CN114127726A - 车载安全存储系统 - Google Patents

车载安全存储系统 Download PDF

Info

Publication number
CN114127726A
CN114127726A CN202080050594.0A CN202080050594A CN114127726A CN 114127726 A CN114127726 A CN 114127726A CN 202080050594 A CN202080050594 A CN 202080050594A CN 114127726 A CN114127726 A CN 114127726A
Authority
CN
China
Prior art keywords
access
area
storage system
failure
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080050594.0A
Other languages
English (en)
Inventor
井上信治
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of CN114127726A publication Critical patent/CN114127726A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0727Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a storage system, e.g. in a DASD or network based storage system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/0223User address space allocation, e.g. contiguous or non contiguous base addressing
    • G06F12/023Free address space management
    • G06F12/0238Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
    • G06F12/0246Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0644Management of space entities, e.g. partitions, extents, pools
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0653Monitoring storage devices or systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0769Readable error formats, e.g. cross-platform generic formats, human understandable formats
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/72Details relating to flash memory management
    • G06F2212/7204Capacity control, e.g. partitioning, end-of-life degradation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

提供一种能够简单并且迅速地检测向存储装置的不正当访问、存储装置的不良情况并适当地利用其检测结果的车载安全存储系统。车载安全存储系统具有:具有控制器、非易失性存储器以及接口的存储装置;以及电子地进行车辆的控制的电子控制单元。控制器在判断为对非易失性存储器产生不正当访问或者不良情况之后,根据不正当访问或者不良情况的种类,进行规定的处理。

Description

车载安全存储系统
技术领域
本公开涉及在主机装置与存储装置之间进行数据转送的车载安全存储系统。
背景技术
作为车载系统的领域,搭载于一个车辆的多个ECU(Electronic Control Unit:电子控制单元)现在处于合并的方向。若多个ECU被合并,则需要与各个ECU连接的存储也被合并。
在车载系统的领域中的存储中,对利用非易失性存储器的SSD、SD卡进行使用是主流。关于SD卡和SD卡对应主机的技术例如在专利文献1中公开。此外,在ECU中,作为高速串行接口,现在也使用快速PCI(注册商标:PCI Express,以下称为PCIe)。
在先技术文献
专利文献
专利文献1:日本特开2006-209744号公报
发明内容
-发明要解决的课题-
本公开的目的在于,提供一种能够简单并且迅速地检测向存储装置的不正当访问、存储装置的不良情况、并能够适当地利用其检测结果的车载安全存储系统。
-解决课题的手段-
本公开的车载安全存储系统具有:具有控制器、非易失性存储器以及接口的存储装置;以及电子地进行车辆的控制的电子控制单元。控制器在判断为对非易失性存储器产生不正当访问或者不良情况之后,根据不正当访问或者不良情况的种类,进行规定的处理。
-发明效果-
通过使用本公开的车载安全存储系统,能够简单并且迅速地检测向存储装置的不正当访问、存储装置的不良情况,并能够适当地利用其检测结果。
附图说明
图1a是实施方式1所涉及的车载安全存储系统的框图。
图1b是搭载图1a所示的车载安全存储系统的车辆的侧视图。
图2是实施方式1所涉及的车载安全存储系统中的预先处理的流程图。
图3是包含实施方式1所涉及的车载安全存储系统中的不正当访问检查处理的基本处理的流程图。
图4是实施方式1所涉及的车载安全存储系统中的不良情况检查处理的流程图。
图5是不正当访问/不良情况的种类、定义以及内容的一览表。
具体实施方式
以下,适当参照附图,对实施方式详细进行说明。但是,可能省略非必要详细的说明。例如,可能省略已知事项的详细说明、针对实质相同的结构的重复说明。这是为了避免以下的说明不必要地变得冗余,使本领域技术人员容易理解。
另外,发明人为了本领域技术人员充分理解本公开而提供附图以及以下的说明,并不意图通过这些来限定权利要求书所述的主题。
[实现本公开的经过]
以往,在车载存储系统中,针对向存储装置的不正当访问、不正当的写入、以及不正当的篡改等的不正当处理(不正当行为)的检查以及检测是通过作为主机装置的ECU侧的驱动器或者控制器而进行的。存储装置中的不良情况的检查以及检测也同样地,通过作为主机装置的ECU侧的驱动器或者控制器而进行。此外,关于数据篡改,也存在对存储装置的内部进行全部检查并关于不正当的篡改的发生的可能性进行了确认之后、实际进行篡改检查的情况。
在对存储装置产生了不正当访问等的情况下,主机装置准确地确认发生了不正当访问等的区域、地址绝非易事,此外,确定花费规定的时间。特别地,关于上述的数据篡改,对存储装置的内部进行全部检查、以及篡改的可能性的确认后实际进行篡改检查也需要时间和成本。这样,仅在针对存储装置的不正当访问、不正当的篡改之后经过某种程度时间后,主机材能够进行实际的检测,结果,基于不正当行为、不良情况的影响扩大。
发明人开发了解决上述的问题点的本公开所涉及的车载安全存储系统。本公开所涉及的车载安全存储系统基本上自己(即,通过存储装置)进行针对存储装置的不正当处理(不正当行为)以及针对存储装置中的不良情况的检查以及检测。
因此,在本公开所涉及的车载安全存储系统中,可容易并且迅速地确定发生了不正当访问等的存储装置上的区域、地址,在刚刚不正当访问等之后或者不正当访问等的发生中,主机装置就能够掌握不良情况。因此,基于主机装置的应对提前,基于不正当行为或者不良情况的影响被最小化。进一步地,主机装置也能够使得基于不正当行为或者不良情况的影响完全不泄漏到外部。
[实施方式1]
以下,参照附图来对本发明的实施方式1所涉及的车载安全存储系统进行说明。
[1.1.车载安全存储系统的结构]
图1a是实施方式1所涉及的车载安全存储系统2的框图。图1a所示的车载安全存储系统2是车载系统,例如,被搭载于在图1b中表示侧视图的汽车等的车辆1。
图1a所示的本实施方式所涉及的车载安全存储系统2包含车载ECU20、存储装置4。存储装置4包含控制器6、包含NAND型闪存存储器等的非易失性存储器12,控制器6具备主总线接口8和边带接口10。车载ECU20也同样地,具备主总线接口22和边带接口24。
车载安全存储系统2作为高速串行接口而利用PCIe,车载ECU20的主总线接口22以及存储装置4的主总线接口8连接于PCIe总线14。PCIe总线14也与依据WiFi(注册商标)等的外部通信模块18连接,因此车载安全存储系统2能够经由外部通信模块18,例如进行外部的云存储与数据通信。
此外,车载ECU20的边带接口24和存储装置4的边带接口10经由边带用总线(SD总线)16来连接,进行数据通信。
存储装置4中的非易失性存储器12被分割为多个逻辑区域。进一步地,非易失性存储器12通过控制器6,针对数据的输入、输出以及保存进行控制。
存储装置4中的控制器6进行与数据向非易失性存储器12的输入、输出以及保存有关的控制。因此,如后面说明那样,控制器6也进行向非易失性存储器12的不正当访问的检查、非易失性存储器12中的不良情况的检查。另外,存储装置4例如是SD卡等的信息记录介质。
车载安全存储系统2作为周边设备,具备室内灯26、监视器28、话筒30以及扬声器32,车载ECU20与这些周边设备连接。室内灯26是车辆内的照明装置,通过照明的闪烁、颜色变更等的形式来表示车载ECU20应向驾驶员传递的信号、消息。监视器28通过图像的形式来表示车载ECU20应向驾驶员传递的信号、消息。并且,驾驶员通过对监视器28的画面的简单操作,将信息输入到车载ECU20。扬声器32通过声音的形式,表示车载ECU20应向驾驶员传递的信号、消息。此外,驾驶员接受来自扬声器32的声音,通过向话筒30的简单的发声,将信息输入到车载ECU20。
[1.2.车载安全存储系统的动作]
[1.2.1.车载安全存储系统中的预先处理]
图2是本实施方式所涉及的车载安全存储系统2中的预先处理的流程图。预先处理典型地,在车载安全存储系统2出厂前开始(步骤S02)。在预先处理中,首先,进行存储装置4的初始化处理(步骤S04)。存储装置4的初始化处理包含控制器6生成逻辑物理转换表并保存于控制器6内的RAM(未图示)的处理,所述逻辑物理转换表表示非易失性存储器12的物理地址与作为主机的车载ECU访问时的逻辑地址的关系。
接下来,车载ECU20判断是否在非易失性存储器12上追加逻辑区域(步骤S08)。若追加逻辑区域(步骤S08/是),则作为主机的车载ECU20指定所需的尺寸并对存储装置4的控制器6指示区域确保(步骤S10)。存储装置4的控制器6确保被指定的尺寸,将该逻辑区域的区域ID通知给作为主机的车载ECU20(步骤S12)。
只要需要在非易失性存储器12上追加逻辑区域(步骤S08/是),则重复步骤S10和步骤S12。若不需要在非易失性存储器12上追加逻辑区域(步骤S08/否),则将保存于控制器6内的逻辑物理转换表记录于非易失性存储器12后,预先处理结束(步骤S14)。
[1.2.2.车载安全存储系统中的不正当访问检查处理]
图3是包含本实施方式所涉及的车载安全存储系统2中的不正当访问检查处理的基本处理的流程图。若基本处理开始(步骤S20),则首先进行存储装置4的初始化处理(步骤S22)。存储装置4中的非易失性存储器12逻辑上具有一个以上的区域(逻辑区域),因此,在初始化处理中,设定为进行适合于各个区域的控制。
在包含不正当访问检查处理的基本处理中,反复确认基本处理是否结束(步骤S24),若未结束(步骤S24/否),则反复确认是否存在从车载ECU20向存储装置4的访问(步骤S26)。该步骤S26以如下方式进行,即:在存储装置4的控制器6中,确认是否从车载ECU20发送来用于访问非易失性存储器12的命令。
在基本处理中,在存在从车载ECU20向存储装置4的访问的情况下(步骤S26/是),存储装置4的控制器6通过解析来进行不正当访问检查(步骤S28)。在基本处理中判断为不存在不正当访问的情况下(步骤S30/否),接下来等待下个访问的发生。在基本处理中判断为存在不正当访问的情况下(步骤S30/是),存储装置4的控制器6以及车载ECU20进行与不正当访问相应的处理(步骤S32)。这里,后面使用图5来对“不正当访问检查”(步骤S28)以及“与不正当访问相应的处理”(步骤S32)的详细进行说明。
若基本处理结束(步骤S24/是),则处理的整体结束(S34)。
[1.2.3.车载安全存储系统中的不良情况检查处理]
图4是本实施方式所涉及的车载安全存储系统2中的不良情况检查处理的流程图。车载安全存储系统2在基本处理时执行图3所示的不正当访问检查处理。并且,车载安全存储系统2以基于定时器的中断或者来自作为主机的车载ECU20的访问为触发,开始图4所示的不良情况检查处理的执行(步骤S40)。
存储装置4的控制器6首先获取非易失性存储器12上的逻辑区域的数量Num=X(步骤S42)。若不存在逻辑区域(即,为零)(步骤S44/否),则不良情况检查处理结束(步骤S60),但若存在逻辑区域(步骤S44/是),则存储装置4的控制器6使区域计数C递增(步骤S46)。另外,所谓不存在逻辑区域的情况,举例非易失性存储器12切断控制器6的访问的情况等。若区域计数C未超过Num(逻辑区域的数量)(步骤S48/否),则存储装置4的控制器6检查(即,确认)第C个逻辑区域内是否存在不良情况(即,异常)(步骤S50)。
若在不良情况检查处理中判断为不存在不良情况(步骤S52/否),则重复区域计数C的递增处理(步骤S46)以后。若在不良情况检查处理中判断为存在不良情况(步骤S52/是),则实施与不良情况相应的处理(步骤S54)。与不良情况相应的处理包含恢复、通知、对驾驶员的指示等。
步骤S54之后,不良情况检查处理也可以直接结束(步骤S60)。此外,步骤S54之后,如图4的流程图中虚线以及箭头所示,不良情况检查处理也可以返回到就在区域计数C的递增处理(步骤S46)之前。该情况下,不良情况检查处理反复区域计数C的递增处理(步骤S46)以后。因此,实施针对全部区域的不良情况的有无的确认处理(步骤S50)以及判断为存在不良情况的情况(步骤S52/是)下的与不良情况相应的处理(步骤S54)。
若区域计数C超过Num(逻辑区域的数量)(步骤S48/是),则不良情况检查处理结束(步骤S60)。
[1.2.4.关于不正当访问以及不良情况的检查的种类以及对应的处理]
使用图5的一览表,来对使用图3以及图4而表示处理的流程的不正当访问以及不良情况的检查的具体的种类以及与其对应的处理的具体动作进行说明。另外,以下说明的不正当访问以及不良情况的检查的种类以及对应的处理的动作是示例,并不限定于以下的情况。
[1.2.4.0.前提]
在对不正当访问以及不良情况的检查的具体种类以及与其对应的处理的具体动作进行说明的过程中,首先表示控制器6中的对与非易失性存储器12的每个区域的主机有关的信息进行保持的表的内容。
控制器6按照非易失性存储器12的每个区域,保持定义了以下内容的表:
(1)可访问的主机
(2)在主机是可访问的情况下,可使用的操作(写操作、读操作、复制操作、移动操作、擦除操作)
(3)在通过区域外访问而访问的情况下,表示是否能够将其他区域作为可写入区域而追加的信息
(4)表示自身是否记录与自动驾驶相关的数据(自动驾驶用区域)的信息
(5)表示可访问的应用的属性(应用ID)的信息。
[1.2.4.1.访问区域违反]
作为第1不正当访问的种类,举例“访问区域违反”。“访问区域违反”被定义为从主机向不容许访问的区域的访问。其内容的一个例子是,来自主机的操作中的区域ID或者开始地址不正确。控制器6通过对作为操作对象的区域ID或者由开始地址表现的非易失性存储器12的区域、和命令发布源的主机进行比较,来检测有无访问区域违反。
在产生了访问区域违反的情况下,存储装置4的控制器6进行如下应对,即:包含容许的区域地,将来自相应的主机的访问全部禁止。另外,关于应对,并不局限于上述的内容。例如存储装置4的控制器6也可以仅禁止基于来自进行了该访问区域违反的主机的写操作的访问。
在产生了访问区域违反的情况下,存储装置4的控制器6以操作错误的这一形式,通知给主机。
[1.2.4.2.访问模式违反]
作为第2不正当访问的种类,举例“访问模式违反”。“访问模式违反”被定义为,包含可执行的操作以外的命令对被限定可执行的操作的区域的访问。该内容的一个例子是,来自主机的命令即操作、区域ID或者开始地址不正确。
在产生了访问模式违反的情况下,存储装置4的控制器6进行禁止该操作的应对。进一步地,在同样的访问连续的情况下,存储装置4的控制器6进行如下应对,即:暂时将该区域设为不可访问,并且通过对主机传递访问模式违反的内容,从而请求主机侧的对应。被请求对应的主机基于访问模式违反的内容进行如下处理:确定进行该访问的应用,限制该应用的动作等的处理。
存储装置4的控制器6以操作错误的这一形式,通知给主机。
[1.2.4.3.不正当数据篡改]
作为第3不正当访问的种类,举例“不正当数据篡改”。“不正当数据篡改”被定义为,对特定的区域进行不正当的数据篡改的情况。在此,数据检查的方法被预先存储于存储装置4的控制器6。“不正当数据篡改”的内容通过预先存储的数据检查的方法而判断为篡改。
存储装置4的控制器6进行如下应对,即:保护现状的非易失性存储器12上的数据,将存在该访问的情况通知给主机,对主机请求数据的再检查。
存储装置4的控制器6以命令错误的这一形式,或者中断的这一形式,通知给主机。
[1.2.4.4.不正当写入]
作为第4不正当访问的种类,举例“不正当写入”。“不正当写入”被定义为,对特定的区域发生了不正当的写入的情况。在此,应该写入数据的属性以及内容(地址,数据类型等)按照非易失性存储器12的每个区域而被预先存储于存储装置4的控制器6。“不正当写入”的内容是写入数据的属性以及内容不是预先存储的应该写入的数据的属性以及内容。
在产生了不正当写入的情况下,存储装置4的控制器6作为应对的一个例子,进行如下应对,即:对写入的数据赋予符号,将该数据被写入的区域设为只读区域,进一步地,将该区域设为只读直到之后从主机送来解除命令。对写入的数据赋予符号例如是为了之后主机容易找到该数据。
存储装置4的控制器6以针对操作的响应这一形式,或者中断这一形式,将操作错误通知给主机。
[1.2.4.5.区域外写入访问]
作为第5不正当访问的种类,举例“区域外写入访问”。“区域外写入访问”被定义为,向对指定的区域ID设定的区域外的访问。作为该内容的一个例子,例如举例与区域ID1的地址被定义为0号地址至2000号地址无关地,向区域ID1的写操作从2001号地址开始的情况等。
在产生区域外写入访问的情况、并且通过区域外写入访问而访问的情况下表示能否将其他区域作为可写入区域而追加的信息为“可追加”的情况下,存储装置4的控制器6进行如下应对,即:在非易失性存储器内自动地确保新的区域,追加为连续区域。
存储装置4的控制器6将扩展了区域这一情况通知给主机。
[1.2.4.6.连续访问模式违反]
作为第6不正当访问的种类,举例“连续访问模式违反”。“连续访问模式违反”被定义为,进行了规定次数以上的访问模式违反的访问的情况。作为连续访问模式违反的一个例子,举例检测到对预先指定为只读的规定的地址写入规定的数据的处理连续了规定次数的情况。
若产生连续访问模式违反,则存储装置4的控制器6进行如下应对,即:暂时将只读模式解除,设为可写入直到对规定的地址写入规定的数据,若对规定的地址写入规定的数据则返回到只读。换言之,控制器6进行利用了访问模式违反的访问模式的切换。能否进行这样的应对可以按照每个区域而设定,也可以对整个区域进行这样的应对。
存储装置4的控制器6通过命令响应来向主机通知应对是成功还是失败。
[1.2.4.7.向自动驾驶用区域的不正当访问]
作为第7不正当访问的种类,举例“向自动驾驶用区域的不正当访问”。“向自动驾驶用区域的不正当访问”被定义为,检测到在自动驾驶用区域存在不正当访问的情况。该内容的一个例子是,写操作是针对自动驾驶用区域,并且从容许访问的应用(例:自动驾驶程序更新应用)以外的应用进行。
在产生了向自动驾驶用区域的不正当访问的情况下,存储装置4的控制器6进行如下处理,即:将对应的自动驾驶用区域的一部分或者全部设为无效,或者将自动驾驶的功能中止或者一部分限制。进一步地,存储装置4的控制器6进行如下应对,即:将中止自动驾驶、或者限制一部分的功能通告给主机。接受该通告,车载ECU20中止自动驾驶,或者限制一部分的功能。
存储装置4的控制器6以中断这一形式,通知给主机。
[1.2.4.8.致命的故障的检测]
作为步骤S52中检测的第1不良情况(异常)的种类,举例“致命的故障的检测”。“致命的故障的检测”被定义为,在各区域产生致命的错误并判断为不能进行存储内的自动恢复的故障的检测、换句话说、判断为不可能进行车载安全存储系统内的自动恢复的故障的检测。作为该内容的一个例子,在不良情况检查(参照图4)的步骤S54中,尽管尝试了恢复,但是不能进行恢复。
若产生致命的故障的检测,则存储装置4的控制器6将从主机向非易失性存储器12的访问全部或者一部分切断,并且将发生了致命的故障通知给主机。接受该通知,作为主机的车载ECU20使用外部通信模块18具备的外部通信功能,通知给外部的服务中心。
存储装置4的控制器6以响应这一形式、或者中断这一形式,将操作错误通知给主机。
[1.2.4.9.区域异常的检测]
作为步骤S52中检测的第2不良情况(异常),举例“区域异常的检测”。“区域异常的检测”被定义为,根据数据破坏、硬件错误等的检测,控制器6判断为产生了区域异常的情况。该内容是基于不良情况检查(参照图4)的不良情况检测。
产生了区域异常的检测的情况下,控制器6作为步骤S54的处理而实施下述的处理的任一者或者全部。
[1]存储装置4的控制器6发出指示,切换为相应的区域的缓冲区域。该缓冲区域被预先准备。存储装置4的控制器6将切换通知给作为主机的车载ECU20。
存储装置4的控制器6将进行区域的切换这一应对以中断等的形式通知给主机。
[2]此外,存储装置4的控制器6也可能进行损坏的卷(volume)的恢复。该恢复使用预先构成的RAID而进行。存储装置4的控制器6将恢复通知给作为主机的车载ECU20。
存储装置4的控制器6将进行了恢复这一应对以中断等的形式通知给主机。
[3]此外,存储装置4的控制器6在非易失性存储器12内部自动地分散记录数据,并且,也可能从其他区域部分自动恢复产生了故障的区域。存储装置4的控制器6将自动地分散记录数据、以及从其他区域部分自动地恢复产生了故障的区域通知给作为主机的车载ECU20。另外,在非易失性存储器12内部自动地分散记录数据时也可以使用秘密分散技术。
存储装置4的控制器6将进行了数据的分散记录以及恢复这一应对以中断等的形式通知给主机。
[4]进一步地,存储装置4的控制器6电可能使用外部通信模块18具备的外部通信功能,从外部的服务中心的服务器下载产生了故障的区域的数据,从而进行恢复。存储装置4的控制器6将恢复通知给作为主机的车载ECU20。
存储装置4的控制器6将进行了恢复这一应对以中断等的形式通知给主机。
[1.2.4.10.部分的致命的故障的检测]
作为步骤S52中检测的第3不良情况(异常),举例“部分的致命的故障的检测”。“部分的致命的故障的检测”被定义为,在“致命的故障的检测”内,也在特定的区域产生致命的错误,不能进行存储内的自动恢复的情况。换句话说,所谓作为第3不良情况(异常)的“部分的致命的故障的检测”,是指作为第1不良情况(异常)的对象的致命的故障之中、与非易失性存储器的特定的功能有关的特定的区域所涉及的故障的检测。
产生了部分的致命的故障的检测的内容和部分的致命的故障的检测的情况下,控制器6进行的步骤S54的处理是下述之中的一个或者全部。
[1]在存储装置4中的车载导航系统使用的区域以外,产生了致命的故障的情况下,存储装置4的控制器6将可使用的功能是与导航有关的功能通知给作为主机的车载ECU20。接受该通知,作为主机的车载ECU20在监视器28显示向最靠近的修理工厂的引导并将车辆1引导至修理工厂。进一步地,存储装置4的控制器6对车载ECU20,要求使用外部通信模块18具备的外部通信功能来通知给外部的服务中心。
存储装置4的控制器6以中断的形式通知给主机。
[2]在存储装置4中的车载导航系统使用的区域,产生了致命的故障的情况下,存储装置4的控制器6将在车载导航系统使用的区域产生了致命的故障通知给作为主机的车载ECU20。接受该通知,作为主机的车载ECU20从非易失性存储器12中的缓冲区域,读取向最靠近的修理工厂的导航信息,显示于监视器28,通过自动驾驶来将车辆1引导至修理工厂。进一步地,存储装置4的控制器6对车载ECU20,请求使用外部通信模块18具备的外部通信功能,通知给外部的服务中心。
存储装置4的控制器6以中断的形式通知给主机。
[3]在存储装置4中的ADAS(Advanced driver-assistance systems:先进驾驶支援系统)使用的区域,产生了致命的故障的情况下,存储装置4的控制器6将不能使用ADAS通知给作为主机的车载ECU20。接受该通知,作为主机的车载ECU20使用映于监视器28的图像、从扬声器32输出的声音、或者室内灯26的闪烁、颜色变更或明亮度变更,将不能使用ADAS通知给驾驶员。进一步地,作为主机的车载ECU20通过自动驾驶来将车辆1引导至最靠近的修理工厂。或者,作为主机的车载ECU20在监视器28显示向最靠近的修理工厂的引导,通过手动驾驶来将车辆1引导至最靠近的修理工厂。进一步地,存储装置4的控制器6使用外部通信模块18具备的外部通信功能,对车载ECU20请求通知给外部的服务中心。
存储装置4的控制器6以中断的形式通知给主机。
[1.2.5.车载ECU从存储装置接受与不正当访问、不良情况有关的通知的情况下的车载ECU以及周边设备的动作]
对车载ECU20从存储装置4接受与不正当访问、不良情况有关的通知的情况下的车载ECU20以及周边设备的动作进行说明。
[1.2.5.1.监视器的动作]
对监视器28的动作进行说明。监视器28根据来自车载ECU20的指示,使用文字信息/图标等,显示针对驾驶员的注意或者警告。此外,监视器28对是否需要基于驾驶员的紧急的对应、以及与驾驶员的操作、行动有关的建议进行显示。
监视器28也可以根据显示的信息的内容,切换画面的颜色、明亮度。
监视器28也可以在包含存储装置4的车载系统需要修理的情况下,通过车载导航系统,显示向修理工厂等最靠近的修理作业实施设施进行引导的画面。此外,监视器28也可以在基于车载导航系统的画面,显示向指示道路服务提供者、汽车经销商或者服务中心等的致电。
监视器28也可以经由画面操作接受基于驾驶员的输入。基于驾驶员的输入例如是画面显示是与警告、注意有关的驾驶员的指示。例如,驾驶员经由监视器28的画面,对故障发生的警告画面输入“立刻去往修理工厂”。此外,例如,驾驶员经由监视器28的画面,对故障发生的注意画面输入“后天去往修理工厂”。
[1.2.5.2.扬声器以及话筒的动作]
对扬声器32以及话筒30的动作进行说明。扬声器32通过发生来向驾驶员通知显示于监视器28的信息。扬声器32优选通过被指定的言语,将信息通知给驾驶员。进一步地,优选扬声器32构成为从多个语言选择被指定的言语。
话筒30也可以接受基于驾驶员的声音的输入。在此的基于驾驶员的声音的输入例如是通过扬声器32来通知给驾驶员的与信息有关的驾驶员的指示。例如,驾驶员经由话筒30,通过声音来对故障发生的警告的声音信息输入“立刻去往修理工厂”。此外,例如,驾驶员经由话筒30,通过声音来对故障发生的注意的声音信息输入“后天去往修理工厂”。
[1.2.5.3.室内灯的动作]
对室内灯26的动作进行说明。为了不擅长基于听觉的听取的驾驶员,室内灯26通过照明的闪烁、颜色变更或者明亮度变更,通知注意或者警告。根据故障的位置、内容,室内灯26也可以构成为改变颜色,或者改变闪烁的间隔,或者改变明亮度。由此,驾驶员能够识别不正当访问、不良情况的内容,设为之后的具体的驾驶操作、行动的选择的指针。
[1.3.总结]
本实施方式所涉及的车载安全存储系统2具有:具有控制器6、非易失性存储器12以及接口(8、10)的存储装置4;以及电子地进行车辆1的控制的电子控制单元20。控制器6若判断为对非易失性存储器12产生不正当访问或者不良情况之后,根据不正当访问或者不良情况的种类,进行规定的处理。
通过这样构成,车载安全存储系统2能够简单并且迅速地检测向存储装置4的不正当访问或者存储装置4的不良情况,能够适当地利用其检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,控制器6对从电子控制单元20接收的命令进行解析,解析的结果,在判断为针对非易失性存储器12的命令是不正当访问的情况下,进行与不正当访问对应的规定的处理。
通过这样构成,车载安全存储系统2能够简单并且迅速地检测向存储装置4的不正当访问,能够适当地利用其检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,非易失性存储器12被分割为多个逻辑区域。控制器6以基于定时器的中断、或者来自电子控制单元20的通信为触发,按照多个逻辑区域的每个来确认不良情况的有无,确认的结果,在判断为存在不良情况的情况下,进行与不良情况对应的规定的处理。
通过这样构成,车载安全存储系统2能够简单并且迅速地检测存储装置4的不良情况,能够适当地利用其检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,与不正当访问对应的规定的处理、以及与不良情况对应的规定的处理是向电子控制单元的通知。
通过这样构成,车载安全存储系统2能够简单并且迅速地检测向存储装置4的不正当访问或者存储装置4的不良情况,能够适当地利用其检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问的种类是访问区域违反、访问模式违反、不正当数据篡改、不正当写入、区域外写入访问、连续访问模式违反以及向自动驾驶用区域的不正当访问之中的任一者。
通过这样构成,车载安全存储系统2能够简单并且迅速地检测向存储装置4的不正当访问。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问是访问区域违反,与不正当访问对应的规定的处理是将来自电子控制单元的访问全部禁止。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问是访问模式违反,与不正当访问对应的规定的处理是将与访问模式对应的操作禁止。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问是不正当数据篡改,与不正当访问对应的规定的处理是对非易失性存储器12上的现状的数据进行保护、将存在该不正当访问通知给电子控制单元20、对电子控制单元20要求数据的再检查。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问是不正当写入,与不正当访问对应的规定的处理是对被写入的数据赋予符号、将该数据被写入的区域设为只读区域、进一步地、将该区域设为只读直到之后从主机到来解除命令为止。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,在产生了区域外写入访问的情况、并且由于区域外写入访问而被访问的情况下将其他区域设为可写入区域且表示可否追加的信息是可追加的情况下,不正当访问是区域外写入访问,与不正当访问对应的规定的处理是在非易失性存储器12内自动地确保新的区域并追加为连续区域。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问是连续访问模式违反,与不正当访问对应的规定的处理是将只读模式暂时解除、设为可写入直到对规定的地址写入规定的数据为止、若对规定的地址写入规定的数据则返回到只读。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不正当访问是向自动驾驶用区域的不正当访问,与不正当访问对应的规定的处理是进行将对应的自动驾驶用区域的部分或者全部设为无效、或者将自动驾驶的功能中止或者一部分限制的处理、进一步地、向主机通告将自动驾驶中止或者将一部分的功能限制。
通过这样构成,车载安全存储系统2能够适当地利用向存储装置4的不正当访问的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不良情况的种类是,判断为车载安全存储系统内的自动恢复不可能的故障的故障即致命的故障的检测、区域异常的检测、以及致命的故障之中与非易失性存储器的特定的功能所涉及的特定的区域有关的故障的检测之中的任一者。
通过这样构成,车载安全存储系统2能够简单并且迅速地检测存储装置4的不良情况。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不良情况是所述致命的故障的检测,与不良情况对应的规定的处理是将从主机向非易失性存储器12的访问全部或者一部分切断。
通过这样构成,车载安全存储系统2能够适当地利用存储装置4的不良情况的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不良情况是区域异常的检测,与不良情况对应的规定的处理是切换为对应的区域的缓冲区域。
通过这样构成,车载安全存储系统2能够适当地利用存储装置4的不良情况的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,不良情况是所述致命的故障之中与非易失性存储器的特定的功能所涉及的特定的区域有关的故障的检测,与不良情况对应的规定的处理是对电子控制单元20要求通过外部通信而通知给外部的服务中心。
通过这样构成,车载安全存储系统2能够适当地利用存储装置4的不良情况的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,电子控制单元20与监视器28连接。电子控制单元20若接受通知,则在监视器28的画面显示注意或者警告。
通过这样构成,车载安全存储系统2能够适当地利用与向存储装置4的不正当访问或者存储装置4的不良情况有关的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,电子控制单元20与扬声器32以及话筒30连接。电子控制单元20若接受通知,则使扬声器32说出与注意或者警告有关的信息,通过话筒30来接受基于声音的输入。
通过这样构成,车载安全存储系统2能够适当地利用与向存储装置4的不正当访问或者存储装置4的不良情况有关的检测结果。
进一步地,在本实施方式所涉及的车载安全存储系统2中,电子控制单元20与室内灯26连接。电子控制单元20若接受通知,则进行室内灯26的闪烁、颜色变更或者明亮度的变更。
通过这样构成,车载安全存储系统2能够适当地利用与向存储装置4的不正当访问或者存储装置4的不良情况有关的检测结果。
(其他实施方式)
如以上那样,作为本申请中公开的技术示例,说明了实施方式1。但是,本公开中的技术并不局限于此,也能够应用于适当进行了变更、置换、附加、省略等的实施方式。例如,在本实施方式中,非易失性存储器12不是必须分割为多个逻辑区域也不是必须被分割。换句话说,非易失性存储器12也可以仅具有单数的逻辑区域。此外,主总线接口8、外部通信模块18以及/或者主总线接口22之间的连接也可以不是使用了PCIe等的总线连接,而设为使用了以太网(注册商标)等的网络连接。此外,在本实施方式中,从控制器6向主机的通知以针对操作的响应或者中断的形式而进行,但控制器与主机之间的信息授受的方式并不局限于此。换句话说,也可以构成为取代控制器6向主机通知,而将该应通知的内容作为日志而记载于非易失性存储器12内的规定的区域,主机自己读取该规定的区域,从而主机能够检测由于不正当访问、不正当访问而产生的数据篡改、系统的不良情况。通过这样构成,车载安全存储系统2能够适当地利用与向存储装置4的不正当访问或者存储装置的不良情况有关的检测结果。
此外,为了说明实施方式,提供了附图以及详细的说明。因此,附图以及详细的说明中所述的结构要素之中,不仅包含为了课题解决所必须的结构要素,也包含为了示例上述技术而并非为了课题解决所必须的结构要素。因此,这些非必须的结构要素记载于附图、详细的说明,但不应直接认定为这些非必须的结构要素是必须的。
此外,上述的实施方式用于示例本公开中的技术,因此在权利要求书或者其等同的范围内能够进行各种变更、置换、附加、省略等。
产业上的可利用性
本发明能够在车载存储系统、特别是搭载自动驾驶系统的汽车中的车载存储系统中利用。
-符号说明-
1...车辆,2...车载安全存储系统,4...存储装置,6...控制器,8...主总线接口,10...边带接口,12...非易失性存储器,14...PCIe总线,16...边带用总线(SD总线),18...外部通信模块,20...电子控制单元,22...主总线接口,24...边带接口,26...室内灯,28...监视器,30...话筒,32...扬声器。

Claims (20)

1.一种车载安全存储系统,具有:存储装置,具备控制器、非易失性存储器以及接口;以及电子控制单元,电子地进行车辆的控制,
所述控制器在判断为对所述非易失性存储器产生了不正当访问或者不良情况之后,根据所述不正当访问或者不良情况的种类,进行规定的处理。
2.根据权利要求1所述的车载安全存储系统,其中,
所述控制器对从所述电子控制单元接收的命令进行解析,在所述解析的结果判断为针对所述非易失性存储器的命令是不正当访问的情况下,进行与所述不正当访问对应的规定的处理。
3.根据权利要求1所述的车载安全存储系统,其中,
所述非易失性存储器被分割为多个逻辑区域,
所述控制器以基于定时器的中断、或者来自所述电子控制单元的通信为触发,按所述多个逻辑区域的每个逻辑区域来确认有无不良情况,在所述确认的结果判断为存在不良情况的情况下,进行与不良情况对应的规定的处理。
4.根据权利要求2或者3所述的车载安全存储系统,其中,
与所述不正当访问对应的规定的处理、以及与所述不良情况对应的规定的处理是向所述电子控制单元的通知。
5.根据权利要求2或者3所述的车载安全存储系统,其中,
与所述不正当访问对应的规定的处理、以及与所述不良情况对应的规定的处理是将向所述电子控制单元的通知内容记录于所述非易失性存储器并设定为能够从所述电子控制单元读取并访问。
6.根据权利要求2所述的车载安全存储系统,其中,
所述不正当访问的种类是访问区域违反、访问模式违反、不正当数据篡改、不正当写入、区域外写入访问、连续访问模式违反以及向自动驾驶用区域的不正当访问之中的任一者。
7.根据权利要求6所述的车载安全存储系统,其中,
所述不正当访问是访问区域违反,
与所述不正当访问对应的规定的处理是将来自所述电子控制单元的访问全部禁止。
8.根据权利要求6所述的车载安全存储系统,其中,
所述不正当访问是访问模式违反,
与所述不正当访问对应的规定的处理是将与访问模式对应的操作禁止。
9.根据权利要求6所述的车载安全存储系统,其中,
所述不正当访问是不正当数据篡改,
与所述不正当访问对应的规定的处理是:对所述非易失性存储器上的现状的数据进行保护,将存在该不正当访问通知给所述电子控制单元,对所述电子控制单元请求数据的再检查。
10.根据权利要求6所述的车载安全存储系统,其中,
所述不正当访问是不正当写入,
与所述不正当访问对应的规定的处理是:对被写入的数据赋予符号,将该数据被写入的区域设为只读区域,进一步地将该区域设为只读直到之后从主机发来解除命令为止。
11.根据权利要求6所述的车载安全存储系统,其中,
在产生了区域外写入访问的情况、并且由于区域外写入访问而被访问的情况下将其他区域设为可写入区域且表示可否追加的信息是可追加的情况下,
所述不正当访问是区域外写入访问,
与所述不正当访问对应的规定的处理是在所述非易失性存储器内自动地确保新的区域并追加为连续区域。
12.根据权利要求6所述的车载安全存储系统,其中,
所述不正当访问是连续访问模式违反,
与所述不正当访问对应的规定的处理是:将只读模式暂时解除,设为可写入直到对规定的地址写入规定的数据为止,若对规定的地址写入规定的数据则返回到只读。
13.根据权利要求6所述的车载安全存储系统,其中,
所述不正当访问是向自动驾驶用区域的不正当访问,
与所述不正当访问对应的规定的处理是:进行将相应的自动驾驶用区域的一部分或者全部设为无效、或者将自动驾驶的功能中止或者一部分限制的处理,进一步地向主机通告将自动驾驶中止、或者将一部分的功能限制的这一情况。
14.根据权利要求3所述的车载安全存储系统,其中,
所述不良情况的种类是:判断为是所述车载安全存储系统内的不能自动恢复的故障的故障即致命的故障的检测、区域异常的检测、以及所述致命的故障之中与所述非易失性存储器的特定的功能所涉及的特定的区域有关的故障的检测之中的任一者。
15.根据权利要求14所述的车载安全存储系统,其中,
所述不良情况是所述致命的故障的检测,
与所述不良情况对应的规定的处理是将从主机向所述非易失性存储器的访问全部或者一部分切断。
16.根据权利要求14所述的车载安全存储系统,其中,
所述不良情况是区域异常的检测,
与所述不良情况对应的规定的处理是切换至相应的区域的缓冲区域。
17.根据权利要求14所述的车载安全存储系统,其中,
所述不良情况是所述致命的故障之中与所述非易失性存储器的特定的功能所涉及的特定的区域有关的故障的检测,
与所述不良情况对应的规定的处理是对所述电子控制单元请求通过外部通信向外部的服务中心进行通知。
18.根据权利要求4所述的车载安全存储系统,其中,
所述电子控制单元与监视器连接,
所述电子控制单元若接受所述通知,则在所述监视器的画面显示注意或者警告。
19.根据权利要求4所述的车载安全存储系统,其中,
所述电子控制单元与扬声器以及话筒连接,
所述电子控制单元若接受所述通知,则使所述扬声器发声与注意或者警告相关的信息,通过所述话筒来接受基于声音的输入。
20.根据权利要求4所述的车载安全存储系统,其中,
所述电子控制单元与室内灯连接,
所述电子控制单元若接受所述通知,则进行所述室内灯的闪烁、颜色变更、或者明亮度的变更。
CN202080050594.0A 2019-07-12 2020-06-26 车载安全存储系统 Pending CN114127726A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019129761 2019-07-12
JP2019-129761 2019-07-12
PCT/JP2020/025349 WO2021010143A1 (ja) 2019-07-12 2020-06-26 車載セキュアストレージシステム

Publications (1)

Publication Number Publication Date
CN114127726A true CN114127726A (zh) 2022-03-01

Family

ID=74210643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080050594.0A Pending CN114127726A (zh) 2019-07-12 2020-06-26 车载安全存储系统

Country Status (5)

Country Link
US (1) US11983304B2 (zh)
EP (1) EP3989075B1 (zh)
JP (1) JP7246032B2 (zh)
CN (1) CN114127726A (zh)
WO (1) WO2021010143A1 (zh)

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4345119B2 (ja) * 1998-12-24 2009-10-14 株式会社デンソー 車載電子制御ユニットと同電子制御ユニットの交換方法
JP4065790B2 (ja) * 2003-01-17 2008-03-26 三菱電機株式会社 車載電子制御装置
JP3969494B2 (ja) * 2004-08-31 2007-09-05 三菱電機株式会社 車載電子制御装置
JP4817836B2 (ja) 2004-12-27 2011-11-16 株式会社東芝 カードおよびホスト機器
JP4775969B2 (ja) * 2007-09-03 2011-09-21 ルネサスエレクトロニクス株式会社 不揮発性記憶装置
JP2009199515A (ja) * 2008-02-25 2009-09-03 Hitachi Ltd 車両制御装置
JP4458179B2 (ja) * 2008-03-27 2010-04-28 トヨタ自動車株式会社 故障検出装置、故障検出システム、故障検出方法
JP4414470B1 (ja) * 2008-10-10 2010-02-10 本田技研工業株式会社 車両の故障診断のための基準値の生成
JP2011231698A (ja) * 2010-04-28 2011-11-17 Suzuki Motor Corp 車載電子制御装置
JP5206737B2 (ja) * 2010-06-11 2013-06-12 株式会社デンソー 電子制御装置及び情報管理システム
WO2012160668A1 (ja) * 2011-05-25 2012-11-29 トヨタ自動車株式会社 車両通信装置
KR102017828B1 (ko) 2012-10-19 2019-09-03 삼성전자 주식회사 보안 관리 유닛, 상기 보안 관리 유닛을 포함하는 호스트 컨트롤러 인터페이스, 상기 호스트 컨트롤러 인터페이스의 동작 방법, 및 상기 호스트 컨트롤러 인터페이스를 포함하는 장치들
KR101600460B1 (ko) * 2013-06-17 2016-03-08 한국산업기술대학교산학협력단 보안기능을 갖는 ecu 업그레이드시스템 및 그 방법
KR20150022329A (ko) * 2013-08-23 2015-03-04 주식회사 만도 자동차 고장 정보 저장 장치 및 방법
JP6028709B2 (ja) * 2013-10-18 2016-11-16 ソニー株式会社 記憶制御装置、記憶装置、情報処理システムおよびその記憶制御方法
JP2016203719A (ja) * 2015-04-17 2016-12-08 株式会社デンソー メモリ管理装置、認証センタ、および認証システム
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP6585113B2 (ja) * 2017-03-17 2019-10-02 株式会社東芝 データ格納装置
JP6723955B2 (ja) 2017-05-12 2020-07-15 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法
US10331578B2 (en) 2017-06-09 2019-06-25 Intel Corporation Fine-grained access host controller for managed flash memory
CN110754068A (zh) * 2017-06-14 2020-02-04 住友电气工业株式会社 车外通信装置、通信控制方法和通信控制程序
US10712976B2 (en) * 2017-10-02 2020-07-14 Western Digital Technologies, Inc. Storage protection unit
JP7029366B2 (ja) * 2018-08-30 2022-03-03 日立Astemo株式会社 自動車用電子制御装置
CN113597545A (zh) * 2019-03-15 2021-11-02 Tvs电机股份有限公司 用于车辆的便携式无线连接诊断系统
CN112905207A (zh) * 2021-03-16 2021-06-04 深圳市轱辘车联数据技术有限公司 Ecu数据刷写方法、ecu数据刷写装置、车载终端及介质
CN115096604A (zh) * 2022-06-16 2022-09-23 北斗星通智联科技有限责任公司 一种车辆故障状态检测方法及装置

Also Published As

Publication number Publication date
EP3989075B1 (en) 2023-10-25
EP3989075A1 (en) 2022-04-27
WO2021010143A1 (ja) 2021-01-21
JPWO2021010143A1 (zh) 2021-01-21
US11983304B2 (en) 2024-05-14
US20220138353A1 (en) 2022-05-05
EP3989075A4 (en) 2022-08-17
JP7246032B2 (ja) 2023-03-27

Similar Documents

Publication Publication Date Title
EP3523169B1 (en) Systems and methods for handling a vehicle ecu malfunction
US20200079392A1 (en) Automatic Driving System, Fault Alarm Method and Device
CN107402847A (zh) 一种整车控制器软件的远程升级方法及系统
US9205809B2 (en) Vehicle unit and method for operating the vehicle unit
CN105501227A (zh) 道路紧急激活
US20220052871A1 (en) Vehicle control system, vehicle control method, and non-transitory computer-readable medium in which vehicle control program is stored
CN112181459B (zh) 一种cpld升级优化方法及系统
KR101027415B1 (ko) 차량용 운영체제의 관리 시스템, 관리 방법 및 오류 검출 방법
WO2023246265A1 (zh) 一种液晶仪表系统用车辆故障报警方法及系统
US20220171855A1 (en) Electronic control device and security verification method for electronic control device
US9214045B1 (en) Flash memory express erase and program
JP2013009370A (ja) 車両ネットワーク用の安全なデータストア
CN114127726A (zh) 车载安全存储系统
US20220250655A1 (en) Mobility control system, method, and program
KR20090000008A (ko) 차량진단시 진단단말기간의 충돌방지 시스템 및 그 방법
JP2013171467A (ja) 情報処理装置、車両用電子制御装置、データ読み書き方法
US9779059B2 (en) Commercial vehicle, in particular fork-lift truck or industrial truck, with a data memory that is rigidly attached on the vehicle side and assigned to a parameterisable electronic control arrangement
KR101683655B1 (ko) 차량용 운영 체제의 복구 방법 및 이를 위한 장치
CN114489509A (zh) 行车记录仪的视频存储方法、装置、电子设备及存储介质
TWI726388B (zh) 記憶體系統及控制系統
WO2006007099A1 (en) Computer system and method for queuing interrupt messages in a device coupled to a parallel communication bus
CN113868023B (zh) 存储系统的快照方法、装置、电子设备及可读存储介质
CN108804254A (zh) 用于车辆中远程安装软件期间故障处理的方法和系统
KR102506872B1 (ko) 클러스터의 표시 제어 장치 및 방법
US20050283555A1 (en) Computer system and method for transmitting interrupt messages through a parallel communication bus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination