JP2001202129A - 車載制御ユニットの検査方法 - Google Patents

車載制御ユニットの検査方法

Info

Publication number
JP2001202129A
JP2001202129A JP2000012802A JP2000012802A JP2001202129A JP 2001202129 A JP2001202129 A JP 2001202129A JP 2000012802 A JP2000012802 A JP 2000012802A JP 2000012802 A JP2000012802 A JP 2000012802A JP 2001202129 A JP2001202129 A JP 2001202129A
Authority
JP
Japan
Prior art keywords
control unit
sum value
ecu
external tool
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000012802A
Other languages
English (en)
Other versions
JP4253979B2 (ja
Inventor
Kiyonari Nakayama
聖也 中山
Kenji Kamiya
健治 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2000012802A priority Critical patent/JP4253979B2/ja
Publication of JP2001202129A publication Critical patent/JP2001202129A/ja
Application granted granted Critical
Publication of JP4253979B2 publication Critical patent/JP4253979B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)
  • Detection And Correction Of Errors (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Vehicle Cleaning, Maintenance, Repair, Refitting, And Outriggers (AREA)

Abstract

(57)【要約】 【課題】車載制御ユニットを正しく検査し、ひいては不
正改造の防止を図る。 【解決手段】第1及び第2ECU10,20は多重通信
線L1を介して相互に通信可能に接続され、外部ツール
30はシリアル通信線L2を介して各ECU10,20
に接続されている。第1ECU10の正偽判定(検査)
に際し、外部ツール30では先ず、サム値の算出指令を
含む送信データをシリアル通信線L2を介して各ECU
10,20に送信する。第1ECU10では、サム値算
出指令を受けてフラッシュメモリ13内のデータのサム
値を算出し、その後、そのサム値を多重通信線L1を介
して第2ECU20に送信する。第2ECU20では、
受信したサム値と真のサム値とを比較判定し、その判定
結果をシリアル通信線L2を介して外部ツール30に送
信する。この判定結果により、第1ECU10が正規E
CUか偽ECUかが判断される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、車載制御ユニット
の検査方法に関するものである。
【0002】
【従来の技術】この種の従来技術として、特開平11−
132097号公報の「車両制御用メモリ書き換え装
置」がある。同公報の装置は、外部ツールにより電気的
に消去及び書き込み可能な制御メモリ(フラッシュメモ
リ)を搭載したECU(車載制御ユニット)を備え、書
き換え許可された時にのみ前記制御メモリに対するデー
タ書き換えが実施される。また、この装置は、制御メモ
リが記憶するソフトウエア(制御プログラム)が正しい
ことを検査するものであり、その特徴として、 ・予め記憶しておいた制御メモリのサム値(真値)と、
ECUで算出したサム値とを共に表示し、それらを比較
することで正偽判定を行う。 ・上記サム値の比較は外部ツールの内部で行い、その結
果(正偽)のみを返信する。 ・イグニッションキースイッチのOFFからONへの切
換後にサム値の計算を行う。といった処理を実行する。
【0003】
【発明が解決しようとする課題】上記公報の従来技術で
は、ECUで計算したサム値を外部ツールに対してその
まま送信する。そのため、ECUと外部ツールとの通信
データをモニタすることにより、ECUにより算出した
正しいサム値を容易に知り得ることができる。
【0004】また、制御メモリのサム値は、ソフトウエ
アを書き換えなければ変化しないものであるため、外部
チェッカに対して正しいサム値を常に送信するような不
正なプログラムを不正改造者が作成し、それをECUに
組み込めば、正規のサム値算出アルゴリズムを知らなく
ても容易に正規ECUとしてなりすますことが可能とな
る。これは、ECU側で正偽判定を行う構成でも同様で
ある。すなわち、モニタしたサム値を返答する偽プログ
ラムを不正改造者が作成することにより、不正改造され
た偽ECUであっても、外部ツールは正しいサム値(常
に同じ)が返答されたと認識し、正しいECUであると
判断してしまう。
【0005】本発明は、上記問題に着目してなされたも
のであって、その目的とするところは、車載制御ユニッ
トを正しく検査し、ひいては不正改造の防止を図ること
ができる車載制御ユニットの検査方法を提供することで
ある。
【0006】
【課題を解決するための手段】請求項1に記載の車載制
御ユニットの検査方法では、(1)サム値の算出指令を
外部ツールから第1の制御ユニットへ送信する第1のス
テップ、(2)第1の制御ユニット内のメモリのサム値
を算出し、該算出したサム値を第2の制御ユニットに送
信する第2のステップ、(3)第2の制御ユニットにお
いて受信したサム値を予め用意された真のサム値と比較
し、その比較判定の結果から第1の制御ユニットを検査
する第3のステップ、(4)前記検査結果を外部ツール
に送信する第4のステップ、といった各ステップを順に
実施する。それ故、仮に正規の制御ユニットが不正改造
され、メモリの正しいサム値を外部ツール側に返信でき
るような不正なプログラムが制御ユニットに組み込まれ
たとしても、第2の制御ユニットの改造又は置換を併せ
て実施しなければ、偽の制御ユニットが正規の制御ユニ
ットとしてなりすますことはできない。その結果、車載
制御ユニットを正しく検査し、ひいては不正改造の防止
を図ることができる。
【0007】上記発明は特に、フラッシュメモリ等、電
気的に書き換え可能な不揮発性メモリにて第1の制御ユ
ニット内のメモリが構成される場合に有効である(請求
項2)。
【0008】請求項3に記載の発明では、前記第2のス
テップにおいて、外部ツールが接続される通信線とは異
なる別の通信経路を用いて、第1の制御ユニットから第
2の制御ユニットへサム値を送信する。本発明によれ
ば、第1の制御ユニットから発信されるサム値の算出結
果が外部ツールで受信されることがないので、外部ツー
ル側で本来必要でないデータが受信され、それが原因で
処理が混乱するといった不都合が回避される。
【0009】請求項4に記載の発明では、外部ツール
は、サム値算出指令の送信後、所定の応答待ち時間以内
に受信した受信データを無効とする。つまり、外部ツー
ルがサム値算出指令を送信すると、当該外部ツールは本
来、上記第2〜第4の各ステップが実施される処理時間
を経た後、サム値算出指令に応答するデータを受信す
る。こうした実状にも拘わらず、サム値算出指令の後、
直ぐに外部ツールがデータを受信した場合、制御ユニッ
トが不正改造された可能性が高い。それ故、規定に満た
ない時間で受信したデータを無効化すると共に、制御ユ
ニットが不正改造された旨を判断する。
【0010】請求項5に記載の発明では、第2の制御ユ
ニットは、外部ツールがサム値算出指令を送信した後、
所定の制限時間以内に第1の制御ユニットからサム値が
送信されない場合、当該第1の制御ユニットが不正であ
る旨のコード情報を自身(第2の制御ユニット内)の不
揮発性メモリに書き込む。かかる場合にも、制御ユニッ
トが不正改造されたことが判定でき、更にその旨を不揮
発性メモリに格納することにより、後々の異常診断に役
立てることができる。なお、不揮発性メモリに書き込ま
れたコード情報は、外部ツールからの要求に従い第2の
制御ユニットから外部ツールに送信されれば良い。
【0011】ところで、第2の制御ユニットにより第1
の制御ユニットを検査し、その結果を外部ツールに送信
する上記構成では、第1の制御ユニットが不正改造され
ていても、不正改造された当の制御ユニットが自身を正
規ECUであるとする偽データを送信すると、外部ツー
ルは不正改造された制御ユニットを正規なものと誤って
判断するおそれがある。
【0012】そこで、請求項6に記載の発明では、第1
の制御ユニットが不正である旨が判定された状態で、第
1の制御ユニットから外部ツールへのデータ送信が行わ
れる場合、第2の制御ユニットは、第1の制御ユニット
と外部ツールとを結ぶ通信線にダミーデータを送出す
る。これにより、不正改造された制御ユニットから外部
ツールへ向けて偽データが送出したとしても、ダミーデ
ータで前記偽データが破壊(無効化)される。従って、
不正改造された制御ユニットを外部ツールが正規なもの
と判断するといった不都合が解消される。
【0013】特に、請求項7に記載したように、第2の
制御ユニットは、データの送信ポートを論理ハイレベル
又はローレベルに保持することでダミーデータを送出す
ると良く、これにより簡易構成での実現が可能となる。
【0014】
【発明の実施の形態】(第1の実施の形態)この発明を
具体化した本実施の形態では、エンジン制御等を司るE
CUにて車載制御ユニットを構成しており、このECU
に対して外部ツールを接続し、当該ECUの検査やデー
タの交換等を行うこととしている。以下、その詳細を図
面に従って説明する。
【0015】図1は、制御システムの概略構成を示すブ
ロック図である。本システムでは、第1の制御ユニット
としての第1ECU10と、第2の制御ユニットとして
の第2ECU20とを備える。これら第1及び第2EC
U10,20は、多重通信線L1を介して相互に通信可
能に接続されている。第1ECU10は、燃料噴射制御
や点火時期制御等、エンジンの主要な制御を受け持つE
CUであり、その内部のマイコン11は、各種制御の中
枢をなすCPU12、電気的に消去及び書き込み可能な
フラッシュメモリ13、その他図示しないRAMや入出
力回路等を備える。
【0016】また、第2ECU20は、エアバッグ制御
やABS制御等、補助的な制御を受け持つECUであ
り、その内部のマイコン21は、各種制御の中枢をなす
CPU22、電源遮断時にも記憶内容を保持するEEP
ROM23、その他図示しないRAMや入出力回路等を
備える。
【0017】外部ツール30も同様に、CPU、メモ
リ、入出力回路等からなる周知のマイコン31を備え
る。この外部ツール30は、第1ECU10の正偽判定
等の検査や、同ECU10内のフラッシュメモリ13の
データ書き換えに際し、シリアル通信線L2を介して第
1及び第2ECU10,20に接続される。これによ
り、第1及び第2ECU10,20と外部ツール30と
の間でシリアル通信によるデータのやり取りが行われ
る。
【0018】第1ECU10の正偽判定(検査)の概要
を、図2を用いて説明する。かかる場合、フラッシュメ
モリ13内のデータのサム値と既知の正しいサム値とが
比較され、両者が一致すれば、第1ECU10が正規な
ものであると判断される。なお図2では、処理順序を表
すため、(1)〜(5)の連続番号を付している。
【0019】先ず始めに、サム値の算出指令を含む送信
データをシリアル通信線L2を介して外部ツール30か
ら各ECU10,20に送信する(図の(1))。第1
ECU10側では、サム値算出指令を受けてフラッシュ
メモリ13内のデータのサム値Xsumを算出し(図の
(2))、その後、そのサム値Xsumを多重通信線L
1を介して、すなわち外部ツール30が接続されるシリ
アル通信線L2とは異なる別の通信経路を介して、第2
ECU20に送信する(図の(3))。
【0020】第2ECU20では、受信したサム値Xs
umと、予め登録されている真のサム値Xrefとを比
較判定し、その判定結果をシリアル通信線L2を介して
外部ツール30に送信する(図の(4),(5))。ま
た、この第2ECU20では、サム値不一致の場合に第
1ECU10が不正改造されたことを意味するダイアグ
コードを記憶する。
【0021】そして、前記判定結果がサム値の一致(X
sum=Xref)を表すものであれば、外部ツール3
0において第1ECU10が正規ECUであると判断
し、前記判定結果がサム値の不一致(Xsum≠Xre
f)を表すものであれば、外部ツール30において第1
ECU10が偽ECUであると判断する。
【0022】以下には、外部ツール30による第1EC
U10の正偽判定に際し、各ECU10,20及び外部
ツール30内の各マイコン11,21,31により実施
される処理の流れを図3及び図4のフローチャートに従
い説明する。始めに、外部ツール30の処理の流れを図
3のフローチャートで説明する。
【0023】例えば修理工場等において作業者が外部ツ
ール30を操作することで図3の処理がスタートし、先
ずステップ101では、コマンド送信処理によりサム値
算出指令を各ECU10,20に送信する。また、ステ
ップ102ではタイマセットを行う。このステップ10
1,102が通信前処理に相当する。
【0024】その後、この外部ツール30では、コマン
ド送信に対する第2ECU20からの受信確認を行う。
すなわち、タイムアウトしていないことを条件に(ステ
ップ103がNO)、ステップ104では、前記ステッ
プ101のコマンド送信に対する応答を第2ECU20
から受信したか否かを判別する。
【0025】応答が無いままタイムアウトした場合(ス
テップ103がYES)、そのままステップ107に進
む。ステップ107では、通信異常に関するダイアグコ
ードを取り出し、その後、ECU異常の旨を判断する。
なお、ステップ103がYESの場合、ステップ101
に戻り、コマンド送信を再度実施しても良い。この場
合、コマンド再送信の回数を予め制限しておき、例えば
タイムアウトが3回繰り返されると、通信異常であると
判断してステップ107に進む構成としても良い。
【0026】コマンド送信に対する応答を第2ECU2
0から受信すると、ステップ105に進み、その受信デ
ータ内に含まれるサム値の判定結果を取り出す。そし
て、その判定結果がサム値一致に該当するものであれ
ば、ステップ106を肯定判別し、ECU正常である旨
を判断する。また、前記判定結果がサム値不一致に該当
するものであれば、ステップ106を否定判別し、ステ
ップ107でダイアグコードを取り出し、その後、EC
U異常の旨を判断する。
【0027】次に、第1及び第2ECU10,20の処
理の流れを図4のフローチャートに従い説明する。ここ
で、図4(a)は第1ECU側10の処理を示し、図4
(b)は第2ECU20側の処理を示す。先ず、図4
(a)に従い、第1ECU10側の処理の流れを説明す
る。
【0028】第1ECU10内のマイコン11は、先ず
ステップ201において、外部ツール30よりコマンド
を受信したか否かを判別し、YESであればステップ2
02に進み、算出式 Xsum=ΣData(i) により、サム値Xsumを算出する。すなわち、フラッ
シュメモリ13内の規定されたアドレス領域についてア
ドレスiのデータを全て加算し、その和をサム値Xsu
mとする。その後、ステップ203では、前記算出した
サム値Xsumを多重通信線L1を介して第2ECU2
0に送信し、本処理を一旦終了する。
【0029】一方、第2ECU20内のマイコン21
は、図4(b)のステップ301において、第1ECU
10よりサム値Xsumを含むデータを受信したか否か
を判別し、YESであればステップ302に進み、受信
データからサム値Xsum(生データ)を取り出す。
【0030】その後、ステップ303では、予め登録さ
れている真のサム値Xrefを取り出し、続くステップ
304では、サム値Xsum(生データ)と真のサム値
Xrefとを比較する。
【0031】両サム値が一致すれば、そのままステップ
306に進み、サム値の比較結果をシリアル通信線L2
を介して外部ツール30に対して送信する。この場合、
前記図3の処理では、ECU正常である旨が判断され
る。
【0032】また、両サム値が不一致であれば、ステッ
プ305で第1ECU10が不正改造されたことを意味
するダイアグコードをEEPROM23に登録した後、
ステップ306でサム値の比較結果をシリアル通信線L
2を介して外部ツール30に対して送信する。この場
合、外部ツール30による前記図3の処理では、EEP
ROM23に登録したダイアグコードが取り出されると
共に、ECU異常である旨が判断される。
【0033】なお本実施の形態では、図3のステップ1
01の処理が本発明の「第1のステップ」に、図4
(a)のステップ202,203の処理が「第2のステ
ップ」に、図4(b)のステップ304の処理が「第3
のステップ」に、図4(b)のステップ306の処理が
「第4のステップ」に、それぞれ該当する。
【0034】以上詳述した本実施の形態によれば、以下
に示す効果が得られる。つまり、上記ECUの検査方法
によれば、仮に第1ECU10(正規のECU)が不正
改造され、フラッシュメモリ13の正しいサム値(算出
したサム値Xsum)を外部ツール30側に返信できる
ような不正なプログラムがECUに組み込まれたとして
も、第2ECU20の改造又は置換を併せて実施しなけ
れば、偽のECUが正規のECUとしてなりすますこと
ができない。その結果、第1ECU10を正しく検査
し、ひいては不正改造の防止を図ることができる。
【0035】また、外部ツール30が接続されるシリア
ル通信線L2とは異なる別の通信経路(多重通信線L
1)を用いて、第1ECU10から第2ECU20へサ
ム値Xsumを送信するので、サム値Xsumが外部ツ
ール30で受信されることはない。それ故、外部ツール
30側で本来必要でないデータが受信され、それが原因
で処理が混乱するといった不都合が回避される。
【0036】(第2の実施の形態)次に、本発明におけ
る第2の実施の形態を説明する。但し、本実施の形態で
は、上述した第1の実施の形態と同等であるものは説明
を簡略化し、第1の実施の形態との相違点を中心に説明
する。
【0037】上記第1の実施の形態では、第2ECU2
0でサム値の比較判定が行われ、その判定結果のみがシ
リアル通信線L2を介して外部ツール30に送信される
ため、この第2ECU20の代わりに正規ECUである
との偽データをシリアル通信線L2に流すことで、偽の
ECUが正規ECUになりすますことが考えられる。す
なわち、図5に示すように、第1ECU10(正規EC
U)の代わりに偽ECU40が組み込まれた場合、偽E
CU40自身が「正規ECU」である旨の偽データをシ
リアル通信線L2を介して外部ツール30に送信する
と、外部ツール30は偽ECU40が正規なものである
と誤判定するおそれがある。
【0038】そこで、その対策として本実施の形態で
は、第1ECU10が不正である旨が判定された場合
に、第2ECU20よりシリアル通信線L2にダミーデ
ータを送出し、偽ECUが「正規ECU」である旨の偽
データが通信されることを妨害する。以下、第2ECU
20並びに外部ツール30による監視機能について、詳
しく説明する。
【0039】本実施の形態において、外部ツール30
は、前記図3の処理に代えて図6の処理を実施し、第2
ECU20は、前記図4(b)の処理に代えて図7の処
理を実施する。但し、各図において変更の無い処理は同
じステップ数を付すと共に、重複する説明を簡素化す
る。なお、第1ECU10の処理は前記図4(a)をそ
のまま流用するため、図示及び説明は省略する。
【0040】図6において、外部ツール30は、ステッ
プ101,102で通信前処理を行い、その後、ステッ
プ103,104で第2ECU20からの受信確認を行
う。このとき、タイムアウトしておらず且つ、コマンド
送信に対する応答を第2ECU20から正常に受信する
と、ステップ401に進む。
【0041】ステップ401では、コマンド送信(サム
値算出指令)から所定の応答待ち時間T1が経過したか
否かを判別する。この応答待ち時間T1は、コマンド送
信の後、各ECU10,20で行われる処理の所要時間
を考慮して設定される時間であり、本来は応答データを
受信する筈のない時間である。但し、このT1は勿論、
受信タイムアウトを判定する時間よりも短い時間であ
る。
【0042】データを正常に受信した時に所定の応答待
ち時間T1が経過していれば、第2ECU20からの受
信データが正規データであるとみなし、後続のステップ
105に進む。そして、受信データ内に含まれるサム値
の判定結果により、第1ECU10が正常か異常かを判
断する(ステップ105〜107)。
【0043】また、応答待ち時間T1前にデータ受信し
た場合は、受信データが偽データであるとみなして当該
データを無効とする。そして、直ぐにステップ107に
進み、ダイアグコードの取り出し、第1ECU10の異
常判定を行う。
【0044】つまり、サム値算出指令の後、応答待ち時
間T1を待たずに直ぐに外部ツール30がデータを受信
した場合、第1ECU10が不正改造された可能性が高
いと言える。それ故、規定に満たない時間で受信したデ
ータを無効化する。
【0045】一方、図7において、第2ECU20は、
外部ツール30からのコマンド受信の旨を判別すると、
ステップ501からステップ502に進み、タイマセッ
トを行う。
【0046】その後、コマンド受信からの経過時間が所
定の制限時間T2以内であることを条件に(ステップ5
03がNO)、ステップ504では、外部ツール30か
らのコマンド送信(サム値算出指令)に応答して第1E
CU10からサム値を受信したか否かを判別する。
【0047】こうした受信確認の処理において、第1E
CU10からサム値を受信できないまま、コマンド受信
からの経過時間が制限時間T2を超える場合(ステップ
503がYES)、ステップ508に進み、異常ダイア
グコードをEEPROM23に登録する。すなわちこの
場合、第1ECU10が偽ECUであるとみなし、不正
改造が行われたことを意味するダイアグコードを第2E
CU20内のEEPROM23に書き込む。
【0048】また、制限時間T2以内にサム値を受信す
ると、後続のステップ505に進む。ステップ505〜
507では、受信データに含まれるサム値Xsumと、
登録済みの真のサム値Xrefとを取り出すと共に、そ
れら両サム値を比較する。そして、両サム値が一致すれ
ば、ステップ511に進み、サム値の比較結果(この場
合は正常判定の結果)を外部ツール30に対して送信す
る。
【0049】また、両サム値が不一致であれば、ステッ
プ508で異常ダイアグコードをEEPROM23に登
録した後、ステップ509に進む。ステップ509で
は、所定の受信有効時間T3(ステップ510がYES
の期間)内においてECU異常時における通信線モニタ
処理を実施する。なお、受信有効時間T3とは、外部ツ
ール30が受信データを有効とする時間であって、シリ
アル通信線L2上の偽データを、外部ツール30が正規
データとしてとり違える可能性がある時間帯に該当す
る。
【0050】通信線モニタ処理に際し、第2ECU20
は図8の処理を実施する。すなわち、シリアル通信線L
2をモニタし、第1ECU10から外部ツール30に対
して送信されるコマンドがあるかどうかを判別する(ス
テップ601)。そして、コマンド送信が確認される
と、シリアル通信線L2上のコマンドを無効化すべく、
送信ポートTxからダミーデータを出力する(ステップ
602)。なお、簡易構成を実現する上では、送信ポー
トTxを論理ハイレベル又はローレベルに保持すること
でダミーデータを送出すると良い。
【0051】通信線モニタ処理をT3期間内で継続した
後、ステップ511では、サム値の比較結果(この場合
は異常判定の結果)を外部ツール30に対して送信し、
その後本処理を一旦終了する。
【0052】ここで、通信線モニタ処理について、図9
のタイムチャートを参照してより具体的に説明する。つ
まり、第1ECU10が偽ECUに置換され、その偽E
CUの送信ポートTxから図示のような偽データが送信
される場合、第2ECU20は、自身の送信ポートTx
を論理ローレベルに保持する。この場合、外部ツール3
0では、シリアル通信線L2を介して受信されるデータ
に関し、ストップビットを検出できないことからエラー
発生であると判定され、結果的に受信データが無効化さ
れることとなる。これにより、偽ECUが正規ECUで
あるようになりすますことが防止できる。
【0053】なお本実施の形態では、上記第1の実施の
形態との違いとして、図7のステップ507の処理が
「第3のステップ」に、図7のステップ511の処理が
「第4のステップ」に、それぞれ該当する。
【0054】以上第2の実施の形態によれば、上記第1
の実施の形態における効果に加え、以下の特徴的な効果
を奏する。 (イ)外部ツール30は、サム値算出指令の送信後、所
定の応答待ち時間T1以内に受信した受信データを無効
とするでで、第1ECU10が不正改造された旨が好適
に判断できる。
【0055】(ロ)サム値算出指令の後、所定の制限時
間T2以内に第1ECU10からサム値が送信されない
場合、第2ECU20は第1ECU10が不正改造され
たとみなし、その旨のダイアグコードをEEPROM2
3に書き込むので、異常判定の履歴が記憶保持できる。
また、外部ツール30からの要求に応じてダイアグコー
ドを取り出すことにより、後々の異常診断に役立てるこ
とができる。
【0056】(ハ)第1ECU10が不正改造された旨
が判定された状態で、第1ECU10から外部ツール3
0へのデータ送信が行われる場合、第2ECU20はシ
リアル通信線L2にダミーデータを送出するので、不正
改造されたECUから外部ツール30へ向けて偽データ
が送出したとしても、ダミーデータで前記偽データが破
壊(無効化)される。従って、不正改造されたECUを
外部ツール30が正規なものと誤って判断するといった
不都合が解消される。
【0057】なお本発明は、上記以外に次の形態にて具
体化できる。上記各実施の形態では、第1の制御ユニッ
トとして、燃料噴射制御や点火時期制御等、エンジンの
主要な制御を受け持つ第1ECU10を設け、第2の制
御ユニットとして、エアバッグ制御やABS制御等、補
助的な制御を受け持つ第2ECU20を設けたが、その
構成は任意で良い。要は、少なくとも2つのECU(制
御ユニット)を備え、検査対象ではない方のECUによ
りサム値の比較判定を行う構成であれば良い。
【0058】上記各実施の形態では、第1及び第2EC
U10,20を多重通信線L1で接続すると共に、外部
ツール30と各ECU10,20とをシリアル通信線L
2で接続したが、この通信システムの構成を適宜変更し
ても良い。要は、サム値算出指令及びサム値比較結果が
外部ツール30で送受信される通信経路と、サム値の算
出結果が送信される通信経路とが別々に設けられる構成
であればよい。
【図面の簡単な説明】
【図1】発明の実施の形態における制御システムの概略
構成を示すブロック図。
【図2】ECUの正偽判定の様子を示す説明図。
【図3】外部ツールの処理の流れを示すフローチャー
ト。
【図4】第1ECU及び第2ECUの処理の流れを示す
フローチャート。
【図5】第2の実施の形態の説明のための概略図。
【図6】第2の実施の形態において外部ツールの処理の
流れを示すフローチャート。
【図7】第2の実施の形態において第2ECUの処理の
流れを示すフローチャート。
【図8】通信線モニタ処理を示すフローチャート。
【図9】通信線モニタ処理の動作を説明するためのタイ
ムチャート。
【符号の説明】
10…第1の制御ユニットとしての第1ECU、11…
マイコン、12…CPU、13…フラッシュメモリ、2
0…第2の制御ユニットとしての第2ECU、21…マ
イコン、22…CPU、23…EEPROM、30…外
部ツール、L1…多重通信線、L2…シリアル通信線。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) B60S 5/00 B60S 5/00 9A001 Fターム(参考) 3D026 BA22 BA28 3G084 BA00 DA32 EB06 EB22 5B001 AA14 AB01 AC01 AD03 AE01 5B018 GA03 GA06 GA10 HA13 HA31 JA26 KA12 NA06 RA11 RA12 5H223 AA10 CC08 DD03 EE11 EE19 9A001 BB03 HZ34 JJ77 LL06

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】チェックサムの対象となるメモリを備える
    第1の制御ユニットと、それとは別の第2の制御ユニッ
    トとを備え、前記第1の制御ユニットのメモリについて
    データのサム値を求め、該サム値により当該第1の制御
    ユニットを検査する車載制御ユニットの検査方法におい
    て、 サム値の算出指令を外部ツールから第1の制御ユニット
    へ送信する第1のステップと、 第1の制御ユニット内のメモリのサム値を算出し、該算
    出したサム値を第2の制御ユニットに送信する第2のス
    テップと、 第2の制御ユニットにおいて受信したサム値を予め用意
    された真のサム値と比較し、その比較判定の結果から第
    1の制御ユニットを検査する第3のステップと、 前記検査結果を外部ツールに送信する第4のステップ
    と、 からなることを特徴とする車載制御ユニットの検査方
    法。
  2. 【請求項2】第1の制御ユニット内のメモリは、電気的
    に書き換え可能な不揮発性メモリである請求項1に記載
    の車載制御ユニットの検査方法。
  3. 【請求項3】前記第2のステップでは、外部ツールが接
    続される通信線とは異なる別の通信経路を用いて、第1
    の制御ユニットから第2の制御ユニットへサム値を送信
    する請求項1又は2に記載の車載制御ユニットの検査方
    法。
  4. 【請求項4】外部ツールは、サム値算出指令の送信後、
    所定の応答待ち時間以内に受信した受信データを無効と
    する請求項1〜3の何れかに記載の車載制御ユニットの
    検査方法。
  5. 【請求項5】第2の制御ユニットは、外部ツールがサム
    値算出指令を送信した後、所定の制限時間以内に第1の
    制御ユニットからサム値が送信されない場合、当該第1
    の制御ユニットが不正である旨のコード情報を自身の不
    揮発性メモリに書き込む請求項1〜3の何れかに記載の
    車載制御ユニットの検査方法。
  6. 【請求項6】第1の制御ユニットが不正である旨が判定
    された状態で、第1の制御ユニットから外部ツールへの
    データ送信が行われる場合、第2の制御ユニットは、第
    1の制御ユニットと外部ツールとを結ぶ通信線にダミー
    データを送出する請求項1〜3の何れかに記載の車載制
    御ユニットの検査方法。
  7. 【請求項7】請求項6に記載の車載制御ユニットの検査
    方法において、 第2の制御ユニットは、データの送信ポートを論理ハイ
    レベル又はローレベルに保持することでダミーデータを
    送出する車載制御ユニットの検査方法。
JP2000012802A 2000-01-21 2000-01-21 車載制御ユニットの検査方法 Expired - Fee Related JP4253979B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000012802A JP4253979B2 (ja) 2000-01-21 2000-01-21 車載制御ユニットの検査方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000012802A JP4253979B2 (ja) 2000-01-21 2000-01-21 車載制御ユニットの検査方法

Publications (2)

Publication Number Publication Date
JP2001202129A true JP2001202129A (ja) 2001-07-27
JP4253979B2 JP4253979B2 (ja) 2009-04-15

Family

ID=18540476

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000012802A Expired - Fee Related JP4253979B2 (ja) 2000-01-21 2000-01-21 車載制御ユニットの検査方法

Country Status (1)

Country Link
JP (1) JP4253979B2 (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7013241B2 (en) 2003-01-23 2006-03-14 Denso Corporation Electronic control unit
JP2007099145A (ja) * 2005-10-06 2007-04-19 Denso Corp 車載ネットワークの診断システム及び車載制御装置
US7248932B2 (en) 2003-01-23 2007-07-24 Denso Corporation Electronic control unit
US7251551B2 (en) 2003-09-24 2007-07-31 Mitsubishi Denki Kabushiki Kaisha On-vehicle electronic control device
JP2009134497A (ja) * 2007-11-30 2009-06-18 Honda Motor Co Ltd 車載用制御ユニットの不揮発性メモリの書き換えシステム
JP2011113240A (ja) * 2009-11-26 2011-06-09 Yokogawa Electric Corp 二重化処理装置
KR101266214B1 (ko) 2011-12-23 2013-05-21 주식회사 현대케피코 차량의 ecu 탈착 확인장치
JP2015227157A (ja) * 2014-05-30 2015-12-17 以勤科技股▲分▼有限公司 データゲートウェイ及びその車両動作への干渉方法
JP2016136739A (ja) * 2011-01-18 2016-07-28 マルワン ハノン 乗物の内部のモバイル機器の存在を検出し、動作を制御する装置、システム、および方法
JP6072869B1 (ja) * 2015-09-11 2017-02-01 ニチユ三菱フォークリフト株式会社 制御装置、車両、制御方法及び制御プログラム
JP6072871B1 (ja) * 2015-09-11 2017-02-01 ニチユ三菱フォークリフト株式会社 エラー出力制御装置、車両、エラー出力制御方法及びエラー出力制御プログラム
US9758039B2 (en) 2011-01-18 2017-09-12 Driving Management Systems, Inc. Apparatus, system, and method for detecting the presence of an intoxicated driver and controlling the operation of a vehicle
WO2018078928A1 (ja) * 2016-10-27 2018-05-03 株式会社デンソー 不正防止装置及び不正防止ユニット
US10205819B2 (en) 2015-07-14 2019-02-12 Driving Management Systems, Inc. Detecting the location of a phone using RF wireless and ultrasonic signals
JP2019176643A (ja) * 2018-03-29 2019-10-10 Tdk株式会社 ワイヤレス送電装置、ワイヤレス電力伝送システム及びワイヤレス受電装置
CN112594078A (zh) * 2020-12-07 2021-04-02 重庆潍柴发动机有限公司 一种船用发动机抢占式冗余电控系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04278647A (ja) * 1991-03-06 1992-10-05 Nec Corp 自己診断システム
JPH04362437A (ja) * 1991-06-10 1992-12-15 Fuji Heavy Ind Ltd 車輌の制御システム
JPH0520135U (ja) * 1991-08-28 1993-03-12 日本電子機器株式会社 マイクロコンピユータシステムの異常検出装置
JPH08305590A (ja) * 1995-05-09 1996-11-22 Nec Corp データ照合方式
JPH09218755A (ja) * 1996-02-08 1997-08-19 Canon Inc 印刷制御装置および印刷制御装置のデータ処理方法
JPH1136973A (ja) * 1997-07-24 1999-02-09 Mitsubishi Electric Corp 車両用制御装置
JPH11132097A (ja) * 1997-10-28 1999-05-18 Nissan Motor Co Ltd 車両制御用メモリ書き換え装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04278647A (ja) * 1991-03-06 1992-10-05 Nec Corp 自己診断システム
JPH04362437A (ja) * 1991-06-10 1992-12-15 Fuji Heavy Ind Ltd 車輌の制御システム
JPH0520135U (ja) * 1991-08-28 1993-03-12 日本電子機器株式会社 マイクロコンピユータシステムの異常検出装置
JPH08305590A (ja) * 1995-05-09 1996-11-22 Nec Corp データ照合方式
JPH09218755A (ja) * 1996-02-08 1997-08-19 Canon Inc 印刷制御装置および印刷制御装置のデータ処理方法
JPH1136973A (ja) * 1997-07-24 1999-02-09 Mitsubishi Electric Corp 車両用制御装置
JPH11132097A (ja) * 1997-10-28 1999-05-18 Nissan Motor Co Ltd 車両制御用メモリ書き換え装置

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7248932B2 (en) 2003-01-23 2007-07-24 Denso Corporation Electronic control unit
US7013241B2 (en) 2003-01-23 2006-03-14 Denso Corporation Electronic control unit
US7251551B2 (en) 2003-09-24 2007-07-31 Mitsubishi Denki Kabushiki Kaisha On-vehicle electronic control device
JP4701977B2 (ja) * 2005-10-06 2011-06-15 株式会社デンソー 車載ネットワークの診断システム及び車載制御装置
JP2007099145A (ja) * 2005-10-06 2007-04-19 Denso Corp 車載ネットワークの診断システム及び車載制御装置
US7912597B2 (en) 2005-10-06 2011-03-22 Denso Corporation On-vehicle network diagnosis system and on-vehicle control apparatus thereof
JP2009134497A (ja) * 2007-11-30 2009-06-18 Honda Motor Co Ltd 車載用制御ユニットの不揮発性メモリの書き換えシステム
JP2011113240A (ja) * 2009-11-26 2011-06-09 Yokogawa Electric Corp 二重化処理装置
JP2016136739A (ja) * 2011-01-18 2016-07-28 マルワン ハノン 乗物の内部のモバイル機器の存在を検出し、動作を制御する装置、システム、および方法
US9758039B2 (en) 2011-01-18 2017-09-12 Driving Management Systems, Inc. Apparatus, system, and method for detecting the presence of an intoxicated driver and controlling the operation of a vehicle
US9854433B2 (en) 2011-01-18 2017-12-26 Driving Management Systems, Inc. Apparatus, system, and method for detecting the presence and controlling the operation of mobile devices within a vehicle
KR101266214B1 (ko) 2011-12-23 2013-05-21 주식회사 현대케피코 차량의 ecu 탈착 확인장치
JP2015227157A (ja) * 2014-05-30 2015-12-17 以勤科技股▲分▼有限公司 データゲートウェイ及びその車両動作への干渉方法
US10205819B2 (en) 2015-07-14 2019-02-12 Driving Management Systems, Inc. Detecting the location of a phone using RF wireless and ultrasonic signals
JP6072871B1 (ja) * 2015-09-11 2017-02-01 ニチユ三菱フォークリフト株式会社 エラー出力制御装置、車両、エラー出力制御方法及びエラー出力制御プログラム
JP2017052461A (ja) * 2015-09-11 2017-03-16 ニチユ三菱フォークリフト株式会社 制御装置、車両、制御方法及び制御プログラム
JP2017052464A (ja) * 2015-09-11 2017-03-16 ニチユ三菱フォークリフト株式会社 エラー出力制御装置、車両、エラー出力制御方法及びエラー出力制御プログラム
JP6072869B1 (ja) * 2015-09-11 2017-02-01 ニチユ三菱フォークリフト株式会社 制御装置、車両、制御方法及び制御プログラム
WO2018078928A1 (ja) * 2016-10-27 2018-05-03 株式会社デンソー 不正防止装置及び不正防止ユニット
JP2018069893A (ja) * 2016-10-27 2018-05-10 株式会社デンソー 不正防止装置及び不正防止ユニット
TWI642569B (zh) * 2016-10-27 2018-12-01 電裝股份有限公司 Improper prevention device and improper prevention unit
JP2019176643A (ja) * 2018-03-29 2019-10-10 Tdk株式会社 ワイヤレス送電装置、ワイヤレス電力伝送システム及びワイヤレス受電装置
CN112594078A (zh) * 2020-12-07 2021-04-02 重庆潍柴发动机有限公司 一种船用发动机抢占式冗余电控系统及方法
CN112594078B (zh) * 2020-12-07 2022-07-01 重庆潍柴发动机有限公司 一种船用发动机抢占式冗余电控系统及方法

Also Published As

Publication number Publication date
JP4253979B2 (ja) 2009-04-15

Similar Documents

Publication Publication Date Title
JP4253979B2 (ja) 車載制御ユニットの検査方法
US6847864B2 (en) Vehicular communications system initializing abnormal control unit
JP5729337B2 (ja) 車両用認証装置、及び車両用認証システム
US20190312892A1 (en) Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
JP3514764B2 (ja) 車両安全装置
CN107547327A (zh) 车辆网关网络保护
US20170096958A1 (en) Push-button start system fault diagnosis
JP2007524149A (ja) プログラム制御される機器の遠隔プログラミング
JP5696669B2 (ja) ゲートウェイ装置、及び、車両通信システム
US8209084B2 (en) Program management system
JP2008084120A (ja) 電子制御装置
JP2001123874A (ja) 電子制御装置のプログラム書換システム及びメモリ書換装置
US11361600B2 (en) Method for authenticating a diagnostic trouble code generated by a motor vehicle system of a vehicle
JP6404848B2 (ja) 監視装置、及び、通信システム
JP2000185606A (ja) 車載電子制御ユニットと同電子制御ユニットの交換方法
KR102144408B1 (ko) 안전한 데이터 전송을 위한 방법 및 통신 시스템
JP2001202266A (ja) 車載制御ユニットの検査方法
JP2013112120A (ja) 車載通信システム
US20090091419A1 (en) Methods and systems to control remote access to a vehicle module
JP6662657B2 (ja) 車両用監視システム
CN107391215A (zh) 一种ecu嵌入式软件刷新和下载编程的系统
JP2016112909A (ja) 車載ネットワークシステム
JP7281714B2 (ja) 情報処理装置、情報処理システム及びプログラム
JP7172748B2 (ja) 電子制御装置及び検査システム
Sharma et al. Towards the prevention of car hacking: A threat to automation industry

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060316

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081007

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081009

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090119

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120206

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130206

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140206

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees