JP4226121B2 - メモリ情報更新システム及びメモリ情報更新方法 - Google Patents
メモリ情報更新システム及びメモリ情報更新方法 Download PDFInfo
- Publication number
- JP4226121B2 JP4226121B2 JP30547898A JP30547898A JP4226121B2 JP 4226121 B2 JP4226121 B2 JP 4226121B2 JP 30547898 A JP30547898 A JP 30547898A JP 30547898 A JP30547898 A JP 30547898A JP 4226121 B2 JP4226121 B2 JP 4226121B2
- Authority
- JP
- Japan
- Prior art keywords
- memory
- writing
- write gate
- write
- gate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、CPUの暴走によって誤ってメモリの内容が書き替えられるのを防止するメモリ情報更新システム及び方法に関する。
【0002】
【従来の技術】
メモリ情報更新システムに、メモリに記憶されているプログラムを必要に応じて更新するシステムがある。例えば、近年のデジタル複写機においては、コピー、ファックス、プリンタなど多くの機能を備えており、これらの複数の機能を独立して制御できるように複数の制御システムを組み合わせているが、このような複数の制御システムを有する装置においては、各制御システムはそれぞれ、CPUと制御プログラムを記憶したメモリとを備え、必要に応じて、各メモリに記憶しているプログラムの更新書き込みができるようになっている。すなわち、開発段階において最初のプログラムで所望の効果を得られるとは限らないために、通常は、メモリの書き替えを可能とし、出荷前に何度かプログラムを変更したり、あるいは、出荷後においても付加的な機能を追加するために新しいプログラムに書き替えたりすることがある。
【0003】
このように、メモリの内容を書き替えることができるようにした場合に、メモリへの書き込みが常に可能な状態にしておくと、CPUの暴走などが生じた場合に誤ってメモリの内容が書き替えられてしまうおそれがある。
【0004】
この問題を解決する1つの方法は、ジャンパコネクタを用いる方法である。プログラムの書き替えを行う場合には、装置のキャビネットなどを取り外してプログラムの書き替えが可能となるようにジャンパコネクタをつなぎかえ、書き替えが終了すると、ジャンパコネクタをプログラムの書き替えが不可能となるように再びつなぎかえ、元の状態に戻す。
【0005】
また、特開平3−205690号公報に示されているように、CPUが所定の信号を出力した時にデータの書き替えができるようにしておき、ソフトウェアによってCPUが正しい信号を出力しているかどうかを監視できるようにした装置も提案されている。
【0006】
【発明が解決しようとする課題】
ところが、上記のようなジャンパコネクタを用いる装置では、暴走などを原因とするメモリ内容の不正書き込みを防ぐことはできるが、操作が非常に面倒であるという問題がある。また、独立したソフトウェアによってCPUの暴走などを監視する装置では、ソフトウェアの負担が大きいという問題があった。
【0007】
この発明の目的は、複数のシステムがそれぞれ独立していることに着目し、一方のシステムで他方のシステムでの更新書き込みの許可を与えるようにすることで、CPUの暴走等があってもメモリへの不正な書き込みが生じないようにできる、メモリ情報更新システム及びその方法を提供することにある。
【0008】
【課題を解決するための手段】
請求項1の発明は、プログラム等の情報の更新書込が可能なメモリおよびこのメモリへの書込ゲート、および、該書込ゲートの状態を検出する書込ゲート状態検知部を備える主システムと、前記書込ゲートの開閉制御を行う従システムとを備え、主システムで、従システムによる書込ゲートの開閉制御に伴う書込ゲートの状態を検知して書込制御を行うことを特徴とする。
【0009】
デジタル複写機やデジタル複合機など、複数の制御システムを内蔵する装置では、各システムはそれぞれCPUとプログラム等の更新書き込みが可能なメモリとを備えている。今、更新書き込みを行おうとするシステムを主システム、それ以外のシステムを従システムとすると、主システムにはメモリへの書込ゲートが設けられると共に、従システムにおいて、この書込ゲートの開閉制御を行う。このようにすると、主システムでCPUが暴走した場合でもメモリがアクセスされてその内容が不正に書き替えられることがない。また、従システムのCPUが暴走した場合でも、主システムが正常であるなら主システムからメモリへの不正な書込が行われることがない。このように、主システムのメモリに書込ゲートを設けておき、主システムとは別系統の従システムでこの書込ゲートの開閉制御を行うことで、暴走等によってメモリの内容が不正に書き替えられてしまう確率を非常に小さくすることができ、高信頼性を得ることができる。
また、従システムが書き込みゲートを開こうとしても何らかの原因によって開かない場合が起こるかもしれない。この場合でも、書込ゲート状態検知部によって書込ゲートが実際に開いた事を知ってから書き込み制御を行うために、より信頼性の高い更新書き込みを行うことができる。
【0018】
【発明の実施の形態】
図1は、この発明の実施形態であるメモリ情報更新システムの概略ブロック図である。このメモリ情報更新システムは、システムAとシステムBからなる。システムBは、さらに複数のシステムb1、b2....から構成されている。システムAとシステムBとはI/Oポートを通じて通信線によって互いに接続されている。
【0019】
各システムA、システムBはいずれもCPUとプログラムの更新書き込み可能なメモリを備えており、また後述する書込ゲートをそれぞれ備えている。同図は、システムAについてのみ書込ゲートとメモリを示している。
【0020】
システムAは、CPU1、ROM2、メモリ3、I/Oポート4、書込ゲート5とを備えている。システムBも同様の構成を備えているが、図においては、CPU10とI/Oポート11のみを示している。システムb1、b2とも同様である。なお、図1はメモリ情報更新システムの概略ブロック図であるが、実際には、各システムA、システムBはそれぞれ独立した機能をもっている。例えば、このシステムがデジタル複写機に適用された場合には、システムAは画像形成シーケンスや駆動部の制御を担当し、システムBは操作パネル部やファクシミリ、コピー等のその他の制御機能を担当する。メモリ3には、通常のバッテリバックアップされたDRAMやフラッシュメモリなどを使用することができる。
【0021】
このメモリ情報更新システムでは、メモリ3に書込ゲート5が接続されており、CPU1がメモリ3に対して情報を書き込む時にはこの書込ゲート5を介して行われる。なお、ここではメモリ3に更新書き込みする情報をプログラムとする。
【0022】
上記書込ゲート5は、I/Oポート4を介して通信線によって接続されているシステムB(システムb1、システムb2等のいずれか)によって開閉制御されてる。書込ゲート5はソフトウェアで構成されるものではなく、ハードウェアによって構成され、I/Oポート4からは、この書込ゲート5に対して開閉信号が直接送られる。すなわち、システムBにおいてシステムAの書込ゲート5を、システムAのCPU1の動作状態に関わらず直接的に開または閉のいずれかの状態に制御できるようになっている。
【0023】
システムAがメモリ3に対してプログラムの更新書き込みを行おうとする時には、オペレータまたは他の手段によってシステムBの書込ゲート開制御プログラムを起動し、システムBのソフトウェアによる手順によって書込ゲート5の開制御信号を作成し、システムAに対して送る。システムAでは、この信号を受けると書込ゲート5を開く。この時、システムAのCPU1がどのような状態であろうと書込ゲート5は開状態に制御される。書込ゲート5が開状態になった時、初めてシステムAではメモリ3に対するプログラムの更新書込を行うことができる状態となる。したがって、システムAのCPU1が暴走した時に、それを原因として書込ゲート5が開状態になることはありえない。したがって、CPU1の暴走に起因するメモリ3への不正な更新書き込みを防止することができる。
【0024】
一方、システムBのCPU10が暴走して書込ゲート5が開いたとしても、システムA内のCPU1が暴走していない限り、CPU1ではメモリ3への更新書込モードになっていない。したがって、メモリ3に対してプログラムの不正な更新書き込みが行われる時は、システムAのCPU1が暴走して不正な書込モードとなり、且つシステムBのCPU10も暴走して書込ゲート5を開状態に制御した時だけとなる。この確率は、システムA及びシステムBが共に暴走する確率であるから、仮に、システムAのCPU1が暴走する確率を10分の1、システムBのCPU10が暴走する確率を同じく10分の1とすれば、メモリ3への不正なプログラム更新書き込みが行われる確率は、1/10×1/10=1/100となる。このように、メモリ3に書込ゲート5を接続し、この書込ゲート5を、別系統の他のシステムで開閉制御を行うようにすることで、システム全体の信頼性を飛躍的に高めることができる。
【0025】
図2は、システムA、Bのそれぞれの概略の動作を示すフローチャートである。システムBにおいて、例えば操作パネルからの操作者の指令に基づいてCPU10が書込ゲート5を開くための信号を作成しI/Oポート11を介してシステムAに出力する。システムAでは、その信号をI/Oポート4で受けて、書込ゲート5をダイレクトに開く。これにより、システムAのCPU1はメモリ3に対する更新書込を行うことができ、ST2においてプログラムの更新を行う。なお、システムAはこの時プログラムの更新書込モードに設定されておく必要がある。
【0026】
以上の実施形態では、システムBのシステムb1またはその他のシステムによって書込ゲート5を制御するようにしたが、システム1の書込ゲート5の制御を行うのにシステムB内の2つ以上のシステムを使うことも可能である。例えば、システムb1がシステムAに出す書込ゲートの開制御信号をシステムb2からの指示によって出すようにすれば、不正なプログラム更新書き込みが行われる確率は、1/10×1/10×1/10=1/1000となり、システム全体の信頼性がさらに高いものとなる。
【0027】
また、システムAとシステムBは通信線で接続するようにしているが、システムAとシステムBとが独立したものであれば同じ基板内、同じ装置内に設けることも可能である。
【0028】
図3は、他の実施形態のメモリ情報更新システムを示す。図1に示すシステムと相違するのは、書き込みゲート5の開閉状態を検知する書き込み状態検知部6を設けた点である。
【0029】
システムAにおけるプログラムの書き込み更新時においては、システムb1から出されるゲート開制御信号によって書込ゲート5が開くはずであるが、システムb1の異常などによって書込ゲート5が最終的に開状態にならない場合も考えられる。このような場合、CPU1がメモリ3に対してプログラムの書き込み更新処理を行ってもうまくゆかない。そこで、このような不具合を回避するために、書込状態検知部6を設け、CPU1が、実際にプログラムの書き込み更新を行う時に、この書込状態検知部6で書込ゲート5の開状態を確認してから行えるようにする。図4は、この時のシステムA、システムBの動作を示している。すなわち、システムAでは、ST3において書込状態検知部6による書込ゲート5の状態をみる。書込ゲート5が正しく開いていれば、ST2に進んでプログラムの書き込み更新を行う。これにより、メモリ3へのプログラムの更新書き込みの信頼性を高めることができる。
【0030】
上記書込状態検知部6は、書込ゲート5の状態を常に監視しており、プログラムの書き込み更新中に何らかの不都合で書き込みが禁止とされた場合(書込ゲート5が閉じられた場合)には、この書込状態検知部6がCPU1にその旨を知らせるようにすることも可能である。このようにすると、プログラムの書き込み更新中にメモリへの書き込みが禁止された場合に、不要な書き込みエラーを防止することができる。図5は、この時のシステムAの動作を示している。すなわり、プログラムの書き込み更新を行っている時には、ST2→ST4→ST3→ST2....を繰り返しているが、途中で書込ゲートが閉状態に制御されると、ST5の中断処理に移る。なお、中断処理では、システムBのCPU10に対してエラー通知を行う。これにより、システムB側ではそれ以降の無駄な作業を停止することができる。
【0031】
以上の説明では、システムB側において、書込ゲート5を開くためのトリガを出すようにしている。例えば、システムBが操作パネルを制御するものであれば、人間が操作パネルを介してシステムBに書込ゲート5を開くための操作を行う。これに対して、システムA側からトリガをかけるようにしてもよい。すなわち、システムAからシステムBに対してプログラムの書き込み更新の要求を出し、システムBではこれを受けて書込ゲート5を開状態に制御する。図6は、この時のシステムA、システムBの動作を示す。すなわち、システムAにおいてプログラムの書き込み更新の要求をシステムB側に対して出すと(ST10)、システムBではこれを受けて、ST11からST1に進んで書込ゲート5を開状態にするための制御信号をシステムA側に出力する。このようにすると、システムA→システムB→システムAの手続きを得てからプログラムの更新書き込みを行うことができるようになるために、信頼性がさらに高まる。
【0032】
上記の例では、システムB側から書込ゲート開制御信号を出力する時に、システムAのCPU1に対して通知を行っていないが、システムAのCPU1に対しても、書込ゲート5が開状態になったことを通知することによって、CPU1からメモリ3へのプログラムの更新書き込み処理がより確実に行われるようになる。図7はこの時のシステムA及びシステムBの動作を示している。すなわち、システムB側のST1において書込ゲート開制御信号をシステムA側に出力すると共に、同時にST15において、更新許可信号をシステムA側に出力する。この更新許可信号は、I/Oポート4を介してCPU1に出力される。CPU1は、この信号を受けた時に、書込ゲート5が開状態となった事を知り、以後、メモリ3へのプログラムの更新処理動作に移る。
【0033】
システムA側では、プログラムの書き込み更新を終えると、その旨をシステムB側に知らせ、システムB側では、その信号を受けた時に書込ゲート5を元の閉状態に制御するようにすれば、必要な時にだけ書込ゲート5を開状態にしておくことができる。図8は、そのようにする場合のシステムA、システムBの動作を示している。すなわち、ST4でプログラムの更新書き込みを終了すると、ST16においてシステムB側に終了通知を出す。システムB側では、この通知を受けると(ST17)、ST18で書込ゲート閉制御信号をシステムAの書込ゲート5に送る。この段階でシステムA側では書込ゲート5が閉じた状態となる。
【0034】
また、システムA側で更新許可を得た場合に、システムB側に対してプログラムの更新書き込みに必要とするゲート開時間に対応するデータを送ることによって、システムB側において、その時間に基づいて自動的に書込ゲート閉制御信号を作成するこができる。図9は、この時のシステムA及びシステムBの動作を示している。すなわち、システムB側から書込ゲート開制御信号を受けると共に(ST1)、更新許可を受けると(ST15)、ST20において書込ゲート5のゲート開時間に対応するデータをシステムB側に送る。このゲート開時間に対応するデータは、更新書き込みに必要とする書込ゲート5の開時間に対応するデータであり、例えば、更新書き込みのデータ量、書き込み時間、書き込み終了予測時刻などである。システムB側では、このデータを受けると、ST17において書込ゲート5の開状態の終了時刻が来るのを待ち、その時刻になった時点でST18で書込ゲート閉制御信号をシステムA側に送る。このようにすると、システムA側においてプログラムの更新処理が終わったかどうかを図8に示すように監視しておく必要がなく、またシステムB側からオペレータ等によって書込ゲート5の閉状態制御信号を作成する必要がなくなる。
【0035】
以上、図2〜図9においていくつかの制御例を説明したが、図2〜図9の各動作を適宜組み合わせることも可能である。例えば、図7〜図9の動作に図4、図5のST3に示すようなステップを追加することもできる。
【0036】
【発明の効果】
請求項1の発明によれば、主システムとは全く別系統の従システムによって書込ゲートの開閉制御を行うようにするため、メモリに対して不正な情報の書き込みが行われる場合は、主システムと従システムのCPUが共に暴走したときだけとなり、そのような事態が発生する確率を極めて低くすることができる。このた、システム全体の信頼性を飛躍的に高めることができる。
さらに、何らかの原因によって書込ゲートが開いていない場合に主システム内での更新書き込みが行われる状態を防ぐことができる。これにより、更新書き込みの信頼性をさらに高めることができる。
【図面の簡単な説明】
【図1】この発明の実施形態でるメモリ情報更新システムの機能ブロック図
【図2】上記システムの概略動作を示すフローチャート
【図3】メモリ情報更新システムの他の例の機能ブロック図
【図4】上記システムの他の動作例を示すフローチャート
【図5】上記システムのさらに他の動作例を示すフローチャート
【図6】上記システムのさらに他の動作例を示すフローチャート
【図7】上記システムのさらに他の動作例を示すフローチャート
【図8】上記システムのさらに他の動作例を示すフローチャート
【図9】上記システムのさらに他の動作例を示すフローチャート
【発明の属する技術分野】
この発明は、CPUの暴走によって誤ってメモリの内容が書き替えられるのを防止するメモリ情報更新システム及び方法に関する。
【0002】
【従来の技術】
メモリ情報更新システムに、メモリに記憶されているプログラムを必要に応じて更新するシステムがある。例えば、近年のデジタル複写機においては、コピー、ファックス、プリンタなど多くの機能を備えており、これらの複数の機能を独立して制御できるように複数の制御システムを組み合わせているが、このような複数の制御システムを有する装置においては、各制御システムはそれぞれ、CPUと制御プログラムを記憶したメモリとを備え、必要に応じて、各メモリに記憶しているプログラムの更新書き込みができるようになっている。すなわち、開発段階において最初のプログラムで所望の効果を得られるとは限らないために、通常は、メモリの書き替えを可能とし、出荷前に何度かプログラムを変更したり、あるいは、出荷後においても付加的な機能を追加するために新しいプログラムに書き替えたりすることがある。
【0003】
このように、メモリの内容を書き替えることができるようにした場合に、メモリへの書き込みが常に可能な状態にしておくと、CPUの暴走などが生じた場合に誤ってメモリの内容が書き替えられてしまうおそれがある。
【0004】
この問題を解決する1つの方法は、ジャンパコネクタを用いる方法である。プログラムの書き替えを行う場合には、装置のキャビネットなどを取り外してプログラムの書き替えが可能となるようにジャンパコネクタをつなぎかえ、書き替えが終了すると、ジャンパコネクタをプログラムの書き替えが不可能となるように再びつなぎかえ、元の状態に戻す。
【0005】
また、特開平3−205690号公報に示されているように、CPUが所定の信号を出力した時にデータの書き替えができるようにしておき、ソフトウェアによってCPUが正しい信号を出力しているかどうかを監視できるようにした装置も提案されている。
【0006】
【発明が解決しようとする課題】
ところが、上記のようなジャンパコネクタを用いる装置では、暴走などを原因とするメモリ内容の不正書き込みを防ぐことはできるが、操作が非常に面倒であるという問題がある。また、独立したソフトウェアによってCPUの暴走などを監視する装置では、ソフトウェアの負担が大きいという問題があった。
【0007】
この発明の目的は、複数のシステムがそれぞれ独立していることに着目し、一方のシステムで他方のシステムでの更新書き込みの許可を与えるようにすることで、CPUの暴走等があってもメモリへの不正な書き込みが生じないようにできる、メモリ情報更新システム及びその方法を提供することにある。
【0008】
【課題を解決するための手段】
請求項1の発明は、プログラム等の情報の更新書込が可能なメモリおよびこのメモリへの書込ゲート、および、該書込ゲートの状態を検出する書込ゲート状態検知部を備える主システムと、前記書込ゲートの開閉制御を行う従システムとを備え、主システムで、従システムによる書込ゲートの開閉制御に伴う書込ゲートの状態を検知して書込制御を行うことを特徴とする。
【0009】
デジタル複写機やデジタル複合機など、複数の制御システムを内蔵する装置では、各システムはそれぞれCPUとプログラム等の更新書き込みが可能なメモリとを備えている。今、更新書き込みを行おうとするシステムを主システム、それ以外のシステムを従システムとすると、主システムにはメモリへの書込ゲートが設けられると共に、従システムにおいて、この書込ゲートの開閉制御を行う。このようにすると、主システムでCPUが暴走した場合でもメモリがアクセスされてその内容が不正に書き替えられることがない。また、従システムのCPUが暴走した場合でも、主システムが正常であるなら主システムからメモリへの不正な書込が行われることがない。このように、主システムのメモリに書込ゲートを設けておき、主システムとは別系統の従システムでこの書込ゲートの開閉制御を行うことで、暴走等によってメモリの内容が不正に書き替えられてしまう確率を非常に小さくすることができ、高信頼性を得ることができる。
また、従システムが書き込みゲートを開こうとしても何らかの原因によって開かない場合が起こるかもしれない。この場合でも、書込ゲート状態検知部によって書込ゲートが実際に開いた事を知ってから書き込み制御を行うために、より信頼性の高い更新書き込みを行うことができる。
【0018】
【発明の実施の形態】
図1は、この発明の実施形態であるメモリ情報更新システムの概略ブロック図である。このメモリ情報更新システムは、システムAとシステムBからなる。システムBは、さらに複数のシステムb1、b2....から構成されている。システムAとシステムBとはI/Oポートを通じて通信線によって互いに接続されている。
【0019】
各システムA、システムBはいずれもCPUとプログラムの更新書き込み可能なメモリを備えており、また後述する書込ゲートをそれぞれ備えている。同図は、システムAについてのみ書込ゲートとメモリを示している。
【0020】
システムAは、CPU1、ROM2、メモリ3、I/Oポート4、書込ゲート5とを備えている。システムBも同様の構成を備えているが、図においては、CPU10とI/Oポート11のみを示している。システムb1、b2とも同様である。なお、図1はメモリ情報更新システムの概略ブロック図であるが、実際には、各システムA、システムBはそれぞれ独立した機能をもっている。例えば、このシステムがデジタル複写機に適用された場合には、システムAは画像形成シーケンスや駆動部の制御を担当し、システムBは操作パネル部やファクシミリ、コピー等のその他の制御機能を担当する。メモリ3には、通常のバッテリバックアップされたDRAMやフラッシュメモリなどを使用することができる。
【0021】
このメモリ情報更新システムでは、メモリ3に書込ゲート5が接続されており、CPU1がメモリ3に対して情報を書き込む時にはこの書込ゲート5を介して行われる。なお、ここではメモリ3に更新書き込みする情報をプログラムとする。
【0022】
上記書込ゲート5は、I/Oポート4を介して通信線によって接続されているシステムB(システムb1、システムb2等のいずれか)によって開閉制御されてる。書込ゲート5はソフトウェアで構成されるものではなく、ハードウェアによって構成され、I/Oポート4からは、この書込ゲート5に対して開閉信号が直接送られる。すなわち、システムBにおいてシステムAの書込ゲート5を、システムAのCPU1の動作状態に関わらず直接的に開または閉のいずれかの状態に制御できるようになっている。
【0023】
システムAがメモリ3に対してプログラムの更新書き込みを行おうとする時には、オペレータまたは他の手段によってシステムBの書込ゲート開制御プログラムを起動し、システムBのソフトウェアによる手順によって書込ゲート5の開制御信号を作成し、システムAに対して送る。システムAでは、この信号を受けると書込ゲート5を開く。この時、システムAのCPU1がどのような状態であろうと書込ゲート5は開状態に制御される。書込ゲート5が開状態になった時、初めてシステムAではメモリ3に対するプログラムの更新書込を行うことができる状態となる。したがって、システムAのCPU1が暴走した時に、それを原因として書込ゲート5が開状態になることはありえない。したがって、CPU1の暴走に起因するメモリ3への不正な更新書き込みを防止することができる。
【0024】
一方、システムBのCPU10が暴走して書込ゲート5が開いたとしても、システムA内のCPU1が暴走していない限り、CPU1ではメモリ3への更新書込モードになっていない。したがって、メモリ3に対してプログラムの不正な更新書き込みが行われる時は、システムAのCPU1が暴走して不正な書込モードとなり、且つシステムBのCPU10も暴走して書込ゲート5を開状態に制御した時だけとなる。この確率は、システムA及びシステムBが共に暴走する確率であるから、仮に、システムAのCPU1が暴走する確率を10分の1、システムBのCPU10が暴走する確率を同じく10分の1とすれば、メモリ3への不正なプログラム更新書き込みが行われる確率は、1/10×1/10=1/100となる。このように、メモリ3に書込ゲート5を接続し、この書込ゲート5を、別系統の他のシステムで開閉制御を行うようにすることで、システム全体の信頼性を飛躍的に高めることができる。
【0025】
図2は、システムA、Bのそれぞれの概略の動作を示すフローチャートである。システムBにおいて、例えば操作パネルからの操作者の指令に基づいてCPU10が書込ゲート5を開くための信号を作成しI/Oポート11を介してシステムAに出力する。システムAでは、その信号をI/Oポート4で受けて、書込ゲート5をダイレクトに開く。これにより、システムAのCPU1はメモリ3に対する更新書込を行うことができ、ST2においてプログラムの更新を行う。なお、システムAはこの時プログラムの更新書込モードに設定されておく必要がある。
【0026】
以上の実施形態では、システムBのシステムb1またはその他のシステムによって書込ゲート5を制御するようにしたが、システム1の書込ゲート5の制御を行うのにシステムB内の2つ以上のシステムを使うことも可能である。例えば、システムb1がシステムAに出す書込ゲートの開制御信号をシステムb2からの指示によって出すようにすれば、不正なプログラム更新書き込みが行われる確率は、1/10×1/10×1/10=1/1000となり、システム全体の信頼性がさらに高いものとなる。
【0027】
また、システムAとシステムBは通信線で接続するようにしているが、システムAとシステムBとが独立したものであれば同じ基板内、同じ装置内に設けることも可能である。
【0028】
図3は、他の実施形態のメモリ情報更新システムを示す。図1に示すシステムと相違するのは、書き込みゲート5の開閉状態を検知する書き込み状態検知部6を設けた点である。
【0029】
システムAにおけるプログラムの書き込み更新時においては、システムb1から出されるゲート開制御信号によって書込ゲート5が開くはずであるが、システムb1の異常などによって書込ゲート5が最終的に開状態にならない場合も考えられる。このような場合、CPU1がメモリ3に対してプログラムの書き込み更新処理を行ってもうまくゆかない。そこで、このような不具合を回避するために、書込状態検知部6を設け、CPU1が、実際にプログラムの書き込み更新を行う時に、この書込状態検知部6で書込ゲート5の開状態を確認してから行えるようにする。図4は、この時のシステムA、システムBの動作を示している。すなわち、システムAでは、ST3において書込状態検知部6による書込ゲート5の状態をみる。書込ゲート5が正しく開いていれば、ST2に進んでプログラムの書き込み更新を行う。これにより、メモリ3へのプログラムの更新書き込みの信頼性を高めることができる。
【0030】
上記書込状態検知部6は、書込ゲート5の状態を常に監視しており、プログラムの書き込み更新中に何らかの不都合で書き込みが禁止とされた場合(書込ゲート5が閉じられた場合)には、この書込状態検知部6がCPU1にその旨を知らせるようにすることも可能である。このようにすると、プログラムの書き込み更新中にメモリへの書き込みが禁止された場合に、不要な書き込みエラーを防止することができる。図5は、この時のシステムAの動作を示している。すなわり、プログラムの書き込み更新を行っている時には、ST2→ST4→ST3→ST2....を繰り返しているが、途中で書込ゲートが閉状態に制御されると、ST5の中断処理に移る。なお、中断処理では、システムBのCPU10に対してエラー通知を行う。これにより、システムB側ではそれ以降の無駄な作業を停止することができる。
【0031】
以上の説明では、システムB側において、書込ゲート5を開くためのトリガを出すようにしている。例えば、システムBが操作パネルを制御するものであれば、人間が操作パネルを介してシステムBに書込ゲート5を開くための操作を行う。これに対して、システムA側からトリガをかけるようにしてもよい。すなわち、システムAからシステムBに対してプログラムの書き込み更新の要求を出し、システムBではこれを受けて書込ゲート5を開状態に制御する。図6は、この時のシステムA、システムBの動作を示す。すなわち、システムAにおいてプログラムの書き込み更新の要求をシステムB側に対して出すと(ST10)、システムBではこれを受けて、ST11からST1に進んで書込ゲート5を開状態にするための制御信号をシステムA側に出力する。このようにすると、システムA→システムB→システムAの手続きを得てからプログラムの更新書き込みを行うことができるようになるために、信頼性がさらに高まる。
【0032】
上記の例では、システムB側から書込ゲート開制御信号を出力する時に、システムAのCPU1に対して通知を行っていないが、システムAのCPU1に対しても、書込ゲート5が開状態になったことを通知することによって、CPU1からメモリ3へのプログラムの更新書き込み処理がより確実に行われるようになる。図7はこの時のシステムA及びシステムBの動作を示している。すなわち、システムB側のST1において書込ゲート開制御信号をシステムA側に出力すると共に、同時にST15において、更新許可信号をシステムA側に出力する。この更新許可信号は、I/Oポート4を介してCPU1に出力される。CPU1は、この信号を受けた時に、書込ゲート5が開状態となった事を知り、以後、メモリ3へのプログラムの更新処理動作に移る。
【0033】
システムA側では、プログラムの書き込み更新を終えると、その旨をシステムB側に知らせ、システムB側では、その信号を受けた時に書込ゲート5を元の閉状態に制御するようにすれば、必要な時にだけ書込ゲート5を開状態にしておくことができる。図8は、そのようにする場合のシステムA、システムBの動作を示している。すなわち、ST4でプログラムの更新書き込みを終了すると、ST16においてシステムB側に終了通知を出す。システムB側では、この通知を受けると(ST17)、ST18で書込ゲート閉制御信号をシステムAの書込ゲート5に送る。この段階でシステムA側では書込ゲート5が閉じた状態となる。
【0034】
また、システムA側で更新許可を得た場合に、システムB側に対してプログラムの更新書き込みに必要とするゲート開時間に対応するデータを送ることによって、システムB側において、その時間に基づいて自動的に書込ゲート閉制御信号を作成するこができる。図9は、この時のシステムA及びシステムBの動作を示している。すなわち、システムB側から書込ゲート開制御信号を受けると共に(ST1)、更新許可を受けると(ST15)、ST20において書込ゲート5のゲート開時間に対応するデータをシステムB側に送る。このゲート開時間に対応するデータは、更新書き込みに必要とする書込ゲート5の開時間に対応するデータであり、例えば、更新書き込みのデータ量、書き込み時間、書き込み終了予測時刻などである。システムB側では、このデータを受けると、ST17において書込ゲート5の開状態の終了時刻が来るのを待ち、その時刻になった時点でST18で書込ゲート閉制御信号をシステムA側に送る。このようにすると、システムA側においてプログラムの更新処理が終わったかどうかを図8に示すように監視しておく必要がなく、またシステムB側からオペレータ等によって書込ゲート5の閉状態制御信号を作成する必要がなくなる。
【0035】
以上、図2〜図9においていくつかの制御例を説明したが、図2〜図9の各動作を適宜組み合わせることも可能である。例えば、図7〜図9の動作に図4、図5のST3に示すようなステップを追加することもできる。
【0036】
【発明の効果】
請求項1の発明によれば、主システムとは全く別系統の従システムによって書込ゲートの開閉制御を行うようにするため、メモリに対して不正な情報の書き込みが行われる場合は、主システムと従システムのCPUが共に暴走したときだけとなり、そのような事態が発生する確率を極めて低くすることができる。このた、システム全体の信頼性を飛躍的に高めることができる。
さらに、何らかの原因によって書込ゲートが開いていない場合に主システム内での更新書き込みが行われる状態を防ぐことができる。これにより、更新書き込みの信頼性をさらに高めることができる。
【図面の簡単な説明】
【図1】この発明の実施形態でるメモリ情報更新システムの機能ブロック図
【図2】上記システムの概略動作を示すフローチャート
【図3】メモリ情報更新システムの他の例の機能ブロック図
【図4】上記システムの他の動作例を示すフローチャート
【図5】上記システムのさらに他の動作例を示すフローチャート
【図6】上記システムのさらに他の動作例を示すフローチャート
【図7】上記システムのさらに他の動作例を示すフローチャート
【図8】上記システムのさらに他の動作例を示すフローチャート
【図9】上記システムのさらに他の動作例を示すフローチャート
Claims (2)
- プログラム等の情報の更新書込が可能なメモリ、該メモリへ更新書込される前記情報の通過制御が可能な書込ゲート、および、該書込ゲートの状態を検出する書込ゲート状態検知部を備える主システムと、該主システムとは別の制御系からなり前記主システムの前記書込ゲートの開閉制御を行う従システムとを備え、
主システムは、前記メモリへの書き込みの際に、前記従システムからの前記書込ゲートの開閉制御による前記書込ゲートの開閉の状態を、前記メモリへの書込前とともに前記メモリへの書込中に検知して、前記メモリへの書込前では前記書込ゲートの開状態を検知している時にのみ書き込みを行い、前記メモリへの書込中で且つ前記書込ゲートの開状態を検知している時にのみ書き込みを行い、前記メモリへの書込中で且つ前記書込ゲートの閉状態を検知した時には書き込みを中断することを特徴とするメモリ情報更新システム。 - 主システムにおいてメモリに書込ゲートを介してプログラム等の情報の更新書込を行うとき、主システムとは別の従システムから前記書込ゲートの開閉制御を行い、開閉制御される前記書込ゲートの開閉の状態を、主システムが前記メモリへの書込前とともに前記メモリへの書込中に検知して、前記メモリへの書込前では前記書込ゲートの開状態を検知している時にのみ書き込みを行い、前記メモリへの書込中で且つ前記書込ゲートの開状態を検知している時にのみ書き込みを行い、前記メモリへの書込中で且つ前記書込ゲートの閉状態を検知した時には書き込みを中断することを特徴とするメモリ情報更新方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30547898A JP4226121B2 (ja) | 1998-10-27 | 1998-10-27 | メモリ情報更新システム及びメモリ情報更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30547898A JP4226121B2 (ja) | 1998-10-27 | 1998-10-27 | メモリ情報更新システム及びメモリ情報更新方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000132457A JP2000132457A (ja) | 2000-05-12 |
| JP4226121B2 true JP4226121B2 (ja) | 2009-02-18 |
Family
ID=17945649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP30547898A Expired - Fee Related JP4226121B2 (ja) | 1998-10-27 | 1998-10-27 | メモリ情報更新システム及びメモリ情報更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4226121B2 (ja) |
-
1998
- 1998-10-27 JP JP30547898A patent/JP4226121B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2000132457A (ja) | 2000-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7039779B2 (en) | Access monitor and access monitoring method for monitoring access between programs | |
| US20020092010A1 (en) | Upgrade of a program | |
| US20040205388A1 (en) | Method for managing computer, apparatus for managing computer, and computer readable medium storing program for managing computer | |
| US5712967A (en) | Method and system for graceful recovery from a fault in peripheral devices using a variety of bus structures | |
| US7237146B2 (en) | Securing method of data transfer and data transfer system provided therewith | |
| JP4161276B2 (ja) | フォルトトレラントコンピュータ装置およびその同期化方法 | |
| JP4226121B2 (ja) | メモリ情報更新システム及びメモリ情報更新方法 | |
| JP2002215557A (ja) | Pciバスの障害解析容易化方式 | |
| JP2000222184A (ja) | プログラム変更方法 | |
| KR100516551B1 (ko) | 원격 소프트웨어 업그레이드 시스템 및 방법 | |
| CN114026537A (zh) | 用于在车辆的车载总线上与计算机进行对话的方法 | |
| JP2002044693A (ja) | 電子交換機の制御装置 | |
| JPH0534877B2 (ja) | ||
| JP4450161B2 (ja) | ユニット及びプログラマブルコントローラ | |
| JP3696689B2 (ja) | 情報処理システムのメモリコピー装置 | |
| JPS6339013A (ja) | 電子計算機 | |
| JP2976897B2 (ja) | 伝送装置におけるデータバックアップ方式 | |
| US20230185564A1 (en) | Control device and management method | |
| JP2989705B2 (ja) | ダウンロードプログラムの保護方式 | |
| JPH0430245A (ja) | マルチプロセッサ制御方式 | |
| JPH03100736A (ja) | パトロール診断装置 | |
| US7593127B2 (en) | Image forming apparatus and data overwriting method | |
| JPH1011325A (ja) | プログラマブルコントローラ | |
| JPH0514378A (ja) | 通信装置 | |
| JPH04326423A (ja) | バージョンアップ管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050208 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050411 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060308 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20060313 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20060331 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081001 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081126 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111205 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111205 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121205 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121205 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |