JP2008052618A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2008052618A
JP2008052618A JP2006230324A JP2006230324A JP2008052618A JP 2008052618 A JP2008052618 A JP 2008052618A JP 2006230324 A JP2006230324 A JP 2006230324A JP 2006230324 A JP2006230324 A JP 2006230324A JP 2008052618 A JP2008052618 A JP 2008052618A
Authority
JP
Japan
Prior art keywords
rewriting
identification information
information
electronic control
worker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006230324A
Other languages
English (en)
Inventor
Tomohiko Hasegawa
倫彦 長谷川
Shogo Ide
省吾 井出
Minoru Okubo
実 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006230324A priority Critical patent/JP2008052618A/ja
Publication of JP2008052618A publication Critical patent/JP2008052618A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】不正書換えの有無を判断し、不正書換え経路の追跡を行えるようにし、不正書換えの防止を図ることができる電子制御装置を提供する。
【解決手段】外部接続される書換装置40により制御情報を電気的に書換え可能な不揮発性メモリ12を有する電子制御装置にあって、前記書換装置40によって前記不揮発性メモリ12の制御情報を書換える際、当該書換えの識別情報(固体識別情報A、作業者識別情報B)を前記書換装置40より取り込み、当該識別情報をログ情報として記憶する識別情報記憶用不揮発性メモリ14を有する。
【選択図】図1

Description

本発明は、電気的にデータを書換え可能な不揮発性メモリを有する電子制御装置に係り、特に、不揮発性メモリに記憶された制御プログラムや制御データと云った制御情報の不正な書換えを追跡・防止する電子制御装置に関する。
従来より、自動車のエンジン等を制御する電子制御装置(以下、ECUと云う)には、フラッシュメモリ等、電気的にデータを書換え可能な不揮発性メモリに制御情報を格納したものがある。この種のECUは、市場への供給後でも、制御情報を書換えることができ、容易にアップデートできるメリットがある。
この種のECUは、通常時には、不揮発性メモリに格納された制御情報に従ってエンジン等の制御対象を制御するための制御処理を実行するが、別途用意された外部接続の書換装置が接続されて、その書換装置から書換指令が送信されて来ると、所定の通信処理を踏んだ後に、不揮発性メモリの内容を書換えるように構成されている。
不揮発性メモリの内容の書換えは、不揮発性メモリに格納されている制御情報の一部又は全部を消去し、その消去したメモリ領域に書換装置から送信されてくる制御情報を変更データとして書き込むことにより行われる。
このようなECUでは、不揮発性メモリに格納される制御情報を書換装置を用いて新たな情報に書換えることができ、制御内容を任意に変更することができるという点で有利である。特に、市場供給後に車両用制御情報を変更する必要が生じた場合にも迅速に対応できることになり、ECUのアップデートに関するメンテナンス性がよい。
しかし、その反面、利用者が快適性や興味などで、ECU内の不揮発性メモリに格納されている制御情報を故意に不正に書換える可能性が否定できず、実際に、不正書換えを実施しためにECUが動作不良もしくは破損し、部品メーカへ返却されるケースが散見している。このようなことから、様々な不正書換え防止手段が提案されている。
ECU内の不揮発性メモリの不正書換防止手段として、ECUは外部機器から送信される固体識別情報を受信し、ECU内のROMに予め記憶されている識別情報と一致するかどう否かを判定し、一致すると、制御情報の書換えを実施するものが提案されている(例えば、特許文献1)。
また、書換え要求があった時点で定まる識別データから計時手段を用いて暗証コードを作成し、外部機器で同様に作成された暗証コードと一致するかどう否かを判定し、一致すると制御情報の書換えを実施するものが提案されている(例えば、特許文献2)。
特開平11−175331号公報 特開2004−51056号公報
従来、様々な不正書換え防止策を講じて書換え時のセキュリティを向上させてきたが、市場での不正書き換えを防止できていなのが現状である。これは、書換装置の盗難や書換えに関する情報の漏洩など、制御情報の書換えに関する情報が利用者に流出し、それを追跡することができず、流出拡大や今後の流出防止のための対策を取り難いと云う問題がある。
本発明は、前記解決しようとする課題に鑑みてなされたものであって、その目的とするところは、不正書換えの有無を判断し、不正書換え経路の追跡を行えるようにし、不正書換えの防止を図ることができる電子制御装置を提供することにある。
前記目的を達成するために、本発明による電子制御装置は、外部接続される書換装置により制御情報を電気的に書換え可能な不揮発性メモリを有する電子制御装置にあって、前記書換装置によって前記不揮発性メモリの制御情報を書換える際、当該書換えの識別情報を前記書換装置より取り込み、当該識別情報をログ情報として記憶する識別情報記憶用不揮発性メモリを有する。
本発明による電子制御装置の前記識別情報は、好ましくは、前記書換装置に割り当てられている装置固有の固体識別情報、あるいは前記書換装置よって書換えを行う作業者を特定する書換作業者識別情報である。
本発明による電子制御装置は、好ましくは、前記書換装置より取り込んだ前記識別情報が、予め設定された書換えを許可された識別情報である場合にのみ書換えを許可して前記識別情報の書き込みを行い、許可された識別情報でない場合には書換えを禁止して前記識別情報の書き込みを行わない。
また、前記目的を達成するために、本発明による電子制御装置は、外部接続される書換装置により制御情報を電気的に書換え可能な不揮発性メモリを有する電子制御装置にあって、前記書換装置によって前記不揮発性メモリの制御情報を書換える際、当該書換えに使用する書換装置に割り当てられている装置固有の固体識別情報と当該書換えを行う作業者を特定する書換作業者識別情報を前記書換装置より取り込み、前記固体識別情報と前記書換作業者識別情報の双方を関連付けてログ情報として記憶する識別情報記憶用不揮発性メモリを有する。
本発明による電子制御装置は、好ましくは、前記書換装置より取り込んだ前記固体識別情報と前記書換作業者識別情報の双方が、予め設定された書換えを許可された識別情報である場合にのみ書換えを許可して前記識別情報の書き込みを行い、前記固体識別情報と前記書換作業者識別情報の少なくとも一方が許可された識別情報でない場合には書換えを禁止して前記識別情報の書き込みを行わない。
本発明による電子制御装置によれば、盗難や情報漏洩等により書換えに関する情報が流出し、正当な手段で不正な制御情報の書換えが行われた場合であっても、書換えを行っている書換装置及び書換作業者を特定する履歴(ログ情報)が残り、電子制御装置が市場より部品メーカへ返却された際に、不揮発性メモリ内に記憶された書換装置の識別情報、または書換作業者の情報、もしくはその両方を確認することができ、書換装置、書換作業者を特定することができる。
これにより、電子制御装置の返却理由が、不正書換えによるものかどうかの解析が可能となり、不正書換えと判断される場合、書換装置、書換作業者の識別情報から、書換え情報、書換え装置の流出経路の解明に役立てることができ、ついては不正書換え防止が可能となる。
本発明による電子制御装置の実施形態を、図面を参照して説明する。
図1は、本発明による電子制御装置の一つの実施形態を示している。電子制御装置(ECU)10は、マイクロコンピュータ式のものであり、CPU11、各種制御プログラムや制御データを格納する不揮発性メモリ12、通信手段(通信インターフェイス装置)13、識別情報記憶用不揮発性メモリ14を有する。識別情報記憶用不揮発性メモリ14は、ECU10内の不揮発性メモリ12の書換処理で消去/書き換えを行わない領域の一部や、マイコン外部のEEP−ROMのような不揮発性メモリである。
ECU10は、自動車等の車両100に搭載され、車両100に用意された車両ダイアグコネクタ20を介して書換装置40をデータ通信可能に外部接続される。不揮発性メモリ12は、このように外部接続された書換装置40により、制御情報を電気的に書換え可能な不揮発性メモリである。
書換装置40は、CPU41、書換情報メモリ42、固体識別情報メモリ43、通信手段(通信インターフェイス装置)44を有し、書換作業者による操作に基づき、ECU10とデータ通信を行う。書換装置40は、装置固有の識別情報として固体識別情報Aを割り当てられており、固体識別情報Aを固体識別情報メモリ43に格納している。固体識別情報Aは、例えば、書換装置40に内蔵された通信手段44のアドレス等の固体認識のユニークなデータであり、書換作業者には察知することができないデータである。
書換装置40は、書換作業者識別情報Bの入力する書換作業者識別情報入力手段45を備えている。書換作業者識別情報Bは、IDカードのIDや暗証番号等、書換えを行う作業者を特定するデータであり、書換装置40内のCPU41で所定の処理を行った後に、データの特定を行うことによって、平易に察知することができないデータである。
書換装置40は、書換装置40の通信手段44とECU10の通信手段13とにより、所定の通信プロトコルのもとに、ECU10とデータ通信を行い、書換情報メモリ42に書き込まれている書換情報をECU10に送信し、ECU10の不揮発性メモリ12に書き込まれている制御情報の書換えを行う。
この不揮発性メモリ12の制御情報書換えの際に、ECU10は、書換えに使用する書換装置40の固体識別情報メモリ43に格納されている固体識別情報Aと、書換作業者識別情報入力手段45より書換装置40に入力された作業者識別情報Bを、書換装置40より取り込み、書換装置40より取り込んだ固体識別情報Aと作業者識別情報Bの双方が、予めECU10に設定されている書換えを許可された識別情報であるか否かを判別する。
ECU10は、書換装置40より取り込んだ固体識別情報Aと作業者識別情報Bの双方が、予めECU10に設定された書換えを許可された識別情報である場合にのみ書換えを許可し、許可された識別情報でない場合には書換えを禁止する。これにより、広域な不正書換えのアクセスを排除できる。
そして、ECU10は、書換えを許可した場合には、書換装置40より取り込んだ固体識別情報Aと作業者識別情報Bの双方を関連付けて、改ざんできないログ情報として識別情報記憶用不揮発性メモリ14に書き込み記憶する。
なお、書換えを禁止した場合には、書換装置40より取り込んだ固体識別情報Aと作業者識別情報Bを識別情報記憶用不揮発性メモリ14に書き込まず、識別情報記憶用不揮発性メモリ14には、書換え許可のもとに書換を実行した固体識別情報Aと作業者識別情報Bのみが書き込まれる。これにより、識別情報記憶用不揮発性メモリ14のメモリ容量を削減でき、ログ情報の解析作業性がよくなる。
識別情報記憶用不揮発性メモリ14に書き込まれた書換装置40の固体識別情報Aと作業者識別情報Bは、部品メーカへ返却された際に、ログ情報として読み出すことができる。これにより、書換えを行った書換装置40の識別情報、書換作業者の情報(履歴)を確認することができ、書換装置、書換作業者を特定することができる。
本実施形態のECU10による書換処理ルーチンを、図2に示されているフローチャートを参照して説明する。
まず、書換識別情報取得処理として、外部接続された書換装置40より、固体識別情報Aと作業者識別情報Bを取得する(ステップS101)。
つきに、取得した固体識別情報Aと作業者識別情報Bの双方が、予めECU10に設定された書換えを許可された識別情報であるか否かを判別する(ステップS102)。
取得した固体識別情報Aと作業者識別情報Bの何れか一つでもが、予めECU10に設定された書換えを許可された識別情報でない場合には(ステップS102否定)、直ちに当該書換処理ルーチンを終了し、書換えを禁止する。
取得した固体識別情報Aと作業者識別情報Bの双方が、予めECU10に設定された書換えを許可された識別情報である場合には(ステップS102肯定)、不揮発性メモリ12の書換処理を実行する(ステップS103)。
書換処理が終了すれば、取得した固体識別情報Aと作業者識別情報Bを、関連付けて識別情報記憶用不揮発性メモリ14に書き込む(ステップS104、ステップS105)。
識別情報記憶用不揮発性メモリ14は、図3に示されているように、1からmの登録番号によるデータフィールドを有し、各登録番号のデータフィールド毎に、固体識別情報A(Aa、Ab…)と、作業者識別情報B(Ba、Bb…)を対にして記憶する。この識別情報の記憶は、1からmまで書換えを実施する毎に行い、mを超えた時は、新たに1から記憶を行う事により、最後に書換えを実施した際から、過去m回分の識別情報をログ情報として記憶する事ができる。
識別情報記憶用不揮発性メモリ14に記憶された書換識別情報(固体識別情報A、作業者識別情報B)は、部品メーカ等へ返却された際に、ECU10に接続されるデータ通信機器によってログ情報として読み出すことができ、書換えを行った書換装置40の識別情報、書換作業者の情報(履歴)を確認することができる。
これにより、書換えを行った書換装置、書換作業者を特定することができ、これに基づいて返却理由が、不正書換えによるものかどうかの解析が可能となり、不正書換えと判断される場合、書換装置、書換作業者の識別情報から、書換え情報、書換え装置の流出経路の解明、追跡に役立てることができ、ついては不正書換え防止が可能となる。
また、上述した実施形態では、書換装置40より取り込んだ固体識別情報Aと作業者識別情報Bの双方が、予めECU10に設定された書換えを許可された識別情報である場合にのみ書換えを許可し、許可された識別情報でない場合には書換えを禁止するから、広域な不正書換えのアクセスを排除できる。書換えを禁止した場合には、書換装置40より取り込んだ固体識別情報Aと作業者識別情報Bが識別情報記憶用不揮発性メモリ14に書き込まれず、識別情報記憶用不揮発性メモリ14には、書換えを実行した固体識別情報Aと作業者識別情報Bのみが書き込まれるから、識別情報記憶用不揮発性メモリ14のメモリ容量を削減でき、ログ情報解析の作業性もよくなる。
なお、上述した実施形態では、固体識別情報Aと作業者識別情報Bの双方を記憶して書換えを行った書換装置と書換作業者の双方を特定するが、本発明による電子制御装置は、これに限られることはなく、固体識別情報Aと作業者識別情報Bのいずれか一方だけを記憶して特定するものであってもよく、要求されるセキュリティのレベルに応じて定められればよい。
本発明による電子制御装置の一つの実施形態を示すブロック図。 本発明による電子制御装置の書換処理ルーチンの一つの実施形態を示すフローチャート。 本発明による電子制御装置の識別情報の記録構成を示す図。
符号の説明
10 電子制御装置(ECU)
11 CPU
12 不揮発性メモリ
13 通信手段
14 識別情報記憶用不揮発性メモリ
20 車両ダイアグコネクタ
40 書換装置
41 CPU
42 書換情報メモリ
43 固体識別情報メモリ
44 通信手段
45 書換作業者識別情報入力手段

Claims (6)

  1. 外部接続される書換装置により制御情報を電気的に書換え可能な不揮発性メモリを有する電子制御装置にあって、
    前記書換装置によって前記不揮発性メモリの制御情報を書換える際、当該書換えの識別情報を前記書換装置より取り込み、当該識別情報をログ情報として記憶する識別情報記憶用不揮発性メモリを有することを特徴とする電子制御装置。
  2. 前記識別情報は、前記書換装置に割り当てられている装置固有の固体識別情報であることを特徴とする請求項1に記載の電子制御装置。
  3. 前記識別情報は、前記書換装置よって書換えを行う作業者を特定する書換作業者識別情報である請求項1に記載の電子制御装置。
  4. 前記書換装置より取り込んだ前記識別情報が、予め設定された書換えを許可された識別情報である場合にのみ書換えを許可して前記識別情報の書き込みを行い、許可された識別情報でない場合には書換えを禁止して前記識別情報の書き込みを行わないことを特徴とする請求項1から3の何れか一項に記載の電子制御装置。
  5. 外部接続される書換装置により制御情報を電気的に書換え可能な不揮発性メモリを有する電子制御装置にあって、
    前記書換装置によって前記不揮発性メモリの制御情報を書換える際、当該書換えに使用する書換装置に割り当てられている装置固有の固体識別情報と当該書換えを行う作業者を特定する書換作業者識別情報を前記書換装置より取り込み、前記固体識別情報と前記書換作業者識別情報の双方を関連付けてログ情報として記憶する識別情報記憶用不揮発性メモリを有することを特徴とする電子制御装置。
  6. 前記書換装置より取り込んだ前記固体識別情報と前記書換作業者識別情報の双方が、予め設定された書換えを許可された識別情報である場合にのみ書換えを許可して前記識別情報の書き込みを行い、前記固体識別情報と前記書換作業者識別情報の少なくとも一方が許可された識別情報でない場合には書換えを禁止して前記識別情報の書き込みを行わないことを特徴とする請求項5に記載の電子制御装置。
JP2006230324A 2006-08-28 2006-08-28 電子制御装置 Pending JP2008052618A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006230324A JP2008052618A (ja) 2006-08-28 2006-08-28 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006230324A JP2008052618A (ja) 2006-08-28 2006-08-28 電子制御装置

Publications (1)

Publication Number Publication Date
JP2008052618A true JP2008052618A (ja) 2008-03-06

Family

ID=39236595

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006230324A Pending JP2008052618A (ja) 2006-08-28 2006-08-28 電子制御装置

Country Status (1)

Country Link
JP (1) JP2008052618A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019111908A (ja) * 2017-12-22 2019-07-11 株式会社デンソーテン プログラム制御装置、プログラム制御システムおよびプログラム制御方法
JP2020086540A (ja) * 2018-11-15 2020-06-04 Kddi株式会社 メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019111908A (ja) * 2017-12-22 2019-07-11 株式会社デンソーテン プログラム制御装置、プログラム制御システムおよびプログラム制御方法
JP7025200B2 (ja) 2017-12-22 2022-02-24 株式会社デンソーテン プログラム制御装置、プログラム制御システムおよびプログラム制御方法
JP2020086540A (ja) * 2018-11-15 2020-06-04 Kddi株式会社 メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法

Similar Documents

Publication Publication Date Title
US8140216B2 (en) Method of detecting manipulation of a programmable memory device of a digital controller
JP4436933B2 (ja) プログラム可能記憶装置を有する制御装置の作動方法
US7681024B2 (en) Secure booting apparatus and method
JP5729337B2 (ja) 車両用認証装置、及び車両用認証システム
RU2595967C2 (ru) Способ функционирования тахографа и тахограф
JP4539757B2 (ja) 電子制御装置
KR100830910B1 (ko) 반도체 기억장치
CN103198270A (zh) 使用清单来记录有效软件和校准的存在
US7228569B2 (en) Programmable unit
JP2006221274A (ja) 車両用電子制御装置および制御プログラムの書換え方法
US8683233B2 (en) Motor vehicle control device
JP4475345B2 (ja) 電子制御装置
US20120310379A1 (en) Programmable controller
US7207066B2 (en) Method for protecting a microcomputer system against manipulation of data stored in a storage arrangement of the microcomputer system
JP2008052618A (ja) 電子制御装置
JP2018128722A (ja) プログラマブルロジックコントローラ
JP4534731B2 (ja) 電子制御装置及びその識別コード生成方法
CN111026683A (zh) 访问存储器的方法
JP2016167113A (ja) 車載用制御ユニット
US20060107133A1 (en) Tampering-protected microprocessor system and operating procedure for same
JP4589017B2 (ja) マイクロプロセッサシステム及びシステムにおけるモジュールの交換検出方法
JP2009026183A (ja) 自動車用電子制御装置
JP2005292959A (ja) 不揮発性メモリモジュール及び不揮発性メモリシステム
US20050034034A1 (en) Control device with rewriteable control data
JP2006505841A (ja) 制御装置内のマイクロコントローラのメモリ領域を確実に検査する方法および保護されたマイクロコントローラを有する制御装置