JP7278478B2 - 情報処理装置及び情報処理方法 - Google Patents
情報処理装置及び情報処理方法 Download PDFInfo
- Publication number
- JP7278478B2 JP7278478B2 JP2022518425A JP2022518425A JP7278478B2 JP 7278478 B2 JP7278478 B2 JP 7278478B2 JP 2022518425 A JP2022518425 A JP 2022518425A JP 2022518425 A JP2022518425 A JP 2022518425A JP 7278478 B2 JP7278478 B2 JP 7278478B2
- Authority
- JP
- Japan
- Prior art keywords
- verification
- function unit
- unit
- reliability function
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0816—Indicating performance data, e.g. occurrence of a malfunction
- G07C5/0825—Indicating performance data, e.g. occurrence of a malfunction using optical means
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、情報処理装置及び情報処理方法に関する。
一般的な自動制御システムでは、複数の機能が協調及び統合して認知、判断及び制御を行う。このような自動制御システムである自動運転システムは、例えば、車両周辺状況から最適な制御パラメータを生成する自動運転制御部と、車両のエンジン制御、ブレーキ制御及びステアリング制御をそれぞれ実現するエンジン制御部、ブレーキ制御部及びステアリング制御部とで構成される。この自動運転システムのどこかに異常が発生した場合には、自動運転が継続できなくなる。このため、そのような場合でも継続できるようにするために、安全を確保できる状態に移行するまでの維持動作(フェールオペレーション動作)及び安全な状態への移行(フェールセーフ動作)が、自動制御システムに求められている。
また、自動制御システムでは、例えば自動運転レベルなどの自律レベルが上がるにつれて、システムが負うべき責任範囲も増大する。例えば、自動運転にはSAE(Society of Automotive Engineers) Internationalが定義する自動運転のレベルがあり、レベルの上昇に伴ってシステムが負うべき責任範囲が増加する。
これに対して、例えば、(1)監視機構、(2)エラー検出/訂正機能、(3)多数決機構、(4)多重冗長系などの高信頼化機能部(高信頼化機能)を用いたシステム構成によって、故障発生時の安全担保を行うことが提案されている。しかしながら、それら高信頼化機能部(高信頼化機能)は、(4)の機能のように、製品出荷後の稼働中も、故障発生するまで長期間動作しない機能もあれば、(1)~(3)の機能のように、正常なデータ範囲を外れるデータが入力されない機能もある。このため、故障発生するまで、システム全体が正常に機能することを適切に保証できないという課題があった。
このような課題に対し、特許文献1では、電子機器からの障害を検出する障害検出システム自体に対するチェックを随時可能とするシステムが提案されている。また、特許文献2では、電子装置のインテグリティを検証するシステム及び方法が提案されている。
特許文献1では、障害時に情報を表示する障害モニタの信号受信回路及び電子機器からの障害信号伝送路が正常か否かを確認するが、システム上で稼働中のプログラムと共に動作する高信頼化機能部を対象にした継続的な動作検証は考慮されていない。特許文献2では、セキュア実行環境を利用してシステムの改竄を検証するが、同様に高信頼化機能部の動作検証は考慮されていない。このため、検証データを稼働中のシステムに注入して検証する際に、稼働中のプログラム処理を阻害せずに、計画的かつ安全かつセキュアに実行することができないという問題があった。
そこで、本開示は、上記のような問題点を鑑みてなされたものであり、高信頼化機能部を継続して検証可能な技術を提供することを目的とする。
本開示に係る情報処理装置は、それぞれが入力部と出力部とを有する複数の高信頼化機能部と、システム実行環境下で処理を実行可能であり、前記処理を実行している間に、当該処理に応じた前記高信頼化機能部の呼び出しと、当該高信頼化機能部の実行に用いられるデータの前記入力部への注入とが可能な通常機能部と、前記高信頼化機能部の動作検証に用いられる注入検証データを保持する検証テーブルと、前記システム実行環境に対してセキュアな実行環境である検証実行環境下で、前記注入検証データを前記入力部に注入して前記高信頼化機能部を実行し、前記高信頼化機能部を実行した場合の前記出力部からの出力に基づいて、前記高信頼化機能部の前記動作検証を行う検証機能部と、前記動作検証が実行されるタイミング及び前記動作検証の実行最大時間を管理する時間管理機能部とを備える。前記検証テーブルは、前記動作検証を開始するタイミングを示す検証作動タイミングと、前記検証機能部が前記高信頼化機能部を実行した場合の、前記出力部からの期待される出力を示す期待出力データと、前記検証機能部が前記高信頼化機能部を実行した場合の、前記高信頼化機能部の期待される動作ログを示す期待動作ログと、前記検証機能部が前記高信頼化機能部を実行した後に、当該高信頼化機能部を前記通常機能部で実行するか否かを示す出力部制御フラグと、前記動作検証の最大の許容時間を示す検証最大時間とをさらに保持する。
本開示によれば、システム実行環境に対してセキュアな実行環境である検証実行環境下で高信頼化機能部の動作検証を行い、動作検証が実行されるタイミング及び動作検証の実行最大時間を管理する。このような構成によれば、高信頼化機能部を継続して検証することができる。
本開示の目的、特徴、局面及び利点は、以下の詳細な説明と添付図面とによって、より明白となる。
<実施の形態1>
図1は、本実施の形態1の情報処理装置1000の構成を示すブロック図である。なお、情報処理装置1000は、例えば、自動運転車の車両に搭載する自動運転システムなどの自動制御システム(図示せず)の情報処理装置であってもよい。
図1は、本実施の形態1の情報処理装置1000の構成を示すブロック図である。なお、情報処理装置1000は、例えば、自動運転車の車両に搭載する自動運転システムなどの自動制御システム(図示せず)の情報処理装置であってもよい。
情報処理装置1000には、システム実行環境1100と、セキュア実行環境1200とが規定されている。システム実行環境1100は、システムの機能要件に該当する通常機能が実行される環境である。セキュア実行環境1200は、システム実行環境1100とは実質的に隔離され、システム実行環境1100に対してセキュアな実行が保証された検証実行環境である。情報処理装置1000は、システム実行環境1100とセキュア実行環境1200との間に設けられ、セキュアなデータ通信が保証されているセキュアデータ経路1300を有する。
システム実行環境1100には、動作モード管理機能部1110と、通常機能部1120と、複数の高信頼化機能部1130とが備えられている。なお、後述するが、動作モード管理機能部1110、通常機能部1120、及び、複数の高信頼化機能部1130のそれぞれは、専用のハードウェアであってもよいし、プログラムなどのソフトウェアによって実行される機能であってもよい。
動作モード管理機能部1110は、システムによって動作可能な複数の動作モードのうち、システム実行環境1100下で、システムによって動作されている動作モードを管理する。例えば、自動運転システムの複数の動作モードには、一般道自動運転モード、高速道路自動運転モード、自動駐車モード、マニュアル運転モードなどが含まれる。
動作モード管理機能部1110は、故障時動作機能部1111を含み、故障時動作機能部1111は、システムの一部が故障した場合に、システムによって動作されている動作モードを切り替えるシステム動作機能を担う。故障時動作機能部1111によって切り替えられる動作モードには、例えば、マニュアル運転モードなどのマニュアルモードなどが含まれる。
通常機能部1120は、動作モード管理機能部1110で管理している動作モードの処理を実行するシステム動作機能を担う。なお、システム動作機能は、システム処理機能とも呼ばれる。
複数の高信頼化機能部1130(図1の高信頼化機能部1130-1~1130-n1)は、通常機能部1120の処理機能を高信頼化する機能を有する。高信頼化する機能には、例えば、(1)監視機構、(2)エラー検出/訂正機能、(3)多数決機構、(4)多重冗長系、などが含まれる。複数の高信頼化機能部1130のそれぞれは、通常機能部1120との間のインターフェースとして、通常機能部1120からのデータ入力を受け付ける入力部1131と、通常機能部1120へのデータ出力を担う出力部1132とを有する。
通常機能部1120は、高信頼化機能呼出部1121を含み、高信頼化機能呼出部1121は高信頼化機能部1130を呼び出す。これにより、通常機能部1120は、自身が処理を実行している間に、当該処理に応じた高信頼化機能部1130の呼び出し(実行)と、当該高信頼化機能部1130の実行に用いられるデータの入力部1131への注入(入力)とが可能となっている。なお、図1では、1つの通常機能部1120が示されているが、通常機能部1120の個数はこれに限定されるものではなく、システム動作機能を担う複数の通常機能部1120が情報処理装置1000に備えられてもよい。
セキュア実行環境1200には、高信頼化機能検証機能部1210と、高信頼化機能検証テーブル1220と、時間管理機能部1230と、高信頼化機能状態テーブル1240とが備えられている。なお、後述するが、高信頼化機能検証機能部1210及び時間管理機能部1230のそれぞれは、専用のハードウェアであってもよいし、プログラムなどのソフトウェアによって実行される機能であってもよい。
検証テーブルである高信頼化機能検証テーブル1220は、高信頼化機能部1130の動作検証に用いられる注入検証データを保持する。
検証機能部である高信頼化機能検証機能部1210は、通常機能部1120の実行と並行して動作可能な高信頼化機能部1130が健全に動作し、システム全体が正常に機能するか否かを検証する。具体的には、高信頼化機能検証機能部1210は、セキュア実行環境1200下で、上記注入検証データを入力部1131に注入(入力)して高信頼化機能部1130を実行する。そして、高信頼化機能検証機能部1210は、高信頼化機能部1130を実行した場合の出力部1132からの出力に基づいて、高信頼化機能部1130の動作検証を行う。
時間管理機能部1230は、動作検証が実行されるタイミング及び動作検証の実行最大時間を管理する。
状態テーブルである高信頼化機能状態テーブル1240は、高信頼化機能検証機能部1210による動作検証の結果として、高信頼化機能部1130が正常か否かを示す状態データを保持する。
以下、高信頼化機能検証機能部1210、高信頼化機能検証テーブル1220、時間管理機能部1230、及び、高信頼化機能状態テーブル1240について説明する。
図2は、本実施の形態1の高信頼化機能検証テーブル1220の内容例を示す図である。
高信頼化機能部1130は、高信頼化機能部1130に固有の検証データエントリ2000(図2の例では検証データエントリ2000-1~2000-n2)を有する。高信頼化機能検証テーブル1220では、検証データエントリ2000ごとに、動作検証に必要なデータの内容が設定される。また、高信頼化機能検証テーブル1220では、動作モード管理機能部1110で管理可能な動作モード2300(図2の例では動作モード2300-1~2300-n3)ごとに、動作検証に必要なデータの内容が設定される。ただし、高信頼化機能部1130の検証データエントリ2000及び動作モード2300の組み合わせによっては、動作検証に必要なデータの内容ではなく、「検証対象外」が設定される。
図2の例の高信頼化機能検証テーブル1220の内容は、検証作動タイミングと、注入検証データと、期待出力データと、期待動作ログと、出力部制御フラグと、検証最大時間とを含む。
検証作動タイミングは、高信頼化機能検証機能部1210が高信頼化機能部1130の動作検証を開始するタイミング(時間)を示す。注入検証データは、上述したように、高信頼化機能部1130の入力部1131に注入(入力)されるデータである。期待出力データは、高信頼化機能検証機能部1210が高信頼化機能部1130を実行した場合の、出力部1132からの期待される出力、つまり期待値を示す。期待動作ログは、高信頼化機能検証機能部1210が高信頼化機能部1130を実行した場合の、高信頼化機能部1130の期待される動作ログを示す。
出力部制御フラグは、高信頼化機能検証機能部1210が高信頼化機能部1130を実行した後に、当該高信頼化機能部1130を通常機能部1120で呼び出して実行するか否かを示す。つまり、出力部制御フラグは、高信頼化機能検証機能部1210が高信頼化機能部1130を実行した後に、当該高信頼化機能部1130の制御を通常機能部1120に遷移する制御遷移を行うか否かを示す。例えば、検証作動タイミングが設定されている場合には、制御遷移を行わない出力部制御フラグが設定されてもよい。例えば、検証作動タイミングが設定されていない場合には、制御遷移を行う出力部制御フラグが設定されてもよい。
検証最大時間は、高信頼化機能部1130の動作検証の最大の許容時間を示す。
次に、図1の高信頼化機能検証機能部1210について詳細に説明する。高信頼化機能検証機能部1210は、検証計画部1211と、検証実行部1212と、検証データ注入部1213と、出力管理部1214と、動作ログ取得部1215と、健全性判定部1216と、表示部1217とを含む。
検証計画部1211は、高信頼化機能検証テーブル1220の検証作動タイミングに基づいて複数の高信頼化機能部1130から検証対象の高信頼化機能部1130を決定し、検証対象の高信頼化機能部1130の動作検証を実行するタイミングを計画する。
検証データ注入部1213は、検証対象の高信頼化機能部1130の入力部1131に、高信頼化機能検証テーブル1220の注入検証データを注入(入力)する。
検証実行部1212は、検証計画部1211で計画されたタイミングで、注入検証データが注入された検証対象の高信頼化機能部1130を実行する。
出力管理部1214は、検証実行部1212が検証対象の高信頼化機能部1130を実行した場合に、検証対象の高信頼化機能部1130の出力部1132の出力(出力値のデータ)を取得する。また、出力管理部1214は、高信頼化機能検証テーブル1220の出力部制御フラグに基づいて、検証対象の高信頼化機能部1130を通常機能部1120で実行するように検証対象の高信頼化機能部1130の出力部1132の動作を制御する。
動作ログ取得部1215は、検証実行部1212が検証対象の高信頼化機能部1130を実行した場合に、検証対象の高信頼化機能部1130の動作ログを取得する。
健全性判定部1216は、出力管理部1214で取得された出力と高信頼化機能検証テーブル1220の期待出力データとの比較と、動作ログ取得部1215で取得された動作ログと高信頼化機能検証テーブル1220の期待動作ログとの比較とを行う。そして、健全性判定部1216は、これら比較の結果に基づいて、検証対象の高信頼化機能部1130の健全性を判定することによって、高信頼化機能部1130の動作検証を行う。高信頼化機能検証機能部1210の健全性判定部1216は、動作検証を行うごとに、高信頼化機能状態テーブル1240に保持された上記状態データを更新する。
表示部1217は、ユーザなどに情報を表示する。なお、本実施の形態1では、表示部1217は、高信頼化機能検証機能部1210に含められているが、高信頼化機能検証機能部1210に含められなくてもよい。
検証計画部1211が時間管理機能部1230に検証作動タイミングを設定し、検証実行部1212が時間管理機能部1230に検証最大時間を設定する。これにより、時間管理機能部1230は、動作検証が実行されるタイミング及び動作検証の実行最大時間を管理する。時間管理機能部1230による当該管理により、通常機能部1120の処理を阻害しないように通常機能部1120の処理の実行と並行して、高信頼化機能検証機能部1210は高信頼化機能部1130の動作検証を行う。
図3は、本実施の形態1の高信頼化機能状態テーブル1240の内容例を示す図である。
高信頼化機能部1130は、高信頼化機能部1130に固有の状態データエントリ3000(図3の例では状態データエントリ3000-1~3000-n2)を有する。高信頼化機能状態テーブル1240では、状態データエントリ3000ごとに、高信頼化機能検証機能部1210の状態が保持される。また、高信頼化機能状態テーブル1240では、動作モード管理機能部1110で管理可能な動作モード3300(図3の例では動作モード3300-1~3300-n3)ごとに、高信頼化機能検証機能部1210の状態及び動作モード可否状態エントリ3100が保持される。
動作モード3300ごとに保持される状態は、使用可否データ、正常状態データ、異常状態データ、及び、動作モード可否データの少なくともいずれか1つを含む。使用可否データは、動作モード3300において高信頼化機能部1130が使用対象か否かを示す。図3で「使用」と示される使用可否データは、通常機能部1120などが動作モード3300において高信頼化機能部1130を使用することを示す。図3で「使用しない」と示される使用可否データは、通常機能部1120などが動作モード3300において高信頼化機能部1130を使用しないことを示す。正常状態データは、使用対象である高信頼化機能部1130が正常であることを示す。異常状態データは、使用対象である高信頼化機能部1130が異常であることを示す。
動作モード可否データは、動作モード3300に用いられる高信頼化機能部1130の動作が可能状態であるか否かを示す。動作モード3300に用いられる高信頼化機能部1130のいずれかに異常状態データが存在すれば、動作モード可否状態エントリ3100には、上記動作が可能状態でないことを示す「否」が保持される。一方、動作モード3300に用いられる高信頼化機能部1130のいずれにも異常状態データが存在しなければ、動作モード可否状態エントリ3100には、上記動作が可能状態であることを示す「可」が保持される。
ここで、動作モード管理機能部1110が管理している動作モードに用いられる高信頼化機能部1130について、異常状態データが高信頼化機能状態テーブル1240に含まれる場合を想定する。この場合、故障時動作機能部1111は、システムによって動作されている動作モードを切り替え、表示部1217は、異常を表示する。
<動作>
<検証計画部の動作>
図4は、本実施の形態1の検証計画部1211の動作を示すフローチャートである。検証計画部1211は、動作モード管理機能部1110が管理している動作モードの開始時及び変更時のそれぞれにおいて、セキュア実行環境1200下で動作を開始する。
<検証計画部の動作>
図4は、本実施の形態1の検証計画部1211の動作を示すフローチャートである。検証計画部1211は、動作モード管理機能部1110が管理している動作モードの開始時及び変更時のそれぞれにおいて、セキュア実行環境1200下で動作を開始する。
ステップS1にて、検証計画部1211は、システム実行環境1100下の動作モード管理機能部1110で管理している現在の動作モードを取得する。
ステップS2にて、検証計画部1211は、ステップS1で取得した動作モードについて、高信頼化機能検証テーブル1220から検証対象外ではない高信頼化機能部1130を検証対象の高信頼化機能部1130として決定する。
ステップS3にて、検証計画部1211は、ステップS1で取得した動作モードについて、高信頼化機能検証テーブル1220から検証作動タイミングを確認し、検証作動タイミングが設定されているか否かを確認する。検証作動タイミングが設定されていると判定された場合には処理がステップS4に進み、検証作動タイミングが設定されていないと判定された場合には処理がステップS5に進む。
ステップS4にて、検証計画部1211は、検証作動タイミングを検証実行部1212の起動時間として時間管理機能部1230に設定する。これにより、通常機能部1120の動作とは非同期で動作検証が行われる。その後、処理がステップS6に進む。
ステップS5にて、検証計画部1211は、通常機能部1120が高信頼化機能部1130を呼び出す際に検証を実行するように、通常機能部1120の高信頼化機能呼出部1121に検証実行部1212の実行を登録する。この場合、通常機能部1120の動作時に検証実行部1212が実行される。ステップS5の後、処理がステップS6に進む。
ステップS6にて、検証計画部1211は、検証対象の高信頼化機能部1130が複数である場合に、全ての検証対象の高信頼化機能部1130についてステップS4またはステップS5が行われたか否かを判定する。全ての検証対象の高信頼化機能部1130についてステップS4またはステップS5が行われたと判定された場合には図4の動作が終了し、そうでない場合には処理がステップS2に戻る。
全ての検証対象の高信頼化機能部1130についてステップS4またはステップS5が行われることにより、全ての検証対象の高信頼化機能部1130の動作検証を実行するタイミングが計画される。なお、動作検証が実行されていない検証対象の高信頼化機能部1130が優先的に実行されるように、上記タイミングが計画されてもよい。
<検証実行部の動作>
図5は、本実施の形態1の検証実行部1212の動作を示すフローチャートである。なお、図5では、時間管理機能部1230の動作も示されている。図4の動作が行われた後、検証実行部1212は、検証計画部1211で計画されたタイミングにしたがって、セキュア実行環境1200下で動作を開始する。
図5は、本実施の形態1の検証実行部1212の動作を示すフローチャートである。なお、図5では、時間管理機能部1230の動作も示されている。図4の動作が行われた後、検証実行部1212は、検証計画部1211で計画されたタイミングにしたがって、セキュア実行環境1200下で動作を開始する。
ステップS11にて、検証実行部1212は、現在の動作モードと検証対象の高信頼化機能部1130の検証データエントリ2000との組み合わせについて、高信頼化機能検証テーブル1220から検証最大時間を取得する。そして、検証実行部1212は、取得した検証最大時間を、動作検証の実行最大時間として時間管理機能部1230のタイマに設定し、時間管理機能部1230はタイマを起動する。この検証最大時間の設定、タイマの設定、及び、タイマの起動は、検証計画部1211でタイミングが設定された検証対象の高信頼化機能部1130に対して行われる。検証実行部1212は、検証最大時間の設定、タイマの設定、及び、タイマの起動が行われた検証対象の高信頼化機能部1130に対して、図5のステップS12以降の処理を行う。
ステップS12にて、検証実行部1212は検証データ注入部1213を実行させる。
ステップS13にて、検証実行部1212は、注入検証データが注入された検証対象の高信頼化機能部1130を作動させて実行する。
ステップS14にて、検証実行部1212は出力管理部1214を実行させ、出力管理部1214は、ステップS13の間に動作する高信頼化機能部1130の出力を取得する。
ステップS15にて、検証実行部1212は動作ログ取得部1215を実行させ、動作ログ取得部1215は、ステップS12~ステップS14の間に動作する高信頼化機能部1130、通常機能部1120及びシステムの動作ログを取得する。
ステップS16にて、検証実行部1212は健全性判定部1216を実行させ、ステップS16の後、図5の動作が終了する。
<検証データ注入部の動作>
図6は、本実施の形態1の検証データ注入部1213の動作を示すフローチャートである。検証データ注入部1213は、検証実行部1212のステップS12(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
図6は、本実施の形態1の検証データ注入部1213の動作を示すフローチャートである。検証データ注入部1213は、検証実行部1212のステップS12(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
ステップS21にて、検証データ注入部1213は、現在の動作モードと検証対象の高信頼化機能部1130の検証データエントリ2000との組み合わせについて、高信頼化機能検証テーブル1220から注入検証データを取得する。
ステップS22にて、検証データ注入部1213は、検証対象の高信頼化機能部1130の入力部1131に、ステップS11で取得した注入検証データを注入する。その後、図6の動作が終了する。
<出力管理部の動作>
図7は、本実施の形態1の出力管理部1214の動作を示すフローチャートである。出力管理部1214は、検証実行部1212のステップS14(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
図7は、本実施の形態1の出力管理部1214の動作を示すフローチャートである。出力管理部1214は、検証実行部1212のステップS14(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
ステップS31にて、出力管理部1214は、検証対象の高信頼化機能部1130の出力部1132から出力(出力値のデータ)を取得する。
ステップS32にて、出力管理部1214は、現在の動作モードと検証対象の高信頼化機能部1130の検証データエントリ2000との組み合わせについて、高信頼化機能検証テーブル1220から、出力部制御フラグを取得する。
ステップS33にて、出力管理部1214は、取得した出力部制御フラグが制御遷移を行うこと(通常フローを行うこと)を示しているか否かを判定する。出力部制御フラグが制御遷移を行うことを示していないと判定された場合には、処理がステップS34に進み、出力部制御フラグが制御遷移を行うことを示していると判定された場合には、処理がステップS35に進む。
ステップS34にて、出力管理部1214は、ステップS31で取得された出力を破棄し、制御遷移を行わない。つまり、出力管理部1214は、高信頼化機能部1130の制御を、呼び出し元の通常機能部1120に渡さない。例えば、ステップS5の処理(通常機能部1120の高信頼化機能呼出部1121に検証実行部1212の実行を登録する処理)ではなく、ステップS4の処理(検証作動タイミングを設定する処理)が行われる場合には、通常機能部1120の動作とは非同期で動作検証が行われる。このため、このような場合には、ステップS34が実行されるように出力部制御フラグが設定されてもよい。ステップS34の後、図7の動作が終了する。
ステップS35にて、出力管理部1214は、ステップS31で取得された出力を破棄せずに、検証実行部1212による高信頼化機能部1130の実行後に、制御遷移を行う。つまり、出力管理部1214は、当該高信頼化機能部1130の制御を、呼び出し元の通常機能部1120に渡す。例えば、ステップS5の処理(通常機能部1120の高信頼化機能呼出部1121に検証実行部1212の実行を登録する処理)の場合、通常機能部1120の動作時に検証実行部1212が実行される。このため、このような場合には、ステップS35が実行されるように出力部制御フラグが設定されてもよい。ステップS35の後、図7の動作が終了する。
<動作ログ取得部の動作>
図8は、本実施の形態1の動作ログ取得部1215の動作を示すフローチャートである。動作ログ取得部1215は、検証実行部1212のステップS15(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
図8は、本実施の形態1の動作ログ取得部1215の動作を示すフローチャートである。動作ログ取得部1215は、検証実行部1212のステップS15(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
ステップS41にて、動作ログ取得部1215は、ステップS12~ステップS14の間に動作する高信頼化機能部1130、通常機能部1120及びシステムの動作ログを取得する。その後、図8の動作が終了する。
<健全性判定部の動作>
図9は、本実施の形態1の健全性判定部1216の動作を示すフローチャートである。健全性判定部1216は、検証実行部1212のステップS16(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
図9は、本実施の形態1の健全性判定部1216の動作を示すフローチャートである。健全性判定部1216は、検証実行部1212のステップS16(図5)で呼び出されると、セキュア実行環境1200下で動作を開始する。
ステップS51にて、健全性判定部1216は、現在の動作モードと検証対象の高信頼化機能部1130の検証データエントリ2000との組み合わせについて、高信頼化機能検証テーブル1220から期待出力データを取得する。
ステップS52にて、健全性判定部1216は、ステップS51で取得した期待出力データと、出力管理部1214のステップS31で取得した高信頼化機能部1130の出力とを比較して、両者が等価であるか否かを判定する。等価であると判定された場合には処理がステップS53に進み、等価でないと判定された場合には処理がステップS56に進む。
ステップS53にて、健全性判定部1216は、現在の動作モードと検証対象の高信頼化機能部1130の検証データエントリ2000との組み合わせについて、高信頼化機能検証テーブル1220から期待動作ログを取得する。
ステップS54にて、健全性判定部1216は、ステップS53で取得した期待動作ログと、動作ログ取得部1215のステップS41で取得した動作ログとを比較して、両者が等価であるか否かを判定する。等価であると判定された場合には処理がステップS55に進み、等価でないと判定された場合には処理がステップS56に進む。
ステップS55にて、健全性判定部1216は、現在の動作モードと検証対象の高信頼化機能部1130の状態データエントリ3000との組み合わせについて、高信頼化機能状態テーブル1240に「使用しない」が保持されているかを確認する。そして、健全性判定部1216が、「使用しない」が保持されていることを確認した場合を除いて、上記組み合わせの高信頼化機能状態テーブル1240の内容を「使用:正常」と更新する。これにより、正常状態データが高信頼化機能状態テーブル1240に保持される。その後、図9の動作が終了する。
ステップS56にて、健全性判定部1216は、現在の動作モードと検証対象の高信頼化機能部1130の状態データエントリ3000との組み合わせについて、高信頼化機能状態テーブル1240に「使用しない」が保持されているかを確認する。そして、健全性判定部1216が、「使用しない」が保持されていることを確認した場合を除いて、上記組み合わせの高信頼化機能状態テーブル1240の内容を「使用:異常」と更新する。これにより、異常状態データが高信頼化機能状態テーブル1240に保持される。
ステップS57にて、健全性判定部1216は表示部1217を実行させ、表示部1217は、現在の動作モードに用いられる高信頼化機能部1130の動作が可能状態でないこと、つまり異常を示すアラートを表示する。
ステップS58にて、健全性判定部1216は動作モード管理機能部1110の故障時動作機能部1111に実行制御を委ね、故障時動作機能部1111は、動作モードを切り替える。その後、図9の動作が終了する。
<タイマによる計時が検証最大時間を超えた場合の時間管理機能部の動作>
図10は、タイマによる計時が、検証実行部1212のステップS11で時間管理機能部1230に設定した検証最大時間を超過した場合に、イベント発火して本実施の形態1の時間管理機能部1230で実行されるイベント処理を示すフローチャートである。この図10の動作は、セキュア実行環境1200下で行われる。
図10は、タイマによる計時が、検証実行部1212のステップS11で時間管理機能部1230に設定した検証最大時間を超過した場合に、イベント発火して本実施の形態1の時間管理機能部1230で実行されるイベント処理を示すフローチャートである。この図10の動作は、セキュア実行環境1200下で行われる。
ステップS61にて、時間管理機能部1230は、ステップS4(図4)で設定された検証実行部1212の起動設定の全てを時間管理機能1230から解除する。
ステップS62にて、時間管理機能部1230は、ステップS5(図4)で登録された検証実行部1212の実行設定の全てを高信頼化機能呼出部1121から解除する。その後、図10の動作が終了する。
なお、時間管理機能部1230は、図10の動作を行う場合に、表示部1217にアラートを表示させてもよい。
<実施の形態1のまとめ>
以上のような本実施の形態1に係る情報処理装置1000によれば、セキュア実行環境1200下で、タイミング及び動作検証の実行最大時間が管理された状態で、高信頼化機能部1130の動作検証を行う。このような構成によれば、システム上で通常機能部1120の処理実行中に実行可能な高信頼化機能部1130の動作検証を、実行中の通常機能部1120の処理を阻害せずに、計画的、安全かつセキュアに行うことができる。このため、システムにおける耐障害性及び可用性の、検証、証明及び保証を継続的に行うことができる。
以上のような本実施の形態1に係る情報処理装置1000によれば、セキュア実行環境1200下で、タイミング及び動作検証の実行最大時間が管理された状態で、高信頼化機能部1130の動作検証を行う。このような構成によれば、システム上で通常機能部1120の処理実行中に実行可能な高信頼化機能部1130の動作検証を、実行中の通常機能部1120の処理を阻害せずに、計画的、安全かつセキュアに行うことができる。このため、システムにおける耐障害性及び可用性の、検証、証明及び保証を継続的に行うことができる。
また、システム上で通常機能部1120の処理実行中に実行可能な高信頼化機能部1130ごとに検証実施タイミングを設定することができるので、高信頼化機能部1130の動作検証を適切なタイミングで行うことができる。
さらに、システムの動作モードごとに検証内容を設定することができるので、動作モードについて適切な検証を行うことができる。
<実施の形態2>
図11は、本実施の形態2の情報処理装置1000の構成を示すブロック図である。以下、本実施の形態2に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。
図11は、本実施の形態2の情報処理装置1000の構成を示すブロック図である。以下、本実施の形態2に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。
本実施の形態2では、実施の形態1のシステム実行環境1100、セキュア実行環境1200、及び、セキュアデータ経路1300が、VMシステム実行環境1100a、VM検証実行環境1200a、及び、VM間データ通信経路1300aにそれぞれ変更されている。VMは(仮想マシン機能:Virtual Machine)の略記である。本実施の形態2では、VMシステム実行環境1100aに対して実質的に隔離されたセキュアな検証実行環境であるVM検証実行環境1200aが、仮想マシン機能によって実現されている。
このような本実施の形態2に係る情報処理装置1000であっても、実施の形態1と同様に高信頼化機能部1130を継続して検証することができる。なお、ひとつのOS(Operating System)上で実質的な隔離されたアプリケーション実行環境を構築することができるOSコンテナ機能により、システム実行環境と検証実行環境とを実質的に分離してもよい。
<実施の形態3>
図12は、本実施の形態3の情報処理装置1000の構成を示すブロック図である。以下、本実施の形態3に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。
図12は、本実施の形態3の情報処理装置1000の構成を示すブロック図である。以下、本実施の形態3に係る構成要素のうち、上述の構成要素と同じまたは類似する構成要素については同じまたは類似する参照符号を付し、異なる構成要素について主に説明する。
本実施の形態3では、実施の形態1のシステム実行環境1100、セキュア実行環境1200、及び、セキュアデータ経路1300が、CPUシステム実行環境1100b、CPU検証実行環境1200b、及び、CPU間データ通信経路1300bにそれぞれ変更されている。CPUは中央処理装置(Central Processing Unit)の略記である。本実施の形態3では、CPUシステム実行環境1100bが一つのCPUハードウェア上で実現され、CPUシステム実行環境1100bとは実質的に隔離されたセキュアな検証実行環境であるCPU検証実行環境1200bが別のCPUハードウェア上で実現されている。
このような本実施の形態3に係る情報処理装置1000であっても、実施の形態1と同様に高信頼化機能部1130を継続して検証することができる。なお、実行環境を実現するハードウェアは、CPUに限らず、FGPA(Field Programmable Gate Array)、GPU(Graphics Processing Unit)、及び、専用ハードウェアなどのプログラムを処理可能なハードウェアであればよい。
<変形例>
上述した図1の高信頼化機能部1130、通常機能部1120、高信頼化機能検証機能部1210、及び、時間管理機能部1230を、以下「高信頼化機能部1130等」と記す。高信頼化機能部1130等は、図13に示す処理回路81により実現される。すなわち、処理回路81は、それぞれが入力部1131と出力部1132とを有する複数の高信頼化機能部1130と、システム実行環境1100下で処理を実行可能であり、処理を実行している間に、当該処理に応じた高信頼化機能部1130の呼び出しと、当該高信頼化機能部1130の実行に用いられるデータの入力部1131への注入とが可能な通常機能部1120と、セキュア実行環境1200下で、注入検証データを入力部1131に注入して高信頼化機能部1130を実行し、高信頼化機能部1130を実行した場合の出力部1132からの出力に基づいて高信頼化機能部1130の動作検証を行う高信頼化機能検証機能部1210と、動作検証が実行されるタイミング及び動作検証の実行最大時間を管理する時間管理機能部1230と、を備える。処理回路81には、専用のハードウェアが適用されてもよいし、メモリに格納されるプログラムを実行するプロセッサが適用されてもよい。プロセッサには、例えば、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、DSP(Digital Signal Processor)などが該当する。
上述した図1の高信頼化機能部1130、通常機能部1120、高信頼化機能検証機能部1210、及び、時間管理機能部1230を、以下「高信頼化機能部1130等」と記す。高信頼化機能部1130等は、図13に示す処理回路81により実現される。すなわち、処理回路81は、それぞれが入力部1131と出力部1132とを有する複数の高信頼化機能部1130と、システム実行環境1100下で処理を実行可能であり、処理を実行している間に、当該処理に応じた高信頼化機能部1130の呼び出しと、当該高信頼化機能部1130の実行に用いられるデータの入力部1131への注入とが可能な通常機能部1120と、セキュア実行環境1200下で、注入検証データを入力部1131に注入して高信頼化機能部1130を実行し、高信頼化機能部1130を実行した場合の出力部1132からの出力に基づいて高信頼化機能部1130の動作検証を行う高信頼化機能検証機能部1210と、動作検証が実行されるタイミング及び動作検証の実行最大時間を管理する時間管理機能部1230と、を備える。処理回路81には、専用のハードウェアが適用されてもよいし、メモリに格納されるプログラムを実行するプロセッサが適用されてもよい。プロセッサには、例えば、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、DSP(Digital Signal Processor)などが該当する。
処理回路81が専用のハードウェアである場合、処理回路81は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA、またはこれらを組み合わせたものが該当する。高信頼化機能部1130等の各部の機能それぞれは、処理回路を分散させた回路で実現されてもよいし、各部の機能をまとめて一つの処理回路で実現されてもよい。
処理回路81がプロセッサである場合、高信頼化機能部1130等の機能は、ソフトウェア等との組み合わせにより実現される。なお、ソフトウェア等には、例えば、ソフトウェア、ファームウェア、または、ソフトウェア及びファームウェアが該当する。ソフトウェア等はプログラムとして記述され、メモリに格納される。図14に示すように、処理回路81に適用されるプロセッサ82は、メモリ83に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、情報処理装置1000は、処理回路81により実行されるときに、システム実行環境1100下で処理を実行可能である通常機能部1120が、処理を実行している間に、複数の高信頼化機能部1130からの当該処理に応じた高信頼化機能部1130の呼び出しと、当該高信頼化機能部1130の実行に用いられるデータの入力部1131への注入とを行うステップと、高信頼化機能検証機能部1210が、セキュア実行環境1200下で、注入検証データを入力部1131に注入して高信頼化機能部1130を実行し、高信頼化機能部1130を実行した場合の出力部1132からの出力に基づいて高信頼化機能部1130の動作検証を行うステップと、時間管理機能部1230が、動作検証が実行されるタイミング及び動作検証の実行最大時間を管理するステップと、が結果的に実行されることになるプログラムを格納するためのメモリ83を備える。換言すれば、このプログラムは、高信頼化機能部1130等の手順や方法をコンピュータに実行させるものであるともいえる。ここで、メモリ83は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable Programmable Read Only Memory)などの、不揮発性または揮発性の半導体メモリ、HDD(Hard Disk Drive)、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD(Digital Versatile Disc)、そのドライブ装置等、または、今後使用されるあらゆる記憶媒体であってもよい。
以上、高信頼化機能部1130等の各機能が、ハードウェア及びソフトウェア等のいずれか一方で実現される構成について説明した。しかしこれに限ったものではなく、高信頼化機能部1130等の一部を専用のハードウェアで実現し、別の一部をソフトウェア等で実現する構成であってもよい。例えば、高信頼化機能部1130については専用のハードウェアとしての処理回路81、インターフェース及びレシーバなどでその機能を実現し、それ以外についてはプロセッサ82としての処理回路81がメモリ83に格納されたプログラムを読み出して実行することによってその機能を実現することが可能である。
以上のように、処理回路81は、ハードウェア、ソフトウェア等、またはこれらの組み合わせによって、上述の各機能を実現することができる。
なお、動作モード管理機能部1110及び動作モード管理機能部1110が行うステップも上記と同様に実現することができる。また、通常機能部1120、高信頼化機能検証機能部1210、時間管理機能部1230、及び、動作モード管理機能部1110は、それぞれ通常プログラム、高信頼化機能検証プログラム、時間管理プログラム、及び、動作モード管理プログラムにそれぞれ対応してもよい。
なお、各実施の形態及び各変形例を自由に組み合わせたり、各実施の形態及び各変形例を適宜、変形、省略したりすることが可能である。
上記した説明は、すべての局面において、例示であって、限定的なものではない。例示されていない無数の変形例が、想定され得るものと解される。
1000 情報処理装置、1100 システム実行環境、1110 動作モード管理機能部、1111 故障時動作機能部、1120 通常機能部、1130 高信頼化機能部、1131 入力部、1132 出力部、1200 セキュア実行環境、1210 高信頼化機能検証機能部、1211 検証計画部、1212 検証実行部、1213 検証データ注入部、1214 出力管理部、1215 動作ログ取得部、1216 健全性判定部、1217 表示部、1220 高信頼化機能検証テーブル、1230 時間管理機能部、1240 高信頼化機能状態テーブル。
Claims (8)
- それぞれが入力部と出力部とを有する複数の高信頼化機能部と、
システム実行環境下で処理を実行可能であり、前記処理を実行している間に、当該処理に応じた前記高信頼化機能部の呼び出しと、当該高信頼化機能部の実行に用いられるデータの前記入力部への注入とが可能な通常機能部と、
前記高信頼化機能部の動作検証に用いられる注入検証データを保持する検証テーブルと、
前記システム実行環境に対してセキュアな実行環境である検証実行環境下で、前記注入検証データを前記入力部に注入して前記高信頼化機能部を実行し、前記高信頼化機能部を実行した場合の前記出力部からの出力に基づいて、前記高信頼化機能部の前記動作検証を行う検証機能部と、
前記動作検証が実行されるタイミング及び前記動作検証の実行最大時間を管理する時間管理機能部と
を備え、
前記検証テーブルは、
前記動作検証を開始するタイミングを示す検証作動タイミングと、
前記検証機能部が前記高信頼化機能部を実行した場合の、前記出力部からの期待される出力を示す期待出力データと、
前記検証機能部が前記高信頼化機能部を実行した場合の、前記高信頼化機能部の期待される動作ログを示す期待動作ログと、
前記検証機能部が前記高信頼化機能部を実行した後に、当該高信頼化機能部を前記通常機能部で実行するか否かを示す出力部制御フラグと、
前記動作検証の最大の許容時間を示す検証最大時間と
をさらに保持する、情報処理装置。 - それぞれが入力部と出力部とを有する複数の高信頼化機能部と、
システム実行環境下で処理を実行可能であり、前記処理を実行している間に、当該処理に応じた前記高信頼化機能部の呼び出しと、当該高信頼化機能部の実行に用いられるデータの前記入力部への注入とが可能な通常機能部と、
前記高信頼化機能部の動作検証に用いられる注入検証データを保持する検証テーブルと、
前記システム実行環境に対してセキュアな実行環境である検証実行環境下で、前記注入検証データを前記入力部に注入して前記高信頼化機能部を実行し、前記高信頼化機能部を実行した場合の前記出力部からの出力に基づいて、前記高信頼化機能部の前記動作検証を行う検証機能部と、
前記動作検証が実行されるタイミング及び前記動作検証の実行最大時間を管理する時間管理機能部と、
前記動作検証の結果として、前記高信頼化機能部が正常か否かを示す状態データを保持する状態テーブルと、
前記システム実行環境下で、システムによって動作されている動作モードを管理する動作モード管理機能部と
を備え、
前記状態テーブルは、前記動作モードごとに、
前記高信頼化機能部が使用対象か否かを示す使用可否データと、
使用対象である前記高信頼化機能部が正常であることを示す正常状態データと、
使用対象である前記高信頼化機能部が異常であることを示す異常状態データと、
前記動作モードに用いられる前記高信頼化機能部の動作が可能状態であるか否かを示す動作モード可否データと
の少なくともいずれか1つを含む、情報処理装置。 - 請求項2に記載の情報処理装置であって、
前記検証機能部は、前記動作検証を行うごとに、前記状態テーブルに保持された前記状態データを更新する、情報処理装置。 - 請求項1に記載の情報処理装置であって、
前記検証機能部は、
前記検証作動タイミングに基づいて前記複数の高信頼化機能部から検証対象の高信頼化機能部を決定し、前記検証対象の高信頼化機能部の前記動作検証を実行するタイミングを計画する検証計画部と、
前記検証対象の高信頼化機能部の前記入力部に前記注入検証データを注入する検証データ注入部と、
前記検証計画部で計画されたタイミングで、前記注入検証データが注入された前記検証対象の高信頼化機能部を実行する検証実行部と、
前記検証実行部が前記検証対象の高信頼化機能部を実行した場合に前記検証対象の高信頼化機能部の前記出力部の出力を取得し、前記出力部制御フラグに基づいて、前記検証対象の高信頼化機能部を前記通常機能部で実行する出力管理部と、
前記検証実行部が前記検証対象の高信頼化機能部を実行した場合に前記検証対象の高信頼化機能部の動作ログを取得する動作ログ取得部と、
前記出力管理部で取得された出力と前記期待出力データとの比較と、前記動作ログ取得部で取得された動作ログと前記期待動作ログとの比較とに基づいて、前記検証対象の高信頼化機能部の健全性を判定する健全性判定部と
を含む、情報処理装置。 - 請求項2に記載の情報処理装置であって、
前記動作モード管理機能部は、
前記動作モード管理機能部が管理している前記動作モードに用いられる前記高信頼化機能部について、前記異常状態データが前記状態テーブルに含まれる場合に、前記システムによって動作されている前記動作モードを切り替える故障時動作機能部を含む、情報処理装置。 - 請求項2に記載の情報処理装置であって、
前記動作モード管理機能部が管理している前記動作モードに用いられる前記高信頼化機能部について、前記異常状態データが前記状態テーブルに含まれる場合に、異常を表示する表示部をさらに備える、情報処理装置。 - システム実行環境下で処理を実行可能である通常機能部が、前記処理を実行している間に、それぞれが入力部と出力部とを有する複数の高信頼化機能部からの当該処理に応じた前記高信頼化機能部の呼び出しと、当該高信頼化機能部の実行に用いられるデータの前記入力部への注入とを行い、
検証テーブルが、前記高信頼化機能部の動作検証に用いられる注入検証データを保持し、
検証機能部が、前記システム実行環境に対してセキュアな実行環境である検証実行環境下で、前記注入検証データを前記入力部に注入して前記高信頼化機能部を実行し、前記高信頼化機能部を実行した場合の前記出力部からの出力に基づいて、前記高信頼化機能部の前記動作検証を行い、
時間管理機能部が、前記動作検証が実行されるタイミング及び前記動作検証の実行最大時間を管理し、
前記検証テーブルは、
前記動作検証を開始するタイミングを示す検証作動タイミングと、
前記検証機能部が前記高信頼化機能部を実行した場合の、前記出力部からの期待される出力を示す期待出力データと、
前記検証機能部が前記高信頼化機能部を実行した場合の、前記高信頼化機能部の期待される動作ログを示す期待動作ログと、
前記検証機能部が前記高信頼化機能部を実行した後に、当該高信頼化機能部を前記通常機能部で実行するか否かを示す出力部制御フラグと、
前記動作検証の最大の許容時間を示す検証最大時間と
をさらに保持する、情報処理方法。 - システム実行環境下で処理を実行可能である通常機能部が、前記処理を実行している間に、それぞれが入力部と出力部とを有する複数の高信頼化機能部からの当該処理に応じた前記高信頼化機能部の呼び出しと、当該高信頼化機能部の実行に用いられるデータの前記入力部への注入とを行い、
検証テーブルが、前記高信頼化機能部の動作検証に用いられる注入検証データを保持し、
検証機能部が、前記システム実行環境に対してセキュアな実行環境である検証実行環境下で、前記注入検証データを前記入力部に注入して前記高信頼化機能部を実行し、前記高信頼化機能部を実行した場合の前記出力部からの出力に基づいて、前記高信頼化機能部の前記動作検証を行い、
時間管理機能部が、前記動作検証が実行されるタイミング及び前記動作検証の実行最大時間を管理し、
状態テーブルが、前記動作検証の結果として、前記高信頼化機能部が正常か否かを示す状態データを保持し、
動作モード管理機能部が、前記システム実行環境下で、システムによって動作されている動作モードを管理し、
前記状態テーブルは、前記動作モードごとに、
前記高信頼化機能部が使用対象か否かを示す使用可否データと、
使用対象である前記高信頼化機能部が正常であることを示す正常状態データと、
使用対象である前記高信頼化機能部が異常であることを示す異常状態データと、
前記動作モードに用いられる前記高信頼化機能部の動作が可能状態であるか否かを示す動作モード可否データと
の少なくともいずれか1つを含む、情報処理方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/017879 WO2021220321A1 (ja) | 2020-04-27 | 2020-04-27 | 情報処理装置及び情報処理方法 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2021220321A1 JPWO2021220321A1 (ja) | 2021-11-04 |
| JPWO2021220321A5 JPWO2021220321A5 (ja) | 2022-07-14 |
| JP7278478B2 true JP7278478B2 (ja) | 2023-05-19 |
Family
ID=78331839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022518425A Active JP7278478B2 (ja) | 2020-04-27 | 2020-04-27 | 情報処理装置及び情報処理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230177894A1 (ja) |
| JP (1) | JP7278478B2 (ja) |
| CN (1) | CN115461723A (ja) |
| DE (1) | DE112020007129T5 (ja) |
| WO (1) | WO2021220321A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE543122C2 (sv) * | 2019-02-05 | 2020-10-13 | Brokk Ab | Förfarande, anordning och användargränssnitt som beskriver ett operativt drifttillstånd hos en demoleringsrobot |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004126854A (ja) | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
| JP2005513356A (ja) | 2001-12-21 | 2005-05-12 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 自動車の機能ユニットを制御する方法および装置 |
| JP2009151420A (ja) | 2007-12-19 | 2009-07-09 | Toyota Central R&D Labs Inc | ソフトウェア動作監視装置、プログラム |
| JP2009282751A (ja) | 2008-05-22 | 2009-12-03 | Toyota Infotechnology Center Co Ltd | プログラム検査システムおよび方法 |
| JP2009298308A (ja) | 2008-06-13 | 2009-12-24 | Mitsubishi Electric Corp | 監視制御回路を有する車載電子制御装置 |
| JP2015118662A (ja) | 2013-12-20 | 2015-06-25 | 株式会社デンソー | 電子制御装置 |
| JP2015210737A (ja) | 2014-04-28 | 2015-11-24 | 日本電信電話株式会社 | 監視方法、監視装置および監視制御プログラム |
| JP7121409B2 (ja) | 2020-08-17 | 2022-08-18 | 西部自動機器株式会社 | ワーク搬送装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07121409A (ja) * | 1993-10-28 | 1995-05-12 | Fujitsu Ltd | 性能評価装置 |
| JPH07264266A (ja) | 1994-03-18 | 1995-10-13 | Fujitsu Ltd | 障害検出システム |
| SG10201602449PA (en) | 2016-03-29 | 2017-10-30 | Huawei Int Pte Ltd | System and method for verifying integrity of an electronic device |
-
2020
- 2020-04-27 CN CN202080100052.XA patent/CN115461723A/zh active Pending
- 2020-04-27 US US17/917,273 patent/US20230177894A1/en active Pending
- 2020-04-27 JP JP2022518425A patent/JP7278478B2/ja active Active
- 2020-04-27 DE DE112020007129.4T patent/DE112020007129T5/de active Pending
- 2020-04-27 WO PCT/JP2020/017879 patent/WO2021220321A1/ja active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005513356A (ja) | 2001-12-21 | 2005-05-12 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 自動車の機能ユニットを制御する方法および装置 |
| JP2004126854A (ja) | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
| JP2009151420A (ja) | 2007-12-19 | 2009-07-09 | Toyota Central R&D Labs Inc | ソフトウェア動作監視装置、プログラム |
| JP2009282751A (ja) | 2008-05-22 | 2009-12-03 | Toyota Infotechnology Center Co Ltd | プログラム検査システムおよび方法 |
| JP2009298308A (ja) | 2008-06-13 | 2009-12-24 | Mitsubishi Electric Corp | 監視制御回路を有する車載電子制御装置 |
| JP2015118662A (ja) | 2013-12-20 | 2015-06-25 | 株式会社デンソー | 電子制御装置 |
| JP2015210737A (ja) | 2014-04-28 | 2015-11-24 | 日本電信電話株式会社 | 監視方法、監視装置および監視制御プログラム |
| JP7121409B2 (ja) | 2020-08-17 | 2022-08-18 | 西部自動機器株式会社 | ワーク搬送装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2021220321A1 (ja) | 2021-11-04 |
| CN115461723A (zh) | 2022-12-09 |
| WO2021220321A1 (ja) | 2021-11-04 |
| DE112020007129T5 (de) | 2023-03-09 |
| US20230177894A1 (en) | 2023-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6198876B2 (ja) | セキュア・リカバリ装置及び方法 | |
| US5822782A (en) | Methods and structure to maintain raid configuration information on disks of the array | |
| US6061788A (en) | System and method for intelligent and reliable booting | |
| US6571324B1 (en) | Warmswap of failed memory modules and data reconstruction in a mirrored writeback cache system | |
| US5826001A (en) | Reconstructing data blocks in a raid array data storage system having storage device metadata and raid set metadata | |
| US10635537B2 (en) | Raid data loss prevention | |
| US8977895B2 (en) | Multi-core diagnostics and repair using firmware and spare cores | |
| JP2008084291A (ja) | 記憶装置、制御方法及び制御装置 | |
| US20150199190A1 (en) | System and method for updating firmware | |
| US10691565B2 (en) | Storage control device and storage control method | |
| US20090300408A1 (en) | Memory preserved cache failsafe reboot mechanism | |
| US20150067314A1 (en) | Secure firmware flash controller | |
| JP7278478B2 (ja) | 情報処理装置及び情報処理方法 | |
| JP5216377B2 (ja) | プログラミング可能なデータ処理装置用の保護ユニット | |
| JP6341795B2 (ja) | マイクロコンピュータ及びマイクロコンピュータシステム | |
| CN114489713A (zh) | 域控制器的程序处理方法 | |
| JPH1185412A (ja) | ディスクアレイ装置制御方法およびディスクアレイ装置 | |
| US10789365B2 (en) | Control device and control method | |
| JPH0756694A (ja) | ディスクアレイ装置 | |
| JP4689792B2 (ja) | Prom切替制御システム | |
| JPWO2015015621A1 (ja) | 情報処理装置、診断方法、診断プログラム、及び情報処理システム | |
| JP4639920B2 (ja) | 電子制御装置 | |
| JP2002047998A (ja) | 車両用制御装置 | |
| JP2008250462A (ja) | ディスクアレイ装置、ディスクアレイ制御方法およびプログラム | |
| CN116700224A (zh) | 车辆的功能安全机制故障的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220511 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220511 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230411 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230509 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7278478 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |