CN111726270B - 存储器系统及控制系统 - Google Patents

Abstract

实施方式提供可以提高安全性的存储器系统及控制系统。实施方式的存储器系统(10)包括第一及第二存储区域和控制器。第一存储区域存储第一固件。第二存储区域存储第二及第三固件。在外部的网关(20)以第一软件起动的情况下，网关(20)被设定为可以访问第一存储区域、且不可以访问第二存储区域。在网关(20)以第二软件起动的情况下，网关(20)被设定为可以访问第一及第二存储区域。控制器根据从网关(20)接收到的第一命令，向网关(20)发送第二及第三固件，在向网关(20)发送第二及所述第三固件后，根据从网关(20)接收到的第二命令，向网关(20)发送第一固件。

Description

存储器系统及控制系统

相关申请

本申请主张以第2019－51116号日本专利申请(申请日：2019年3月19日)为基础申请的优先权。本申请通过引用该基础申请而包含该基础申请的全部内容。

技术领域

本发明的实施方式涉及存储器系统及控制系统。

背景技术

已知有可以以非易失的方式存储数据的NAND型闪存。

发明内容

实施方式提供可以提高安全性的存储器系统及控制系统。

本发明的实施方式的存储器系统包括第一存储区域、第二存储区域和控制器。第一存储区域存储与外部的电子控制装置对应的第一固件。第二存储区域存储与外部的网关对应的第二固件、和与电子控制装置对应的第三固件。在网关以第一软件起动的情况下，网关被设定为可以访问第一存储区域、且不可以访问第二存储区域。在网关以第二软件起动的情况下，网关被设定为可以访问第一存储区域及第二存储区域。控制器根据从网关接收到的第一命令，向网关发送第二固件及第三固件。控制器在向网关发送第二固件及第三固件后，根据从网关接收到的第二命令，向网关发送第一固件。

附图说明

图1是有关第一实施方式的控制系统的框图。

图2是有关第一实施方式的控制系统具有的存储器系统的框图。

图3是有关第一实施方式的控制系统具有的网关的框图。

图4是有关第一实施方式的控制系统具有的电子控制装置的框图。

图5是有关第一实施方式的控制系统中的篡改检测动作的流程图。

图6是有关第一实施方式的控制系统中的恢复动作的流程图。

图7是有关第二实施方式的控制系统的框图。

图8是有关第二实施方式的控制系统中的篡改检测动作的流程图。

图9是有关第二实施方式的控制系统中的恢复动作的流程图。

图10是有关第三实施方式的控制系统中的篡改检测动作的流程图。

图11是有关第四实施方式的控制系统的框图。

图12是表示有关第四实施方式的控制系统中的正常的动作状态的一例的框图。

图13是有关第四实施方式的控制系统中的恢复动作的流程图。

图14是表示有关第四实施方式的控制系统中的动作状态的一例的框图。

图15是有关第五实施方式的控制系统的框图。

图16是有关第五实施方式的控制系统中的恢复动作的流程图。

图17是表示有关第五实施方式的控制系统中的动作状态的一例的框图。

标号说明

1…控制系统；10…存储器系统；20…网关；11…存储器控制器；12…半导体存储装置；13…CPU；14…主机接口电路；15…ROM；16…RAM；17…NAND接口电路；18…通常区域；19…Shadow-MBR区域；21…CPU；22…ROM；23…RAM；24…通信控制器；30…ECU组；31、32…电子控制装置；33…CPU；34…ROM；35…RAM；36…通信控制器；37…外部通信控制器。

具体实施方式

下面，参照附图对本发明的实施方式进行说明。实施方式示例了用于具体实现发明的技术思想的装置和方法。附图是示意性或者概念性的图。在本说明书中，所谓“连接”表示被电连接，不排除中间经由其它元件或设备的情况。在下面的说明中，对具有大致相同的功能及结构的构成要素赋予相同的标号。构成参照标号的文字的后面的数字用于区分利用包含相同文字的参照标号进行参照的、而且具有相同结构的各个要素。在不需要相互区分用包含相同数字的参照标号表示的要素的情况下，这些要素分别利用仅包含数字的参照标号进行参照。

[1]第一实施方式

下面，对有关第一实施方式的控制系统1进行说明。

[1-1]结构

(控制系统1的整体结构)

图1表示有关第一实施方式的控制系统1的结构例。控制系统1例如被用作车载用的引擎控制系统。控制系统1例如具有存储器系统10、网关20及ECU(Electronic ControlUnit，电子控制装置)组30。

存储器系统10例如是SSD(Solid State Drive，固态驱动器)。存储器系统10可以以非易失的方式保存数据。存储器系统10与网关20连接，例如根据网关20的控制进行动作。在存储器系统10例如存储有网关20的固件、电子控制装置(ECU)的固件、控制系统1的动作日志等。

网关20是能够进行控制系统1内的装置间的信息的发送及接收的网络设备。网关20对控制系统1整体的动作进行控制。网关20与ECU组30所包含的各种电子控制装置连接，例如对电子控制装置间的信息(数据)的发送及接收进行中继。并且，网关20可以具有如下功能：将与网关20所连接的各种电子控制装置的动作相关的信息、和在电子控制装置间被中继的数据作为日志存储在存储器系统10中。另外，网关20还可以作为控制系统1的中央运算装置进行动作。

ECU组30例如包括电子控制装置31及32。电子控制装置31及32分别根据在固件(软件)中预先记录的控制值，控制与该电子控制装置相关联的设备。电子控制装置31例如是在与外部的网络的通信中使用的通信用的微控制器。电子控制装置32例如是在使用电气的辅助装置进行引擎的运转控制时，控制该辅助装置的控制用的微控制器。ECU组30内的各种电子控制装置可以经由网关20共用信息。

另外，以上说明的控制系统1的结构毕竟是一例，不限于此。例如，存储器系统10也可以内置于网关20中。ECU组30所包含的电子控制装置的数量可以设计为任意的数量。网关20和各电子控制装置之间的通信方式可以相同，也可以不同。电子控制装置的控制对象不限于引擎，根据所执行的固件可以控制所有设备。

下面，依次对有关第一实施方式的控制系统1具有的存储器系统10、网关20及ECU组30各自的具体结构进行说明。

(存储器系统10的结构)

图2表示有关第一实施方式的控制系统1具有的存储器系统10的结构例。存储器系统10具有存储器控制器11及半导体存储装置12。

首先，对存储器控制器11进行说明。存储器控制器11例如是SSD控制器。存储器控制器11控制半导体存储装置12。存储器控制器11包括CPU(Central Processing Unit，中央处理单元)13、主机接口电路(主机I/F)14、ROM(Read Only Memory，只读存储器)15、RAM(Random Access Memory，随机存取存储器)16、及NAND接口电路(NAND I/F)17。

CPU13是控制存储器控制器11整体的动作的运算处理装置。例如，CPU13根据外部的网关20的指示，命令半导体存储装置12执行读出动作。并且，CPU13例如执行耗损均衡(wear leveling)等用于管理半导体存储装置12的存储器空间的各种处理。

主机接口电路14是与外部的网关20连接，控制存储器系统10和网关20之间的通信的硬件接口。例如，主机接口电路14支持SATA(Serial Advanced Technology Attachment，串行高级技术附件)、SAS(Serial Attached SCSI，串行连接小型计算机系统接口)、PCIe(PCI Express)(注册商标)等通信接口标准。

ROM15是以非易失的方式保存数据的读出专用的存储装置。在ROM15例如存储有存储器控制器11的控制程序和控制数据等。例如，ROM15保存BIOS(Basic Input/OutputSystem，基本输入/输出系统)。

RAM16是被用作CPU13的作业区域的存储装置。在RAM16例如保存有用于管理半导体存储装置12的存储区域的表格等。作为RAM16，例如使用DRAM(Dynamic Random AccessMemory，动态随机存储器)或SRAM(Static Random Access Memory，静态随机存储器)等易失性存储器。

NAND接口电路17是控制存储器控制器11和半导体存储装置12之间的数据、命令及地址的传输的硬件接口。NAND接口电路17支持NAND接口标准。

下面，对半导体存储装置12进行说明。半导体存储装置12例如是NAND型闪存。半导体存储装置12的存储区域例如包括通常区域18及Shadow-MBR区域19。

通常区域18是在控制系统1的通常动作时网关20可以访问的区域。控制系统1在以通常的MBR(Master Boot Record，主引导记录)软件起动的情况下进入通常动作。MBR软件是在控制系统1的起动时从存储器系统10被读出的数据，包括与控制系统1的起动相关的信息。通常的MBR软件是在控制系统1的通常起动时所选择的MBR软件，例如被存储在通常区域18中。并且，在通常区域18例如存储有通常固件(通常FW)和退化固件(退化FW)。

通常固件及退化固件分别是ECU组30所包含的电子控制装置的固件。执行通常固件的电子控制装置以通常模式进行动作。执行退化固件的电子控制装置以退化模式进行动作。退化模式的电子控制装置进行比通常模式受限定的控制。

Shadow-MBR区域19是网关20的访问受限制的区域。网关20对Shadow-MBR区域19的访问在控制系统1以Shadow-MBR软件起动的情况下被许可。Shadow-MBR软件是用于访问在存储器系统10内需要认证的存储区域(例如Shadow-MBR区域19)的MBR软件，例如被存储在通常区域18中。即，Shadow-MBR区域19被设定为在控制系统1的通常动作时即以通常的MBR软件起动时通过网关20不可以访问。在Shadow-MBR区域19例如存储有特殊固件(特殊FW)和诊断固件(诊断FW)。

特殊固件是指网关20的固件。执行特殊固件的网关20以恢复模式进行动作。网关20的恢复模式在后述的控制系统1的恢复动作中使用。诊断固件是指ECU组30所包含的电子控制装置的固件。执行诊断固件的电子控制装置执行用于确定该电子控制装置中的异常的发生部位的自诊断动作。

另外，以上说明的存储器系统10的结构毕竟是一例，不限于此。例如，存储器系统10包含的半导体存储装置12的数量不限于一个，可以设计为任意的个数。在存储器系统10具有多个半导体存储装置12的情况下，NAND接口电路17与多个半导体存储装置12连接，存储器控制器11单独控制多个半导体存储装置12。可以对控制对象的每台设备分别准备通常固件及退化固件。诊断固件可以对每个电子控制装置设置，也可以在电子控制装置之间使用共同的固件。

(网关20的结构)

图3表示有关第一实施方式的控制系统1具有的网关20的结构例。网关20具有CPU21、ROM22、RAM23及通信控制器24。

CPU21、ROM22及RAM23例如分别是与存储器系统10内的CPU13、ROM15及RAM16一样地构成的。CPU21控制网关20整体的动作。在ROM22存储有网关20的控制程序和控制数据等。RAM23被用作CPU21的作业区域。

通信控制器24与存储器系统10和ECU组30内的各电子控制装置分别连接。通信控制器24控制网关20和存储器系统10之间的通信、以及网关20和ECU组30内的各电子控制装置之间的通信。

(ECU组30的结构)

图4表示有关第一实施方式的控制系统1具有的ECU组30的结构例。ECU组30所包含的电子控制装置31具有CPU33、ROM34、RAM35、通信控制器36及外部通信控制器37。

CPU33、ROM34、RAM35及通信控制器36例如分别是与网关20内的CPU21、ROM22、RAM23及通信控制器24一样地构成的。CPU33控制电子控制装置整体的动作。在ROM34存储有电子控制装置的控制程序和控制数据等。RAM35被用作CPU33的作业区域。通信控制器36控制电子控制装置和网关20之间的通信。

外部通信控制器37构成为可以与控制系统1的外部的设备或者网络连接。外部通信控制器37对控制系统1和外部的设备之间的通信进行控制。控制系统1和外部的设备之间的通信方式可以使用任意的方式。例如，控制系统1和外部的通信可以使用无线通信，还可以使用有线通信。

另外，电子控制装置32的结构与由电子控制装置31的结构中省略了外部通信控制器37的结构相同，因而省略说明。ECU组30内的各电子控制装置的结构可以相同，也可以不同。也可以是，控制用的电子控制装置32具有外部通信控制器37。

[1-2]动作

有关第一实施方式的控制系统1能够执行篡改检测动作和恢复动作。篡改检测动作是检查ECU组30内的电子控制装置是否被篡改、即电子控制装置是否发生异常的动作。恢复动作是使被篡改的电子控制装置恢复为正常的状态的动作。恢复动作是在根据篡改检测动作的结果检测出电子控制装置被篡改的情况下执行的。

下面，依次对有关第一实施方式的控制系统1的篡改检测动作和恢复动作进行详细说明。另外，在有关第一实施方式的控制系统1的动作的说明中，示例执行将ECU组30内的电子控制装置31作为对象的篡改检测动作和恢复动作的情况。

图5表示有关第一实施方式的控制系统1中的篡改检测动作的流程图。第一实施方式中的篡改检测动作通过网关20及电子控制装置31来执行。

具体地，首先网关20指示电子控制装置31发送篡改检查信息(步骤S11)。然后，电子控制装置31根据网关20的指示，向网关20发送篡改检查信息(步骤S12)。网关20在从电子控制装置31接收到篡改检查信息时，确认所接收到的篡改检查信息(步骤S13)。

篡改检查信息被用于在电子控制装置执行的固件的验证。例如，篡改检查信息是在网关20和电子控制装置31之间共用的验证用的参照值，可以使用任意的参照值。例如，在固件的验证使用MAC(Message Authentication Code，消息认证码)的情况下，在网关20和电子控制装置31之间事前所共用的MAC值相当于篡改检查信息。

例如，在从电子控制装置31接收到的参照值与事前所共用的参照值一致的情况下，网关20判定为电子控制装置31正常动作(无篡改)(步骤S14：否)。网关20在确认电子控制装置31未被篡改时，结束篡改检测动作。

另一方面，在从电子控制装置31接收到的参照值与事前所共用的参照值不一致的情况下，网关20判定为电子控制装置31未正常动作(有篡改)(步骤S14：是)。网关20在确认电子控制装置31被篡改时，然后执行将被篡改的电子控制装置31作为动作的恢复动作(步骤S15)。

图6表示有关第一实施方式的控制系统1中的恢复动作的流程图。第一实施方式中的恢复动作通过存储器系统10、网关20及电子控制装置31来执行。

具体地，首先网关20向存储器系统10请求基于恢复模式的起动(步骤S101)。然后，存储器系统10根据网关20的请求，对网关20指示基于Shadow-MBR软件的起动(步骤S102)。

网关20根据存储器系统10的指示，以Shadow-MBR软件起动，在对Shadow-MBR区域19的访问被许可时，向存储器系统10请求设备的认证和固件(FW)的发布(步骤S103)。接收到设备的认证和固件的发布的请求的存储器系统10首先执行设备的认证，例如确认在网关20执行的固件是否是合法的固件。

例如，在固件不是合法的固件的情况下，存储器系统10将设备的认证判定为失败，拒绝固件的发布。另一方面，在固件是合法的固件的情况下，存储器系统10将设备的认证判定为通过，对网关20发布在Shadow-MBR区域19存储的特殊固件及诊断固件(步骤S104)。

网关20在从存储器系统10接收到特殊固件及诊断固件时，执行所接收到的特殊固件(步骤S105)。执行特殊固件的网关20以恢复模式进行动作。然后，网关20对电子控制装置31发布由存储器系统10发布的诊断固件(步骤S106)。

电子控制装置31在从网关20接收到诊断固件时，执行所接收到的诊断固件，并执行自诊断动作(步骤S107)。在自诊断动作中，电子控制装置31自行诊断在执行诊断固件之前发生了什么样的异常。在自诊断动作中，例如确定电子控制装置31中的硬件的故障部位、和固件被篡改的部位等。

电子控制装置31在自诊断动作完成时，将基于自诊断动作的诊断结果通知网关20(步骤S108)。网关20在从电子控制装置31接收到基于自诊断动作的诊断结果时，确认诊断结果(步骤S109)。在诊断结果的确认中，网关20判定针对作为恢复动作的对象的电子控制装置31所适合的恢复用固件是什么。

例如，在电子控制装置31的固件被篡改的情况下，网关20判定为通常固件适合作为电子控制装置31的恢复用固件。另一方面，在电子控制装置31的固件的一部分故障的情况下，网关20判定为退化固件适合作为电子控制装置31的恢复用固件。

在诊断结果的确认完成时，网关20向存储器系统10请求恢复用固件的发布(步骤S110)。在被请求恢复用固件的发布时，存储器系统10对网关20发布在通常区域18存储的恢复用固件(通常固件或者退化固件)(步骤S111)。然后，网关20对电子控制装置31发布由存储器系统10发布的恢复用固件(步骤S112)。

电子控制装置31在从网关20接收到恢复用固件时，执行所接收到的恢复用固件(步骤S113)。即，电子控制装置31以通常固件或者退化固件重启，并以未被篡改的通常模式或者退化模式进行动作。另外，控制系统1在确认电子控制装置31以恢复用固件起动时，结束恢复动作。

如上所述，有关第一实施方式的控制系统1能够执行篡改检测动作和恢复动作。控制系统1例如定期地执行篡改检测动作。另外，篡改检测动作还可以根据用户的操作来执行。

另外，在以上的说明中，示例了执行将ECU组30内的电子控制装置31作为对象的篡改检测动作及恢复动作的情况，篡改检测动作及恢复动作也可以在将ECU组30内的其它电子控制装置作为对象的情况下执行。

另外，在步骤S103的处理中，示例了同时进行设备的认证和固件的请求的情况，但网关20也可以在设备的认证完成后请求固件的发布。示例了在存储器系统10和网关20之间的设备的认证中，根据网关20执行的固件是否是合法的固件决定认证的成功与否的情况，但也可以使用其它的认证方法。例如，存储器系统10及网关20之间的设备的认证也可以通过账号(account)来进行。在这种情况下，对Shadow-MBR区域19的访问被许可的网关20的账号，被设定与在控制系统1的通常动作时使用的账号不同的账号。

[1-3]第一实施方式的效果

根据以上说明的有关第一实施方式的控制系统1能够提高安全性。下面，对第一实施方式的效果进行详细说明。

例如，在汽车的控制系统被实施电子控制的情况下，对应各控制系统设有电子控制装置。这些电子控制装置与网关连接。并且，控制各控制系统的电子控制装置经由网关相互协作，由此汽车进行动作。具有由这样的电子控制装置及网关构成的网络的汽车，在电子控制装置执行的软件被篡改时有可能不正常动作。

针对此情况，在有关第一实施方式的控制系统1中，网关20通过篡改检测动作定期地确认电子控制装置的状态。并且，网关20在通过篡改检测动作确认为电子控制装置发生异常时，执行将该电子控制装置作为对象的恢复动作。在恢复动作中，发生异常的电子控制装置执行从网关20接收到的恢复用固件，由此能够从异常状态恢复为正常状态。

作为这样的恢复动作用的固件的存储位置，例如可以考虑存储器系统10内的通常区域18。但是，通常区域18在通常动作时可以访问，因而在网关20被篡改的情况下，有可能恢复动作用的固件被恶意使用。

针对此情况，有关第一实施方式的控制系统1在存储器系统10内的Shadow-MBR区域19存储被用于恢复动作的固件、即与网关20对应的特殊固件和与电子控制装置31对应的诊断固件的组。Shadow-MBR区域19在存储器系统10及网关20之间的相互认证后可以访问，例如在基于Shadow-MBR软件的起动时使用的网关20的账号与通常动作时不同。

这样，在有关第一实施方式的控制系统1中，被用于恢复动作的固件被存储于在通常动作时不被赋予访问权限的区域中。因此，有关第一实施方式的控制系统1即使是在通常动作时网关20被篡改的情况下，在Shadow-MBR区域19存储的特殊固件及诊断固件也不会被恶意使用。因此，有关第一实施方式的控制系统1能够提高安全性。

另外，存储器系统10内的Shadow-MBR区域19能够低成本地使存储容量大于网关20内的ROM22。因此，Shadow-MBR区域19能够具有余量地存储恢复用的固件(特殊固件及诊断固件)，能够削减在网关20内的ROM22存储的数据的容量。

另外，与有关第一实施方式的控制系统1相同的动作还可以通过更新已有的硬件的软件来执行。即，有关第一实施方式的控制系统1可以通过更新Shadow-MBR软件、在Shadow-MBR区域存储特殊固件及诊断固件来实现。

[2]第二实施方式

有关第二实施方式的控制系统1使用监视器(watch dog)，使网关20执行在第一实施方式中说明的篡改检测动作。下面，关于有关第二实施方式的控制系统1，说明与第一实施方式不同的部分。

[2-1]结构

图7表示有关第二实施方式的控制系统1的结构例。有关第二实施方式的控制系统1在有关第一实施方式的控制系统1的结构基础上，还具有监视器40。

监视器40与存储器系统10及网关20分别连接，监视控制系统1是否正常动作。具体地，监视器40定期地监视网关20是否正常动作。并且，监视器40根据监视网关20的结果，对存储器系统10命令恢复动作的开始。

有关第二实施方式的控制系统1的其它结构与有关第一实施方式的控制系统1的结构相同，因而省略说明。

[2-2]动作

下面，对有关第二实施方式的控制系统1的篡改检测动作和恢复动作进行详细说明。另外，在有关第二实施方式的控制系统1的动作的说明中，示例执行将ECU组30内的电子控制装置31作为对象的篡改检测动作和恢复动作的情况。

图8表示有关第二实施方式的控制系统1中的篡改检测动作的流程图。第二实施方式中的篡改检测动作通过网关20、电子控制装置31及监视器40来执行。

具体地，首先监视器40指示网关20执行篡改检测动作(步骤S21)。然后，网关20根据监视器40的指示执行与第一实施方式一样的篡改检测动作。即，在第一实施方式中说明的步骤S11～S14的处理被顺序地执行，并适当地执行步骤S15的处理。

在篡改检测动作结束时，网关20将动作结果通知监视器40(步骤S22)。监视器40在从电子控制装置31接收到动作结果时，确认通知内容(步骤S23)。在通知内容的确认中，只要至少判定出基于监视器40的指示的网关20的应答是否正常即可，可以使用任意的确认方法。例如，在通知内容的确认中，可以执行与篡改检查信息一样的相互认证，还可以确认篡改检测动作的结果。

监视器40在判定为控制系统1未发生异常的情况下，即在网关20正常动作的情况下(步骤S24：是)，结束篡改检测动作。另外，在篡改检测动作结束后，监视器40以一定的间隔指示网关20执行篡改检测动作。

另一方面，监视器40在判定为控制系统1发生异常的情况下，即在网关20不正常动作的情况下(步骤S24：否)，随后执行恢复动作(步骤S25)。

图9表示有关第二实施方式的控制系统1中的恢复动作的流程图。在第二实施方式的恢复动作中，以监视器40为起点，开始与第一实施方式一样的恢复动作。

具体地，首先监视器40向存储器系统10请求网关20以恢复模式的起动(步骤S201)。然后，顺序地执行步骤S102～S105的处理，由此网关20以恢复模式起动。有关第二实施方式的控制系统1的自步骤S105起的动作，与在第一实施方式中说明的恢复动作一样，因而省略说明。

如上所述，有关第二实施方式的控制系统1以监视器40为起点，执行篡改检测动作和恢复动作。监视器40使网关20定期地执行篡改检测动作，根据需要使存储器系统10开始恢复动作。

另外，在以上的说明中，示例了执行将ECU组30内的电子控制装置31作为对象的篡改检测动作及恢复动作的情况，但在将ECU组30内的其它电子控制装置作为对象的情况下，也能够执行基于监视器40的指示的篡改检测动作和恢复动作。

另外，在步骤S22的处理中，示例了通过监视器40确认网关20的通知内容，判定网关20是否正常动作的情况，但不限于此。例如，也可以是，当在步骤S21的处理中进行了篡改检测动作的执行指示后，在规定的期间中没有来自网关20的应答的情况下，监视器40判定为网关20未正常动作。在这种情况下，监视器40不等待来自网关20的应答就开始执行恢复动作。另外，还可以是，监视器40定期地向网关20发送信号，由此判定网关20是否正常动作。在这种情况下，当监视器40未能以一定周期接收到来自网关20的信号的情况下，判定为网关20是异常状态。

[2-3]第二实施方式的效果

当在控制系统1中网关20被篡改的情况下，篡改检测动作有可能被跳过。在这种情况下，控制系统1不能使被篡改的电子控制装置31恢复，汽车等有可能不能正常动作。

针对此情况，有关第二实施方式的控制系统1还具有监视器40。监视器40定期地指示网关20执行电子控制装置31的篡改检测动作。并且，监视器40确认自发出指示起规定的期间内网关20是否具有应答。

由此，有关第二实施方式的控制系统1能够检测网关20是否发生异常。另外，即使是网关20被篡改的情况下，监视器40也能够对网关20强制通过Shadow-MBR软件使重启网关20，使网关20正常进行动作。其结果是，有关第二实施方式的控制系统1能够执行针对电子控制装置31的恢复动作。因此，有关第二实施方式的控制系统1能够比第一实施方式提高控制系统1的可靠性。

[3]第三实施方式

有关第三实施方式的控制系统1的结构与有关第一实施方式的控制系统1相同。有关第三实施方式的控制系统1根据特定的电子控制装置的篡改检测动作的结果，开始其它电子控制装置的篡改检测动作。下面，关于有关第三实施方式的控制系统1，说明与第一及第二实施方式不同的部分。

[3-1]动作

图10表示有关第三实施方式的控制系统1中的篡改检测动作的流程图。在第三实施方式的篡改检测动作中，相对于第一实施方式的篡改检测动作，在作为篡改检测动作的对象的电子控制装置31的恢复动作之后，插入了将其它电子控制装置32作为对象的篡改检测动作。

具体地，首先与第一实施方式一样顺序地执行步骤S11～S13的处理。并且，在电子控制装置31正常动作的情况下(步骤S14：否)，网关20结束篡改检测动作。另一方面，在电子控制装置31未正常动作的情况下(步骤S14：是)，网关20执行将通信用的电子控制装置31作为对象的恢复动作(步骤S31)。

步骤S31中的恢复动作的详细情况与在第一实施方式中说明的步骤S15中的恢复动作一样，因而省略说明。在步骤S31中的恢复动作结束时，网关20随后执行将控制用的电子控制装置32作为对象的篡改检测动作(步骤S32)。步骤S31中的篡改检测动作的详细情况与在第一实施方式中说明的篡改检测动作一样，因而省略说明。

另外，在ECU组30包括多个控制用ECU的情况下，网关20也可以在执行了以通信用ECU为对象的恢复动作后，顺序执行选择多个控制用ECU中的各个控制用ECU的篡改检测动作。在以通信用ECU为对象的恢复动作后被执行篡改检测动作的控制用ECU可以任意选择。

[3-2]第三实施方式的效果

车载的控制系统1例如具有通信用的电子控制装置31和控制用的电子控制装置32。在这样的控制系统1中，通信用的电子控制装置31构成为可以与外部的网络进行通信，因而被不正当地访问、被篡改的危险性较大。换言之，通信用的电子控制装置31受到来自外部的攻击的可能性较大。并且，在通信用的电子控制装置31被篡改的情况下，其它的控制用的电子控制装置32被篡改的可能性较大。

针对此情况，有关第三实施方式的控制系统1优先执行以通信用的电子控制装置31为对象的篡改检测动作。并且，有关第三实施方式的控制系统1在执行了以通信用的电子控制装置31为对象的恢复动作的情况下，随后执行以控制用的电子控制装置32为对象的篡改检测动作。即，有关第三实施方式的控制系统1对被篡改的可能性较大的控制用的电子控制装置32迅速执行篡改检测动作。

由此，有关第三实施方式的控制系统1能够在短期间内检测在系统整体中发生的异常。其结果是，有关第三实施方式的控制系统1使被篡改或者发生异常的电子控制装置在短期间内恢复，能够提高控制系统1的安全性。

[4]第四实施方式

有关第四实施方式的控制系统1执行将对不正常动作的电子控制装置分配的动作分配给其它电子控制装置的恢复动作。下面，关于有关第四实施方式的控制系统1，说明与第一～第三实施方式不同的部分。

[4-1]结构

在第四实施方式中示例控制系统1控制汽车50的情况。图11表示有关第四实施方式的控制系统1的结构例。图12是表示由有关第四实施方式的控制系统1控制的汽车50的结构例。

有关第四实施方式的控制系统1具有相对于有关第一实施方式的控制系统1的结构追加了多个控制用的电子控制装置32的结构。具体地，在有关第四实施方式的控制系统1中，ECU组30具有电子控制装置31、32A、32B、32C及32D。由有关第四实施方式的控制系统1控制的汽车50具有引擎51、空调52、窗户<1>53及窗户<2>54。

电子控制装置32A、32B、32C及32D分别与网关20连接。电子控制装置32A是执行与引擎51的控制对应的固件的ECU。电子控制装置32B是执行与空调52的控制对应的固件的ECU。电子控制装置32C是执行与窗户<1>53的控制对应的固件的ECU。电子控制装置32D是执行与窗户<2>54的控制对应的固件的ECU。

如上所述，在本例的汽车50中，引擎51、空调52、窗户<1>53及窗户<2>54分别由电子控制装置32A、32B、32C及32D控制。有关第四实施方式的控制系统1的其它结构与有关第一实施方式的控制系统1的结构一样，因而省略说明。另外，汽车50由控制系统1控制的结构不限于以上说明的结构，也可以是其它的结构由控制系统1控制。

[4-2]动作

图13表示有关第四实施方式的控制系统中的恢复动作的流程图。另外，在下面的说明中，示例电子控制装置32C是故障的状态、而且电子控制装置32D是正常的状态，以电子控制装置32C为对象执行恢复动作的情况。

首先，与第一实施方式一样顺序地执行步骤S101～S108的处理。即，网关20以Shadow-MBR软件起动，电子控制装置32C根据经由网关20从存储器系统10内的Shadow-MBR区域19传输的诊断固件执行自诊断动作。并且，网关20在从电子控制装置32C接收到自诊断动作的诊断结果时，确认诊断结果(步骤S109)。

在步骤S109的处理中，网关20确认电子控制装置32C出故障。然后，网关20向存储器系统10请求辅助用固件的发布(步骤S401)。在本例中，辅助用固件是包括对作为该固件的发布对象的电子控制装置32D分配的控制功能、和对出故障的电子控制装置32C分配的控制功能的固件。即，在执行辅助用固件的电子控制装置中，相对于辅助用固件执行前的状态，追加了出故障的电子控制装置进行控制的功能。

在被请求辅助用固件的发布时，存储器系统10将在通常区域18存储的辅助用固件发布给网关20(步骤S402)。然后，网关20对电子控制装置32D发布由存储器系统10发布的辅助用固件(步骤S403)。

电子控制装置32D在从网关20接收到辅助用固件时，执行所接收到的辅助用固件(步骤S404)。执行辅助用固件的电子控制装置32D开始由电子控制装置32D控制的设备和由电子控制装置32C控制的设备这两方的设备的控制。并且，控制系统1在确认电子控制装置32D以辅助用固件起动时，结束恢复动作。

图14表示执行使用图13说明的恢复动作后的控制系统1和汽车50的关系。在本例中，曾由电子控制装置32C控制的窗户<1>53将由电子控制装置32D控制。即，电子控制装置32D作为控制窗户<1>和窗户<2>双方的电子控制装置进行动作。

另外，在以上的说明中，示例了电子控制装置32D通过执行辅助用固件来控制窗户<1>和窗户<2>的情况，但不限于此。关于执行辅助用固件的电子控制装置，只要选择正常的电子控制装置即可。作为正常的电子控制装置，例如选择在规定的期间中检测不出异常的电子控制装置。

[4-3]第四实施方式的效果

当在控制系统1中电子控制装置出故障的情况下，对该电子控制装置分配的设备有可能不能工作。

因此，在有关第四实施方式的控制系统1中，使其它正常的电子控制装置32负责对发生异常的电子控制装置32分配的控制。换言之，有关第四实施方式的控制系统1使用其它的电子控制装置32控制由发生了异常的电子控制装置32控制的设备。

由此，在有关第四实施方式的控制系统1中，即使是电子控制装置32发生异常的情况下，也能够使对该电子控制装置32分配的设备工作。其结果是，有关第四实施方式的控制系统1能够避免与发生异常的电子控制装置32对应的设备不能控制的情况，能够提高控制系统1的安全性。

另外，在以上的说明中，示例了被分配了一台设备的控制的电子控制装置32通过执行辅助用固件而控制两台设备的情况，但一台电子控制装置32控制的设备的数量也可以是三台以上。控制多台设备的电子控制装置32由于负荷增大，有可能处理变迟缓。因此，优选使在处理上具有余量的电子控制装置32负责对发生异常的电子控制装置32分配的控制。例如，在汽车中，优选使负责引擎的控制系统的电子控制装置32执行控制多个控制系统的固件。

另外，在以上的说明中，说明了以辅助用固件是包括控制两种设备的功能的固件的例子，但不限于此。在有关第四实施方式的控制系统1中，也可以是，辅助用固件包括控制对发生异常的电子控制装置分配的设备的功能，该功能被追加给执行辅助用软件的电子控制装置。

[5]第五实施方式

有关第五实施方式的控制系统1执行将对不正常动作的电子控制装置分配的动作分配给备用的电子控制装置的恢复动作。下面，关于有关第五实施方式的控制系统1，说明与第一～第四实施方式不同的部分。

[5-1]结构

图15表示有关第五实施方式的控制系统1的结构例。有关第五实施方式的控制系统1具有相对于有关第四实施方式的控制系统1追加了电子控制装置32R的结构。

电子控制装置32R是备用的ECU。电子控制装置32R与其它的电子控制装置一样，通过执行固件能够控制与该固件对应的设备。即，当在ECU组30内不包括发生异常的电子控制装置的情况下，不使用电子控制装置32R。另一方面，当在ECU组30内包括发生异常的电子控制装置的情况下，替代发生异常的电子控制装置，而使用电子控制装置32R。有关第五实施方式的控制系统1的其它结构与有关第四实施方式的控制系统1的结构一样，因而省略说明。

[5-2]动作

图16是有关第五实施方式的控制系统1中的恢复动作的流程图。在下面的说明中，示例电子控制装置32B是故障的状态，针对电子控制装置32B执行恢复动作的情况。

首先，与第一实施方式一样顺序地执行步骤S101～S108的处理。即，网关20以Shadow-MBR软件起动，电子控制装置32B根据经由网关20从存储器系统10内的Shadow-MBR区域19传输的诊断固件执行自诊断动作。并且，网关20在从电子控制装置32B接收到自诊断动作的诊断结果时，确认诊断结果(步骤S109)。

在步骤S109的处理中，网关20确认电子控制装置32B出故障。然后，网关20向存储器系统10请求替代用固件的发布(步骤S501)。在本例中，替代用固件是包括对电子控制装置32B分配的控制功能的通常固件或者退化固件。

在被请求替代用固件的发布时，存储器系统10将在通常区域18存储的替代用固件发布给网关20(步骤S502)。然后，网关20对电子控制装置32R发布由存储器系统10发布的替代用固件(步骤S503)。

电子控制装置32R在从网关20接收到替代用固件时，执行所接收到的替代用固件(步骤S504)。执行替代用固件的电子控制装置32R开始由电子控制装置32B控制的设备的控制。并且，控制系统1在确认电子控制装置32R以替代用固件起动时，结束恢复动作。

图17表示执行了使用图16说明的恢复动作后的控制系统1和汽车50的关系。在本例中，由电子控制装置32B控制的设备的空调52将由电子控制装置32R控制。即，电子控制装置32R作为空调控制ECU进行动作。

[5-3]第五实施方式的效果

如上所述，在有关第五实施方式的控制系统1中，备用的电子控制装置32R构成为可以根据所执行的固件与其它电子控制装置32一样地进行动作。并且，有关第五实施方式的控制系统1使用备用的电子控制装置32R控制发生异常的控制用的电子控制装置32所控制的设备。

其结果是，在有关第五实施方式的控制系统1中，即使是电子控制装置32发生异常的情况下，也能够使对该电子控制装置32分配的设备通过备用的电子控制装置32而工作。其结果是，有关第五实施方式的控制系统1能够避免与发生异常的电子控制装置32对应的设备不能进行控制的情况，能够提高控制系统1的安全性。

[6]变形例等

实施方式的存储器系统<例如图2的标号10>包括第一存储区域、第二存储区域和控制器。第一存储区域<例如图2的标号18>存储与外部的电子控制装置对应的第一固件<例如图2的通常FW>。第二存储区域<例如图2的标号19>存储与外部的网关对应的第二固件<例如图2的特殊FW>、和与电子控制装置对应的第三固件<例如图2的诊断FW>。在网关以第一软件起动的情况下，网关被设定为可以访问第一存储区域、而且不可以访问第二存储区域。在网关以第二软件起动的情况下，网关被设定为可以访问第一存储区域及第二存储区域。控制器根据从网关接收到的第一命令，向网关发送第二固件及第三固件。控制器在向网关发送第二固件及所述第三固件后，根据从网关接收到的第二命令，向网关发送第一固件。由此，第一实施方式的存储器系统10能够提高安全性。

在上述实施方式中，示例了网关20及电子控制装置31、32分别执行固件，由此执行恢复动作中的各种动作的情况，但不限于此。例如，也可以是，网关20及电子控制装置31、32通过FPGA图像(image)进行动作。在这种情况下，存储器系统10的通常区域18及Shadow-MBR区域分别存储FPGA图像。并且，在恢复动作中，与各固件对应的FPGA图像适当地由存储器系统10发布给网关20。

在上述实施方式中，示例了存储器系统10是SSD的情况，但存储器系统10也可以是其它的存储装置。只要是具有通常的存储区域和与Shadow-MBR区域相当的存储区域的存储器系统10，就能够执行在上述实施方式中说明的动作。

以上说明了本发明的几个实施方式，但这些实施方式是作为例子提示的，并非意图限定发明的范围。这些新的实施方式能够以其他各种各样的方式实施，在不脱离发明的主旨的范围内能够进行各种各样的省略、替换、变更。这些实施方式及其变形包含在发明的范围或主旨中，并且包含在权利要求书所记载的发明和其等价的范围中。

Claims (9)

1.一种存储器系统，具有：

第一存储区域，存储与外部的第一电子控制装置对应的恢复用固件；

第二存储区域，存储与外部的网关对应的第二固件、和与所述第一电子控制装置对应的诊断固件；以及

控制器，

在所述网关以MBR软件起动的情况下，所述网关被设定为可以访问所述第一存储区域、且不可以访问所述第二存储区域，

在所述网关以Shadow-MBR软件起动的情况下，所述网关被设定为可以访问所述第一存储区域及所述第二存储区域，

所述控制器根据从所述网关接收到的第一命令，向所述网关发送所述第二固件及所述诊断固件；

所述控制器在向所述网关发送所述第二固件及所述诊断固件后，根据从所述网关接收到的第二命令，向所述网关发送所述恢复用固件。

2.一种控制系统，具有：

权利要求1所述的存储器系统；

所述网关，与所述存储器系统连接；以及

所述第一电子控制装置，与所述网关连接，

所述网关在从所述存储器系统接收到所述第二固件及所述诊断固件时执行所述第二固件，向所述第一电子控制装置发送所述诊断固件，

所述网关在向所述第一电子控制装置发送所述诊断固件后，在从所述第一电子控制装置接收到第一信息时，向所述存储器系统发送基于所述第一信息的所述第二命令，

所述网关在从所述存储器系统接收到所述恢复用固件时，向所述第一电子控制装置发送所述恢复用固件。

3.根据权利要求2所述的控制系统，

所述第一电子控制装置在从所述网关接收到所述诊断固件时执行所述诊断固件，并执行确认所述第一电子控制装置的状态的自诊断动作，将所述自诊断动作的结果作为所述第一信息向所述网关发送，

所述第一电子控制装置在从所述网关接收到所述恢复用固件时执行所述恢复用固件。

4.根据权利要求2所述的控制系统，

所述网关确认所述第一电子控制装置是否被篡改，

在所述第一电子控制装置被篡改的情况下，所述网关向所述存储器系统请求所述网关的基于所述Shadow-MBR软件的起动，在以所述Shadow-MBR软件起动后，向所述存储器系统发送所述第一命令。

5.根据权利要求2所述的控制系统，

所述控制系统还具有监视器，

所述监视器指示所述网关确认所述第一电子控制装置是否被篡改，

所述网关向所述监视器发送与所述指示对应的第二信息，

所述监视器根据所接收到的所述第二信息、或者根据从所述指示起规定的期间内未接收到所述第二信息这一情况，向所述存储器系统请求所述网关的基于所述Shadow-MBR软件的起动，

所述网关在以所述Shadow-MBR软件起动后，向所述存储器系统发送所述第一命令。

6.根据权利要求4或5所述的控制系统，

所述控制系统还具有与所述网关连接的第二电子控制装置，

在所述第一电子控制装置执行所述恢复用固件后，所述网关确认所述第二电子控制装置是否被篡改。

7.一种控制系统，具有：

权利要求1所述的存储器系统；

所述网关，与所述存储器系统连接；

所述第一电子控制装置，与所述网关连接；以及

第二电子控制装置，与所述网关连接，

所述网关在从所述存储器系统接收到所述第二固件及所述诊断固件时执行所述第二固件，向所述第一电子控制装置发送所述诊断固件，

所述网关在向所述第一电子控制装置发送所述诊断固件后，在从所述第一电子控制装置接收到第一信息时，向所述存储器系统发送基于所述第一信息的所述第二命令，

所述网关在从所述存储器系统接收到所述恢复用固件时，向所述第二电子控制装置发送所述恢复用固件。

8.根据权利要求7所述的控制系统，

在所述存储器系统接收所述第一命令之前，所述第一电子控制装置控制外部的第一设备，所述第二电子控制装置控制外部的第二设备，

所述第一电子控制装置在从所述网关接收所述诊断固件时执行所述诊断固件，并执行确认所述第一电子控制装置的状态的自诊断动作，将所述自诊断动作的结果作为所述第一信息向所述网关发送，

所述第二电子控制装置在从所述网关接收所述恢复用固件时执行所述恢复用固件，控制所述第一设备及所述第二设备双方。

9.根据权利要求7所述的控制系统，

在所述存储器系统接收所述第一命令之前，所述第一电子控制装置控制外部的第一设备，

所述第一电子控制装置在从所述网关接收到所述诊断固件时执行所述诊断固件，并执行确认所述第一电子控制装置的状态的自诊断动作，将所述自诊断动作的结果作为所述第一信息向所述网关发送，

所述第二电子控制装置在从所述网关接收到所述恢复用固件时执行所述恢复用固件，控制所述第一设备。

Images