JP2009199515A - Vehicle control device - Google Patents
Vehicle control device Download PDFInfo
- Publication number
- JP2009199515A JP2009199515A JP2008042806A JP2008042806A JP2009199515A JP 2009199515 A JP2009199515 A JP 2009199515A JP 2008042806 A JP2008042806 A JP 2008042806A JP 2008042806 A JP2008042806 A JP 2008042806A JP 2009199515 A JP2009199515 A JP 2009199515A
- Authority
- JP
- Japan
- Prior art keywords
- nonvolatile memory
- volatile memory
- control device
- vehicle control
- memory access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Combined Controls Of Internal Combustion Engines (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、車両制御装置に関し、特に、不揮発性メモリの異常を自己診断する車両制御装置に関する。 The present invention relates to a vehicle control device, and more particularly to a vehicle control device that self-diagnose an abnormality in a nonvolatile memory.
近年、車両制御装置においては、環境対応や安全性能といった自動車に求められる性能要求が高まるに伴い、自動車システムの部品のばらつき、経年劣化の学習制御、法規制に準拠した診断情報などのデータの記憶が行われるようになっている。車両制御装置は、電気的に書き換え可能な不揮発性の半導体メモリ(フラッシュメモリ、EEPROM等)を備え、それらのデータを半導体メモリに記憶させている。 In recent years, in vehicle control devices, as performance demands required for automobiles such as environmental friendliness and safety performance increase, storage of data such as variations in parts of automobile systems, learning control of deterioration over time, and diagnostic information complying with laws and regulations Is to be done. The vehicle control device includes an electrically rewritable nonvolatile semiconductor memory (flash memory, EEPROM, etc.), and stores the data in the semiconductor memory.
ところで、半導体メモリの記憶内容が何らかの原因で毀損、喪失すると、自動車システムにおける所期の動作を為さなくなる可能性がある。すなわち、部品のばらつきや経年劣化として学習してきた内容が毀損、喪失することにより、それまで適切に制御されていたシステムが制御不能に陥ったり、誤った動作を起こしたりする可能性がある。 By the way, if the stored contents of the semiconductor memory are damaged or lost for some reason, there is a possibility that the intended operation in the automobile system may not be performed. In other words, the content that has been learned as component variations and aging deterioration may be damaged or lost, and a system that has been appropriately controlled until then may become uncontrollable or may malfunction.
そのため、不揮発性の半導体メモリを搭載した車両制御装置においては、不揮発性の半導体メモリが記憶している内容が異常であることを検出する自己診断をし、異常である場合にはあらかじめ定められた動作をするよう制御されるのが一般的である。 Therefore, in a vehicle control device equipped with a non-volatile semiconductor memory, a self-diagnosis is detected to detect that the content stored in the non-volatile semiconductor memory is abnormal. Generally, it is controlled to operate.
不揮発性メモリの自己診断を行う車両制御装置としては、例えば、パリティチェックなどの誤り検出機構及び復帰手段を備えたものがある(例えば、特許文献1参照)。また、半導体メモリの記憶領域を複数領域に分割したうえで、所定数の領域が同一値を記憶することをもって正常とみなし、それ以外領域を回復する機構を備えたものがある(例えば、特許文献2参照)。 As a vehicle control device that performs a self-diagnosis of a nonvolatile memory, for example, there is a vehicle control device that includes an error detection mechanism such as a parity check and a return means (see, for example, Patent Document 1). Further, there is a semiconductor memory having a mechanism for dividing a storage area of a semiconductor memory into a plurality of areas and regarding a predetermined number of areas as normal when storing the same value and recovering other areas (for example, Patent Documents). 2).
不揮発性の半導体メモリの記憶内容が毀損、喪失する原因としてはいくつかの要因が考えられる。ひとつは半導体メモリ上のデータが実際に毀損している場合である。データが実際に毀損した原因としては、半導体デバイス内部のウェハ、アッセンブリ上に故障が生じる場合と、半導体に微量に含まれている放射線元素から放出されるα線によりメモリ情報が毀損する場合などがある。いずれも半導体デバイス側の故障が原因で半導体メモリの記憶内容が毀損、喪失してしまっている状態である。 There are several possible causes for the loss or loss of the stored contents of the nonvolatile semiconductor memory. One is a case where data on the semiconductor memory is actually damaged. Reasons for the actual damage to the data include failure of the wafer and assembly inside the semiconductor device, and damage to memory information due to alpha rays emitted from radiation elements contained in trace amounts in the semiconductor. is there. In either case, the stored contents of the semiconductor memory are damaged or lost due to a failure on the semiconductor device side.
半導体メモリの記憶内容が毀損、喪失する2つ目の原因は、車両制御装置のCPU(制御手段)と半導体メモリとの間でデータを送受信する通信においてデータが毀損する場合である。半導体メモリと制御手段のどちらも正常動作していたとしても、半導体メモリと制御手段間でなされる通信において誤りが発生し、かつ誤りを訂正する機構を備えていない場合には誤ったデータが半導体メモリに記憶されるので、結果として半導体メモリの記憶内容が毀損しているのと同等な状態となる。 The second cause of the damage and loss of the stored contents of the semiconductor memory is when data is damaged in communication for transmitting and receiving data between the CPU (control means) of the vehicle control device and the semiconductor memory. Even if both the semiconductor memory and the control means are operating normally, if an error occurs in the communication between the semiconductor memory and the control means and no error correction mechanism is provided, the erroneous data is Since it is stored in the memory, as a result, the storage content of the semiconductor memory is equivalent to being damaged.
半導体メモリの記憶内容が毀損、喪失する3つ目の原因としては、制御手段上で動作し半導体メモリとのデータ送受信を制御するソフトウェアの動作異常も考えられる。何らかの原因でソフトウェアが異常動作を起こし、それによって制御手段が予期されるアドレスに対するデータ書込み以外のデータ書き込みを行う結果、予期しないデータが半導体メモリに記憶される場合である。 As a third cause of the damage or loss of the stored contents of the semiconductor memory, there may be an abnormal operation of software that operates on the control means and controls data transmission / reception with the semiconductor memory. This is a case where unexpected data is stored in the semiconductor memory as a result of the software causing an abnormal operation for some reason, and as a result of the control means writing data other than data writing to the expected address.
このように、不揮発性の半導体メモリの記憶内容が毀損、喪失する原因にはいくつかの要因が考えられる。しかしながら、従来の不揮発性の半導体メモリの異常を検出する車両制御装置においては、データの毀損・喪失の原因がいかなる事由であったとしてもそれを特定するのは不可能であった。すなわち、半導体メモリ(半導体デバイス)、制御装置上で動作するソフトウェア、半導体メモリと制御手段間の通信のいずれかに原因があったとしても、自己診断により検出されるのは半導体メモリ上の記憶異常であり、その直接的原因が何であったかまで区別して異常を検出することができなかった。 As described above, there are several factors that can cause the stored contents of the nonvolatile semiconductor memory to be damaged or lost. However, in a conventional vehicle control device that detects an abnormality in a nonvolatile semiconductor memory, it is impossible to identify any cause of data damage or loss. In other words, even if there is a cause in the semiconductor memory (semiconductor device), the software running on the control device, or the communication between the semiconductor memory and the control means, the memory abnormality on the semiconductor memory is detected by the self-diagnosis. Therefore, it was impossible to detect the abnormality by distinguishing what the direct cause was.
したがって、半導体メモリ上の記憶の異常により車両制御装置が動作不良に陥った場合でも、その直接的原因が分からないため、非常に困難な対策を迫られる。仮に車両制御装置を交換し、半導体デバイスや制御装置(ハードウェア)を入れ替えたとしても、その原因が制御手段上で動作するソフトウェアにあった場合には不具合の再発を抑止したことにはならない。 Therefore, even if the vehicle control device malfunctions due to abnormal storage on the semiconductor memory, the direct cause is not known, and therefore very difficult countermeasures are required. Even if the vehicle control device is replaced and the semiconductor device or the control device (hardware) is replaced, if the cause is in the software operating on the control means, it does not suppress the recurrence of the defect.
本発明の目的は、上記課題を解決すべく、不揮発性の半導体メモリの記憶内容が毀損、喪失した場合や、不正なデータが半導体メモリに記憶されかかった時に、その原因を特定して自己診断することができる車両制御装置を提供することにある。 In order to solve the above problems, the object of the present invention is to perform self-diagnosis by identifying the cause when the stored contents of a nonvolatile semiconductor memory are damaged or lost, or when illegal data is stored in the semiconductor memory. An object of the present invention is to provide a vehicle control device that can perform the above.
上記目的を達成すべく本発明に係る車両制御装置は、車両に搭載され、かつ不揮発性メモリと、該不揮発性メモリとの間でデータの送受信を実行する制御手段と、前記不揮発性メモリと制御手段間のデータ送受信の媒介を行う不揮発性メモリアクセス手段とを備えた車両制御装置において、前記不揮発性メモリへのアクセスを監視する不揮発性メモリアクセス監視手段を備え、前記制御手段と前記不揮発性メモリ間の送受信による実行される前記不揮発性メモリへのデータ書き込みに異常が生じた場合に、前記不揮発性メモリアクセス手段及び前記不揮発性メモリアクセス監視手段を介して、その異常発生原因を検出して前記不揮発性メモリに記憶させる構成としたものである。 In order to achieve the above object, a vehicle control apparatus according to the present invention is mounted on a vehicle, and includes a non-volatile memory, control means for executing transmission / reception of data between the non-volatile memory, the non-volatile memory and the control. A vehicle control device comprising a non-volatile memory access means for mediating data transmission / reception between the means, comprising a non-volatile memory access monitoring means for monitoring access to the non-volatile memory, the control means and the non-volatile memory When an abnormality occurs in the data writing to the nonvolatile memory executed by transmission / reception between the two, the cause of the abnormality is detected via the nonvolatile memory access means and the nonvolatile memory access monitoring means, and the It is configured to be stored in a nonvolatile memory.
前記不揮発性メモリアクセス手段及び不揮発性メモリアクセス監視手段が検出できる書き込み異常の原因としては、例えば、前記不揮発性メモリへのデータの送受信を行う制御手段をなすソフトウェアの異常と、前記不揮発性メモリへのデータ送受信における通信異常と、前記不揮発性メモリ自体の異常がある。 The cause of the write abnormality that can be detected by the nonvolatile memory access means and the nonvolatile memory access monitoring means is, for example, an abnormality of software that constitutes a control means for transmitting / receiving data to / from the nonvolatile memory, and to the nonvolatile memory. Communication abnormality in data transmission / reception and abnormality of the nonvolatile memory itself.
本発明によれば、不揮発性メモリ、制御手段、或いは不揮発性メモリと制御手段間の通信経路のどこで発生したかを特定して異常を検知することができる。 According to the present invention, an abnormality can be detected by specifying where in the non-volatile memory, the control unit, or the communication path between the non-volatile memory and the control unit has occurred.
以下、本発明の好適な実施形態を添付図面に基づいて説明する。 DESCRIPTION OF EXEMPLARY EMBODIMENTS Hereinafter, preferred embodiments of the invention will be described with reference to the accompanying drawings.
図1は本実施形態の車両制御装置を示す機能ブロック図である。 FIG. 1 is a functional block diagram showing the vehicle control device of this embodiment.
図1に示すように、車両制御装置1は、車両に搭載された車両用電子機器(ECU:Electrical Control Unit)である。車両制御装置1は、エンジンや他の電装部品等の各部品に取り付けられたセンサ類2に接続され、センサ類2からの入力信号を検出(受信)する入力信号検出手段3と、エンジン等が備えるアクチュエータ類5に接続され、アクチュエータ類5を駆動する出力回路6と、入力信号検出手段3と出力回路6に接続され入力信号検出手段3からの信号に応じて適切な制御信号を生成し出力回路6に出力する制御手段4と、電気的に書き換え可能な不揮発性の半導体メモリ(以下、「不揮発性メモリ」と称する)9と、制御手段4と不揮発性メモリ9とのデータの媒介を行う不揮発性メモリアクセス手段10と、不揮発性メモリ9と不揮発性メモリアクセス手段10との間の通信線の状態及び不揮発性メモリアクセス手段10を監視する不揮発性メモリアクセス監視手段11と、不揮発性メモリアクセス手段10と外部の通信バス7に接続され、外部ネットワークとの信号の送受信を行う外部通信手段8とを備える。
As shown in FIG. 1, the vehicle control device 1 is a vehicle electronic device (ECU: Electrical Control Unit) mounted on the vehicle. The vehicle control device 1 is connected to
図2は、図1の車両制御装置1のハードウェア構成を示すブロック図である。 FIG. 2 is a block diagram showing a hardware configuration of the vehicle control device 1 of FIG.
図2に示すように、車両制御装置1は、センサ類2及びアクチュエータ類5に接続される入出力インタフェース(I/F)12と、外部の通信バス7に接続され車両制御装置外部機器との信号送受信を行う外部通信インタフェース(I/F)13と、一時的情報を記憶する揮発性メモリであるRAM(Random Access Memory)14と、制御プログラム及び各種制御設定を記憶する不揮発性メモリであるROM(Read Only Memory)15と、不揮発性メモリに接続される内部通信インタフェース(I/F)16と、それらを統括して制御を司るCPU(Central Processing Unit)17とを有し、これらの要素がバス18を介して互いに接続されている。不揮発性メモリとしては、EEPROM(Electrically Erasable and Programmable Read Only Memory)20が例示され、内部通信インタフェース16に接続されている。EEPROM20と内部通信インタフェースとの間の通信(通信経路)は、入出力インタフェース12にも接続され、バス18を介してCPU17で監視される。
As shown in FIG. 2, the vehicle control device 1 includes an input / output interface (I / F) 12 connected to the
本車両制御装置1において、図1の機能ブロック図と図2のハードウェアブロック図とを対応させると、図1の入力信号検出手段3及び出力回路6が図2の入出力インタフェース12に相当し、また、図1の制御手段4、不揮発性メモリアクセス手段10及び不揮発性メモリアクセス監視手段11は、図2のROM15に記述されたソフトウェア(プログラム)及びRAM14を介してソフトウェアを実行するCPU17に相当する。図1の不揮発性メモリ9は、図2のEEPROM20に相当する。
In the vehicle control apparatus 1, when the functional block diagram of FIG. 1 is associated with the hardware block diagram of FIG. 2, the input signal detecting means 3 and the
入出力インタフェース12、外部通信インタフェース13、RAM14、ROM15、CPU17、内部通信インタフェース16及びバス18といったモジュール群は、1つまたは2以上のチップからなるマイコン19で構成してもよい。CPU17は、センサ類の入力情報を基に外部のエンジンや他の電装部品の制御及び車両制御装置内のデータ処理等を実行する。ROM15は、CPU17により実行されるプログラムやデータを記憶する。RAM14は、CPU17による演算結果やROM15のプログラムやデータを一時的に記録する。
The module group such as the input /
次に、図3に基づき、車両制御装置1の動作について説明する。 Next, the operation of the vehicle control device 1 will be described with reference to FIG.
図3に示すマイコン19は、不揮発性メモリアクセス手段10、不揮発性メモリアクセス監視手段11、内部通信インタフェース16及びアプリケーションプログラム21を有する。アプリケーションプログラム21は、車両のセンサ類2から入力されたデータの処理、アクチュエータへの駆動・制御処理及びこれらの処理結果を基に制御対象に関する情報を不揮発性メモリへ書き込むためのプログラムである。アプリケーションプログラム21は、不揮発性メモリアクセス手段10及び不揮発性メモリアクセス監視手段11と同様に、ROM15に記述されCPU17に読み出されて実行されるソフトウェアである。図3に示す内部通信インタフェース16はマイコン19内にハードウェアとして実装される内蔵モジュールである。EEPROM20は内部通信インタフェース16に接続されると共に、図示しない入力信号検出手段3(図1参照)を介して不揮発性メモリアクセス監視手段11に接続されている。
A
アプリケーションプログラム21が車両制御装置1の外部制御対象等に関するデータの書き込みをEEPROM20に行う際、まず不揮発性メモリアクセス手段10に書き込み要求を行う(矢印a)。不揮発性メモリアクセス手段10では、書き込み要求が正しいものであるかの確認を行うため、不揮発性メモリアクセス監視手段11に照会を行う(矢印b)。
When the
不揮発性メモリアクセス監視手段11が、不揮発性メモリアクセス手段10からの書き込み要求を正当なものであると認証した場合(矢印c)、不揮発性メモリアクセス手段10が内部通信インタフェース16を駆動することにより(矢印d)、アプリケーションプログラム21から要求されたデータをEEPROM20に対して書き込むための書き込み信号が送信される(矢印e)。
When the nonvolatile memory access monitoring means 11 authenticates that the write request from the nonvolatile memory access means 10 is valid (arrow c), the nonvolatile memory access means 10 drives the
一方、不揮発性メモリアクセス監視手段11がアプリケーションプログラム21からの書き込み要求を不当なものであると判定した場合には、不揮発性メモリアクセス手段10はアプリケーションプログラム21から書き込み要求されたデータではなく、不正な書き込み要求があったことを示す書き込みデータ(不正書込識別データ)をEEPROM20に対して書き込む。この動作により、書き込み要求が正当なものではなかったことがEEPROM20に記憶される。
On the other hand, if the non-volatile memory access monitoring means 11 determines that the write request from the
これにより、車両制御装置1上で不揮発性メモリ9に不正なデータ書き込み要求があった場合でも、その原因が不揮発性メモリ9とのデータ送受信を行う制御手段4を制御するソフトウェア(アプリケーション21)にあった場合には、その原因を判別することが可能となる。
Thereby, even when there is an illegal data write request to the
さらに、内部通信インタフェース16とEEPROM20との間の通信線21(矢印e,f)は、不揮発性メモリアクセス監視手段11によって監視されており(矢印g)、内部通信インタフェース16からEEPROM20まで不正な通信が行われていたか否かの判定を行う。すなわち、内部通信インタフェース16からEEPROM20までの通信が行われるのは、アプリケーションプログラム21からの書き込み要求を不揮発性メモリアクセス手段10が受け取り、不揮発性メモリアクセス監視手段11が書き込みを許可し、不揮発性メモリアクセス手段10が内部通信インタフェース16を駆動した場合のみである。この一連の動作が為されないにも関わらず不揮発性メモリアクセス監視手段11によって内部通信インタフェース16とEEPROM20との間の通信線に何らかの通信状態が確認された場合は、内部通信インタフェース16が誤動作したか、もしくは内部通信インタフェース16とEEPROM20との間の通信線にノイズ等の誤動作が発生したかのいずれかの通信論理における異常が発生したことを示す。このような異常通信が発生した場合、不揮発性メモリアクセス監視手段11は不揮発性メモリアクセス手段10に異常通信が発生したことを通知し、EEPROM20に対して通信異常の発生を記憶する。
Further, the communication line 21 (arrow e, f) between the
これにより、車両制御装置1上で不揮発性メモリ9の記憶内容が毀損した場合でも、その原因が不揮発性メモリ9とのデータ送受信における通信異常にあった場合には、そのことを判別することが可能となる。
Thereby, even when the storage content of the
上述のソフトウェア異常に基づく不正書き込み要求を示す書き込み識別データが検出されず、かつ通信異常に基づく通知が検出されていないにもかかわらず、不揮発性メモリ9にデータの毀損、喪失が発生している場合には、不揮発性メモリ自体(不揮発性メモリ側の半導体デバイス)にデータの毀損・喪失が発生していることを示す。
Even though the write identification data indicating the unauthorized write request based on the above-described software abnormality is not detected, and the notification based on the communication abnormality is not detected, data is damaged or lost in the
次に、不揮発性メモリアクセス手段10の動作(EEPROM書込みルーチン)及び不揮発性メモリアクセス監視手段11(署名の照会、通信線監視ルーチン)の動作を図4から図6に示すフローチャートを用いて説明する。 Next, the operation of the nonvolatile memory access means 10 (EEPROM writing routine) and the operation of the nonvolatile memory access monitoring means 11 (signature inquiry, communication line monitoring routine) will be described with reference to the flowcharts shown in FIGS. .
図4は、不揮発性メモリアクセス手段10にて実行されるEEPROM書込ルーチン22のフローチャートである。EEPROM書込ルーチン22に従って、先ず、不揮発性メモリアクセス手段10は、呼び出し元であるアプリケーションプログラム21から引数として書き込みアドレス(Wa)23、書き込みデータ(Wd)24および署名(Sg)25を受け取る。次に、アプリケーションプログラムから受け取った署名25が正しいものであることを確認するため、署名の照会を行う(ステップS26)。署名の照会は不揮発性メモリアクセス監視手段11において行われ、その詳細は後述する(図5参照)。
FIG. 4 is a flowchart of the EEPROM write routine 22 executed by the nonvolatile memory access means 10. According to the
不揮発性メモリアクセス監視手段11から照会の結果が不揮発性メモリアクセス手段10に返ってくると、照会結果を判定し(ステップS27)、EEPROM書込中信号をHighにする。EEPROM書込み中信号(Ws)は、EEPROMへの書込信号の送出の可否を示す信号であり、EEPROM20に対して内部通信インタフェース16が書き込み信号を送出している間はHigh、EEPROM20に対して内部通信インタフェース16が書き込み信号を送出してないときはLowと定義した。なお、EEPROM書込み中信号(Ws)はソフトウェアで設定するのでも、またハードウェアで実装される何らかの機能が表示するものでも構わない。
When the inquiry result is returned from the nonvolatile memory access monitoring means 11 to the nonvolatile memory access means 10, the inquiry result is determined (step S27), and the EEPROM writing signal is set to High. The EEPROM writing signal (Ws) is a signal indicating whether or not a write signal can be sent to the EEPROM. While the
署名の照会26の結果、呼び出し元が送ってきた署名(Sg)25が正しいことが確認できれば(ステップS27→S)、EEPROM書込み中信号(Ws)をHighとした(ステップS28)後、内部通信インタフェース16を駆動し、アプリケーションプログラム21より引数として受領した書き込みアドレス(Wa)23に対応する書き込みデータ(Wd)24を書き込む信号をEEPROM20に送出する(ステップS29)。書き込み信号の送出が終了したら、EEPROM書込み中信号(Ws)を再度Lowとする(ステップS30)。
If the
他方、不揮発性メモリアクセス監視手段11での署名の照会の結果、呼び出し元が送ってきた署名(Sg)25が正しくなければ(ステップS27→N)、不揮発性メモリアクセス手段10は、EEPROM書込み中信号(Ws)をHighとした(ステップS31)後、内部通信インタフェース16を駆動し、ソフトウェア事由による不正書き込みを表す書き込み信号(不正書込信号)をEEPROM20に送出する(ステップS32)。不正書込信号の送出が終了したら、EEPROM書込み中信号(Ws)を再度Lowとする(ステップS33)。
On the other hand, if the signature (Sg) 25 sent from the caller is not correct (step S27 → N) as a result of the signature inquiry in the nonvolatile memory access monitoring means 11, the nonvolatile memory access means 10 is writing to the EEPROM. After setting the signal (Ws) to High (step S31), the
このような、一連の動作(EEPROM書込みルーチン)によって、ソフトウェアに起因するEEPROM20に対する不正な書き込みがあったことをEEPROM20に記憶させる。
Through such a series of operations (EEPROM writing routine), it is stored in the
図5は、不揮発性メモリアクセス監視手段11において署名の照会ルーチンを示すフローチャートである。 FIG. 5 is a flowchart showing a signature inquiry routine in the nonvolatile memory access monitoring means 11.
図5に示すように、不揮発性メモリアクセス監視手段11は、呼び出し元であるEEPROM書込ルーチン22(不揮発性メモリアクセス手段10)から引数として書き込みアドレス(Wa)23、書き込みデータ(Wd)24および署名(Sg)25を受け取る。受け取った情報に基づき署名(Sg’)の演算を行う(ステップS34)。署名(Sg')の演算は、アプリケーションプログラム21と事前に認証数を共有する方法でもよく、または書き込みアドレス(Wa)23と書き込みアドレス(Wa)23と書き込みデータ(Wd)24との組み合わせにより演算される共通鍵暗号もしくは公開鍵暗号を用いる方法でもよく、少なくとも元の署名(Sg)25がアプリケーションプログラム21からの書き込み要求によるものであることが確認できる方法であればどのような演算方法を採用してもよい。演算による署名(Sg')が元の署名(Sg)25の値に一致すれば(ステップS35→Y)、元の署名(Sg)25がアプリケーションプログラム21による書き込み要求によるものであることが確認でき、呼び出し元であるEEPROM書込ルーチン22に認証が正しく行われたことをEEPROM書込みルーチン(不揮発性メモリアクセス手段10)に通知して終了する(ステップS36)。
As shown in FIG. 5, the non-volatile memory access monitoring means 11 receives the write address (Wa) 23, the write data (Wd) 24, and the arguments from the EEPROM write routine 22 (non-volatile memory access means 10) as the caller. The signature (Sg) 25 is received. Based on the received information, a signature (Sg ') is calculated (step S34). The calculation of the signature (Sg ′) may be a method in which the number of authentications is shared in advance with the
他方、演算による署名(Sg')が元の署名(Sg)25の値に一致しなければ、アプリケーションプログラム21による書き込み要求であることが確認できないので、呼び出し元であるEEPROM書込ルーチン22に認証が正しく行われなかったことを不揮発性メモリアクセス手段10に通知して終了する(ステップS37)。
On the other hand, if the signature (Sg ′) obtained by the calculation does not match the value of the original signature (Sg) 25, it cannot be confirmed that the write request is issued by the
図6は、不揮発性メモリアクセス監視手段11にて実行される制御手段4(マイコン19)と不揮発性メモリ9(EEPROM22)間のデータ通信の異常を検出するフローチャートである(通信線の監視ルーチン)。 FIG. 6 is a flowchart for detecting an abnormality in data communication between the control means 4 (microcomputer 19) and the nonvolatile memory 9 (EEPROM 22) executed by the nonvolatile memory access monitoring means 11 (communication line monitoring routine). .
図6に示すように、不揮発性メモリアクセス監視手段11において通信線の監視ルーチン38が実行されると、まず、不揮発性メモリアクセス監視手段11は、通信線状態(St)を取得する(ステップS39)。通信線状態(St)は、内部通信インタフェース16とEEPROM20との間の通信線の状態を示すパラメータである。不揮発性メモリアクセス監視手段11は、内部通信インタフェース16とEEPROM20間の通信状態を監視しており、通信線状態(St)が通信中である状態を示すアクティブであれば(ステップS40→Y)、EEPROM書込み中信号(Ws)の状態を確認する(ステップS41)。EEPROM書込み信号の状態(Ws)がLowであれば、EEPROM書込ルーチン22がEEPROM20に対して内部通信インタフェース16を介して書き込み信号を送出していないにも関わらず何らかのデータが送出されている(すなわち、通信異常がある)ことを意味する。そこで、通信線状態(St)がアクティブでEEPROM書込み信号がLowであれば、EEPROM書き込み要求により、通信異常が発生した旨をEEPROM20に記憶させる(ステップS42)。
As shown in FIG. 6, when the communication
このように、本車両制御装置は、不揮発性メモリ9に不正な書き込み要求があったり、それに基づき記憶内容が毀損した場合の原因を、不揮発性メモリ9、制御手段4、或いは不揮発性メモリ9と制御手段4間の通信のうちのいずれであるかを区別でき、問題発生時の対策をより適切に行うことが可能となる。
As described above, the vehicle control apparatus determines whether the
具体的には、不揮発性の半導体メモリ9へのデータの送受信を行う制御手段を動作させるソフトウェア(アプリケーション21)の異常動作が検知された場合には、その異常を不揮発性メモリ9へ記憶させておくことにより、不揮発性メモリ9の記憶内容が毀損した場合に、その原因がソフトウェアにあったことを判別できる。また、不揮発性メモリ9へのデータの送受信において通信異常が検知された場合には、その異常を不揮発性メモリへ記憶させておくことにより、不揮発性メモリ9の記憶内容が毀損した場合に、その原因が不揮発性メモリ9へのデータの送受信における通信異常であったことを判別することができる。さらに、これら2つの異常検出法を組み合わせることにより、不揮発性メモリ9の記憶内容が毀損した際に、その原因が不揮発性メモリ9とのデータ送受信を行う制御装置を制御するソフトウェアでも不揮発性メモリ9へのデータの送受信における通信異常でもないことを検出した場合、不揮発性の半導体メモリ9の記憶内容が毀損した原因が不揮発性の半導体メモリ自身に起因することを判別することが可能となる。
Specifically, when an abnormal operation of software (application 21) that operates the control means for transmitting / receiving data to / from the
以上、本発明は、上述した実施の形態に限定されるものではなく、他にも種々のものが想定される。 As described above, the present invention is not limited to the above-described embodiments, and various other ones are assumed.
本実施形態では、EEPROM20に接続されるマイコン19側の通信インタフェースとして内部通信インタフェース16を用いたが、EEPROMとマイコン(制御手段)との接続は、不揮発性の半導体メモリが通信によって制御装置と接続された構成であればよい。例えば、EEPROM20に接続されるマイコン19側の通信インタフェースとして入出力インタフェース12を使用してもよい。また、EEPROM20に接続されるマイコン19側の通信インタフェースとして汎用の入出力インタフェースを使用し、ROM15に記載されるソフトウェアによって直接信号を駆動し通信する形態としてもよい。
In the present embodiment, the
本実施形態では不揮発性の半導体メモリとしてEEPROM20を用い、EEPROM20がマイコン19の外部に配置される構成としたが、異常検出対象となる不揮発性の半導体メモリがマイコン内部に内蔵されていてもよい。この構成においては、マイコンと不揮発性の半導体メモリへのデータの送受信における通信異常の検知は行われないが、マイコン内において制御手段から不揮発性メモリへのデータの送信を行うソフトウェアの異常について診断するように構成されていればよい。
In the present embodiment, the
また、不揮発性メモリ9にソフトウェアの異常、通信の異常、不揮発性メモリ自体の異常がそれぞれ記憶されたときには、車載の表示器や警告音として各異常をユーザに知らせるようにしてもよい。
Further, when software abnormality, communication abnormality, and abnormality of the nonvolatile memory itself are stored in the
1 車両制御装置
4 制御手段
9 不揮発性メモリ
10 不揮発性メモリアクセス手段
11 不揮発性メモリアクセス監視手段
14 RAM
15 ROM
16 内部通信インタフェース
17 CPU
DESCRIPTION OF SYMBOLS 1 Vehicle control apparatus 4 Control means 9
15 ROM
16 Internal communication interface 17 CPU
Claims (6)
前記不揮発性メモリへのアクセスを監視する不揮発性メモリアクセス監視手段を備え、前記制御手段と前記不揮発性メモリ間の送受信による実行される前記不揮発性メモリへのデータ書き込みに異常が生じた場合に、前記不揮発性メモリアクセス手段及び前記不揮発性メモリアクセス監視手段を介して、その異常発生原因を検出して前記不揮発性メモリに記憶させる構成としたことを特徴とする車両制御装置。 A non-volatile memory mounted on a vehicle, a control unit that executes transmission / reception of data between the non-volatile memory, a non-volatile memory access unit that mediates data transmission / reception between the non-volatile memory and the control unit, and In a vehicle control device comprising:
Non-volatile memory access monitoring means for monitoring access to the non-volatile memory, when an abnormality occurs in data writing to the non-volatile memory executed by transmission and reception between the control means and the non-volatile memory, A vehicle control device comprising a configuration in which the cause of the abnormality is detected and stored in the nonvolatile memory via the nonvolatile memory access means and the nonvolatile memory access monitoring means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008042806A JP2009199515A (en) | 2008-02-25 | 2008-02-25 | Vehicle control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008042806A JP2009199515A (en) | 2008-02-25 | 2008-02-25 | Vehicle control device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009199515A true JP2009199515A (en) | 2009-09-03 |
Family
ID=41142915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008042806A Pending JP2009199515A (en) | 2008-02-25 | 2008-02-25 | Vehicle control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009199515A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2021010143A1 (en) * | 2019-07-12 | 2021-01-21 |
-
2008
- 2008-02-25 JP JP2008042806A patent/JP2009199515A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2021010143A1 (en) * | 2019-07-12 | 2021-01-21 | ||
WO2021010143A1 (en) * | 2019-07-12 | 2021-01-21 | パナソニックIpマネジメント株式会社 | In-vehicle secure storage system |
JP7246032B2 (en) | 2019-07-12 | 2023-03-27 | パナソニックIpマネジメント株式会社 | In-vehicle secure storage system |
US11983304B2 (en) | 2019-07-12 | 2024-05-14 | Panasonic Intellectual Property Management Co., Ltd. | On-board secure storage system for detecting unauthorized access or failure and performing predetermined processing |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10268557B2 (en) | Network monitoring device, network system, and computer program product | |
US10685124B2 (en) | Evaluation apparatus, evaluation system, and evaluation method | |
US20210046944A1 (en) | Determination of reliability of vehicle control commands via redundancy | |
US11691638B2 (en) | Determination of reliability of vehicle control commands using a voting mechanism | |
CN109923518B (en) | Software update mechanism for safety critical systems | |
US20200310821A1 (en) | Information processing apparatus, control method therefor, and storage medium | |
US20150067314A1 (en) | Secure firmware flash controller | |
CN101369141B (en) | Protection unit for a programmable data processing unit | |
JP2008530626A (en) | Method for monitoring program execution in a microcomputer | |
JP2019185575A (en) | Controller and control method | |
US10885195B2 (en) | Process for loading a secure memory image for a microcontroller and assembly including a microcontroller | |
JP2006513471A (en) | Memory access error detection and / or correction method and electronic circuit configuration for performing the method | |
JP5083890B2 (en) | Elevator control device | |
CN114007906B (en) | Safety processing device | |
US11361600B2 (en) | Method for authenticating a diagnostic trouble code generated by a motor vehicle system of a vehicle | |
JP6483461B2 (en) | Management method, management program, management device, management system, and information processing method | |
JP2009199515A (en) | Vehicle control device | |
JP6663371B2 (en) | Electronic control unit | |
JP2016126692A (en) | Electronic control device | |
US20060107133A1 (en) | Tampering-protected microprocessor system and operating procedure for same | |
WO2018116400A1 (en) | Control device, and processing method in event of failure in control device | |
US20190332506A1 (en) | Controller and function testing method | |
CN113711209A (en) | Electronic control device | |
JP2002047998A (en) | Controller for vehicle | |
RU2458379C2 (en) | Method of processing request to delete error code stored in computer memory installed on-board automobile, and method and system for facilitating maintenance of said automobile |