CN115461723A - 信息处理装置以及信息处理方法 - Google Patents
信息处理装置以及信息处理方法 Download PDFInfo
- Publication number
- CN115461723A CN115461723A CN202080100052.XA CN202080100052A CN115461723A CN 115461723 A CN115461723 A CN 115461723A CN 202080100052 A CN202080100052 A CN 202080100052A CN 115461723 A CN115461723 A CN 115461723A
- Authority
- CN
- China
- Prior art keywords
- verification
- unit
- function unit
- high reliability
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0816—Indicating performance data, e.g. occurrence of a malfunction
- G07C5/0825—Indicating performance data, e.g. occurrence of a malfunction using optical means
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
其目的在于提供一种可持续验证高可靠化功能部的技术。信息处理装置具备验证功能部,该验证功能部在作为相对于系统执行环境而言安全的执行环境的验证执行环境下,将注入验证数据注入到输入部而执行高可靠化功能部,根据在执行了高可靠化功能部的情况下的从输出部的输出,进行高可靠化功能部的动作验证。信息处理装置具备时间管理功能部,该时间管理功能部管理执行动作验证的定时以及动作验证的执行最大时间。
Description
技术领域
本公开涉及信息处理装置以及信息处理方法。
背景技术
在一般的自动控制系统中,多个功能协作以及统合来进行认知、判断以及控制。作为这样的自动控制系统的自动驾驶系统例如包括根据车辆周边状况生成最佳的控制参数的自动驾驶控制部、和分别实现车辆的引擎控制、刹车控制以及转向控制的引擎控制部、刹车控制部以及转向控制部。在该自动驾驶系统的某处发生了异常的情况下,无法继续自动驾驶。因此,为了即使在这样的情况下也能够继续,对自动控制系统要求直至转移到能够确保安保的状态为止的维持动作(失效动作(fail operation))以及向安保的状态的转移(失效安全动作(fail-safe operation))。
另外,在自动控制系统中,例如随着自动驾驶等级等自主等级提升,系统应担负的责任范围也增大。例如,在自动驾驶中有SAE(Society of Automotive Engineers,美国汽车工程师学会)International(国际)定义的自动驾驶的等级,伴随等级的上升而系统应担负的责任范围增加。
相对于此,例如,提出通过使用(1)监视机构、(2)差错检测/修正功能、(3)大多数机构(majority mechanism)、(4)多重冗余系统等高可靠化功能部(高可靠化功能)的系统结构,进行发生故障时的安保担保。然而,关于这些高可靠化功能部(高可靠化功能),既有如(4)的功能,即使在产品出厂后的工作中直至发生故障为止长期间不动作的功能,也有如(1)~(3)的功能,不输入脱离正常的数据范围的数据的功能。因此,存在直至发生故障为止无法适当地保证系统整体正常地发挥功能这样的课题。
针对这样的课题,在专利文献1中,提出了可随时对从电子设备检测故障的故障检测系统自身进行检查的系统。另外,在专利文献2中,提出了验证电子装置的完整性的系统以及方法。
现有技术文献
专利文献
专利文献1:日本特开平7-264266号公报
专利文献2:日本特表2018-519705号公报
发明内容
在专利文献1中,确认在故障时显示信息的故障监视器的信号接收电路以及从电子设备的故障信号传送路是否正常,但未考虑以与在系统上工作中的程序一起动作的高可靠化功能部为对象的持续性的动作验证。在专利文献2中,利用安全执行环境来验证系统的窜改,但同样地未考虑高可靠化功能部的动作验证。因此,存在在将验证数据注入到工作中的系统来进行验证时无法在不阻碍工作中的程序处理的情况下有计划、安保并且安全地执行这样的问题。
因此,本公开是鉴于如上述的问题而完成的,其目的在于提供一种可持续验证高可靠化功能部的技术。
本公开提供一种信息处理装置,具备:多个高可靠化功能部,分别具有输入部和输出部;通常功能部,能够在系统执行环境下执行处理,在执行所述处理的期间,能够调出与该处理对应的所述高可靠化功能部、并且将在该高可靠化功能部的执行中使用的数据注入到所述输入部;验证表格,保持在所述高可靠化功能部的动作验证中使用的注入验证数据;验证功能部,在作为相对于所述系统执行环境而言安全的执行环境的验证执行环境下,将所述注入验证数据注入到所述输入部而执行所述高可靠化功能部,根据在执行了所述高可靠化功能部的情况下的从所述输出部的输出,进行所述高可靠化功能部的所述动作验证;以及时间管理功能部,管理执行所述动作验证的定时以及所述动作验证的执行最大时间。
根据本公开,在作为相对于系统执行环境而言安全的执行环境的验证执行环境下进行高可靠化功能部的动作验证,管理执行动作验证的定时以及动作验证的执行最大时间。根据这样的结构,能够持续验证高可靠化功能部。
本公开的目的、特征、方案以及优点通过以下的详细的说明和附图将变得更加明确。
附图说明
图1是示出实施方式1的信息处理装置的结构的框图。
图2是示出实施方式1的高可靠化功能验证表格的内容例的图。
图3是示出实施方式1的高可靠化功能状态表格的内容例的图。
图4是示出实施方式1的验证计划部的动作的流程图。
图5是示出实施方式1的验证执行部的动作的流程图。
图6是示出实施方式1的验证数据注入部的动作的流程图。
图7是示出实施方式1的输出管理部的动作的流程图。
图8是示出实施方式1的动作日志取得部的动作的流程图。
图9是示出实施方式1的健全性判定部的动作的流程图。
图10是示出实施方式1的时间管理功能部的解除动作的流程图。
图11是示出实施方式2的信息处理装置的结构的框图。
图12是示出实施方式3的信息处理装置的结构的框图。
图13是示出变形例的信息处理装置的硬件结构的框图。
图14是示出变形例的信息处理装置的硬件结构的框图。
(符号说明)
1000:信息处理装置;1100:系统执行环境;1110:动作模式管理功能部;1111:故障时动作功能部;1120:通常功能部;1130:高可靠化功能部;1131:输入部;1132:输出部;1200:安全执行环境;1210:高可靠化功能验证功能部;1211:验证计划部;1212:验证执行部;1213:验证数据注入部;1214:输出管理部;1215:动作日志取得部;1216:健全性判定部;1217:显示部;1220:高可靠化功能验证表格;1230:时间管理功能部;1240:高可靠化功能状态表格。
具体实施方式
<实施方式1>
图1是示出本实施方式1的信息处理装置1000的结构的框图。此外,信息处理装置1000例如也可以是搭载于自动驾驶车的车辆的自动驾驶系统等自动控制系统(未图示)的信息处理装置。
在信息处理装置1000中,规定了系统执行环境1100、和安全执行环境1200。系统执行环境1100是执行与系统的功能要件相应的通常功能的环境。安全执行环境1200是与系统执行环境1100实质上隔离、相对于系统执行环境1100而言安全的执行被保证的验证执行环境。信息处理装置1000设置于系统执行环境1100与安全执行环境1200之间,具有保证安全的数据通信的安全数据路径1300。
在系统执行环境1100中,具备动作模式管理功能部1110、通常功能部1120、以及多个高可靠化功能部1130。此外,如后所述,动作模式管理功能部1110、通常功能部1120、以及多个高可靠化功能部1130的各个既可以是专用的硬件,也可以是通过程序等软件执行的功能。
动作模式管理功能部1110管理可通过系统动作的多个动作模式中的、在系统执行环境1100下通过系统动作的动作模式。例如,在自动驾驶系统的多个动作模式中,包括一般道路自动驾驶模式、高速公路自动驾驶模式、自动停车模式、手动驾驶模式等。
动作模式管理功能部1110包括故障时动作功能部1111,故障时动作功能部1111承担在系统的一部分故障的情况下,切换通过系统动作的动作模式的系统动作功能。在通过故障时动作功能部1111切换的动作模式中,例如包括手动驾驶模式等手动模式等。
通常功能部1120承担执行由动作模式管理功能部1110管理的动作模式的处理的系统动作功能。此外,系统动作功能还被称为系统处理功能。
多个高可靠化功能部1130(图1的高可靠化功能部1130-1~1130-n1)具有使通常功能部1120的处理功能高可靠化的功能。在高可靠化的功能中,例如包括(1)监视机构、(2)差错检测/修正功能、(3)大多数机构、(4)多重冗余系统等。在多个高可靠化功能部1130的各个中,作为与通常功能部1120之间的接口,具有受理来自通常功能部1120的数据输入的输入部1131、和承担向通常功能部1120的数据输出的输出部1132。
通常功能部1120包括高可靠化功能调出部1121,高可靠化功能调出部1121调出高可靠化功能部1130。由此,通常功能部1120能够在自身执行处理的期间,调出(执行)与该处理对应的高可靠化功能部1130、并且将在该高可靠化功能部1130的执行中使用的数据注入(输入)到输入部1131。此外,在图1中示出了1个通常功能部1120,但通常功能部1120的个数不限于此,也可以将承担系统动作功能的多个通常功能部1120设置于信息处理装置1000。
在安全执行环境1200中,具备高可靠化功能验证功能部1210、高可靠化功能验证表格1220、时间管理功能部1230、以及高可靠化功能状态表格1240。此外,如后所述,高可靠化功能验证功能部1210以及时间管理功能部1230的各个既可以是专用的硬件,也可以是通过程序等软件执行的功能。
作为验证表格的高可靠化功能验证表格1220保持在高可靠化功能部1130的动作验证中使用的注入验证数据。
作为验证功能部的高可靠化功能验证功能部1210验证可与通常功能部1120的执行并行地动作的高可靠化功能部1130是否健全(healthily)地动作、系统整体是否正常地发挥功能。具体而言,高可靠化功能验证功能部1210在安全执行环境1200下,将上述注入验证数据注入(输入)到输入部1131而执行高可靠化功能部1130。而且,高可靠化功能验证功能部1210根据在执行了高可靠化功能部1130的情况下的从输出部1132的输出,进行高可靠化功能部1130的动作验证。
时间管理功能部1230管理执行动作验证的定时以及动作验证的执行最大时间。
在作为状态表格的高可靠化功能状态表格1240中,作为由高可靠化功能验证功能部1210执行动作验证的结果,保持表示高可靠化功能部1130是否正常的状态数据。
以下,说明高可靠化功能验证功能部1210、高可靠化功能验证表格1220、时间管理功能部1230、以及高可靠化功能状态表格1240。
图2是示出本实施方式1的高可靠化功能验证表格1220的内容例的图。
高可靠化功能部1130具有高可靠化功能部1130固有的验证数据条目2000(在图2的例子中验证数据条目2000-1~2000-n2)。在高可靠化功能验证表格1220中,针对每个验证数据条目2000,设定动作验证所需的数据的内容。另外,在高可靠化功能验证表格1220中,针对可由动作模式管理功能部1110管理的每个动作模式2300(在图2的例子中动作模式2300-1~2300-n3),设定动作验证所需的数据的内容。但是,根据高可靠化功能部1130的验证数据条目2000以及动作模式2300的组合,并非动作验证所需的数据的内容而是设定“验证对象外”。
图2的例子的高可靠化功能验证表格1220的内容包括验证动作定时、注入验证数据、期待输出数据、期待动作日志、输出部控制标志、以及验证最大时间。
验证动作定时表示高可靠化功能验证功能部1210开始高可靠化功能部1130的动作验证的定时(时间)。注入验证数据如上所述是注入(输入)到高可靠化功能部1130的输入部1131的数据。期待输出数据表示在高可靠化功能验证功能部1210执行了高可靠化功能部1130的情况下的、从输出部1132的期待的输出、即期待值。期待动作日志表示在高可靠化功能验证功能部1210执行了高可靠化功能部1130的情况下的、高可靠化功能部1130的期待的动作日志。
输出部控制标志表示在高可靠化功能验证功能部1210执行高可靠化功能部1130之后是否用通常功能部1120调出并执行该高可靠化功能部1130。即,输出部控制标志表示在高可靠化功能验证功能部1210执行高可靠化功能部1130之后是否进行使该高可靠化功能部1130的控制迁移到通常功能部1120的控制迁移。例如,在设定了验证动作定时的情况下,也可以设定不进行控制迁移的输出部控制标志。例如,在未设定验证动作定时的情况下,也可以设定进行控制迁移的输出部控制标志。
验证最大时间表示高可靠化功能部1130的动作验证的最大的容许时间。
接下来,详细说明图1的高可靠化功能验证功能部1210。高可靠化功能验证功能部1210包括验证计划部1211、验证执行部1212、验证数据注入部1213、输出管理部1214、动作日志取得部1215、健全性判定部1216、以及显示部1217。
验证计划部1211根据高可靠化功能验证表格1220的验证动作定时从多个高可靠化功能部1130决定验证对象的高可靠化功能部1130,计划执行验证对象的高可靠化功能部1130的动作验证的定时。
验证数据注入部1213向验证对象的高可靠化功能部1130的输入部1131注入(输入)高可靠化功能验证表格1220的注入验证数据。
验证执行部1212在由验证计划部1211计划的定时,执行注入了注入验证数据的验证对象的高可靠化功能部1130。
输出管理部1214在验证执行部1212执行了验证对象的高可靠化功能部1130的情况下,取得验证对象的高可靠化功能部1130的输出部1132的输出(输出值的数据)。另外,输出管理部1214根据高可靠化功能验证表格1220的输出部控制标志,以用通常功能部1120执行验证对象的高可靠化功能部1130的方式控制验证对象的高可靠化功能部1130的输出部1132的动作。
动作日志取得部1215在验证执行部1212执行了验证对象的高可靠化功能部1130的情况下,取得验证对象的高可靠化功能部1130的动作日志。
健全性判定部1216进行由输出管理部1214取得的输出与高可靠化功能验证表格1220的期待输出数据的比较、和由动作日志取得部1215取得的动作日志与高可靠化功能验证表格1220的期待动作日志的比较。而且,健全性判定部1216通过根据这些比较的结果,判定验证对象的高可靠化功能部1130的健全性,从而进行高可靠化功能部1130的动作验证。高可靠化功能验证功能部1210的健全性判定部1216每当进行动作验证时,更新保持于高可靠化功能状态表格1240的上述状态数据。
显示部1217对用户等显示信息。此外,在本实施方式1中,显示部1217包含于高可靠化功能验证功能部1210,但也可以不包含于高可靠化功能验证功能部1210。
验证计划部1211对时间管理功能部1230设定验证动作定时,验证执行部1212对时间管理功能部1230设定验证最大时间。由此,时间管理功能部1230管理执行动作验证的定时以及动作验证的执行最大时间。通过由时间管理功能部1230执行的该管理,以不阻碍通常功能部1120的处理的方式与通常功能部1120的处理的执行并行地,高可靠化功能验证功能部1210进行高可靠化功能部1130的动作验证。
图3是示出本实施方式1的高可靠化功能状态表格1240的内容例的图。
高可靠化功能部1130具有高可靠化功能部1130固有的状态数据条目3000(在图3的例子中状态数据条目3000-1~3000-n2)。在高可靠化功能状态表格1240中,针对每个状态数据条目3000,保持高可靠化功能验证功能部1210的状态。另外,在高可靠化功能状态表格1240中,针对可由动作模式管理功能部1110管理的每个动作模式3300(在图3的例子中动作模式3300-1~3300-n3),保持高可靠化功能验证功能部1210的状态以及动作模式可否状态条目3100。
针对每个动作模式3300保持的状态包括可否使用数据、正常状态数据、异常状态数据、以及动作模式可否数据的至少任意一个。可否使用数据表示在动作模式3300中高可靠化功能部1130是否为使用对象。在图3中表示为“使用”的可否使用数据表示通常功能部1120等在动作模式3300中使用高可靠化功能部1130。在图3中表示为“不使用”的可否使用数据表示通常功能部1120等在动作模式3300中不使用高可靠化功能部1130。正常状态数据表示作为使用对象的高可靠化功能部1130正常。异常状态数据表示作为使用对象的高可靠化功能部1130异常。
动作模式可否数据表示在动作模式3300中使用的高可靠化功能部1130的动作是否为可状态。如果在动作模式3300中使用的高可靠化功能部1130中的任意一个中存在异常状态数据,则在动作模式可否状态条目3100中,保持表示上述动作并非可状态的“否”。另一方面,如果在动作模式3300中使用的高可靠化功能部1130中的任意一个中都不存在异常状态数据,则在动作模式可否状态条目3100中,保持表示上述动作是可状态的“可”。
在此,设想关于在动作模式管理功能部1110管理的动作模式中使用的高可靠化功能部1130,异常状态数据包含于高可靠化功能状态表格1240的情况。在该情况下,故障时动作功能部1111切换通过系统动作的动作模式,显示部1217显示异常。
<动作>
<验证计划部的动作>
图4是示出本实施方式1的验证计划部1211的动作的流程图。验证计划部1211分别在动作模式管理功能部1110管理的动作模式的开始时以及变更时,在安全执行环境1200下开始动作。
在步骤S1中,验证计划部1211取得由系统执行环境1100下的动作模式管理功能部1110管理的当前的动作模式。
在步骤S2中,验证计划部1211关于在步骤S1中取得的动作模式,从高可靠化功能验证表格1220将并非验证对象外的高可靠化功能部1130决定为验证对象的高可靠化功能部1130。
在步骤S3中,验证计划部1211关于在步骤S1中取得的动作模式,从高可靠化功能验证表格1220确认验证动作定时,确认是否设定了验证动作定时。在判定为设定了验证动作定时的情况下,处理进入到步骤S4,在判定为未设定验证动作定时的情况下,处理进入到步骤S5。
在步骤S4中,验证计划部1211将验证动作定时作为验证执行部1212的起动时间而设定到时间管理功能部1230。由此,与通常功能部1120的动作非同步地进行动作验证。之后,处理进入到步骤S6。
在步骤S5中,验证计划部1211以在通常功能部1120调出高可靠化功能部1130时执行验证的方式,向通常功能部1120的高可靠化功能调出部1121登记验证执行部1212的执行。在该情况下,在通常功能部1120的动作时执行验证执行部1212。在步骤S5之后,处理进入到步骤S6。
在步骤S6中,验证计划部1211在验证对象的高可靠化功能部1130是多个的情况下,判定是否关于所有验证对象的高可靠化功能部1130进行了步骤S4或者步骤S5。在判定为关于所有验证对象的高可靠化功能部1130进行了步骤S4或者步骤S5的情况下,图4的动作结束,否则处理返回到步骤S2。
通过关于所有验证对象的高可靠化功能部1130进行步骤S4或者步骤S5,计划执行所有验证对象的高可靠化功能部1130的动作验证的定时。此外,也可以以优先执行未执行动作验证的验证对象的高可靠化功能部1130的方式,计划上述定时。
<验证执行部的动作>
图5是示出本实施方式1的验证执行部1212的动作的流程图。此外,在图5中,还示出了时间管理功能部1230的动作。在进行图4的动作之后,验证执行部1212依照由验证计划部1211计划的定时,在安全执行环境1200下开始动作。
在步骤S11中,验证执行部1212关于当前的动作模式和验证对象的高可靠化功能部1130的验证数据条目2000的组合,从高可靠化功能验证表格1220取得验证最大时间。而且,验证执行部1212将取得的验证最大时间作为动作验证的执行最大时间设定到时间管理功能部1230的定时器,时间管理功能部1230起动定时器。针对用验证计划部1211设定了定时的验证对象的高可靠化功能部1130,进行该验证最大时间的设定、定时器的设定、以及定时器的起动。验证执行部1212针对进行了验证最大时间的设定、定时器的设定、以及定时器的起动的验证对象的高可靠化功能部1130,进行图5的步骤S12以后的处理。
在步骤S12中,验证执行部1212使验证数据注入部1213执行。
在步骤S13中,验证执行部1212使注入了注入验证数据的验证对象的高可靠化功能部1130动作而执行。
在步骤S14中,验证执行部1212使输出管理部1214执行,输出管理部1214取得在步骤S13的期间动作的高可靠化功能部1130的输出。
在步骤S15中,验证执行部1212使动作日志取得部1215执行,动作日志取得部1215取得在步骤S12~步骤S14的期间动作的高可靠化功能部1130、通常功能部1120以及系统的动作日志。
在步骤S16中,验证执行部1212使健全性判定部1216执行,在步骤S16之后,图5的动作结束。
<验证数据注入部的动作>
图6是示出本实施方式1的验证数据注入部1213的动作的流程图。验证数据注入部1213在验证执行部1212的步骤S12(图5)中被调出后,在安全执行环境1200下开始动作。
在步骤S21中,验证数据注入部1213关于当前的动作模式和验证对象的高可靠化功能部1130的验证数据条目2000的组合,从高可靠化功能验证表格1220取得注入验证数据。
在步骤S22中,验证数据注入部1213向验证对象的高可靠化功能部1130的输入部1131注入在步骤S11中取得的注入验证数据。之后,图6的动作结束。
<输出管理部的动作>
图7是示出本实施方式1的输出管理部1214的动作的流程图。输出管理部1214在验证执行部1212的步骤S14(图5)中被调出后,在安全执行环境1200下开始动作。
在步骤S31中,输出管理部1214从验证对象的高可靠化功能部1130的输出部1132取得输出(输出值的数据)。
在步骤S32中,输出管理部1214关于当前的动作模式和验证对象的高可靠化功能部1130的验证数据条目2000的组合,从高可靠化功能验证表格1220取得输出部控制标志。
在步骤S33中,输出管理部1214判定取得的输出部控制标志是否表示进行控制迁移(进行通常流程)。在判定为输出部控制标志未表示进行控制迁移的情况下,处理进入到步骤S34,在判定为输出部控制标志表示进行控制迁移的情况下,处理进入到步骤S35。
在步骤S34中,输出管理部1214丢弃在步骤S31中取得的输出,不进行控制迁移。即,输出管理部1214不将高可靠化功能部1130的控制交给调出源的通常功能部1120。例如,在并非步骤S5的处理(向通常功能部1120的高可靠化功能调出部1121登记验证执行部1212的执行的处理)而是进行步骤S4的处理(设定验证动作定时的处理)的情况下,与通常功能部1120的动作非同步地进行动作验证。因此,在这样的情况下,也可以以执行步骤S34的方式设定输出部控制标志。在步骤S34之后,图7的动作结束。
在步骤S35中,输出管理部1214不丢弃在步骤S31中取得的输出,在通过验证执行部1212执行高可靠化功能部1130之后,进行控制迁移。即,输出管理部1214将该高可靠化功能部1130的控制交给调出源的通常功能部1120。例如,在步骤S5的处理(向通常功能部1120的高可靠化功能调出部1121登记验证执行部1212的执行的处理)的情况下,在通常功能部1120的动作时执行验证执行部1212。因此,在这样的情况下,也可以以执行步骤S35的方式设定输出部控制标志。在步骤S35之后,图7的动作结束。
<动作日志取得部的动作>
图8是示出本实施方式1的动作日志取得部1215的动作的流程图。动作日志取得部1215在验证执行部1212的步骤S15(图5)中被调出后,在安全执行环境1200下开始动作。
在步骤S41中,动作日志取得部1215取得在步骤S12~步骤S14的期间动作的高可靠化功能部1130、通常功能部1120以及系统的动作日志。之后,图8的动作结束。
<健全性判定部的动作>
图9是示出本实施方式1的健全性判定部1216的动作的流程图。健全性判定部1216在验证执行部1212的步骤S16(图5)中被调出后,在安全执行环境1200下开始动作。
在步骤S51中,健全性判定部1216关于当前的动作模式和验证对象的高可靠化功能部1130的验证数据条目2000的组合,从高可靠化功能验证表格1220取得期待输出数据。
在步骤S52中,健全性判定部1216比较在步骤S51中取得的期待输出数据、和在输出管理部1214的步骤S31中取得的高可靠化功能部1130的输出,判定两者是否等价。在判定为等价的情况下,处理进入到步骤S53,在判定为不等价的情况下,处理进入到步骤S56。
在步骤S53中,健全性判定部1216关于当前的动作模式和验证对象的高可靠化功能部1130的验证数据条目2000的组合,从高可靠化功能验证表格1220取得期待动作日志。
在步骤S54中,健全性判定部1216比较在步骤S53中取得的期待动作日志、和在动作日志取得部1215的步骤S41中取得的动作日志,判定两者是否等价。在判定为等价的情况下,处理进入到步骤S55,在判定为不等价的情况下,处理进入到步骤S56。
在步骤S55中,健全性判定部1216关于当前的动作模式和验证对象的高可靠化功能部1130的状态数据条目3000的组合,确认在高可靠化功能状态表格1240中是否保持“不使用”。而且,除了健全性判定部1216确认了保持“不使用”的情况以外,将上述组合的高可靠化功能状态表格1240的内容更新为“使用:正常”。由此,正常状态数据保持于高可靠化功能状态表格1240。之后,图9的动作结束。
在步骤S56中,健全性判定部1216关于当前的动作模式和验证对象的高可靠化功能部1130的状态数据条目3000的组合,确认在高可靠化功能状态表格1240中是否保持“不使用”。而且,除了健全性判定部1216确认了保持“不使用”的情况以外,将上述组合的高可靠化功能状态表格1240的内容更新为“使用:异常”。由此,异常状态数据保持于高可靠化功能状态表格1240。
在步骤S57中,健全性判定部1216使显示部1217执行,显示部1217显示在当前的动作模式中使用的高可靠化功能部1130的动作并非可状态、即表示异常的警告。
在步骤S58中,健全性判定部1216对动作模式管理功能部1110的故障时动作功能部1111委托执行控制,故障时动作功能部1111切换动作模式。之后,图9的动作结束。
<利用定时器的计时超过验证最大时间的情况下的时间管理功能部的动作>
图10是示出在利用定时器的计时超过在验证执行部1212的步骤S11中设定到时间管理功能部1230的验证最大时间的情况下启动事件而由本实施方式1的时间管理功能部1230执行的事件处理的流程图。在安全执行环境1200下进行该图10的动作。
在步骤S61中,时间管理功能部1230从时间管理功能1230解除在步骤S4(图4)中设定的验证执行部1212的全部起动设定。
在步骤S62中,时间管理功能部1230从高可靠化功能调出部1121解除在步骤S5(图4)中登记的验证执行部1212的全部执行设定。之后,图10的动作结束。
此外,时间管理功能部1230在进行图10的动作的情况下,也可以使显示部1217显示警告。
<实施方式1的总结>
根据如以上的本实施方式1所涉及的信息处理装置1000,在安全执行环境1200下管理定时以及动作验证的执行最大时间的状态下,进行高可靠化功能部1130的动作验证。根据这样的结构,在不阻碍执行中的通常功能部1120的处理的情况下有计划、安保(safe)并且安全(secure)地进行在系统上在通常功能部1120的处理执行中可执行的高可靠化功能部1130的动作验证。因此,能够持续进行系统中的抗故障性以及可用性的验证、证明以及保证。
另外,能够针对在系统上在通常功能部1120的处理执行中可执行的每个高可靠化功能部1130而设定验证实施定时,所以能够在适当的定时进行高可靠化功能部1130的动作验证。
进而,能够针对系统的每个动作模式而设定验证内容,所以能够关于动作模式进行适当的验证。
<实施方式2>
图11是示出本实施方式2的信息处理装置1000的结构的框图。以下,关于本实施方式2所涉及的构成要素中的、与上述构成要素相同或者类似的构成要素,附加相同或者类似的参照符号,主要说明不同的构成要素。
在本实施方式2中,实施方式1的系统执行环境1100、安全执行环境1200、以及安全数据路径1300被分别变更为VM系统执行环境1100a、VM验证执行环境1200a、以及VM间数据通信路径1300a。VM是(虚拟机功能:Virtual Machine)的简称。在本实施方式2中,通过虚拟机功能实现作为相对于VM系统执行环境1100a实质上隔离的安全的验证执行环境的VM验证执行环境1200a。
即便是这样的本实施方式2所涉及的信息处理装置1000,也能够与实施方式1同样地持续验证高可靠化功能部1130。此外,也可以通过能够在一个OS(Operating System,操作系统)上构筑实质上隔离的应用执行环境的OS容器(container)功能,实质上分离系统执行环境和验证执行环境。
<实施方式3>
图12是示出本实施方式3的信息处理装置1000的结构的框图。以下,关于本实施方式3所涉及的构成要素中的、与上述构成要素相同或者类似的构成要素,附加相同的或者类似的参照符号,主要说明不同的构成要素。
在本实施方式3中,实施方式1的系统执行环境1100、安全执行环境1200、以及安全数据路径1300被分别变更为CPU系统执行环境1100b、CPU验证执行环境1200b、以及CPU间数据通信路径1300b。CPU是中央处理装置(Central Processing Unit,中央处理单元)的简称。在本实施方式3中,在一个CPU硬件上实现CPU系统执行环境1100b,在其他CPU硬件上实现作为与CPU系统执行环境1100b实质上隔离的安全的验证执行环境的CPU验证执行环境1200b。
即便是这样的本实施方式3所涉及的信息处理装置1000,也能够与实施方式1同样地持续验证高可靠化功能部1130。此外,实现执行环境的硬件不限于CPU,是FGPA(FieldProgrammable Gate Array,现场可编程门阵列)、GPU(Graphics Processing Unit,图形处理单元)、以及专用硬件等能够处理程序的硬件即可。
<变形例>
以下,将上述图1的高可靠化功能部1130、通常功能部1120、高可靠化功能验证功能部1210、以及时间管理功能部1230记载为“高可靠化功能部1130等”。高可靠化功能部1130等是通过图13所示的处理电路81实现的。即,处理电路81具备:多个高可靠化功能部1130,分别具有输入部1131和输出部1132;通常功能部1120,能够在系统执行环境1100下执行处理,在执行处理的期间,能够调出与该处理对应的高可靠化功能部1130、并且将在该高可靠化功能部1130的执行中使用的数据注入到输入部1131;高可靠化功能验证功能部1210,在安全执行环境1200下,将注入验证数据注入到输入部1131而执行高可靠化功能部1130,根据在执行了高可靠化功能部1130的情况下的从输出部1132的输出而进行高可靠化功能部1130的动作验证;以及时间管理功能部1230,管理执行动作验证的定时以及动作验证的执行最大时间。在处理电路81中,既可以应用专用的硬件,也可以应用执行储存于存储器的程序的处理器。处理器例如对应于中央处理装置、处理装置、运算装置、微型处理器、微型计算机、DSP(Digital Signal Processor,数字信号处理器)等。
在处理电路81是专用的硬件的情况下,处理电路81例如对应于单一电路、复合电路、程序化的处理器、并行程序化的处理器、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA、或者他们的组合。高可靠化功能部1130等中的各部分的功能既可以分别用使处理电路分散的电路实现,也可以集中各部分的功能而用一个处理电路实现。
在处理电路81是处理器的情况下,高可靠化功能部1130等中的功能通过与软件等的组合来实现。此外,软件等例如对应于软件、固件、或者、软件以及固件。软件等是被记述为程序而储存于存储器。如图14所示,应用于处理电路81的处理器82通过读出并执行存储于存储器83的程序,实现各部分的功能。即,信息处理装置1000具备用于储存在由处理电路81执行时结果上执行如下步骤的程序的存储器83:能够在系统执行环境1100下执行处理的通常功能部1120在执行处理的期间,从多个高可靠化功能部1130调出与该处理对应的高可靠化功能部1130、并且将在该高可靠化功能部1130的执行中使用的数据注入到输入部1131的步骤;高可靠化功能验证功能部1210在安全执行环境1200下,将注入验证数据注入到输入部1131而执行高可靠化功能部1130,根据在执行了高可靠化功能部1130的情况下的从输出部1132的输出而进行高可靠化功能部1130的动作验证的步骤;以及时间管理功能部1230管理执行动作验证的定时以及动作验证的执行最大时间的步骤。换言之,该程序也可以说是使计算机执行高可靠化功能部1130等的过程、方法的。在此,存储器83例如也可以是RAM(Random Access Memory,随机存取存储器)、ROM(Read Only Memory,只读存储器)、闪存存储器、EPROM(Erasable Programmable Read Only Memory,可擦除可编程只读存储器)、EEPROM(electrically erasable programmable read only memory,电可擦可编程只读存储器)等非易失性或者易失性的半导体存储器、HDD(Hard Disk Drive,硬盘驱动器)、磁盘、软盘、光盘、紧凑盘、迷你盘、DVD(Digital Versatile Disc,数字多功能光盘)、其驱动器装置等、或者、今后使用的任意的存储介质。
以上,说明了用硬件以及软件等中的某一方实现高可靠化功能部1130等的各功能的结构。但是不限于此,也可以是用专用的硬件实现高可靠化功能部1130等的一部分,用软件等实现其他一部分的结构。例如,关于高可靠化功能部1130,能够用作为专用的硬件的处理电路81、接口以及接收器等实现其功能,关于其以外,能够通过作为处理器82的处理电路81读出并执行储存于存储器83的程序来实现其功能。
如以上所述,处理电路81能够通过硬件、软件等、或者他们的组合来实现上述各功能。
此外,动作模式管理功能部1110以及动作模式管理功能部1110进行的步骤也能够与上述同样地实现。另外,通常功能部1120、高可靠化功能验证功能部1210、时间管理功能部1230、以及动作模式管理功能部1110也可以与通常程序、高可靠化功能验证程序、时间管理程序、以及动作模式管理程序分别对应。
此外,能够自由地组合各实施方式以及各变形例、或者、将各实施方式以及各变形例适当地变形、省略。
上述说明在所有方面中仅为例示,而不是限定性的。应理解为能够想到未例示的无数的变形例。
Claims (9)
1.一种信息处理装置,具备:
多个高可靠化功能部,分别具有输入部和输出部;
通常功能部,能够在系统执行环境下执行处理,在执行所述处理的期间,能够调出与该处理对应的所述高可靠化功能部、并且将在该高可靠化功能部的执行中使用的数据注入到所述输入部;
验证表格,保持在所述高可靠化功能部的动作验证中使用的注入验证数据;
验证功能部,在作为相对于所述系统执行环境而言安全的执行环境的验证执行环境下,将所述注入验证数据注入到所述输入部而执行所述高可靠化功能部,根据在执行了所述高可靠化功能部的情况下的从所述输出部的输出,进行所述高可靠化功能部的所述动作验证;以及
时间管理功能部,管理执行所述动作验证的定时以及所述动作验证的执行最大时间。
2.根据权利要求1所述的信息处理装置,其中,
还具备状态表格,在该状态表格中,作为所述动作验证的结果,保持表示所述高可靠化功能部是否正常的状态数据。
3.根据权利要求2所述的信息处理装置,其中,
所述验证功能部每当进行所述动作验证时,更新保持于所述状态表格的所述状态数据。
4.根据权利要求1所述的信息处理装置,其中,
所述验证表格还保持:
验证动作定时,表示开始所述动作验证的定时;
期待输出数据,表示在所述验证功能部执行了所述高可靠化功能部的情况下的、从所述输出部的期待的输出;
期待动作日志,表示在所述验证功能部执行了所述高可靠化功能部的情况下的、所述高可靠化功能部的期待的动作日志;
输出部控制标志,表示在所述验证功能部执行所述高可靠化功能部之后是否向所述通常功能部转移执行;以及
验证最大时间,表示所述动作验证的最大的容许时间。
5.根据权利要求4所述的信息处理装置,其中,
所述验证功能部包括:
验证计划部,根据所述验证动作定时从所述多个高可靠化功能部决定验证对象的高可靠化功能部,计划执行所述验证对象的高可靠化功能部的所述动作验证的定时;
验证数据注入部,将所述注入验证数据注入到所述验证对象的高可靠化功能部的所述输入部;
验证执行部,在由所述验证计划部计划的定时,执行被注入所述注入验证数据的所述验证对象的高可靠化功能部;
输出管理部,在所述验证执行部执行了所述验证对象的高可靠化功能部的情况下,取得所述验证对象的高可靠化功能部的所述输出部的输出,根据所述输出部控制标志,用所述通常功能部执行所述验证对象的高可靠化功能部;
动作日志取得部,在所述验证执行部执行了所述验证对象的高可靠化功能部的情况下,取得所述验证对象的高可靠化功能部的动作日志;以及
健全性判定部,根据由所述输出管理部取得的输出与所述期待输出数据的比较、和由所述动作日志取得部取得的动作日志与所述期待动作日志的比较,判定所述验证对象的高可靠化功能部的健全性。
6.根据权利要求2所述的信息处理装置,其中,
还具备动作模式管理功能部,该动作模式管理功能部管理在所述系统执行环境下通过系统动作的动作模式,
在所述状态表格中,针对每个所述动作模式包括如下数据的至少任意一个:
可否使用数据,表示所述高可靠化功能部是否为使用对象;
正常状态数据,表示作为使用对象的所述高可靠化功能部正常;
异常状态数据,表示作为使用对象的所述高可靠化功能部异常;以及
动作模式可否数据,表示在所述动作模式中使用的所述高可靠化功能部的动作是否为可状态。
7.根据权利要求6所述的信息处理装置,其中,
所述动作模式管理功能部包括故障时动作功能部,该故障时动作功能部在关于在所述动作模式管理功能部管理的所述动作模式中使用的所述高可靠化功能部,所述异常状态数据包含于所述状态表格的情况下,切换通过所述系统动作的所述动作模式。
8.根据权利要求6所述的信息处理装置,其中,
还具备显示部,该显示部在关于在所述动作模式管理功能部管理的所述动作模式中使用的所述高可靠化功能部,所述异常状态数据包含于所述状态表格的情况下,显示异常。
9.一种信息处理方法,其中,
能够在系统执行环境下执行处理的通常功能部在执行所述处理的期间,从分别具有输入部和输出部的多个高可靠化功能部调出与该处理对应的所述高可靠化功能部、并且将在该高可靠化功能部的执行中使用的数据注入到所述输入部,
验证表格保持在所述高可靠化功能部的动作验证中使用的注入验证数据,
验证功能部在作为相对于所述系统执行环境而言安全的执行环境的验证执行环境下,将所述注入验证数据注入到所述输入部而执行所述高可靠化功能部,根据在执行了所述高可靠化功能部的情况下的从所述输出部的输出,进行所述高可靠化功能部的所述动作验证,
时间管理功能部管理执行所述动作验证的定时以及所述动作验证的执行最大时间。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/017879 WO2021220321A1 (ja) | 2020-04-27 | 2020-04-27 | 情報処理装置及び情報処理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115461723A true CN115461723A (zh) | 2022-12-09 |
Family
ID=78331839
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080100052.XA Pending CN115461723A (zh) | 2020-04-27 | 2020-04-27 | 信息处理装置以及信息处理方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230177894A1 (zh) |
JP (1) | JP7278478B2 (zh) |
CN (1) | CN115461723A (zh) |
DE (1) | DE112020007129T5 (zh) |
WO (1) | WO2021220321A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE543122C2 (sv) * | 2019-02-05 | 2020-10-13 | Brokk Ab | Förfarande, anordning och användargränssnitt som beskriver ett operativt drifttillstånd hos en demoleringsrobot |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07121409A (ja) * | 1993-10-28 | 1995-05-12 | Fujitsu Ltd | 性能評価装置 |
JPH07264266A (ja) | 1994-03-18 | 1995-10-13 | Fujitsu Ltd | 障害検出システム |
DE10163655A1 (de) * | 2001-12-21 | 2003-07-03 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Funktionseinheit eines Kraftfahrzeugs |
JP2004126854A (ja) * | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
JP5056396B2 (ja) * | 2007-12-19 | 2012-10-24 | 株式会社豊田中央研究所 | ソフトウェア動作監視装置、プログラム |
JP2009282751A (ja) * | 2008-05-22 | 2009-12-03 | Toyota Infotechnology Center Co Ltd | プログラム検査システムおよび方法 |
JP4454672B2 (ja) * | 2008-06-13 | 2010-04-21 | 三菱電機株式会社 | 監視制御回路を有する車載電子制御装置 |
JP5867495B2 (ja) * | 2013-12-20 | 2016-02-24 | 株式会社デンソー | 電子制御装置 |
JP6294145B2 (ja) * | 2014-04-28 | 2018-03-14 | 日本電信電話株式会社 | 監視方法、監視装置および監視制御プログラム |
SG10201602449PA (en) | 2016-03-29 | 2017-10-30 | Huawei Int Pte Ltd | System and method for verifying integrity of an electronic device |
JP7121409B2 (ja) | 2020-08-17 | 2022-08-18 | 西部自動機器株式会社 | ワーク搬送装置 |
-
2020
- 2020-04-27 US US17/917,273 patent/US20230177894A1/en active Pending
- 2020-04-27 DE DE112020007129.4T patent/DE112020007129T5/de active Pending
- 2020-04-27 CN CN202080100052.XA patent/CN115461723A/zh active Pending
- 2020-04-27 JP JP2022518425A patent/JP7278478B2/ja active Active
- 2020-04-27 WO PCT/JP2020/017879 patent/WO2021220321A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP7278478B2 (ja) | 2023-05-19 |
DE112020007129T5 (de) | 2023-03-09 |
JPWO2021220321A1 (zh) | 2021-11-04 |
WO2021220321A1 (ja) | 2021-11-04 |
US20230177894A1 (en) | 2023-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109923518B (zh) | 用于安全关键系统的软件更新机制 | |
US20180321929A1 (en) | Method and system for software installation in a vehicle | |
JP5216377B2 (ja) | プログラミング可能なデータ処理装置用の保護ユニット | |
JP6659180B2 (ja) | 制御装置および制御方法 | |
CN115461723A (zh) | 信息处理装置以及信息处理方法 | |
KR20060067927A (ko) | 마이크로컴퓨터의 프로그램 실행 모니터링 방법 | |
US12050691B2 (en) | Security processing device | |
US10789365B2 (en) | Control device and control method | |
US20230114009A1 (en) | Information Processing Apparatus and Program Starting Method | |
CN114077740A (zh) | 一种基于tpcm芯片的双向认证可信启动系统及方法 | |
JP6604661B2 (ja) | 車両制御装置 | |
US20160011932A1 (en) | Method for Monitoring Software in a Road Vehicle | |
CN117647965B (zh) | 一种dcs控制器可信策略下装方法、装置、设备及存储介质 | |
US20240036878A1 (en) | Method for booting an electronic control unit | |
CN112224200A (zh) | 车辆设备控制系统的控制器以及功能安全控制方法 | |
US20240211600A1 (en) | Method for reprogram with enhanced security | |
US12099828B2 (en) | Method for ascertaining a drive clearance after a software update for a set of controllers of a vehicle, computer-readable medium, system, and vehicle | |
US11687394B2 (en) | Method for testing a computer reset device | |
JP4639920B2 (ja) | 電子制御装置 | |
JP2024049544A (ja) | 車両制御装置 | |
CN116700224A (zh) | 车辆的功能安全机制故障的检测方法及装置 | |
CN115668191A (zh) | 控制系统 | |
JP2021033700A (ja) | 電子制御装置 | |
CN115017496A (zh) | 一种可信启动方法、安全处理器以及介质 | |
CN117240459A (zh) | 密码运算方法、密码运算模块、芯片及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |