WO2013057825A1

WO2013057825A1 - 情報処理装置、データ管理方法、データ管理プログラム

Info

Publication number: WO2013057825A1
Application number: PCT/JP2011/074215
Authority: WO
Inventors: 山城　啓秀
Original assignee: トヨタ自動車株式会社
Priority date: 2011-10-20
Filing date: 2011-10-20
Publication date: 2013-04-25

Abstract

　第１のアプリケーションケーションプログラムにより保護対象とされる特定データの書き込み処理が行われるときには、第２のアプリケーションケーションプログラムによりデータの書き込み処理が行われない第１のメモリ領域に特定データを書き込むと共に、第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に特定データと同一の又は整合したデータを書き込み、第１のアプリケーションケーションプログラムにより特定データの読み込み処理が行われるときには、第１のメモリ領域と第２のメモリ領域から対応するデータを読み込むと共に、読み込まれたデータが同一又は整合するか否かをチェックする処理を行う情報処理装置。

Description

情報処理装置、データ管理方法、データ管理プログラム

　本発明は、複数のアプリケーションプログラムを実行する情報処理装置、及びそのデータ管理方法並びにデータ管理プログラムに関する。

　近年、特に車載制御装置の分野において、複数のＥＣＵ（Electronic　Control　Unit）によって実行されていた制御を統合して、一の（或いは、より少数の）ＥＣＵに実行させる機能統合が進められている。車両に搭載されるＥＣＵとしては、エンジンの点火制御等を行うエンジンＥＣＵ、ドアロックの施錠／解錠等を行うボデーＥＣＵ、電子制御式ブレーキ装置のソレノイド制御等を行うブレーキＥＣＵ、パワーステアリング装置を制御するステアリングＥＣＵ等、種々のものが存在する。機能が統合されたＥＣＵでは、統合前の各機能がそれぞれアプリケーションプログラム（或いはタスク）として存続し、ＥＣＵのプロセッサによって実行される。

　このように、複数の機能を統合したこと等により、複数のアプリケーションプログラムを実行する情報処理装置は、ハードウエア面でコスト低減を図ることができるため、車載制御装置に限らず、種々の分野で用いられている。

　特許文献１には、オペレーティングシステム上で第１および第２アプリケーションプログラムを含む複数のアプリケーションプログラムを並行に動作させる情報処理装置について記載されている。この情報処理装置は、第１アプリケーションプログラムからオペレーティングシステムに対する関数呼び出し、又は第１アプリケーションプログラムとオペレーティングシステムの間で送受信されるメッセージを監視する監視部と、その監視結果に基づいて、第２アプリケーションプログラムからオペレーティングシステムに対する関数呼び出し、又はメッセージ送受信の処理を変更または禁止する制御部とを備えている。

　ところで、複数のアプリケーションプログラムを実行する情報処理装置においては、アプリケーションプログラムが行う処理の重要性に応じて、メモリに格納されるデータの保護（以下、メモリ保護と称する）を実行する必要がある。図１は、従来実行されていたメモリ保護を実現するための構成を簡単に示す図である。図示するように、従来の情報処理装置では、アプリケーションプログラム（アプリ１、アプリ２と表記した）Ａ、Ｂがメモリへのアクセスを行う際には、オペレーティングシステムＣを介して行い、オペレーティングシステムＣは、例えばＭＭＵ（Memory　Management Unit）（Ｄ）からの通知によって、各アプリからのメモリＥへのアクセスを許可又は禁止する。図中、×印は、各アプリからのメモリアクセスが禁止される様子を模式的に示している。アプリ１、アプリ２はオペレーティングシステムＣ上のタスクに割り付けられており、アクセス可能なメモリの領域が予め設定されている。そして、各アプリがメモリＥにアクセスした時点でどのタスクがアクティブかをオペレーティングシステムＣがタスクテーブルによって認識しており、アクセス可能な領域でない場合には、ＭＭＵ（Ｄ）から、各アプリ及びオペレーティングシステムＣを実行するＣＰＵに例外割り込みが通知される。

特開２００７－０６５８４６号公報

　しかしながら、上記従来の情報処理装置では、ＭＭＵ等のハードウエアを備えることによるコスト増や重量増が生じ、低コスト化、軽量化を実現するのが困難な場合がある。また、そもそもオペレーティングシステムを搭載しない組み込みコンピュータに適用された場合、上記のような処理を実行するのが困難である。

　本発明はこのような課題を解決するためのものであり、メモリ保護とコスト低減を両立させることが可能な情報処理装置等を提供することを、主たる目的とする。

　上記目的を達成するための本発明の第１の態様は、
　第１のアプリケーションプログラムと、第２のアプリケーションプログラムと、を含む複数のアプリケーションプログラムを実行する情報処理装置であって、
　前記第１のアプリケーションケーションプログラムにより保護対象とされる特定データの書き込み処理が行われるときには、前記第２のアプリケーションケーションプログラムによりデータの書き込み処理が行われない第１のメモリ領域に前記特定データを書き込むと共に、前記第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込み、
　前記第１のアプリケーションケーションプログラムにより前記特定データの読み込み処理が行われるときには、前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理を行うことを特徴とする、
　情報処理装置である。

　本発明の第１の態様において、
　命令実行のための関数を前記第１のアプリケーションプログラムに提供する関数提供手段を備え、
　前記第１のアプリケーションケーションプログラムによる前記特定データの書き込み処理は、前記第１のメモリ領域に前記特定データを書き込むと共に、前記第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込むことを命令する関数を、前記関数提供手段から呼び出すことによって実行されることを特徴とするものとしてもよい。

　また、本発明の第１の態様において、
　前記第１のアプリケーションケーションプログラムによる前記特定データの読み込み処理は、前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むことを命令する関数を、前記関数提供手段から呼び出すことによって実行されることを特徴とするものとしてもよい。

　また、本発明の第１の態様において、
　前記第１のアプリケーションケーションプログラムにより前記特定データの書き込み処理が行われるときには、前記特定データと、前記前記特定データと同一の又は整合したデータを、前記第１のメモリ領域と前記第２のメモリ領域のオフセットされたアドレスに記憶させることを特徴とするものとしてもよい。

　また、本発明の第１の態様において、
　前記第１のアプリケーションケーションプログラムにより前記特定データの読み込み処理が行われるタイミングとは異なるタイミングにおいて、前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理を行うことを特徴とするものとしてもよい。

　また、本発明の第１の態様において、
　前記第２のアプリケーションケーションプログラムによる前記特定データ以外のデータの書き込み処理は、前記第１のメモリ領域及び前記第２のメモリ領域とは異なる第３のメモリ領域に対して行われるものとしてもよい。

　この場合、
　前記第１のアプリケーションケーションプログラムにより、前記第３のメモリ領域に対する前記特定データ以外のデータの書き込み処理及び読み込み処理が行われる、
　情報処理装置。

　また、本発明の第１の態様において、
　前記第１及び第３のメモリ領域は、同体のメモリ上に設定され、前記第２のメモリ領域は、前記第１及び第３のメモリ領域とは別体のメモリ上に設定されるものとしてもよい。　本発明の第２の態様は、
　第１のアプリケーションプログラムと、第２のアプリケーションプログラムと、を含む複数のアプリケーションプログラムを実行する情報処理装置におけるデータ管理方法であって、
　前記第１のアプリケーションプログラムが扱うデータであって、保護対象とされる特定データに関して、
　前記第２のアプリケーションケーションプログラムによるデータの書き込み処理が行われない第１のメモリ領域に前記特定データを書き込むと共に、前記第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込む処理と、
　前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理と、
　を前記情報処理装置が実行することを特徴とする、データ管理方法である。

　本発明の第３の態様は、
　第１のアプリケーションプログラムと、第２のアプリケーションプログラムと、を含む複数のアプリケーションプログラムを実行する情報処理装置におけるデータ管理プログラムであって、
　前記第１のアプリケーションプログラムが扱うデータであって、保護対象とされる特定データに関して、
　前記第２のアプリケーションケーションプログラムによるデータの書き込み処理が行われない第１のメモリ領域に前記特定データを書き込むと共に、前記第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込む処理と、
　前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理と、
　を前記情報処理装置に実行させることを特徴とする、データ管理プログラムである。

　本発明によれば、メモリ保護とコスト低減を両立させることが可能な情報処理装置等を提供することができる。

従来実行されていたメモリ保護を実現するための構成を簡単に示す図である。本発明の一実施例に係る情報処理装置１のシステム構成例である。アプリ１、２がＣＰＵ２０により実行される様子と、情報通信の流れを示す図である。特定データ及びミラーデータが第１のメモリ３０と第２のメモリ４０の物理アドレスに関してオフセットされたアドレスに記憶される様子を示す図である。アプリ１によりメモリへのデータ書き込み処理が行われる際の処理の流れを示すフローチャートである。専用Write関数が呼び出された際に実行される処理の流れを示すフローチャートである。アプリ１によりメモリからのデータ読み込み処理が行われる際の処理の流れを示すフローチャートである。専用Read関数が呼び出された際に実行される処理の流れを示すフローチャートである。ベリファイ処理の流れを示すフローチャートである。

　以下、本発明を実施するための形態について、添付図面を参照しながら実施例を挙げて説明する。

　以下、図面を参照し、本発明の一実施例に係る情報処理装置、データ管理方法及びデータ管理プログラムについて説明する。

　［構成］
　図２は、本発明の一実施例に係る情報処理装置１のシステム構成例である。情報処理装置１は、主要な構成として、プログラムメモリ１０と、ＣＰＵ（Central　Processing　Unit）２０と、第１のメモリ３０と、第２のメモリ４０と、を備える。

　プログラムメモリ１０は、例えばＲＯＭ（Read　Only　Memory）やＥＥＰＲＯＭ（Electrically　Erasable　and　Programmable　Read　Only　Memory）等の不揮発性メモリである。プログラムメモリ１０は、ＣＰＵ２０が備えるプログラムカウンタの示す値が入力されると、対応するアドレスに格納された命令等を、プログラムバス１５を介してＣＰＵ２０に出力する。

　プログラムメモリ１０には、アプリケーションプログラム１１、１２（以下、必要に応じて単にアプリ１、アプリ２と称する）、専用読み書きＩＦ（インターフェース）１３、その他のプログラム等が格納されている。なお、アプリケーションプログラムの総数、アプリ１に該当するアプリケーションプログラムの数、アプリ２に該当するアプリケーションプログラムの数について特段の制限は存在しない。

　アプリ１、アプリ２は、それぞれ情報処理装置１に課せられたタスクを実行するための一又は複数のプログラムである。アプリ１は、保護対象とされる特定データを含むデータを扱うプログラムであり、アプリ２は、特定データ以外の一般データを専ら扱うプログラムである。

　ここで、情報処理装置１が車両に搭載される制御装置である場合、どのデータが特定データに該当するかは、例えばＡＳＩＬ（Automotive　Safety　Integrity　Level）に応じて決定されると好適である。ＡＳＩＬとは、自動車向けの規格により設定された車両制御等に関する指標値であり、高いレベルである場合に、高度な安全方策が求められることを示す。ＡＳＩＬは、低いレベルから順にＱＭ、ＡＳＩＬ－Ａ、ＡＳＩＬ－Ｂ、ＡＳＩＬ－Ｃ、ＡＳＩＬ－Ｄと定められており、情報処理装置１がＡＳＩＬに対応するものとして適用される場合、例えば、ＡＳＩＬ－Ｃ以上の制御における演算対象・演算結果等が特定データに該当し、ＡＳＩＬ－Ｂ以下の制御における演算対象・演算結果等が特定データ以外の一般データに該当するものとすればよい。すなわち、車両制御のうち、高度な安全方策が求められる制御に関わるデータを特定データとし、それ以外のデータを一般データとするとよい。

　専用読み書きＩＦ１３は、命令実行のための関数を、特定データを扱うアプリ１に提供するインターフェース機能部である。専用読み書きＩＦ１３の機能については後述する。

　ＣＰＵ２０は、例えば、命令フェッチユニット、ＡＬＵ（Arithmetic Logic Unit）、ＭＵＬ（乗算器）、ＤＩＶ（除算器）、ＬＳＵ（Load Store Unit）その他を含む演算ユニット、レジスタやキャッシュメモリ等の内部メモリ、プログラムカウンタ、ローカル割り込みコントローラ等を有するプロセッサである。ＣＰＵ２０は、例えば時分割処理によって、上記アプリ１、２等を並行して実行可能なシングルコア・プロセッサである。なお、これに限らず、マルチコア・プロセッサやマルチプロセッサ等が採用され、複数のプロセッサコア（又はプロセッサ）がそれぞれアプリ１、アプリ２を実行するものとしてもよい。

　また、ＣＰＵ２０は、内部バス３５を介して第１のメモリ３０にアクセスするための第１のバスコントローラ２２、外部バス４５を介して第２のメモリ４０にアクセスするための第２のバスコントローラ２４、いずれのバスコントローラを使用するかを選択するチップセレクタ２６等を内蔵する。なお、係る構成は一例であり、第１のメモリ３０と第２のメモリ４０の双方に接続された共通バスを有する構成であってもよい。

　第１のメモリ３０は、例えば内部メモリとして取り付けられるＳＤＲＡＭ（Synchronous　Dynamic　Random　Access　Memory）等の記憶装置である。第１のメモリ３０には、領域Ａ及びＢが設定されている。

　領域Ａは、アプリ１により書き込み及び読み込みが行われるが、アプリ２によっては読み込みのみが行われる領域である（特許請求の範囲における第１のメモリ領域に相当）。領域Ｂは、アプリ１、２により書き込み及び読み込みが行われる領域である（特許請求の範囲における第３のメモリ領域に相当）。

　第２のメモリ４０は、例えば外部メモリとして取り付けられるＳＤＲＡＭやＥＥＰＲＯＭ、ＳＲＡＭ（Static　Random　Access　Memory）等の記憶装置である。第２のメモリ４０は、第１のメモリ３０とは別体の記憶装置であると好適である。第２のメモリ４０には、領域Ｃが設定されている。

　領域Ｃは、アプリ１により書き込み及び読み込みが行われ、アプリ２によるアクセス（書き込み及び読み込みの双方）は行われない領域である（特許請求の範囲における第２のメモリ領域に相当）。

　このようなアクセスの可否に関して、本実施例の情報処理装置１では、アプリケーションプログラムとは別の監視機構を備えるのではなく、各アプリケーションプログラムのソースコードに直接記述されている。これによって、監視機構を備えることによるコストや重量（監視機構がハードウエアである場合）の増加を抑制することができる。

　［情報通信の流れ］
　図３は、アプリ１、２がＣＰＵ２０により実行される様子と、情報通信の流れを示す図である。図中、矢印（１）は、アプリ１による特定データの読み書き処理に係る情報通信の流れを示し、矢印（２）は、アプリ２による特定データの読み込み処理に係る情報通信の流れを示し、矢印（３）はアプリ１、２による一般データの読み書き処理に係る情報通信の流れを示し、矢印（４）は特定タイミングにおけるベリファイ処理に係る情報通信の流れを示す。

　図３の矢印（１）で示すように、アプリ１により特定データの書き込み処理が行われるときには、領域Ａに特定データが書き込まれると共に、領域Ｃに特定データと同一の又は整合したデータ（以下、「ミラーデータ」と称する）が書き込まれる。

　ここで、「整合した」データとは、例えば、特定データを元データとし、チェックサム、ビット反転、ハッシュコード等、圧縮、暗号化、符号化、一部削除、桁上げ、桁下げ等の処理が行われたデータを意味する。

　但し、同一のデータを書き込まない場合であっても、特定データとミラーデータのデータサイズは一致させると好適である。例えば整合したデータとして圧縮されたデータを採用する場合、先頭や末尾にダミービットを付加する等してデータサイズを揃えるとよい。そして、特定データとミラーデータを、第１のメモリ３０と第２のメモリ４０の例えば物理アドレスに関してオフセットされた（平行移動させた）アドレスに記憶させると好適である。

　これによって、並行して書き込まれた特定データ及びミラーデータのアドレスの対応付けが単純になり、アドレスの管理が容易となる。特に、後述するベリファイ処理において、対応するデータの読み込み処理を簡易に行うことができる。図４は、特定データ（α１、α２）及びミラーデータ（β１、β２）が第１のメモリ３０と第２のメモリ４０の物理アドレスに関してオフセットされたアドレスに記憶される様子を示す図である。ここでは、β１はα１のミラーデータであり、β２はα２のミラーデータである。

　また、図３の矢印（１）で示すように、アプリ１により特定データの読み込み処理が行われるときには、領域Ａと領域Ｃの双方から対応するデータ（書き込み時に並行して書き込まれた、特定データ及びミラーデータ）を読み込むと共に、読み込まれたデータが同一又は整合するか否かをチェックする処理を行う。

　後述するように、特定データの読み書き処理は、専用読み書きＩＦ１３から関数を呼び出すことによって実行される。

　他方、図３の矢印（２）で示すアプリ２による領域Ａからの特定データの読み込み処理、及び図３の矢印（３）で示すアプリ１、２による領域Ｂに対する読み書き処理は、専用読み書きＩＦ１３を利用せずに直接的に実行される。

　これらの処理によって、特定データと一般データのパーティショニング（領域分け）が実現される。図３中、破線（５）は、パーティショニングの境界線を示している。このようなパーティショニングによって、特定データと一般データが混在しないように制御されるため、高度な安全方策が求められる制御に関わる特定データが意図せぬ改竄・破壊を受けることを抑制することができる。

　また、図３の矢印（４）で示すように、アプリ１によるデータ読み込み処理が行われるタイミングとは異なるタイミングにおいて、領域Ａと領域Ｃの双方から対応するデータを読み込むと共に、読み込まれたデータが同一又は整合するか否かをチェックするベリファイ処理が実行される。ベリファイ処理は、アプリ１によって実行されてもよいし、アプリ１よりも上位のプログラムによって実行されてもよい。

　［処理フロー］
　以下、上記各処理に係る処理の流れをフローチャートに即して説明する。

　図５は、アプリ１によりメモリへのデータ書き込み処理が行われる際の処理の流れを示すフローチャートである。本フローは、アプリ１が実行される中でメモリへの書き込み処理が発生した度に実行される。

　まず、アプリ１は、当該データ書き込み処理が、特定データの書き込み処理であるか否かを判定する（Ｓ１００）。

　特定データの書き込み処理である場合は、専用読み書きＩＦ１３から専用Write関数を呼び出す（Ｓ１０２）。一方、一般データの書き込み処理である場合は、チップセレクタ２６及び第１のバスコントローラ２２に指示して領域Ｂに一般データを書き込む（Ｓ１０４）。

　図６は、専用Write関数が呼び出された際に実行される処理の流れを示すフローチャートである。

　まず、専用Write関数は、チップセレクタ２６及び第１のバスコントローラ２２に指示して領域Ａに特定データを書き込む（Ｓ２００）。

　次に、専用Write関数は、チップセレクタ２６及び第２のバスコントローラ２４に指示して領域Ｃにミラーデータを書き込む（Ｓ２０２）。

　図７は、アプリ１によりメモリからのデータ読み込み処理が行われる際の処理の流れを示すフローチャートである。本フローは、アプリ１が実行される中でメモリからのデータ読み込み処理が発生した度に実行される。

　まず、アプリ１は、当該データ読み込み処理が、特定データの読み込み処理であるか否かを判定する（Ｓ３００）。

　特定データの読み込み処理である場合は、アドレスを指定して専用読み書きＩＦ１３から専用Read関数を呼び出す（Ｓ３０２）。一方、一般データの読み込み処理である場合は、チップセレクタ２６及び第１のバスコントローラ２２に指示して領域Ｂから一般データを読み込む（Ｓ３０４）。

　図８は、専用Read関数が呼び出された際に実行される処理の流れを示すフローチャートである。

　まず、専用Read関数は、チップセレクタ２６及び第１のバスコントローラ２２に指示して領域Ａにおける指示されたアドレスから特定データを読み込む（Ｓ４００）。

　次に、専用Read関数は、チップセレクタ２６及び第２のバスコントローラ２４に指示して領域Ｃにおける指示されたアドレス（或いはＳ４００で指示されたアドレスから所定値分オフセットしたアドレス）からミラーデータを読み込む（Ｓ４０２）。

　次に、専用Read関数は、ミラーデータの復号処理を行う（Ｓ４０４）。本ステップの処理は、上記のようにチェックサム、ビット反転、ハッシュコード等、圧縮、暗号化、符号化等された特定データを元に復元する処理である。なお、ミラーデータとして特定データと同一のデータが領域Ｃに書き込まれる場合、本ステップの処理は省略される。

　次に、専用Read関数は、Ｓ４００において読み込まれた特定データとＳ４０２において読み込まれたミラーデータが同一又は整合するか否かを判定する（Ｓ４０６）。

　専用Read関数は、Ｓ４００において読み込まれた特定データとＳ４０２において読み込まれたミラーデータが同一又は整合する場合には、専用Read関数のリターン値として特定データの示す値をアプリ１に返し（Ｓ４０８）、本フローを終了する。

　一方、専用Read関数は、Ｓ４００において読み込まれた特定データとＳ４０２において読み込まれたミラーデータが同一又は整合しない場合には、専用Read関数のリターン値としてエラー値をアプリ１に返し（Ｓ４１０）、本フローを終了する。エラー値を受領したアプリ１は、フェールセーフ、リセット等、エラーの深刻度に応じたエラー処理を行う。

　図９は、ベリファイ処理の流れを示すフローチャートである。本フローは、アプリ１、アプリ１よりも上位のプログラム、その他の任意のプログラム（以下、便宜的に「ベリファイ処理部」と称する）によって、図７に示した読み込み処理とは異なる任意のタイミングで実行される。任意のタイミングとしては、例えば所定時間毎、情報処理装置１の起動時又はシャットダウン時が考えられる。

　また、情報処理装置１が車両に搭載された制御装置である場合、本フローの開始タイミングは、車両システムの起動時、シャットダウン時、車両のエンジン始動時、エンジン停止時、駐車時、或いはナビゲーションシステム等の特定機能の起動時又は終了時等、任意に定めてよい。

　まず、ベリファイ処理部は、アドレスを指定して専用読み書きＩＦ１３から専用Read関数を呼び出す（Ｓ５００）。本ステップで指定されるアドレスは、例えば領域Ａの物理アドレスに関して先頭から順に、所定アドレス刻みで決定される。

　次に、ベリファイ処理部は、領域Ａの全部についてＳ５００に係る専用Read関数の呼び出しを行ったか否かを判定する（Ｓ５０２）。領域Ａの全部について専用Read関数の呼び出しを行っていない場合は、次に指定するアドレスを決定し（Ｓ５０４）、Ｓ５００に戻る。具体的には、所定アドレス刻みで増加するカウンタ値等を、１ステップ増加させる。

　図９のＳ５００において専用Read関数が呼び出された後の専用Read関数による処理の流れについては図８で説明したものと同様であるため、説明及び図示を省略する。アプリ１は、ベリファイ処理の中でエラー値が返された場合も、特定データの読み込み処理の中でエラー値が返された場合と同様、フェールセーフ、リセット等、エラーの深刻度に応じたエラー処理を行う。

　［まとめ］
　以上説明した本実施例の情報処理装置１によれば、オペレーティングシステムやＭＭＵ等のメモリ保護機構（監視機構）を必須の構成としないため、コストや重量の増加を抑制することができる。

　一方で、特定データをメモリに書き込む際には、アプリ２による書き込み処理が行われない領域Ａに特定データが書き込まれると共に、アプリ２によるアクセスが行われない領域Ｃにミラーデータが書き込まれ、メモリから読み込む際には対応するデータが同一又は整合するかを判定するため、特定データについて、アドレスのポインタ間違い等の異常が生じた際には、少なくとも異常が生じたことを検知して適切なエラー処理を行うことができる。

　このため、保護対象とされる特定データをできるだけ正常な状態に保つことが可能となり、コストに見合ったメモリ保護が実現される。

　従って、本実施例の情報処理装置１によれば、メモリ保護とコスト低減を両立させることができる。

　また、このようなメモリ保護のための処理を、オペレーティングシステムやＭＭＵ等のメモリ保護機構を介して行わないため、オペレーティングシステムやＭＭＵ等のメモリ保護機構を備えるものと比較すると、高速処理が可能となる。

　更に、特定データの書き込み処理及び読み込み処理を、専用読み書きＩＦ１３が提供する関数を呼び出すことによって行うため、情報処理装置１としての機能拡張、機能統合に柔軟に対応することができる。例えば、特定データを扱う新たなアプリケーションプログラムが情報処理装置１の機能として追加された場合、当該新たなアプリケーションプログラムにおいても、特定データの書き込み処理及び読み込み処理については専用読み書きＩＦ１３が提供する関数を呼び出すことによって行うものとすればよい。こうすれば、機能拡張や機能統合に伴うソフトウエアの変更を小さく留めることができ、ひいてはコストの低減に寄与することができる。

　また、特定データの読み込み処理が行われるタイミングとは異なるタイミングにおいてベリファイ処理を行うことにより、メモリ保護機能を向上させることができる。

　また、特定データとミラーデータを、第１のメモリ３０と第２のメモリ４０の物理アドレスに関してオフセットされたアドレスに記憶させることにより、並行して書き込まれた特定データ及びミラーデータのアドレスの対応付けが単純になり、アドレスの管理が容易となる。

　以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。

　例えば、第２のメモリ４０は、第１のメモリ３０とは別体の外部メモリであるものとしたが、第１のメモリ３０とは別体の内部メモリであってよい。また、領域Ｃは、第１のメモリ３０上に設定された、領域Ａ、Ｂとは異なる領域であっても構わない。

　本発明は、コンピュータソフトウエア産業、コンピュータ製造業、コンピュータが組み込まれた装置・機器の製造業等に、広く利用することができる。

　１　　情報処理装置
　１０　プログラムメモリ
　１１、１２　アプリケーションプログラム
　１３　専用読み書きＩＦ
　１５　プログラムバス
　２０　ＣＰＵ
　２２　第１のバスコントローラ
　２４　第２のバスコントローラ
　２６　チップセレクタ
　３０　第１のメモリ
　３５　内部バス
　４０　第２のメモリ
　４５　外部バス
　Ａ、Ｂ、Ｃ　領域

Claims

　第１のアプリケーションプログラムと、第２のアプリケーションプログラムと、を含む複数のアプリケーションプログラムを実行する情報処理装置であって、
　前記第１のアプリケーションケーションプログラムにより保護対象とされる特定データの書き込み処理が行われるときには、前記第２のアプリケーションケーションプログラムによりデータの書き込み処理が行われない第１のメモリ領域に前記特定データを書き込むと共に、前記第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込み、
　前記第１のアプリケーションケーションプログラムにより前記特定データの読み込み処理が行われるときには、前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理を行うことを特徴とする、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　命令実行のための関数を前記第１のアプリケーションプログラムに提供する関数提供手段を備え、
　前記第１のアプリケーションケーションプログラムによる前記特定データの書き込み処理は、前記第１のメモリ領域に前記特定データを書き込むと共に、前記第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込むことを命令する関数を、前記関数提供手段から呼び出すことによって実行されることを特徴とする、
　情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第１のアプリケーションケーションプログラムによる前記特定データの読み込み処理は、前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むことを命令する関数を、前記関数提供手段から呼び出すことによって実行されることを特徴とする、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記第１のアプリケーションケーションプログラムにより前記特定データの書き込み処理が行われるときには、前記特定データと、前記前記特定データと同一の又は整合したデータを、前記第１のメモリ領域と前記第２のメモリ領域のオフセットされたアドレスに記憶させることを特徴とする、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記第１のアプリケーションケーションプログラムにより前記特定データの読み込み処理が行われるタイミングとは異なるタイミングにおいて、前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理を行うことを特徴とする、
　情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記第２のアプリケーションケーションプログラムによる前記特定データ以外のデータの書き込み処理は、前記第１のメモリ領域及び前記第２のメモリ領域とは異なる第３のメモリ領域に対して行われる、
　情報処理装置。
　請求項６に記載の情報処理装置であって、
　前記第１のアプリケーションケーションプログラムにより、前記第３のメモリ領域に対する前記特定データ以外のデータの書き込み処理及び読み込み処理が行われる、
　情報処理装置。
　請求項７に記載の情報処理装置であって、
　前記第１及び第３のメモリ領域は、同体のメモリ上に設定され、前記第２のメモリ領域は、前記第１及び第３のメモリ領域とは別体のメモリ上に設定される、
　情報処理装置。
　車両に搭載され、制御装置として用いられる請求項１ないし８のいずれか１項に記載の情報処理装置であって、
　車両制御のうち、一定基準以上の安全方策が求められる制御に関わるデータを前記特定データとして扱うことを特徴とする、
　情報処理装置。
　第１のアプリケーションプログラムと、第２のアプリケーションプログラムと、を含む複数のアプリケーションプログラムを実行する情報処理装置におけるデータ管理方法であって、
　前記第１のアプリケーションプログラムが扱うデータであって、保護対象とされる特定データに関して、
　前記第２のアプリケーションケーションプログラムによるデータの書き込み処理が行われない第１のメモリ領域に前記特定データを書き込むと共に、前記第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込む処理と、
　前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理と、
　を前記情報処理装置が実行することを特徴とする、データ管理方法。
　第１のアプリケーションプログラムと、第２のアプリケーションプログラムと、を含む複数のアプリケーションプログラムを実行する情報処理装置におけるデータ管理プログラムであって、
　前記第１のアプリケーションプログラムが扱うデータであって、保護対象とされる特定データに関して、
　前記第２のアプリケーションケーションプログラムによるデータの書き込み処理が行われない第１のメモリ領域に前記特定データを書き込むと共に、前記第２のアプリケーションケーションプログラムによりアクセスが行われない第２のメモリ領域に前記特定データと同一の又は整合したデータを書き込む処理と、
　前記第１のメモリ領域と前記第２のメモリ領域から対応するデータを読み込むと共に、該読み込まれたデータが同一又は整合するか否かをチェックする処理と、
　を前記情報処理装置に実行させることを特徴とする、データ管理プログラム。