JP6390398B2 - In-vehicle network system - Google Patents
In-vehicle network system Download PDFInfo
- Publication number
- JP6390398B2 JP6390398B2 JP2014250497A JP2014250497A JP6390398B2 JP 6390398 B2 JP6390398 B2 JP 6390398B2 JP 2014250497 A JP2014250497 A JP 2014250497A JP 2014250497 A JP2014250497 A JP 2014250497A JP 6390398 B2 JP6390398 B2 JP 6390398B2
- Authority
- JP
- Japan
- Prior art keywords
- control device
- external tool
- program data
- ecu
- electronic control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
Description
本発明は、車載ネットワークシステムに関する。 The present invention relates to an in-vehicle network system.
従来、特許文献1に記載の車載ネットワークシステムがある。特許文献1に記載の車載ネットワークシステムは、各種電子制御装置(ECU: Electronic Control Unit)が接続される複数のネットワークと、複数のネットワーク間の通信を中継するゲートウェイ制御装置とを備えている。
Conventionally, there is an in-vehicle network system described in
ところで、ECUは、一般に、ROM(Read Only Memory)に記憶されたプログラムデータに基づいて各種制御を行う。ROMに格納されたプログラムデータは、例えばバージョンアップや機能追加等のために、書き換えが必要な場合がある。ROMの書き換えは、例えば車両の外部からゲートウェイ制御装置を介して外部ツールを接続し、当該外部ツールによりROMに記憶されたプログラムデータを書き換えることで行われる。 By the way, the ECU generally performs various controls based on program data stored in a ROM (Read Only Memory). The program data stored in the ROM may need to be rewritten, for example, for version upgrade or function addition. The rewriting of the ROM is performed, for example, by connecting an external tool from the outside of the vehicle via the gateway control device and rewriting the program data stored in the ROM by the external tool.
ここで、ゲートウェイ制御装置には、ROMの書き換えが行われるECU以外にも様々なECUが接続されている。以下では、便宜上、ROMの書き換えが行われるECUを「書き換え対象ECU」と称し、それ以外のECUを「書き換え対象外ECU」と称する。外部ツールから送信されるプログラムデータをゲートウェイ制御装置を介して書き換え対象ECUに送信している間、ゲートウェイ制御装置が書き換え対象外ECUの通信を中継すると、ゲートウェイ制御装置と書き換え対象ECUとの間の通信速度が低下し、プログラムデータの書き換え完了時間が遅延するおそれがある。 Here, various ECUs are connected to the gateway control device in addition to the ECU in which the ROM is rewritten. Hereinafter, for the sake of convenience, the ECU in which the ROM is rewritten is referred to as “rewrite target ECU”, and the other ECUs are referred to as “non-rewrite ECU”. While the program data transmitted from the external tool is being transmitted to the rewrite target ECU via the gateway control device, when the gateway control device relays the communication of the non-rewrite target ECU, between the gateway control device and the rewrite target ECU. There is a possibility that the communication speed is lowered and the program data rewrite completion time is delayed.
また、ゲートウェイ制御装置が通信の中継処理以外に所定の車両制御を併せて実行するものである場合、その制御処理の実行分だけゲートウェイ制御装置の中継処理が遅延する。これに起因してゲートウェイ制御装置と書き換え対象ECUとの間の通信速度が低下すると、同様にプログラムデータの書き換え完了時間が遅延するおそれがある。 Further, when the gateway control device executes predetermined vehicle control in addition to the communication relay processing, the gateway control device relay processing is delayed by the amount of execution of the control processing. If the communication speed between the gateway control device and the rewrite target ECU decreases due to this, the program data rewrite completion time may similarly be delayed.
本発明は、こうした実情に鑑みてなされたものであり、その目的は、ゲートウェイ制御装置に接続された電子制御装置のプログラムデータの書き換え速度を向上させることのできる車載ネットワークシステムを提供することにある。 The present invention has been made in view of such circumstances, and an object thereof is to provide an in-vehicle network system capable of improving the rewrite speed of program data of an electronic control device connected to a gateway control device. .
上記課題を解決する車載ネットワークシステム(1)では、電子制御装置(20,30)が接続されるネットワーク(NW1)と、外部ツール(40)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続されている。外部ツールは、ゲートウェイ制御装置を介した電子制御装置との通信に基づいて電子制御装置のプログラムデータの書き換えを行う。ゲートウェイ制御装置は、電子制御装置のプログラムデータの書き換えの際に外部ツールと電子制御装置との間で通信される特定の信号の中継に基づいて、プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行する。電子制御装置は、プログラムデータの書き換えに先立ち、外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件にプログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、外部ツールとの通信に基づいてセキュリティを解除した際に、その旨を示すセキュリティ解除信号を外部ツールにゲートウェイ制御装置を介して送信する。外部ツールは、電子制御装置から送信されるセキュリティ解除信号を受信した際に、書き換え許可状態への移行を要求する移行要求信号を電子制御装置にゲートウェイ制御装置を介して送信する。特定の信号は、セキュリティ解除信号である。
また、上記課題を解決する車載ネットワークシステム(1)では、電子制御装置(20,30)が接続されるネットワーク(NW1)と、外部ツール(40)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続されている。外部ツールは、ゲートウェイ制御装置を介した電子制御装置との通信に基づいて電子制御装置のプログラムデータの書き換えを行う。ゲートウェイ制御装置は、電子制御装置のプログラムデータの書き換えの際に外部ツールと電子制御装置との間で通信される特定の信号の中継に基づいて、プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行する。電子制御装置は、プログラムデータの書き換えに先立ち、外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件にプログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、外部ツールとの通信に基づいてセキュリティを解除した際に、その旨を示すセキュリティ解除信号を外部ツールにゲートウェイ制御装置を介して送信する。外部ツールは、電子制御装置から送信されるセキュリティ解除信号を受信した際に、書き換え許可状態への移行を要求する移行要求信号を電子制御装置にゲートウェイ制御装置を介して送信する。特定の信号は、移行要求信号である。
In the in-vehicle network system (1) that solves the above problem, the network (NW1) to which the electronic control device (20, 30) is connected and the network (NW2) to which the external tool (40) is connected are the gateway control device ( 10). The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device. The gateway control device gives priority to the communication related to the rewriting of the program data based on the relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Transition to a rewrite-only state that restricts relaying of communications. Prior to rewriting the program data, the electronic control device authenticates the external tool based on communication with the external tool, releases the security on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite-permitted state where program data can be rewritten on the condition that a security release signal indicating that is released to the external tool when security is released based on communication with the external tool. Transmit via the gateway controller. When the external tool receives the security release signal transmitted from the electronic control device, the external tool transmits a transition request signal requesting the transition to the rewrite permission state to the electronic control device via the gateway control device. The specific signal is a security release signal.
In the in-vehicle network system (1) that solves the above problem, the network (NW1) to which the electronic control unit (20, 30) is connected and the network (NW2) to which the external tool (40) is connected are gateway-controlled. It is connected via a device (10). The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device. The gateway control device gives priority to the communication related to the rewriting of the program data based on the relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Transition to a rewrite-only state that restricts relaying of communications. Prior to rewriting the program data, the electronic control device authenticates the external tool based on communication with the external tool, releases the security on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite-permitted state where program data can be rewritten on the condition that a security release signal indicating that is released to the external tool when security is released based on communication with the external tool. Transmit via the gateway controller. When the external tool receives the security release signal transmitted from the electronic control device, the external tool transmits a transition request signal requesting the transition to the rewrite permission state to the electronic control device via the gateway control device. The specific signal is a transition request signal.
この構成によれば、電子制御装置のプログラムデータの書き換えの際に外部ツールと電子制御装置との間で通信が行われると、当該通信に用いられる特定の信号に基づいてゲートウェイ制御装置が自動的に書き換え専用状態に移行する。すなわち、ゲートウェイ制御装置は、プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する状態に自動的に移行する。そのため、電子制御装置のプログラムデータの書き換え速度を向上させることができる。 According to this configuration, when communication is performed between the external tool and the electronic control device when the program data of the electronic control device is rewritten, the gateway control device is automatically set based on the specific signal used for the communication. Move to the rewrite-only state. That is, the gateway control device automatically shifts to a state in which communication relay is restricted so that communication related to rewriting of program data is given priority. Therefore, the rewriting speed of the program data of the electronic control device can be improved.
本発明によれば、ゲートウェイ制御装置に接続された電子制御装置のプログラムデータの書き換え速度を向上させることができる。 According to the present invention, the rewriting speed of program data of the electronic control device connected to the gateway control device can be improved.
以下、車載ネットワークシステムの一実施形態について説明する。はじめに、図1を参照して、本実施形態の車載ネットワークシステムの概要について説明する。 Hereinafter, an embodiment of the in-vehicle network system will be described. First, with reference to FIG. 1, the outline | summary of the vehicle-mounted network system of this embodiment is demonstrated.
図1に示されるように、本実施形態の車載ネットワークシステム1は車両Cに搭載されている。車載ネットワークシステム1は、ゲートウェイ制御装置(ゲートウェイECU)10と、複数の電子制御装置(ECU)20,30とを有している。
As shown in FIG. 1, the in-
ECU20,30は、車両Cに搭載された各種ECU、例えば車載エンジンの駆動を制御するエンジンECUや、自動変速機の駆動を制御するトランスミッションECU等を示す。また、ECU20,30には、ゲートウェイECU10とは別のゲートウェイECUも含まれる。ECU20,30は、マイクロコンピュータを中心に構成されており、CPU(中央演算処理装置)21,31やRAM(Random Access Memory)22,32、ROM(Read Only Memory)23,33等をそれぞれ有している。CPU21,31は、ROM22,32に記憶されたプログラムデータPa,Pbに基づいて各種制御処理をそれぞれ実行する。ECU20,30はバスB1を介して通信可能に接続されている。
The
ゲートウェイECU10はバスB1を介してECU20,30に接続されている。また、ゲートウェイECU10はバスB2を介して外部端子T1に接続されている。外部端子T1には、接続端子T2を介して外部ツール40が接続される。ゲートウェイECU10は、バスB1により構成されるネットワークNW1と、バスB2により構成されるネットワークNW2との間の通信を中継する。また、ゲートウェイECU10は、バスB2と、バスB2とは別の図示しない車両内のバスとの間の通信を中継する。なお、ゲートウェイECU10は、通信を中継する機能に限らず、例えば車両ドアのロック/アンロック制御やヘッドライトの点灯制御等の車両制御を併せて実行するものであってもよい。
The gateway ECU 10 is connected to the
外部ツール40は、ゲートウェイECU10及びECU20,30のバージョンアップや機能追加等のために、それらのプログラムデータを書き換えるための装置である。外部ツール40は、作業者により手動で操作される。外部ツール40は、例えばバスB2、ゲートウェイECU10、及びバスB1を介してECU20,30に新たなプログラムデータを送信することにより、各ECU20,30のプログラムデータPa,Pbを書き換える。なお、プログラムデータPa,Pbの書き換えは、車両が使用されていない状態でディーラや工場等で行われる。
The
本実施形態では、外部ツール40によるプログラムデータの書き換えがECU20を対象として行われる場合について例示する。すなわち、本実施形態では、ECU20が「書き換え対象ECU」となっており、ECU21が「書き換え対象外ECU」となっている。
In this embodiment, the case where rewriting of the program data by the
次に、図2を参照して、ゲートウェイECU10の構成について詳しく説明する。
ゲートウェイECU10は、マイクロコンピュータを中心に構成されており、図2に示されるように、CPU11と、RAM12と、ROM13とを備えている。
Next, the configuration of the
The
RAM12には、CPU11の演算途中のデータや演算結果等が一時的に記憶される。
ROM13には、通常制御用プログラムデータP1と、書き換え専用プログラムデータP2とが記憶されている。
The
The
通常制御用プログラムデータP1は、ゲートウェイECU10により通常行われる制御プログラムであり、例えばバスB1とバスB2との間でプロトコル変換を行うためのプログラムデータや、バスB2と図示しない社内の他のバスとの間でプロトコル変換を行うためのプログラムデータ等が含まれている。また、ゲートウェイECU10が、例えば車両ドアのロック/アンロック制御やヘッドライトの点灯制御等を併せて実行する場合には、それらの制御用プログラムデータも通常制御用プログラムデータP1に含まれている。
The normal control program data P1 is a control program that is normally performed by the
書き換え専用プログラムデータP2は、プログラムデータの書き換えに関連する通信を優先するように通信の中継に制限を設ける処理を実行するためのプログラムデータである。 The rewrite-only program data P2 is program data for executing processing for limiting communication relay so that communication related to rewriting of program data is prioritized.
CPU11は、ROM13に記憶された通常制御用プログラムデータP1に基づいて、ゲートウェイECU10により行われる通常制御を実行する。また、CPU11は、外部端子T1に外部ツール40が接続された際、外部ツール40からの要求に応じて、ROM13に記憶された書き換え専用プログラムデータP2を実行する。これにより、CPU11は、プログラムデータの書き換えに関連する通信を優先する状態になる。
The
次に、図3を参照して、外部ツール40による書き換え対象ECU20のプログラムデータPaの書き換え手順について詳しく説明する。なお、図3に示される処理は、例えば車両が使用されていない状態で工場やディーラにおいて作業者が外部ツール40を操作することにより行われる。また、図3に示されるプログラムデータPaの書き換え手順としては、例えばUDS(ISO14229)に準拠した手順を採用することができる。
Next, with reference to FIG. 3, the rewriting procedure of the program data Pa of the
図3に示されるように、外部ツール40は、まず、ゲートウェイECU10を介して各ECU20,30に非通常状態移行要求信号を送信する(ステップS100)。ゲートウェイECU10は、非通常状態移行要求信号を中継すると(ステップS200)、通常状態( Default Session)から非通常状態(Non-Default Session)に移行する(ステップS201)。各ECU20,30は、非通常状態移行要求信号を受信すると(ステップS300,S400)、通常状態から非通常状態に移行する(ステップS301,S401)。なお、通常状態とは、各ECU10,20,30がそれぞれの役割に応じた通常の制御を行う状態である。非通常状態とは、外部ツール40からの要求に応じて通常実行できない特殊な操作が可能となる状態である。各ECU10,20,30が非通常状態に移行することにより、例えば異常検出を禁止させたり、通信を停止させる等の特殊な操作が可能となる。
As shown in FIG. 3, the
また、各ECU10,20,30は、非通常状態に移行した際、何らかの信号を所定の時間受信できないことを条件に、あるいは通常状態移行要求信号を受信することを条件に通常状態に復帰する。以下では、便宜上、この所定の時間を「復帰設定時間」と称する。本実施形態では、復帰設定時間よりも短い周期で各ECU10,20,30に何らかの信号を送信することにより、各ECU10,20,30を非通常状態に維持させることが可能となっている。
In addition, each
外部ツール40は、各ECU10,20,30を非通常状態に移行させた後、ゲートウェイECU10を介して各ECU20,30にダイアグマスク要求信号を送信する(ステップS101)。ゲートウェイECU10は、ダイアグマスク要求信号を中継すると(ステップS202)、ダイアグマスク状態に移行する(ステップS203)。各ECU20,30は、ダイアグマスク要求信号を受信すると(ステップS302,S402)、ダイアグマスク状態に移行する(ステップS303,S403)。ダイアグマスク状態とは、非通常状態において選択可能な一状態であり、異常検出機能が無効化された状態を示す。各ECU10,20,30がダイアグマスク状態になることにより、書き換え対象ECU20のプログラムデータPaの書き換えの際に書き換え対象ECU20とそれ以外のECU10,30との間の通信が途絶えたとしても、それを理由に各ECU10,20,30が異常検出を行うことを回避できる。
The
外部ツール40は、各ECU10,20,30をダイアグマスク状態に移行させた後、ゲートウェイECU10を介して各ECU20,30に送信停止要求信号を送信する(ステップS102)。各ECU20,30は、送信停止要求信号を受信すると(ステップS304,S404)、送信停止状態に移行する(ステップS305,S405)。送信停止状態とは、非通常状態において選択可能な一状態であり、プログラムデータPaの書き換えに関連する通信を除き、他のECUへの信号の送信が停止された状態を示す。各ECU20,30が送信停止状態になることにより、プログラムデータPaの書き換えに関連する通信が優先されるため、結果的に外部ツール40と書き換え対象ECU20との間の通信速度を向上させることができる。よって、プログラムデータPaの書き換え速度を向上させることができる。
The
外部ツール40は、各ECU20,30を送信停止状態に移行させた後、書き換え対象ECU20のセキュリティを解除する。具体的には、外部ツール40は、まず、ゲートウェイECU10を介して書き換え対象ECU20にシード要求信号を送信する(ステップS103)。書き換え対象ECU20は、シード要求信号を受信すると(ステップS306)、ランダムな文字列からなるシードを生成するとともに(ステップS307)、生成したシードを含むシード応答信号を外部ツール40にゲートウェイECU10を介して送信する(ステップS308)。
The
外部ツール40は、書き換え対象ECU20から送信されるシード応答信号を受信すると(ステップS104)、当該シード応答信号に含まれるシードに基づいて暗号鍵を生成するとともに(ステップS105)、生成した暗号鍵を含む暗号鍵応答信号を書き換え対象ECU20にゲートウェイECU10を介して送信する(ステップS106)。書き換え対象ECU20は、外部ツール40にシード応答信号を送信した後(ステップS308)、当該シードに基づいて暗号鍵を生成する(ステップS309)。そして、書き換え対象ECU20は、外部ツール40から送信される暗号鍵応答信号を受信すると(ステップS310)、自らが生成した暗号鍵と、暗号鍵応答信号に含まれる暗号鍵とを照合することにより、外部ツール40の認証を行う(ステップS311)。書き換え対象ECU20は、それらの暗号鍵が互いに一致する場合には、外部ツール40の認証が成立したと判断し(ステップS312:YES)、セキュリティを解除するとともに(ステップS313)、その旨を示すセキュリティ解除信号を外部ツール40にゲートウェイECU10を介して送信する(ステップS314)。
When the
ゲートウェイECU10は、セキュリティ解除信号を中継すると(ステップS205)、書き換え専用状態に移行する(ステップS206)。具体的には、ゲートウェイECU10は、実行プログラムを通常制御用プログラムデータP1から書き換え専用プログラムデータP2に切り替えることにより、書き換え専用状態に移行する。これにより、ゲートウェイECU10は、書き換え対象ECU20のプログラムデータPaの書き換えに関連する通信を優先する状態となる。
When the
外部ツール40は、書き換え対象ECU20から送信されるセキュリティ解除信号を受信すると(ステップS107)、図4に示されるように書き換え許可状態移行要求信号を書き換え対象ECU20にゲートウェイECU10を介して送信する(ステップS108)。書き換え対象ECU20は、セキュリティが解除されている状態で書き換え許可状態移行要求信号を受信すると(ステップS315)、書き換え許可状態( Programing Session)に移行する(ステップS316)。書き換え許可状態とは、非通常状態において選択可能な一状態であり、ゲートウェイECU10のROM13に記憶されたデータを書き換えることの可能な状態である。書き換え対象ECU20は、書き換え許可状態に移行した後、その旨を示す移行完了信号を外部ツール40にゲートウェイECU10を介して送信する(ステップS317)。
When the
外部ツール40は、移行完了信号を受信すると(ステップS109)、プログラムデータPaの書き換え要求信号を書き換え対象ECU20にゲートウェイECU10を介して送信する(ステップS110)。書き換え対象ECU20は、プログラムデータPaの書き換え要求信号を受信すると(ステップS318)、当該信号に基づいて、ROM13に記憶されたプログラムデータPaの書き換えを行う(ステップS319)。なお、図示は割愛するが、外部ツール40は、プログラムデータPaの書き換えを行っている期間、ゲートウェイECU10と双方向通信を行うことにより、新たなプログラムデータPaがROM13に正しく書き込まれているか否かを検証する、いわゆるベリファイ等を行う。
When receiving the transition completion signal (step S109), the
また、外部ツール40は、所定の周期で通信継続信号を書き換え対象ECU20及び書き換え対象外ECU30にゲートウェイECU10を介して継続的に送信することにより(ステップS111)、各ECU10,20,30の状態を維持する。本実施形態では、外部ツール40から書き換え対象ECU20へのプログラムデータPaの書き換え要求信号の送信と、外部ツール40から各ECU10,20,30への通信継続信号の送信とが、プログラムデータPaの書き換えに関連する通信となっている。
Further, the
外部ツール40は、プログラムデータPaの書き換えが行われている期間、ステップS110,S111の処理を繰り返し実行する。外部ツール40は、プログラムデータPaの書き換えが完了すると、通常状態移行要求信号を各ECU20,30にゲートウェイECU10を介して送信する(ステップS112)。ゲートウェイECU10は、通常状態移行要求信号を中継すると(ステップS207)、通常状態に移行する(ステップS208)。各ECU20,30は、通常状態移行要求信号を受信すると(ステップS320,S406)、通常状態に移行する(ステップS321,S407)。
The
次に、ゲートウェイECU10の動作について図5を参照して総括する。なお、ゲートウェイECU10は、非通常状態に移行した際に図5に示される動作を所定の周期で繰り返し実行する。
Next, the operation of the
図5に示されるように、ゲートウェイECU10は、書き換え対象ECU20のプログラムデータPaの書き換えの際に外部ツール40と書き換え対象ECU20との間で通信される特定の信号を中継したか否かを判断する(ステップS1)。本実施形態では、特定の信号としてセキュリティ解除信号が用いられている。ゲートウェイECU10は、セキュリティ解除信号を中継していない場合には(ステップS1:NO)、この処理を終了する。
As shown in FIG. 5, the
ゲートウェイECU10は、セキュリティ解除信号を中継した場合には(ステップS1:YES)、書き換え専用状態に移行する(ステップS2)。書き換え専用状態に移行したゲートウェイECU10は、通常状態移行要求信号を中継したか否かを判断する(ステップS3)。ゲートウェイECU10は、通常状態移行要求信号を中継していない場合には(ステップS3:NO)、信号の未受信時間が復帰設定時間以内であるか否かを判断する(ステップS4)。ゲートウェイECU10は、信号の未受信時間が復帰設定時間以内である場合には(ステップS4:YES)、ステップS3の判断処理に戻る。
When the
ゲートウェイECU10は、通常状態移行要求信号を中継した場合(ステップS3:YES)、あるいは信号の未受信時間が復帰設定時間を超えた場合には(ステップS4:NO)、通常状態に移行する(ステップS5)。
When the
以上説明した本実施形態の車載ネットワークシステム1によれば、以下の(1)及び(2)に示される作用及び効果を得ることができる。
According to the in-
(1)書き換え対象ECU20のプログラムデータPaの書き換えの際に当該ECU20から外部ツール40に送信されるセキュリティ解除信号をゲートウェイECU10が中継すると、ゲートウェイECU10が自動的に書き換え専用状態に移行する。すなわち、ゲートウェイECU10は、プログラムデータPaの書き換えに関連する通信を優先させる状態に自動的に移行する。そのため、書き換え対象ECU20のプログラムデータの書き換え速度を向上させることができる。
(1) When the
なお、本実施形態では、車両が使用されていない状態で工場やディーラにおいて書き換え対象ECU20のプログラムデータPaの書き換えが行われることを前提としている。車両が使用されていない状態であるが故に、プログラムデータPaの書き換えに関連する通信にゲートウェイECU10を専念させることが可能となる。
In the present embodiment, it is assumed that the program data Pa of the
(2)接続端子T2に不正な外部ツールが接続されたような場合、当該不正な外部ツールから書き換え対象ECU20に送信される信号に基づいてゲートウェイECU10が書き換え専用状態に移行するようなことがあると、意図せずにゲートウェイECU10の中継機能が無効化されるおそれがあるため、セキュリティの面で好ましくない。この点、本実施形態のように、ゲートウェイECU10が書き換え専用状態に移行する際のトリガとなる特定の信号として、セキュリティ解除信号を採用すれば、書き換え対象ECU20の認証結果に基づいてゲートウェイECU10を書き換え専用状態に移行させることができるため、セキュリティ性を向上させることができる。
(2) When an unauthorized external tool is connected to the connection terminal T2, the
なお、上記実施形態は、以下の形態にて実施することもできる。
・図6に示されるように、ゲートウェイECU10は、外部ツール40から送信される書き換え許可状態移行要求信号の中継に基づいて(ステップS210)、書き換え専用状態に移行してもよい(ステップS211)。すなわち、図6に示されるステップS1の処理の特定の信号として書き換え許可状態移行要求信号を採用してもよい。このような構成であっても、上記の(1)に記載の作用及び効果を得ることができる。また、外部ツール40は、セキュリティ解除信号に基づいて書き換え許可状態移行要求信号を送信する、換言すれば書き換え対象ECU20により外部ツール40の認証が成立した場合に限って書き換え許可状態移行要求信号を送信する。したがって、上記(2)に記載の作用及び効果を得ることもできる。同様に、特定の信号として移行完了信号を採用した場合でも、上記の(1)及び(2)に記載の作用及び効果を得ることができる。
In addition, the said embodiment can also be implemented with the following forms.
As shown in FIG. 6, the
・ゲートウェイECU10は、特定の信号として、非通常状態移行要求信号、ダイアグマスク要求信号、送信停止要求信号、シード要求信号、シード応答信号、暗号鍵応答信号等を採用してもよい。要は、ゲートウェイECU10は、書き換え対象ECU20のプログラムデータPaの書き換えの際に外部ツール40と書き換え対象ECU20との間で通信される特定の信号の中継に基づいて書き換え専用状態に移行するものであればよい。
The
・図7に示されるように、ゲートウェイECU10は、図5に示されるステップS1の判断処理に代えて、予め定められた特定の複数の信号を中継したか否かを判断する処理を行ってもよい(ステップS6)。すなわち、ゲートウェイECU10は、予め定められた特定の複数の信号を中継することを条件に(ステップS6:YES)、書き換え専用状態に移行する(ステップS2)。特定の複数の信号としては、書き換え対象ECU20のプログラムデータPaの書き換えの際に外部ツール40と書き換え対象ECU20との間で通信される複数の信号が該当する。例えば、セキュリティ解除信号及び書き換え許可状態移行要求信号を採用することができる。このような構成によれば、不正な外部ツールを用いた不正操作をより回避し易くなるため、セキュリティ性を更に向上させることができる。
As shown in FIG. 7, the
・図8に示されるように、ゲートウェイECU10は、図7に示されるステップS6の判断処理に代えて、特定の複数の信号を予め定められた順序で中継したか否かを判断する処理を行ってもよい(ステップS7)。すなわち、ゲートウェイECU10は、特定の複数の信号を予め定められた順序で中継することを条件に(ステップS7:YES)、書き換え専用状態に移行する(ステップS2)。例えば、ゲートウェイECU10は、セキュリティ解除信号を中継した後に、書き換え許可状態移行要求信号を中継することに基づいてステップS7の判断処理を肯定判断する。このような構成によれば、不正な外部ツールを用いた不正操作をより的確に回避することができるため、セキュリティ性を一層向上させることができる。
As shown in FIG. 8, the
・ゲートウェイECU10の書き換え専用状態は、プログラムデータの書き換えに関連する通信のみを中継するように通信の中継を制限する状態であってもよい。すなわち、ゲートウェイECU10は、書き換え専用状態に移行した際、書き換え対象ECU20へのプログラムデータPaの書き換え要求信号の中継、及び各ECU10,20,30への通信継続信号の中継のみを行う状態になってもよい。
The rewrite-only state of the
・本発明は上記の具体例に限定されるものではない。すなわち、上記の具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素及びその配置や条件等は、例示したものに限定されるわけではなく適宜変更することができる。また、前述した実施形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。 -This invention is not limited to said specific example. That is, the above-described specific examples that are appropriately modified by those skilled in the art are also included in the scope of the present invention as long as they have the characteristics of the present invention. For example, the elements included in each of the specific examples described above, their arrangement, conditions, and the like are not limited to those illustrated, and can be changed as appropriate. Moreover, each element with which embodiment mentioned above is provided can be combined as long as it is technically possible, and the combination of these is also included in the scope of the present invention as long as it includes the features of the present invention.
1:車載ネットワークシステム
10:ゲートウェイECU(ゲートウェイ制御装置)
20,30:ECU(電子制御装置)
40:外部ツール
NW1,NW2:ネットワーク
1: In-vehicle network system 10: Gateway ECU (gateway control device)
20, 30: ECU (electronic control unit)
40: External tool NW1, NW2: Network
Claims (4)
前記外部ツールは、前記ゲートウェイ制御装置を介した前記電子制御装置との通信に基づいて前記電子制御装置のプログラムデータの書き換えを行い、
前記ゲートウェイ制御装置は、前記電子制御装置の前記プログラムデータの書き換えの際に前記外部ツールと前記電子制御装置との間で通信される特定の信号の中継に基づいて、前記プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行し、
前記電子制御装置は、
前記プログラムデータの書き換えに先立ち、前記外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件に前記プログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、
前記外部ツールとの通信に基づいて前記セキュリティを解除した際に、その旨を示すセキュリティ解除信号を前記外部ツールに前記ゲートウェイ制御装置を介して送信するものであり、
前記外部ツールは、
前記電子制御装置から送信される前記セキュリティ解除信号を受信した際に、前記書き換え許可状態への移行を要求する移行要求信号を前記電子制御装置に前記ゲートウェイ制御装置を介して送信するものであり、
前記特定の信号は、
前記セキュリティ解除信号であることを特徴とする車載ネットワークシステム。 In-vehicle network system (1) in which a network (NW1) to which the electronic control device (20, 30) is connected and a network (NW2) to which the external tool (40) is connected are connected via the gateway control device (10). ) And
The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device,
The gateway control device is related to rewriting of the program data based on relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Shift to a rewrite-only state that restricts relaying of communication so that communication is prioritized ,
The electronic control device
Prior to rewriting the program data, the external tool is authenticated based on communication with the external tool, the security is released on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite permission state in which rewriting of the program data is permitted,
When releasing the security based on communication with the external tool, a security release signal indicating that is transmitted to the external tool via the gateway control device,
The external tool is
When the security release signal transmitted from the electronic control device is received, a transition request signal for requesting transition to the rewrite permission state is transmitted to the electronic control device via the gateway control device,
The specific signal is:
An in-vehicle network system characterized by being the security release signal .
前記外部ツールは、前記ゲートウェイ制御装置を介した前記電子制御装置との通信に基づいて前記電子制御装置のプログラムデータの書き換えを行い、
前記ゲートウェイ制御装置は、前記電子制御装置の前記プログラムデータの書き換えの際に前記外部ツールと前記電子制御装置との間で通信される特定の信号の中継に基づいて、前記プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行し、
前記電子制御装置は、
前記プログラムデータの書き換えに先立ち、前記外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件に前記プログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、
前記外部ツールとの通信に基づいて前記セキュリティを解除した際に、その旨を示すセキュリティ解除信号を前記外部ツールに前記ゲートウェイ制御装置を介して送信するものであり、
前記外部ツールは、
前記電子制御装置から送信される前記セキュリティ解除信号を受信した際に、前記書き換え許可状態への移行を要求する移行要求信号を前記電子制御装置に前記ゲートウェイ制御装置を介して送信するものであり、
前記特定の信号は、前記移行要求信号であることを特徴とする車載ネットワークシステム。 In-vehicle network system (1) in which a network (NW1) to which the electronic control device (20, 30) is connected and a network (NW2) to which the external tool (40) is connected are connected via the gateway control device (10). ) And
The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device,
The gateway control device is related to rewriting of the program data based on relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Shift to a rewrite-only state that restricts relaying of communication so that communication is prioritized,
The electronic control device
Prior to rewriting the program data, the external tool is authenticated based on communication with the external tool, the security is released on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite permission state in which rewriting of the program data is permitted,
When releasing the security based on communication with the external tool, a security release signal indicating that is transmitted to the external tool via the gateway control device,
The external tool is
When the security release signal transmitted from the electronic control device is received, a transition request signal for requesting transition to the rewrite permission state is transmitted to the electronic control device via the gateway control device,
The specific signal, the car mounting network systems that wherein a transition request signal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014250497A JP6390398B2 (en) | 2014-12-11 | 2014-12-11 | In-vehicle network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014250497A JP6390398B2 (en) | 2014-12-11 | 2014-12-11 | In-vehicle network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016112909A JP2016112909A (en) | 2016-06-23 |
JP6390398B2 true JP6390398B2 (en) | 2018-09-19 |
Family
ID=56140618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014250497A Active JP6390398B2 (en) | 2014-12-11 | 2014-12-11 | In-vehicle network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6390398B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017107277A1 (en) * | 2017-04-05 | 2018-10-11 | Hanon Systems | Arrangement and method for updating a control software in a high-voltage control unit |
US11279370B2 (en) | 2017-07-26 | 2022-03-22 | Mitsubishi Electric Corporation | Driving control system and drive assist method |
KR102238380B1 (en) | 2019-02-08 | 2021-04-08 | 효성중공업 주식회사 | Sub-module for dc-dc converting and update method of sub-module program |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4942261B2 (en) * | 2001-07-31 | 2012-05-30 | 株式会社デンソー | Vehicle relay device and in-vehicle communication system |
JP5353545B2 (en) * | 2009-08-07 | 2013-11-27 | トヨタ自動車株式会社 | In-vehicle network device |
KR20110092007A (en) * | 2010-02-08 | 2011-08-17 | 주식회사 만도 | Software downloading system and method for a vehicle using the same |
JP5900007B2 (en) * | 2012-02-20 | 2016-04-06 | 株式会社デンソー | VEHICLE DATA COMMUNICATION AUTHENTICATION SYSTEM AND VEHICLE GATEWAY DEVICE |
-
2014
- 2014-12-11 JP JP2014250497A patent/JP6390398B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016112909A (en) | 2016-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11807176B2 (en) | On-board communication device, on-board communication system, and specific processing prohibition method for a vehicle | |
JP5729337B2 (en) | VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM | |
JP6477281B2 (en) | In-vehicle relay device, in-vehicle communication system, and relay program | |
US11671498B2 (en) | Vehicle master device, update data verification method and computer program product | |
KR101600460B1 (en) | System for electric control unit upgrade with security functions and method thereof | |
US11822366B2 (en) | Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data | |
EP2757497B1 (en) | Vehicular electronic control device | |
CN109941228B (en) | Device and method for unlocking vehicle component, vehicle and vehicle communication module | |
US20180281748A1 (en) | In-vehicle communication system, vehicle control device, and communication management device | |
JP6390398B2 (en) | In-vehicle network system | |
US11941384B2 (en) | Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data | |
JP4253979B2 (en) | Inspection method for in-vehicle control unit | |
JP5790551B2 (en) | COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD | |
JP5664562B2 (en) | Relay device | |
JP2014204315A (en) | Relay device | |
JP5783013B2 (en) | In-vehicle communication system | |
JP6404848B2 (en) | Monitoring device and communication system | |
JP2018093370A (en) | On-vehicle electronic control device, on-vehicle electronic control system, and relay device | |
US10841284B2 (en) | Vehicle communication network and method | |
JP2015113693A (en) | Vehicle control system | |
JP2015227157A (en) | Data gateway, and method for interfering with vehicular operation thereof | |
JP7211189B2 (en) | Update processing system and update processing method | |
JP2013141949A (en) | On-vehicle system and relay device | |
JP2020096320A (en) | Illegal signal processing device | |
JP2016107908A (en) | On-vehicle network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170509 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180213 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180404 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180724 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180806 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6390398 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |