JP2016066236A - 組み込み制御装置 - Google Patents
組み込み制御装置 Download PDFInfo
- Publication number
- JP2016066236A JP2016066236A JP2014194606A JP2014194606A JP2016066236A JP 2016066236 A JP2016066236 A JP 2016066236A JP 2014194606 A JP2014194606 A JP 2014194606A JP 2014194606 A JP2014194606 A JP 2014194606A JP 2016066236 A JP2016066236 A JP 2016066236A
- Authority
- JP
- Japan
- Prior art keywords
- data
- importance
- storage area
- control device
- embedded control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 145
- 230000005856 abnormality Effects 0.000 claims abstract description 79
- 230000002159 abnormal effect Effects 0.000 claims abstract description 34
- 230000015654 memory Effects 0.000 description 42
- 238000010586 diagram Methods 0.000 description 17
- 230000000295 complement effect Effects 0.000 description 16
- 239000000446 fuel Substances 0.000 description 12
- 238000013500 data storage Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000002347 injection Methods 0.000 description 10
- 239000007924 injection Substances 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 6
- 230000001133 acceleration Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- For Increasing The Reliability Of Semiconductor Memories (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
図1Aは、本発明の実施の形態に係る車載制御装置100を示す構成図である。車載制御装置100は、制御対象機器200を制御する装置であり、マイコン110と、バッテリ120とを備える。マイコン110は、CPU(Central Processing Unit)111と、ROM(Rea Only Memory)112と、RAM(Random Access Memory)113と、I/O114とを備える。
図2は、本発明におけるデータ重要度別にメモリ領域の分割した様子を示した図である。図2では、データの重要度に応じて書き込む領域を分けるデータ表現方法をRAM113に適用し、データの重要度に応じた異なるメモリのチェック方法を実施するためのデータ書き込みの例が示されている。
図3は、RAM113に重要度A・重要度B・重要度Cのデータをそれぞれ書き込む手順を説明する図である。具体的には、CPU111が、ROM112に格納された制御プログラム300を読み込み、制御プログラム300に従って各種処理を実行する。この際、CPU111が、RAM113に記憶されたデータを用いて計算したデータをRAM113に格納する際に本手順が用いられる。
図3で説明したデータを読み出す際は、各重要度に応じたメモリチェック方式を実行し、読み出すデータが正当であるかを確認する。図3の(a)で説明した重要度Cのデータを読み出す際は、読み出し制御部303が、図3の(b)のアドレスに格納されたデータブロック(複数のアドレスのデータ)のサムチェック用データを一緒に読み出してサムチェックを実行する。
図3の(c)で説明した重要度Bのデータを読み出す際は、読み出し制御部303が、図3の(e)のアドレスに格納されたパリティチェック用のデータを一緒に読み出して、パリティチェックを実行する。
図3の(e)で説明した重要度Aのデータを読み出す際は、読み出し制御部303が、図3の(f)のアドレスに格納された1の補数によるサムチェック用データと、図3の(g)のアドレスに格納されたミラーリングデータとを一緒に読み出して、読み出すデータが正当であるかを判定する。
図7は、CPU111がRAM113から各重要度のデータを読み出す処理をフローチャートとして記載した図である。以下、図7の各ステップについて説明する。
まず、読み出し制御部303は、RAM113からデータを読み出す際に、本フローチャートを起動する。
次に、読み出し制御部303は、読み出すデータの重要度を判別する。上述したように、読み出し制御部303は、どの重要度が記憶領域のどのアドレスに対応するかを示す情報を用いて、読み出すデータのアドレス位置から、読み出すデータがどの重要度であるかを判別できる。
次に、読み出し制御部303は、ステップS702で算出したデータのデータ重要度に対応するメモリチェック方法を実行する。
次に、読み出し制御部303は、ステップS703を実行した結果として、データが正常であるかを判定する。ここで、データが正常であると判別された場合、ステップS705に移行し、異常であると判別された場合、ステップS707に移行する。
ステップS705に移行した場合、読み出し制御部303は、正常と判定されたデータを戻り値として返し、ステップS706に移行する。
そして、読み出し制御部303は、データ読み出し処理を終了する。
ステップS707に移行した場合、図8に示す、異常判別部304によるメモリ故障状態判別処理を実行する。
図8は、図7のフローチャートに従いデータを読み出した結果、S704にて読み出したデータが異常であった場合のメモリ故障状態判別処理を示したものである。図8のフローチャートの各ステップを次に説明する。
まず、異常判別部304は、図7のステップS703でチェックしたデータの重要度を判別する。
異常判別部304は、ステップS800で判別したデータの重要度が重要度Aである場合、S811に移行する。一方、ステップS800で判別したデータの重要度が重要度A以外のものである場合は、S802に移行する。
ステップS811に移行した場合、異常判別部304は、図7のステップS703でチェックした重要度Aのデータに対して、重要度Bのデータチェック方法にてデータチェックを実施する。
異常判別部304は、ステップS811で重要度Aのデータに対して重要度Bのデータチェック方法を実行した結果、データとチェック用データとが一致した場合、S813に移行する。一致しない場合はS814に移行する。
異常判別部304は、重要度Bの処理が、重要度Aの記憶領域を侵害したと判定する。
異常判別部304は、重要度Bのデータチェック方法にてデータとチェック用データとが一致しなかった場合、図7のS703でチェックした重要度Aのデータに対して、重要度Cのデータチェック方法を実行する。
異常判別部304は、ステップS814で重要度Aのデータに対して重要度Cのデータチェック方法を実行した結果、データとチェック用データとが一致した場合、S816に移行する。一致しない場合はS817に移行する。
異常判別部304は、データ重要度Cの処理が、データ重要度Aの記憶領域を侵害したと判定する。
異常判別部304は、重要度Aの領域が物理的故障であると判定する。
異常判別部304は、ステップS800で判別したデータの重要度が重要度Bである場合、S821に移行する。一方、ステップS800で判別したデータの重要度が重要度B以外のもの(すなわち、重要度C)である場合は、S831に移行する。
ステップS821に移行した場合、異常判別部304は、図7のステップS703でチェックした重要度Bのデータに対して、重要度Aのデータチェック方法にてデータチェックを実施する。
異常判別部304は、ステップS821で重要度Bのデータに対して重要度Aのデータチェック方法を実行した結果、データとチェック用データとが一致した場合、S823に移行する。一致しない場合はS824に移行する。
異常判別部304は、重要度Aの処理が、重要度Bの記憶領域を侵害したと判定する。
異常判別部304は、重要度Aのデータチェック方法にてデータとチェック用データとが一致しなかった場合、図7のS703でチェックした重要度Bのデータに対して、重要度Cのデータチェック方法を実行する。
異常判別部304は、ステップS824で重要度Bのデータに対して重要度Cのデータチェック方法を実行した結果、データとチェック用データとが一致した場合、S826に移行する。一致しない場合はS827に移行する。
異常判別部304は、重要度Cの処理が、重要度Bの記憶領域を侵害したと判定する。
異常判別部304は、重要度Bの領域が物理的故障であると判定する。
異常判別部304は、ステップS802で判別したデータの重要度が重要度Cである場合、図7のS703でチェックした重要度Cのデータに対して、重要度Aのデータチェック方法にてデータチェックを実施する。
異常判別部304は、ステップS831で重要度Cのデータに対して重要度Aのデータチェック方法を実行した結果、データとチェック用データとが一致した場合、S833に移行する。一致しない場合はS834に移行する。
異常判別部304は、重要度Aの処理が、重要度Cの記憶領域を侵害したと判定する。
異常判別部304は、重要度Aのデータチェック方法にてデータとチェック用データとが一致しなかった場合、図7のS703でチェックした重要度Cのデータに対して、重要度Bのデータチェック方法を実行する。
異常判別部304は、ステップS834で重要度Cのデータに対して重要度Bのデータチェック方法を実行した結果、データとチェック用データとが一致した場合、S836に移行する。一致しない場合はS837に移行する。
異常判別部304は、重要度Bの処理が、重要度Cの記憶領域を侵害したと判定する。
異常判別部304は、重要度Cの領域が物理的故障であると判定する。
異常判別部304は、S813、S816、S817、S823、S826、S827、S833、S836、S837の判定結果から侵害レベルを判定する。具体的には、異常判別部304は、図9で示す情報を参照することにより、侵害レベルを決定する。
処理部301は、ステップS803にて決定された侵害レベルに応じた処理を実行する。
異常判別部304は、S817にて重要度A領域が物理的故障と判定する。
処理部301は、重要度A領域の過去のデータ異常の発生回数を、例えば所定の記憶領域から読み出す。
処理部301は、過去のデータ異常発生回数が閾値以上であるかを判定する。データ異常発生回数が閾値以上であった場合はS1304に移行し、データ異常発生回数が閾値未満であった場合はS1311に移行する。
処理部301は、S1303にて過去のデータ異常発生回数が閾値以上であった場合は、ROM112からフェールセーフ値を読み出して、異常データの代用とする。
処理部301は、S1304にて重要度Aの記憶領域の異常データの代用としてフェールセーフ値を使用する。この際、CPU111の重要度Aの記憶領域のデータ読み出しを禁止する。
処理部301は、重要度Aの記憶領域の異常データが修復可能であるかを判定する。修復可能であると判定された場合、S1312に移行する。ここでの判定は、例えば、重要度Aの記憶領域の異常データについて図14で説明する関係が成立しているかで行うことができる。一方、修復不可能と判定された場合は、S1304に移行する。
処理部301は、S1311で修復可能と判定された場合、データ修復処理を行う。
処理部301は、所定の記憶領域に記憶されているデータ異常回数のカウント値に1を追加する。
処理部301は、異常データを正常データに修復後、通常の処理を継続する。
第1実施例では、CPU111がRAM113のある重要度の領域からデータを読み込む際に、データが正当であるかどうかを判別するための説明を行ったが、この仕組みを逆にとらえ、CPU111が演算する際に用いるデータをRAM113から読み出す際に、どの重要度が格納された領域にアクセスしたかを確認するために活用することも考えられる。
110 :マイコン
111 :CPU
112 :ROM
113 :RAM
114 :I/O
120 :バッテリ
200 :制御対象機器
210 :センサ
220 :アクチュエータ
300 :制御プログラム
301 :処理部
302 :書き込み制御部
303 :読み出し制御部
304 :異常判別部
Claims (13)
- 少なくとも2つの異なる重要度を持つ処理を実行する処理部と、
前記重要度に応じて異なる記憶領域にデータを記憶する記憶部と、
前記処理部が実行する処理の前記重要度に応じて、前記記憶部の重要度別の記憶領域に、異なるデータ保証情報を保存する書き込み制御部と、
前記記憶部の前記重要度別の記憶領域からデータを読み出すときに、前記重要度に応じて前記データ保証情報による異なるチェック方式を実行し、前記データが正当であるかを判定する読み出し制御部と、
を備えることを特徴とする組み込み制御装置。 - 請求項1に記載の組み込み制御装置において、
前記読み出し制御部によって異常であると判定されたデータの異常発生原因を判別する異常判別部をさらに備えることを特徴とする組み込み制御装置。 - 請求項2に記載の組み込み制御装置において、
前記異常判別部は、
前記異常であると判定されたデータの前記データ保証情報に対するチェック方式とは異なるチェック方式を実行し、
前記異常発生原因が他の重要度の処理による侵害であるか、又は、前記記憶領域の物理的故障であるかを判定することを特徴とする組み込み制御装置。 - 請求項3に記載の組み込み制御装置において、
前記異常判別部は、
下位の重要度の処理が上位の重要度の前記記憶領域を侵害したのか、
上位の重要度の処理が下位の重要度の前記記憶領域を侵害したのか、
前記記憶領域が物理的に故障したのか、
を侵害レベルとして判定することを特徴とすることを特徴とする組み込み制御装置。 - 請求項3に記載の組み込み制御装置において、
前記異常判別部は、前記異常であると判定されたデータについて全てのチェック方式で異常であると判定された場合、前記記憶領域の物理的故障であると判定することを特徴とする組み込み制御装置。 - 請求項4に記載の組み込み制御装置において、
前記処理部は、
前記侵害レベルと前記侵害レベルに対応する処理とが関連付けられた情報を参照し、
前記侵害レベルに対応する処理を実行することを特徴とする組み込み制御装置。 - 請求項4に記載の組み込み制御装置において、
前記処理部は、前記侵害レベルに応じて、前記記憶領域のデータを修復するか、又は、フェールセーフ値に固定することを特徴とする組み込み制御装置。 - 請求項2に記載の組み込み制御装置において、
前記処理部は、前記異常発生原因に応じて、前記記憶領域のデータを修復するか、又は、フェールセーフ値に固定することを特徴とする組み込み制御装置。 - 請求項8に記載の組み込み制御装置において、
前記処理部は、前記データの異常発生回数を記録することを特徴とする組み込み制御装置。 - 請求項9に記載の組み込み制御装置において、
前記処理部は、前記異常発生回数に応じて、前記記憶領域のデータを修復するか、又は、フェールセーフ値に固定することを特徴とする組み込み制御装置。 - 請求項1に記載の組み込み制御装置において、
前記処理部が、前記記憶部の任意の重要度の記憶領域に、当該記憶領域の重要度と異なる重要度のデータを書き込み、
前記読み出し制御部が、前記異なる重要度のデータが書き込まれた前記記憶領域に対して、チェック方式を実行し、前記データが正当であるかを判定することを特徴とする組み込み制御装置。 - 請求項1に記載の組み込み制御装置において、
前記読み出し制御部は、
読み出したデータに対して、前記読み出したデータに対応する記憶領域のチェック方式を実行した結果と、前記読み出したデータに対応する記憶領域の重要度とは異なる重要度の記憶領域のデータに対して、前記読み出したデータに対応する記憶領域のチェック方式を実行した結果から、前記読み出したデータが、対応する記憶領域から正しく読み出されたかを判定することを特徴とする組み込み制御装置。 - 請求項12に記載の組み込み制御装置において、
前記読み出し制御部は、読み出したデータに対して、前記読み出したデータに対応する記憶領域の重要度とは異なる重要度の記憶領域に対応するチェック方式を実行し、前記読み出したデータが、対応する記憶領域から正しく読み出されたかを判定することを特徴とする組み込み制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014194606A JP6177748B2 (ja) | 2014-09-25 | 2014-09-25 | 組み込み制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014194606A JP6177748B2 (ja) | 2014-09-25 | 2014-09-25 | 組み込み制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016066236A true JP2016066236A (ja) | 2016-04-28 |
JP6177748B2 JP6177748B2 (ja) | 2017-08-09 |
Family
ID=55805488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014194606A Active JP6177748B2 (ja) | 2014-09-25 | 2014-09-25 | 組み込み制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6177748B2 (ja) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5619593A (en) * | 1979-07-23 | 1981-02-24 | Nippon Telegr & Teleph Corp <Ntt> | Parity check processing system for memory |
JP2004152194A (ja) * | 2002-10-31 | 2004-05-27 | Ricoh Co Ltd | メモリデータ保護方法 |
JP2007207092A (ja) * | 2006-02-03 | 2007-08-16 | Denso Corp | 電子制御装置 |
JP2008192054A (ja) * | 2007-02-07 | 2008-08-21 | Megachips Lsi Solutions Inc | 半導体メモリシステム |
JP2014016925A (ja) * | 2012-07-11 | 2014-01-30 | Nec Saitama Ltd | 情報処理システム、データ切替方法およびプログラム |
-
2014
- 2014-09-25 JP JP2014194606A patent/JP6177748B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5619593A (en) * | 1979-07-23 | 1981-02-24 | Nippon Telegr & Teleph Corp <Ntt> | Parity check processing system for memory |
JP2004152194A (ja) * | 2002-10-31 | 2004-05-27 | Ricoh Co Ltd | メモリデータ保護方法 |
JP2007207092A (ja) * | 2006-02-03 | 2007-08-16 | Denso Corp | 電子制御装置 |
JP2008192054A (ja) * | 2007-02-07 | 2008-08-21 | Megachips Lsi Solutions Inc | 半導体メモリシステム |
JP2014016925A (ja) * | 2012-07-11 | 2014-01-30 | Nec Saitama Ltd | 情報処理システム、データ切替方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6177748B2 (ja) | 2017-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107949847B (zh) | 车辆的电子控制单元 | |
US20090055906A1 (en) | Method and apparatus for embedded memory security | |
CN112166416A (zh) | 确定由控制器从存储器读取的数据的有效性 | |
US8751817B2 (en) | Data processing apparatus and validity verification method | |
US8856595B2 (en) | Method for verifying an application program in a failsafe programmable logic controller, and programmable logic controller for performing the method | |
US20200310821A1 (en) | Information processing apparatus, control method therefor, and storage medium | |
US7143314B2 (en) | Method and apparatus for ensuring integrity of critical RAM variables | |
CN102968348A (zh) | 用于预引导数据验证的方法和系统 | |
US10108469B2 (en) | Microcomputer and microcomputer system | |
US8868517B2 (en) | Scatter gather list for data integrity | |
KR20210132212A (ko) | 차량의 전자 제어 유닛 비준 | |
CN117136355A (zh) | 在卸载操作中使用的错误校验数据 | |
KR101512927B1 (ko) | 비휘발성 메모리의 페이지 관리 방법 및 장치 | |
US8117412B2 (en) | Securing safety-critical variables | |
JP6177748B2 (ja) | 組み込み制御装置 | |
EP3454216B1 (en) | Method for protecting unauthorized data access from a memory | |
JP2013171467A (ja) | 情報処理装置、車両用電子制御装置、データ読み書き方法 | |
US11169828B2 (en) | Electronic control unit and method for verifying control program | |
EP3525210B1 (en) | Data register monitoring | |
EP3649553B1 (en) | Data protection | |
JP6469599B2 (ja) | メモリ管理システム | |
US20120265904A1 (en) | Processor system | |
JP4639920B2 (ja) | 電子制御装置 | |
US20230359523A1 (en) | Memory integrity check | |
JP2023104466A (ja) | 車載電子制御装置、及びメモリ制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160722 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170307 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170421 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170712 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6177748 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |