JP2006338426A - 計算機システム - Google Patents
計算機システム Download PDFInfo
- Publication number
- JP2006338426A JP2006338426A JP2005163425A JP2005163425A JP2006338426A JP 2006338426 A JP2006338426 A JP 2006338426A JP 2005163425 A JP2005163425 A JP 2005163425A JP 2005163425 A JP2005163425 A JP 2005163425A JP 2006338426 A JP2006338426 A JP 2006338426A
- Authority
- JP
- Japan
- Prior art keywords
- control
- access
- control mode
- input
- tasks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】
従来の制御装置では、可用性を担う部分装置と安全性を担う部分装置に分けた構成とするのが一般的であり、装置物量の増大を招いていた。
【解決手段】
通常制御モードと安全制御モードが切り替わるときに、共有リソースに対するプロセッサ側および入出力装置側からのアクセス制御状態を変更することで、同一の計算機システム上において両方の制御モードを共存させる。そのために、複数のタスクを実行可能であり、前記複数のタスクで利用する共有リソースを備え、複数の制御モードを有し、前記の各制御モードのもとで1つ以上のタスクを実行する計算機システムにおいて、前記制御モード毎に前記各タスクから前記共有リソースへのアクセスに対するアクセス制御状態を適用し、かつ前記制御モードの切り替えに同期して前記アクセス制御状態を切り替える構成とする。
【選択図】図1
従来の制御装置では、可用性を担う部分装置と安全性を担う部分装置に分けた構成とするのが一般的であり、装置物量の増大を招いていた。
【解決手段】
通常制御モードと安全制御モードが切り替わるときに、共有リソースに対するプロセッサ側および入出力装置側からのアクセス制御状態を変更することで、同一の計算機システム上において両方の制御モードを共存させる。そのために、複数のタスクを実行可能であり、前記複数のタスクで利用する共有リソースを備え、複数の制御モードを有し、前記の各制御モードのもとで1つ以上のタスクを実行する計算機システムにおいて、前記制御モード毎に前記各タスクから前記共有リソースへのアクセスに対するアクセス制御状態を適用し、かつ前記制御モードの切り替えに同期して前記アクセス制御状態を切り替える構成とする。
【選択図】図1
Description
本発明は、計算機システムに関するものである。
機器の制御装置に適用される制御用計算機では、構成部品の故障や制御プログラムのバグ等によって危険な動作を引き起こさないよう、ハードウェア・ソフトウェア両面から適切な保護を施す必要がある。特に、プログラムおよびデータが格納されるメモリ、ないし入出力装置等の共有リソースを、上記の故障およびバグによる意図しないアクセスから保護するためのアクセス制御手段は、最も重要な機能の一つである。アクセス制御手段の実現に関して、制御プログラムのバグ等が原因でプロセッサがメモリ上の重要な領域に誤ってアクセスしないよう、アドレス変換機構を利用してメモリ領域の保護を実現する方式が知られている。これは、プロセッサに内蔵されているMemory Management Unit(MMU)において、プログラムからのアクセスを許可するメモリ領域の情報のみを登録し、それ以外の領域へのアクセスに対してはアクセス違反例外を発生させるようにすることで、本来アクセスされるべきでないメモリ領域への誤アクセスを防ぐものである。
そのほか、特許文献1のメモリアクセス保護装置において、バス上に出力されたアドレスを監視することにより、所定のメモリ領域に対するアクセスを制御する例が開示されている。
プログラマブル電子装置に要求される信頼性の要素には可用性と安全性がある。機器の制御では可用性が重要となり、機器の保護では安全性が重要となる。これら2要素の実現手段は二律背反している部分が多い。
このため、従来は可用性を担う部分装置と安全性を担う部分装置に分けた構成とするのが一般的であった。このために装置の物量が増大するだけでなく、運転・保守作業の重複や複雑化が人的要素の信頼性低下を招くことがあった。
本発明の目的は、装置物量の削減および高性能化と、安全性を両立する高信頼のプログラマブル電子装置を提供することにある。
高い安全性が要求される制御用計算機では、メモリないし入出力装置等の共有リソースに対して、プロセッサで実行される制御タスクから誤アクセスが発生する場合のみならず、入出力装置自体の故障等によりメモリないし他の入出力装置への誤アクセスが発生する場合までも考慮し、それらを抑止可能なようにアクセス制御手段を構成する必要がある。
MMUのアドレス変換機能を利用するアクセス制御は、制御プログラムのバグ等によるプロセッサからの誤アクセスには有効である。しかし、入出力装置側から共有リソースへのアクセスはスループットの向上を目的として、Direct Memory Access(DMA)方式によりプロセッサを介さずに行われることも多い。そのようなアクセス経路に対しては、
MMUを用いるアクセス制御手段では適切な保護を行うことができない。
MMUを用いるアクセス制御手段では適切な保護を行うことができない。
同一の制御用計算機上で、機器制御を目的とする通常制御と、機器の保護を目的とする安全制御とを共存させることを考えた場合、各々のモードに対応する制御タスクと、それに対応する入出力装置がそれぞれ同一の計算機システム内に混在することになる。このとき、通常制御モードと安全制御モードが切り替わる際にプロセッサから共有リソースへのアクセスに対するアクセス制御状態を切り替える必要があるのはもちろんのことであるが、前述の理由から、入出力装置側から共有リソースへのアクセスに対するアクセス制御状態も切り替える必要がある。
上記課題を解決するための計算機システムは、制御のための演算操作を実行する1つ以上の制御タスク実行手段と、前記制御動作に付随して外部機器に対して入出力操作を実行する1つ以上の入出力タスク実行手段とを備え、前記制御タスク実行手段と入出力タスク実行手段は、それぞれ通常制御を目的とするタスクを実行するモードと安全制御目的のタスクを実行するモードを有する。
加えて、前記計算機システムは、前記通常制御モードと前記安全制御モードとを切り替えるための制御モード切替手段と、前記制御タスク群および入出力タスク群が共有するリソースであるメモリおよび入出力装置と、前記制御タスクと前記入出力タスクの各々にそれぞれ対応するアクセス制御情報に従い、前記各タスクから前記共有リソースへのアクセス可否を判定するアクセス制御手段、を備える計算機システムであって、前記通常制御モードと前記安全制御モードとの切り替えに同期して、前記制御タスクと前記入出力タスクのそれぞれに対応するアクセス制御手段に対し、前記各制御モード毎に予め定めたアクセス制御情報を設定することを特徴とする。
また、複数のタスクが実行可能なタスク実行手段と、各タスクを実行する際に使用するメモリと、各タスクが実行する際に利用するメモリ上のアドレス領域の情報又は読み書き許可情報を記憶するアクセス制御情報テーブルと、タスク実行手段はアクセス制御情報テーブルに記憶されたアドレス領域の情報又は読み書き許可情報に基づいて実行するタスクに対応するメモリのアドレスにアクセスするものとする。
本発明によれば、プロセッサ等による演算が主である制御タスクと、入出力装置とメモリの間のデータ転送が主である入出力タスクの両方に共有リソースへのアクセス制御を適用することで、故障およびバグによる意図しないアクセスから共有リソースを保護することが可能となり、計算機システムの安全性を向上させることが可能となる。加えて、安全制御モードに属する制御タスクおよび入出力タスクと、通常制御モードに属する制御タスクおよび入出力タスクに対し、異なるアクセス制御状態を割り当て、制御モードの切り替え時にアクセス制御状態も同期して切り替えることで、同一の計算機システム上において両方の制御モードを共存させることができ、安全性と性能との両立が図れる。
本発明は、計算機システム内の共有リソースへの意図しないアクセスを抑止し、前記共有リソースを保護するアクセス制御装置およびその実現方式に関する。
以下、図面を参照し、本発明の実施例について説明する。以降の実施例では、計算機システムが有する制御モードとして通常制御モードと安全制御モードの2つを用いている。しかしながら、本発明の実施にあたっては、制御モードを前記の2つのみに限定する必要はない。
例えば、安全制御に関しては、制御対象への影響度によりいくつかの安全レベルを設け、そのそれぞれに対して制御モードを割り当ててもよい。
また、制御モードを分ける基準が必ずしも安全性に基づく必要もない。例えば、目的の異なる複数の制御動作を行わせる場合、それぞれの目的に対して制御モードを割り当ててもよい。
図1に、本発明における第1の実施例である計算機システムの全体構成を示す。制御モード切替手段7は、オペレーティングシステム6より制御モード切り替え指示信号601を受け取ることにより、制御タスク実行手段1および入出力タスク実行手段2の制御モードを通常制御モードと安全制御モードに交互に切り替える。
制御タスク実行手段1は、制御モード指示信号701により指定される制御モードに切り替わり、現在の制御モードに対応する制御タスクを実行する。すなわち、制御モード指示信号701により通常制御モード11が指示されている間は通常制御タスクを実行し、制御モード指示信号701により安全制御モード12が指示されている間は安全制御タスクを実行する。入出力タスク実行手段2も同様であり、制御モード指示信号701で指示される制御モードに対応して通常入出力タスクまたは安全入出力タスクを実行する。
なお、制御タスク実行手段1および入出力タスク実行手段2は、マイクロプロセッサ回路、所定のシーケンスに従って動作する専用回路、あるいはその他の公知技術を任意に用いて構成することが可能であり、それによって本発明の内容が制約を受けることはない。
制御タスク実行手段1は、アドレス信号101とリード/ライト要求信号102、およびデータ信号103によってアクセス制御装置3に接続される。入出力タスク実行手段
2も同様に、アドレス信号201とリード/ライト要求信号202、およびデータ信号
203によってアクセス制御装置3に接続される。また、アクセス制御装置3は、メモリ制御信号401および入出力装置制御信号501によりメモリ4と入出力装置5に接続される。
2も同様に、アドレス信号201とリード/ライト要求信号202、およびデータ信号
203によってアクセス制御装置3に接続される。また、アクセス制御装置3は、メモリ制御信号401および入出力装置制御信号501によりメモリ4と入出力装置5に接続される。
次に、アクセス制御装置3におけるアクセス制御動作について説明する。以下の説明では制御タスク実行手段1からメモリ4および入出力装置5へのアクセス経路に着目するが、入出力タスク実行手段2からのアクセス経路についても同様であり、説明は省略する。
図2に、制御モード切替手段7に備わっているアクセス制御情報テーブル71の構成を示す。アクセス制御情報テーブル71には、通常制御モードと安全制御モードの各々と、制御タスク実行手段1と入出力タスク実行手段2の各々による組み合わせ毎に、メモリ4および入出力装置5に対してアクセスすることを許可されるアドレス領域の情報712と、読み/書きに関する許可情報713の組が格納されている。アドレス領域情報712として、下限/上限アドレスの組による表現や、メモリをページ単位で区切ったマップ表現などを任意で用いてよい。
図3に、アクセス制御情報テーブル71により制御モード毎に定義される、アクセス制御状態の例をメモリマップの形で示す。
アクセス制御情報テーブル71は、内部に格納されているアドレス領域情報712と読み書き許可情報713の組のうち、現在の制御モードに対応する組をアクセス制御情報
711として出力する。制御モード切替手段7により制御モードが切り替わる時には、新たな制御モードに対応するアクセス制御情報711を図2のアクセス制御情報テーブル
71から選択し、図1の領域判定手段33および35へ出力する。
711として出力する。制御モード切替手段7により制御モードが切り替わる時には、新たな制御モードに対応するアクセス制御情報711を図2のアクセス制御情報テーブル
71から選択し、図1の領域判定手段33および35へ出力する。
図1において、制御タスク実行手段1がメモリ4ないし入出力装置5に対してアクセス要求を発行する場合は、入出力バッファ13からアクセス要求ポート31に対してアドレス信号101を出力する。このとき、リード/ライト要求信号102としてリード要求に対応する値(例えば論理‘1’)またはライト要求対応する値(例えば論理‘0’)をあわせて出力し、さらにライト要求時にはデータ信号103として書き込む値を出力する。制御タスク実行手段1によってアクセス要求ポート31に設定されたデータのうち、アドレス信号311とリード/ライト要求信号312とは領域判定手段33へ入力される。領域判定手段33は、アクセス制御情報テーブル71より出力されるアクセス制御情報711を用いて、制御タスク実行手段1からのアクセス要求を許可すべきか否かを判定する。すなわち、アドレス信号311で示されるアドレスがアクセスを許可された領域に含まれており、かつ、書き込みが禁止されている領域への書き込みでないアクセス要求であればアクセス許可と判定する。
領域判定手段33による判定の結果は、ゲート制御信号331によりゲート回路34に伝えられる。領域判定手段33によりアクセス許可と判定された場合にはゲート回路34が開かれ、アクセス実行手段37によってメモリ4ないし入出力装置5へのアクセスが開始される。領域判定手段33によりアクセス不許可と判定された場合、ゲート回路34は閉鎖され、メモリ4ないし入出力装置5へのアクセスは実行されない。また、オペレーティングシステム(OS)6に対してアクセス違反通知602が発行される。アクセス違反通知602は、システムを非常停止させるなどの異常処理を起動するためのトリガとして利用される。
図4に、本発明における第2の実施例である制御用計算機の構成を示す。本実施例では、プロセッサ113を第一の制御タスク実行手段として通常制御タスクおよび安全制御タスクを実行させる。通常制御モード14と安全制御モード15との切り替えは、制御モード切替手段7から出力される制御モード指示信号701によってなされる。また、プロセッサ16を第二の制御タスク実行手段として、通常制御タスク17のみを実行させる。
アクセス制御装置3は、それぞれプロセッサ113および16,共有メモリ41と接続される。また、入出力バス51を介して入出力装置52とも接続される。入出力装置52はDMAコントローラ523を備え、プロセッサの助けを借りることなく入出力データを直接メモリから、あるいはメモリへ転送する機能を有する。
制御モード切替手段7から出力される制御モード指示信号701により通常制御モードが指示されている期間は、アクセス制御装置3は共有メモリ41に対して緩いアクセス制御を適用するようにアクセス制御情報テーブル71を定義する。
一方、制御モード指示信号701により安全制御モードが指示されている期間は、アクセス制御装置3は共有メモリ41に対して安全制御タスクからのアクセスのみ許可するようにアクセス制御情報テーブル71を定義する。
以上の構成によれば、安全制御モード15の際、共有メモリ4に対しては安全制御タスクからのアクセスのみ許可することで、プロセッサ16や入出力装置52が万一の故障等で不正に共有メモリ4にアクセスすることを抑止し、共有メモリ4内の重要なデータを保護することができる。
1…制御タスク実行手段、2…入出力タスク実行手段、3…アクセス制御装置、5…入出力装置、6…オペレーティングシステム、7…制御モード切替手段、11…通常制御モード、12…安全制御モード、101…アドレス信号、102…リード/ライト要求信号、103…データ信号、401…メモリ制御信号、501…入出力装置制御信号、601…制御モード切替指示信号、701…制御モード指示信号。
Claims (4)
- 複数のタスクを実行可能であり、前記複数のタスクで利用する共有リソースを備え、複数の制御モードを有し、前記の各制御モードのもとで1つ以上のタスクを実行する計算機システムであって、前記制御モード毎に前記各タスクから前記共有リソースへのアクセスに対するアクセス制御状態を適用して前記アクセス制御状態を切り替えることを特徴とする計算機システム。
- 請求項1に記載の計算機システムであって、前記共有リソースとしてメモリおよび入出力装置の少なくとも一方を備えることを特徴とする計算機システム。
- 複数のタスクが実行可能なタスク実行手段と、前記各タスクを実行する際に使用するリソースと、前記各タスクが実行する際に利用するリソース上のアクセスを許可するアドレス領域の情報又は読み書き許可情報を記憶するアクセス制御情報テーブルと、前記タスク実行手段は前記アクセス制御情報テーブルに記憶されたアクセスを許可するアドレス領域の情報又は読み書き許可情報に基づいて実行するタスクに対応するリソースのアドレスにアクセスすることを特徴とする計算機システム。
- 請求項3に記載の計算機システムにおいて、前記リソースはメモリ又は入出力装置であることを特徴とする計算機システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005163425A JP2006338426A (ja) | 2005-06-03 | 2005-06-03 | 計算機システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005163425A JP2006338426A (ja) | 2005-06-03 | 2005-06-03 | 計算機システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006338426A true JP2006338426A (ja) | 2006-12-14 |
Family
ID=37558921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005163425A Pending JP2006338426A (ja) | 2005-06-03 | 2005-06-03 | 計算機システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006338426A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012104896A1 (ja) * | 2011-01-31 | 2012-08-09 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| WO2012104898A1 (ja) * | 2011-01-31 | 2012-08-09 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| JP2013140477A (ja) * | 2012-01-04 | 2013-07-18 | Toyota Motor Corp | 情報処理装置及びメモリアクセス管理方法 |
| EP2672344A1 (en) * | 2011-01-31 | 2013-12-11 | Toyota Jidosha Kabushiki Kaisha | Safety control device and safety control method |
| JP2016031659A (ja) * | 2014-07-29 | 2016-03-07 | 株式会社デンソー | 電子制御装置 |
-
2005
- 2005-06-03 JP JP2005163425A patent/JP2006338426A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012104896A1 (ja) * | 2011-01-31 | 2012-08-09 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| WO2012104898A1 (ja) * | 2011-01-31 | 2012-08-09 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| JP5136695B2 (ja) * | 2011-01-31 | 2013-02-06 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| JP5136693B2 (ja) * | 2011-01-31 | 2013-02-06 | トヨタ自動車株式会社 | 安全制御装置および安全制御方法 |
| CN103052923A (zh) * | 2011-01-31 | 2013-04-17 | 丰田自动车株式会社 | 安全控制装置及安全控制方法 |
| CN103080858A (zh) * | 2011-01-31 | 2013-05-01 | 丰田自动车株式会社 | 安全控制装置及安全控制方法 |
| EP2672344A1 (en) * | 2011-01-31 | 2013-12-11 | Toyota Jidosha Kabushiki Kaisha | Safety control device and safety control method |
| US8706265B2 (en) | 2011-01-31 | 2014-04-22 | Toyota Jidosha Kabushiki Kaisha | Safety controller and safety control method |
| EP2672344A4 (en) * | 2011-01-31 | 2014-08-06 | Toyota Motor Co Ltd | SECURITY CONTROL DEVICE AND SECURITY CONTROL METHOD |
| JP2013140477A (ja) * | 2012-01-04 | 2013-07-18 | Toyota Motor Corp | 情報処理装置及びメモリアクセス管理方法 |
| JP2016031659A (ja) * | 2014-07-29 | 2016-03-07 | 株式会社デンソー | 電子制御装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4925422B2 (ja) | データ処理装置内コンテンツへのアクセス管理 | |
| CN109643290B (zh) | 用于具用扩展分段的面向对象的存储器管理的技术 | |
| RU2513909C1 (ru) | Ограничение областей памяти для считывания команд в зависимости от аппаратного режима и флага безопасности | |
| US10489332B2 (en) | System and method for per-task memory protection for a non-programmable bus master | |
| US7529916B2 (en) | Data processing apparatus and method for controlling access to registers | |
| CN111414626B (zh) | 基于tee扩展的实时性保证方法及系统 | |
| TW201015323A (en) | Secure information processing | |
| US7779254B1 (en) | Mechanism to enhance and enforce multiple independent levels of security in a microprocessor memory and I/O bus controller | |
| US7523229B2 (en) | Memory protection during direct memory access | |
| JP7432586B2 (ja) | スタック・ポインタを検証すること | |
| JP5100133B2 (ja) | 情報処理装置 | |
| CN112818327A (zh) | 基于TrustZone的用户级代码和数据安全可信保护方法及装置 | |
| US20220366036A1 (en) | An apparatus and method for handling exceptions | |
| JP2006338426A (ja) | 計算機システム | |
| US20050138257A1 (en) | Interrupt masking control | |
| KR100972635B1 (ko) | 컴퓨터 시스템내에서의 장치간 액세스를 제어하는 시스템및 방법 | |
| JP2018067047A (ja) | 制御装置 | |
| JP2010186386A (ja) | プロセッサ | |
| CA2551045C (en) | Input-output control apparatus, input-output control method, process control apparatus and process control method | |
| JP2007334432A (ja) | 情報処理装置及びそのアクセス制御方法 | |
| CN110647764B (zh) | 针对用户态非易失性内存文件系统的保护方法及系统 | |
| JP2014074995A (ja) | 情報処理装置 | |
| EP3246821B1 (en) | Semiconductor device and its memory access control method | |
| JP4340669B2 (ja) | 入出力制御装置,入出力制御方法,プロセス制御装置及びプロセス制御方法 | |
| JP2005234744A (ja) | マルチプロセッサシステム及び障害処理方法 |