调度模式,OS 100按照调度模式进行时间区调度(参照专利文献I的0036 段、0039段以及图4等)。S卩,公开了 0S100按照由安全监视进程21指定的固定的调度模式来进行时间区的切换。因此,在专利文献I所公开的OS 100中,因为时间区的切换依赖在TPl中由安全监视进程21作出的选择结果,所以在调度模式中不能跳过当初预定的TPl。另外,在专利文献I所公开的OS 100中,仅仅是通过在TPl中的安全监视进程21监视通常控制进程22的执行状况和I/O端口 12的输入输出的数据(参照专利文献I的0036段等),不能够在考虑了安全控制进程23和安全监视进程21自身的执行状况的基础上选择并决定将哪个TP作为跳过对象。这样,在专利文献I所公开的OS 100中,分区调度功能不能从在各时间区中被生成的进程中独立出来,另外,因为分区调度功能不能够掌握所有的进程的执行状况,所以存在不能够有意地跳过不需要执行的时间区的问题。其结果是,不能够解决上述的问题。本专利技术是在上述见解的基础上作出的,其目的在于提供能够跳过不需要执行的时间区的。用于解决问题的手段本专利技术的一个方式所涉及的安全控制装置,包括硬件资源,所述硬件资源包含至少一个处理器;以及系统程序,所述系统程序用于控制针对下列程序的所述处理器的执行时本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种安全控制装置,包括硬件资源,所述硬件资源包含至少一个处理器;以及系统程序,所述系统程序用于控制针对下列程序的所述处理器的执行时间的分配,所述程序包括(a)安全监视程序,所述安全监视程序监视与控制对象有关的异常的发生;(b)通常控制程序,所述通常控制程序与通常时所述控制对象的控制相关联;以及(C)安全控制程序,所述安全控制程序与异常时所述控制对象的控制相关联,所述系统程序部分地包括按照调度模式选择并决定接下来要调度的时间区的分区调度器,所述调度模式包含(d)对所述安全监视程序分配所述执行时间的第一时间区、(e)对所述通常控制程序分配所述执行时间的第二时间区、以及(f)对所述安全控制程序分配所述执行时间的第三时间区,所述处理器通过执行所述系统程序来使所述分区调度器周期地动作,所述分区调度器响应于来自在所述第一时间区至所述第三时间区中的至少一个时间区内执行的程序的执行结果通知,而跳过在所述调度模式中包含的时间区中的、包含不需要执行的程序的时间区。2.根据权利要求1所述的安全控制装置,其特征在于,所述分区调度器当接收到表示由在所述第一时间区内执行的所述安全监视程序检测到异常的所述执行通知结果时,在之后的调度中跳过所述第三时间区以外的时间区。3.根据权利要求1或2所述的安全控制装置,其特征在于,所述分区调度器响应于在所述第一时间区至所述第三时间区内程序的初始化处理被分别执行并且已经结束,在之后的调度中跳过所述第三时间区。4.根据权利要求1至3中任一项所述的安全控制装置,其特征在于,还包括对所述硬件资源进行复位的复位电路,所述分区调度器响应于来自在所述第一时间区至所述第三时间区中的至少一个时间区内执行的程序的、表示是具有紧急停止的异常的通知,对所述复位电路输出复位指示信号,所述复位电路在接收到所述复位指示信号的情况下,对所述硬件资源进行复位。5.根据权利要求1至3中任一项所述的安全控制装置,其特征在于,还包括对所述硬件资源进行复位的复位电路,所述分区调度器定期向所述复位电路发送信号,并响应于来自在所述第一时间区至所述第三时间区中的至少一个时间区内执行的程序的、表示是具有紧急停止的异常的通知,停止向所述复位电路发送所述信号,所述复...
【专利技术属性】
技术研发人员:平哲也,尾藤浩司,
申请(专利权)人:丰田自动车株式会社,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。