DE102017211568A1 - ELECTRONIC CONTROL UNIT - Google Patents
ELECTRONIC CONTROL UNIT Download PDFInfo
- Publication number
- DE102017211568A1 DE102017211568A1 DE102017211568.8A DE102017211568A DE102017211568A1 DE 102017211568 A1 DE102017211568 A1 DE 102017211568A1 DE 102017211568 A DE102017211568 A DE 102017211568A DE 102017211568 A1 DE102017211568 A1 DE 102017211568A1
- Authority
- DE
- Germany
- Prior art keywords
- memory protection
- memory
- microcomputer
- access
- interrupt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 abstract description 53
- 230000006870 function Effects 0.000 abstract description 21
- 238000012544 monitoring process Methods 0.000 description 14
- 230000000875 corresponding effect Effects 0.000 description 9
- 230000005856 abnormality Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000010365 information processing Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/073—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a memory management context, e.g. virtual memory or cache management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0772—Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1041—Resource optimization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/17—Embedded application
- G06F2212/173—Vehicle or other transportation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2139—Recurrent verification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Eine elektronische Steuereinheit (10) beinhaltet einen Mikrocomputer (12), welcher einen Speicherschutzteil (22, 24, 28) zum Verbieten, als einen verletzenden Zugriff, eines Zugriffs auf einen anderen Bereich als einen zugriffserlaubten Speicherbereich und Erzeugen, bei Auftreten des verletzenden Zugriffs, eine Speicherschutzverletzungsunterbrechung umfasst. Der Mikrocomputer (12) zählt eine Häufigkeit von verletzenden Zugriffen und invalidiert die Erzeugung der Speicherschutzverletzungsunterbrechung in dem Fall, in dem ein Zählwert der verletzenden Zugriffe einen vorbestimmten Zählwert erreicht. Nach der Invalidierung der Speicherschutzverletzungsunterbrechung wird der Mikrocomputer in die Lage versetzt, damit fortzufahren, Programme auszuführen, ohne eine gegenwärtig ausgeführte Verarbeitung zu beenden oder eine Betriebssystemverarbeitung neu zu beginnen. Da der Speicherschutzteil seine Speicherschutzfunktion fortsetzt, werden die Programme sicher ausgeführt.An electronic control unit (10) includes a microcomputer (12) having a memory protection part (22, 24, 28) for prohibiting, violating access, access to a region other than an accessable memory area, and generating at the time of the infringing access, includes a memory protection interrupt. The microcomputer (12) counts a frequency of violating accesses and invalidates the generation of the memory protection violation interrupt in the case where a count of the violating accesses reaches a predetermined count value. After invalidating the memory protection interrupt, the microcomputer is enabled to continue executing programs without terminating currently executing processing or restarting operating system processing. As the memory protection part continues its memory protection function, the programs are safely executed.
Description
Die Erfindung betrifft eine elektronische Steuereinheit mit einem Mikrocomputer, welcher einen Zugriff auf andere Speicherbereiche als zugriffserlaubte Speicherbereiche verbietet und eine Speicherschutzverletzungsunterbrechung erzeugt, wenn ein verletzender Zugriff auftritt. The invention relates to an electronic control unit having a microcomputer which prohibits access to memory areas other than authorized memory areas and generates a memory protection interrupt when an offending access occurs.
Die Druckschrift
Die Informationsverarbeitungseinheit beinhaltet weiter einen Datenspeicherteil, einen Erlaubnis- und Verbotsinformationsteil bzw. Erlaubnis/Verbotsinformationsänderungsteil und einen Sicherungsteil. Der Datenspeicherteil speichert Daten, die in einer Adresse des Speichers gespeichert sind, auf welche die CPU einen Speicherzugriff durchgeführt hat, aus dem Speicher in einen Sicherungs- bzw. Speicherbereich zusammen mit der Adresse, auf die zugegriffen wurde, wenn der Zugriffsüberwachungsteil erfasst, dass der Speicherzugriff auf den Speicher durchgeführt wurde, welcher durch die das Anwendungsprogramm ausführende CPU verboten wurde. Der Erlaubnis/Verbotsinformationsänderungsteil ändert die Erlaubnis/Verbotsinformation dazu, den Zugriff auf die Adresse zu erlauben, auf welche die CPU den Speicherzugriff durchgeführt hat. Der Sicherungsteil sichert die Daten aus dem Speicher in einen Sicherungsbereich zusammen mit der entsprechenden Adresse in Kombination, nachdem die CPU, welche das Anwendungsprogramm ausführt, den Zugriff auf den verbotenen Speicher zugeführt hat. Der Sicherungsteil ist dazu konfiguriert, die in dem Sicherungsbereich gespeicherten Daten an die entsprechende Adresse wiederherzustellen, bevor die CPU das Anwendungsprogramm, in welchem die CPU den verbotenen Speicherzugriff durchgeführt hat, das nächste Mal ausführt. Wenn der Sicherungsteil die Daten in dem Sicherungsbereich wiederherstellt, werden die Daten an bzw. in der entsprechenden Adresse durch den Datensicherungs- bzw. Datenspeicherteil in dem Sicherungs- bzw. Speicherbereich gesichert bzw. gespeichert. The information processing unit further includes a data storage part, a permission and prohibition information part, and a backup part. The data storage section stores data stored in an address of the memory to which the CPU has made a memory access from the memory into a save area together with the address accessed when the access monitoring section detects that the Memory access was made to the memory, which was banned by the executing the application program CPU. The permission / prohibition information changing part changes the permission / prohibition information to allow access to the address to which the CPU has made the memory access. The backup part saves the data from the memory into a backup area together with the corresponding address in combination after the CPU executing the application program has accessed the prohibited memory. The backup part is configured to restore the data stored in the backup area to the corresponding address before the CPU next executes the application program in which the CPU has performed the prohibited memory access. When the backup part restores the data in the backup area, the data is saved at the corresponding address by the backup part in the save area.
Wenn eine Zugriffsverletzung auftritt, führt eine Speicherschutzschaltung allgemein eine Ausnahmeverarbeitung durch, indem sie eine Speicherschutzverletzungsunterbrechung erzeugt, die die gegenwärtig ausgeführte Verarbeitung (Befehle verwerfend) beendet, und der CPU eine nächste Verarbeitung oder einen Neustart eines Betriebssystems bzw. OS zuweist. In Übereinstimmung mit dieser Ausnahmeverarbeitung wird die Ausführung von Programmen beschränkt. In Übereinstimmung mit der vorstehend beschriebenen Informationsverarbeitungseinheit ist es jedoch möglich, die Ausführung von Anwendungsprogrammen auch in dem Fall fortzusetzen, in dem die Zugriffsverletzung auftritt. When an access violation occurs, a memory protection circuit generally performs exception processing by generating a memory violation interrupt that terminates the currently executing processing (discarding commands) and assigns the CPU next processing or restart of an OS. In accordance with this exception processing, the execution of programs is restricted. However, in accordance with the information processing unit described above, it is possible to continue the execution of application programs even in the case where the access violation occurs.
Die vorstehend beschriebene Informationsverarbeitungseinheit erfordert extra bzw. zusätzliche Speicherbereiche zum redundanten Speichern und Sichern von Daten. Da die Speicherschutzschaltung die Ausnahme erzeugt, wenn die Zugriffsverletzung auftritt, darüber hinaus zum Sichern von Daten oder Ausführen der Änderungsverarbeitung von Erlaubnis/Verbotsinformation und zum Übertragen der Daten aus dem Sicherungsbereich nach dem Speichern der Daten in dem Speicherbereich zurzeit des Umschaltens von Anwendungen. Infolge dessen nimmt ein Überhang zu. The information processing unit described above requires extra and additional memory areas for redundantly storing and saving data. Further, since the memory protection circuit generates the exception when the access violation occurs, further for saving data or executing the permission / prohibition information change processing and transferring the data from the backup area after storing the data in the memory area at the time of switching applications. As a result, an overhang increases.
Die Erfindung adressiert das vorstehend beschriebene Problem und hat als eine Aufgabe, eine elektronische Steuereinheit bereitzustellen, welche in der Lage ist, Programme sicher und ohne Zunahme von Speicherbereichen und Überhang kontinuierlich auszuführen. The invention addresses the problem described above and has as an object to provide an electronic control unit which is capable of executing programs continuously and without increasing storage areas and overhang continuously.
In Übereinstimmung mit der Erfindung beinhaltet eine elektronische Steuereinheit einen Mikrocomputer, welcher einen Speicherschutzteil zum Verbieten, als einen verletzenden Zugriff, eines Zugriffs auf einen anderen Bereich als einen zugriffserlaubten Speicherbereich und Erzeugen, bei Auftreten des verletzenden Zugriffs, einer Speicherschutzverletzungsunterbrechung umfasst. Der Mikrocomputer ist dadurch gekennzeichnet, dass er ferner einen Zählteil und einen Invalidationsteil umfasst. Der Zählteil zählt eine Häufigkeit von verletzenden Zugriffen. Der Invalidationsteil invalidiert die Erzeugung der Speicherschutzverletzungsunterbrechung in dem Fall, in dem ein durch den Zählteil gezählter Zählwert der verletzenden Zugriffe einen vorbestimmten Zählwert erreicht. In accordance with the invention, an electronic control unit includes a microcomputer that includes a memory protection part for prohibiting, violating access, accessing a region other than an accessable memory area, and generating, at the occurrence of the offending access, a memory protection interruption. The microcomputer is characterized by further comprising a counting part and an invalidating part. The count part counts a frequency of infringing accesses. The invalidating part invalidates the generation of the memory protection interruption interrupt in the case where a counted count of the violating accesses counted by the counting part reaches a predetermined count value.
Die Erfindung wird nachstehend unter Bezugnahme auf ein in den Zeichnungen gezeigtes, beispielhaftes Ausführungsbeispiel beschrieben. Eine elektronische Steuereinheit gemäß dem vorliegenden Ausführungsbeispiel wird dazu verwendet, zum Beispiel eine fahrzeuginterne Einrichtung wie etwa eine elektronische Drosselklappe eines Fahrzeugs zu steuern. The invention will be described below with reference to an exemplary embodiment shown in the drawings. An electronic control unit according to the present embodiment is used to control, for example, an in-vehicle device such as an electronic throttle valve of a vehicle.
Das Steuerobjekt der elektronischen Steuereinheit gemäß der Erfindung ist nicht auf die elektronische Drosselklappe beschränkt, sondern kann andere fahrzeuginterne Einrichtungen sein. Ferner kann das Steuerobjekt eine andere Einrichtung als die fahrzeuginterne Einrichtung sein. The control object of the electronic control unit according to the invention is not limited to the electronic throttle but may be other in-vehicle devices. Further, the control object may be a device other than the in-vehicle device.
Wie in
Zusätzlich zu der Eingangsschaltung
Wenn der Mikrocomputer
Die Speicherschutzschaltung
Die Speicherbereicheinstelldaten, welche in dem Speicherschutzeinstellregister
Die Speicherbereicheinstelldaten werden durch Ausführung des Betriebssystemprogramms in dem Speicherschutzeinstellregister
Das Speicherschutzeinstellregister
Der vorstehend beschriebene Speicher ist in den meisten Fällen das RAM
Wenn die Speicherschutzschaltung
Die integrierte Überwachungsschaltung des Mikrocomputers
Falls die Speicherschutzverletzung aus permanenter Abnormalität, wie beispielsweise Programmfehlern, auftritt, wird die Speicherschutzverletzungsunterbrechung wiederholt, und besteht die Möglichkeit, den Mikrocomputer
Aus diesem Grund ist in Übereinstimmung mit dem vorliegenden Ausführungsbeispiel das Speicherschutzverletzungsunterbrechungseinstellregister
Zusätzlich zu dem vorstehend beschriebenen Speicherschutz führt die CPU
In dem vorliegenden Ausführungsbeispiel ist der Mikrocomputer
Wenn die Erzeugung der Speicherschutzverletzungsunterbrechung auf ungültig gesetzt ist, wird der Zugriff auf den Speicher durch den verletzenden Zugriff verboten. Es ist jedoch weiterhin möglich, dass der verletzende Zugriff selbst fortwährend erzeugt wird. Falls das Programm ohne Beschränkung fortgesetzt ausgeführt wird, kann der verletzende Zugriff auf den Speicher nicht verboten bzw. verhindert werden, wenn ein Fehler bzw. Ausfall in der Speicherschutzschaltung
Die von der CPU
In dem Ablaufdiagramm von
Die Speicherschutzschaltung
Falls der Zugriff bei Schritt S110 als der normale Zugriff ermittelt wird, wird bei S120 der Zugriff auf den Speicher erlaubt. Falls der Zugriff bei S110 als der verletzende Zugriff ermittelt wird, wird bei S130 der Zugriff auf den Speicher verboten. In dem folgenden Schritt S140 wird der Fehlersteuerschaltung
Die Verarbeitung, die in der Fehlersteuerschaltung
In Schritt S210 prüft die Fehlersteuerschaltung
Als Nächstes wird die in dem Ablaufdiagramm von
Falls der Zählwert des Speicherschutzverletzungszählers bei Schritt S300 gleich oder kleiner ist, wird Schritt 310 ausgeführt, um die Speicherschutzverletzungsunterbrechung in dem Speicherschutzverletzungsunterbrechungseinstellregister
Bei dem folgenden Schritt S330 wird eine Warnleuchte in einem Instrumentenfeld vor dem Fahrer aktiviert, d. h. dazu angesteuert, einzuschalten und dadurch den Fahrer über die Abnormalität zu benachrichtigen, welche bewirken wird, dass die Speicherschutzverletzung kontinuierlich auftritt. Zurzeit des Aufleuchtens der Warnleuchte wird die Speicherschutzverletzungsunterbrechung invalidiert, aber arbeitet die Speicherschutzfunktion in gültiger Weise. Infolge dessen werden die Daten in dem Speicher nicht fehlerhaft überschrieben, und wird die Steuerung sicher fortgesetzt. At the following step S330, a warning lamp is activated in an instrument panel in front of the driver, i. H. to turn on, thereby notifying the driver of the abnormality that will cause the memory protection violation to occur continuously. At the time the warning light comes on, the memory protection interrupt is invalidated, but the memory protection function operates properly. As a result, the data in the memory is not erroneously overwritten, and the control is safely continued.
Bei dem folgenden Schritt S340 wird eine Invalidierungszeitspanne gemessen, nachdem die Speicherschutzverletzungsunterbrechung auf ungültig gesetzt worden ist. Bei Schritt S350 wird geprüft, ob die Invalidierungszeitspanne gleich oder länger ist als eine vorbestimmte Zeitspanne. Falls die Invalidierungszeitspanne als gleich oder länger als die vorbestimmte Zeitspanne ermittelt wird, wird Schritt S360 ausgeführt, um die Ausschaltausgabe über die Ausgangsschaltung
In der Verarbeitung des Ablaufdiagramms von
Falls die Speicherzugriffsverletzung fortdauernd bzw. beständig auftritt, wird der Mikrocomputer
Wenn der Mikrocomputer
Falls der Zählwert des Speicherschutzverletzungszählers den vorbestimmten Wert erreicht, das heißt, falls die Speicherschutzverletzungsunterbrechung auf ungültig gesetzt wird, misst das Sicherheitsfunktionsprogramm die Invalidierungszeitspanne der Speicherschutzverletzungsunterbrechung und führt eine Verarbeitung zum Aktivieren der Warnleuchte aus. Wenn die Invalidierungszeitspanne als länger als die vorbestimmte Zeitspanne ermittelt wird, legt das Sicherheitsfunktionsprogramm die Ausschaltausgabe über die Ausgangsschaltung
Nachstehend wird eine Rücksetzverarbeitung zum Zurücksetzen des Speicherschutzverletzungszählers und der Invalidierungszeitspanne unter Bezugnahme auf das Ablaufdiagramm von
Bei einem ersten Schritt S500 wird der Fahrzyklus zu bzw. bei der Endezeit des Fahrzyklus aktualisiert. In einem nächsten Schritt S510 wird der Zählwert des Speicherschutzverletzungszählers, der in dem vorangehenden Zyklus gespeichert wurde, ausgelesen. Der Zählwert des Speicherschutzverletzungszählers wird mit dem entsprechenden Fahrzyklus kombiniert, das heißt, der Zählwert und der Fahrzyklus werden korreliert, und als die Kombination in einem Speicher gespeichert, welcher in der Lage ist, deren Inhalte auch nach dem Ausschalten des Zündschalters zu speichern, wie beispielsweise ein nicht-flüchtiger Speicher und ein stromgestütztes RAM. At a first step S500, the drive cycle is updated at or at the end time of the drive cycle. In a next step S510, the count value of the memory protection violation counter stored in the previous cycle is read out. The count value of the memory protection violation counter is combined with the corresponding drive cycle, that is, the count value and the drive cycle are correlated and stored as the combination in a memory capable of storing their contents even after the ignition switch is turned off, such as a non-volatile memory and a powered RAM.
Bei einem nächsten Schritt S520 wird der aktuelle Zählwert des Speicherschutzverletzungszählers ausgelesen. Dann werden bei einem Schritt S530 der vorangehende Zählwert des Speicherschutzverletzungszählers, der in dem vorangehenden Fahrzyklus gespeichert wurde, und der aktuelle Wert des Speicherschutzverletzungszählers verglichen, um zu prüfen, ob die beiden Zählwerte gleich sind. Der Speicherschutzverletzungszähler behält seinen Zählwert ungeachtet des Einschaltens und Ausschaltens des Zündschalters bei, bis sein Zählwert bei Schritt S400 in dem Ablaufdiagramm von
Es wird angemerkt, dass die Speicherschutzverletzungsunterbrechung als ein Teil einer Initialisierungsverarbeitung dann, wenn der Zündschalter eingeschaltet und der aktuelle Fahrzyklus begonnen wird, auf gültig gesetzt wird. Aus diesem Grund wird in dem Fall, dass die Speicherschutzverletzung in dem aktuellen Fahrzyklus auftritt, die Fehlerverarbeitung im Ansprechen auf die Speicherschutzverletzungsunterbrechung ausgeführt, und wird der Zählwert des Speicherschutzverletzungszählers inkrementiert. Falls keine Speicherschutzverletzung in dem aktuellen Fahrzyklus auftritt, bleibt der Zählwert des Speicherschutzverletzungszählers derselbe wie der Zählwert des Speicherschutzverletzungszählers, der in dem vorangehenden Zyklus gespeichert wurde. It is noted that the memory protection interrupt is set to valid as part of an initialization process when the ignition switch is turned on and the current drive cycle is started. For this reason, in the case that the memory protection violation occurs in the current drive cycle, the error processing is executed in response to the memory protection interruption, and the count value of the memory protection violation counter is incremented. If no memory protection violation occurs in the current drive cycle, the count value of the memory protection violation counter remains the same as the count value of the memory protection violation counter stored in the previous cycle.
Es wird ferner angemerkt, dass kein Umschalten der Festlegung der Speicherschutzverletzungsunterbrechung auf gültig oder ungültig in Entsprechung zu dem Zählwert der Speicherschutzverletzungsunterbrechung als ein Teil der Initialisierungsverarbeitung nicht erfolgt, bis zumindest ein Auftreten der Speicherschutzverletzung ermittelt wird, nachdem die Speicherschutzverletzungsunterbrechung auf gültig gesetzt ist. Folglich ist es auch dann, wenn der Zählwert des Speicherschutzverletzungszählers inkrementiert wurde, bis die Speicherschutzverletzungsunterbrechung in dem vorangehenden Fahrzyklus auf ungültig gesetzt worden war, möglich, zumindest ein Auftreten der Speicherschutzverletzung durch den Speicherschutzverletzungszähler in dem aktuellen Fahrzyklus zu zählen. It is further noted that switching the determination of the memory protection interrupt to valid or invalid corresponding to the count of the memory protection interrupt as part of the initialization processing does not occur until at least one occurrence of the memory protection violation is determined after the memory protection interrupt is set to valid. Consequently, even if the count value of the memory protection violation counter has been incremented until the memory protection interruption has been invalidated in the preceding drive cycle, it is possible to count at least one occurrence of the memory protection violation by the memory protection violation counter in the current drive cycle.
Die vorstehend unter Bezugnahme auf ein bevorzugtes Ausführungsbeispiel beschriebene Erfindung ist nicht auf das offenbarte Ausführungsbeispiel beschränkt, sondern kann mit verschiedenartigen Modifikationen implementiert werden. The invention described above with reference to a preferred embodiment is not limited to the disclosed embodiment but may be implemented with various modifications.
Zum Beispiel kann in dem vorstehend beschriebenen Ausführungsbeispiel die vorbestimmte Zeitspanne, die dazu verwendet wird, mit der Invalidierungszeitspanne zum Ermitteln des Zeitpunkts des Anlegens der Ausschaltausgabe an die Drosselklappenmotoransteuerschaltung
Ferner wird in dem vorstehend beschriebenen Ausführungsbeispiel geprüft, ob die Abnormalität mit Bezug zu der Speicherschutzverletzung beseitigt ist, indem der aktuelle Zählwert des Speicherschutzverletzungszählers, der zur Endezeit des aktuellen Fahrzyklus bereitgestellt wurde, mit dem vorangehenden Zählwert des Speicherschutzverletzungszählers, welcher zur Endezeit (erster Zeitpunkt) des vorangehenden Fahrzyklus gespeichert wurde, verglichen wird. Jedoch braucht der Zeitpunkt (zweiter Zeitpunkt) des Messens des Zählwerts des Speicherschutzverletzungszählers in dem aktuellen Fahrzyklus nicht immer bei der Endezeit des aktuellen Fahrzyklus liegen, sondern kann bei einem Zeitpunkt liegen, welcher ein ausreichendes Zeitintervall zum zumindest einmaligen Ausführen des Programms, das die Speicherschutzverletzung verursacht, nach dem Beginnen des aktuellen Fahrzyklus sicherstellt. Further, in the above-described embodiment, it is checked whether the abnormality related to the memory protection violation is eliminated by the current count value of the memory protection violation counter provided at the end time of the current drive cycle with the previous count value of the memory protection violation counter which is at the end time (first time). of the previous drive cycle is compared. However, the timing (second timing) of measuring the count value of the memory protection violation counter in the current drive cycle need not always be at the end time of the current drive cycle, but may be at a time which is a sufficient time interval for executing the program at least once to cause the memory protection violation Ensures after starting the current drive cycle.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- JP 2014-137734 A [0002] JP 2014-137734 A [0002]
Claims (5)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016-147634 | 2016-07-27 | ||
JP2016147634A JP6589767B2 (en) | 2016-07-27 | 2016-07-27 | Electronic control unit |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102017211568A1 true DE102017211568A1 (en) | 2018-02-01 |
DE102017211568B4 DE102017211568B4 (en) | 2022-04-28 |
Family
ID=60951528
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017211568.8A Active DE102017211568B4 (en) | 2016-07-27 | 2017-07-06 | ELECTRONIC CONTROL UNIT |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6589767B2 (en) |
DE (1) | DE102017211568B4 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014137734A (en) | 2013-01-17 | 2014-07-28 | Toyota Motor Corp | Information processor and program |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006235924A (en) * | 2005-02-24 | 2006-09-07 | Denso Corp | Electronic control device for detecting execution address abnormality of program |
US8566940B1 (en) | 2009-11-25 | 2013-10-22 | Micron Technology, Inc. | Authenticated operations and event counters |
JP5942778B2 (en) * | 2012-10-22 | 2016-06-29 | トヨタ自動車株式会社 | Information processing device |
JP5975923B2 (en) * | 2013-03-29 | 2016-08-23 | 日立オートモティブシステムズ株式会社 | Vehicle control device |
JP6323235B2 (en) * | 2014-07-29 | 2018-05-16 | 株式会社デンソー | Electronic control unit |
-
2016
- 2016-07-27 JP JP2016147634A patent/JP6589767B2/en active Active
-
2017
- 2017-07-06 DE DE102017211568.8A patent/DE102017211568B4/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014137734A (en) | 2013-01-17 | 2014-07-28 | Toyota Motor Corp | Information processor and program |
Also Published As
Publication number | Publication date |
---|---|
JP6589767B2 (en) | 2019-10-16 |
DE102017211568B4 (en) | 2022-04-28 |
JP2018018274A (en) | 2018-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2946081A1 (en) | ARRANGEMENT FOR MONITORING THE FUNCTION OF A PROGRAMMABLE ELECTRONIC CIRCUIT | |
DE19929796B4 (en) | Apparatus and method for rewriting data from a volatile memory to a nonvolatile memory | |
DE19847677C2 (en) | Computers, methods and devices for preventing unauthorized access to a computer program | |
DE102014222860A1 (en) | Electronic vehicle control unit | |
WO2016156095A1 (en) | Method for protecting security-relevant data in a cache memory | |
DE112019007432T5 (en) | ELECTRONIC CONTROL UNIT AND PROGRAM | |
DE102016200130B4 (en) | Electronic control device | |
DE102017211568B4 (en) | ELECTRONIC CONTROL UNIT | |
WO2015135704A1 (en) | Device and method for detecting a manipulation to a program code | |
DE102014011665A1 (en) | System and method for DMA operation with high integrity | |
WO2020048756A1 (en) | Method for installing a program code packet onto a device, device, and motor vehicle | |
DE102016203965A1 (en) | Monitoring a computing system | |
DE102006003147B4 (en) | Method of restoring control of a continuously resetting control unit | |
DE102022100458A1 (en) | ON-BOARD INFORMATION PROCESSING EQUIPMENT, INFORMATION PROCESSING METHOD AND COMPUTER READABLE STORAGE MEDIA | |
EP1894101A1 (en) | Method and apparatus for monitoring unauthorized access to the memory of an arithmetic unit, especially in a motor vehicle | |
DE102017219195B4 (en) | PROCEDURE FOR ENSURE OPERATION OF A COMPUTER | |
DE102015208598A1 (en) | ELECTRONIC CONTROL UNIT | |
DE102017208872A1 (en) | Electronic control unit | |
DE112020007129T5 (en) | INFORMATION PROCESSING DEVICE AND INFORMATION PROCESSING METHOD | |
DE102019208129B4 (en) | Electronic control unit | |
EP3893113B1 (en) | Monitoring of a component of a control system for a moving means | |
DE102018219700A1 (en) | control device | |
DE102020106811A1 (en) | DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE | |
DE102004048945B4 (en) | System monitoring unit | |
DE102020103229B4 (en) | BACKING UP A STORAGE DEVICE |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R084 | Declaration of willingness to licence |