DE112021005557T5 - VEHICLE CONTROL DEVICE - Google Patents
VEHICLE CONTROL DEVICE Download PDFInfo
- Publication number
- DE112021005557T5 DE112021005557T5 DE112021005557.7T DE112021005557T DE112021005557T5 DE 112021005557 T5 DE112021005557 T5 DE 112021005557T5 DE 112021005557 T DE112021005557 T DE 112021005557T DE 112021005557 T5 DE112021005557 T5 DE 112021005557T5
- Authority
- DE
- Germany
- Prior art keywords
- processing unit
- hsm
- hardware processing
- encryption
- hsm hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 293
- 238000000034 method Methods 0.000 claims abstract description 106
- 230000008569 process Effects 0.000 claims abstract description 104
- 238000003745 diagnosis Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 30
- 238000010586 diagram Methods 0.000 description 25
- 230000002159 abnormal effect Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 11
- 238000005259 measurement Methods 0.000 description 7
- 238000011112 process operation Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000007850 degeneration Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/505—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/50—Indexing scheme relating to G06F9/50
- G06F2209/509—Offload
Abstract
Eine Fahrzeugsteuervorrichtung enthält mindestens eine HSM-Hardware-Verarbeitungseinheit 12, eine Software-Operationsverarbeitungseinheit (ein Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13), eine HSM-Hardware-Diagnoseeinheit 14 und eine Steuereinheit 11. Die HSM-Hardware-Verarbeitungseinheit 12 ist ein Hardware-Sicherheitsmodul, das Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Die Software-Operationsverarbeitungseinheit verwendet einen Prozessor, um dieselben Verschlüsselungs- und Entschlüsselungsprozesse wie die Verschlüsselungs- und Entschlüsselungsprozesse der HSM-Hardware-Verarbeitungseinheit 12 auszuführen. Die HSM-Hardware-Diagnoseeinheit 14 diagnostiziert die HSM-Hardware-Verarbeitungseinheit 12. Die Steuereinheit 11 führt ein Umschalten zwischen der Verarbeitung der HSM-Hardware-Verarbeitungseinheit 12 und der Verarbeitung der Software-Operationsverarbeitungseinheit 13 gemäß einem Diagnoseergebnis der HSM-Hardware-Diagnoseeinheit 14 durch.A vehicle control device includes at least an HSM hardware processing unit 12, a software operation processing unit (a software operation processing unit encryption module 13), an HSM hardware diagnosis unit 14 and a control unit 11. The HSM hardware processing unit 12 is a hardware security module , which performs encryption and decryption processes. The software operation processing unit uses a processor to perform the same encryption and decryption processes as the HSM hardware processing unit 12 encryption and decryption processes. The HSM hardware diagnosis unit 14 diagnoses the HSM hardware processing unit 12. The control unit 11 performs switching between the processing of the HSM hardware processing unit 12 and the processing of the software operation processing unit 13 according to a diagnosis result of the HSM hardware diagnosis unit 14 through.
Description
Technisches Gebiettechnical field
Die vorliegende Erfindung bezieht sich auf eine Fahrzeugsteuervorrichtung.The present invention relates to a vehicle control device.
Technischer HintergrundTechnical background
Mit der Elektrifizierung und der Systematisierung von Fahrzeugen haben Sicherheitsbedrohungen von fahrzeuginternen Netzen zugenommen und somit ist es wesentlich, Cyber-Sicherheitsmaßnahmen in Fahrzeugsteuervorrichtungen vorzunehmen. In Sicherheitsgegenmaßnahmen wird ein Hardware-Sicherheitsmodul (HSM), das fest zugeordnete Hardware ist, zum Verbessern der Sicherheit und der Verarbeitungsleistungsfähigkeit verwendet.With the electrification and systematization of vehicles, security threats of in-vehicle networks have increased, and thus it is essential to take cyber security measures in vehicle control devices. In security countermeasures, a hardware security module (HSM), which is dedicated hardware, is used to improve security and processing performance.
Zusätzlich besteht, da mehrere elektronische Steuereinheiten (ECU) mit dem fahrzeuginternen Netz verbunden sind, das Problem, dass die Verarbeitungslast einer Hardware oder einer Software zunimmt und die Verarbeitungsleistungsfähigkeit sich verschlechtert, wenn die Sicherheitsgegenmaßnahmen implementiert sind.In addition, since a plurality of electronic control units (ECU) are connected to the in-vehicle network, there is a problem that the processing load of a hardware or a software increases and the processing performance deteriorates when the security countermeasures are implemented.
Zum Beispiel offenbart PTL 1 eine Technik zum Verbessern der Verarbeitungsleistungsfähigkeit, wenn ein Verschlüsselungsoperationsprozess unter Verwendung eines HSM ausgeführt wird. In der Technik in PTL 1 sind mehrere Verschlüsselungsmodule wie z. B. HSMs vorgesehen und wird eine Verschlüsselungsoperation unter Verwendung eines Verschlüsselungsmoduls mit der geringsten Last durchgeführt, derart, dass die Verarbeitungsleistung verbessert werden kann.For example,
Entgegenhaltungslistecitation list
Patentliteraturpatent literature
PTL 1:
Zusammenfassung der ErfindungSummary of the Invention
Technisches ProblemTechnical problem
In PTL 1 ist es möglich, die Verarbeitungsleistung durch Vorsehen der mehreren Verschlüsselungsmodule, die eine HSM-Hardware enthalten, zu verbessern, jedoch wird ein Betrieb, wenn ein Problem in der HSM-Hardware auftritt, nicht betrachtet. In der Fahrzeugsteuervorrichtung ist es nötig, den Betrieb selbst dann fortzusetzen, wenn ein Problem in der Hardware auftritt.In
Eine Aufgabe der vorliegenden Erfindung ist, eine Fahrzeugsteuervorrichtung zu schaffen, die Verschlüsselungs- und Entschlüsselungsprozesse selbst dann fortsetzen kann, wenn ein Problem in einer HSM-Hardware-Verarbeitungseinheit auftritt.An object of the present invention is to provide a vehicle control device that can continue encryption and decryption processes even if a problem occurs in an HSM hardware processing unit.
Lösung des Problemsthe solution of the problem
Um die oben beschriebene Aufgabe zu lösen, enthält eine Fahrzeugsteuervorrichtung gemäß der vorliegenden Erfindung eine HSM-Hardware-Verarbeitungseinheit, die ein Hardware-Sicherheitsmodul bezeichnet, das Verschlüsselungs- und Entschlüsselungsprozesse durchführt, eine Software-Operationsverarbeitungseinheit, die dieselben Verschlüsselungs- und Entschlüsselungsprozesse wie die Verschlüsselungs- und Entschlüsselungsprozesse der HSM-Hardware-Verarbeitungseinheit durch einen Prozessor ausführt, eine HSM-Hardware-Diagnoseeinheit, die die HSM-Hardware-Verarbeitungseinheit diagnostiziert, und eine Steuereinheit, die ein Umschalten zwischen der Verarbeitung der HSM-Hardware-Verarbeitungseinheit und der Verarbeitung der Software-Operationsverarbeitungseinheit gemäß einem Diagnoseergebnis der HSM-Hardware-Diagnoseeinheit durchführt.In order to achieve the above-described object, a vehicle control device according to the present invention includes an HSM hardware processing unit that designates a hardware security module that performs encryption and decryption processes, a software operation processing unit that performs the same encryption and decryption processes as the encryption - and executes decryption processes of the HSM hardware processing unit by a processor, an HSM hardware diagnostic unit that diagnoses the HSM hardware processing unit, and a control unit that performs switching between the processing of the HSM hardware processing unit and the processing of the software operation processing unit performs according to a diagnostic result of the HSM hardware diagnostic unit.
Vorteilhafte Wirkungen der ErfindungAdvantageous Effects of the Invention
Gemäß der vorliegenden Erfindung ist es selbst dann, wenn ein Problem in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist, möglich, die Verschlüsselungs- und Entschlüsselungsprozesse fortzusetzen. Aufgaben, Konfigurationen und vorteilhafte Wirkungen außer den oben beschriebenen werden durch die Beschreibungen der folgenden Ausführungsformen verdeutlicht.According to the present invention, even when a problem has occurred in the HSM hardware processing unit, it is possible to continue the encryption and decryption processes. Objects, configurations and advantageous effects other than those described above will be made clear through the descriptions of the following embodiments.
Figurenlistecharacter list
-
[
1 ]1 ist ein Blockdiagramm, das eine Gesamtkonfiguration einer Fahrzeugsteuervorrichtung gemäß einer ersten Ausführungsform veranschaulicht.[1 ]1 14 is a block diagram illustrating an overall configuration of a vehicle control device according to a first embodiment. -
[
2 ]2 ist ein zweites Blockdiagramm, das die Gesamtkonfiguration der Fahrzeugsteuervorrichtung gemäß der ersten Ausführungsform veranschaulicht.[2 ]2 12 is a second block diagram illustrating the overall configuration of the vehicle control device according to the first embodiment. -
[
3 ]3 ist ein Diagramm, das ein Beispiel von Funktionsblöcken einer HSM-Hardware-Verarbeitungseinheit in der ersten Ausführungsform veranschau licht.[3 ]3 FIG. 12 is a diagram illustrating an example of functional blocks of an HSM hardware processing unit in the first embodiment. -
[
4 ]4 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der ersten Ausführungsform veranschaulicht.[4 ]4 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the first embodiment. -
[
5 ]5 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der ersten Ausführungsform.[5 ]5 12 is a conceptual diagram of a crypto module selection operation in the vehicle control device in the first embodiment. -
[
6 ]6 ist ein Ablaufplan zum Erläutern einer Kommunikationsinitialisierungsprozessbetrieb der Fahrzeugsteuervorrichtung in der ersten Ausführungsform.[6 ]6 12 is a flowchart for explaining a communication initialization process operation of the vehicle control device in the first embodiment. -
[
7 ]7 ist ein Ablaufplan, der einen Nachrichten-Sende- und Empfangsprozessbetrieb der Fahrzeugsteuervorrichtung in der ersten Ausführungsform veranschaulicht.[7 ]7 14 is a flowchart illustrating a message transmission and reception process operation of the vehicle control device in the first embodiment. -
[
8 ]8 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in einer Fahrzeugsteuervorrichtung gemäß einer zweiten Ausführungsform veranschaulicht.[8th ]8th -
[
9 ]9 ist ein Konzeptdiagramm einer Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der zweiten Ausführungsform.[9 ]9 12 is a conceptual diagram of a crypto module selection operation in the vehicle control device in the second embodiment. -
[
10 ]10 ist ein Ablaufplan zum Erläutern eines Nachrichten-Sende- und Empfangsprozessbetriebs der Fahrzeugsteuervorrichtung in der zweiten Ausführungsform.[10 ]10 14 is a flowchart for explaining a message sending and receiving process operation of the vehicle control device in the second embodiment. -
[
11 ]11 ist ein Diagramm, das ein Beispiel einer Anwendung, die in einer ECU in einer Fahrzeugsteuervorrichtung installiert ist, gemäß einer dritten Ausführungsform veranschaulicht.[11 ]11 12 is a diagram illustrating an example of an application installed in an ECU in a vehicle control device according to a third embodiment. -
[
12 ]12 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der dritten Ausführungsform veranschaulicht.[12 ]12 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the third embodiment. -
[
13 ]13 ist ein Konzeptdiagramm, das eine Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der dritten Ausführungsform veranschaulicht.[13 ]13 12 is a conceptual diagram illustrating a crypto module selection operation in the vehicle control device in the third embodiment. -
[
14 ]14 ist ein Ablaufplan zum Erläutern eines Nachrichten-Sende- und Empfangsprozessbetriebs der Fahrzeugsteuervorrichtung in der dritten Ausführungsform.[14 ]14 14 is a flowchart for explaining a message transmission and reception process operation of the vehicle control device in the third embodiment. -
[
15 ]15 ist ein Blockdiagramm, das eine Gesamtkonfiguration einer Fahrzeugsteuervorrichtung gemäß einer vierten Ausführungsform veranschaulicht.[15 ]15 14 is a block diagram illustrating an overall configuration of a vehicle control device according to a fourth embodiment. -
[
16 ]16 ist ein Diagramm, das ein Beispiel von Anwendungen, die in mehreren ECU in der Fahrzeugsteuervorrichtung installiert sind, in der vierten Ausführungsform veranschaulicht.[16 ]16 14 is a diagram illustrating an example of applications installed in multiple ECUs in the vehicle control device in the fourth embodiment. -
[
17 ]17 ist ein Diagramm, das ein Beispiel einer Verschlüsselungsmodulauswahl in der Fahrzeugsteuervorrichtung in der vierten Ausführungsform veranschaulicht.[17 ]17 14 is a diagram illustrating an example of encryption module selection in the vehicle control device in the fourth embodiment. -
[
18 ]18 ist ein Konzeptdiagramm, das eine Verschlüsselungsmodulauswahloperation in der Fahrzeugsteuervorrichtung in der vierten Ausführungsform veranschaulicht.[18 ]18 12 is a conceptual diagram illustrating a crypto module selection operation in the vehicle control device in the fourth embodiment. -
[
19 ]19 ist ein Ablaufplan zum Erläutern eines integrierten ECU-Prozessbetriebs der Fahrzeugsteuervorrichtung in der vierten Ausführungsform.[19 ]19 14 is a flowchart for explaining an ECU integrated process operation of the vehicle control device in the fourth embodiment. -
[
20 ]20 ist ein Ablaufplan zum Erläutern eines Antriebsstrangsteuer-ECU-Prozessbetriebs der Fahrzeugsteuervorrichtung in der vierten Ausführungsform.[20 ]20 14 is a flowchart for explaining a power train control ECU process operation of the vehicle control device in the fourth embodiment.
Beschreibung der AusführungsformenDescription of the embodiments
Im Folgenden werden Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Zeichnungen beschrieben. In den begleitenden Zeichnungen können funktionell gleiche Elemente durch dieselben Zahlen bezeichnet werden. Obwohl die begleitenden Zeichnungen zeigen Ausführungsformen und Beispiele gemäß den Prinzipien der vorliegenden Offenbarung, dienen die Ausführungsformen und die Beispiele dem Zweck des Verstehens der vorliegenden Offenbarung und werden nicht für eine beschränkte Interpretation der vorliegenden Offenbarung verwendet. Die Beschreibung in der Spezifikation ist lediglich ein typisches Beispiel und ist nicht dazu vorgesehen, den Bereich der Ansprüche oder des Anwendungsbeispiels der vorliegenden Offenbarung in irgendeinem Sinne zu begrenzen.Embodiments of the present invention will be described below with reference to the accompanying drawings. In the accompanying drawings, functionally the same elements may be denoted by the same numbers. Although the accompanying drawings show embodiments and examples according to the principles of the present disclosure, the embodiments and examples are for the purpose of understanding the present disclosure and are not used for a limited interpretation of the present disclosure. The description in the specification is only a typical example and is not intended to limit the scope of the claims or the application example of the present disclosure in any sense.
In der vorliegenden Ausführungsform wird die Beschreibung ausreichend detailliert vorgenommen, damit Fachleute die vorliegende Offenbarung implementieren können, jedoch versteht sich, dass weitere Implementierungen und Ausführungsformen möglich sind und Änderungen der Konfigurationen und Strukturen und ein Austausch verschiedener Elemente möglich sind, ohne vom Umfang und Geist des technischen Gedankens der vorliegenden Offenbarung abzuweichen. Deshalb soll die folgende Beschreibung nicht als darauf beschränkt interpretiert werden.In the present embodiment, the description is made in sufficient detail to enable those skilled in the art to implement the present disclosure, however, it should be understood that other implementations and embodiments are possible, and changes in configuration and structures and substitutions of various elements are possible without departing from the scope and spirit of the invention Deviate technical thought of the present disclosure. Therefore, the following description should not be interpreted as limited thereto.
[Erste Ausführungsform][First embodiment]
Eine Fahrzeugsteuervorrichtung gemäß einer ersten Ausführungsform wird unter Bezugnahme auf das Blockdiagramm von
Die Fahrzeugsteuervorrichtung in der ersten Ausführungsform enthält eine Steuereinheit 11, eine HSM-Hardware-Verarbeitungseinheit 12, ein Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13, eine HSM-Hardware-Diagnoseeinheit 14 (HSM) und eine Lastfaktormesseinheit 15 in einer ECU 10. Die ECU 10 kann auch durch einen Mikrocomputer, ein fahrzeuginternes System-on-a-Chip (SoC) oder dergleichen ersetzt werden. Zusätzlich ist die Anzahl von Software-Operationsverarbeitungseinheit-Verschlüsselungsmodulen 13 nicht auf eins beschränkt und mehrere Software-Operationsverarbeitungseinheit-Verschlüsselungsmodule können vorgesehen sein. Das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 kann unten als ein Software-Operationsverschlüsselungsmodul (eine Software-Operationsverarbeitungseinheit) bezeichnet werden.The vehicle control device in the first embodiment includes a
[Muster 1-1][Pattern 1-1]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor normal ist, wählt die Steuereinheit 11 lediglich die HSM-Hardware-Verarbeitungseinheit 12.When the HSM
[Muster 1-2][Pattern 1-2]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor eine hohe Last ist, wählt die Steuereinheit 11 die HSM-Hardware-Verarbeitungseinheit 12 und das Software-Operationsverschlüsselungsmodul (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13).When the HSM
[Muster 1-3][Pattern 1-3]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist, wählt die Steuereinheit 11 das Software-Operationsverschlüsselungsmodul. Obwohl die Verarbeitungsgeschwindigkeit einer Software-Verarbeitung langsamer als die einer Hardware-Verarbeitung ist, kann die Software-Verarbeitung durch Beschränken der Kommunikation während einer Degenerierung ersetzt werden, wenn ein Fehler auftritt.When the HSM
Der Betrieb der ersten Ausführungsform wird insbesondere unter Bezugnahme auf die Ablaufpläne von
Zunächst startet in
Dann wird ein HSM-Hardware-Diagnoseprozess ausgeführt (S101). Der Diagnoseprozess wird durch die HSM-Hardware-Diagnoseeinheit 14 ausgeführt. Im Diagnoseprozess gibt die Steuereinheit 11 eine Prüfverschlüsselungsoperationsanweisung (z. B. eine Verschlüsselungsoperationsanweisung, die einen erwarteten Wert besitzt, der im Voraus bekannt ist) aus und prüft, ob die Antwort normal ist oder nicht. Das heißt, wenn die Antwort der HSM-Hardware-Verarbeitungseinheit 12 nicht normal ist (z. B. ein Antwortwert vom erwarteten Wert verschieden ist), bestimmt die HSM-Hardware-Diagnoseeinheit 14, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist.Then, an HSM hardware diagnosis process is performed (S101). The diagnostic process is performed by the HSM hardware
Wenn die Antwort in S102 normal ist (JA), schreitet der Prozess fort zu S103. Wenn die Antwort nicht normal ist (NEIN), schreitet der Prozess fort zu S104.When the answer in S102 is normal (YES), the process proceeds to S103. If the answer is not normal (NO), the process proceeds to S104.
In S103 setzt die Steuereinheit 11 keinen HSM-Fehler. Zum Beispiel schaltet dann, wenn die Antwort von der HSM-Hardware-Verarbeitungseinheit 12 normal ist, die Steuereinheit 11 einen Fehlermerker aus, der angibt, dass ein Fehler in der HSM-Hardware-Verarbeitungseinheit 12 aufgetreten ist. Der Fehlermerker ist in einem Arbeitsspeicher oder dergleichen gespeichert.In S103, the
In S104 wird das Auftreten eines HSM-Fehlers gesetzt. Dann schreitet der Prozess fort zu S105. Zum Beispiel schaltet dann, wenn die Antwort von der HSM-Hardware-Verarbeitungseinheit 12 nicht normal ist, die Steuereinheit 11 den Fehlermerker ein.In S104, the occurrence of an HSM error is set. Then the process proceeds to S105. For example, when the response from the HSM
Auf diese Weise wird der Kommunikationsinitialisierungsprozess beendet (S105).In this way, the communication initialization process is ended (S105).
Wenn der Kommunikationsinitialisierungsprozess beendet ist, startet in
In S111 wird die HSM-Fehlereinstellung, die in S103 oder S104 des Kommunikationsinitialisierungsprozesses in
Wenn in S112 kein Fehler vorhanden ist (JA), schreitet der Prozess fort zu S113. Wenn ein Fehler vorhanden ist (NEIN), schreitet der Prozess fort zu S115.If there is no error in S112 (YES), the process proceeds to S113. If there is an error (NO), the process proceeds to S115.
In S113 erfasst die Steuereinheit 11 Lastfaktorinformationen von der Lastfaktormesseinheit 15. Die Lastfaktormesseinheit 15 misst einen Lastfaktor durch Messen der Zeit eines Verschlüsselungsoperationsprozesses jeweils der HSM-Hardware-Verarbeitungseinheit 12 und des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13. Alternativ kann der Lastfaktor durch Erfassen eines Nutzungsfaktors einer Zentraleinheit (CPU) geschätzt werden. In der vorliegenden Ausführungsform wird der Lastfaktor zu zwei Stufen eines normalen Zustands und eines Hochlastzustands gesetzt, abhängig davon, ob der Lastfaktor gleich oder größer als ein Schwellenwert ist, der im Voraus eingestellt wird. Allerdings ist der Lastfaktor nicht darauf beschränkt und kann z. B. zu drei Stufen oder mehr gesetzt werden.In S113, the
Wenn in S114 bestimmt wird, dass der Ist-Zustand der Hochlastzustand ist (JA), schreitet der Prozess fort zu S116. Wenn bestimmt wird, dass der Ist-Zustand der normale Zustand ist (NEIN), schreitet der Prozess fort zu S117.If it is determined in S114 that the current state is the high load state (YES), the process proceeds to S116. If it is determined that the current state is the normal state (NO), the process proceeds to S117.
In S115 wird das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 gewählt.In S115, the software operation processing
In S116 werden die HSM-Hardware-Verarbeitungseinheit 12 und das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13 gleichzeitig gewählt. Durch gleichzeitigen Wählen der HSM-Hardware-Verarbeitungseinheit 12 und des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13 ist es möglich, eine parallele Verarbeitung desIn S116, the HSM
Verschlüsselungsoperationsprozesses durchzuführen und somit die Verarbeitungslast zu verringern.perform encryption operation process and thus reduce the processing load.
In S117 wird lediglich die HSM-Hardware-Verarbeitungseinheit 12 gewählt.In S117, only the HSM
In S118 wird ein Nachrichtenauthentifizierungsprozess unter Verwendung der HSM-Hardware-Verarbeitungseinheit 12 oder des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13, wie im vorhergehenden Schritt gewählt wurde, ausgeführt. Der Nachrichtenauthentifizierungsprozess ist eine Sicherheitstechnologie zum Verhindern einer Manipulation der Kommunikation und einer Datenfälschung durch Zuweisen eines verschlüsselten Nachrichtenauthentifizierungscodes (MAC) zu Daten (einer Nachricht), die gesendet und empfangen werden sollen. Der Verschlüsselungsoperationsprozess der HSM-Hardware-Verarbeitungseinheit 12 oder des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13 wird im Nachrichtenauthentifizierungsprozess verwendet.In S118, a message authentication process is performed using the HSM
Die Nachrichten-Sende- und Empfangsprozess wird in S119 ausgeführt und der Nachrichten-Sende- und Empfangsprozess wird in S120 beendet.The message sending and receiving process is executed in S119, and the message sending and receiving process is ended in S120.
In der oben beschrieben Ausführungsform wird der HSM-Hardware-Diagnoseprozess (S101) während des Kommunikationsinitialisierungsprozesses von
Merkmale der vorliegenden Ausführungsform können auch zusammengefasst werden, wie folgt.Features of the present embodiment can also be summarized as follows.
Wie in
Wie in
Wie in
Speziell verursacht dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM-Zustand: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 kleiner als ein erster Schwellenwert ist (Lastfaktor: normal), die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM-Zustand: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und die Software-Operationsverarbeitungseinheit (das Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13) die Verschlüsselungs- und Entschlüsselungsprozesse ausführen. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM-Zustand: anomal), verursacht die Steuereinheit 11, dass die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse ausführt. Somit ist es z. B. dann, wenn die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 hoch ist, durch gleichzeitiges Durchführen der Hardware-Verarbeitung und der Software-Verarbeitung möglich, den Durchsatz der Verschlüsselungs- und Entschlüsselungsprozesse zu verbessern.Specifically, when it is diagnosed that the HSM
Wie oben beschrieben wird, ist es gemäß der ersten Ausführungsform, obwohl ein Fehler in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist, möglich, durch Ersetzen der HSM-Hardware-Verarbeitungseinheit durch das Software-Operationsverschlüsselungsmodul kontinuierlich das Fahrzeug zu verwenden. Zusätzlich ist es, wenn der Lastfaktor zunimmt, außerdem möglich, die Verarbeitungslast durch gleichzeitiges Verwenden der HSM-Hardware-Verarbeitungseinheit 12 und des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13 zu verringern.As described above, according to the first embodiment, even though an error has occurred in the HSM hardware processing unit, by replacing the HSM hardware processing unit with the software operation encryption module, it is possible to continuously use the vehicle. In addition, when the load factor increases, it is also possible to reduce the processing load by using the HSM
[Zweite Ausführungsform][Second embodiment]
Als nächstes wird eine Fahrzeugsteuervorrichtung gemäß einer zweiten Ausführungsform unter Bezugnahme auf
In der zweiten Ausführungsform wird die Anzahl von Software-Operationsverschlüsselungsmodulen zu zwei gesetzt. Allerdings ist die Anzahl von Software-Operationsverschlüsselungsmodulen nicht auf zwei beschränkt und kann z. B. drei oder mehr sein. Wenn die Anzahl von Software-Operationsverschlüsselungsmodulen zunimmt, nehmen entsprechend auch die Verschlüsselungsmodulauswahlmuster zu.In the second embodiment, the number of software operation encryption modules is set to two. However, the number of software operation encryption modules is not limited to two and can e.g. B. be three or more. As the number of software operation encryption modules increases, encryption module selection patterns also increase accordingly.
[Muster 2-1][Pattern 2-1]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor normal ist, wählt die Steuereinheit 11 die HSM-Hardware-Verarbeitungseinheit 12.If the HSM
[Muster 2-2][pattern 2-2]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor eine hohe Last ist, wählt die Steuereinheit 11 die HSM-Hardware-Verarbeitungseinheit 12 und die Software-Operationsverschlüsselungsmodule 1 und 2 (13).When the HSM
[Muster 2-3][pattern 2-3]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist und der Lastfaktor hoch ist, wählt die Steuereinheit 11 die Software-Operationsverschlüsselungsmodule 1 und 2 (13).When the HSM
[Muster 2-4][pattern 2-4]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist und der Lastfaktor normal ist, wählt die Steuereinheit 11 ein Software-Operationsverschlüsselungsmodul 1 (13). In diesem Fall ist, da eine Verarbeitungsleistungsfähigkeitsdifferenz von der normalen Zeit auftritt, eine Degenerierung erforderlich (Kommunikationsbeschränkungszustand).When the HSM
Der Betrieb der zweiten Ausführungsform wird unter Bezugnahme auf den Ablaufplan von
In dem Ablaufplan von
In S121 wird ein HSM-Fehlermerker gesetzt.In S121, an HSM error flag is set.
In S122 wird ein Hochlastmerker gesetzt.A high load flag is set in S122.
In S123 wird ein Modul, das verwendet werden soll, in Übereinstimmung mit den Merkern, die in S121 und S122 gesetzt wurden, gewählt. Es existieren vier Auswahlmuster abhängig von einem Fahrzeugzustand.In S123, a module to be used is selected in accordance with the flags set in S121 and S122. There are four selection patterns depending on a vehicle condition.
Merkmale der vorliegenden Ausführungsform können auch zusammengefasst werden, wie folgt.Features of the present embodiment can also be summarized as follows.
Die Lastfaktormesseinheit 15 misst nicht nur den Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12, sondern auch einen Lastfaktor der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13). Wie in
Speziell enthält ein Prozessor, der die Verarbeitung der Software-Operationsverarbeitungseinheit 13 durchführt, mehrere Kerne. Wie in
Wie oben beschrieben wird, ist es gemäß der zweiten Ausführungsform selbst dann, wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit 12 aufgetreten ist, oder selbst in einem Hochlastzustand möglich, die HSM-Hardware-Verarbeitungseinheit durch mehrere Software-Operationsverarbeitungseinheit-Verschlüsselungsmodule 13 zu ersetzen. Somit ist es möglich, die Anzahl von Auswahlmustern von Verschlüsselungsmodulen zu erhöhen und eine flexiblere Steuerung im Vergleich zur ersten Ausführungsform durchzuführen.As described above, according to the second embodiment, even when an error has occurred in the HSM
[Dritte Ausführungsform][Third embodiment]
[Muster 3-1][Pattern 3-1]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor normal ist, wählen eine Antriebsstrangsteueranwendung und eine Informationssteueranwendung die HSM-Hardware-Verarbeitungseinheit 12, wählt eine Karosseriesteueranwendung ein Software-Operationsverschlüsselungsmodul 2 (13) und wählt eine Fahrzeugsteueranwendung ein Software-Operationsverschlüsselungsmodul 3 (13).When the HSM
[Muster 3-2][Pattern 3-2]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 normal ist und der Lastfaktor eine hohe Last ist, wählt die Antriebsstrangsteueranwendung die HSM-Hardware-Verarbeitungseinheit 12 und das Software-Operationsverschlüsselungsmodul 1 (13), wählt die Informationssteueranwendung die HSM-Hardware-Verarbeitungseinheit 12, wählt die Karosseriesteueranwendung ein Software-Operationsverschlüsselungsmodul 2 (13) und wählt die Fahrzeugsteueranwendung ein Software-Operationsverschlüsselungsmodul 3 (13).When the HSM
[Muster 3-3][pattern 3-3]
Wenn die HSM-Hardware-Verarbeitungseinheit 12 anomal (fehlerhaft) ist, wählt die Antriebsstrangsteueranwendung gleichzeitig die Software-Operationsverschlüsselungsmodule 1 und 2 (13). Die Informationssteueranwendung und die Karosseriesteueranwendung degenerieren und wählen kein Modul und die Fahrzeugsteueranwendung wählt das Software-Operationsverschlüsselungsmodul 3 (13).If the HSM
Der Betrieb der dritten Ausführungsform wird unter Bezugnahme auf den Ablaufplan von
Im Ablaufplan von
In S130 wird ein Anwendungstyp, in dem der Nachrichten-Sende- und Empfangsprozess ausgeführt wird, erfasst.In S130, an application type in which the message sending and receiving process is executed is detected.
In S131 wird ein priorisierter Prozess gemäß den Merkern, die in S121 und S122 gesetzt wurden, und dem Anwendungstyp, der in S130 erfasst wurde, bestimmt. Dann wird das Verschlüsselungsmodul gewählt, das verwendet werden soll.In S131, a prioritized process is determined according to the flags set in S121 and S122 and the application type detected in S130. Then the encryption module to be used is selected.
Merkmale der vorliegenden Ausführungsform können auch zusammengefasst werden, wie folgt.Features of the present embodiment can also be summarized as follows.
Wie in
Speziell verursacht dann, wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 kleiner als der erste Schwellenwert ist (Lastfaktor: normal), die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung, die die höchste Priorität besitzt (der Antriebsstrangsteueranwendung), ausführt. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit 12 gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführt, die die höchste Priorität besitzt (der Antriebsstrangsteueranwendung). Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM: anomal), beendet die Steuereinheit 11 eine Anwendung (eine Karosseriesteueranwendung) mit der niedrigsten Priorität, die durch den Prozessor ausgeführt wird, und verursacht, dass die Software-Operationsverarbeitungseinheit die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung (der Antriebsstrangsteueranwendung) die die höchste Priorität besitzt, ausführt. Somit ist es möglich, Betriebsmittel des Prozessors der Anwendung zu geben, die die höchste Priorität besitzt. Die Anwendung (die Antriebsstrangsteueranwendung), die die höchste Priorität besitzt, ist Software zum Steuern eines Antriebsstrangs des Fahrzeugs.Specifically, when it is diagnosed that the HSM
In der vorliegenden Ausführungsform enthält der Prozessor mehrere Kerne. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 nicht fehlerhaft ist (HSM: normal) und der Lastfaktor der HSM-Hardware-Verarbeitungseinheit gleich oder größer als der erste Schwellenwert ist (Lastfaktor: hohe Last), verursacht die Steuereinheit 11, dass die HSM-Hardware-Verarbeitungseinheit 12 und mindestens ein Kern des Prozessors Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführen, die die höchste Priorität besitzt. Wenn diagnostiziert wird, dass die HSM-Hardware-Verarbeitungseinheit 12 fehlerhaft ist (HSM: anomal), beendet die Steuereinheit 11 eine Anwendung mit der niedrigsten Priorität, die durch den Kern des Prozessors ausgeführt wird, und verursacht, dass zwei oder mehr Kerne des Prozessors die Verschlüsselungs- und Entschlüsselungsprozesse in der Kommunikation der Anwendung ausführen, die die höchste Priorität besitzt. Somit ist es möglich, die Betriebsmittel des Prozessorkerns der Anwendung zu geben, die die höchste Priorität besitzt.In the present embodiment, the processor includes multiple cores. When it is diagnosed that the HSM
Wie oben beschrieben wird, ist es gemäß der dritten Ausführungsform selbst dann, wenn mehrere Anwendungen in der ECU installiert sind, möglich, einen Prozess gemäß der Priorität der Anwendung zu wählen, selbst wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist oder selbst in einem Hochlastzustand.As described above, according to the third embodiment, even if a plurality of applications are installed in the ECU, it is possible to select a process according to the priority of the application even if an error has occurred in the HSM hardware processing unit or itself in a high load condition.
[Vierte Ausführungsform][Fourth Embodiment]
In der dritten Ausführungsform wurde ein Beispiel beschrieben, in dem die mehreren Anwendungen in einer ECU installiert sind, jedoch kann die vorliegende Erfindung auch auf eine Fahrzeugsteuervorrichtung angewendet werden, die mehrere ECU enthält.In the third embodiment, an example in which the multiple applications are installed in one ECU was described, but the present invention can also be applied to a vehicle control device including multiple ECUs.
Eine integrierte ECU 40 enthält eine Steuereinheit 11, eine HSM-Hardware-Diagnoseeinheit 14 und eine Kommunikationsschnittstelle 41. Die integrierte ECU 40 ist mit einer HSM-Hardware-Verarbeitungseinheit 50, einer Antriebsstrangsteuer-ECU 60, einer Informationssteuer-ECU 70, einer Karosseriesteuer-ECU 80 und einer Fahrzeugsteuer-ECU 90 mittels der Kommunikationsschnittstelle 41 verbunden.An
Die Antriebsstrangsteuer-ECU 60 enthält eine Kommunikationsschnittstelle 61, eine Steuereinheit 62, mehrere Software-Operationsverschlüsselungsmodule 63 und eine Lastfaktormesseinheit 64. Die Antriebsstrangsteuer-ECU 60 ist mit der integrierten ECU 40 und der HSM-Hardware-Verarbeitungseinheit 50 mittels der Kommunikationsschnittstelle 61 verbunden und führt einen Verschlüsselungsoperationsprozess unter Verwendung der HSM-Hardware-Verarbeitungseinheit 50 und eines Software-Operationsverschlüsselungsmoduls 63 (Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls) aus. Die Antriebsstrangsteuer-ECU 60 teilt der integrierten ECU 40 ein Lastfaktormessergebnisses mittels der Kommunikationsschnittstelle 61 mit.The
In der vorliegenden Ausführungsform weisen die Informationssteuer-ECU 70, die Karosseriesteuer-ECU 80 und die Fahrzeugsteuer-ECU 90 ähnliche Konfigurationen zu denen der Antriebsstrangsteuer-ECU 60 auf, sind jedoch nicht darauf beschränkt und können teilweise verschiedene Konfigurationen aufweisen.In the present embodiment, the
[Muster 4-1][Pattern 4-1]
Wenn die HSM-Hardware-Verarbeitungseinheit 50 normal ist und der Lastfaktor normal ist, teilt die integrierte ECU 40 der Antriebsstrangsteuer-ECU 60 und der Informationssteuer-ECU 70 die Verwendung (den Befehl) der HSM-Hardware-Verarbeitungseinheit 50 mit. Der Karosseriesteuer-ECU 80 und der Fahrzeugsteuer-ECU 90 wird die Verwendung des Software-Operationsverschlüsselungsmoduls in jeder ECU mitgeteilt.When the HSM
[Muster 4-2][Pattern 4-2]
Wenn die HSM-Hardware-Verarbeitungseinheit 50 normal ist und der Lastfaktor eine hohe Last ist, teilt die integrierte ECU 40 der Antriebsstrangsteuer-ECU 60 die Verwendung der HSM-Hardware-Verarbeitungseinheit 50 und des Software-Operationsverschlüsselungsmoduls 63 mit und teilt der Informationssteuer-ECU 70 die Verwendung der HSM-Hardware-Verarbeitungseinheit 50 mit. Die integrierte ECU 40 teilt der Karosseriesteuer-ECU 80 und der Fahrzeugsteuer-ECU 90 die Verwendung des Software-Operationsverschlüsselungsmoduls in jeder ECU mit.When the HSM
[Muster 4-3][Pattern 4-3]
Wenn die HSM-Hardware-Verarbeitungseinheit 50 anomal (fehlerhaft) ist, teilt die integrierte ECU 40 der Antriebsstrangsteuer-ECU 60 eine gleichzeitige Verwendung der Software-Operationsverschlüsselungsmodule 1 und 2 (63) mit, teilt der Informationssteuer-ECU 70 die Nichtverwendung des Software-Operationsverschlüsselungsmoduls mit und teilt der Karosseriesteuer-ECU 80 und der Fahrzeugsteuer-ECU 90 eine Verwendung des Software-Operationsverschlüsselungsmoduls in jeder ECU mit.When the HSM
Der Betrieb der vierten Ausführungsform wird unter Bezugnahme auf den Ablaufplan von
Zunächst führt die integrierte ECU 40 einen HSM-Hardware-Diagnoseprozess während eines Kommunikationsinitialisierungsprozesses aus. Da der Betrieb ähnlich dem in
Wenn der Kommunikationsinitialisierungsprozess beendet ist, wird ein integrierter ECU-Prozess in S190 in
In S191 werden Lastfaktorinformationen von jeder ECU wie z. B. der Antriebsstrangsteuer-ECU 60 erfasst.In S191, load factor information from each ECU such as B. the power
In S192 werden zwei Stufen eines normalen Zustands und eines Hochlastzustands in Übereinstimmung damit gesetzt, ob der Gesamtwert der Lastfaktoren der ECU gleich oder größer als ein Schwellenwert ist, der im Voraus eingestellt wurde, oder nicht. Wenn bestimmt wird, dass der Lastfaktor eine hohe Last ist (JA), schreitet der Prozess fort zu S193. Wenn bestimmt wird, dass der Ist-Zustand der normale Zustand ist (NEIN), schreitet der Prozess fort zu S195 und der Prozess wird beendet. In der vorliegenden Ausführungsform sind die zwei Stufen des normalen Zustands und des Hochlastzustands gesetzt, um vorgesehen zu sein, jedoch ist die vorliegende Ausführungsform nicht darauf beschränkt.In S192, two stages of a normal state and a high-load state are set in accordance with whether or not the total value of the load factors of the ECU is equal to or larger than a threshold value set in advance. If it is determined that the load factor is a high load (YES), the process proceeds to S193. If it is determined that the current state is the normal state (NO), the process proceeds to S195 and the process ends. In the present embodiment, the two stages of the normal state and the high load state are set to be provided, but the present embodiment is not limited to this.
In S193 wird ein priorisierter Prozess gemäß dem Typ jeder ECU mittels der HSM-Fehlerinformationen und der Lastfaktorinformationen bestimmt, die in S191 erfasst wurden, und wird ein Software-Operationsverschlüsselungsmodul, das durch jede ECU verwendet werden soll, bestimmt.In S193, a prioritized process is determined according to the type of each ECU using the HSM error information and the load factor information acquired in S191, and a software operation encryption module to be used by each ECU is determined.
In S194 wird ein Software-Operationsverschlüsselungsmodulumschaltbefehl zu jeder ECU gesendet. In S195 wird ein Nachrichten-Sende- und Empfangsprozess beendet.In S194, a software operation encryption module switching command is sent to each ECU. In S195, a message sending and receiving process is ended.
Als nächstes wird ein Antriebsstrangsteuer-ECU-Prozess unter Bezugnahme auf
In S200 wird der Antriebsstrangsteuer-ECU-Prozess gestartet.In S200, the power train control ECU process is started.
In S201 wird geprüft, ob eine Nachrichten-Sende- und Empfangsanforderung vorliegt. Wenn die Anforderung vorliegt (JA), schreitet der Prozess fort zu S202. Wenn keine Anforderung vorliegt (NEIN), schreitet der Prozess fort zu S207.In S201 it is checked whether there is a message transmission and reception request. If the request is present (YES), the process proceeds to S202. If there is no request (NO), the process proceeds to S207.
In S202 wird eine Mitteilung von der integrierten ECU 40 empfangen.A notification from the integrated
In S203 wird geprüft, ob ein Schaltbefehl aus der empfangenen Mitteilung vorliegt oder nicht. Wenn der Schaltbefehl vorliegt (JA), schreitet der Prozess fort zu S204. Wenn kein Schaltbefehl vorliegt (NEIN), werden ein Nachrichtenauthentifizierungsprozess (S205) und ein Nachrichten-Sende- und Empfangsprozess (S206) ausgeführt.In S203 it is checked whether or not there is a switching command from the received notification. If the shift command is present (YES), the process proceeds to S204. If there is no switching command (NO), a message authentication process (S205) and a message sending and receiving process (S206) are executed.
In S204 wird das Software-Operationsverschlüsselungsmodul umgeschaltet. Dann werden der Nachrichtenauthentifizierungsprozess (S205) und der Nachrichten-Sende- und Empfangsprozess (S206) ausgeführt.In S204, the software operation encryption module is switched. Then, the message authentication process (S205) and the message sending and receiving process (S206) are executed.
In S207 werden die Lastfaktorinformationen zur integrierten ECU 40 gesendet.The load factor information is sent to the integrated
In S208 wird der Antriebsstrangsteuer-ECU-Prozess beendet.In S208, the power train control ECU process is ended.
Wie oben beschrieben wird, ist es gemäß der vierten Ausführungsform möglich, dass die Fahrzeugsteuervorrichtung, die mehrere ECU wie z. B. eine integrierte ECU enthält, den Prozess gemäß der Priorität der ECU selbst dann, wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit 50 aufgetreten ist, oder selbst in einem Hochlastzustand zu wählen.As described above, according to the fourth embodiment, it is possible that the vehicle control device that includes a plurality of ECUs such as e.g. B. includes an integrated ECU to select the process according to the priority of the ECU even if a failure has occurred in the HSM
[Sonstiges][Miscellaneous]
Die vorliegende Erfindung ist nicht auf die oben beschriebenen Ausführungsformen beschränkt und verschiedene Abwandlungsbeispiele können geschaffen werden. Zum Beispiel sind die oben beschriebenen Ausführungsformen genau beschrieben, um die vorliegende Erfindung in einer leicht verständlichen Weise zu erläutern und sind die oben beschriebenen Ausführungsformen nicht notwendigerweise auf einen Fall beschränkt, der alle beschriebenen Konfigurationen enthält. Ferner können einige Komponenten in einer Ausführungsform durch die Komponenten in einer weiteren Ausführungsform ersetzt werden und kann die Konfiguration einer weiteren Ausführungsform zur Konfiguration einer Ausführungsform hinzugefügt werden. Hinsichtlich einiger Komponenten in den Ausführungsformen können weitere Komponenten hinzugefügt, entfernt und ersetzt werden.The present invention is not limited to the above-described embodiments, and various modification examples can be made. For example, the above-described embodiments are described in detail in order to explain the present invention in an easy-to-understand manner, and the above-described embodiments are not necessarily limited to a case including all configurations described. Furthermore, some components in one embodiment may be replaced with the components in another embodiment, and the configuration of another embodiment may be added to the configuration of one embodiment. With respect to some components in the embodiments, other components may be added, removed, and replaced.
Einige oder alle der Konfigurationen, Funktionen und dergleichen können in Hardware implementiert werden, z. B., indem sie mit einer integrierten Schaltung ausgelegt sind. Ferner können die oben beschriebenen jeweiligen Komponenten, Funktionen und dergleichen durch Software durch den Prozessor (den Mikrocomputer), der ein Programm zum Realisieren der jeweiligen Funktionen interpretiert und ausführt, realisiert werden. Informationen wie z. B. ein Programm, eine Tabelle und eine Datei, die jede Funktion realisieren, können in einem Speicher, einer Aufzeichnungsvorrichtung wie z. B. einer Festplatte und einem Festkörperlaufwerk (SSD) oder einem Aufzeichnungsmedium wie z. B. einer IC-Karte, einer SD-Karte und einem DVD gespeichert sein.Some or all of the configurations, functions and the like can be implemented in hardware, e.g. B. by being designed with an integrated circuit. Further, the respective components, functions, and the like described above can be realized by software through the processor (microcomputer) that interprets and executes a program for realizing the respective functions. information such as B. a program, a table and a file realizing each function can be stored in a memory, a recording device such. B. a hard disk and a solid state drive (SSD) or a recording medium such. B. an IC card, an SD card and a DVD.
Ausführungsformen der vorliegenden Erfindung können die folgenden Aspekte aufweisen.Embodiments of the present invention may have the following aspects.
(1). Eine Fahrzeugsteuervorrichtung, die eine Hardware-Sicherheitsmodul-Hardware-Verarbeitungseinheit (HSM-Hardware-Verarbeitungseinheit) (12, 22, 50), eine Software-Operationsverarbeitungseinheit (ein Software-Operationsverarbeitungseinheit-Verschlüsselungsmodul 13, 63), die eine Verarbeitung als ein Ersatz für die HSM-Hardware-Verarbeitungseinheit durchführt, eine HSM-Hardware-Diagnoseeinheit (14), die die HSM-Hardware-Verarbeitungseinheit diagnostiziert, und eine Steuereinheit (11, 62), die ein Umschalten zwischen einer HSM-Hardware-Verarbeitung und einer Software-Operationsverarbeitung durchführt, enthält, wobei die Steuereinheit ein Umschalten zwischen der HSM-Hardware-Verarbeitung und der Software-Operationsverarbeitung gemäß einem Bestimmungsergebnis der HSM-Hardware-Diagnoseeinheit durchführt.(1). A vehicle control device that includes a hardware security module (HSM) hardware processing unit (12, 22, 50), a software operation processing unit (a software operation processing
(2). In der Fahrzeugsteuervorrichtung, die in (1) beschrieben ist, führt dann, wenn die HSM-Hardware-Diagnoseeinheit (14) eine Anomalie (einen Fehler) der HSM-Hardware-Verarbeitungseinheit (12, 22, 50) detektiert, die Steuereinheit (11, 62) ein Umschalten von der HSM-Hardware-Verarbeitung zur Software-Operationsverarbeitung durch.(2). In the vehicle control apparatus described in (1), when the HSM hardware diagnosis unit (14) detects an abnormality (fault) of the HSM hardware processing unit (12, 22, 50), the control unit (11 , 62) a switch from HSM hardware processing to software operation processing.
(3). Die Fahrzeugsteuervorrichtung, die in (2) beschrieben ist, enthält ferner eine Lastfaktormesseinheit (15), die einen Verarbeitungslastfaktor jeder der HSM-Hardware-Verarbeitungseinheit (12, 22, 50) und der Software-Operationsverarbeitungseinheit (des Software-Operationsverarbeitungseinheit-Verschlüsselungsmoduls 13, 63) misst, wobei dann, wenn die Lastfaktormesseinheit bestimmt, dass die Verarbeitungslast jeder der HSM-Hardware-Verarbeitungseinheit und der Software-Operationsverarbeitungseinheit eine hohe Last ist, die HSM-Hardware-Verarbeitung und eine oder mehrere Stücke einer Software-Operationsverarbeitung umgeschaltet werden oder gleichzeitig durchgeführt werden.(3). The vehicle control device described in (2) further includes a load factor measuring unit (15) that measures a processing load factor of each of the HSM hardware processing units (12, 22, 50) and the software operation processing unit (the software operation processing
(4). Die Fahrzeugsteuervorrichtung, die in (3) beschrieben ist, führt Prozesse von Anwendungen aus, die mehrere verschiedene Prioritäten besitzen, wobei ein Schritt des Bestimmens einer Anwendung, die bevorzugt verarbeitet werden soll, unter den Anwendungen, die die mehreren verschiedenen Prioritäten besitzen, vorgesehen ist, und dann, wenn eine Anomalie der HSM-Hardware-Verarbeitungseinheit (12, 22, 50) detektiert wird oder wenn die Lastfaktormesseinheit (15) die Zunahme des Verarbeitungslastfaktors detektiert, verursacht wird, dass die Anwendung, die priorisiert werden soll, die in diesem Schritt bestimmt wird, bevorzugt die HSM-Hardware-Verarbeitung oder die Software-Operationsverarbeitung wählt.(4). The vehicle control device described in (3) executes processes of applications having plural different priorities, and a step of determining an application to be processed preferentially among the applications having the plural different priorities is provided , and when an anomaly of the HSM hardware processing unit (12, 22, 50) is detected or when the load factor measuring unit (15) detects the increase in the processing load factor, causing the application to be prioritized to be used in this step is determined preferentially selects HSM hardware processing or software operation processing.
Gemäß (1) bis (4) ist es möglich, die Fahrzeugsteuervorrichtung zu schaffen, die selbst dann das Fahrzeug kontinuierlich verwenden und die Verarbeitungslast verringern kann, wenn ein Fehler in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist.According to (1) to (4), it is possible to provide the vehicle control device that can continuously use the vehicle and reduce the processing load even when a failure has occurred in the HSM hardware processing unit.
Das heißt, die Fahrzeugsteuervorrichtung enthält die HSM-Hardware-Verarbeitungseinheit und die Software-Operationsverarbeitungseinheit, die eine Verarbeitung als Ersatz für die HSM-Hardware-Verarbeitungseinheit durchführt, und kann somit eine Fahroperation durch Durchführen des Umschaltens zwischen der HSM-Hardware-Verarbeitung und der Software-Operationsverarbeitung fortsetzen, wenn ein Problem in der HSM-Hardware-Verarbeitungseinheit aufgetreten ist. Es ist möglich, zusätzlich zum HSM-Hardware-Problem die Verarbeitungslast durch Durchführen des Umschaltens zwischen der HSM-Hardware-Verarbeitung und der Software-Operationsverarbeitung zu verringern, wenn der Verarbeitungslastfaktor der HSM-Hardware oder der Software-Operation zunimmt.That is, the vehicle control device includes the HSM hardware processing unit and the software operation processing unit that performs processing in substitution for the HSM hardware processing unit, and can thus perform a driving operation by performing switching between the HSM hardware processing and the Continue software operation processing when a problem has occurred in the HSM hardware processing unit. In addition to the HSM hardware problem, it is possible to reduce the processing load by performing switching between the HSM hardware processing and the software operation processing when the processing load factor of the HSM hardware or the software operation increases.
BezugszeichenlisteReference List
- 1, 2, 31, 2, 3
- Fahrzeugsteuervorrichtungvehicle control device
- 10, 2010, 20
- ECUECU
- 11, 6211, 62
- Steuereinheitcontrol unit
- 12, 22, 5012, 22, 50
- HSM-Hardware-VerarbeitungseinheitHSM hardware processing unit
- 13, 6313, 63
- Software-OperationsverschlüsselungsmodulSoftware operation encryption module
- 1414
- HSM-Hardware-DiagnoseeinheitHSM hardware diagnostic unit
- 15, 6415, 64
- Lastfaktormesseinheitload factor measurement unit
- 3030
- HSM-Hardware-FunktionsblockHSM hardware functional block
- 4040
- Integrierte ECUIntegrated ECU
- 41, 6141, 61
- Kommunikationsschnittstellecommunication interface
- 6060
- Antriebsstrangsteuer-ECUPowertrain Control ECU
- 7070
- Informationssteuer-ECUInformation Control ECU
- 8080
- Karosseriesteuer-ECUBody control ECU
- 9090
- Fahrzeugsteuer-ECUVehicle control ECU
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturPatent Literature Cited
- JP 5346111 B [0005]JP 5346111B [0005]
Claims (10)
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021011861 | 2021-01-28 | ||
JP2021-011861 | 2021-01-28 | ||
PCT/JP2021/031907 WO2022162988A1 (en) | 2021-01-28 | 2021-08-31 | Vehicle control device |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112021005557T5 true DE112021005557T5 (en) | 2023-08-31 |
Family
ID=82654308
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112021005557.7T Pending DE112021005557T5 (en) | 2021-01-28 | 2021-08-31 | VEHICLE CONTROL DEVICE |
Country Status (3)
Country | Link |
---|---|
JP (1) | JPWO2022162988A1 (en) |
DE (1) | DE112021005557T5 (en) |
WO (1) | WO2022162988A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117527546A (en) * | 2023-11-27 | 2024-02-06 | 无锡梁溪智慧环境发展有限公司 | Vehicle-mounted CAN network fault monitoring method and system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5346111B2 (en) | 2012-07-24 | 2013-11-20 | 株式会社日立製作所 | Verification server, program, and verification method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4241953B2 (en) * | 1998-01-19 | 2009-03-18 | 株式会社デンソー | Diagnostic equipment for vehicles |
JP2010003213A (en) * | 2008-06-23 | 2010-01-07 | Denso Corp | Controller, arithmetic mode changeover method and program |
JP2010280356A (en) * | 2009-06-08 | 2010-12-16 | Toyota Motor Corp | Onboard system, and load distribution method |
JP2014137695A (en) * | 2013-01-16 | 2014-07-28 | Toyota Motor Corp | Information processor |
JP6067548B2 (en) * | 2013-12-18 | 2017-01-25 | トヨタ自動車株式会社 | Information processing device |
-
2021
- 2021-08-31 WO PCT/JP2021/031907 patent/WO2022162988A1/en active Application Filing
- 2021-08-31 JP JP2022578029A patent/JPWO2022162988A1/ja active Pending
- 2021-08-31 DE DE112021005557.7T patent/DE112021005557T5/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5346111B2 (en) | 2012-07-24 | 2013-11-20 | 株式会社日立製作所 | Verification server, program, and verification method |
Also Published As
Publication number | Publication date |
---|---|
JPWO2022162988A1 (en) | 2022-08-04 |
WO2022162988A1 (en) | 2022-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102011008211B4 (en) | Vehicle fault diagnosis and vehicle fault prognosis system and method for fault diagnosis and fault prognosis | |
DE102014112095B4 (en) | Method for monitoring a fault in a controller area network | |
DE102012224342A1 (en) | DEVICE AND METHOD FOR POWER CONTROL FOR V2X COMMUNICATION | |
DE112021005557T5 (en) | VEHICLE CONTROL DEVICE | |
DE102014107094A1 (en) | Method and device for monitoring a multiphase electrical system in a vehicle | |
DE102018212879A1 (en) | Control device and control method | |
DE102005037403A1 (en) | Method for verifying the operability of the arithmetic logic unit (ALU) of a control module | |
DE102014220088A1 (en) | Circuit breaker, battery system and method of operating a circuit breaker | |
WO2007022849A2 (en) | Method for identifying complex diagnoses in customer services | |
DE102014210238A1 (en) | Vehicle diagnostic device | |
EP3460727A1 (en) | Method for examining a functional behaviour of a technical system and evaluation unit | |
DE102023110645A1 (en) | Safety procedures and safety device | |
DE102019111564A1 (en) | METHOD AND SYSTEM FOR CONFIGURING FILTER OBJECTS FOR A CONTROLLER AREA NETWORK CONTROL | |
DE112018004881T5 (en) | Monitoring device, monitoring system and computer program | |
DE10328059A1 (en) | Method and device for monitoring a distributed system | |
DE112019007432B4 (en) | ELECTRONIC CONTROL UNIT AND PROGRAM | |
DE102018210733A1 (en) | Method for monitoring at least one computing unit | |
DE112019007286T5 (en) | IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM | |
DE112016006791B4 (en) | Data processing device, data processing method and data processing program | |
DE102019214450A1 (en) | Device and method for providing a security strategy for a vehicle | |
DE102019216660A1 (en) | ELECTRONIC CONTROL UNIT | |
DE102007049151B4 (en) | Method for carrying out an automotive application | |
DE102017119447A1 (en) | Coordinated multi-mode mapping and runtime switching for systems with dynamic fault tolerance requirements | |
DE102023113723A1 (en) | METHOD OF DESIGNING A FAULT DETECTION CIRCUIT | |
DE102020003720A1 (en) | Method for monitoring a network system by means of a central electronic computing device and network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |