DE112021005557T5 - VEHICLE CONTROL DEVICE - Google Patents

VEHICLE CONTROL DEVICE Download PDF

Info

Publication number
DE112021005557T5
DE112021005557T5 DE112021005557.7T DE112021005557T DE112021005557T5 DE 112021005557 T5 DE112021005557 T5 DE 112021005557T5 DE 112021005557 T DE112021005557 T DE 112021005557T DE 112021005557 T5 DE112021005557 T5 DE 112021005557T5
Authority
DE
Germany
Prior art keywords
processing unit
hsm
hardware processing
encryption
hsm hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112021005557.7T
Other languages
German (de)
Inventor
Hiroyuki Hanyu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of DE112021005557T5 publication Critical patent/DE112021005557T5/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/50Indexing scheme relating to G06F9/50
    • G06F2209/509Offload

Abstract

Eine Fahrzeugsteuervorrichtung enthält mindestens eine HSM-Hardware-Verarbeitungseinheit 12, eine Software-Operationsverarbeitungseinheit (ein Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13), eine HSM-Hardware-Diagnoseeinheit 14 und eine Steuereinheit 11. Die HSM-Hardware-Verarbeitungseinheit 12 ist ein Hardware-Sicherheitsmodul, das Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Die Software-Operationsverarbeitungseinheit verwendet einen Prozessor, um dieselben Verschlüsselungs- und Entschlüsselungsprozesse wie die Verschlüsselungs- und Entschlüsselungsprozesse der HSM-Hardware-Verarbeitungseinheit 12 auszuführen. Die HSM-Hardware-Diagnoseeinheit 14 diagnostiziert die HSM-Hardware-Verarbeitungseinheit 12. Die Steuereinheit 11 führt ein Umschalten zwischen der Verarbeitung der HSM-Hardware-Verarbeitungseinheit 12 und der Verarbeitung der Software-Operationsverarbeitungseinheit 13 gemäß einem Diagnoseergebnis der HSM-Hardware-Diagnoseeinheit 14 durch.A vehicle control device includes at least an HSM hardware processing unit 12, a software operation processing unit (a software operation processing unit encryption module 13), an HSM hardware diagnosis unit 14 and a control unit 11. The HSM hardware processing unit 12 is a hardware security module , which performs encryption and decryption processes. The software operation processing unit uses a processor to perform the same encryption and decryption processes as the HSM hardware processing unit 12 encryption and decryption processes. The HSM hardware diagnosis unit 14 diagnoses the HSM hardware processing unit 12. The control unit 11 performs switching between the processing of the HSM hardware processing unit 12 and the processing of the software operation processing unit 13 according to a diagnosis result of the HSM hardware diagnosis unit 14 through.

Description

Technisches Gebiettechnical field

Die vorliegende Erfindung bezieht sich auf eine Fahrzeugsteuervorrichtung.The present invention relates to a vehicle control device.

Technischer HintergrundTechnical background

Mit der Elektrifizierung und der Systematisierung von Fahrzeugen haben Sicherheitsbedrohungen von fahrzeuginternen Netzen zugenommen und somit ist es wesentlich, Cyber-Sicherheitsmaßnahmen in Fahrzeugsteuervorrichtungen vorzunehmen. In Sicherheitsgegenmaßnahmen wird ein Hardware-Sicherheitsmodul (HSM), das fest zugeordnete Hardware ist, zum Verbessern der Sicherheit und der Verarbeitungsleistungsfähigkeit verwendet.With the electrification and systematization of vehicles, security threats of in-vehicle networks have increased, and thus it is essential to take cyber security measures in vehicle control devices. In security countermeasures, a hardware security module (HSM), which is dedicated hardware, is used to improve security and processing performance.

Zusätzlich besteht, da mehrere elektronische Steuereinheiten (ECU) mit dem fahrzeuginternen Netz verbunden sind, das Problem, dass die Verarbeitungslast einer Hardware oder einer Software zunimmt und die Verarbeitungsleistungsfähigkeit sich verschlechtert, wenn die Sicherheitsgegenmaßnahmen implementiert sind.In addition, since a plurality of electronic control units (ECU) are connected to the in-vehicle network, there is a problem that the processing load of a hardware or a software increases and the processing performance deteriorates when the security countermeasures are implemented.

Zum Beispiel offenbart PTL 1 eine Technik zum Verbessern der Verarbeitungsleistungsfähigkeit, wenn ein Verschlüsselungsoperationsprozess unter Verwendung eines HSM ausgeführt wird. In der Technik in PTL 1 sind mehrere Verschlüsselungsmodule wie z. B. HSMs vorgesehen und wird eine Verschlüsselungsoperation unter Verwendung eines Verschlüsselungsmoduls mit der geringsten Last durchgeführt, derart, dass die Verarbeitungsleistung verbessert werden kann.For example, PTL 1 discloses a technique for improving processing performance when performing an encryption operation process using an HSM. In the technique in PTL 1 several encryption modules such as e.g. B. HSMs are provided and an encryption operation is performed using an encryption module with the least load, so that the processing performance can be improved.

Entgegenhaltungslistecitation list

Patentliteraturpatent literature

PTL 1: JP 5346111 B PTL 1: JP 5346111B

Zusammenfassung der ErfindungSummary of the Invention

Technisches ProblemTechnical problem

In PTL 1 ist es möglich, die Verarbeitungsleistung durch Vorsehen der mehreren Verschlüsselungsmodule, die eine HSM-Hardware enthalten, zu verbessern, jedoch wird ein Betrieb, wenn ein Problem in der HSM-Hardware auftritt, nicht betrachtet. In der Fahrzeugsteuervorrichtung ist es nötig, den Betrieb selbst dann fortzusetzen, wenn ein Problem in der Hardware auftritt.In PTL 1, it is possible to improve the processing performance by providing the multiple encryption modules including HSM hardware, but an operation when a problem occurs in the HSM hardware is not considered. In the vehicle control device, it is necessary to continue operation even if a problem occurs in the hardware.

Eine Aufgabe der vorliegenden Erfindung ist, eine Fahrzeugsteuervorrichtung zu schaffen, die Verschlüsselungs- und Entschlüsselungsprozesse selbst dann fortsetzen kann, wenn ein Problem in einer HSM-Hardware-Verarbeitungseinheit auftritt.An object of the present invention is to provide a vehicle control device that can continue encryption and decryption processes even if a problem occurs in an HSM hardware processing unit.

Lösung des Problemsthe solution of the problem

Um die oben beschriebene Aufgabe zu lösen, enthält eine Fahrzeugsteuervorrichtung gemäß der vorliegenden Erfindung eine HSM-Hardware-Verarbeitungseinheit, die ein Hardware-Sicherheitsmodul bezeichnet, das Verschlüsselungs- und Entschlüsselungsprozesse durchführt, eine Software-Operationsverarbeitungseinheit, die dieselben Verschlüsselungs- und Entschlüsselungsprozesse wie die Verschlüsselungs- und Entschlüsselungsprozesse der HSM-Hardware-Verarbeitungseinheit durch einen Prozessor ausführt, eine HSM-Hardware-Diagnoseeinheit, die die HSM-Hardware-Verarbeitungseinheit diagnostiziert, und eine Steuereinheit, die ein Umschalten zwischen der Verarbeitung der HSM-Hardware-Verarbeitungseinheit und der Verarbeitung der Software-Operationsverarbeitungseinheit gemäß einem Diagnoseergebnis der HSM-Hardware-Diagnoseeinheit durchführt.In order to achieve the above-described object, a vehicle control device according to the present invention includes an HSM hardware processing unit that designates a hardware security module that performs encryption and decryption processes, a software operation processing unit that performs the same encryption and decryption processes as the encryption - and executes decryption processes of the HSM hardware processing unit by a processor, an HSM hardware diagnostic unit that diagnoses the HSM hardware processing unit, and a control unit that performs switching between the processing of the HSM hardware processing unit and the processing of the software operation processing unit performs according to a diagnostic result of the HSM hardware diagnostic unit.

Vorteilhafte Wirkungen der ErfindungAdvantageous Effects of the Invention

Gemäß der vorliegenden Erfindung ist es selbst dann, wenn ein Problem in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist, möglich, die Verschlüsselungs- und Entschlüsselungsprozesse fortzusetzen. Aufgaben, Konfigurationen und vorteilhafte Wirkungen außer den oben beschriebenen werden durch die Beschreibungen der folgenden Ausführungsformen verdeutlicht.According to the present invention, even when a problem has occurred in the HSM hardware processing unit, it is possible to continue the encryption and decryption processes. Objects, configurations and advantageous effects other than those described above will be made clear through the descriptions of the following embodiments.

Figurenlistecharacter list

  • [1] 1 ist ein Blockdiagramm, das eine Gesamtkonfiguration einer Fahrzeugsteuervorrichtung gemäß einer ersten Ausführungsform veranschaulicht.[ 1 ] 1 14 is a block diagram illustrating an overall configuration of a vehicle control device according to a first embodiment.
  • [2] 2 ist ein zweites Blockdiagramm, das die Gesamtkonfiguration der Fahrzeugsteuervorrichtung gemäß der ersten Ausführungsform veranschaulicht.[ 2 ] 2 12 is a second block diagram illustrating the overall configuration of the vehicle control device according to the first embodiment.
  • [3] 3 ist ein Diagramm, das ein Beispiel von Funktionsblöcken einer HSM-Hardware-Verarbeitungseinheit in der ersten Ausführungsform veranschau licht.[ 3 ] 3 FIG. 12 is a diagram illustrating an example of functional blocks of an HSM hardware processing unit in the first embodiment.
  • [4] 4 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der ersten Ausführungsform veranschaulicht.[ 4 ] 4 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the first embodiment.
  • [5] 5 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der ersten Ausführungsform.[ 5 ] 5 12 is a conceptual diagram of a crypto module selection operation in the vehicle control device in the first embodiment.
  • [6] 6 ist ein Ablaufplan zum Erläutern einer Kommunikationsinitialisierungsprozessbetrieb der Fahrzeugsteuervorrichtung in der ersten Ausführungsform.[ 6 ] 6 12 is a flowchart for explaining a communication initialization process operation of the vehicle control device in the first embodiment.
  • [7] 7 ist ein Ablaufplan, der einen Nachrichten-Sende- und Empfangsprozessbetrieb der Fahrzeugsteuervorrichtung in der ersten Ausführungsform veranschaulicht.[ 7 ] 7 14 is a flowchart illustrating a message transmission and reception process operation of the vehicle control device in the first embodiment.
  • [8] 8 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in einer Fahrzeugsteuervorrichtung gemäß einer zweiten Ausführungsform veranschaulicht.[ 8th ] 8th 14 is a diagram illustrating an example of encryption module selection in a vehicle control device according to a second embodiment.
  • [9] 9 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der zweiten Ausführungsform.[ 9 ] 9 12 is a conceptual diagram of a crypto module selection operation in the vehicle control device in the second embodiment.
  • [10] 10 ist ein Ablaufplan zum Erläutern eines Nachrichten-Sende- und Empfangsprozessbetriebs der Fahrzeugsteuervorrichtung in der zweiten Ausführungsform.[ 10 ] 10 14 is a flowchart for explaining a message sending and receiving process operation of the vehicle control device in the second embodiment.
  • [11] 11 ist ein Diagramm, das ein Beispiel einer Anwendung, die in einer ECU in einer Fahrzeugsteuervorrichtung installiert ist, gemäß einer dritten Ausführungsform veranschaulicht.[ 11 ] 11 12 is a diagram illustrating an example of an application installed in an ECU in a vehicle control device according to a third embodiment.
  • [12] 12 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der dritten Ausführungsform veranschaulicht.[ 12 ] 12 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the third embodiment.
  • [13] 13 ist ein Konzeptdiagramm, das eine Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der dritten Ausführungsform veranschaulicht.[ 13 ] 13 12 is a conceptual diagram illustrating a crypto module selection operation in the vehicle control device in the third embodiment.
  • [14] 14 ist ein Ablaufplan zum Erläutern eines Nachrichten-Sende- und Empfangsprozessbetriebs der Fahrzeugsteuervorrichtung in der dritten Ausführungsform.[ 14 ] 14 14 is a flowchart for explaining a message transmission and reception process operation of the vehicle control device in the third embodiment.
  • [15] 15 ist ein Blockdiagramm, das eine Gesamtkonfiguration einer Fahrzeugsteuervorrichtung gemäß einer vierten Ausführungsform veranschaulicht.[ 15 ] 15 14 is a block diagram illustrating an overall configuration of a vehicle control device according to a fourth embodiment.
  • [16] 16 ist ein Diagramm, das ein Beispiel von Anwendungen, die in mehreren ECU in der Fahrzeugsteuervorrichtung installiert sind, in der vierten Ausführungsform veranschaulicht.[ 16 ] 16 14 is a diagram illustrating an example of applications installed in multiple ECUs in the vehicle control device in the fourth embodiment.
  • [17] 17 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der vierten Ausführungsform veranschaulicht.[ 17 ] 17 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the fourth embodiment.
  • [18] 18 ist ein Konzeptdiagramm, das eine Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der vierten Ausführungsform veranschaulicht.[ 18 ] 18 12 is a conceptual diagram illustrating a crypto module selection operation in the vehicle control device in the fourth embodiment.
  • [19] 19 ist ein Ablaufplan zum Erläutern eines integrierten ECU-Prozessbetriebs der Fahrzeugsteuervorrichtung in der vierten Ausführungsform.[ 19 ] 19 14 is a flowchart for explaining an ECU integrated process operation of the vehicle control device in the fourth embodiment.
  • [20] 20 ist ein Ablaufplan zum Erläutern eines Antriebsstrangsteuer-ECU-Prozessbetriebs der Fahrzeugsteuervorrichtung in der vierten Ausführungsform.[ 20 ] 20 14 is a flowchart for explaining a power train control ECU process operation of the vehicle control device in the fourth embodiment.

Beschreibung der AusführungsformenDescription of the embodiments

Im Folgenden werden Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Zeichnungen beschrieben. In den begleitenden Zeichnungen können funktionell gleiche Elemente durch dieselben Zahlen bezeichnet werden. Obwohl die begleitenden Zeichnungen zeigen Ausführungsformen und Beispiele gemäß den Prinzipien der vorliegenden Offenbarung, dienen die Ausführungsformen und die Beispiele dem Zweck des Verstehens der vorliegenden Offenbarung und werden nicht für eine beschränkte Interpretation der vorliegenden Offenbarung verwendet. Die Beschreibung in der Spezifikation ist lediglich ein typisches Beispiel und ist nicht dazu vorgesehen, den Bereich der Ansprüche oder des Anwendungsbeispiels der vorliegenden Offenbarung in irgendeinem Sinne zu begrenzen.Embodiments of the present invention will be described below with reference to the accompanying drawings. In the accompanying drawings, functionally the same elements may be denoted by the same numbers. Although the accompanying drawings show embodiments and examples according to the principles of the present disclosure, the embodiments and examples are for the purpose of understanding the present disclosure and are not used for a limited interpretation of the present disclosure. The description in the specification is only a typical example and is not intended to limit the scope of the claims or the application example of the present disclosure in any sense.

In der vorliegenden Ausführungsform wird die Beschreibung ausreichend detailliert vorgenommen, damit Fachleute die vorliegende Offenbarung implementieren können, jedoch versteht sich, dass weitere Implementierungen und Ausführungsformen möglich sind und Änderungen der Konfigurationen und Strukturen und ein Austausch verschiedener Elemente möglich sind, ohne vom Umfang und Geist des technischen Gedankens der vorliegenden Offenbarung abzuweichen. Deshalb soll die folgende Beschreibung nicht als darauf beschränkt interpretiert werden.In the present embodiment, the description is made in sufficient detail to enable those skilled in the art to implement the present disclosure, however, it should be understood that other implementations and embodiments are possible, and changes in configuration and structures and substitutions of various elements are possible without departing from the scope and spirit of the invention Deviate technical thought of the present disclosure. Therefore, the following description should not be interpreted as limited thereto.

[Erste Ausführungsform][First embodiment]

Eine Fahrzeugsteuervorrichtung gemäß einer ersten Ausführungsform wird unter Bezugnahme auf das Blockdiagramm von 1 beschrieben.A vehicle control device according to a first embodiment is described with reference to the block diagram of FIG 1 described.

Die Fahrzeugsteuervorrichtung in der ersten Ausführungsform enthält eine Steuereinheit 11, eine HSM-Hardware-Verarbeitungseinheit 12, ein Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13, eine HSM-Hardware-Diagnoseeinheit 14 (HSM) und eine Lastfaktormesseinheit 15 in einer ECU 10. Die ECU 10 kann auch durch einen Mikrocomputer, ein fahrzeuginternes System-on-a-Chip (SoC) oder dergleichen ersetzt werden. Zusätzlich ist die Anzahl von Software-Operationsverarbeitungseinheit-Verschlüsselungsmodulen 13 nicht auf eins beschränkt und mehrere Software-Operationsverarbeitungseinheit-Verschlüsselungsmodule können vorgesehen sein. Das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 kann unten als ein Software-Operationsverschlüsselungsmodul (eine Software-Operationsverarbeitungseinheit) bezeichnet werden.The vehicle control device in the first embodiment includes a control unit 11, an HSM hardware processing unit 12, a software operation processing unit encryption module 13, an HSM hardware diagnosis unit 14 (HSM) and a load factor measurement unit 15 in an ECU 10. The ECU 10 can may also be replaced with a microcomputer, an in-vehicle system-on-a-chip (SoC), or the like. In addition, the number of software operation processing unit encryption modules 13 is not limited limited to one and multiple software operation processing unit cryptographic modules may be provided. The software operation processing unit encryption module 13 may be referred to below as a software operation encryption module (a software operation processing unit).

2 ist ein Beispiel eines Blockdiagramms, wenn die HSM-Hardware-Verarbeitungseinheit 22 nicht in der ECU 20, sondern außerhalb angeordnet ist. In der ersten Ausführungsform kann außerdem die Konfiguration von 2 angewendet werden. 2 14 is an example of a block diagram when the HSM hardware processing unit 22 is not arranged in the ECU 20 but outside. In addition, in the first embodiment, the configuration of 2 be applied.

3 ist ein Beispiel eines Funktionsblocks 30 der HSM-Hardware-Verarbeitungseinheit 12. Die HSM-Hardware-Verarbeitungseinheit 12 enthält eine Schlüsselspeicherfunktion 31, eine Verschlüsselungsoperationsfunktion 32, eine Schlüsselerzeugungsfunktion 33 und eine Zufallszahlenerzeugungsfunktion 34. in der folgenden Ausführungsform wird ein Fall beschrieben, in dem ein Fehler in der Verschlüsselungsoperationsfunktion 32 aufgetreten ist, der einen großen Einfluss auf den Betrieb der Fahrzeugsteuervorrichtung aufweist. Es ist anzunehmen, dass das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 (1 und 2), das in der vorliegenden Ausführungsform beschrieben wird, eine Funktionsentsprechung zur Verschlüsselungsoperationsfunktion 32 (3) der HSM-Hardware-Verarbeitungseinheit 12 aufweist und als ein Ersatz für die HSM-Hardware-Verarbeitungseinheit 12 verwendet werden kann. 3 is an example of a function block 30 of the HSM hardware processing unit 12. The HSM hardware processing unit 12 includes a key storage function 31, an encryption operation function 32, a key generation function 33 and a random number generation function 34. In the following embodiment, a case where a Error has occurred in the encryption operation function 32, which has a great impact on the operation of the vehicle control device. It is assumed that the software operation processing unit encryption module 13 ( 1 and 2 ) described in the present embodiment is a functional equivalent to the encryption operation function 32 ( 3 ) of the HSM hardware processing unit 12 and can be used as a replacement for the HSM hardware processing unit 12.

4 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der ersten Ausführungsform veranschaulicht. Das Verschlüsselungsmodul (das HSM oder das Software-Operationsverschlüsselungsmodul) wird gemäß dem Zustand (normal oder anomal) der HSM-Hardware-Verarbeitungseinheit 12 und dem Zustand (normal oder hohe Last) eines Lastfaktors gewählt. 4 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the first embodiment. The encryption module (the HSM or the software operation encryption module) is selected according to the state (normal or abnormal) of the HSM hardware processing unit 12 and the state (normal or heavy load) of a load factor.

5 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in jedem Zustand. Ein SW-Verschlüsselungsmodul in 5 bedeutet das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13. 5 Fig. 12 is a conceptual diagram of an encryption module selection operation in each state. A SW encryption module in 5 means the software operation processing unit encryption module 13.

[Muster 1-1][Pattern 1-1]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor normal ist, wählt die Steuereinheit 11 lediglich die HSM-Hardware-Verarbeitungseinheit 12.When the HSM hardware processing unit 12 is normal and the load factor is normal, the control unit 11 only selects the HSM hardware processing unit 12.

[Muster 1-2][Pattern 1-2]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor eine hohe Last ist, wählt die Steuereinheit 11 die HSM-Hardware-Verarbeitungseinheit 12 und das Software-Operationsverschlüsselungsmodul (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13).When the HSM hardware processing unit 12 is normal and the load factor is a high load, the control unit 11 selects the HSM hardware processing unit 12 and the software operation encryption module (the software operation processing unit encryption module 13).

[Muster 1-3][Pattern 1-3]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist, wählt die Steuereinheit 11 das Software-Operationsverschlüsselungsmodul. Obwohl die Verarbeitungsgeschwindigkeit einer Software-Verarbeitung langsamer als die einer Hardware-Verarbeitung ist, kann die Software-Verarbeitung durch Beschränken der Kommunikation während einer Degenerierung ersetzt werden, wenn ein Fehler auftritt.When the HSM hardware processing unit 12 is abnormal (faulty), the control unit 11 selects the software operation encryption module. Although the processing speed of software processing is slower than hardware processing, software processing can be replaced by restricting communication during degeneration when an error occurs.

Der Betrieb der ersten Ausführungsform wird insbesondere unter Bezugnahme auf die Ablaufpläne von 6 und 7 beschrieben.The operation of the first embodiment will be explained in particular with reference to the flow charts of FIG 6 and 7 described.

Zunächst startet in 6 die Steuereinheit 11 in der ECU einen Kommunikationsinitialisierungsprozess (S100).First starts in 6 the control unit 11 in the ECU performs a communication initialization process (S100).

Dann wird ein HSM-Hardware-Diagnoseprozess ausgeführt (S101). Der Diagnoseprozess wird durch die HSM-Hardware-Diagnoseeinheit 14 ausgeführt. Im Diagnoseprozess gibt die Steuereinheit 11 eine Prüfverschlüsselungsoperationsanweisung (z. B. eine Verschlüsselungsoperationsanweisung, die einen erwarteten Wert besitzt, der im Voraus bekannt ist) aus und prüft, ob die Antwort normal ist oder nicht. Das heißt, wenn die Antwort der HSM-Hardware-Verarbeitungseinheit 12 nicht normal ist (z. B. ein Antwortwert vom erwarteten Wert verschieden ist), bestimmt die HSM-Hardware-Diagnoseeinheit 14, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist.Then, an HSM hardware diagnosis process is performed (S101). The diagnostic process is performed by the HSM hardware diagnostic unit 14 . In the diagnosis process, the control unit 11 issues a check encryption operation instruction (e.g., an encryption operation instruction having an expected value known in advance) and checks whether the response is normal or not. That is, when the response of the HSM hardware processing unit 12 is abnormal (e.g., a response value is different from the expected value), the HSM hardware diagnostic unit 14 determines that the HSM hardware processing unit 12 is faulty.

Wenn die Antwort in S102 normal ist (JA), schreitet der Prozess fort zu S103. Wenn die Antwort nicht normal ist (NEIN), schreitet der Prozess fort zu S104.When the answer in S102 is normal (YES), the process proceeds to S103. If the answer is not normal (NO), the process proceeds to S104.

In S103 setzt die Steuereinheit 11 keinen HSM-Fehler. Zum Beispiel schaltet dann, wenn die Antwort von der HSM-Hardware-Verarbeitungseinheit 12 normal ist, die Steuereinheit 11 einen Fehlermerker aus, der angibt, dass ein Fehler in der HSM-Hardware-Verarbeitungseinheit 12 aufgetreten ist. Der Fehlermerker ist in einem Arbeitsspeicher oder dergleichen gespeichert.In S103, the control unit 11 does not set an HSM error. For example, when the response from the HSM hardware processing unit 12 is normal, the control unit 11 turns off an error flag indicating that an error has occurred in the HSM hardware processing unit 12. The error flag is stored in a work memory or the like.

In S104 wird das Auftreten eines HSM-Fehlers gesetzt. Dann schreitet der Prozess fort zu S105. Zum Beispiel schaltet dann, wenn die Antwort von der HSM-Hardware-Verarbeitungseinheit 12 nicht normal ist, die Steuereinheit 11 den Fehlermerker ein.In S104, the occurrence of an HSM error is set. Then the process proceeds to S105. For example, when the response from the HSM hardware processing unit 12 is abnormal, the control unit 11 turns on the error flag.

Auf diese Weise wird der Kommunikationsinitialisierungsprozess beendet (S105).In this way, the communication initialization process is ended (S105).

Wenn der Kommunikationsinitialisierungsprozess beendet ist, startet in 7 die Steuereinheit 11 einen Nachrichten-Sende- und Empfangsprozess (S110).When the communication initialization process is finished, in starts 7 the control unit 11 a message sending and receiving process (S110).

In S111 wird die HSM-Fehlereinstellung, die in S103 oder S104 des Kommunikationsinitialisierungsprozesses in 6 gesetzt wurde, geprüft.In S111, the HSM error setting set in S103 or S104 of the communication initialization process in 6 was set, checked.

Wenn in S112 kein Fehler vorhanden ist (JA), schreitet der Prozess fort zu S113. Wenn ein Fehler vorhanden ist (NEIN), schreitet der Prozess fort zu S115.If there is no error in S112 (YES), the process proceeds to S113. If there is an error (NO), the process proceeds to S115.

In S113 erfasst die Steuereinheit 11 Lastfaktorinformationen von der Lastfaktormesseinheit 15. Die Lastfaktormesseinheit 15 misst einen Lastfaktor durch Messen der Zeit eines Verschlüsselungsoperationsprozesses jeweils der HSM-Hardware-Verarbeitungseinheit 12 und des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13. Alternativ kann der Lastfaktor durch Erfassen eines Nutzungsfaktors einer Zentraleinheit (CPU) geschätzt werden. In der vorliegenden Ausführungsform wird der Lastfaktor zu zwei Stufen eines normalen Zustands und eines Hochlastzustands gesetzt, abhängig davon, ob der Lastfaktor gleich oder größer als ein Schwellenwert ist, der im Voraus eingestellt wird. Allerdings ist der Lastfaktor nicht darauf beschränkt und kann z. B. zu drei Stufen oder mehr gesetzt werden.In S113, the control unit 11 acquires load factor information from the load factor measurement unit 15. The load factor measurement unit 15 measures a load factor by measuring the time of an encryption operation process of each of the HSM hardware processing unit 12 and the software operation processing unit encryption module 13. Alternatively, the load factor by acquiring a usage factor of a Central processing unit (CPU) can be appreciated. In the present embodiment, the load factor is set to two levels of a normal state and a heavy load state depending on whether the load factor is equal to or larger than a threshold value that is set in advance. However, the load factor is not limited to this and can e.g. B. be set to three levels or more.

Wenn in S114 bestimmt wird, dass der Ist-Zustand der Hochlastzustand ist (JA), schreitet der Prozess fort zu S116. Wenn bestimmt wird, dass der Ist-Zustand der normale Zustand ist (NEIN), schreitet der Prozess fort zu S117.If it is determined in S114 that the current state is the high load state (YES), the process proceeds to S116. If it is determined that the current state is the normal state (NO), the process proceeds to S117.

In S115 wird das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 gewählt.In S115, the software operation processing unit encryption module 13 is selected.

In S116 werden die HSM-Hardware-Verarbeitungseinheit 12 und das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 gleichzeitig gewählt. Durch gleichzeitigen Wählen der HSM-Hardware-Verarbeitungseinheit 12 und des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13 ist es möglich, eine parallele Verarbeitung desIn S116, the HSM hardware processing unit 12 and the software operation processing unit encryption module 13 are selected at the same time. By selecting the HSM hardware processing unit 12 and the software operation processing unit encryption module 13 at the same time, it is possible to achieve parallel processing of the

Verschlüsselungsoperationsprozesses durchzuführen und somit die Verarbeitungslast zu verringern.perform encryption operation process and thus reduce the processing load.

In S117 wird lediglich die HSM-Hardware-Verarbeitungseinheit 12 gewählt.In S117, only the HSM hardware processing unit 12 is selected.

In S118 wird ein Nachrichtenauthentifizierungsprozess unter Verwendung der HSM-Hardware-Verarbeitungseinheit 12 oder des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13, wie im vorhergehenden Schritt gewählt wurde, ausgeführt. Der Nachrichtenauthentifizierungsprozess ist eine Sicherheitstechnologie zum Verhindern einer Manipulation der Kommunikation und einer Datenfälschung durch Zuweisen eines verschlüsselten Nachrichtenauthentifizierungscodes (MAC) zu Daten (einer Nachricht), die gesendet und empfangen werden sollen. Der Verschlüsselungsoperationsprozess der HSM-Hardware-Verarbeitungseinheit 12 oder des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13 wird im Nachrichtenauthentifizierungsprozess verwendet.In S118, a message authentication process is performed using the HSM hardware processing unit 12 or the software operation processing unit encryption module 13 as selected in the previous step. The message authentication process is a security technology for preventing communication tampering and data forgery by assigning an encrypted message authentication code (MAC) to data (a message) to be sent and received. The encryption operation process of the HSM hardware processing unit 12 or the software operation processing unit encryption module 13 is used in the message authentication process.

Die Nachrichten-Sende- und Empfangsprozess wird in S119 ausgeführt und der Nachrichten-Sende- und Empfangsprozess wird in S120 beendet.The message sending and receiving process is executed in S119, and the message sending and receiving process is ended in S120.

In der oben beschrieben Ausführungsform wird der HSM-Hardware-Diagnoseprozess (S101) während des Kommunikationsinitialisierungsprozesses von 6 unter Berücksichtigung der HSM-Hardware-Diagnoseverarbeitungszeit ausgeführt, jedoch ist es nicht nötig, den HSM-Hardware-Diagnoseprozess im Kommunikationsinitialisierungsprozess auszuführen. Zum Beispiel kann der HSM-Hardware-Diagnoseprozess während des Nachrichten-Sende- und Empfangsprozesses ausgeführt werden (7).In the embodiment described above, the HSM hardware diagnosis process (S101) is performed during the communication initialization process of 6 executed considering the HSM hardware diagnosis processing time, however, it is not necessary to execute the HSM hardware diagnosis process in the communication initialization process. For example, the HSM hardware diagnostics process can be run during the message sending and receiving process ( 7 ).

Merkmale der vorliegenden Ausführungsform können auch zusammengefasst werden, wie folgt.Features of the present embodiment can also be summarized as follows.

Wie in 1 veranschaulicht ist, enthält die Fahrzeugsteuervorrichtung mindestens die HSM-Hardware-Verarbeitungseinheit 12, die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13), die HSM-Hardware-Diagnoseeinheit 14 und die Steuereinheit 11. Die HSM-Hardware-Verarbeitungseinheit 12 ist ein Hardware-Sicherheitsmodul, das Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13) verwendet einen Prozessor, um dieselben Verschlüsselungs- und Entschlüsselungsprozesse auszuführen wie die HSM-Hardware-Verarbeitungseinheit 12. Die HSM-Hardware-Diagnoseeinheit 14 diagnostiziert die HSM-Hardware-Verarbeitungseinheit 12. Die Steuereinheit 11 führt ein Umschalten zwischen der Verarbeitung der HSM-Hardware-Verarbeitungseinheit 12 und der Verarbeitung der Software-Operationsverarbeitungseinheit 13 gemäß einem Diagnoseergebnis der HSM-Hardware-Diagnoseeinheit 14 durch. Somit ist es möglich, die Verschlüsselungs- und Entschlüsselungsprozesse gemäß dem Diagnoseergebnis der HSM-Hardware-Verarbeitungseinheit 12 als eine Hardware-Verarbeitung oder eine Software-Verarbeitung auszuführen. Als Ergebnis ist es selbst dann, wenn ein Problem in der HSM-Hardware-Verarbeitungseinheit 12 aufgetreten ist, möglich, die Verschlüsselungs- und Entschlüsselungsprozesse fortzusetzen.As in 1 is illustrated, the vehicle control device includes at least the HSM hardware processing unit 12, the software operation processing unit (the software operation processing unit encryption module 13), the HSM hardware diagnosis unit 14 and the control unit 11. The HSM hardware processing unit 12 is a Hardware security module that performs encryption and decryption processes. The software operation processing unit (the software operation processing unit encryption module 13) uses a processor to perform the same encryption and decryption processes as the HSM hardware processing unit 12. The HSM hardware diagnostic unit 14 diagnoses the HSM Hardware processing unit 12. The control unit 11 performs switching between the processing of the HSM hardware processing unit 12 and the processing of the software operation processing unit 13 according to a diagnosis result of the HSM hardware diagnosis unit 14. Thus, it is possible to execute the encryption and decryption processes as hardware processing or software processing according to the diagnostic result of the HSM hardware processing unit 12 . As a result, even if a problem has occurred in the HSM hardware processing unit 12, it is possible to continue the encryption and decryption processes.

Wie in 4 veranschaulicht ist, führt dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist, die Steuereinheit 11 ein Umschalten von der Verarbeitung der HSM-Hardware-Verarbeitungseinheit 12 zur Verarbeitung der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13) durch. Somit ist es selbst dann, wenn die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist, möglich, die Verarbeitung der HSM-Hardware-Verarbeitungseinheit 12 durch der Verarbeitung der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13) zu ersetzen.As in 4 illustrated, when it is diagnosed that the HSM hardware processing unit 12 is faulty, the control unit 11 performs switching from the processing of the HSM hardware processing unit 12 to the processing of the software operation processing unit (the software operation processing unit encryption module 13 ) through. Thus, even if the HSM hardware processing unit 12 is faulty, it is possible to replace the processing of the HSM hardware processing unit 12 with the processing of the software operation processing unit (the software operation processing unit encryption module 13).

Wie in 1 veranschaulicht ist, enthält die Fahrzeugsteuervorrichtung die Lastfaktormesseinheit 15, die den Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 misst. Wie in 4 veranschaulicht ist, verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 oder die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13) Verschlüsselungs- und Entschlüsselungsprozesse in Übereinstimmung mit dem Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 und damit, ob die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist oder nicht (dem HSM-Zustand), ausführen. Somit ist es möglich, den Durchsatz der Verschlüsselungs- und Entschlüsselungsprozesse gemäß dem Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 zu ändern.As in 1 As illustrated, the vehicle control device includes the load factor measurement unit 15 that measures the load factor of the HSM hardware processing unit 12 . As in 4 illustrated, the control unit 11 causes the HSM hardware processing unit 12 or the software operation processing unit (the software operation processing unit encryption module 13) encryption and decryption processes in accordance with the load factor of the HSM hardware processing unit 12 and thus whether the HSM hardware processing unit 12 is faulty or not (the HSM state). Thus, it is possible to change the throughput of the encryption and decryption processes according to the load factor of the HSM hardware processing unit 12 .

Speziell verursacht dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM-Zustand: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 kleiner als ein erster Schwellenwert ist (Lastfaktor: normal), die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM-Zustand: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13) die Verschlüsselungs- und Entschlüsselungsprozesse ausführen. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM-Zustand: anomal), verursacht die Steuereinheit 11, dass die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Somit ist es z. B. dann, wenn die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 hoch ist, durch gleichzeitiges Durchführen der Hardware-Verarbeitung und der Software-Verarbeitung möglich, den Durchsatz der Verschlüsselungs- und Entschlüsselungsprozesse zu verbessern.Specifically, when it is diagnosed that the HSM hardware processing unit 12 is not faulty (HSM state: normal) and the load factor of the HSM hardware processing unit 12 is less than a first threshold (load factor: normal), the control unit causes 11 that the HSM hardware processing unit 12 performs encryption and decryption processes. When it is diagnosed that the HSM hardware processing unit 12 is not faulty (HSM state: normal) and the load factor of the HSM hardware processing unit 12 is equal to or greater than the first threshold (load factor: heavy load), the control unit causes 11 that the HSM hardware processing unit 12 and the software operation processing unit (the software operation processing unit encryption module 13) perform the encryption and decryption processes. When the HSM hardware processing unit 12 is diagnosed to be faulty (HSM state: abnormal), the control unit 11 causes the software operation processing unit to execute the encryption and decryption processes. So it is e.g. For example, when the HSM hardware processing unit 12 is not faulty and the load factor of the HSM hardware processing unit 12 is high, by simultaneously performing the hardware processing and the software processing, it is possible to increase the throughput of the encryption and decryption processes improve.

Wie oben beschrieben wird, ist es gemäß der ersten Ausführungsform, obwohl ein Fehler in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist, möglich, durch Ersetzen der HSM-Hardware-Verarbeitungseinheit durch das Software-Operationsverschlüsselungsmodul kontinuierlich das Fahrzeug zu verwenden. Zusätzlich ist es, wenn der Lastfaktor zunimmt, außerdem möglich, die Verarbeitungslast durch gleichzeitiges Verwenden der HSM-Hardware-Verarbeitungseinheit 12 und des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13 zu verringern.As described above, according to the first embodiment, even though an error has occurred in the HSM hardware processing unit, by replacing the HSM hardware processing unit with the software operation encryption module, it is possible to continuously use the vehicle. In addition, when the load factor increases, it is also possible to reduce the processing load by using the HSM hardware processing unit 12 and the software operation processing unit encryption module 13 at the same time.

[Zweite Ausführungsform][Second embodiment]

Als nächstes wird eine Fahrzeugsteuervorrichtung gemäß einer zweiten Ausführungsform unter Bezugnahme auf 8 bis 10 beschrieben.Next, a vehicle control device according to a second embodiment will be described with reference to FIG 8th until 10 described.

8 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der zweiten Ausführungsform veranschaulicht. Das Verschlüsselungsmodul wird gemäß dem Zustand (normal oder anomal) der HSM-Hardware-Verarbeitungseinheit 12 und dem Zustand (normal oder hohe Last) des Lastfaktors gewählt. In der zweiten Ausführungsform wird ein Fall beschrieben, in dem die Anzahl von Software-Operationsverschlüsselungsmodulen zwei ist. Wenn ein Mehrkernmikrocomputer, der mehrere Kerne enthält, als ein Mikrocomputer in einer ECU verwendet wird, kann ein Software-Operationsverschlüsselungsmodul für jeden Kern konfiguriert sein (in der zweiten Ausführungsform werden Kern 1 und Kern 2 verwendet). 8th 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the second embodiment. The encryption module is chosen according to the state (normal or abnormal) of the HSM hardware processing unit 12 and the state (normal or high load) of the load factor. In the second embodiment, a case where the number of software operation encryption modules is two is described. When a multi-core microcomputer including multiple cores is used as a microcomputer in an ECU, a software operation encryption module can be configured for each core (in the second embodiment, core 1 and core 2 are used).

In der zweiten Ausführungsform wird die Anzahl von Software-Operationsverschlüsselungsmodulen zu zwei gesetzt. Allerdings ist die Anzahl von Software-Operationsverschlüsselungsmodulen nicht auf zwei beschränkt und kann z. B. drei oder mehr sein. Wenn die Anzahl von Software-Operationsverschlüsselungsmodulen zunimmt, nehmen entsprechend auch die Verschlüsselungsmodulauswahlmuster zu.In the second embodiment, the number of software operation encryption modules is set to two. However, the number of software operation encryption modules is not limited to two and can e.g. B. be three or more. As the number of software operation encryption modules increases, encryption module selection patterns also increase accordingly.

9 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in jedem Zustand. 9 Fig. 12 is a conceptual diagram of an encryption module selection operation in each state.

[Muster 2-1][Pattern 2-1]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor normal ist, wählt die Steuereinheit 11 die HSM-Hardware-Verarbeitungseinheit 12.If the HSM hardware processing unit 12 is normal and the load factor is normal, the control unit 11 selects the HSM hardware processing unit 12.

[Muster 2-2][pattern 2-2]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor eine hohe Last ist, wählt die Steuereinheit 11 die HSM-Hardware-Verarbeitungseinheit 12 und die Software-Operationsverschlüsselungsmodule 1 und 2 (13).When the HSM hardware processing unit 12 is normal and the load factor is a high load, the control unit 11 selects the HSM hardware processing unit 12 and the software operation encryption modules 1 and 2 (13).

[Muster 2-3][pattern 2-3]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist und der Lastfaktor hoch ist, wählt die Steuereinheit 11 die Software-Operationsverschlüsselungsmodule 1 und 2 (13).When the HSM hardware processing unit 12 is abnormal (faulty) and the load factor is high, the control unit 11 selects the software operation encryption modules 1 and 2 (13).

[Muster 2-4][pattern 2-4]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist und der Lastfaktor normal ist, wählt die Steuereinheit 11 ein Software-Operationsverschlüsselungsmodul 1 (13). In diesem Fall ist, da eine Verarbeitungsleistungsfähigkeitsdifferenz von der normalen Zeit auftritt, eine Degenerierung erforderlich (Kommunikationsbeschränkungszustand).When the HSM hardware processing unit 12 is abnormal (faulty) and the load factor is normal, the control unit 11 selects a software operation encryption module 1 (13). In this case, since a processing capability difference from the normal time occurs, degeneration is required (communication restriction state).

Der Betrieb der zweiten Ausführungsform wird unter Bezugnahme auf den Ablaufplan von 10 beschrieben.The operation of the second embodiment will be explained with reference to the flowchart of FIG 10 described.

In dem Ablaufplan von 10 werden Schritte, die dieselben Inhalte wie die der Schritte von 7 aufweisen, in 10 durch dieselben Schrittnummern bezeichnet und wird somit ihre genaue Beschreibung nicht wiederholt.In the schedule of 10 are steps that have the same contents as those of the steps of 7 exhibit, in 10 denoted by the same step numbers and thus their detailed description will not be repeated.

In S121 wird ein HSM-Fehlermerker gesetzt.In S121, an HSM error flag is set.

In S122 wird ein Hochlastmerker gesetzt.A high load flag is set in S122.

In S123 wird ein Modul, das verwendet werden soll, in Übereinstimmung mit den Merkern, die in S121 und S122 gesetzt wurden, gewählt. Es existieren vier Auswahlmuster abhängig von einem Fahrzeugzustand.In S123, a module to be used is selected in accordance with the flags set in S121 and S122. There are four selection patterns depending on a vehicle condition.

Merkmale der vorliegenden Ausführungsform können auch zusammengefasst werden, wie folgt.Features of the present embodiment can also be summarized as follows.

Die Lastfaktormesseinheit 15 misst nicht nur den Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12, sondern auch einen Lastfaktor der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13). Wie in 8 veranschaulicht ist, verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 oder die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13) Verschlüsselungs- und Entschlüsselungsprozesse in Übereinstimmung mit dem Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12, dem Lastfaktor der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13) und damit, ob die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist oder nicht (HSM-Zustand), ausführt. Somit ist es möglich, den Durchsatz der Verschlüsselungs- und Entschlüsselungsprozesse gemäß dem Lastfaktor der Software-Operationsverarbeitungseinheit zu ändern.The load factor measuring unit 15 measures not only the load factor of the HSM hardware processing unit 12 but also a load factor of the software operation processing unit (the software operation processing unit encryption module 13). As in 8th 1, the control unit 11 causes the HSM hardware processing unit 12 or the software operation processing unit (the software operation processing unit encryption module 13) to perform encryption and decryption processes in accordance with the load factor of the HSM hardware processing unit 12, the load factor of the software operation processing unit (of the software operation processing unit encryption module 13) and with it whether the HSM hardware processing unit 12 is faulty or not (HSM state). Thus, it is possible to change the throughput of the encryption and decryption processes according to the load factor of the software operation processing unit.

Speziell enthält ein Prozessor, der die Verarbeitung der Software-Operationsverarbeitungseinheit 13 durchführt, mehrere Kerne. Wie in 8 veranschaulicht ist, verursacht dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM-Zustand: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und zwei oder mehr Kerne (z. B. Kern 1 und Kern 2) des Prozessors Verschlüsselungs- und Entschlüsselungsprozesse ausführen. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM-Zustand: anomal) und der Lastfaktor der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13) gleich oder größer als ein zweiter Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass zwei oder mehr Kerne (z. B. Kern 1 und Kern 2) des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse ausführen. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM-Zustand: anomal) und der Lastfaktor der Software-Operationsverarbeitungseinheit kleiner als der zweite Schwellenwert ist (Lastfaktor: normal), verursacht die Steuereinheit 11, dass ein Kern des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Somit ist es z. B. dann, wenn die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist und der Lastfaktor der Software-Operationsverarbeitungseinheit hoch ist, möglich, den Durchsatz der Verschlüsselungs- und Entschlüsselungsprozesse durch Erhöhen der Anzahl von Kernen, die die Software-Verarbeitung durchführen, zu verbessern. Der erste Schwellenwert und der zweite Schwellenwert können gleich oder voneinander verschieden sein.Specifically, a processor that performs the processing of the software operation processing unit 13 includes multiple cores. As in 8th illustrated causes when it is diagnosed that the HSM hardware processing unit 12 is not faulty (HSM state: normal) and the load factor of the HSM hardware processing unit 12 is equal to or greater than the first threshold (load factor: high Last), the control unit 11, the HSM hardware processing unit 12 and two or more cores (e.g. core 1 and core 2) of the processor perform encryption and decryption processes. When it is diagnosed that the HSM hardware processing unit 12 is faulty (HSM state: abnormal) and the load factor of the software operation processing unit (the software operation processing unit encryption module 13) is equal to or greater than a second threshold (load factor: heavy load ), the control unit 11 causes two or more cores (e.g. core 1 and core 2) of the processor to perform the encryption and decryption processes. When the HSM hardware processing unit 12 is diagnosed to be faulty (HSM state: abnormal) and the load factor of the software operation processing unit is less than the second threshold (Load factor: normal), the control unit 11 causes a core of the processor to execute the encryption and decryption processes. So it is e.g. B. when the HSM hardware processing unit 12 is faulty and the load factor of the software operation processing unit is high, it is possible to improve the throughput of the encryption and decryption processes by increasing the number of cores that perform the software processing. The first threshold and the second threshold may be the same or different from each other.

Wie oben beschrieben wird, ist es gemäß der zweiten Ausführungsform selbst dann, wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit 12 aufgetreten ist, oder selbst in einem Hochlastzustand möglich, die HSM-Hardware-Verarbeitungseinheit durch mehrere Software-Operationsverarbeitungseinheit-Verschlüsselungsmodule 13 zu ersetzen. Somit ist es möglich, die Anzahl von Auswahlmustern von Verschlüsselungsmodulen zu erhöhen und eine flexiblere Steuerung im Vergleich zur ersten Ausführungsform durchzuführen.As described above, according to the second embodiment, even when an error has occurred in the HSM hardware processing unit 12 or even in a high-load state, it is possible to encrypt the HSM hardware processing unit by a plurality of software operation processing unit encryption modules 13 substitute. Thus, it is possible to increase the number of selection patterns of scrambling modules and perform more flexible control compared to the first embodiment.

[Dritte Ausführungsform][Third embodiment]

11 veranschaulicht ein Beispiel des Installierens mehrerer Anwendungen in einer Fahrzeugsteuervorrichtung gemäß einer dritten Ausführungsform. Ein Beispiel, in dem mehrere Anwendungen in einer ECU installiert sind, wie oben beschrieben ist, wird unten beschrieben. 11 12 illustrates an example of installing multiple applications in a vehicle control device according to a third embodiment. An example in which multiple applications are installed in one ECU as described above will be described below.

11 veranschaulicht vier Anwendungsbeispiele. Zum Beispiel enthalten Beispiele einer Antriebsstrangsteueranwendung eine Kraftmaschinen - und Bremssteuerung, enthalten Beispiele einer Informationssteueranwendung eine Kraftfahrzeugnavigation, enthalten Beispiele einer Karosseriesteueranwendung eine Licht- und Fensterhebeverarbeitung und enthalten Beispiele einer Fahrzeugsteueranwendung eine Bewegungsanzeigevorrichtung. Die Kommunikationsgeschwindigkeit und die Wichtigkeit (die Priorität), die für jede Anwendung erforderlich sind, sind verschieden und die Ersetzungsmöglichkeit durch das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 und die Notwendigkeit eines Hardware-HSM (einer HSM-Hardware-Verarbeitungseinheit) sind auch für jede Anwendung verschieden. Die Inhalte, die in 11 veranschaulicht sind, sind ein Beispiel zum Beschreiben der vorliegenden Ausführungsform und sind nicht darauf beschränkt. 11 illustrates four application examples. For example, examples of a powertrain control application include engine and brake control, examples of an information control application include automotive navigation, examples of a body control application include lights and window processing, and examples of a vehicle control application include motion display. The communication speed and importance (priority) required for each application are different, and the possibility of replacement by the software operation processing unit encryption module 13 and the need for a hardware HSM (an HSM hardware processing unit) are also for each application different. The content that is in 11 are illustrated are an example for describing the present embodiment and are not limited thereto.

12 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der dritten Ausführungsform veranschaulicht. Ein priorisierter Prozess wird gemäß dem Typ jeder Anwendung durch den Zustand (normal oder anomal) der HSM-Hardware-Verarbeitungseinheit 12 und des Zustands (normal oder hohe Last) des Lastfaktors bestimmt und das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13, das verwendet werden soll, wird gewählt. In der dritten Ausführungsform wird ein Fall beschrieben, in dem die Anzahl von Software-Operationsverschlüsselungsmodulen drei ist. Allerdings ist die Anzahl von Software-Operationsverschlüsselungsmodulen nicht auf drei beschränkt und kann z. B. vier oder mehr sein. 12 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the third embodiment. A prioritized process is determined according to the type of each application by the state (normal or abnormal) of the HSM hardware processing unit 12 and the state (normal or high load) of the load factor and the software operation processing unit encryption module 13 to be used is selected. In the third embodiment, a case where the number of software operation encryption modules is three is described. However, the number of software operation encryption modules is not limited to three and can e.g. B. be four or more.

13 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in jedem Zustand. 13 Fig. 12 is a conceptual diagram of an encryption module selection operation in each state.

[Muster 3-1][Pattern 3-1]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor normal ist, wählen eine Antriebsstrangsteueranwendung und eine Informationssteueranwendung die HSM-Hardware-Verarbeitungseinheit 12, wählt eine Karosseriesteueranwendung ein Software-Operationsverschlüsselungsmodul 2 (13) und wählt eine Fahrzeugsteueranwendung ein Software-Operationsverschlüsselungsmodul 3 (13).When the HSM hardware processing unit 12 is normal and the load factor is normal, a power train control application and an information control application select the HSM hardware processing unit 12, a body control application selects a software operation code module 2 (13), and a vehicle control application selects a software operation code module 3 (13).

[Muster 3-2][Pattern 3-2]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor eine hohe Last ist, wählt die Antriebsstrangsteueranwendung die HSM-Hardware-Verarbeitungseinheit 12 und das Software-Operationsverschlüsselungsmodul 1 (13), wählt die Informationssteueranwendung die HSM-Hardware-Verarbeitungseinheit 12, wählt die Karosseriesteueranwendung ein Software-Operationsverschlüsselungsmodul 2 (13) und wählt die Fahrzeugsteueranwendung ein Software-Operationsverschlüsselungsmodul 3 (13).When the HSM hardware processing unit 12 is normal and the load factor is a high load, the powertrain control application selects the HSM hardware processing unit 12 and the software operation encryption module 1 (13), the information control application selects the HSM hardware processing unit 12, selects the body control application selects a software operation keying module 2 (13); and the vehicle control application selects a software operation keying module 3 (13).

[Muster 3-3][pattern 3-3]

Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist, wählt die Antriebsstrangsteueranwendung gleichzeitig die Software-Operationsverschlüsselungsmodule 1 und 2 (13). Die Informationssteueranwendung und die Karosseriesteueranwendung degenerieren und wählen kein Modul und die Fahrzeugsteueranwendung wählt das Software-Operationsverschlüsselungsmodul 3 (13).If the HSM hardware processing unit 12 is abnormal (faulty), the powertrain control application simultaneously selects the software operation encryption modules 1 and 2 (13). The information control application and the body control application degenerate and choose no module, and the vehicle control application choose the software operation encryption module 3 (13).

Der Betrieb der dritten Ausführungsform wird unter Bezugnahme auf den Ablaufplan von 14 beschrieben.The operation of the third embodiment will be explained with reference to the flowchart of FIG 14 described.

Im Ablaufplan von 14 werden Schritte, die dieselben Inhalte wie die der Schritte in der zweiten Ausführungsform besitzen (10), in 14 durch dieselben Schrittnummern bezeichnet und somit wird ihre genaue Beschreibung nicht wiederholt.In the schedule of 14 are steps that have the same contents as those of the steps in the two th embodiment ( 10 ), in 14 denoted by the same step numbers and thus their detailed description will not be repeated.

In S130 wird ein Anwendungstyp, in dem der Nachrichten-Sende- und Empfangsprozess ausgeführt wird, erfasst.In S130, an application type in which the message sending and receiving process is executed is detected.

In S131 wird ein priorisierter Prozess gemäß den Merkern, die in S121 und S122 gesetzt wurden, und dem Anwendungstyp, der in S130 erfasst wurde, bestimmt. Dann wird das Verschlüsselungsmodul gewählt, das verwendet werden soll.In S131, a prioritized process is determined according to the flags set in S121 and S122 and the application type detected in S130. Then the encryption module to be used is selected.

Merkmale der vorliegenden Ausführungsform können auch zusammengefasst werden, wie folgt.Features of the present embodiment can also be summarized as follows.

Wie in 12 veranschaulicht ist, verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 oder die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13) Verschlüsselungs- und Entschlüsselungsprozesse in Übereinstimmung damit, ob die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (dem HSM des Fahrzeugzustands), mit dem Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 (dem Lastfaktor des Fahrzeugzustands) und der Priorität jeder Anwendung ausführen. Somit ist es möglich, den Durchsatz der Verschlüsselungs- und Entschlüsselungsprozesse gemäß der Priorität der Anwendung zu ändern.As in 12 1, the control unit 11 causes the HSM hardware processing unit 12 or the software operation processing unit (the software operation processing unit encryption module 13) to perform encryption and decryption processes in accordance with whether the HSM hardware processing unit 12 is faulty (the HSM of the vehicle state), with the load factor of the HSM hardware processing unit 12 (the load factor of the vehicle state) and the priority of each application. Thus, it is possible to change the throughput of the encryption and decryption processes according to the priority of the application.

Speziell verursacht dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 kleiner als der erste Schwellenwert ist (Lastfaktor: normal), die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung, die die höchste Priorität besitzt (der Antriebsstrangsteueranwendung), ausführt. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführt, die die höchste Priorität besitzt (der Antriebsstrangsteueranwendung). Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM: anomal), beendet die Steuereinheit 11 eine Anwendung (eine Karosseriesteueranwendung) mit der niedrigsten Priorität, die durch den Prozessor ausgeführt wird, und verursacht, dass die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung (der Antriebsstrangsteueranwendung) die die höchste Priorität besitzt, ausführt. Somit ist es möglich, Betriebsmittel des Prozessors der Anwendung zu geben, die die höchste Priorität besitzt. Die Anwendung (die Antriebsstrangsteueranwendung), die die höchste Priorität besitzt, ist Software zum Steuern eines Antriebsstrangs des Fahrzeugs.Specifically, when it is diagnosed that the HSM hardware processing unit 12 is not faulty (HSM: normal) and the load factor of the HSM hardware processing unit 12 is smaller than the first threshold value (load factor: normal), the control unit 11 causes that the HSM hardware processing unit 12 performs encryption and decryption processes in the communication of the application having the highest priority (the power train control application). When it is diagnosed that the HSM hardware processing unit 12 is not faulty (HSM: normal) and the load factor of the HSM hardware processing unit 12 is equal to or greater than the first threshold (load factor: heavy load), the control unit 11 causes that the HSM hardware processing unit 12 and the software operation processing unit performs the encryption and decryption processes in the communication of the application that has the highest priority (the power train control application). When the HSM hardware processing unit 12 is diagnosed to be faulty (HSM: abnormal), the control unit 11 terminates an application (a body control application) with the lowest priority executed by the processor, and causes the software operation processing unit performs the encryption and decryption processes in the communication of the application (the powertrain control application) having the highest priority. Thus, it is possible to give resources of the processor to the application that has the highest priority. The application (the power train control application) having the highest priority is software for controlling a power train of the vehicle.

In der vorliegenden Ausführungsform enthält der Prozessor mehrere Kerne. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und mindestens ein Kern des Prozessors Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführen, die die höchste Priorität besitzt. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM: anomal), beendet die Steuereinheit 11 eine Anwendung mit der niedrigsten Priorität, die durch den Kern des Prozessors ausgeführt wird, und verursacht, dass zwei oder mehr Kerne des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführen, die die höchste Priorität besitzt. Somit ist es möglich, die Betriebsmittel des Prozessorkerns der Anwendung zu geben, die die höchste Priorität besitzt.In the present embodiment, the processor includes multiple cores. When it is diagnosed that the HSM hardware processing unit 12 is not faulty (HSM: normal) and the load factor of the HSM hardware processing unit is equal to or greater than the first threshold (load factor: high load), the control unit 11 causes that the HSM hardware processing unit 12 and at least one core of the processor perform encryption and decryption processes in the communication of the application that has the highest priority. When the HSM hardware processing unit 12 is diagnosed to be faulty (HSM: abnormal), the control unit 11 terminates an application with the lowest priority executed by the core of the processor and causes two or more cores of the processor to fail perform the encryption and decryption processes in the communication of the application that has the highest priority. Thus, it is possible to give the resources of the processor core to the application that has the highest priority.

Wie oben beschrieben wird, ist es gemäß der dritten Ausführungsform selbst dann, wenn mehrere Anwendungen in der ECU installiert sind, möglich, einen Prozess gemäß der Priorität der Anwendung zu wählen, selbst wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist oder selbst in einem Hochlastzustand.As described above, according to the third embodiment, even if a plurality of applications are installed in the ECU, it is possible to select a process according to the priority of the application even if an error has occurred in the HSM hardware processing unit or itself in a high load condition.

[Vierte Ausführungsform][Fourth Embodiment]

In der dritten Ausführungsform wurde ein Beispiel beschrieben, in dem die mehreren Anwendungen in einer ECU installiert sind, jedoch kann die vorliegende Erfindung auch auf eine Fahrzeugsteuervorrichtung angewendet werden, die mehrere ECU enthält.In the third embodiment, an example in which the multiple applications are installed in one ECU was described, but the present invention can also be applied to a vehicle control device including multiple ECUs.

15 ist ein Blockdiagramm, das eine Gesamtkonfiguration einer Fahrzeugsteuervorrichtung gemäß einer vierten Ausführungsform veranschaulicht. 15 14 is a block diagram illustrating an overall configuration of a vehicle control device according to a fourth embodiment.

Eine integrierte ECU 40 enthält eine Steuereinheit 11, eine HSM-Hardware-Diagnoseeinheit 14 und eine Kommunikationsschnittstelle 41. Die integrierte ECU 40 ist mit einer HSM-Hardware-Verarbeitungseinheit 50, einer Antriebsstrangsteuer-ECU 60, einer Informationssteuer-ECU 70, einer Karosseriesteuer-ECU 80 und einer Fahrzeugsteuer-ECU 90 mittels der Kommunikationsschnittstelle 41 verbunden.An integrated ECU 40 includes a control unit 11, an HSM hardware diagnostic unit 14 and a communication interface 41. The integrated ECU 40 is provided with an HSM hardware processing unit 50, a power train control ECU 60, an information control ECU 70, a body control ECU 80 and a vehicle control ECU 90 are connected via the communication interface 41 .

Die Antriebsstrangsteuer-ECU 60 enthält eine Kommunikationsschnittstelle 61, eine Steuereinheit 62, mehrere Software-Operationsverschlüsselungsmodule 63 und eine Lastfaktormesseinheit 64. Die Antriebsstrangsteuer-ECU 60 ist mit der integrierten ECU 40 und der HSM-Hardware-Verarbeitungseinheit 50 mittels der Kommunikationsschnittstelle 61 verbunden und führt einen Verschlüsselungsoperationsprozess unter Verwendung der HSM-Hardware-Verarbeitungseinheit 50 und eines Software-Operationsverschlüsselungsmoduls 63 (Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls) aus. Die Antriebsstrangsteuer-ECU 60 teilt der integrierten ECU 40 ein Lastfaktormessergebnisses mittels der Kommunikationsschnittstelle 61 mit.The powertrain control ECU 60 includes a communication interface 61, a control unit 62, a plurality of software operation encryption modules 63 and a load factor measurement unit 64. The powertrain control ECU 60 is connected to the integrated ECU 40 and the HSM hardware processing unit 50 via the communication interface 61 and leads executes an encryption operation process using the HSM hardware processing unit 50 and a software operation encryption module 63 (software operation processing unit encryption module). The power train control ECU 60 notifies the integrated ECU 40 of a load factor measurement result via the communication interface 61 .

In der vorliegenden Ausführungsform weisen die Informationssteuer-ECU 70, die Karosseriesteuer-ECU 80 und die Fahrzeugsteuer-ECU 90 ähnliche Konfigurationen zu denen der Antriebsstrangsteuer-ECU 60 auf, sind jedoch nicht darauf beschränkt und können teilweise verschiedene Konfigurationen aufweisen.In the present embodiment, the information control ECU 70, the body control ECU 80, and the vehicle control ECU 90 have configurations similar to those of the power train control ECU 60, but are not limited thereto and may have different configurations in part.

16 veranschaulicht ein Beispiel, in dem mehrere ECU in der Fahrzeugsteuervorrichtung installiert sind, in der vierten Ausführungsform. Die Kommunikationsgeschwindigkeit und die Wichtigkeit (die Priorität), die für jede Anwendung, die in jeder ECU installiert ist, erforderlich sind, die Ersetzungsmöglichkeit durch das Software-Operationsverschlüsselungsmodul und die Notwendigkeit eines Hardware-HSM (einer HSM-Hardware-Verarbeitungseinheit 50) sind auch für jede ECU verschieden. Die Inhalte, die in 16 veranschaulicht sind, sind ein Beispiel zum Beschreiben der vorliegenden Ausführungsform und sind nicht darauf beschränkt. 16 12 illustrates an example in which a plurality of ECUs are installed in the vehicle control device in the fourth embodiment. The communication speed and the importance (priority) required for each application installed in each ECU, the possibility of replacement by the software operation encryption module, and the need for a hardware HSM (an HSM hardware processing unit 50) are also different for each ECU. The content in 16 are illustrated are an example for describing the present embodiment and are not limited thereto.

17 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der vierten Ausführungsform veranschaulicht. Ein priorisierter Prozess wird gemäß dem Typ jeder ECU mittels des Zustands (normal oder anomal) der HSM-Hardware-Verarbeitungseinheit 50 und des Zustands (normal oder hohe Last) des Lastfaktors bestimmt und das Software-Operationsverschlüsselungsmodul, das durch jede ECU verwendet werden soll, wird bestimmt. In der vierten Ausführungsform wird ein Fall beschrieben, in dem die Gesamtanzahl von Software-Operationsverschlüsselungsmodulen in jeder ECU 2 ist. Allerdings ist die vorliegende Ausführungsform nicht darauf beschränkt. 17 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the fourth embodiment. A prioritized process is determined according to the type of each ECU by means of the state (normal or abnormal) of the HSM hardware processing unit 50 and the state (normal or high load) of the load factor and the software operation encryption module to be used by each ECU is determined. In the fourth embodiment, a case where the total number of software operation encryption modules in each ECU is 2 will be described. However, the present embodiment is not limited to this.

18 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der vierten Ausführungsform. 18 14 is a conceptual diagram of a crypto module selection operation in the vehicle control device in the fourth embodiment.

[Muster 4-1][Pattern 4-1]

Wenn die HSM-Hardware-Verarbeitungseinheit 50 normal ist und der Lastfaktor normal ist, teilt die integrierte ECU 40 der Antriebsstrangsteuer-ECU 60 und der Informationssteuer-ECU 70 die Verwendung (den Befehl) der HSM-Hardware-Verarbeitungseinheit 50 mit. Der Karosseriesteuer-ECU 80 und der Fahrzeugsteuer-ECU 90 wird die Verwendung des Software-Operationsverschlüsselungsmoduls in jeder ECU mitgeteilt.When the HSM hardware processing unit 50 is normal and the load factor is normal, the integrated ECU 40 notifies the power train control ECU 60 and the information control ECU 70 of the use (command) of the HSM hardware processing unit 50 . The body control ECU 80 and the vehicle control ECU 90 are informed of the use of the software operation encryption module in each ECU.

[Muster 4-2][Pattern 4-2]

Wenn die HSM-Hardware-Verarbeitungseinheit 50 normal ist und der Lastfaktor eine hohe Last ist, teilt die integrierte ECU 40 der Antriebsstrangsteuer-ECU 60 die Verwendung der HSM-Hardware-Verarbeitungseinheit 50 und des Software-Operationsverschlüsselungsmoduls 63 mit und teilt der Informationssteuer-ECU 70 die Verwendung der HSM-Hardware-Verarbeitungseinheit 50 mit. Die integrierte ECU 40 teilt der Karosseriesteuer-ECU 80 und der Fahrzeugsteuer-ECU 90 die Verwendung des Software-Operationsverschlüsselungsmoduls in jeder ECU mit.When the HSM hardware processing unit 50 is normal and the load factor is a high load, the integrated ECU 40 notifies the powertrain control ECU 60 of the use of the HSM hardware processing unit 50 and the software operation encryption module 63, and notifies the information control ECU 70 the use of the HSM hardware processing unit 50 with. The integrated ECU 40 notifies the body control ECU 80 and the vehicle control ECU 90 of the use of the software operation encryption module in each ECU.

[Muster 4-3][Pattern 4-3]

Wenn die HSM-Hardware-Verarbeitungseinheit 50 anomal (fehlerhaft) ist, teilt die integrierte ECU 40 der Antriebsstrangsteuer-ECU 60 eine gleichzeitige Verwendung der Software-Operationsverschlüsselungsmodule 1 und 2 (63) mit, teilt der Informationssteuer-ECU 70 die Nichtverwendung des Software-Operationsverschlüsselungsmoduls mit und teilt der Karosseriesteuer-ECU 80 und der Fahrzeugsteuer-ECU 90 eine Verwendung des Software-Operationsverschlüsselungsmoduls in jeder ECU mit.When the HSM hardware processing unit 50 is abnormal (faulty), the integrated ECU 40 notifies the powertrain control ECU 60 of simultaneous use of the software operation encryption modules 1 and 2 (63), notifies the information control ECU 70 of non-use of the software operation encryption module and notifies the body control ECU 80 and the vehicle control ECU 90 of use of the software operation encryption module in each ECU.

Der Betrieb der vierten Ausführungsform wird unter Bezugnahme auf den Ablaufplan von 19 und 20 beschrieben.The operation of the fourth embodiment will be explained with reference to the flowchart of FIG 19 and 20 described.

Zunächst führt die integrierte ECU 40 einen HSM-Hardware-Diagnoseprozess während eines Kommunikationsinitialisierungsprozesses aus. Da der Betrieb ähnlich dem in 6 ist, wird seine Beschreibung unterlassen.First, the integrated ECU 40 executes an HSM hardware diagnosis process during a communication initialization process. Since the operation is similar to that in 6 is, its description will be omitted.

Wenn der Kommunikationsinitialisierungsprozess beendet ist, wird ein integrierter ECU-Prozess in S190 in 19 gestartet.When the communication initialization process is finished, an ECU integrated process is executed in S190 in 19 started.

In S191 werden Lastfaktorinformationen von jeder ECU wie z. B. der Antriebsstrangsteuer-ECU 60 erfasst.In S191, load factor information from each ECU such as B. the power train control ECU 60 detected.

In S192 werden zwei Stufen eines normalen Zustands und eines Hochlastzustands in Übereinstimmung damit gesetzt, ob der Gesamtwert der Lastfaktoren der ECU gleich oder größer als ein Schwellenwert ist, der im Voraus eingestellt wurde, oder nicht. Wenn bestimmt wird, dass der Lastfaktor eine hohe Last ist (JA), schreitet der Prozess fort zu S193. Wenn bestimmt wird, dass der Ist-Zustand der normale Zustand ist (NEIN), schreitet der Prozess fort zu S195 und der Prozess wird beendet. In der vorliegenden Ausführungsform sind die zwei Stufen des normalen Zustands und des Hochlastzustands gesetzt, um vorgesehen zu sein, jedoch ist die vorliegende Ausführungsform nicht darauf beschränkt.In S192, two stages of a normal state and a high-load state are set in accordance with whether or not the total value of the load factors of the ECU is equal to or larger than a threshold value set in advance. If it is determined that the load factor is a high load (YES), the process proceeds to S193. If it is determined that the current state is the normal state (NO), the process proceeds to S195 and the process ends. In the present embodiment, the two stages of the normal state and the high load state are set to be provided, but the present embodiment is not limited to this.

In S193 wird ein priorisierter Prozess gemäß dem Typ jeder ECU mittels der HSM-Fehlerinformationen und der Lastfaktorinformationen bestimmt, die in S191 erfasst wurden, und wird ein Software-Operationsverschlüsselungsmodul, das durch jede ECU verwendet werden soll, bestimmt.In S193, a prioritized process is determined according to the type of each ECU using the HSM error information and the load factor information acquired in S191, and a software operation encryption module to be used by each ECU is determined.

In S194 wird ein Software-Operationsverschlüsselungsmodulumschaltbefehl zu jeder ECU gesendet. In S195 wird ein Nachrichten-Sende- und Empfangsprozess beendet.In S194, a software operation encryption module switching command is sent to each ECU. In S195, a message sending and receiving process is ended.

Als nächstes wird ein Antriebsstrangsteuer-ECU-Prozess unter Bezugnahme auf 20 beschrieben. Da der Betrieb der Antriebsstrangsteuer-ECU 60 denen der ECU außer der Antriebsstrangsteuer-ECU 60 ähnlich ist, wird ihre Beschreibung unterlassen.Next, a powertrain control ECU process will be described with reference to FIG 20 described. Since the operation of the power train control ECU 60 is similar to that of the ECU other than the power train control ECU 60, its description is omitted.

In S200 wird der Antriebsstrangsteuer-ECU-Prozess gestartet.In S200, the power train control ECU process is started.

In S201 wird geprüft, ob eine Nachrichten-Sende- und Empfangsanforderung vorliegt. Wenn die Anforderung vorliegt (JA), schreitet der Prozess fort zu S202. Wenn keine Anforderung vorliegt (NEIN), schreitet der Prozess fort zu S207.In S201 it is checked whether there is a message transmission and reception request. If the request is present (YES), the process proceeds to S202. If there is no request (NO), the process proceeds to S207.

In S202 wird eine Mitteilung von der integrierten ECU 40 empfangen.A notification from the integrated ECU 40 is received in S202.

In S203 wird geprüft, ob ein Schaltbefehl aus der empfangenen Mitteilung vorliegt oder nicht. Wenn der Schaltbefehl vorliegt (JA), schreitet der Prozess fort zu S204. Wenn kein Schaltbefehl vorliegt (NEIN), werden ein Nachrichtenauthentifizierungsprozess (S205) und ein Nachrichten-Sende- und Empfangsprozess (S206) ausgeführt.In S203 it is checked whether or not there is a switching command from the received notification. If the shift command is present (YES), the process proceeds to S204. If there is no switching command (NO), a message authentication process (S205) and a message sending and receiving process (S206) are executed.

In S204 wird das Software-Operationsverschlüsselungsmodul umgeschaltet. Dann werden der Nachrichtenauthentifizierungsprozess (S205) und der Nachrichten-Sende- und Empfangsprozess (S206) ausgeführt.In S204, the software operation encryption module is switched. Then, the message authentication process (S205) and the message sending and receiving process (S206) are executed.

In S207 werden die Lastfaktorinformationen zur integrierten ECU 40 gesendet.The load factor information is sent to the integrated ECU 40 in S207.

In S208 wird der Antriebsstrangsteuer-ECU-Prozess beendet.In S208, the power train control ECU process is ended.

Wie oben beschrieben wird, ist es gemäß der vierten Ausführungsform möglich, dass die Fahrzeugsteuervorrichtung, die mehrere ECU wie z. B. eine integrierte ECU enthält, den Prozess gemäß der Priorität der ECU selbst dann, wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit 50 aufgetreten ist, oder selbst in einem Hochlastzustand zu wählen.As described above, according to the fourth embodiment, it is possible that the vehicle control device that includes a plurality of ECUs such as e.g. B. includes an integrated ECU to select the process according to the priority of the ECU even if a failure has occurred in the HSM hardware processing unit 50 or even in a high-load state.

[Sonstiges][Miscellaneous]

Die vorliegende Erfindung ist nicht auf die oben beschriebenen Ausführungsformen beschränkt und verschiedene Abwandlungsbeispiele können geschaffen werden. Zum Beispiel sind die oben beschriebenen Ausführungsformen genau beschrieben, um die vorliegende Erfindung in einer leicht verständlichen Weise zu erläutern und sind die oben beschriebenen Ausführungsformen nicht notwendigerweise auf einen Fall beschränkt, der alle beschriebenen Konfigurationen enthält. Ferner können einige Komponenten in einer Ausführungsform durch die Komponenten in einer weiteren Ausführungsform ersetzt werden und kann die Konfiguration einer weiteren Ausführungsform zur Konfiguration einer Ausführungsform hinzugefügt werden. Hinsichtlich einiger Komponenten in den Ausführungsformen können weitere Komponenten hinzugefügt, entfernt und ersetzt werden.The present invention is not limited to the above-described embodiments, and various modification examples can be made. For example, the above-described embodiments are described in detail in order to explain the present invention in an easy-to-understand manner, and the above-described embodiments are not necessarily limited to a case including all configurations described. Furthermore, some components in one embodiment may be replaced with the components in another embodiment, and the configuration of another embodiment may be added to the configuration of one embodiment. With respect to some components in the embodiments, other components may be added, removed, and replaced.

Einige oder alle der Konfigurationen, Funktionen und dergleichen können in Hardware implementiert werden, z. B., indem sie mit einer integrierten Schaltung ausgelegt sind. Ferner können die oben beschriebenen jeweiligen Komponenten, Funktionen und dergleichen durch Software durch den Prozessor (den Mikrocomputer), der ein Programm zum Realisieren der jeweiligen Funktionen interpretiert und ausführt, realisiert werden. Informationen wie z. B. ein Programm, eine Tabelle und eine Datei, die jede Funktion realisieren, können in einem Speicher, einer Aufzeichnungsvorrichtung wie z. B. einer Festplatte und einem Festkörperlaufwerk (SSD) oder einem Aufzeichnungsmedium wie z. B. einer IC-Karte, einer SD-Karte und einem DVD gespeichert sein.Some or all of the configurations, functions and the like can be implemented in hardware, e.g. B. by being designed with an integrated circuit. Further, the respective components, functions, and the like described above can be realized by software through the processor (microcomputer) that interprets and executes a program for realizing the respective functions. information such as B. a program, a table and a file realizing each function can be stored in a memory, a recording device such. B. a hard disk and a solid state drive (SSD) or a recording medium such. B. an IC card, an SD card and a DVD.

Ausführungsformen der vorliegenden Erfindung können die folgenden Aspekte aufweisen.Embodiments of the present invention may have the following aspects.

(1). Eine Fahrzeugsteuervorrichtung, die eine Hardware-Sicherheitsmodul-Hardware-Verarbeitungseinheit (HSM-Hardware-Verarbeitungseinheit) (12, 22, 50), eine Software-Operationsverarbeitungseinheit (ein Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13, 63), die eine Verarbeitung als ein Ersatz für die HSM-Hardware-Verarbeitungseinheit durchführt, eine HSM-Hardware-Diagnoseeinheit (14), die die HSM-Hardware-Verarbeitungseinheit diagnostiziert, und eine Steuereinheit (11, 62), die ein Umschalten zwischen einer HSM-Hardware-Verarbeitung und einer Software-Operationsverarbeitung durchführt, enthält, wobei die Steuereinheit ein Umschalten zwischen der HSM-Hardware-Verarbeitung und der Software-Operationsverarbeitung gemäß einem Bestimmungsergebnis der HSM-Hardware-Diagnoseeinheit durchführt.(1). A vehicle control device that includes a hardware security module (HSM) hardware processing unit (12, 22, 50), a software operation processing unit (a software operation processing unit encryption module 13, 63) that performs processing as a substitute for the HSM hardware processing unit performs, an HSM hardware diagnostics unit (14) that diagnoses the HSM hardware processing unit, and a control unit (11, 62) that performs switching between HSM hardware processing and software performs operation processing, wherein the control unit performs switching between the HSM hardware processing and the software operation processing according to a determination result of the HSM hardware diagnosis unit.

(2). In der Fahrzeugsteuervorrichtung, die in (1) beschrieben ist, führt dann, wenn die HSM-Hardware-Diagnoseeinheit (14) eine Anomalie (einen Fehler) der HSM-Hardware-Verarbeitungseinheit (12, 22, 50) detektiert, die Steuereinheit (11, 62) ein Umschalten von der HSM-Hardware-Verarbeitung zur Software-Operationsverarbeitung durch.(2). In the vehicle control apparatus described in (1), when the HSM hardware diagnosis unit (14) detects an abnormality (fault) of the HSM hardware processing unit (12, 22, 50), the control unit (11 , 62) a switch from HSM hardware processing to software operation processing.

(3). Die Fahrzeugsteuervorrichtung, die in (2) beschrieben ist, enthält ferner eine Lastfaktormesseinheit (15), die einen Verarbeitungslastfaktor jeder der HSM-Hardware-Verarbeitungseinheit (12, 22, 50) und der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13, 63) misst, wobei dann, wenn die Lastfaktormesseinheit bestimmt, dass die Verarbeitungslast jeder der HSM-Hardware-Verarbeitungseinheit und der Software-Operationsverarbeitungseinheit eine hohe Last ist, die HSM-Hardware-Verarbeitung und eine oder mehrere Stücke einer Software-Operationsverarbeitung umgeschaltet werden oder gleichzeitig durchgeführt werden.(3). The vehicle control device described in (2) further includes a load factor measuring unit (15) that measures a processing load factor of each of the HSM hardware processing units (12, 22, 50) and the software operation processing unit (the software operation processing unit encryption module 13, 63) measures, wherein when the load factor measuring unit determines that the processing load of each of the HSM hardware processing unit and the software operation processing unit is a high load, the HSM hardware processing and one or more pieces of software operation processing are switched or be carried out simultaneously.

(4). Die Fahrzeugsteuervorrichtung, die in (3) beschrieben ist, führt Prozesse von Anwendungen aus, die mehrere verschiedene Prioritäten besitzen, wobei ein Schritt des Bestimmens einer Anwendung, die bevorzugt verarbeitet werden soll, unter den Anwendungen, die die mehreren verschiedenen Prioritäten besitzen, vorgesehen ist, und dann, wenn eine Anomalie der HSM-Hardware-Verarbeitungseinheit (12, 22, 50) detektiert wird oder wenn die Lastfaktormesseinheit (15) die Zunahme des Verarbeitungslastfaktors detektiert, verursacht wird, dass die Anwendung, die priorisiert werden soll, die in diesem Schritt bestimmt wird, bevorzugt die HSM-Hardware-Verarbeitung oder die Software-Operationsverarbeitung wählt.(4). The vehicle control device described in (3) executes processes of applications having plural different priorities, and a step of determining an application to be processed preferentially among the applications having the plural different priorities is provided , and when an anomaly of the HSM hardware processing unit (12, 22, 50) is detected or when the load factor measuring unit (15) detects the increase in the processing load factor, causing the application to be prioritized to be used in this step is determined preferentially selects HSM hardware processing or software operation processing.

Gemäß (1) bis (4) ist es möglich, die Fahrzeugsteuervorrichtung zu schaffen, die selbst dann das Fahrzeug kontinuierlich verwenden und die Verarbeitungslast verringern kann, wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist.According to (1) to (4), it is possible to provide the vehicle control device that can continuously use the vehicle and reduce the processing load even when a failure has occurred in the HSM hardware processing unit.

Das heißt, die Fahrzeugsteuervorrichtung enthält die HSM-Hardware-Verarbeitungseinheit und die Software-Operationsverarbeitungseinheit, die eine Verarbeitung als Ersatz für die HSM-Hardware-Verarbeitungseinheit durchführt, und kann somit eine Fahroperation durch Durchführen des Umschaltens zwischen der HSM-Hardware-Verarbeitung und der Software-Operationsverarbeitung fortsetzen, wenn ein Problem in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist. Es ist möglich, zusätzlich zum HSM-Hardware-Problem die Verarbeitungslast durch Durchführen des Umschaltens zwischen der HSM-Hardware-Verarbeitung und der Software-Operationsverarbeitung zu verringern, wenn der Verarbeitungslastfaktor der HSM-Hardware oder der Software-Operation zunimmt.That is, the vehicle control device includes the HSM hardware processing unit and the software operation processing unit that performs processing in substitution for the HSM hardware processing unit, and can thus perform a driving operation by performing switching between the HSM hardware processing and the Continue software operation processing when a problem has occurred in the HSM hardware processing unit. In addition to the HSM hardware problem, it is possible to reduce the processing load by performing switching between the HSM hardware processing and the software operation processing when the processing load factor of the HSM hardware or the software operation increases.

BezugszeichenlisteReference List

1, 2, 31, 2, 3
Fahrzeugsteuervorrichtungvehicle control device
10, 2010, 20
ECUECU
11, 6211, 62
Steuereinheitcontrol unit
12, 22, 5012, 22, 50
HSM-Hardware-VerarbeitungseinheitHSM hardware processing unit
13, 6313, 63
Software-OperationsverschlüsselungsmodulSoftware operation encryption module
1414
HSM-Hardware-DiagnoseeinheitHSM hardware diagnostic unit
15, 6415, 64
Lastfaktormesseinheitload factor measurement unit
3030
HSM-Hardware-FunktionsblockHSM hardware functional block
4040
Integrierte ECUIntegrated ECU
41, 6141, 61
Kommunikationsschnittstellecommunication interface
6060
Antriebsstrangsteuer-ECUPowertrain Control ECU
7070
Informationssteuer-ECUInformation Control ECU
8080
Karosseriesteuer-ECUBody control ECU
9090
Fahrzeugsteuer-ECUVehicle control ECU

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent Literature Cited

  • JP 5346111 B [0005]JP 5346111B [0005]

Claims (10)

Fahrzeugsteuervorrichtung, die Folgendes umfasst: eine HSM-Hardware-Verarbeitungseinheit, die ein Hardware-Sicherheitsmodul bezeichnet, das Verschlüsselungs- und Entschlüsselungsprozesse durchführt; eine Software-Operationsverarbeitungseinheit, die dieselben Verschlüsselungs- und Entschlüsselungsprozesse wie die Verschlüsselungs- und Entschlüsselungsprozesse der HSM-Hardware-Verarbeitungseinheit durch einen Prozessor ausführt; eine HSM-Hardware-Diagnoseeinheit, die die HSM-Hardware-Verarbeitungseinheit diagnostiziert; und eine Steuereinheit, die ein Umschalten zwischen der Verarbeitung der HSM-Hardware-Verarbeitungseinheit und der Verarbeitung der Software-Operationsverarbeitungseinheit gemäß einem Diagnoseergebnis der HSM-Hardware-Diagnoseeinheit durchführt.Vehicle control device, comprising: an HSM hardware processing unit denoting a hardware security module that performs encryption and decryption processes; a software operation processing unit that executes the same encryption and decryption processes as the encryption and decryption processes of the HSM hardware processing unit by a processor; an HSM hardware diagnostic unit that diagnoses the HSM hardware processing unit; and a control unit that performs switching between the processing of the HSM hardware processing unit and the processing of the software operation processing unit according to a diagnosis result of the HSM hardware diagnosis unit. Fahrzeugsteuervorrichtung nach Anspruch 1, wobei dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist, die Steuereinheit ein Umschalten von der Verarbeitung der HSM-Hardware-Verarbeitungseinheit zur Verarbeitung der Software-Operationsverarbeitungseinheit durchführt.Vehicle control device claim 1 wherein when the HSM hardware processing unit is diagnosed to be faulty, the control unit performs a switch from the HSM hardware processing unit processing to the software operation processing unit processing. Fahrzeugsteuervorrichtung nach Anspruch 2, die ferner eine Lastfaktormesseinheit umfasst, die einen Lastfaktor der HSM-Hardware-Verarbeitungseinheit misst, wobei die Steuereinheit in Übereinstimmung mit dem Lastfaktor der HSM-Hardware-Verarbeitungseinheit und damit, ob die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist oder nicht, verursacht, dass die HSM-Hardware-Verarbeitungseinheit oder die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt.Vehicle control device claim 2 , further comprising a load factor measuring unit that measures a load factor of the HSM hardware processing unit, wherein the control unit in accordance with the load factor of the HSM hardware processing unit and with it whether the HSM hardware processing unit is faulty or not, causes that the HSM hardware processing unit or the software operation processing unit performs the encryption and decryption processes. Fahrzeugsteuervorrichtung nach Anspruch 3, wobei die Lastfaktormesseinheit einen Lastfaktor der Software-Operationsverarbeitungseinheit misst und die Steuereinheit ferner in Übereinstimmung mit dem Lastfaktor der Software-Operationsverarbeitungseinheit verursacht, dass die HSM-Hardware-Verarbeitungseinheit oder die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt.Vehicle control device claim 3 wherein the load factor measuring unit measures a load factor of the software operation processing unit and the control unit further causes the HSM hardware processing unit or the software operation processing unit to execute the encryption and decryption processes in accordance with the load factor of the software operation processing unit. Fahrzeugsteuervorrichtung nach Anspruch 3, wobei die Steuereinheit verursacht, dass die HSM-Hardware-Verarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit kleiner als ein erster Schwellenwert ist, verursacht, dass die HSM-Hardware-Verarbeitungseinheit und die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführen, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit gleich oder größer als der erste Schwellenwert ist, und verursacht, dass die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist.Vehicle control device claim 3 , wherein the control unit causes the HSM hardware processing unit to perform the encryption and decryption processes when it is diagnosed that the HSM hardware processing unit is not faulty and the load factor of the HSM hardware processing unit is less than a first threshold, causes the HSM hardware processing unit and the software operation processing unit to perform the encryption and decryption processes when it is diagnosed that the HSM hardware processing unit is not faulty and the load factor of the HSM hardware processing unit is equal to or greater than the first threshold and causes the software operation processing unit to perform the encryption and decryption processes when the HSM hardware processing unit is diagnosed to be faulty. Fahrzeugsteuervorrichtung nach Anspruch 4, wobei der Prozessor mehrere Kerne enthält und die Steuereinheit verursacht, dass die HSM-Hardware-Verarbeitungseinheit und zwei oder mehr der Kerne des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse ausführen, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit gleich oder größer als ein erster Schwellenwert ist, verursacht, dass zwei oder mehr der Kerne des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse ausführen, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist und der Lastfaktor der Software-Operationsverarbeitungseinheit gleich oder größer als ein zweiter Schwellenwert ist, und verursacht, dass einer der Kerne des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse ausführt, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist und der Lastfaktor der Software-Operationsverarbeitungseinheit kleiner als der zweite Schwellenwert ist.Vehicle control device claim 4 , wherein the processor contains multiple cores and the control unit causes the HSM hardware processing unit and two or more of the cores of the processor to perform the encryption and decryption processes when the HSM hardware processing unit is diagnosed as non-faulty and the Load factor of the HSM hardware processing unit is equal to or greater than a first threshold, causes two or more of the processor's cores to execute the encryption and decryption processes when the HSM hardware processing unit is diagnosed as faulty and the load factor of the software operation processing unit is equal to or greater than a second threshold and causes one of the cores of the processor to perform the encryption and decryption processes when the HSM hardware processing unit is diagnosed as faulty and the software operation processing unit load factor is less than is the second threshold. Fahrzeugsteuervorrichtung nach Anspruch 3, wobei die Steuereinheit ferner gemäß einer Priorität jeder Anwendung verursacht, dass die HSM-Hardware-Verarbeitungseinheit oder die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt.Vehicle control device claim 3 wherein the control unit further causes the HSM hardware processing unit or the software operation processing unit to perform the encryption and decryption processes according to a priority of each application. Fahrzeugsteuervorrichtung nach Anspruch 7, wobei die Steuereinheit verursacht, dass die HSM-Hardware-Verarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in einer Kommunikation der Anwendung, die eine höchste Priorität besitzt, ausführt, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit kleiner als ein erster Schwellenwert ist, verursacht, dass die HSM-Hardware-Verarbeitungseinheit und die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung, die die höchste Priorität besitzt, ausführen, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit gleich oder größer als der erste Schwellenwert ist, und dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist, die Anwendung, die eine niedrigste Priorität besitzt, die durch den Prozessor durchgeführt wird, beendet und verursacht, dass die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführt, die die höchste Priorität besitzt.Vehicle control device claim 7 , wherein the control unit causes the HSM hardware processing unit to perform the encryption and decryption processes in a communication of the application having a highest priority when it is diagnosed that the HSM hardware processing unit is not faulty and the load factor of HSM hardware processing unit is less than a first threshold, causes the HSM hardware processing unit and the software operation processing unit to perform the encryption and decryption processes in the communication of the application having the highest priority when it is diagnosed that the HSM hardware processing unit is not faulty and the load factor of the HSM hardware processing unit is equal to or greater than the first threshold, and then if the HSM hardware processing unit is diagnosed as faulty, the application having a lowest priority that is determined by being performed by the processor, terminates and causes the software operation processing unit to perform the encryption and decryption processes in the communication of the application having the highest priority. Fahrzeugsteuervorrichtung nach Anspruch 8, wobei der Prozessor mehrere Kerne enthält und die Steuereinheit verursacht, dass die HSM-Hardware-Verarbeitungseinheit und der Kern des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung, die die höchste Priorität besitzt, ausführen, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit gleich oder größer als der erste Schwellenwert ist, und dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit fehlerhaft ist, die Anwendung, die eine niedrigste Priorität besitzt, die durch den Kern des Prozessors durchgeführt wird, beendet und verursacht, dass zwei oder mehr der Kerne des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung, die die höchste Priorität besitzt, ausführen.Vehicle control device claim 8 , wherein the processor contains multiple cores and the control unit causes the HSM hardware processing unit and the core of the processor to perform the encryption and decryption processes in the communication of the application that has the highest priority when it is diagnosed that the HSM - hardware processing unit is not faulty and the load factor of the HSM hardware processing unit is equal to or greater than the first threshold, and if the HSM hardware processing unit is diagnosed as faulty, the application having a lowest priority , which is performed by the core of the processor, and causes two or more of the cores of the processor to perform the encryption and decryption processes in the communication of the application having the highest priority. Fahrzeugsteuervorrichtung nach Anspruch 8, wobei die Anwendung, die die höchste Priorität aufweist, Software zum Steuern eines Antriebsstrangs eines Fahrzeugs ist.Vehicle control device claim 8 wherein the application having the highest priority is software for controlling a power train of a vehicle.
DE112021005557.7T 2021-01-28 2021-08-31 VEHICLE CONTROL DEVICE Pending DE112021005557T5 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2021011861 2021-01-28
JP2021-011861 2021-01-28
PCT/JP2021/031907 WO2022162988A1 (en) 2021-01-28 2021-08-31 Vehicle control device

Publications (1)

Publication Number Publication Date
DE112021005557T5 true DE112021005557T5 (en) 2023-08-31

Family

ID=82654308

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112021005557.7T Pending DE112021005557T5 (en) 2021-01-28 2021-08-31 VEHICLE CONTROL DEVICE

Country Status (3)

Country Link
JP (1) JPWO2022162988A1 (en)
DE (1) DE112021005557T5 (en)
WO (1) WO2022162988A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117527546A (en) * 2023-11-27 2024-02-06 无锡梁溪智慧环境发展有限公司 Vehicle-mounted CAN network fault monitoring method and system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5346111B2 (en) 2012-07-24 2013-11-20 株式会社日立製作所 Verification server, program, and verification method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4241953B2 (en) * 1998-01-19 2009-03-18 株式会社デンソー Diagnostic equipment for vehicles
JP2010003213A (en) * 2008-06-23 2010-01-07 Denso Corp Controller, arithmetic mode changeover method and program
JP2010280356A (en) * 2009-06-08 2010-12-16 Toyota Motor Corp Onboard system, and load distribution method
JP2014137695A (en) * 2013-01-16 2014-07-28 Toyota Motor Corp Information processor
JP6067548B2 (en) * 2013-12-18 2017-01-25 トヨタ自動車株式会社 Information processing device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5346111B2 (en) 2012-07-24 2013-11-20 株式会社日立製作所 Verification server, program, and verification method

Also Published As

Publication number Publication date
JPWO2022162988A1 (en) 2022-08-04
WO2022162988A1 (en) 2022-08-04

Similar Documents

Publication Publication Date Title
DE102011008211B4 (en) Vehicle fault diagnosis and vehicle fault prognosis system and method for fault diagnosis and fault prognosis
DE102014112095B4 (en) Method for monitoring a fault in a controller area network
DE102012224342A1 (en) DEVICE AND METHOD FOR POWER CONTROL FOR V2X COMMUNICATION
DE112021005557T5 (en) VEHICLE CONTROL DEVICE
DE102014107094A1 (en) Method and device for monitoring a multiphase electrical system in a vehicle
DE102018212879A1 (en) Control device and control method
DE102005037403A1 (en) Method for verifying the operability of the arithmetic logic unit (ALU) of a control module
DE102014220088A1 (en) Circuit breaker, battery system and method of operating a circuit breaker
WO2007022849A2 (en) Method for identifying complex diagnoses in customer services
DE102014210238A1 (en) Vehicle diagnostic device
EP3460727A1 (en) Method for examining a functional behaviour of a technical system and evaluation unit
DE102023110645A1 (en) Safety procedures and safety device
DE102019111564A1 (en) METHOD AND SYSTEM FOR CONFIGURING FILTER OBJECTS FOR A CONTROLLER AREA NETWORK CONTROL
DE112018004881T5 (en) Monitoring device, monitoring system and computer program
DE10328059A1 (en) Method and device for monitoring a distributed system
DE112019007432B4 (en) ELECTRONIC CONTROL UNIT AND PROGRAM
DE102018210733A1 (en) Method for monitoring at least one computing unit
DE112019007286T5 (en) IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM
DE112016006791B4 (en) Data processing device, data processing method and data processing program
DE102019214450A1 (en) Device and method for providing a security strategy for a vehicle
DE102019216660A1 (en) ELECTRONIC CONTROL UNIT
DE102007049151B4 (en) Method for carrying out an automotive application
DE102017119447A1 (en) Coordinated multi-mode mapping and runtime switching for systems with dynamic fault tolerance requirements
DE102023113723A1 (en) METHOD OF DESIGNING A FAULT DETECTION CIRCUIT
DE102020003720A1 (en) Method for monitoring a network system by means of a central electronic computing device and network system

Legal Events

Date Code Title Description
R012 Request for examination validly filed