DE112016002236T5 - Kommunikationseinrichtung und kommunikationseinschränkungsprogramm - Google Patents

Kommunikationseinrichtung und kommunikationseinschränkungsprogramm Download PDF

Info

Publication number
DE112016002236T5
DE112016002236T5 DE112016002236.0T DE112016002236T DE112016002236T5 DE 112016002236 T5 DE112016002236 T5 DE 112016002236T5 DE 112016002236 T DE112016002236 T DE 112016002236T DE 112016002236 T5 DE112016002236 T5 DE 112016002236T5
Authority
DE
Germany
Prior art keywords
mode
registers
unit
communication
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016002236.0T
Other languages
English (en)
Inventor
Shinya HONDA
Hiroaki Takada
Ryo Kurachi
Hiroshi Ueda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya University NUC, Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Nagoya University NUC
Publication of DE112016002236T5 publication Critical patent/DE112016002236T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

Es werden eine Kommunikationseinrichtung und ein Kommunikationseinschränkungsprogramm vorgeschlagen, die in der Lage sind, durch Einfügen eines ungültigen Programms verursachte Übertragungen von ungültigen Nachrichten an ein Netzwerk zu verhindern. Die ECU 1 umfasst eine CAN-Steuereinrichtung 15 mit einer Registergruppe 16, in welcher ein Wert betreffend eine Kommunikation mit einer anderen ECU 1 gespeichert ist, und eine Verarbeitungseinheit 10, welche eine Kommunikationsverarbeitung durch Schreiben eines Werts in die und Lesen eines Werts aus der Registergruppe 16 durchführt. Die ECU 1 schaltet den Modus zwischen dem Vollsteuerungsmodus, bei welchem das Schreiben und Lesen für die Registergruppe 16 der CAN-Steuereinrichtung 15 erlaubt ist, und dem Einschränkungsmodus um, bei welchem das Schreiben und Lesen für einen Teil der Register der Registergruppe 16 eingeschränkt ist. Die ECU 1 befindet sich während eines vorbestimmten Zeitraums ab Aktivierung im Vollsteuerungsmodus und schaltet nach Ablauf des vorbestimmten Zeitraums vom Vollsteuerungsmodus in den Einschränkungsmodus um. Nach dem Umschalten in den Einschränkungsmodus schaltet die ECU 1 den Modus nicht in den Vollsteuerungsmodus um.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung betrifft eine Kommunikationseinrichtung und ein Kommunikationseinschränkungsprogramm zum Einschränken einer Übertragung einer ungültigen Nachricht an ein Netzwerk.
  • TECHNISCHER HINTERGRUND
  • In den letzten Jahren weisen in Fahrzeugen eingebaute elektronische Steuereinheiten (ECUs – Electronic Control Units) fortgeschrittene Funktionen auf, und in den ECUs ausgeführte Programme sind entsprechend komplizierter. Darüber hinaus sind mehrere ECUs in einem Fahrzeug eingebaut und über ein Netzwerk wie etwa einen CAN-Bus (Controller Area Network) miteinander verbunden. Die mehreren ECUs führen Verarbeitungen durch und tauschen dabei Informationen über das Netzwerk aus.
  • Patentdokument Nr. 1 beschreibt ein CAN-System, das darauf abzielt, eine Fehlertoleranz zu verbessern, indem ein Frame zur Anforderung einer erneuten Übertragung übertragen wird, falls der Empfang eines Frames durch den ersten Knoten des CAN-Systems fehlschlägt und dieser sich in einem passiven Fehlerzustand befindet; ein an einen CAN-Bus übertragener Frame im zweiten Knoten gespeichert wird; und der Frame, dessen erneute Übertragung angefordert wurde, erneut an den ersten Knoten übertragen wird.
  • Patentdokument Nr. 2 beschreibt ein Kommunikationssystem, das darauf abzielt, einen fehlerhaften Betrieb auf der Empfangsseite eines Frames zu verhindern, indem es eine derartige Ausgestaltung aufweist, dass eine CAN-Steuereinrichtung eine Übertragungslatenz von der Eingabe eines Frames bis zum Beginn der Übertragung an den CAN-Bus misst und den Frame gemeinsam mit die Übertragungslatenz betreffenden Informationen überträgt und dabei eine entsprechend der Übertragungslatenz auszuführende Verarbeitung durch die CAN-Steuereinrichtung festgelegt wird, die den Frame empfangen hat.
  • VORBEKANNTE TECHNISCHE DOKUMENTE
  • PATENTDOKUMENTE
    • Patentdokument Nr. 1: JP 2014-86812 A
    • Patentdokument Nr. 2: JP 2011-103577 A
  • NICHTPATENTDOKUMENTE
  • Nichtpatentdokument Nr. 1: K. Koscher, A. Czeskis, F. Roesner, S. Patel, T. Kohno, S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham und S. Savage. Experimental security analysis of a modern automobile (Experimentelle Sicherheitsanalyse eines modernen Automobils). In Proc. of the IEEE Symposium on Security and Privacy, Seite 447–462, 2010
  • ÜBERBLICK ÜBER DIE ERFINDUNG
  • VON DER ERFINDUNG ZU LÖSENDE AUFGABEN
  • Nichtpatentdokument Nr. 1 berichtet hingegen davon, dass durch Einfügung eines ungültigen Programms in die ECU eine ungültige Nachricht an ein Netzwerk in einem Fahrzeug übertragen werden kann. Eine solche Übertragung einer ungültigen Nachricht aufgrund eines ungültigen Programms kann einen fehlerhaften Betrieb einer anderen mit dem Netzwerk verbundenen ECU veranlassen. Weder das CAN-System gemäß Patentdokument Nr. 1 noch das Kommunikationssystem gemäß Patentdokument Nr. 2 können effektive Maßnahmen gegen eine derartige ungültige Nachrichtenübertragung bieten.
  • Die vorliegende Erfindung entstand angesichts der vorstehenden Umstände und ihr liegt als Aufgabe zugrunde, eine Kommunikationseinrichtung und ein Kommunikationseinschränkungsprogramm bereitzustellen, welche eine durch Einfügung eines ungültigen Programms verursachte Übertragung von ungültigen Nachrichten an ein Netzwerk verhindern können.
  • MITTEL ZUM LÖSEN DER AUFGABE
  • Bei der Kommunikationseinrichtung gemäß der vorliegenden Erfindung mit einer Kommunikationseinheit mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft, und einer Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts in ein Register und Lesen eines Werts aus einem Register der Kommunikationseinheit ist das Schreiben und Lesen eines Werts für einen Teil der mehreren Register eingeschränkt oder gesperrt.
  • Außerdem umfasst die Kommunikationseinrichtung gemäß der vorliegenden Erfindung ferner eine Schalteinheit zum Durchführen eines Umschaltens zwischen einem ersten Modus, bei welchem das Schreiben und Lesen eines Werts für die mehreren Register erlaubt ist, und einem zweiten Modus, bei welchem das Schreiben und Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist.
  • Außerdem ist bei der Kommunikationseinrichtung gemäß der vorliegenden Erfindung die Schalteinheit dazu eingerichtet, nach dem Umschalten von dem ersten Modus in den zweiten Modus kein Umschalten von dem zweiten Modus in den ersten Modus durchzuführen.
  • Außerdem ist bei der Kommunikationseinrichtung gemäß der vorliegenden Erfindung die Schalteinheit dazu eingerichtet, für einen vorbestimmten Zeitraum ab Aktivierung der Kommunikationseinrichtung den ersten Modus festzulegen, nach Ablauf des vorbestimmten Zeitraums ein Umschalten von dem ersten Modus in den zweiten Modus durchzuführen und nach dem Umschalten von dem ersten Modus in den zweiten Modus kein Umschalten von dem zweiten Modus in den ersten Modus durchzuführen.
  • Außerdem weist die Kommunikationseinrichtung gemäß der vorliegenden Erfindung ferner eine Speichereinheit zum Speichern eines Programms zum Schreiben eines Werts in ein Register auf, das im zweiten Modus bezüglich Schreiben eingeschränkt ist, wobei die Verarbeitungseinheit das Programm nach Aktivierung der Kommunikationseinrichtung ausführt und die Schalteinheit dazu eingerichtet ist, ein Umschalten durchzuführen und dabei einen Zeitraum, während dessen das Programm durch die Verarbeitungseinheit ausgeführt wird, als den vorbestimmten Zeitraum festzulegen.
  • Außerdem umfassen bei der Kommunikationseinrichtung gemäß der vorliegenden Erfindung die mehreren Register mehrere Übertragungsnachricht-Speicherregister zum Speichern einer durch die Kommunikationseinheit an eine andere Einrichtung zu übertragenden Nachricht, und in dem zweiten Modus sind eine oder mehrere Übertragungsnachricht-Speicherregister der mehreren Übertragungsnachricht-Speicherregister bezüglich Schreiben eingeschränkt.
  • Außerdem umfassen bei der Kommunikationseinrichtung gemäß der vorliegenden Erfindung die mehreren Register ein Übertragungszyklus-Konfigurationsregister zum Speichern einer Konfiguration eines Zyklus, mit welchem die Kommunikationseinheit eine in dem Übertragungsnachricht-Speicherregister gespeicherte Nachricht überträgt, und die Kommunikationseinrichtung umfasst ferner eine Regulierungseinheit zum Regulieren von Nachrichtenübertragungen mit einem kürzeren Zyklus als dem konfigurierten und im Übertragungszyklus-Konfigurationsregister gespeicherten Zyklus.
  • Außerdem umfasst bei der Kommunikationseinrichtung gemäß der vorliegenden Erfindung die Nachricht Identifizierungsinformationen zum Identifizieren der Nachricht, die mehreren Register umfassen ein Identifizierungsinformationen-Konfigurationsregister zum Speichern einer Konfiguration für die Identifizierungsinformationen, welche ein Speichern in das Übertragungsnachricht-Speicherregister gestatten, und die Kommunikationseinrichtung umfasst ferner eine Einschränkungseinheit zum Einschränken eines Speicherns einer Nachricht mit anderen Identifizierungsinformationen als den in dem Identifizierungsinformationen-Konfigurationsregister gespeicherten in das Übertragungsnachricht-Speicherregister.
  • Außerdem weist die Kommunikationseinrichtung gemäß der vorliegenden Erfindung ferner eine Bedienvorgang-Annahmeeinheit zum Annehmen eines Bedienvorgangs auf, welcher ein Umschalten zwischen dem ersten Modus und dem zweiten Modus betrifft, wobei die Schalteinheit dazu eingerichtet ist, ein Umschalten gemäß dem durch die Bedienvorgang-Annahmeeinheit angenommenen Bedienvorgang durchzuführen.
  • Außerdem weist die Kommunikationseinrichtung gemäß der vorliegenden Erfindung ferner eine mit einer externen Einrichtung zu verbindende Verbindungseinheit auf, wobei die Bedienvorgang-Annahmeeinheit dazu eingerichtet ist, über die Verbindungseinheit einen für die mit der Verbindungseinheit verbundene externe Einrichtung durchgeführten Bedienvorgang anzunehmen.
  • Außerdem weist die Kommunikationseinrichtung gemäß der vorliegenden Erfindung ferner eine Authentifizierungsverarbeitungseinheit zum Durchführen einer Authentifizierungsverarbeitung unter Beteiligung der Kommunikationseinrichtung und der mit der Kommunikationseinrichtung verbundenen externen Einrichtung auf, wobei die Bedienvorgang-Annahmeeinheit dazu eingerichtet ist, einen Bedienvorgang anzunehmen, falls die Authentifizierungsverarbeitung der Authentifizierungsverarbeitungseinheit erfolgreich ist.
  • Außerdem umfasst die Kommunikationseinrichtung gemäß der vorliegenden Erfindung eine Kommunikationseinrichtung mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft; und eine Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts in die Register und Lesen eines Werts aus den Registern der Kommunikationseinheit, ferner aufweisend eine Schalteinheit zum Durchführen eines Umschaltens zwischen einem ersten Modus, bei welchem das Schreiben und Lesen eines Werts für die mehreren Register erlaubt ist, und einem zweiten Modus, bei welchem das Schreiben und Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist, wobei die Verarbeitungseinheit dazu eingerichtet ist, einen Wert in ein Register zu schreiben, das im zweiten Modus bezüglich Schreiben eingeschränkt ist, und nach dem Schreiben des Werts in das Register die Schalteinheit dazu zu veranlassen, ein Umschalten von dem ersten Modus in den zweiten Modus durchzuführen.
  • Außerdem wird bei dem Kommunikationseinschränkungsprogramm gemäß der vorliegenden Erfindung eine Kommunikationseinrichtung, aufweisend: eine Kommunikationseinheit mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft; eine Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts in die Register und Lesen eines Werts aus den Registern der Kommunikationseinheit; und eine Schalteinheit zum Umschalten zwischen einem ersten Modus, bei welchem das Schreiben und Lesen eines Werts für die mehreren Register erlaubt ist, und einem zweiten Modus, bei welchem das Schreiben und Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist, dazu veranlasst, betrieben zu werden als: Mittel zum Schreiben eines Werts in ein Register, das im zweiten Modus bezüglich Schreiben eingeschränkt ist; und Mittel zum Veranlassen der Schalteinheit dazu, nach dem Schreiben eines Werts in das Register von dem ersten Modus in den zweiten Modus umzuschalten.
  • Gemäß der vorliegenden Erfindung umfasst die Kommunikationseinrichtung eine Kommunikationseinheit mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft, und eine Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts in die Register und Lesen eines Werts aus den Registern. Zum Beispiel kann, falls die Kommunikationseinrichtung gemäß dem CAN-Protokoll kommuniziert, als Kommunikationseinheit eine CAN-Steuereinrichtung und als Verarbeitungseinheit eine Zentralverarbeitungseinheit (CPU) verwendet werden. Die Anwendung der vorliegenden Erfindung ist jedoch nicht auf das CAN-Protokoll beschränkt, und die vorliegende Erfindung kann auch auf diverse andere, drahtlose oder drahtgebundene Kommunikationsprotokolle angewendet werden.
  • Gemäß einem Aspekt der vorliegenden Erfindung erfolgt ein Umschalten zwischen dem ersten Modus, bei welchem das Schreiben und Lesen der Register der Kommunikationseinheit erlaubt ist, und dem zweiten Modus, bei welchem das Schreiben und Lesen eines Teils der Register eingeschränkt ist. Als Modus eines vorbestimmten Zeitraums ab Aktivierung der Kommunikationseinrichtung ist der erste Modus festgelegt. Er wird nach Ablauf des vorbestimmten Zeitraums in den zweiten Modus umgeschaltet. Nach dem Umschalten in den zweiten Modus wird der Modus nicht in den ersten Modus umgeschaltet.
  • Demgemäß ist nach Ablauf eines vorbestimmten Zeitraums ab Aktivierung der Kommunikationseinrichtung das Schreiben und Lesen eines Teils der Register der Kommunikationseinrichtung eingeschränkt. Durch Einschränkung der Verwendung einer eine derartige Kommunikation betreffenden Ressource kann eine ungültige Verwendung einer Kommunikationsressource aufgrund eines ungültigen, in die Kommunikationseinrichtung injizierten Programms verhindert werden.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst eine Kommunikationseinrichtung eine erste Speichereinheit, in der ein erstes Programm gespeichert ist, das nach Aktivierung der Kommunikationseinrichtung durch die Verarbeitungseinheit ausgeführt wird, und eine zweite Speichereinheit, in der ein zweites Programm gespeichert ist, das nach Ausführung des ersten Programms durch die Verarbeitungseinheit ausgeführt wird. Was das Umschalten zwischen dem ersten Modus und dem zweiten Modus betrifft, so wird der Zeitraum, während welchem die Verarbeitungseinheit das erste Programm ausführt, als der vorbestimmte Zeitraum festgelegt. Das heißt, des erste Programm wird im ersten Modus ausgeführt, das zweite Programm hingegen im zweiten Modus. Dies kann den Betrieb im ersten Modus, bei dem die Verwendung der Register der Kommunikationseinheit nicht eingeschränkt ist, auf den Ausführungszeitraum des in der ersten Speichereinheit gespeicherten ersten Programms einzuschränken. Selbst wenn ein ungültiges Programm in die zweite Speichereinheit injiziert wird, wird das in der zweiten Speichereinheit gespeicherte ungültige Programm im zweiten Modus ausgeführt, bei welchem die Verwendung der Register der Kommunikationseinheit eingeschränkt ist.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist die erste Speichereinheit derart eingerichtet, dass der Speicherinhalt nicht überschrieben werden kann. Die erste Speichereinheit ist zum Beispiel unter Verwendung eines nicht überschreibbaren Speicherelements wie etwa eines Masken-ROM (Nur-Lese-Speicher) eingerichtet. Dies macht es unmöglich, ein ungültiges Programm in die erste Speichereinheit zu injizieren, wodurch verhindert wird, dass das ungültige Programm im ersten Modus ausgeführt wird.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung konfiguriert das erste Programm, wenn es ausgeführt wird, welche Register im zweiten Modus bezüglich des Schreibens und Lesens eingeschränkt sein sollen. Demgemäß kann ein Register, dessen Verwendung im zweiten Modus eingeschränkt ist, derart konfiguriert werden, dass es den Details der Verarbeitung der eigenen Einrichtung entspricht, wobei die Vielseitigkeit einer Kommunikationseinheit verbessert wird, indem das in der Verwendung eingeschränkte Register variabel gemacht wird.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfassen die mehreren Register der Kommunikationseinheit mehrere Übertragungsnachricht-Speicherregister zum Speichern einer an eine andere Einrichtung zu übertragenden Nachricht. Die Verarbeitungseinheit kann die an eine andere Einrichtung zu übertragende Nachricht im Übertragungsnachricht-Speicherregister der Kommunikationseinheit speichern, um die Nachricht zu übertragen. Im zweiten Modus ist das Schreiben und Lesen für eines oder mehrere der Übertragungsnachricht-Speicherregister eingeschränkt. Dies kann die Verwendung der Übertragungsnachricht-Speicherregister durch ein ungültiges Programm und somit eine ungültige Nachrichtenübertragung verhindern.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfassen die mehreren Register der Kommunikationseinheit ein Übertragungszyklus-Konfigurationsregister zum Speichern einer Konfiguration eines Zyklus, in welchem die Kommunikationseinheit die in dem Übertragungsnachricht-Speicherregister gespeicherte Nachricht überträgt. Die Nachrichtenübertragung durch die Kommunikationseinheit ist derart eingeschränkt, dass sie nicht mit einem Zyklus durchgeführt wird, der kürzer als der Zyklus ist, der durch das Übertragungszyklus-Konfigurationsregister konfiguriert ist, und sie kann somit nur mit einem Zyklus durchgeführt werden, der länger als der konfigurierte Zyklus ist. Der minimale Zyklus für die Nachrichtenübertragung kann dementsprechend durch die Kommunikationseinrichtung definiert sein, wodurch vermieden werden kann, dass ein ungültiges Programm eine häufige Nachrichtenübertragung mit einem Zyklus wiederholt, der kürzer als der minimale Zyklus ist.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst eine durch die Kommunikationseinrichtung übertragene oder empfangene Nachricht Identifizierungsinformationen zum Identifizieren der Nachricht. Bei den Identifizierungsinformationen kann es sich zum Beispiel um eine an die Nachricht angefügte CAN-ID gemäß dem CAN-Protokoll handeln. Die mehreren Register der Kommunikationseinheit umfassen ein Identifizierungsinformationen-Konfigurationsregister zum Speichern von Konfigurationen bezüglich der Identifizierungsinformationen von Nachrichten, deren Speicherung im Übertragungsnachricht-Speicherregister gestattet ist. Das Speichern von Nachrichten im Übertragungsnachricht-Speicherregister der Kommunikationseinheit für Nachrichten, deren angefügte Identifizierungsinformationen im Identifizierungsinformationen-Konfigurationsregister konfiguriert sind, nicht eingeschränkt, während das Speichern von Nachrichten mit anderen angefügten Identifizierungsinformationen eingeschränkt ist. Dadurch ist es möglich, den Typ einer durch die Kommunikationseinrichtung zu übertragenden Nachricht basierend auf den Identifizierungsinformationen einzuschränken und dadurch die Übertragung einer Nachricht mit angefügten ungültigen Identifizierungsinformationen durch ein ungültiges Programm verhindern.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Umschalten zwischen dem ersten Modus und dem zweiten Modus durchgeführt, falls explizit ein Modusumschalt-Bedienvorgang durchgeführt wird. Dies erlaubt es zum Beispiel beim Testen, Herstellen, Warten oder dergleichen eines Fahrzeugs, einen Wert in ein Register zu schreiben.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist ein Verbindungsstück bereitgestellt, das eine externe Einrichtung mit der Kommunikationseinrichtung verbinden kann. Die externe Einrichtung weist eine Bedieneinheit wie einen Schalter oder einen Touchbildschirm auf, welche bei einem Bedienvorgang verwendet werden kann, der eine Modusumschaltung der Kommunikationseinrichtung betrifft. Die Kommunikationseinrichtung nimmt den Bedienvorgang, der bei der externen Einrichtung durchgeführt wird, über das Verbindungsstück an und führt eine Modusumschaltung entsprechend dem angenommenen Bedienvorgang durch.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird eine Authentifizierungsverarbeitung unter Beteiligung der Kommunikationseinrichtung und einer externen Einrichtung durchgeführt. Die Kommunikationseinrichtung nimmt den Bedienvorgang, der die Modusumschaltung betrifft, nur an, wenn die Authentifizierungsverarbeitung erfolgreich ist. Dies erschwert ein Überschreiben des Werts eines Registers durch eine mit dem Verbindungsstück verbundene externe Einrichtung.
  • EFFEKT DER ERFINDUNG
  • Gemäß der vorliegenden Erfindung kann durch Einschränkung der Benutzung eines Registers einer Kommunikationseinheit, welche eine Nachricht an eine andere Einrichtung überträgt bzw. von dieser empfängt, der Übertragung von ungültigen Nachrichten an ein Netzwerk entgegengewirkt werden, die andernfalls durch Einfügung eines ungültigen Programms hätte durchgeführt werden können.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockschaltbild, das die Ausgestaltung eines Kommunikationssystems gemäß einer Ausführungsform der vorliegenden Erfindung veranschaulicht.
  • 2 ist eine schematische Ansicht, die ein Ausgestaltungsbeispiel für eine Registergruppe veranschaulicht.
  • 3 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch den Prozessor einer ECU durchgeführten Verarbeitung veranschaulicht.
  • 4 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch eine CAN-Steuereinrichtung einer ECU durchgeführten Modusumschaltverarbeitung veranschaulicht.
  • 5 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch die CAN-Steuereinrichtung durchgeführten Einschränkungsverarbeitung veranschaulicht.
  • 6 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch die CAN-Steuereinrichtung durchgeführten Einschränkungsverarbeitung veranschaulicht.
  • 7 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch die CAN-Steuereinrichtung durchgeführten Einschränkungsverarbeitung veranschaulicht.
  • 8 ist ein Blockschaltbild, das die Ausgestaltung eines Kommunikationssystems gemäß Ausführungsform 2 veranschaulicht.
  • 9 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch eine ECU gemäß Ausführungsform 2 durchgeführten Modusumschaltverarbeitung veranschaulicht.
  • AUSFÜHRUNGSFORMEN DER ERFINDUNG
  • Ausführungsform 1
  • Die vorliegende Erfindung wird nachstehend unter Bezugnahme auf die Zeichnungen, die Ausführungsformen davon veranschaulichen, eingehend beschrieben. 1 ist ein Blockschaltbild, das die Ausgestaltung eines Kommunikationssystems gemäß der vorliegenden Ausführungsform veranschaulicht. Das Kommunikationssystem gemäß der vorliegenden Ausführungsform ist derart eingerichtet, dass mehrere in einem Fahrzeug (nicht veranschaulicht) eingebaute ECUs (Kommunikationseinrichtungen) 1 mit einem CAN-Bus 2 verbunden sind, über welchen die ECUs 1 miteinander kommunizieren. Da die ECUs 1 hinsichtlich der Kommunikationsfunktion im Wesentlichen die gleiche Ausgestaltung aufweisen, ist eine ECU 1 in 1 ausführlich veranschaulicht, wohingegen die anderen ECUs 1 nicht ausführlich veranschaulicht sind.
  • Die ECU 1 ist dazu eingerichtet, eine Verarbeitungseinheit 10, ein Masken-ROM (erste Speichereinheit) 11, ein EEPROM (zweite Speichereinheit) 12, einen RAM 13, eine Eingabe-/Ausgabeeinheit 14, eine CAN-Steuereinrichtung (Kommunikationseinheit) 15 und so weiter aufzuweisen. Die Verarbeitungseinheit 10 ist mit einer Arithmetikverarbeitungseinrichtung wie einer Zentralverarbeitungseinheit (CPU) oder einer Mikroverarbeitungseinheit (MPU – Micro-Processing Unit) eingerichtet. Die Verarbeitungseinheit 10 liest ein in dem Masken-ROM 11 gespeichertes Bootprogramm 11a und ein in dem EEPROM 12 gespeichertes Anwendungsprogramm 12a aus und führt diese aus, um diverse Arithmetikverarbeitungen, Steuerverarbeitungen und so weiter durchzuführen.
  • Das Masken-ROM 11 ist ein nicht flüchtiges Speicherelement, dessen gespeicherte Informationen (wie etwa Programme und Daten) nicht überschrieben werden können. Gemäß der vorliegenden Ausführungsform ist das durch die Verarbeitungseinheit 10 auszuführende Bootprogramm 11a im Voraus in dem Masken-ROM 11 gespeichert. Das Bootprogramm 11a ist ein Programm, das nach Aktivierung der ECU 1 als erstes durch die Verarbeitungseinheit 10 ausgeführt wird. Die Verarbeitungseinheit 10 führt das Bootprogramm 11a aus, um zum Beispiel Ressourceninitialisierungen und Betriebszustandskonfigurationen der Hardware und Software der ECU 1 durchzuführen. Die Aktivierung der ECU 1 umfasst beispielsweise, dass eine Versorgung der ECU 1 mit Strom begonnen wird, dass ein Stromeinschaltreset freigegeben wird, um den Betrieb diverser Einheiten zu beginnen, oder dass der Benutzer einen Resetschalter bedient, um den Betrieb der ECU 1 zu initialisieren, und der Reset dann freigegeben wird, um den Betrieb diverser Einheiten zu beginnen (sogenannter Neustart).
  • Das EEPROM 12 ist ein nicht flüchtiges Speicherelement, dessen Daten überschreiben werden können. Gemäß der vorliegenden Ausführungsform ist das durch die Verarbeitungseinheit 10 auszuführende Anwendungsprogramm 12a in dem EEPROM 12 gespeichert. Das Anwendungsprogramm 12a ist ein Programm zum Durchführen einer Verarbeitung zum Umsetzen einer für jede ECU 1 spezifischen Funktion. Das Programm kann zum Beispiel für ein Versionsupgrade oder zur Fehlerbehebung im Ganzen oder zum Teil überschrieben werden. Nach der Aktivierung führt die Verarbeitungseinheit 10 eine Verarbeitung für das Bootprogramm 11a und danach eine Verarbeitung für das Anwendungsprogramm 12a durch.
  • Der RAM 13 ist zum Beispiel ein flüchtiges Speicherelement wie etwa ein statischer RAM (SRAM) oder ein dynamischer RAM (DRAM). Im RAM 13 werden verschiedene Arten von Daten vorübergehend gespeichert, welche im Verlauf der von der Verarbeitungseinheit 10 durchgeführten Verarbeitung erzeugt werden.
  • Die Eingabe-/Ausgabeeinheit 14 nimmt eine Signaleingabe zum Beispiel von diversen Arten von Sensoren 3 und dergleichen an, die in einem Fahrzeug eingebaut sind, und gibt ein Steuersignal oder dergleichen an diverse Arten von Stellgliedern 4 aus und so weiter. Die Eingabe-/Ausgabeeinheit 14 ist mit dem Sensor 3, dem Stellglied 4 und dergleichen über Signalleitungen verbunden, über welche Signale ein- und ausgeben werden. Die Eingabe-/Ausgabeeinheit 14 tastet zum Beispiel ein analoges Eingabesignal von dem Sensor 3 ab, wandelt das Signal in digitale Daten und sendet diese an die Verarbeitungseinheit 10. Außerdem gibt die Eingabe-/Ausgabeeinheit 14 gemäß einem von der Verarbeitungseinheit 10 gesendeten Steuerbefehl ein Steuersignal an das Stellglied 4 aus. Es ist nicht immer notwendig, dass die ECU 1 sowohl Eingabe- als auch Ausgabefunktionen für Signale zwischen der ECU 1 und dem Sensor 3, dem Stellglied 4 oder dergleichen aufweist. Sie kann lediglich eine Eingabefunktion, lediglich eine Ausgabefunktion oder keines von beiden aufweisen.
  • Die CAN-Steuereinrichtung 15 überträgt und empfängt eine Nachricht über den CAN-Bus 2 an eine andere bzw. von einer anderen ECU 1, die in dem Fahrzeug eingebaut ist, gemäß der Steuerung der Verarbeitungseinheit 10. Die CAN-Steuereinrichtung 15 gibt zum Beispiel eine von der Verarbeitungseinheit 10 gesendete Übertragungsnachricht als binäres Signal aus dominanten/rezessiven Bits gemäß dem CAN-Protokoll an den CAN-Bus 2 aus, um die Nachricht zu übertragen. Die CAN-Steuereinrichtung 15 bezieht ein Signal von dem CAN-Bus 2 durch Abtasten des Potenzials auf dem CAN-Bus 2, um die Nachricht zu empfangen. Die Verarbeitungseinheit 10 kann die durch die CAN-Steuereinrichtung 15 empfangene Nachricht beziehen, um eine Verarbeitung durchzuführen. Außerdem erkennt die CAN-Steuereinrichtung 15 Kollisionen von an den CAN-Bus 2 übertragenen Nachrichten, arbitriert im Kollisionsfall die Nachrichtenübertragungsreihenfolge und so weiter.
  • Die CAN-Steuereinrichtung 15 gemäß der vorliegenden Ausführungsform weist ferner eine Registergruppe 16 auf. 2 ist eine schematische Ansicht, die ein Ausgestaltungsbeispiel für die Registergruppe 16 veranschaulicht. Die in der CAN-Steuereinrichtung 15 gemäß der vorliegenden Ausführungsform enthaltene Registergruppe 16 weist mehrere Register wie zum Beispiel ein Modusregister, Übertragungsanforderung-Register 1-4, Übertragungsabbruch-Register 1-4, Übertragung-abgeschlossen-Register 1-4, Übertragungsabbruch-abgeschlossen-Register 1-4, Empfang-abgeschlossen-Register 1-4, Übertragungsnachricht-Speicherregister 1-4, Übertragungsberechtigungs-Konfigurationsregister 1-4, Übertragungszyklus-Konfigurationsregister 1-4, Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4, Empfangsnachricht-Speicherregister 1-4, Empfangsberechtigungs-Konfigurationsregister 1-4 und Empfangsidentifizierungsinformationen-Konfigurationsregister 1-4 auf. Die in 2 veranschaulichten Register sind bloße Beispiele und die Register sind nicht darauf eingeschränkt. Die CAN-Steuereinrichtung 15 kann außerdem diverse andere Register aufweisen, die hier nicht veranschaulicht sind, oder manche der veranschaulichten Register nicht aufweisen. In 2 sind Register, für welche Lesen möglich ist, mit „L: erlaubt“ bezeichnet, jene, für welche Lesen und Schreiben möglich ist, mit „L/S: erlaubt“ bezeichnet und jene, für welche weder Lesen noch Schreiben möglich ist, mit „L/S: nicht erlaubt“ bezeichnet.
  • Was die Registergruppe 16 der CAN-Steuereinrichtung 15 betrifft, so ist jedes Register mit einer eindimensionalen Adresse verknüpft. In dem veranschaulichten Beispiel sind die entsprechenden Register mit den hexadezimalen Adressen 0x000 bis 0x030 verknüpft. Die Verarbeitungseinheit 10 kann einen Lesebefehl an die CAN-Steuereinrichtung 15 senden und dabei eine Adresse benennen, um einen Wert auszulesen, der in dem Register gespeichert ist, das durch die Adresse benannt ist. Die Verarbeitungseinheit 10 kann ferner einen Schreibbefehl an die CAN-Steuereinrichtung 15 senden und dabei eine Adresse und Daten benennen, um Daten in das Register zu schreiben, das durch die Adresse benannt ist. Falls jedoch für ein Register nur Lesen eines Werts gestattet ist oder für ein Register weder Lesen noch Schreiben gestattet ist, benachrichtigt gemäß der vorliegenden Erfindung die CAN-Steuereinrichtung 15 die Verarbeitungseinheit 10 über einen Fehler bei einem Lese- bzw. Schreibbefehl, der an ein derartiges Register gesendet wird.
  • Darüber hinaus wird die CAN-Steuereinrichtung 15 gemäß der vorliegenden Ausführungsform in zwei Arten von Betriebsmodi betrieben, nämlich einem Vollsteuerungsmodus und einem Einschränkungsmodus. Der Vollsteuerungsmodus ist ein Modus, bei welchem die Verarbeitungseinheit 10 auf alle Register der Registergruppe 16 zugreifen kann (Register lesen, für welche nur Lesen erlaubt ist, oder Register lesen und schreiben, für welche Lesen und Schreiben erlaubt sind). Der Einschränkungsmodus hingegen ist ein Modus, bei welchem ein Zugriff der Verarbeitungseinheit 10 auf einen Teil der Register der Registergruppe 16 eingeschränkt (unmöglich gemacht) ist und nur auf gestattete Register zugegriffen werden kann. Direkt nach Aktivierung der ECU 1, d. h. direkt nach Aktivierung der CAN-Steuereinrichtung 15, wird die CAN-Steuereinrichtung 15 im Vollsteuerungsmodus betrieben.
  • Das Modusregister der Registergruppe 16 ist ein Register zum Umschalten des Betriebsmodus der CAN-Steuereinrichtung 15. Der Betriebsmodus der CAN-Steuereinrichtung 15 wird von dem Vollsteuerungsmodus in den Einschränkungsmodus umgeschaltet, indem die Verarbeitungseinheit 10 einen vorbestimmten Wert in das Modusregister schreibt. Außerdem darf im Einschränkungsmodus kein Wert in das Modusregister geschrieben werden. Die Verarbeitungseinheit 10 kann den Betriebsmodus der CAN-Steuereinrichtung 15 von dem Vollsteuerungsmodus in den Einschränkungsmodus umschalten, jedoch nicht von dem Einschränkungsmodus in den Vollsteuerungsmodus.
  • Die CAN-Steuereinrichtung 15 weist vier Register (Übertragungsnachricht-Speicherregister 1-4) zum Speichern von an andere ECUs 1 zu übertragenden Nachrichten auf. Die Verarbeitungseinheit 10 kann eine Nachricht in eines der Übertragungsnachricht-Speicherregister 1-4 schreiben und ferner eine Übertragungsanforderung in ein entsprechendes der Übertragungsanforderung-Register 1-4 schreiben, um die Register dazu zu veranlassen, die Nachricht an die CAN-Steuereinrichtung 15 zu übertragen. Die Verarbeitungseinheit 10 kann eine Abbruchanforderung in ein entsprechendes der Übertragungsabbruch-Register 1-4 schreiben, um eine Übertragung abzubrechen, bevor die Nachricht übertragen wird.
  • Die Übertragung-abgeschlossen-Register 1-4 und die Abbruch-abgeschlossen-Register 1-4 der Registergruppe 16 sind Register, in welche die CAN-Steuereinrichtung 15 Werte schreibt. Die CAN-Steuereinrichtung 15 überträgt eine Nachricht gemäß einer Übertragungsanforderung von der Verarbeitungseinheit 10, und, wenn die Übertragung abgeschlossen ist, schreibt sie einen Wert, der angibt, dass die Übertragung abgeschlossen ist, in ein entsprechendes der Übertragung-abgeschlossen-Register 1-4. Außerdem unterbricht die CAN-Steuereinrichtung 15 eine Nachrichtenübertragung entsprechend der Abbruchanforderung von der Verarbeitungseinheit 10, und, wenn die Unterbrechung erfolgreich ist, schreibt sie einen Wert, der angibt, dass der Abbruch abgeschlossen ist, in eines der Abbruch-abgeschlossen-Register 1-4. Wenn jedoch die Unterbrechung der Nachrichtenübertragung fehlschlägt, schreibt die CAN-Steuereinrichtung 15 einen Wert, der angibt, dass der Abbruch fehlschlägt, in eines der Abbruch-abgeschlossen-Register 1-4. Die Verarbeitungseinheit 10 liest die Werte der Übertragung-abgeschlossen-Register 1-4 und der Abbruch-abgeschlossen-Register 1-4 aus, um Verarbeitungsergebnisse der Übertragungsanforderung und der Abbruchanforderung zu bestätigen.
  • Darüber hinaus kann die Verarbeitungseinheit 10 beim Betrieb im Vollsteuerungsmodus alle vier Übertragungsnachricht-Speicherregister 1-4 der vorliegenden Ausführungsform verwenden, wohingegen beim Betrieb im Einschränkungsmodus die Verwendung eines Teils von ihnen eingeschränkt ist. Die Übertragungsberechtigungs-Konfigurationsregister 1-4 der Registergruppe 16 sind Register zum Speichern einer Konfiguration, welche angibt, ob die Verwendung der entsprechenden Übertragungsnachricht-Speicherregister 1-4 im Einschränkungsmodus gestattet ist oder nicht. Während des Betriebs der CAN-Steuereinrichtung 15 im Vollsteuerungsmodus schreibt die Verarbeitungseinheit 10 einen Wert in jedes der Übertragungsberechtigungs-Konfigurationsregister 1-4, der angibt, dass die Verwendung des Registers nicht gestattet ist, um nach Umschalten in den Einschränkungsmodus ein Lesen eines entsprechenden Übertragungsnachricht-Speicherregisters 1-4 und ein Schreiben in dieses unmöglich zu machen. Im Vollsteuerungsmodus ist das Lesen und Schreiben der Übertragungsberechtigungs-Konfigurationsregister 1-4 erlaubt, wohingegen im Einschränkungsmodus das Lesen und Schreiben nicht erlaubt ist; und die Konfiguration kann nicht geändert werden.
  • Die ECU 1 gemäß der vorliegenden Ausführungsform schreibt zum Beispiel Informationen, die angeben, dass die Verwendung gestattet ist, in das Übertragungsberechtigungs-Konfigurationsregister 1, und sie schreibt Informationen, die angeben, dass die Verwendung nicht gestattet ist, in die Übertragungsberechtigungs-Konfigurationsregister 2-4. Nach Umschaltung des Modus vom Vollsteuerungsmodus in den Einschränkungsmodus kann die ECU 1 eine Nachricht unter Verwendung des Übertragungsnachricht-Speicherregisters 1 übertragen, jedoch keine Nachrichten unter Verwendung der Übertragungsnachricht-Speicherregister 2-4 übertragen.
  • Außerdem bestimmt in der vorliegenden Ausführungsform die CAN-Steuereinrichtung 15 für jedes der Übertragungsnachricht-Speicherregister 1-4 einen Zyklus, mit welchem eine in den Übertragungsnachricht-Speicherregistern 1-4 gespeicherte Nachricht übertragen wird. Die CAN-Steuereinrichtung 15 nimmt nach Beendigung der vorhergehenden Nachrichtenübertragung bis zum Ablauf eines vorbestimmten Zeitraums (minimales Übertragungsintervall) keine Übertragungsanforderung, die das entsprechende der Übertragungsnachricht-Speicherregister 1-4 betrifft, von der Verarbeitungseinheit 10 an. Die Übertragungszyklus-Konfigurationsregister 1-4 der Registergruppe 16 sind Register zum Speichern einer Konfiguration eines Übertragungszyklus als vorbestimmten Zeitraum für jedes der Übertragungsnachricht-Speicherregister 1-4. Beim Betrieb der CAN-Steuereinrichtung 15 im Vollsteuerungsmodus schreibt die Verarbeitungseinheit 10 die Konfiguration des Übertragungszyklus in jedes Übertragungszyklus-Konfigurationsregister 1-4, um wie vorstehend beschrieben basierend auf dem Übertragungszyklus eine Einschränkung der Nachrichtenübertragung zu implementieren. Es sei darauf hingewiesen, dass die CAN-Steuereinrichtung 15 eine Nachrichtenübertragung basierend auf dem konfigurierten Übertragungszyklus unabhängig vom Betriebsmodus einschränken kann oder nur im Einschränkungsmodus einschränken kann. Im Vollsteuerungsmodus ist das Lesen und Schreiben der Übertragungszyklus-Konfigurationsregister 1-4 erlaubt, wohingegen im Einschränkungsmodus Schreiben nicht erlaubt ist; und die Konfiguration kann nicht geändert werden. Die Übertragungszyklus-Konfigurationsregister 1-4 können auch dazu eingerichtet sein, im Einschränkungsmodus nicht nur Schreiben, sondern auch Lesen zu einzuschränken.
  • Die ECU 1 gemäß der vorliegenden Ausführungsform schreibt zum Beispiel eine Konfiguration, dass der Übertragungszyklus 100-ms beträgt, in das Übertragungszyklus-Konfigurationsregister 1. Falls die Verwendung der Übertragungsnachricht-Speicherregister 2-4 nicht gestattet ist, wird für die Übertragungszyklus-Konfigurationsregister 2-4 keine Konfiguration benötigt. Nach Umschaltung in den Einschränkungsmodus misst die CAN-Steuereinrichtung 15 mittels einer internen Zeitnehmerfunktion jedes Mal, wenn Übertragungen durchgeführt werden, die ab der Übertragung verstrichene Zeit und nimmt – bis zum Ablauf des konfigurierten Zyklus 100 ms nach Übertragung der vorhergehenden Nachricht – keine Übertragungsanforderung von der Verarbeitungseinheit 10 an. Es sei darauf hingewiesen, dass die CAN-Steuereinrichtung 15 die verstrichene Zeit für jedes der Übertragungsnachricht-Speicherregister 1-4 individuell messen kann.
  • Außerdem kann in der vorliegenden Ausführungsform eine CAN-ID einer Nachricht, die in einem der vier Übertragungsnachricht-Speicherregister 1-4 gespeichert werden kann, für jedes der Übertragungsnachricht-Speicherregister 1-4 bestimmt werden. Falls eine Anforderung zum Schreiben einer Nachricht in eines der Übertragungsnachricht-Speicherregister 1-4 von der Verarbeitungseinheit 10 gesendet wird, wird die von der Verarbeitungseinheit 10 gesendete Nachricht nur dann in das eine der Übertragungsnachricht-Speicherregister 1-4 geschrieben, wenn die in der Nachricht enthaltene CAN-ID eine CAN-ID ist, die für dasjenige der Übertragungsnachricht-Speicherregister 1-4 definiert ist, in welches die Nachricht geschrieben werden soll. Die Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4 der Registergruppe 16 sind Register zum Speichern einer Konfiguration von CAN-IDs der Nachrichten, die in den entsprechenden Übertragungsnachricht-Speicherregistern 1-4 gespeichert werden können. Beim Betrieb der CAN-Steuereinrichtung 15 im Vollsteuerungsmodus schreibt die Verarbeitungseinheit 10 die Konfiguration der CAN-ID in alle Übertragungszyklus-Konfigurationsregister 1-4, um wie vorstehend beschrieben basierend auf der CAN-ID eine Einschränkung der Nachrichtenspeicherung zu implementieren. Es sei darauf hingewiesen, dass die CAN-Steuereinrichtung 15 eine Nachrichtenspeicherung basierend auf der konfigurierten CAN-ID unabhängig vom Betriebsmodus einschränken kann oder nur im Einschränkungsmodus einschränken kann. Im Vollsteuerungsmodus ist das Lesen und Schreiben der Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4 erlaubt, wohingegen im Einschränkungsmodus das Lesen und Schreiben nicht erlaubt ist; und die Konfiguration kann nicht geändert werden.
  • Die ECU 1 gemäß der vorliegenden Ausführungsform schreibt zum Beispiel den Wert „0010“ als CAN-ID in das Übertragungsidentifizierungsinformationen-Konfigurationsregister 1. Falls die Verwendung der Übertragungsnachricht-Speicherregister 2-4 nicht gestattet ist, wird für die Übertragungsidentifizierungsinformationen-Konfigurationsregister 2-4 keine Konfiguration benötigt. Falls die Verarbeitungseinheit 10 nach Umschaltung in den Einschränkungsmodus eine Anforderung zum Schreiben einer Nachricht in das Übertragungsnachricht-Speicherregister 1 sendet, speichert die CAN-Steuereinrichtung 15 eine Nachricht nur dann in dem Übertragungsnachricht-Speicherregister 1, wenn die angefügte CAN-ID der Nachricht „0010“ lautet.
  • Die CAN-Steuereinrichtung 15 weist vier Register (Empfangsnachricht-Speicherregister 1-4) zum Speichern von Nachrichten auf, die von anderen ECUs 1 empfangen wurden. Wenn eine Nachricht von einer anderen ECU 1 empfangen wird, schreibt die CAN-Steuereinrichtung 15 die Nachricht in eines der Empfangsnachricht-Speicherregister 1-4 und schreibt außerdem Informationen, die angeben, dass der Empfang abgeschlossen ist, in ein entsprechendes der Empfang-abgeschlossen-Register 1-4. Die Verarbeitungseinheit 10 liest regelmäßig einen Wert aus einem der Empfang-abgeschlossen-Register 1-4 aus und prüft den Wert, um zu bestimmen, ob eine Nachricht von einer anderen ECU 1 empfangen wurde, und wenn eine Nachricht empfangen wurde, kann sie die Nachricht aus dem entsprechenden der Empfangsnachricht-Speicherregister 1-4 auslesen.
  • Darüber hinaus kann die Verarbeitungseinheit 10 beim Betrieb im Vollsteuerungsmodus alle vier Empfangsnachricht-Speicherregister 1-4 der vorliegenden Ausführungsform verwenden, wohingegen beim Betrieb im Einschränkungsmodus ein Teil von ihnen in der Verwendung eingeschränkt ist. Die Empfangsberechtigungs-Konfigurationsregister 1-4 der Registergruppe 16 sind Register zum Speichern von Konfigurationen, welche angeben, ob die Verwendung der entsprechenden Empfangsnachricht-Speicherregister 1-4 im Einschränkungsmodus gestattet ist oder nicht. Beim Betrieb der CAN-Steuereinrichtung 15 im Vollsteuerungsmodus wird ein Wert, der angibt, dass die Verwendung des Registers nicht gestattet ist, in jedes der Empfangsberechtigungs-Konfigurationsregister 1-4 geschrieben, um nach Umschaltung in den Einschränkungsmodus ein Lesen eines entsprechenden der Empfangsnachricht-Speicherregister 1-4 und ein Schreiben in dieses unmöglich zu machen. Im Vollsteuerungsmodus ist das Lesen und Schreiben der Empfangsberechtigungs-Konfigurationsregister 1-4 erlaubt, wohingegen im Einschränkungsmodus das Schreiben nicht erlaubt ist und die Konfiguration nicht geändert werden kann. Die Empfangsberechtigungs-Konfigurationsregister 1-4 sind dazu eingerichtet, im Einschränkungsmodus nicht nur Schreiben, sondern auch Lesen einzuschränken.
  • Zum Beispiel schreibt die ECU 1 gemäß der vorliegenden Ausführungsform Informationen, die angeben, dass die Verwendung der Register 1, 2 gestattet ist, in die Empfangsberechtigungs-Konfigurationsregister 1, 2 und schreibt Informationen, die angeben, dass die Verwendung der Register 3, 4 nicht gestattet ist, in die Empfangsberechtigungs-Konfigurationsregister 3, 4. Nach Umschaltung des Modus vom Vollsteuerungsmodus in den Einschränkungsmodus kann die ECU 1 Nachrichten unter Verwendung der Empfangsnachricht-Speicherregister 1, 2 übertragen, jedoch nicht unter Verwendung der Empfangsnachricht-Speicherregister 3, 4.
  • Außerdem können in der vorliegenden Ausführungsform die CAN-IDs von Nachrichten, die in den vier Empfangsnachricht-Speicherregistern 1-4 gespeichert werden können, für jedes der Nachricht-Speicherregister 1-4 bestimmt sein. Falls eine Nachricht von einer anderen ECU 1 empfangen wird, schreibt die CAN-Steuereinrichtung 15 die Nachricht nur dann in das entsprechende der Empfangsnachricht-Speicherregister 1-4, wenn die in der empfangenen Nachricht enthaltene CAN-ID eine CAN-ID ist, die für eines der Empfangsnachricht-Speicherregister 1-4 definiert ist. Die Empfangsidentifizierungsinformationen-Konfigurationsregister 1-4 der Registergruppe 16 sind Register zum Konfigurieren von CAN-IDs von Nachrichten, die in den entsprechenden Empfangsnachricht-Speicherregistern 1-4 gespeichert werden können. Beim Betrieb der CAN-Steuereinrichtung 15 im Vollsteuerungsmodus schreibt die Verarbeitungseinheit 10 die CAN-ID-Konfiguration in jedes Empfangszyklus-Konfigurationsregister 1-4, um wie vorstehend beschrieben eine auf der CAN-ID basierende Einschränkung der Nachrichtenspeicherung umzusetzen. Es sei darauf hingewiesen, dass die CAN-Steuereinrichtung 15 eine Nachrichtenspeicherung basierend auf der konfigurierten CAN-ID unabhängig vom Betriebsmodus einschränken kann oder nur im Einschränkungsmodus einschränken kann. Im Vollsteuerungsmodus ist das Lesen und Schreiben der Empfangsidentifizierungsinformationen-Konfigurationsregister 1-4 erlaubt, wohingegen im Einschränkungsmodus das Lesen und Schreiben nicht erlaubt ist; und die Konfiguration kann nicht geändert werden.
  • Die ECU 1 gemäß der vorliegenden Ausführungsform schreibt zum Beispiel als CAN-ID den Wert „0012“ in das Empfangsidentifizierungsinformationen-Konfigurationsregister 1 und den Wert „0020“ in das Empfangsidentifizierungsinformationen-Konfigurationsregister 2. Falls die Verwendung der Empfangsnachricht-Speicherregister 3, 4 nicht gestattet ist, wird für die Empfangsidentifizierungsinformationen-Konfigurationsregister 3, 4 keine Konfiguration benötigt. Nach Umschaltung in den Einschränkungsmodus speichert die CAN-Steuereinrichtung 15 die Nachricht nur dann in den Empfangsnachricht-Speicherregistern 1, 2, wenn die in der Empfangsnachricht enthaltene CAN-ID „0012“ oder „0020“ lautet. Wenn eine Nachricht mit einer anderen CAN-ID als den vorstehend beschriebenen empfangen wird, verwirft die CAN-Steuereinrichtung 15 die empfangene Nachricht.
  • Daher schränkt die CAN-Steuereinrichtung 15 gemäß der vorliegenden Ausführungsform im Einschränkungsmodus den Zugriff auf die Registergruppe 16 ein. Direkt nach Aktivierung der ECU 1 beginnt die CAN-Steuereinrichtung 15 den Betrieb im Vollsteuerungsmodus. Die Verarbeitungseinheit 10 liest nun das im Masken-ROM 11 gespeicherte Bootprogramm 11a aus und führt es aus. Die Verarbeitungseinheit 10, welche jetzt das Bootprogramm 11a ausführt, kann ohne jegliche Einschränkung auf die Registergruppe 16 der CAN-Steuereinrichtung 15 zugreifen. Das Bootprogramm 11a ist ein Programm zum anfänglichen Konfigurieren der ECU 1, und die Verarbeitungseinheit 10 führt das Programm aus, um Bedingungen zur Einschränkung des Zugriffs auf die Registergruppe 16 der CAN-Steuereinrichtung 15 zu konfigurieren. Das heißt, die Verarbeitungseinheit 10 führt das Bootprogramm 11a aus, um die Verfügbarkeit der Übertragungsnachricht-Speicherregister 1-4 für die Übertragungsberechtigungs-Konfigurationsregister 1-4 zu konfigurieren, um Übertragungszyklen für die Übertragungszyklus-Konfigurationsregister 1-4 zu konfigurieren, um CAN-IDs für die Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4 zu konfigurieren, um die Verfügbarkeit der Empfangsnachricht-Speicherregister 1-4 für die Empfangsberechtigungs-Konfigurationsregister 1-4 zu konfigurieren, um CAN-IDs für die Empfangsidentifizierungsinformationen-Konfigurationsregister 1-4 zu konfigurieren und so weiter.
  • Nach Beenden des Konfigurierens dieser Register schreibt die Verarbeitungseinheit 10, welche das Bootprogramm 11a ausführt, einen Wert in ein Modusregister, um den Betriebsmodus der CAN-Steuereinrichtung 15 vom Vollsteuerungsmodus in den Einschränkungsmodus umzuschalten. Nach Abschluss des Umschaltens in den Einschränkungsmodus beendet die Verarbeitungseinheit 10 die Ausführung des Bootprogramms 11a und beginnt mit der Ausführung des im EEPROM 12 gespeicherten Anwendungsprogramms 12a. Während der Ausführung des Anwendungsprogramms 12a wird die CAN-Steuereinrichtung 15 im Einschränkungsmodus betrieben, so dass der Zugriff auf die Registergruppe 16 eingeschränkt ist. Die CAN-Steuereinrichtung 15 kann, nachdem sie in den Einschränkungsmodus umgeschaltet wurde, den Modus nicht in den Vollsteuerungsmodus umschalten. Die CAN-Steuereinrichtung 15 kann sich nur im Vollsteuerungsmodus befinden, falls zum Beispiel die Stromversorgung wiederhergestellt wird, nachdem die ECU 1 ausgeschaltet war, oder falls die ECU 1 durch einen Resetvorgang oder dergleichen neu gestartet wird.
  • Das Bootprogramm 11a kann somit im Voraus geeignet erstellt werden, um die Bedingungen zur Einschränkung des Zugriffs auf die Registergruppe 16 derart zu konfigurieren, dass ein Register, das zum Ausführen des Anwendungsprogramms 12a nötig ist, verfügbar ist und ein für derartiges Ausführen unnötiges Register nicht verfügbar ist.
  • Die Ausgestaltung der vorliegenden Ausführungsform ist zwar derart, dass die Verarbeitungseinheit 10 einen Wert in ein Modusregister schreibt, um die CAN-Steuereinrichtung 15 dazu zu veranlassen, den Betriebsmodus vom Vollsteuerungsmodus in den Einschränkungsmodus umzuschalten, die Ausgestaltung ist jedoch nicht darauf eingeschränkt. Die Ausgestaltung kann auch derart sein, dass die CAN-Steuereinrichtung 15 zum Beispiel die seit der Aktivierung verstrichene Zeit (z. B. die Anzahl Taktzyklen) misst, und wenn eine vorbestimmte Zeit verstreicht, dann wird der Betriebsmodus zwangsweise vom Vollsteuerungsmodus in den Einschränkungsmodus umgeschaltet, selbst wenn die Verarbeitungseinheit 10 kein Schreiben in das Modusregister durchführt. In diesem Fall kann zum Beispiel eine für das Ausführen des Bootprogramms 11a benötigte Zeitdauer als die vorbestimmte Zeit konfiguriert sein, die als Umschaltkriterium verwendet wird. Die vorbestimmte Zeit kann jedoch unabhängig von der Ausführungsdauer des Bootprogramms 11a festgelegt sein, und in diesem Fall dient die vorbestimmte Zeit bis zur Modusumschaltung als Einschränkungsbedingung für die Erstellung des Bootprogramms 11a.
  • 3 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch die Verarbeitungseinheit 10 zur Aktivierungszeit in einer ECU 1 durchgeführten Verarbeitung veranschaulicht. Die Verarbeitungseinheit 10 in der ECU 1 gemäß der vorliegenden Erfindung aktiviert oder reaktiviert die ECU 1, um zum Beispiel durch einen Reset-IC einen Stromeinschaltreset durchzuführen, und danach wird der Stromeinschaltreset freigegeben (Schritt S1), um die Verarbeitung zu beginnen. Als Erstes liest die Verarbeitungseinheit 10 das im Masken-ROM 11 gespeicherte Bootprogramm 11a aus und beginnt mit dessen Ausführung (Schritt S2). Die Verarbeitungseinheit 10, die das Bootprogramm 11a ausführt, konfiguriert Bedingungen zur Einschränkung des Zugriffs auf die Registergruppe 16 durch Schreiben von Konfigurationswerten für die Übertragungsberechtigungs-Konfigurationsregister 1-4, Übertragungszyklus-Konfigurationsregister 1-4, Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4, Empfangsberechtigungs-Konfigurationsregister 1-4 und Empfangsidentifizierungsinformationen-Konfigurationsregister 1-4, welche in der Registergruppe 16 der CAN-Steuereinrichtung 15 enthalten sind (Schritt S3).
  • Nach Abschluss der Konfiguration von Bedingungen zur Einschränkung des Zugriffs schreibt die Verarbeitungseinheit 10, die das Bootprogramm 11a ausführt, einen Wert in ein Modusregister, das in der Registergruppe 16 der CAN-Steuereinrichtung 15 enthalten ist, um den Modus vom Vollsteuerungsmodus in den Einschränkungsmodus umzuschalten (Schritt S4). Nach Abschluss der Modusumschaltung in der CAN-Steuereinrichtung 15 beendet die Verarbeitungseinheit 10 die Ausführung des Bootprogramms 11a, liest das im EEPROM 12 gespeicherte Anwendungsprogramm 12a aus und beginnt mit dessen Ausführung (Schritt S5) und beendet die Aktivierungs-Verarbeitung.
  • 4 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch die CAN-Steuereinrichtung 15 in der ECU 1 durchgeführten Modusumschaltverarbeitung veranschaulicht. Durch Aktivieren, Reaktivieren oder dergleichen der ECU 1 führt die CAN-Steuereinrichtung 15 der ECU 1 gemäß der vorliegenden Ausführungsform einen Stromeinschaltreset zum Beispiel mittels eines Reset-ICs durch, und danach wird der Stromeinschaltreset freigegeben (Schritt S11), um die Verarbeitung zu beginnen. Die CAN-Steuereinrichtung 15 beginnt damit, die seit der Aktivierung verstrichene Zeit mittels einer internen Zeitnehmerfunktion oder dergleichen zu messen (Schritt S12). Außerdem wird die CAN-Steuereinrichtung 15 nach Aktivierung im Vollsteuerungsmodus betrieben (Schritt S13).
  • Die CAN-Steuereinrichtung 15 bestimmt, basierend darauf, ob ein Wert zum Umschalten in den Einschränkungsmodus in ein Modusregister der Registergruppe 16 geschrieben wurde oder nicht, ob eine Anweisung zur Modusumschaltung von der Verarbeitungseinheit 10 bereitgestellt wurde oder nicht (Schritt S14). Wenn die Anweisung zur Modusumschaltung nicht bereitgestellt wurde (S14: NEIN), bestimmt die CAN-Steuereinrichtung 15 ferner, ob ein vorbestimmter Zeitraum seit der Aktivierung, als die Zeitmessung in Schritt S12 begonnen wurde, abgelaufen ist oder nicht (Schritt S15). Wenn der vorbestimmte Zeitraum seit der Aktivierung nicht abgelaufen ist (S15: NEIN), kehrt die CAN-Steuereinrichtung 15 mit der Verarbeitung zu Schritt S13 zurück und setzt den Betrieb im Vollsteuerungsmodus fort.
  • Wenn die Anweisung zur Modusumschaltung bereitgestellt wurde (S14: JA) oder wenn der vorbestimmte Zeitraum seit der Aktivierung abgelaufen ist (S15: JA), schaltet die CAN-Steuereinrichtung 15 den Modus vom Vollsteuerungsmodus in den Einschränkungsmodus um (Schritt S16). Außerdem beendet die CAN-Steuereinrichtung 15 die in Schritt S12 begonnene Zeitmessung (Schritt S16). Danach wird die CAN-Steuereinrichtung 15 fortgesetzt im Einschränkungsmodus betrieben (Schritt S18).
  • 5 ist ein Flussdiagramm, das einen Arbeitsablauf einer Einschränkungsverarbeitung zum Zeitpunkt einer Nachrichtenübertragungsanforderung veranschaulicht, welche durch die CAN-Steuereinrichtung 15 durchgeführt wird, wobei es sich um eine auf der CAN-ID basierende Einschränkungsverarbeitung handelt. Die CAN-Steuereinrichtung 15 bestimmt, ob eine Anforderung zum Schreiben einer Nachricht von der Verarbeitungseinheit 10 an eines der Übertragungsnachricht-Speicherregister 1-4 gesendet wurde oder nicht (Schritt S21). Wenn keine Anforderung zum Schreiben einer Nachricht gesendet wurde (S21: NEIN), wartet die CAN-Steuereinrichtung 15, bis die Anforderung zum Schreiben gesendet wird. Wenn die Anforderung zum Schreiben einer Nachricht gesendet wurde (S21: JA), bestimmt die CAN-Steuereinrichtung 15, ob es sich bei ihrem eigenen Betriebsmodus um den Einschränkungsmodus handelt oder nicht (Schritt S22).
  • Wenn der Betriebsmodus der Einschränkungsmodus ist (S22: JA), dann prüft die CAN-Steuereinrichtung 15 einen Wert desjenigen der Übertragungsberechtigungs-Konfigurationsregister 1-4, welches demjenigen der Übertragungsnachricht-Speicherregister 1-4 entspricht, an welches die Anforderung zum Schreiben gerichtet ist (Schritt S23). Die CAN-Steuereinrichtung 15 bestimmt anhand des in Schritt S23 erzielten Ergebnisses, ob die Verwendung desjenigen der Übertragungsnachricht-Speicherregister 1-4, an welches die Anforderung zum Schreiben gerichtet ist, gestattet ist oder nicht (Schritt S24). Wenn dessen Verwendung nicht gestattet ist (S24: NEIN), benachrichtigt die CAN-Steuereinrichtung 15 die Verarbeitungseinheit 10 über einen Fehler (Schritt S29) und kehrt mit der Verarbeitung zu Schritt S21 zurück.
  • Wenn die Verwendung des einen der Übertragungsnachricht-Speicherregister 1-4 gestattet ist (S24: JA), bezieht die CAN-Steuereinrichtung 15 eine CAN-ID, die in der von der Verarbeitungseinheit 10 gesendeten Nachricht enthalten ist (Schritt S25). Die CAN-Steuereinrichtung 15 prüft den Wert desjenigen der Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4, welches demjenigen der Übertragungsnachricht-Speicherregister 1-4 entspricht, an welches die Anforderung zum Schreiben gerichtet ist, (Schritt S26) und bestimmt, ob die in Schritt S25 bezogene CAN-ID eine CAN-ID ist, für welche Speichern in dem einen der Übertragungsnachricht-Speicherregister 1-4 gestattet ist, oder nicht (Schritt S27). Wenn für die CAN-ID Speichern gestattet ist (S27: JA), speichert die CAN-Steuereinrichtung 15 die von der Verarbeitungseinheit 10 gesendete Nachricht in dem einen der Übertragungsnachricht-Speicherregister 1-4 (Schritt S28) und kehrt mit der Verarbeitung zu Schritt S21 zurück. Wenn für die CAN-ID Speichern nicht gestattet ist (S27: NEIN), benachrichtigt die CAN-Steuereinrichtung 15 die Verarbeitungseinheit 10 über einen Fehler (Schritt S29) und kehrt mit der Verarbeitung zu Schritt S21 zurück.
  • Wenn der Betriebsmodus nicht der Einschränkungsmodus ist (S22: NEIN), d. h., wenn der Betriebsmodus der Vollsteuerungsmodus ist, speichert die CAN-Steuereinrichtung 15 die von der Verarbeitungseinheit 10 gesendete Nachricht in einem der Übertragungsnachricht-Speicherregister 1-4 (Schritt S28) und kehrt mit der Verarbeitung zu Schritt S21 zurück.
  • 6 ist ein Flussdiagramm, das einen Arbeitsablauf einer Einschränkungsverarbeitung zum Zeitpunkt einer Nachrichtenübertragungsanforderung veranschaulicht, die durch die CAN-Steuereinrichtung 15 durchgeführt wird, wobei es sich um eine auf einem Übertragungszyklus basierende Einschränkungsverarbeitung handelt. Falls die CAN-Steuereinrichtung 15 eine Nachrichtenübertragung durchführt, verwendet sie ihre Zeitnehmerfunktion, um eine Verarbeitung zum Messen der seit der Nachrichtenübertragung verstrichenen Zeit durchzuführen. Die CAN-Steuereinrichtung 15 bestimmt, ob eine Anforderung zur Übertragung einer Nachricht an eine andere ECU 1 von der Verarbeitungseinheit 10 gesendet wurde oder nicht (Schritt S31). Wenn keine Übertragungsanforderung gesendet wurde (S31: NEIN), wartet die CAN-Steuereinrichtung 15, bis die Übertragungsanforderung gesendet wird. Wenn die Übertragungsanforderung gesendet wurde (S31: JA), bestimmt die CAN-Steuereinrichtung 15, ob es sich bei ihrem Betriebsmodus um den Einschränkungsmodus handelt oder nicht (Schritt S32).
  • Wenn der Betriebsmodus der Einschränkungsmodus ist (S32: JA), dann prüft die CAN-Steuereinrichtung 15 den Wert desjenigen der Übertragungsberechtigungs-Konfigurationsregister 1-4, welches demjenigen der Übertragungsanforderung-Register 1-4 entspricht, an welches eine Übertragungsanforderung gerichtet ist (Schritt S33). Die CAN-Steuereinrichtung 15 bestimmt anhand des in Schritt S33 erzielten Ergebnisses, ob die Nachrichtenübertragung für dasjenige der Übertragungsnachricht-Speicherregister 1-4, an welches die Anforderung gerichtet ist, gestattet ist oder nicht (Schritt S34). Wenn die Nachrichtenübertragung nicht gestattet ist (S34: NEIN), benachrichtigt die CAN-Steuereinrichtung 15 die Verarbeitungseinheit 10 über einen Fehler (Schritt S39) und kehrt mit der Verarbeitung zu Schritt S31 zurück.
  • Wenn die Nachrichtenübertragung gestattet ist (S34: JA), bezieht die CAN-Steuereinrichtung 15 die Zeit, die seit der vorhergehenden Übertragung einer in dem entsprechenden der Übertragungsnachricht-Speicherregister 1-4 gespeicherten Nachricht verstrichen ist (Schritt S35). Die CAN-Steuereinrichtung 15 prüft den Wert desjenigen der Übertragungszyklus-Konfigurationsregister 1-4, welches demjenigen der Übertragungsnachricht-Speicherregister 1-4 entspricht, an welches eine Übertragungsanforderung gerichtet ist (Schritt S36). Die CAN-Steuereinrichtung 15 bestimmt, ob die in Schritt S35 bezogene, seit der vorhergehenden Übertragung verstrichene Zeit länger als der konfigurierte Übertragungszyklus für das eine der Übertragungszyklus-Konfigurationsregister 1-4 ist oder nicht (Schritt S37). Wenn der Übertragungszyklus abgelaufen ist (S37: JA), liest die CAN-Steuereinrichtung 15 eine Nachricht aus, die in demjenigen der Übertragungsnachricht-Speicherregister 1-4 gespeichert ist, welches der Übertragungsanforderung entspricht, und führt eine Nachrichtenübertragung durch Ausgeben der Nachricht an den CAN-Bus 2 durch (Schritt S38) und kehrt mit der Verarbeitung zu Schritt S31 zurück. Wenn der Übertragungszyklus nicht abgelaufen ist (S37: NEIN), benachrichtigt die CAN-Steuereinrichtung 15 die Verarbeitungseinheit 10 über einen Fehler (Schritt S39) und kehrt mit der Verarbeitung zu Schritt S31 zurück.
  • Wenn der Betriebsmodus kein Einschränkungsmodus ist (S32: NEIN), d. h., wenn der Betriebsmodus der Vollsteuerungsmodus ist, liest die CAN-Steuereinrichtung 15 eine Nachricht aus, die in demjenigen der Übertragungsnachricht-Speicherregister 1-4 gespeichert ist, welches der Übertragungsanforderung entspricht, und führt eine Nachrichtenübertragung durch Ausgeben der Nachricht an den CAN-Bus 2 durch (Schritt S38) und kehrt mit der Verarbeitung zu Schritt S31 zurück.
  • 7 ist ein Flussdiagramm, das einen Arbeitsablauf einer Einschränkungsverarbeitung zum Zeitpunkt eines Nachrichtenempfangs veranschaulicht, die durch die CAN-Steuereinrichtung 15 durchgeführt wird, wobei es sich um eine Einschränkungsverarbeitung handelt, die Nachrichtenempfang betrifft. Die CAN-Steuereinrichtung 15 bestimmt, ob eine Nachricht von einer anderen ECU 1 empfangen wurde oder nicht (Schritt S51). Wenn keine Nachricht empfangen wurde (S51: NEIN), wartet die CAN-Steuereinrichtung 15, bis die Nachricht von einer anderen ECU 1 empfangen wird. Wenn die Nachricht von der anderen ECU 1 empfangen wurde (S51: JA), bestimmt die CAN-Steuereinrichtung 15, ob es sich bei ihrem Betriebsmodus um den Einschränkungsmodus handelt oder nicht (Schritt S52).
  • Wenn der Betriebsmodus der Einschränkungsmodus ist (S52: JA), bezieht die CAN-Steuereinrichtung 15 eine CAN-ID, die in der von der anderen ECU 1 empfangenen Nachricht enthalten ist (Schritt S53). Die CAN-Steuereinrichtung 15 prüft außerdem die Werte der Empfangsberechtigungs-Konfigurationsregister 1-4 der Registergruppe 16 (Schritt S54) und sowie die Werte der Empfangsidentifizierungsinformationen-Konfigurationsregister 1-4 (Schritt S55). Basierend darauf, ob die aus der Empfangsnachricht bezogene CAN-ID mit einer CAN-ID, die für eines der Empfangsnachricht-Speicherregister 1-4 konfiguriert ist, deren Verwendung gestattet ist, übereinstimmt oder nicht, bestimmt die CAN-Steuereinrichtung 15, ob der Empfang dieser Nachricht gestattet ist oder nicht (S56).
  • Wenn der Empfang der Nachricht gestattet ist (S56: JA), speichert die CAN-Steuereinrichtung 15 die von der anderen ECU 1 empfangene Nachricht in demjenigen der Empfangsnachricht-Speicherregister 1-4, für welches die CAN-ID dieser Nachricht als Empfangsberechtigungs-ID konfiguriert ist (Schritt S57). Anschließend schreibt die CAN-Steuereinrichtung 15 Informationen, die angeben, dass der Empfang abgeschlossen ist, in dasjenige der Empfang-abgeschlossen-Register 1-4, welches demjenigen der Empfangsnachricht-Speicherregister 1-4 entspricht, in welchem die Nachricht gespeichert wurde, (Schritt S58) und kehrt mit der Verarbeitung zu Schritt S51 zurück. Wenn der Empfang der Nachricht nicht gestattet ist (S56: NEIN), verwirft die CAN-Steuereinrichtung 15 die empfangene Nachricht (Schritt S59) und kehrt mit der Verarbeitung zu Schritt S51 zurück.
  • Wenn der Betriebsmodus nicht der Einschränkungsmodus ist (S52: NEIN), d. h., wenn der Betriebsmodus der Vollsteuerungsmodus ist, speichert die CAN-Steuereinheit 15 außerdem die von der anderen ECU 1 empfangene Nachricht in einem der Empfangsnachricht-Speicherregister 1-4 (Schritt S57), und sie schreibt die Informationen, die angeben, dass der Empfang abgeschlossen ist, in das entsprechende der Empfang-abgeschlossen-Register 1-4 (Schritt S58) und kehrt mit der Verarbeitung zu Schritt S51 zurück.
  • Die ECU 1 gemäß der vorliegenden Ausführungsform mit der vorstehenden Ausgestaltung umfasst die CAN-Steuereinrichtung 15 mit der Registergruppe 16, in welcher ein Wert betreffend Kommunikation mit einer anderen ECU 1 gespeichert ist, sowie die Verarbeitungseinheit 10, welche eine Kommunikationsverarbeitung durch Schreiben und Lesen eines Werts für die Registergruppe 16 durchführt. Die ECU 1 schaltet den Modus zwischen dem Vollsteuerungsmodus (erster Modus), welcher Schreiben und Lesen bezüglich der Registergruppe 16 der CAN-Steuereinrichtung 15 erlaubt, und dem Einschränkungsmodus (zweiter Modus) um, welcher Schreiben und Lesen für einen Teil der Register der Registergruppe 16 einschränkt (unterbindet). Die ECU 1 befindet sich während eines vorbestimmten Zeitraums ab Aktivierung im Vollsteuerungsmodus und schaltet nach Ablauf des vorbestimmten Zeitraums vom Vollsteuerungsmodus in den Einschränkungsmodus um. Nach dem Umschalten in den Einschränkungsmodus schaltet die ECU 1 den Modus nicht in den Vollsteuerungsmodus um.
  • Demgemäß wird nach Ablauf des vorbestimmten Zeitraums ab Aktivierung der ECU 1 ein Zustand erreicht, in welchem Schreiben und Lesen bezüglich eines Teils der Register der CAN-Steuereinrichtung 15 eingeschränkt ist. Durch Einschränkung der Verwendung einer Ressource, die Kommunikation betrifft, kann eine ungültige Verwendung einer Kommunikationsressource basierend auf einem ungültigen Programm, das in die ECU 1 injiziert wird, eingeschränkt werden. Die ECU 1 gemäß der vorliegenden Ausführungsform schränkt die Verwendung der Register der CAN-Steuereinrichtung 15 ein, welche Nachrichten an eine andere ECU 1 übertragen bzw. von dieser empfangen, wodurch einer durch Einfügung einer ungültigen Nachricht veranlasste ungültigen Nachrichtenübertragung an das Netzwerk entgegengewirkt werden kann.
  • Außerdem weist die ECU 1 ein Masken-ROM 11 (erste Speichereinheit), in welchem das Bootprogramm 11a (erstes Programm) gespeichert ist, das nach Aktivierung durch die Verarbeitungseinheit 10 ausgeführt wird, und ein EEPROM 12 (zweite Speichereinheit) auf, in welchem das Anwendungsprogramm 12a (zweites Programm) gespeichert ist, das nach Ausführung des Bootprogramms 11a durch die Verarbeitungseinheit 10 ausgeführt wird. Was das Umschalten zwischen dem Vollsteuerungsmodus und dem Einschränkungsmodus betrifft, so wird der Zeitraum, in dem die Verarbeitungseinheit 10 das Bootprogramm 11a ausführt, als der vorstehend beschriebene vorbestimmte Zeitraum konfiguriert. Das heißt, das Bootprogramm 11a wird im Vollsteuerungsmodus ausgeführt, wohingegen das Anwendungsprogramm 12a im Einschränkungsmodus ausgeführt wird. Dies kann den Betrieb im Vollsteuerungsmodus ohne Einschränkungen der Verwendung der Registergruppe 16 der CAN-Steuereinrichtung 15 auf den Zeitraum der Ausführung des im Masken-ROM 11 gespeicherten Bootprogramms 11a begrenzen. Selbst wenn ein ungültiges Programm in das EEPROM 12 injiziert wird, wird das im EEPROM 12 gespeicherte ungültige Programm im Einschränkungsmodus ausgeführt, welcher die Verwendung der Registergruppe 16 der CAN-Steuereinrichtung 15 eingeschränkt.
  • Als Speichereinheit, in welcher das Bootprogramm 11a der ECU 1 gespeichert ist, wird das Masken-ROM 11 verwendet, bei welchem der Speicherinhalt nicht überschrieben werden kann. Da es unmöglich ist, ein ungültiges Programm in das Masken-ROM 11 zu injizieren, kann das ungültige Programm nicht im Vollsteuerungsmodus ausgeführt werden.
  • Außerdem führt die ECU 1 das Bootprogramm 11a bei der Verarbeitungseinheit 10 aus, um zwecks Bestimmung, welches Register im Einschränkungsmodus bezüglich Schreiben und Lesen eingeschränkt sein soll, ein Konfigurieren durchzuführen. Die ECU 1 schreibt zum Beispiel Werte in die Übertragungsberechtigungs-Konfigurationsregister 1-4 und führt ein Konfigurieren durch, um festzulegen, welches der Übertragungsnachricht-Speicherregister 1-4 nach einer Umschaltung in den Einschränkungsmodus verfügbar ist. Außerdem schreibt die ECU 1 zum Beispiel Werte in die Empfangsberechtigungs-Konfigurationsregister 1-4 und führt ein Konfigurieren durch, um festzulegen, welches der Empfangsnachricht-Speicherregister 1-4 nach einer Umschaltung in den Einschränkungsmodus verfügbar ist. Dementsprechend können Register, deren Verwendung im Einschränkungsmodus eingeschränkt ist, derart konfiguriert sein, dass sie sich für die Verarbeitungsdetails der zugehörigen Einrichtung eignen. Darüber hinaus können Register, deren Verwendung im Einschränkungsmodus eingeschränkt ist, derart variabel gemacht werden, dass die Vielseitigkeit der CAN-Steuereinrichtung 15 verbessert sein kann.
  • Die Registergruppe 16 der CAN-Steuereinrichtung 15 umfasst vier Übertragungsnachricht-Speicherregister 1-4 zum Speichern von an eine andere ECU 1 zu übertragenden Nachrichten. Die Verarbeitungseinheit 10 kann eine Nachricht übertragen, indem sie die an die andere ECU 1 zu übertragende Nachricht in einem der Übertragungsnachricht-Speicherregister 1-4 speichert. Im Einschränkungsmodus ist das Schreiben und Lesen für eines oder mehrere der vier Übertragungsnachricht-Speicherregister 1-4 eingeschränkt. Dies kann die auf einem ungültigen Programm basierende Verwendung der Übertragungsnachricht-Speicherregister 1-4 und somit eine ungültige Nachrichtenübertragung unterbinden.
  • Darüber hinaus umfasst die Registergruppe 16 der CAN-Steuereinrichtung 15 Übertragungszyklus-Konfigurationsregister 1-4, in denen die Konfiguration von Zyklen gespeichert ist, mit welchen die CAN-Steuereinrichtung 15 die in den Übertragungsnachricht-Speicherregistern 1-4 gespeicherten Nachrichten überträgt. Die Nachrichtenübertragung durch die CAN-Steuereinrichtung 15 ist derart eingeschränkt (unterbunden), dass sie nicht mit einem Zyklus durchgeführt wird, der kürzer als der Zyklus ist, der durch die Übertragungszyklus-Konfigurationsregister 1-4 konfiguriert ist, und sie kann somit nur mit einem Zyklus durchgeführt werden, der länger als der konfigurierte Zyklus ist. Demgemäß kann der minimale Zyklus für Nachrichtenübertragung durch die ECU 1 definiert sein, wodurch vermieden werden kann, dass ein ungültiges Programm eine häufige Nachrichtenübertragung mit einem Zyklus wiederholt, der kürzer als der minimale Zyklus ist.
  • Darüber hinaus umfasst die Registergruppe 16 der CAN-Steuereinrichtung 15 Übertragungsidentifizierungsinformationen-Konfigurationsregister 1-4, in denen eine Konfiguration gespeichert ist, welche die CAN-IDs von Nachrichten betrifft, deren Speicherung in den Übertragungsnachricht-Speicherregistern 1-4 gestattet ist. Das Speichern von Nachrichten in den Übertragungsnachricht-Speicherregistern 1-4 der CAN-Steuereinrichtung 15 ist auf Nachrichten begrenzt, deren angefügte CAN-ID in einem der Identifizierungsinformationen-Konfigurationsregister 1-4 konfiguriert ist, und das Speichern von Nachrichten mit einer anderen CAN-ID ist eingeschränkt (unterbunden). Dies kann den Typ einer durch die ECU 1 zu übertragenden Nachricht basierend auf der CAN-ID einschränken und dadurch verhindern, dass ein ungültiges Programm eine Nachricht mit einer ungültigen angefügten CAN-ID überträgt.
  • Die vorliegende Ausführungsform beschreibt zwar eine Ausgestaltung, bei welcher jede im fahrzeugeigenen Kommunikationssystem enthaltene ECU 1 gemäß dem CAN-Protokoll kommuniziert, sie ist jedoch nicht derart eingeschränkt. Es kann auch eine Ausgestaltung verwendet werden, bei welcher ECUs 1 gemäß einem Protokoll kommunizieren, das von CAN verschieden ist, wie zum Beispiel TCP/IP, Ethernet (eingetragenes Warenzeichen) oder FlexRay. Zwar wurde beispielhaft das in einem Fahrzeug eingebaute Kommunikationssystem, die vorliegende technische Lehre ist jedoch nicht auf das beschriebene Beispiel eingeschränkt und kann auch auf ein Kommunikationssystem angewendet werden, das kein in einem Fahrzeug eingebautes Kommunikationssystem ist, wie etwa ein Kommunikationssystem, das in einem beweglichen Körper wie etwa einem Flugzeug oder einem Wasserfahrzeug montiert ist, oder ein Kommunikationssystem, das in einer Fabrik, einem Büro oder dergleichen installiert ist.
  • Obwohl vorzugsweise alle im Kommunikationssystem enthaltene ECUs 1 eine Funktion zum Einschränken der Registergruppe 16 umfassen, die in der vorliegenden Ausführungsform veranschaulicht ist, kann in dem Kommunikationssystem auch eine ECU vorhanden sein, die keine derartige Einschränkungsfunktion aufweist. Die ECU 1 ist zwar dazu eingerichtet, das Masken-ROM 11 als eine nicht überschreibbare Speichereinheit aufzuweisen, sie ist jedoch nicht darauf eingeschränkt. Es kann zum Beispiel auch ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM – Erasable Programmable Read-Only Memory), dessen Daten durch Ultraviolettstrahlung gelöscht, jedoch nicht elektrisch überschrieben werden können, oder ein nicht flüchtiges Speicherelement wie etwa ein EEPROM oder ein Flash-Speicher, dessen Daten aufgrund einer physischen Ausgestaltung wie etwa einer Sicherungstrennung Daten nicht überschreiben werden können, anstelle des Masken-ROMs 11 verwendet werden. Außerdem ist die ECU 1 zwar dazu eingerichtet, im Einschränkungsmodus sowohl Übertragung als auch Empfang von Nachrichten einzuschränken, sie ist jedoch nicht darauf beschränkt und kann auch dazu eingerichtet sein, nur die Übertragung von Nachrichten einzuschränken.
  • Ausführungsform 2
  • 8 ist ein Blockschaltbild, das die Ausgestaltung eines Kommunikationssystems gemäß Ausführungsform 2 veranschaulicht. Die anderen ECUs 1, der Sensor 3, das Stellglied 4 und dergleichen, die in 1 veranschaulicht sind, sind in 8 nicht veranschaulicht. Das Kommunikationssystem gemäß Ausführungsform 2 umfasst eine Konfigurationseinrichtung 205, welche über eine Kommunikationsleitung 206 mit einer ECU 201 verbunden ist. Die Konfigurationseinrichtung 205 ist eine Einrichtung, die verwendet wird, wenn in einem Autohaus, einem Wartungsbetrieb oder dergleichen eine Wartung oder Inspektion vorgenommen wird. Durch Verbinden der Konfigurationseinrichtung 205 mit der ECU 201 können Werte in die Registergruppe 16 der CAN-Steuereinrichtung 15 geschrieben werden. Die Konfigurationseinrichtung 205 weist eine Anzeigeeinheit 251 wie einen Flüssigkristallbildschirm und eine Bedieneinheit 252 wie einen Schalter oder Touchbildschirm auf.
  • Die ECU 201 gemäß Ausführungsform 2 ist nicht mit dem Masken-ROM 11 versehen, das die ECU 1 gemäß Ausführungsform 1 aufweist, und ihr Bootprogramm 11a ist im EEPROM 12 gespeichert. Im EEPROM 12 der ECU 201 können das Bootprogramm 11a, das Anwendungsprogramm 12a und dergleichen gespeichert sein.
  • Außerdem ist die ECU 201 gemäß Ausführungsform 2 mit einem Verbinder 217 zum Verbinden mit der Konfigurationseinrichtung 205 über die Kommunikationsleitung 206 versehen. Falls die ECU 201 gemäß Ausführungsform 2 über den Verbinder 217 mit der authentifizierten Konfigurationseinrichtung 205 verbunden ist, kann sie einen Wert in ein Register der Registergruppe 16 der CAN-Steuereinrichtung 15 schreiben, für welches das Schreiben eingeschränkt ist.
  • Außerdem ist die ECU 201 gemäß Ausführungsform 2 mit einem ROM 218 versehen. Das ROM 218 ist unter Verwendung eines Masken-ROMs, eines EEPROMs oder dergleichen eingerichtet. Daten des ROMs 218 können jedoch im Normalbetrieb der ECU 201 nicht überschrieben werden, selbst wenn das ROM 218 mit einem überschreibbaren Datenspeicherelement wie zum Beispiel einem EEPROM eingerichtet ist. Im ROM 218 sind ein Authentifizierungsprogramm 218a, Authentifizierungsinformationen 218b und so weiter gespeichert. Das Authentifizierungsprogramm 218a ist ein Programm, das durch die Verarbeitungseinheit 10 ausgeführt wird, falls die Konfigurationseinrichtung 205 mit dem Verbinder 217 verbunden ist, und es führt eine Authentifizierungsverarbeitung für die Konfigurationseinrichtung 205 durch. Die Authentifizierungsinformationen 218b sind Informationen für das Authentifizierungsprogramm 218a zur Durchführung einer Authentifizierungsverarbeitung für die Konfigurationseinrichtung 205 und sind zum Beispiel Informationen wie etwa ID, Passwort oder dergleichen der Einrichtung.
  • Die ECU 201 gemäß Ausführungsform 2 wird im Normalbetrieb immer im Einschränkungsmodus betrieben. Das heißt, die durch Stromeinspeisung aktivierte ECU 201 beginnt nach Aktivierung ihren Betrieb im Einschränkungsmodus und wird danach, solange sie normal betreiben wird, nicht in den Vollsteuerungsmodus umgeschaltet. Die ECU 201 führt somit das Bootprogramm 11a und das Anwendungsprogramm 12a im Einschränkungsmodus derart aus, dass das Bootprogramm 11a keinen Konfigurationsprozess für die Registergruppe 16 der CAN-Steuereinrichtung 15 umfasst. Die ECU 201 gemäß Ausführungsform 2 kann die CAN-Steuereinrichtung 15 nur dann im Vollsteuerungsmodus betreiben, wenn die Konfigurationseinrichtung 205 mit dem Verbinder 217 verbunden ist.
  • Falls die ECU 201 gemäß Ausführungsform 2 erkennt, dass die Konfigurationseinrichtung 205 mit dem Verbinder 217 verbunden ist, liest die Verarbeitungseinheit 10 das Authentifizierungsprogramm 218a aus dem ROM 218 aus und führt das Programm 218a aus, um eine Authentifizierungsverarbeitung unter Beteiligung der ECU 201 und der Konfigurationseinrichtung 205 durchzuführen. Die ECU 201 führt eine Authentifizierungsverarbeitung basierend auf den im ROM 218 gespeicherten Authentifizierungsinformationen 218a durch und nimmt einen Bedienvorgang zum Umschalten des Betriebsmodus der CAN-Steuereinrichtung 15 vom Einschränkungsmodus in den Vollsteuerungsmodus nur dann an, wenn die Authentifizierungsverarbeitung erfolgreich ist.
  • Falls die Authentifizierungsverarbeitung erfolgreich ist, kann der Bediener der Konfigurationseinrichtung 205 diverse Arten von Informationen beziehen, welche die ECU 201 betreffen, und diese auf der Anzeigeeinheit 251 anzeigen, und er kann einen Bedienvorgang zum Ändern diverser Konfigurationen, welche die ECU 201 betreffen, über die Bedieneinheit 252 durchführen. Darüber hinaus kann die Konfigurationseinrichtung 205 gemäß Ausführungsform 2 den Betriebsmodus der CAN-Steuereinrichtung 15 der ECU 201 umschalten, und sie kann durch Umschalten des Modus in den Vollsteuerungsmodus Werte in die Registergruppe 16 schreiben.
  • Falls der Modusumschalt-Bedienvorgang für die Bedieneinheit 252 der Konfigurationseinrichtung 205 durchgeführt wird, werden Vorgangsdetails von der Konfigurationseinrichtung 205 über den Verbinder 217 an die Verarbeitungseinheit 10 der ECU 201 gesendet. Dementsprechend nimmt die Verarbeitungseinheit 10 der ECU 201 den Modusumschalt-Bedienvorgang an. Falls ein Bedienvorgang zum Umschalten in den Vollsteuerungsmodus von der Konfigurationseinrichtung 205 angenommen wird, schaltet die ECU 201 den Modus vom Einschränkungsmodus in den Vollsteuerungsmodus um. Im Vollsteuerungsmodus kommuniziert die ECU 201 über die Kommunikationsleitung 206 mit der Konfigurationseinrichtung 205, sie nimmt eine Schreibanforderung bezüglich Schreiben eines Werts in die Registergruppe 16 der CAN-Steuereinrichtung 15 an, und sie schreibt den angeforderten Wert in ein Register der Registergruppe 16.
  • Außerdem schaltet die ECU 201, falls von der Konfigurationseinrichtung 205 ein Bedienvorgang zum Umschalten in den Einschränkungsmodus angenommen wird, den Modus vom Vollsteuerungsmodus in den Einschränkungsmodus um. Falls zum Beispiel die Verbindung der Konfigurationseinrichtung 205 getrennt wird oder falls ein vorbestimmter Zeitraum seit dem Umschalten in den Vollsteuerungsmodus abläuft, kann der Betriebsmodus automatisch vom Vollsteuerungsmodus in den Einschränkungsmodus umgeschaltet werden, selbst wenn kein Bedienvorgang zum Umschalten in den Einschränkungsmodus von der Konfigurationseinrichtung 205 angenommen wurde.
  • 9 ist ein Flussdiagramm, das einen Arbeitsablauf einer durch die ECU 201 gemäß Ausführungsform 2 durchgeführten Modusumschaltverarbeitung veranschaulicht. Die Verarbeitungseinheit 10 der ECU 201 gemäß Ausführungsform 2 bestimmt, ob eine Verbindung der Konfigurationseinrichtung 205 mit dem Verbinder 217 erkannt wurde oder nicht (Schritt S71). Wenn die Verbindung nicht erkannt wurde (S71: NEIN), wartet die Verarbeitungseinheit 10, bis die Verbindung erkannt wird.
  • Wenn die Verbindung der Konfigurationseinrichtung 205 erkannt wurde (S71: JA), führt die Verarbeitungseinheit 10 das im ROM 218 gespeicherte Authentifizierungsprogramm 218a aus und führt mit der Konfigurationseinrichtung 205 eine Authentifizierungsverarbeitung unter Verwendung der im ROM 218 gespeicherten Authentifizierungsinformationen 218b durch (Schritt S72). Die Verarbeitungseinheit 10 bestimmt, ob die Authentifizierungsverarbeitung erfolgreich ist oder nicht (Schritt S73). Wenn die Authentifizierungsverarbeitung erfolglos ist (S73: NEIN), benachrichtigt die Verarbeitungseinheit 10 die Konfigurationseinrichtung 205 über einen Fehler (Schritt S74) und beendet die Verarbeitung.
  • Wenn die Authentifizierungsverarbeitung erfolgreich ist (S73: JA), erkennt die Verarbeitungseinheit 10 die An-/Abwesenheit eines Bedienvorgangs in der Bedieneinheit 252 der Konfigurationseinrichtung 205 und nimmt den Bedienvorgang an (Schritt S75). Die Verarbeitungseinheit 10 bestimmt, ob der angenommene Bedienvorgang ein Bedienvorgang zum Umschalten des Betriebsmodus ist (Schritt S76). Falls ja (S76: JA), schaltet die Verarbeitungseinheit 10 den Modus entsprechend den Details des angenommenen Bedienvorgangs vom Einschränkungsmodus in den Vollsteuerungsmodus bzw. vom Vollsteuerungsmodus in den Einschränkungsmodus um (Schritt S77) und kehrt mit der Verarbeitung zu Schritt S75 zurück. Wenn der angenommene Bedienvorgang kein Vorgang zum Umschalten ist (S76: NEIN), führt die Verarbeitungseinheit 10 entsprechend den Details des angenommenen Bedienvorgangs eine andere Verarbeitung durch, wie zum Beispiel Schreiben eines Werts in die Registergruppe 16 der CAN-Steuereinrichtung 15 (Schritt S78), und kehrt mit der Verarbeitung zu Schritt S75 zurück.
  • Die ECU 201 gemäß Ausführungsform 2 mit der vorstehend beschriebenen Ausgestaltung schaltet den Modus vom Einschränkungsmodus in den Vollsteuerungsmodus, falls ein expliziter Modusumschalt-Bedienvorgang durchgeführt wird. Dies erlaubt es, während des Testens, Herstellens, Wartens oder dergleichen eines Fahrzeugs, einen Wert in die Registergruppe 16 der CAN-Steuereinrichtung 15 zu schreiben.
  • Außerdem ist die ECU 201 mit einem Verbinder 217 zum Verbinden mit der Konfigurationseinrichtung 205 über die Kommunikationsleitung 206 versehen. Die Konfigurationseinrichtung 205 weist die Bedieneinheit 252 auf, die Bedienvorgänge zum Modusumschalten der ECU 201 durchführt. Die ECU 201 nimmt den Bedienvorgang, der in der Bedieneinheit 252 der Konfigurationseinrichtung 205 durchgeführt wird, über den Verbinder 217 an und führt eine Modusumschaltung entsprechend dem angenommenen Bedienvorgang durch.
  • Darüber hinaus führt die ECU 201 eine Authentifizierungsverarbeitung unter Beteiligung der mit dem Verbinder 217 verbundenen Konfigurationseinrichtung 205 durch. Die ECU 201 nimmt einen Bedienvorgang zum Modusumschalten nur an, wenn die Authentifizierungsverarbeitung erfolgreich ist. Dies erschwert ein Überschreiben eines Werts in der Registergruppe 16 der CAN-Steuereinrichtung 15, wenn diese eine externe Einrichtung verwendet, die mit dem Verbinder 217 verbunden ist.
  • Die ECU 201 gemäß Ausführungsform 2 ist zwar nicht mit dem Masken-ROM 11 versehen, und ihr Bootprogramm 11a ist im EEPROM 12 gespeichert, die Ausgestaltung ist jedoch nicht darauf eingeschränkt. Die ECU 201 kann auch dazu eingerichtet sein, das Masken-ROM aufzuweisen, in welchem das Bootprogramm 11a wie bei der ECU 1 gemäß Ausführungsform 1 gespeichert ist. In dieser Ausgestaltung kann die ECU 201 dazu eingerichtet sein, sowohl die in Ausführungsform 1 beschriebene Modusumschaltung nach Ablaufen eines vorbestimmten Zeitraums ab Aktivierung als auch die in Ausführungsform 2 beschriebene Modusumschaltung auf Grundlage des Umschalt-Bedienvorgangs der Konfigurationseinrichtung 205 durchzuführen.
  • Darüber hinaus kann die ECU 201 auch dazu eingerichtet sein, eine Authentifizierungsverarbeitung entsprechend einer Erkennung einer Verbindung mit der Konfigurationseinrichtung 205 durchzuführen, und sie schaltet den Betriebsmodus vom Einschränkungsmodus in den Vollsteuerungsmodus um, wenn die Authentifizierungsverarbeitung erfolgreich ist. Bei dieser Ausgestaltung entspricht der Vorgang des Verbindens der Konfigurationseinrichtung 205 mit der ECU 201 einem expliziten Vorgang zur Modusumschaltung. Bei dem Programm, das nach der Authentifizierungsverarbeitung den Modusumschalt-Bedienvorgang annimmt, kann es sich um das Authentifizierungsprogramm 218a handeln oder es kann sich um ein anderes Programm als das Authentifizierungsprogramm 218a handeln. Das Programm zum Annehmen des Modusumschalt-Bedienvorgangs zwecks Durchführung einer Modusumschaltung ist jedoch vorzugsweise im ROM 218 gespeichert.
  • Außerdem ist die ECU 201 zwar dazu eingerichtet, die Konfigurationseinrichtung 205 über die Kommunikationsleitung 206 mit dem Verbinder 217 zu verbinden, die Ausgestaltung ist jedoch nicht darauf eingeschränkt. Zum Beispiel kann die ECU 201 dazu eingerichtet sein, mit der Konfigurationseinrichtung 205 drahtlos zu kommunizieren. Außerdem kann die ECU 201 zum Beispiel mit einer Bedieneinheit versehen sein, anstatt mit der Konfigurationseinrichtung 205 verbunden zu werden, um den Bedienvorgang zum Modusumschalten anzunehmen.
  • Da die weiteren Ausgestaltungselemente des Kommunikationssystems gemäß Ausführungsform 2 jenen des Kommunikationssystems gemäß Ausführungsform 1 ähnlich sind, tragen gleiche Elemente gleiche Bezugszeichen, und auf ihre ausführliche Beschreibung wird verzichtet.
  • Bezugszeichenliste
    • 1
    ECU (Kommunikationseinrichtung)
    2
    CAN-Bus
    3
    Sensor
    4
    Stellglied
    10
    Verarbeitungseinheit
    11
    Masken-ROM (erste Speichereinheit)
    11a
    Bootprogramm (Kommunikationseinschränkungsprogramm)
    12
    EEPROM (zweite Speichereinheit)
    12a
    Anwendungsprogramm
    13
    RAM
    14
    Eingabe-/Ausgabeeinheit
    15
    CAN-Steuereinrichtung (Kommunikationseinheit, Regulierungseinheit, Einschränkungseinheit)
    16
    Registergruppe (mehrere Register)
    201
    ECU (Kommunikationseinrichtung)
    205
    Konfigurationseinrichtung (externe Einrichtung)
    217
    Verbinder (Verbindungsstück)
    218
    ROM
    218a
    Authentifizierungsprogramm
    218b
    Authentifizierungsinformationen
    251
    Anzeigeeinheit
    252
    Bedieneinheit

Claims (13)

  1. Kommunikationseinrichtung, aufweisend eine Kommunikationseinheit mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft, und eine Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts für die Register und Lesen eines Wertes für die Register der Kommunikationseinheit, wobei das Schreiben oder Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist.
  2. Kommunikationseinrichtung nach Anspruch 1, ferner aufweisend eine Schalteinheit zum Durchführen eines Umschaltens zwischen einem ersten Modus, bei welchem das Schreiben und Lesen eines Werts für die mehreren Register erlaubt ist, und einem zweiten Modus, bei welchem das Schreiben oder Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist.
  3. Kommunikationseinrichtung nach Anspruch 2, wobei die Schalteinheit dazu eingerichtet ist, nach einem Umschalten von dem ersten Modus in den zweiten Modus kein Umschalten von dem zweiten Modus in den ersten Modus durchzuführen.
  4. Kommunikationseinrichtung nach Anspruch 2 oder 3, wobei die Schalteinheit dazu eingerichtet ist, für einen vorbestimmten Zeitraum ab Aktivierung der Kommunikationseinrichtung den ersten Modus festzulegen, nach Ablauf des vorbestimmten Zeitraums ein Umschalten von dem ersten Modus in den zweiten Modus durchzuführen und nach dem Umschalten von dem ersten Modus in den zweiten Modus kein Umschalten von dem zweiten Modus in den ersten Modus durchzuführen.
  5. Kommunikationseinrichtung nach Anspruch 4, ferner aufweisend eine Speichereinheit, in welcher ein Programm zum Schreiben eines Werts in ein im zweiten Modus bezüglich Schreiben eingeschränktes Register gespeichert ist, wobei die Verarbeitungseinheit das Programm nach Aktivierung der Kommunikationseinrichtung ausführt und die Schalteinheit dazu eingerichtet ist, ein Umschalten durchzuführen und dabei einen Zeitraum, während dessen das Programm durch die Verarbeitungseinheit ausgeführt wird, als den vorbestimmten Zeitraum zu konfigurieren.
  6. Kommunikationseinrichtung nach einem der Ansprüche 2 bis 5, wobei die mehreren Register mehrere Übertragungsnachricht-Speicherregister zum Speichern einer durch die Kommunikationseinheit an eine andere Einrichtung zu übertragende Nachricht umfassen und in dem zweiten Modus das Schreiben in ein oder mehrere Übertragungsnachricht-Speicherregister der mehreren Übertragungsnachricht-Speicherregister eingeschränkt ist.
  7. Kommunikationseinrichtung nach Anspruch 6, wobei die mehreren Register ein Übertragungszyklus-Konfigurationsregister zum Speichern einer Konfiguration eines Zyklus umfassen, mit welchem die Kommunikationseinheit eine in dem Übertragungsnachricht-Speicherregister gespeicherte Nachricht überträgt, und die Kommunikationseinrichtung ferner eine Regulierungseinheit zum Regulieren von Nachrichtenübertragung mit einem kürzeren Zyklus als dem konfigurierten und im Übertragungszyklus-Konfigurationsregister gespeicherten Zyklus aufweist.
  8. Kommunikationssteuereinrichtung nach Anspruch 6 oder 7, wobei die Nachricht Identifizierungsinformationen zum Identifizieren der Nachricht enthält, die mehreren Register ein Identifizierungsinformationen-Konfigurationsregister zum Speichern einer Konfiguration für die Identifizierungsinformationen umfassen, welche ein Speichern in das Übertragungsnachricht-Speicherregister gestatten, und die Kommunikationseinrichtung ferner eine Einschränkungseinheit zum Einschränken eines Speicherns einer Nachricht mit anderen Identifizierungsinformationen als den in dem Identifizierungsinformationen-Konfigurationsregister gespeicherten in das Übertragungsnachricht-Speicherregister aufweist.
  9. Kommunikationseinrichtung nach einem der Ansprüche 2 bis 8, ferner aufweisend eine Bedienvorgang-Annahmeeinheit zum Annehmen eines Bedienvorgangs, der ein Umschalten zwischen dem ersten Modus und dem zweiten Modus betrifft, wobei die Schalteinheit dazu eingerichtet ist, ein Umschalten gemäß dem durch die Bedienvorgang-Annahmeeinheit angenommenen Bedienvorgang durchzuführen.
  10. Kommunikationseinrichtung nach Anspruch 9, ferner aufweisend eine mit einer externen Einrichtung zu verbindende Verbindungseinheit, wobei die Bedienvorgang-Annahmeeinheit dazu eingerichtet ist, über die Verbindungseinheit einen für die mit der Verbindungseinheit verbundene externe Einrichtung durchgeführten Bedienvorgang anzunehmen.
  11. Kommunikationseinrichtung nach Anspruch 10, ferner aufweisend eine Authentifizierungsverarbeitungseinheit zum Durchführen einer Authentifizierungsverarbeitung zwischen der Kommunikationseinrichtung und der mit der Verbindungseinheit verbundenen externen Einrichtung, wobei die Bedienvorgang-Annahmeeinheit dazu eingerichtet ist, den Bedienvorgang anzunehmen, falls die Authentifizierungsverarbeitung der Authentifizierungsverarbeitungseinheit erfolgreich ist.
  12. Kommunikationseinrichtung, aufweisend eine Kommunikationseinheit mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft; und eine Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts für die Register und Lesen eines Wertes für die Register der Kommunikationseinheit, ferner aufweisend eine Schalteinheit zum Durchführen eines Umschaltens zwischen einem ersten Modus, bei welchem das Schreiben und Lesen eines Werts für die mehreren Register erlaubt ist, und einem zweiten Modus, bei welchem das Schreiben und Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist, wobei die Verarbeitungseinheit dazu eingerichtet ist, einen Wert in ein Register zu schreiben, das im zweiten Modus bezüglich Schreiben eingeschränkt ist, und nach dem Schreiben des Werts in das Register die Schalteinheit dazu zu veranlassen, ein Umschalten von dem ersten Modus in den zweiten Modus durchzuführen.
  13. Kommunikationseinschränkungsprogramm, welches eine Kommunikationseinrichtung, aufweisend: eine Kommunikationseinheit mit mehreren Registern zum Speichern eines Werts, der eine Kommunikation mit einer anderen Einrichtung betrifft; eine Verarbeitungseinheit zum Durchführen einer Kommunikationsverarbeitung durch Schreiben eines Werts für die Register und Lesen eines Werts für die Register der Kommunikationseinheit; und eine Schalteinheit zum Umschalten zwischen einem ersten Modus, bei welchem das Schreiben und Lesen eines Werts für die mehreren Register erlaubt ist, und einem zweiten Modus, bei welchem das Schreiben und Lesen eines Werts für einen Teil der mehreren Register eingeschränkt ist, dazu veranlasst, betrieben zu werden als: Mittel zum Schreiben eines Werts in ein Register, das im zweiten Modus bezüglich Schreiben eingeschränkt ist; und Mittel zum Veranlassen der Schalteinheit dazu, nach dem Schreiben eines Werts in das Register von dem ersten Modus in den zweiten Modus umzuschalten.
DE112016002236.0T 2015-05-18 2016-05-17 Kommunikationseinrichtung und kommunikationseinschränkungsprogramm Pending DE112016002236T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015-100994 2015-05-18
JP2015100994A JP6284903B2 (ja) 2015-05-18 2015-05-18 通信装置及び通信制限プログラム
PCT/JP2016/064546 WO2016186093A1 (ja) 2015-05-18 2016-05-17 通信装置及び通信制限プログラム

Publications (1)

Publication Number Publication Date
DE112016002236T5 true DE112016002236T5 (de) 2018-02-08

Family

ID=57319943

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016002236.0T Pending DE112016002236T5 (de) 2015-05-18 2016-05-17 Kommunikationseinrichtung und kommunikationseinschränkungsprogramm

Country Status (5)

Country Link
US (1) US10384625B2 (de)
JP (1) JP6284903B2 (de)
CN (1) CN107615714B (de)
DE (1) DE112016002236T5 (de)
WO (1) WO2016186093A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6879789B2 (ja) 2016-05-27 2021-06-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム、転送方法及びプログラム
JP2018121120A (ja) * 2017-01-23 2018-08-02 国立大学法人名古屋大学 通信装置及び通信コントローラ
JP6933183B2 (ja) * 2018-03-30 2021-09-08 オムロン株式会社 セーフティ制御システムおよびセーフティ制御ユニット
DE102018218257A1 (de) * 2018-10-25 2020-04-30 Robert Bosch Gmbh Steuergerät
DE102019207174A1 (de) * 2019-05-16 2020-11-19 Robert Bosch Gmbh Sende-/Empfangseinrichtung und Kommunikationssteuereinrichtung für eine Teilnehmerstation eines seriellen Bussystems und Verfahren zur Kommunikation in einem seriellen Bussystem
US20220407668A1 (en) * 2021-06-21 2022-12-22 Qualcomm Incorporated Techniques for application time for slot format updating associated with half duplex and full duplex mode switching
JP7426583B2 (ja) * 2021-11-29 2024-02-02 パナソニックIpマネジメント株式会社 車載機器、制御方法、およびプログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05173920A (ja) * 1991-12-24 1993-07-13 Nec Corp スレーブ情報処理装置
JPH08180001A (ja) 1994-04-12 1996-07-12 Mitsubishi Electric Corp 通信方式及び通信方法及びネットワークインタフェース
US7197536B2 (en) * 2001-04-30 2007-03-27 International Business Machines Corporation Primitive communication mechanism for adjacent nodes in a clustered computer system
CN101369352A (zh) * 2008-10-10 2009-02-18 清华大学 一种燃料电池城市客车的数据支持系统
JP2010176403A (ja) * 2009-01-29 2010-08-12 Toyota Motor Corp マルチスレッドプロセッサ装置
JP2011103577A (ja) 2009-11-11 2011-05-26 Renesas Electronics Corp 通信コントローラ、通信システム、及び通信制御方法
CN103189730B (zh) * 2010-10-28 2015-12-09 本田技研工业株式会社 故障诊断方法和故障诊断装置
JP5714453B2 (ja) * 2011-08-30 2015-05-07 トヨタ自動車株式会社 車両通信装置
US9262340B1 (en) * 2011-12-29 2016-02-16 Cypress Semiconductor Corporation Privileged mode methods and circuits for processor systems
JP5816572B2 (ja) * 2012-02-23 2015-11-18 日立オートモティブシステムズ株式会社 車両用制御装置
JP2014086812A (ja) 2012-10-22 2014-05-12 Renesas Electronics Corp Canシステム及びノード
CN103246225B (zh) * 2013-05-03 2016-06-08 奇瑞新能源汽车技术有限公司 一种基于fpga的lvds接口实现的多路同时采样系统
CN104422593A (zh) * 2013-08-30 2015-03-18 上海汽车集团股份有限公司 一种动力总成的测试系统
US9619405B2 (en) * 2014-11-24 2017-04-11 Nxp Usa, Inc. Device having memory access protection
US10007629B2 (en) * 2015-01-16 2018-06-26 Oracle International Corporation Inter-processor bus link and switch chip failure recovery

Also Published As

Publication number Publication date
WO2016186093A1 (ja) 2016-11-24
CN107615714B (zh) 2020-09-04
JP2016219944A (ja) 2016-12-22
US20180162295A1 (en) 2018-06-14
CN107615714A (zh) 2018-01-19
US10384625B2 (en) 2019-08-20
JP6284903B2 (ja) 2018-02-28

Similar Documents

Publication Publication Date Title
DE112016002236T5 (de) Kommunikationseinrichtung und kommunikationseinschränkungsprogramm
EP3326101B1 (de) Verfahren und system zur firmware-aktualisierung einer steuereinrichtung zur prozesssteuerung
DE69819610T2 (de) Verteiltes Verarbeitungstypensteuerungssystem
DE102014209752B4 (de) Relaiseinrichtung
DE102015214915B4 (de) Flexibles Scheduling-Verfahren und Scheduling-Vorrichtung bei einer LIN-Kommunikation
EP2641183A1 (de) Verfahren und schaltungsanordnung zur datenübertragung zwischen prozessorbausteinen
DE10324380B4 (de) Programmierbare Steuerung mit CPU und Kommunikationseinheiten sowie Verfahren zur Steuerung derselben
EP2825921B1 (de) Steuerungsvorrichtung zum steuern von sicherheitskritischen prozessen in einer automatisierten anlage und verfahren zur parameterierung der steuerungsvorrichtung
DE112018004090T5 (de) Steuervorrichtung, Steuerverfahren und Computerprogramm
DE19923594B4 (de) Multiplexkommunikationssystem
EP3080950B1 (de) Verfahren und system zur deterministischen autokonfiguration eines gerätes
DE102018118243A1 (de) Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine
DE102015122066A1 (de) Fehlersicheres Modul zum Anschluss an einen Feldbuskoppler, Feldbuskoppler, System und Verfahren zum Konfigurieren eines derartigen fehlersicheren Moduls
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
DE102015115855A1 (de) System und Verfahren zur Verteilung und/oder Aktualisierung von Software in vernetzten Steuereinrichtungen eines Fahrzeugs
DE3238826C2 (de)
DE102019201515A1 (de) Fahrzeugkommunikationsnetzwerk und -verfahren
WO2019166233A1 (de) Verfahren zum etablieren einer netzwerkkommunikation in einer anlage der automatisierungstechnik
EP1493067B1 (de) Verfahren zum projektieren und/oder betreiben einer automatisierungseinrichtung
WO2004023299A2 (de) Verfahren zur initialisierung von programmierbaren systemen
DE102021119998B3 (de) Serielle datenkommunikation mit in-frame-antwort
DE102012218665B4 (de) Applikationssystem für Steuergeräte
WO2018104167A1 (de) Verfahren zum konfigurieren von geräten und entsprechende geräte
DE102022204494A1 (de) Datenverarbeitungssystem zur effizienten Kommunikation großer Datenmengen
EP3985541A1 (de) Verfahren zur integritätsprüfung von nachladbaren funktionseinheiten

Legal Events

Date Code Title Description
R012 Request for examination validly filed