JP5115600B2 - 制御装置 - Google Patents

制御装置 Download PDF

Info

Publication number
JP5115600B2
JP5115600B2 JP2010177578A JP2010177578A JP5115600B2 JP 5115600 B2 JP5115600 B2 JP 5115600B2 JP 2010177578 A JP2010177578 A JP 2010177578A JP 2010177578 A JP2010177578 A JP 2010177578A JP 5115600 B2 JP5115600 B2 JP 5115600B2
Authority
JP
Japan
Prior art keywords
area
memory
setting
storage area
write
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010177578A
Other languages
English (en)
Other versions
JP2012038081A (ja
Inventor
健司 望月
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2010177578A priority Critical patent/JP5115600B2/ja
Priority to US13/204,926 priority patent/US20120036300A1/en
Publication of JP2012038081A publication Critical patent/JP2012038081A/ja
Application granted granted Critical
Publication of JP5115600B2 publication Critical patent/JP5115600B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1028Power efficiency
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)

Description

本発明は、制御動作を実施すると共に、この制御動作に伴って所定の情報をメモリに記憶させるように構成された制御装置に関する。
この種の制御装置としては、制御動作の実施と共に、その制御動作に関する情報として、例えば、センサによる検出値、制御動作の結果を示す値、制御動作の結果を演算するまでの過程で得られる途中演算結果、制御動作の結果として後の制御動作で使用する学習値、制御対象において発生した故障を示す故障情報などを、メモリの記憶領域(不揮発性RAMにおけるRAM領域)に記憶させる、といったものが提案されている(特許文献1参照)。
特開2003−104137号公報
上述した制御装置では、電源電圧の低下などで制御装置の駆動を正常に行えない状態になると、制御動作に関する情報のメモリへの格納が正確に行われなくなるため、そのような状態であることを検出し、制御動作に関する情報のメモリへの記憶を禁止すべきである。
ただ、制御装置の駆動を正常に行えない状態は、必ずしも継続的なトラブルとは限らないため、制御動作に関する情報のメモリへの記憶を禁止した後、制御装置の駆動を正常に行える状態に戻ったときには、制御動作に関する情報の記憶を直ちに再開することが望ましい。
例えば、制御動作に関する情報として、制御動作の結果として後の制御動作で使用する学習値を記憶させる構成であれば、最新の結果を示す値に基づいて後の制御動作を行う必要があるからである。
しかし、上述した制御装置では、制御動作を正常に行える状態に戻ったとしても、そのような状態変化とは無関係に制御装置としての他の処理が実行されるため、その時点の処理負荷や処理の優先度に応じて、情報の記憶が直ちに再開できない恐れがある。
本発明は、このような課題を解決するためになされたものであり、その目的は、制御動作を正常に行える状態に戻ったときに、情報の記憶が直ちに再開できるようにするための技術を提供することである。
上記課題を解決するため第1の構成は、所定の情報の記憶が伴う1種類以上の制御動作それぞれに必要な処理を実施することに伴い、所定の情報を記憶させるためのメモリである動作メモリのうち、その制御動作に対応する記憶領域へと所定の情報を記憶させるように構成された制御装置である。
この制御装置は、当該制御装置に供給される電源のレベルに基づき、当該制御装置が、少なくともいずれかの前記制御動作を正常に行えない状態になっているか否かを判定する異常判定手段と、前記異常判定手段により制御動作を正常に行えない状態になっていると判定された場合に、少なくとも、該判定された制御動作に対応する前記動作メモリの記憶領域を、データの書込が行えない書込禁止領域に設定する禁止設定手段と、前記禁止設定手段により記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段が、その記憶領域に対応する制御動作を正常に行えない状態になっていると判定しなくなった場合に、当該制御装置による他のいずれの処理よりも優先して、その記憶領域における前記書込禁止領域との設定を解除する設定解除手段と、を備えている。
このように構成された制御装置によれば、制御動作を正常に行える状態に戻った場合に、そのような状態変化を受けて、他のいずれの処理よりも優先して書込禁止領域の設定が解除されるため、制御動作に伴う情報の記憶を直ちに再開させることができる。
これにより、例えば、制御動作に関する情報として、制御動作の結果として後の制御動作で使用する学習値を記憶させる場合においては、制御動作を正常に行える状態に戻った以降、最新の結果を示す学習値に基づいて後の制御動作を行うことができるようになる。
この構成において、当該制御装置が制御動作を正常に行えない状態になっているか否かは、例えば、電源のレベルが制御動作を正常に行うために必要な範囲内にあるか否かにより判定すればよい。この場合、電源の供給源からの電源を直接的に監視して判定してもよいし、供給源からの電源を監視する別の監視主体からの通知信号に基づいて間接的に判定することとしてもよい。
また、上記構成において、書込禁止領域の設定を解除するための具体的な構成は特に限定されないが、ソフトウェア的な手法として、例えば、その解除のための処理についての優先度を最も高くしておき、その他のいずれの処理が実施中であったとしても、その解除のための処理が割込処理として最優先で実施されるようにすることが考えられる。
また、ハードウェア的な手法として、例えば、上記構成を以下に示す第2の構成のようにすることが考えられる。
第2の構成に係る制御装置は、少なくとも前記設定解除手段が実装された制御回路を備えている。そして、前記制御回路は、前記禁止設定手段により、記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段により、その記憶領域に対応する制御動作が正常に行えない状態になっていると判定されなくなったタイミングで、前記設定解除手段が、その記憶領域における前記書込禁止領域との設定を解除する。
この構成では、制御動作を正常に行える状態に戻ったタイミングで、書込禁止領域の設定を解除することにより、制御回路が情報の動作メモリへの記憶を再開させる。ここで、制御回路は、独立したハードウェア構成であるため、他の処理による処理負荷や優先度とは無関係に、制御動作に伴う情報の記憶を直ちに再開させることができる。
また、ハードウェア構成であれば、例えば適合などの動作時にメモリを書込可能状態にし、データの書換を行った後で書込禁止状態に戻す際、ソフトウェア的な優先度の高い割込処理を装った不正アクセスを受け付けることなく、メモリを書込禁止状態に戻すことができるという点で、不正アクセスによるデータ改ざんなどにも強い(耐タンパリング性が高い)。
なお、この構成においては、書込禁止領域の設定解除だけでなく、その設定解除の契機として、制御動作を正常に行えない状態になっていないことを判定することについても、制御回路側において実施することとしてもよい。また、全ての処理を制御回路側で実施することとしてもよい。
また、上記構成において、動作メモリの記憶領域を書込禁止領域に設定し、その設定を解除するための具体的な構成については特に限定されないが、例えば、以下に示す第3の構成のようにすることが考えられる。
第3の構成において、前記動作メモリは、データの読み出しのみを行うためのROM領域、および、データの読み書き両方を行うためのRAM領域それぞれを規定可能な不揮発性RAMであって、少なくとも前記制御動作それぞれにより所定の情報が記憶される全ての記憶領域が、初期状態における前記RAM領域として規定されている。
また、前記禁止設定手段は、前記異常判定手段により前記制御動作を正常に行えない状態になっていると判定された場合に、前記動作メモリにおける記憶領域のアドレス範囲を変更し、少なくとも、その制御動作に対応する前記動作メモリの記憶領域を、前記ROM領域として規定することで前記書込禁止領域に設定する。
そして、前記設定解除手段は、前記禁止設定手段により記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段が、その記憶領域に対応する制御動作を正常に行えない状態になっていると判定しなくなった場合に、前記動作メモリにおける記憶領域を初期状態に戻すことで、その記憶領域における前記書込禁止領域との設定を解除する。
この構成であれば、制御動作に伴って情報が記憶される動作メモリ(不揮発性RAM)の記憶領域を、初期状態として規定されていたRAM領域からROM領域へと変更することで書込禁止領域への設定を行うことができ、その後、記憶領域の規定をROM領域からRAM領域へと戻すことで書込禁止領域の設定を解除することができる。
また、この構成は、以下に示す第4の構成のようにするとよい。
第4の構成は、前記動作メモリにおける前記ROM領域および前記RAM領域のアドレス範囲を示すアドレス情報が格納されるアドレスメモリを備えている。そして、前記禁止設定手段は、前記アドレスメモリに格納されたアドレス情報で示されるアドレス範囲を変更することで前記書込禁止領域に設定して、前記設定解除手段は、前記アドレスメモリに格納されたアドレス情報で示されるアドレス範囲を初期状態に戻すことで、その記憶領域における前記書込禁止領域との設定を解除する。
この構成であれば、アドレスメモリに格納されたアドレス情報で示されるアドレス範囲を変更することにより、制御動作により情報が記憶される動作メモリの記憶領域を、RAM領域からROM領域へと変更し、また、ROM領域からRAM領域へと戻すことができる。
また、この構成においては、アドレスメモリに格納されたアドレス情報を初期値から変更し、その後、初期値に戻すようにすればよいが、このとき、初期値であるアドレス情報そのものを変更してしまうのではなく、一時的に退避させておくようにすれば、アドレス情報を初期値に戻す際の計算処理の負荷を軽減することができるため好適である。
このためには、上記構成を以下に示す第5の構成のようにするとよい。
第5の構成は、前記アドレスメモリに格納されたアドレス情報を退避させるための退避メモリを備えている。そして、前記禁止設定手段は、前記アドレスメモリに記憶されたアドレス情報を前記退避メモリへと退避させると共に、該当する前記制御動作に対応する前記動作メモリの記憶領域を前記ROM領域に含めたアドレス範囲につき、該アドレス情報を示すアドレス情報を前記アドレスメモリに記憶させることで前記書込禁止領域への設定を行い、前記設定解除手段は、前記退避メモリに格納されたアドレス情報を前記アドレスメモリに戻すことにより、前記書込禁止領域への設定を解除する。
この構成であれば、該当する記憶領域をRAM領域からROM領域へと変更する際に、初期値であるアドレス情報を退避メモリに退避させておき、その後、退避させておいたアドレス情報をアドレスメモリに戻すことにより、その記憶領域をROM領域からRAM領域へと戻すことができる。
なお、この構成には、該当する制御動作に対応する記憶領域がROM領域に含められたアドレス範囲を示すアドレス情報がアドレスメモリに記憶され、これにより、該当する記憶領域がRAM領域からROM領域へと変更されることとなるが、このアドレス情報は、都度生成されるものであってもよいし、あらかじめ用意されたものであってもよい。この後者の場合には、動作メモリや退避メモリなどに事前に格納しておくことが考えられる。
また、上記課題を解決するための制御方法は、所定の情報の記憶が伴う1種類以上の制御動作それぞれに必要な処理を実施することに伴い、所定の情報を記憶させるためのメモリである動作メモリのうち、その制御動作に対応する記憶領域へと所定の情報を記憶させるように構成された制御装置に、以下の手順を実行させることを特徴とする制御方法である。
この方法における手順は、当該制御装置に供給される電源のレベルに基づき、当該制御装置が、少なくともいずれかの前記制御動作を正常に行えない状態になっているか否かを判定する異常判定手順と、前記異常判定手順により制御動作を正常に行えない状態になっていると判定された場合に、少なくとも、該判定された制御動作に対応する前記動作メモリの記憶領域を、データの書込が行えない書込禁止領域に設定する禁止設定手順と、前記禁止設定手順により記憶領域が前記書込禁止領域に設定された以降、前記異常判定手順にて、その記憶領域に対応する制御動作を正常に行えない状態になっていると判定しなくなった場合に、当該制御装置による他のいずれの処理よりも優先して、その記憶領域における前記書込禁止領域との設定を解除する設定解除手順と、である。
このような方法であれば、上記各構成に係る制御装置により、書込禁止領域の設定および設定の解除を行うのに好適である。
なお、この方法については、上述した第2〜第5の構成における各手段と同様の手順を制御装置に実施させるものとしてもよい。
また、この方法は、各手順をコンピュータシステムに実行させるためのプログラムとすることもでき、このプログラムを実行するコンピュータシステムは、上記各構成と同様の作用、効果を得ることができる。
そして、このプログラムは、コンピュータシステムによる処理に適した命令の順番付けられた列からなるものであって、各種記録媒体や通信回線を介して制御装置や、これを利用するユーザ等に提供されるものである。
ECUの全体構成を示すブロック図 制御装置の全体構成を示すブロック図 電源のレベル変化に伴う記憶領域の設定を示す図 メモリ保護処理を示すフローチャート アドレスメモリ、退避メモリへとアドレス情報を格納する様子を示す図(a)、動作メモリに対する書込禁止領域への設定を示す図(b) 別の実施形態における電源のレベル変化に伴う記憶領域の設定を示す図 別の実施形態における動作メモリに対する書込禁止領域への設定を示す図 別の実施形態におけるメモリ保護処理を示すフローチャート
以下に本発明の実施形態を図面と共に説明する。
(1)全体構成
ECU(Electric control unit)1は、図1に示すように、センサ110やスイッチ(SW)120など(以降「センサ類」という)からの入力信号に基づいて各種アクチュエータ130などを制御する処理を行う制御装置2、バッテリ140からの電源供給を受けて制御装置2に電源信号を供給する電源回路3、制御装置2とセンサ類やアクチュエータ130などとの間における信号の入出力を中継する入出力回路4などを備えている。
なお、本実施形態では、ECU1が車両に搭載され、各種センサ類からの入力信号に基づいて各種アクチュエータ130を制御することで車両の動作を制御する、ように構成されたものを例示する。
制御装置2は、複数の制御動作それぞれに必要な処理を実施するCPU21、CPU21による処理手順(プログラム)や処理結果などを記憶するための動作メモリ23、CPU21と動作メモリ23との間に介在するメモリ制御回路25、制御装置2外部とのデータとのやりとりを制御する入出力インターフェース(I/O)27などからなる。
これらのうち、CPU21は、一部の制御動作に関し、その制御動作に必要な処理の実施に伴って、所定の情報の動作メモリ23への記憶も行うように構成されている。ここでいう「所定の情報」とは、例えば、センサによる検出値、制御動作の結果を示す値、制御動作の結果として後の制御動作で使用する学習値、制御対象において発生した故障を示す故障情報などのことである。
また、動作メモリ23は、図2に示すように、データの読み出しのみを行うためのROM領域210、および、データの読み書き両方を行うためのRAM領域220を含む複数の記憶領域それぞれのアドレス範囲(本実施形態では両領域の境界となるアドレス;図2における「a」参照)を規定可能な不揮発性RAMである。
また、メモリ制御回路25は、図2に示すように、動作メモリ23のアドレス範囲が規定されたアドレス情報を格納するためのレジスタであるアドレスメモリ31、このアドレスメモリ31に格納されたアドレス情報を退避させるためのレジスタである退避メモリ33、アドレスメモリ31および退避メモリ33へのアドレス情報の記憶を制御するアドレス制御部35などを有するハードウェア構成である。このアドレスメモリ31および退避メモリ33へのアドレス情報の記憶は、アドレス制御部35だけでなく、CPU21からの指令によっても制御される。
なお、本実施形態では、各制御動作に必要な処理に伴って情報が記憶されうる記憶領域を含む記憶領域(この記憶領域のアドレス範囲)を示すアドレス情報が、後述するメモリ保護処理において、初期状態のアドレス情報としてアドレスメモリ31に格納される。
このメモリ制御回路25は、アドレスメモリ31に格納されたアドレス情報に基づいて、CPU21による動作メモリ23へのアクセスを中継する。具体的には、CPU21からのアクセスがデータの読み出しであれば、そのアクセス先となる動作メモリ23の記憶領域から、該当するデータを読み出してCPU21へと渡す。一方、CPU21からのアクセスがデータの書込である場合には、そのアクセス先となる動作メモリ23の記憶領域が、アクセス情報で規定されているRAM領域220内にある場合にのみ、そのアクセスに係るデータのアクセス先への書込を行う。
電源回路3は、バッテリ140からの電源供給を受け、この電源から所定の信号レベルの電源信号を生成して制御装置2へと供給するものであり、スイッチ(本実施形態においては、イグニッションスイッチ)150にてバッテリ140から電源回路3へと至る信号経路が導通されている場合に、電源信号の生成および制御装置2への供給を行う。
また、電源回路3は、バッテリ140から供給される電源のレベルに基づいて、制御装置2(のCPU21)による制御動作が正常に行えない状態になっているか否かをチェックしており、正常に行えない状態になっていると判定した場合に、その旨を通知すべく制御装置2に対して通知信号を出力するように構成されている。
本実施形態において、電源回路3は、図3に示すように、バッテリ140から供給される電源のレベルを監視し、そのレベルが適切な信号レベルで電源信号を生成できる範囲(同図Vth1,Vth2)を下回っている場合に、制御動作が正常に行えない状態になっているものとして通知信号を制御装置2に出力する(通知信号の信号レベルをHレベルにする)。ここでいう「制御装置の駆動が正常に行えない状態」とは、制御装置2へと充分な信号レベルの電源信号が供給されないことにより、制御動作に必要な処理だけでなく、その処理に伴って行われる情報の記憶が正常に行われなくなる状態のことである。
また、電源回路3は、バッテリ140から供給される電源のレベルが、適切な信号レベルで電源信号を生成できる範囲を下回り、さらに、制御装置2の起動を維持するのに必要なレベル(同図Vth0)をも下回った場合に、制御装置2を再起動するためのリセット信号を制御装置2に出力する。
(2)制御装置2によるメモリ保護処理
以下に、制御装置2のCPU21が、動作メモリ23のROM領域210に記憶されたプログラムに従って実行するメモリ保護処理の処理手順を図4に基づいて説明する。このメモリ保護処理は、制御装置2が起動された以降、繰り返し実行される。
このメモリ保護処理が起動されると、まず、動作メモリ23におけるROM領域210のうち、あらかじめ定められた記憶領域に格納されているアドレス情報の読み出しが行われ、これが、メモリ制御回路25におけるアドレスメモリ31および退避メモリ33に格納される(s110)。
本実施形態では、図5(a)に示すように、制御動作が正常に行える状態になっている場合にROM領域210およびRAM領域220として使用する記憶領域を規定するアドレス情報(a)と、制御動作が正常に行えない状態になっている場合にROM領域210およびRAM領域220として使用する記憶領域を規定するアドレス情報(b)と、が動作メモリ23のうちRAM領域220として使用されることのない記憶領域に格納されている。
この前者のアドレス情報(a)は、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域(アドレス範囲:b〜a)と、この記憶領域より小さいアドレス(0x000…0〜b)の記憶領域と、をRAM領域220として規定すると共に、それら記憶領域を除く記憶領域をROM領域210として規定している。
また、他方のアドレス情報(b)は、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域(アドレス範囲:b〜a)と、この記憶領域より大きいアドレス(a〜0xFFF…F)の記憶領域と、をROM領域210として規定すると共に、それら記憶領域を除く記憶領域をRAM領域220として規定している。
そして、このs110では、前者のアドレス情報(a)がアドレスメモリ31に格納され、後者のアドレス情報(b)が退避メモリ33に格納される。こうして、アドレスメモリ31にアドレス情報(a)が格納されることで、動作メモリ23のうち、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域が、RAM領域220として設定される。
次に、電源回路3から通知信号の入力が開始されているか否かがチェックされる(s120)。上述したように、通知信号は、制御装置2による制御動作が正常に行えない状態になっていることを通知するための信号であるため、このs110では、通知信号の入力をチェックすることにより、制御動作が正常に行えない状態になっているか否かの異常判定を間接的に行っていることになる。
このs120において、電源回路3からの通知信号の入力が開始されるまで待機状態となり(s120:NO)、その後、通知信号の入力が開始されたら(s120:YES)、動作メモリ23のうち、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域が、データの書込を行えない書込禁止領域に設定される(s130)。
ここでは、図5(b)に示すように、アドレスメモリ31に格納されているアドレス情報(a)の退避メモリ33への退避、および、退避メモリ33に格納されているアドレス情報(b)のアドレスメモリ31への記憶が行われる。こうして、両メモリに格納されていたアドレス情報が入れ替えられる。
退避メモリ33に格納されていたアドレス情報(b)は、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域(アドレス範囲:b〜a)を、データの書込を行えないROM領域210として規定したものである。そのため、このアドレス情報(b)をアドレスメモリ31に記憶させることで、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域は、データの書込を行えない書込禁止領域に設定される(図3における「記憶領域の設定」参照)。
上述したs130の後、電源回路3からの通知信号の入力が終了したか否かがチェックされ(s140)、入力が終了していなければ(s140:NO)、電源回路3から上述したリセット信号が入力されたか否かをチェックする(s150)。
このs150でリセット信号が入力されていれば(s150:YES)、直ちに本メモリ保護処理が終了する一方、リセット信号が入力されていなければ(s150:NO)、プロセスがs140へと戻る。
また、上記s140で通知信号の入力が終了している場合(s140:YES)、上記s130による書込禁止領域の設定が解除された後(s160)、プロセスがs120へと戻る。このs160は、CPU21による他のいずれの処理よりも優先度が高く設定されており、その他のいずれの処理が実施中であったとしても、割込処理として最優先で書込禁止設定の解除が実施される(図3における「記憶領域の設定」参照)。
ここでは、この時点でアドレスメモリ31に格納されているアドレス情報(b)の退避メモリ33への記憶、および、退避メモリ33に格納されているアドレス情報(a)のアドレスメモリ31への記憶が行われる。こうして、両メモリに格納されていたアドレス情報が入れ替えられる。
退避メモリ33に格納されていたアドレス情報(a)は、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域(アドレス範囲:b〜a)がRAM領域220として規定されたものである。そのため、このアドレス情報(a)をアドレスメモリ31に戻すことで、各制御動作に必要な処理に伴って情報が記憶されうる全ての記憶領域は、RAM領域220へと戻されることで、書込禁止領域の設定が解除される。
なお、上述したs120〜s160のうち、s140およびs160については、制御装置2による処理手順としてではなく、メモリ制御回路25側で実施することとしてもよい。
(3)作用,効果
上記実施形態における制御装置2によれば、制御動作を正常に行える状態に戻った場合に、そのような状態変化に着目して、他のいずれの処理よりも優先して書込禁止領域の設定が解除されるため、制御動作に伴う情報の記憶を直ちに再開させることができる。
これにより、例えば、制御動作に関する情報として、制御動作の結果として後の制御動作で使用する学習値を記憶させる場合においては、制御動作を正常に行える状態に戻った以降、最新の結果を示す学習値に基づいて後の制御動作を行うことができるようになる。
また、上記実施形態において、書込禁止領域の設定を解除するための具体的な構成を、メモリ制御回路25によるハードウェア的な手法により実現した場合には、制御動作を正常に行える状態に戻ったタイミングで、メモリ制御回路25が情報の動作メモリ23への記憶を再開させる。ここで、メモリ制御回路25は、独立したハードウェア構成であるため、他の処理による処理負荷や優先度とは無関係に、制御動作に伴う情報の記憶を直ちに再開することができる。
また、ハードウェア構成であれば、例えば適合などの動作時に動作メモリ23を書込可能状態にし、データの書換を行った後で書込禁止状態に戻す際、ソフトウェア的な優先度の高い割込処理を装った不正アクセスを受け付けることなく、動作メモリ23を書込禁止状態に戻すことができるという点で、不正アクセスによるデータ改ざんなどにも強い(耐タンパリング性が高い)。
また、上記実施形態においては、制御動作に伴って情報が記憶される動作メモリ23の記憶領域を、初期状態として規定されていたRAM領域220からROM領域210へと変更することで書込禁止領域への設定を行うことができ(図4のs130)、その後、記憶領域の規定をROM領域210からRAM領域220へと戻すことで書込禁止領域の設定を解除することができる(同図s160)。
このとき、アドレスメモリ31に格納されたアドレス情報で示されるアドレス範囲を変更する(退避メモリ33のアドレス情報と入れ替える)ことにより、制御動作により情報が記憶される動作メモリ23の記憶領域を、RAM領域220からROM領域210へと変更し、また、ROM領域210からRAM領域220へと戻すことができる。
また、上記実施形態では、該当する記憶領域をRAM領域220からROM領域210へと変更する際に、初期値であるアドレス情報を退避メモリ33に退避させておき、その後、退避させておいたアドレス情報をアドレスメモリ31に戻すことにより、その記憶領域をROM領域210からRAM領域220へと戻すことができる。
(4)変形例
以上、本発明の実施の形態について説明したが、本発明は、上記実施形態に何ら限定されることはなく、本発明の技術的範囲に属する限り種々の形態をとり得ることはいうまでもない。
例えば、上記実施形態においては、制御装置2が制御動作を正常に行えない状態になっているか否かを、電源の供給源(バッテリ140)からの電源を監視する別の監視主体(電源回路3)からの通知に基づいて間接的に判定するように構成されている。しかし、制御装置2が、電源の供給源からの電源を直接的に監視して判定するように構成してもよい。
また、上記実施形態においては、通知信号の入力が開始されたか否かのチェック〜書込禁止領域の設定解除までの全ての処理(s120〜s160)を、メモリ制御回路25側でハードウェア的に実施するように構成してもよい。
また、上記実施形態においては、不揮発性RAMである動作メモリ23の記憶領域のうち、ROM領域210とRAM領域220とのアドレス範囲を変更することにより、書込禁止領域への設定、および、その設定の解除を行うように構成されている。しかし、この設定および設定解除については、動作メモリ23における記憶領域のアドレス範囲を変更する以外の構成により実現してもよい。
また、上記実施形態においては、アドレスメモリ31に、あらかじめ退避メモリ33に格納されたアドレス情報を記憶させ、これにより、該当する記憶領域がRAM領域220からROM領域210へと変更されるように構成されている。ここで、退避メモリ33に格納されたアドレス情報ではなく、都度生成したアドレス情報をアドレスメモリ31に記憶させるように構成してもよい。
また、上記実施形態において、電源回路3は、いずれの制御動作であるかに拘わらず、制御動作が正常に行えない状態になっていると判定した場合に、制御装置2へと通知信号を出力し、制御装置2は、この通知信号を受けて、全ての制御動作に対応するRAM領域220の一部記憶領域を書込禁止領域に設定するように構成されている。
しかし、電源回路3は、制御動作それぞれについて正常に行えない状態になっているか否かを判定し、その制御動作に関係づけられた通知信号を制御装置2へと出力すると共に、制御装置2側では、この通知信号を受けて、特定の制御動作に対応するRAM領域220の一部記憶領域を書込禁止領域に設定するように構成してもよい。
例えば、制御動作の中に、あるアクチュエータ130を動作させるための途中演算結果、または各種センサ類によって得られるアクチュエータ130による動作結果を学習データとして動作メモリ23のRAM領域220に記憶させる処理を伴う出力制御動作と、あるセンサ110による検出値を動作メモリ23のRAM領域220に記憶させる処理を伴う検出制御動作と、が含まれ、図6に示すように、アクチュエータ130を正常に作動させるのに必要な電源のレベル(Vth5〜Vth6)が、センサ110による検出を正常に行うのに必要な電源のレベル(Vth3〜Vth4)より低い場合を例示する。
この場合においては、例えば、図7に示すように、電源回路3を、制御動作に関連づけられた通知信号を出力する(同図では、制御動作毎の出力経路を設けている)構成とし、また、メモリ制御回路25における退避メモリ33を、複数のアドレス情報を選択的に読み書き可能なレジスタで構成する。ここで選択的とは、レジスタへの書き込み順序と、読み出し順序とを相関させなくても良い、という意味である(発明としては、キューやスタックのように相関させても良い)。ここでのアドレス情報には、少なくとも、上記と同様のアドレス情報(a)と、出力制御動作に対応する記憶領域(図7におけるアドレス範囲b〜a)を規定するアドレス情報(b)と、検出制御動作に対応する記憶領域(同図のアドレス範囲c〜b)を規定するアドレス情報(c)と、がある。
そして、メモリ保護処理としては、以下に示す第1メモリ保護処理と第2メモリ保護処理とに分けて実行されるようにする。
一方の第1メモリ保護処理では、図8(a)に示すように、通知信号の入力開始を受け(s120:YES)、その通知信号に関連づけられた制御動作に対応する記憶領域を書込禁止領域に設定する(s130)、といった処理をリセット信号が入力されるまで繰り返す(s210:NO)。他方、第2メモリ保護処理では、図8(b)に示すように、通知信号の入力終了を受け(s140:YES)、その通知信号に関連づけられた制御動作に対応する記憶領域の書込禁止領域への設定を解除する(s160)、といった処理をリセット処理が入力されるまで繰り返す(s150:NO)。
このような構成であれば、各制御動作に対応するRAM領域220の一部記憶領域を、各制御動作が実際に正常に行えない状態になっているタイミングで書込禁止領域に設定することができる。そのため、実際に正常に行えない状態になっていないにも拘わらず、対応する記憶領域が書込禁止領域に設定されてしまうといったことを防止し、適切なタイミングで書込禁止領域への設定および解除をすることができる(図6のt1−t1’、t2−t2’参照)。
(5)本発明との対応関係
以上説明した実施形態において、図4のs120が本発明における異常判定手段であり、同図s130が本発明における禁止設定手段であり、同図s160が本発明における設定解除手段である。
1…ECU、2…制御装置、3…電源回路、4…入出力回路、21…CPU、23…動作メモリ、25…メモリ制御回路、31…アドレスメモリ、33…退避メモリ、35…アドレス制御部、110…センサ、130…アクチュエータ、140…バッテリ、150…スイッチ、210…ROM領域、220…RAM領域。

Claims (5)

  1. 所定の情報の記憶が伴う1種類以上の制御動作それぞれに必要な処理を実施することに伴い、所定の情報を記憶させるためのメモリである動作メモリのうち、その制御動作に対応する記憶領域へと所定の情報を記憶させるように構成された制御装置であって、
    当該制御装置に供給される電源のレベルに基づき、当該制御装置が、少なくともいずれかの前記制御動作を正常に行えない状態になっているか否かを判定する異常判定手段と、
    前記異常判定手段により制御動作を正常に行えない状態になっていると判定された場合に、少なくとも、該判定された制御動作に対応する前記動作メモリの記憶領域を、データの書込が行えない書込禁止領域に設定する禁止設定手段と、
    前記禁止設定手段により記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段が、その記憶領域に対応する制御動作を正常に行えない状態になっていると判定しなくなった場合に、当該制御装置による他のいずれの処理よりも優先して、その記憶領域における前記書込禁止領域との設定を解除する設定解除手段と、を備えており、
    前記動作メモリは、データの読み出しのみを行うためのROM領域、および、データの読み書き両方を行うためのRAM領域それぞれを規定可能な不揮発性RAMであって、少なくとも前記制御動作それぞれにより所定の情報が記憶される全ての記憶領域が、初期状態における前記RAM領域として規定されており、
    前記禁止設定手段は、前記異常判定手段により前記制御動作を正常に行えない状態になっていると判定された場合に、前記動作メモリにおける記憶領域のアドレス範囲を変更し、少なくとも、その制御動作に対応する前記動作メモリの記憶領域を、前記ROM領域として規定することで前記書込禁止領域に設定して、
    前記設定解除手段は、前記禁止設定手段により記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段が、その記憶領域に対応する制御動作を正常に行えない状態になっていると判定しなくなった場合に、前記動作メモリにおける記憶領域を初期状態に戻すことで、その記憶領域における前記書込禁止領域との設定を解除する
    ことを特徴とする制御装置。
  2. 少なくとも前記設定解除手段が実装された制御回路を備え、
    前記制御回路は、前記禁止設定手段により、記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段により、その記憶領域に対応する制御動作が正常に行えない状態になっていると判定されなくなったタイミングで、前記設定解除手段が、その記憶領域における前記書込禁止領域との設定を解除する
    ことを特徴とする請求項1に記載の制御装置。
  3. 前記動作メモリにおける前記ROM領域および前記RAM領域のアドレス範囲を示すアドレス情報が格納されるアドレスメモリを備えており、
    前記禁止設定手段は、前記アドレスメモリに格納されたアドレス情報で示されるアドレス範囲を変更することで前記書込禁止領域に設定して、
    前記設定解除手段は、前記アドレスメモリに格納されたアドレス情報で示されるアドレス範囲を初期状態に戻すことで、その記憶領域における前記書込禁止領域との設定を解除する
    ことを特徴とする請求項1または請求項2に記載の制御装置。
  4. 前記アドレスメモリに格納されたアドレス情報を退避させるための退避メモリを備えており、
    前記禁止設定手段は、前記アドレスメモリに記憶されたアドレス情報を前記退避メモリへと退避させると共に、該当する前記制御動作に対応する前記動作メモリの記憶領域を前記ROM領域に含めたアドレス範囲につき、該アドレス情報を示すアドレス情報を前記アドレスメモリに記憶させることで前記書込禁止領域への設定を行い、
    前記設定解除手段は、前記退避メモリに格納されたアドレス情報を前記アドレスメモリに戻すことにより、前記書込禁止領域への設定を解除する
    ことを特徴とする請求項に記載の制御装置。
  5. 所定の情報の記憶が伴う1種類以上の制御動作それぞれに必要な処理を実施することに伴い、所定の情報を記憶させるためのメモリである動作メモリのうち、その制御動作に対応する記憶領域へと所定の情報を記憶させるように構成された制御装置であって、
    当該制御装置に供給される電源のレベルに基づき、当該制御装置が、少なくともいずれかの前記制御動作を正常に行えない状態になっているか否かを判定する異常判定手段と、
    前記異常判定手段により制御動作を正常に行えない状態になっていると判定された場合に、少なくとも、該判定された制御動作に対応する前記動作メモリの記憶領域を、データの書込が行えない書込禁止領域に設定する禁止設定手段と
    前記禁止設定手段により記憶領域が前記書込禁止領域に設定された以降、前記異常判定手段が、その記憶領域に対応する制御動作を正常に行えない状態になっていると判定しなくなった場合に、その記憶領域における前記書込禁止領域との設定を解除する設定解除手段と、を備えており、
    さらに、
    前記書込禁止領域との設定を解除するための処理についての優先度が最も高くなるように設定されており、
    前記設定解除手段は、前記記憶領域における前記書込禁止領域との設定を解除するための処理を、該処理に設定された優先度に基づいて、当該制御装置による他のいずれの処理よりも優先して実施する
    ことを特徴とする制御装置。
JP2010177578A 2010-08-06 2010-08-06 制御装置 Active JP5115600B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010177578A JP5115600B2 (ja) 2010-08-06 2010-08-06 制御装置
US13/204,926 US20120036300A1 (en) 2010-08-06 2011-08-08 Controller and electric control unit including the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010177578A JP5115600B2 (ja) 2010-08-06 2010-08-06 制御装置

Publications (2)

Publication Number Publication Date
JP2012038081A JP2012038081A (ja) 2012-02-23
JP5115600B2 true JP5115600B2 (ja) 2013-01-09

Family

ID=45556945

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010177578A Active JP5115600B2 (ja) 2010-08-06 2010-08-06 制御装置

Country Status (2)

Country Link
US (1) US20120036300A1 (ja)
JP (1) JP5115600B2 (ja)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5408672A (en) * 1991-11-18 1995-04-18 Matsushita Electric Industrial Co. Microcomputer having ROM to store a program and RAM to store changes to the program
US5991849A (en) * 1996-04-10 1999-11-23 Sanyo Electric Co., Ltd Rewriting protection of a size varying first region of a reprogrammable non-volatile memory
US6490509B1 (en) * 1999-09-17 2002-12-03 Keihin Corporation Car controlling unit using a multitasking system
JP3866479B2 (ja) * 2000-04-07 2007-01-10 株式会社デンソー 車間制御装置、記録媒体
JP2003002132A (ja) * 2001-06-19 2003-01-08 Koyo Seiko Co Ltd 車両用制御装置
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
US7467035B2 (en) * 2004-05-18 2008-12-16 Haldex Brake Products Ltd. Vehicle control system with redundant storage of vehicle control parameters
JP2007066232A (ja) * 2005-09-02 2007-03-15 Seiko Epson Corp データ処理装置
KR20070074232A (ko) * 2006-01-09 2007-07-12 삼성전자주식회사 램 영역과 롬 영역을 동시에 가지는 반도체 메모리 장치
JP5030727B2 (ja) * 2007-10-01 2012-09-19 日立オートモティブシステムズ株式会社 車両用電子制御装置
JP5381895B2 (ja) * 2010-05-21 2014-01-08 株式会社デンソー 制御装置、保護装置および保護方法

Also Published As

Publication number Publication date
JP2012038081A (ja) 2012-02-23
US20120036300A1 (en) 2012-02-09

Similar Documents

Publication Publication Date Title
JP4572751B2 (ja) 電子制御装置
TWI493553B (zh) 根據環境溫度資訊來執行平均抹寫程序之方法及其快閃記憶體裝置
CN101777024B (zh) 数据移动方法及系统
JP4463771B2 (ja) ストレージ装置
JP2007287022A (ja) 電子制御装置の情報記憶方法
KR20080037060A (ko) 메모리 장치와 이 메모리 장치의 작동 방법
JP2010204851A (ja) 記憶装置及び情報処理装置
JP5115600B2 (ja) 制御装置
JP5504604B2 (ja) Ram診断装置
US20140258611A1 (en) Semiconductor device and method of operating the same
JP2006286111A (ja) 半導体メモリの管理装置
JP2009265819A (ja) 制御装置およびプログラム
JP2006193017A (ja) 車両情報記録装置及び車両情報記録方法
JP4479775B2 (ja) 車両制御装置およびプログラム
JP6159668B2 (ja) 車両用制御装置
JP6904918B2 (ja) 制御装置およびそのデータ書き込み方法
JP2013200919A5 (ja)
JP5381895B2 (ja) 制御装置、保護装置および保護方法
JP6025193B2 (ja) キャッシュメモリ、キャッシュメモリ障害制御方法および情報処理システム
JP5535113B2 (ja) メモリシステム
JP5486193B2 (ja) フラッシュメモリの動作保護装置及びフラッシュメモリの動作保護方法
JP5541201B2 (ja) プログラム実行状況監視装置、および実行状況監視プログラム
JP2011175366A (ja) 電子機器
JP2018063527A (ja) 電子制御装置
JP2010134822A (ja) 半導体メモリ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120524

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120918

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121001

R151 Written notification of patent or utility model registration

Ref document number: 5115600

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250