JP2018121120A - 通信装置及び通信コントローラ - Google Patents

通信装置及び通信コントローラ Download PDF

Info

Publication number
JP2018121120A
JP2018121120A JP2017009633A JP2017009633A JP2018121120A JP 2018121120 A JP2018121120 A JP 2018121120A JP 2017009633 A JP2017009633 A JP 2017009633A JP 2017009633 A JP2017009633 A JP 2017009633A JP 2018121120 A JP2018121120 A JP 2018121120A
Authority
JP
Japan
Prior art keywords
message
communication
transmission
mode
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017009633A
Other languages
English (en)
Inventor
高田 広章
Hiroaki Takada
広章 高田
亮 倉地
Ryo Kuramochi
亮 倉地
晋也 本田
Shinya Honda
晋也 本田
浩史 上田
Hiroshi Ueda
浩史 上田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Nagoya University NUC
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya University NUC, Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Nagoya University NUC
Priority to JP2017009633A priority Critical patent/JP2018121120A/ja
Priority to PCT/JP2018/000002 priority patent/WO2018135300A1/ja
Publication of JP2018121120A publication Critical patent/JP2018121120A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】不正なプログラムの注入によるネットワークへの不正なメッセージ送信を抑制し得る通信装置及び通信コントローラを提供する。【解決手段】本実施の形態に係る通信装置は、記憶部に記憶されたプログラムを実行することによって通信に係る処理を行うプロセッサと、該プロセッサの処理に応じて通信線に対するメッセージの送受信を行う通信コントローラとを備え、イーサネット(登録商標)の通信規格に応じた通信を行う通信装置において、前記通信コントローラは、前記プロセッサにより値が設定され、イーサネットの通信に係る設定値を記憶する複数のレジスタと、前記複数のレジスタに対する値の設定を許可する第1モード、及び、前記複数のレジスタに対する値の設定を制限する第2モードを切り替える切替部とを有する。【選択図】図2

Description

本発明は、イーサネット(登録商標)の通信規格に従って通信を行う通信装置及び通信コントローラに関する。
車両に搭載されるECU(Electronic Control Unit)は高機能化しており、これに伴ってECUにて実行されるプログラムも複雑化している。また車両には複数のECUが搭載され、これらが車内ネットワークを介してメッセージの送受信を行うことにより、情報を交換しながら協調して処理を進めている。近年では、車載のECUが通信を行うための通信規格として、イーサネットの通信規格が注目されている。
特許文献1においては、車載制御装置を車載ネットワークに登録させる登録装置を介して、通信規約のうち車載ネットワーク上の実装に依拠する部分を定義する定義データを、車載制御装置に配信する機能を有する通信規約発行装置を設けた車載ネットワークシステムが提案されている。
特許文献2においては、計算機に内蔵された通信装置のアドレス情報と認証用データとの組を予め記憶しておき、入出力ポートに接続された通信装置から自装置のアドレス情報と認証用データを含む認証用パケットが入力されたとき、入力パケット内のアドレス情報に対応する予め記憶された認証用データと入力パケット内の認証用データとを比較し、入出力ポートに接続された通信装置の認証を行うパケット交換装置が提案されている。
特開2013−168865号公報 特開2001−186186号公報
K. Koscher, A. Czeskis, F. Roesner, S. Patel, T. Kohno, S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham, and S. Savage. Experimental security analysis of a modern automobile. In Proc. of the IEEE Symposium on Security and Privacy, pages 447-462, 2010.
しかしながら非特許文献1においては、ECUに不正なプログラムを注入することによって、車両内のネットワークへ不正なメッセージ送信を行うことが可能であることが報告されている。不正なプログラムによる不正なメッセージ送信が行われることにより、ネットワークに接続された他のECUに誤動作などが発生する虞がある。このような不正なメッセージ送信に対しては、特許文献1に記載の車載ネットワークシステム及び特許文献2に記載のパケット交換装置では有効な対策となり得なかった。
本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、不正なプログラムの注入によるネットワークへの不正なメッセージ送信を抑制し得る通信装置及び通信コントローラを提供することにある。
本発明に係る通信装置は、記憶部に記憶されたプログラムを実行することによって通信に係る処理を行うプロセッサと、該プロセッサの処理に応じて通信線に対するメッセージの送受信を行う通信コントローラとを備え、イーサネットの通信規格に応じた通信を行う通信装置において、前記通信コントローラは、前記プロセッサにより値が設定され、イーサネットの通信に係る設定値を記憶する複数のレジスタと、前記複数のレジスタに対する値の設定を許可する第1モード、及び、前記複数のレジスタに対する値の設定を制限する第2モードを切り替える切替部とを有することを特徴とする。
また、本発明に係る通信装置は、前記通信コントローラが、前記プロセッサから与えられた送信用のメッセージを蓄積する複数のキューと、前記複数のキューに蓄積されたメッセージから、送信すべき一のメッセージを選択する送信メッセージ選択部とを有し、前記複数のレジスタには、前記送信メッセージ選択部によるメッセージの選択を規定する設定値を記憶するレジスタを含むことを特徴とする。
また、本発明に係る通信装置は、前記送信メッセージ選択部が、CBS(Credit Based Shaper)又はBLS(Burst Limiting Shaper)のアルゴリズムに従ってメッセージを選択し、前記複数のレジスタには、前記アルゴリズムにおける処理を規定する設定値を記憶するレジスタを含むことを特徴とする。
また、本発明に係る通信装置は、前記複数のレジスタには、前記キューに対する送信を要求することが可能な最低の周期である最低送信要求周期を設定するレジスタを含み、前記通信コントローラは、前記最低送信要求周期よりも短い周期で前記プロセッサから送信用のメッセージが与えられた場合、該メッセージの送信を制限することを特徴とする。
また、本発明に係る通信装置は、前記切替部が、前記通信コントローラへのリセット信号の入力に応じて、前記第1モードへの切り替えを行い、前記第1モードへの切り替え後、所定時間が経過した場合に前記第2モードへの切り替えを行うことを特徴とする。
また、本発明に係る通信装置は、前記リセット信号の入力から前記所定時間が経過するまでの間に前記プロセッサが実行するプログラムを記憶する第2の記憶部を備え、前記第2の記憶部は、データの書き換えが不可能であることを特徴とする。
また、本発明に係る通信装置は、外部装置を接続する接続部を備え、前記切替部は、前記接続部に所定の外部装置が接続された場合に、前記第1モードへの切り替えを行い、前記接続部に外部装置が接続されていない場合、又は、前記接続部に前記所定の外部装置以外の外部装置が接続されている場合に、前記第2モードへの切り替えを行うことを特徴とする。
また、本発明に係る通信コントローラは、プロセッサの処理に応じて通信線に対するメッセージの送受信をイーサネットの通信規格に従って行う通信コントローラにおいて、前記プロセッサにより値が設定され、イーサネットの通信に係る設定値を記憶する複数のレジスタと、前記複数のレジスタに対する値の設定を許可する第1モード、及び、前記複数のレジスタに対する値の設定を制限する第2モードを切り替える切替部とを備えることを特徴とする。
本発明において通信装置は、イーサネットの通信規格に応じた通信を行う。通信装置は、記憶部に記憶されたプログラムを読み出して実行することにより通信に係る処理を行うプロセッサと、プロセッサの通信処理に応じて通信線に対するメッセージの送受信を行う通信コントローラとを備える。例えばプロセッサは、車載機器の制御処理又は車載センサにより情報検出処理等を行って、これらの処理の結果として他の通信装置へ送信すべき情報が得られた場合、この情報を含む送信用のメッセージを生成し、生成した送信用のメッセージを通信コントローラへ与える。通信コントローラは、プロセッサから与えられた送信用のメッセージを電気信号に変換して通信線へ出力することによって、他の通信装置へのメッセージ送信を行う。また通信コントローラは、イーサネットの通信に係る設定値を記憶する複数のレジスタを有している。このレジスタには、例えば送受信されるメッセージのサイズ(フレーム長)及び自装置の識別情報(MAC(Media Access Control)アドレス)等の設定値が記憶される。プロセッサは、通信コントローラのレジスタに対する設定値の書き込みを行った後、この通信コントローラを利用した他の通信装置とのメッセージ送受信を行うことが可能となる。
このような構成において、例えば通信装置のプログラムが不正に書き換えられた場合、不正なプログラムを実行したプロセッサが通信コントローラのレジスタの設定値を不正に変更する虞がある。これにより、例えば通信コントローラが不正なメッセージを最優先で送信するなど、不正なメッセージ送信が行われる虞がある。
そこで通信コントローラは、レジスタに対する値の設定を許可する第1モードと、設定を制限する第2モードとの切り替えを行う。このモード切替を適切に行うことによって、不正なプログラムによるレジスタの設定値の変更を制限することができる。
また本発明においては、通信コントローラが送信用のメッセージを蓄積する複数のキューを備える。プロセッサから与えられた送信用のメッセージは複数のキューのいずれかに蓄積され、通信コントローラは複数のキューから一のメッセージを選択して送信する。モード変更により設定値の変更が制限されるレジスタには、キューからのメッセージ選択を規定する設定値を記憶するレジスタを含む。
例えば送信するメッセージの選択をイーサネットのCBS(Credit Based Shaper)又はBLS(Burst Limiting Shaper)のアルゴリズムに従って行う場合、このアルゴリズムの処理を規定する設定値を記憶するレジスタに対する設定変更を制限する構成とすることができる。アルゴリズムの処理を規定する設定値は、例えばCBSの場合にクレジットの増減量、上限及び下限等の値とすることができ、また例えばBLSの場合にクレジットの増減量、最大値及び再開値等の値とすることができる。
このように、キューからの送信すべきメッセージの選択に係る設定値に対する変更を制限することによって、例えば不正なメッセージを最優先で送信するよう通信コントローラの設定値を変更するなどの不正な処理を防止できる。
また本発明において通信コントローラには、プロセッサからの送信用のメッセージを蓄積する複数のキューに対してそれぞれ最低送信要求周期を設定することができる。通信コントローラは、各キューに対してプロセッサが送信用のメッセージを与える頻度、即ち各キューに対するプロセッサからの送信要求周期が、キュー毎に設定された最低送信要求周期より短い場合、プロセッサから与えられるメッセージの送信を制限する(送信しない)。これにより、例えば不正なプログラムが短い周期で不正なメッセージ送信を繰り返すことを防止できる。
また本発明において通信コントローラは、通信装置内の他の構成要素から入力されるリセット信号に応じて、レジスタに対する設定が可能な第1モードへの切り替えを行う。リセット信号には、通信装置の電源投入などによるパワーオンリセットの信号を含む。また通信コントローラは、第1モードへの切り替えを行った後、所定時間が経過した場合にレジスタの設定が制限される第2モードへの切り替えを行う。
通信装置ではリセット直後にブートプログラムなどの特別なプログラムの実行がプロセッサにより行われるが、リセット後の所定時間のみ通信コントローラを第1モードへ切り替えることによって、この特別なプログラムの実行中にのみレジスタの設定を許可し、他のプログラムの実行中にはレジスタの設定を制限することができる。
また本発明においては、通信装置に外部装置を接続する接続部を設ける。この接続部に所定の外部装置が接続された場合に通信コントローラを第1モードへ切り替え、それ以外の場合には通信コントローラを第2モードとする。所定の外部装置は、例えば通信装置との間で行う認証処理に成功した装置などとすることができる。これにより、例えば車両の検査又は修理等を行う際に、ディーラ又は修理工場等に備えられた検査装置などを通信装置に接続してレジスタの設定を行うことができるため、通信コントローラの設定変更を容易に行うことが可能となる。
本発明による場合は、通信コントローラのレジスタに対する値の設定を許可する第1モードと設定を制限する第2モードとを切り替え可能とすることにより、不正なプログラムによるレジスタの設定値の変更を制限することができ、不正なプログラムによるネットワークへの不正なメッセージ送信を抑制することができる。
実施の形態1に係る車載通信システムの構成を示すブロック図である。 実施の形態1に係るイーサネットコントローラの構成を示すブロック図である。 イーサネットコントローラのレジスタ群の一構成例を示す模式図である。 イーサネットコントローラの送信キューの一構成例を示す模式図である。 CBSのアルゴリズムの概略を説明するための模式図である。 BLSのアルゴリズムの概略を説明するための模式図である。 ECUの起動時にプロセッサが行う処理の手順を示すフローチャートである。 ECUのイーサネットコントローラが行うモード切替処理の手順を示すフローチャートである。 イーサネットコントローラが行うレジスタ群への設定値書込制限処理の手順を示すフローチャートである。 イーサネットコントローラが行うメッセージ送信要求時の制限処理の手順を示すフローチャートである。 実施の形態2に係る通信システムの構成を示すブロック図である。 実施の形態2に係るECUが行うモード切替処理の手順を示すフローチャートである。
(実施の形態1)
図1は、実施の形態1に係る車載通信システムの構成を示すブロック図である。本実施の形態に係る車載通信システムは、車両1に搭載された複数のECU10が中継装置2を中心にスター型に接続されたネットワーク構成をなしており、中継装置2を介して複数のECU10が通信を行う。即ち、各ECU10は通信線を介して中継装置2に接続され、中継装置2には複数のECU10が個別の通信線を介して接続される。中継装置2は、一のECU10からのメッセージを受信して、このメッセージに含まれる送信先の情報に基づいて、他のECU10へ受信したメッセージを送信する処理を行うことによって、ECU10間のメッセージの送受信を中継する処理を行う。なお複数のECU10は通信機能に関して略同じ構成であるため、図1においては一つのECU10について詳細構成を示し、他のECU10については詳細構成の図示を省略してある。
ECU10は、プロセッサ11、マスクROM(Read Only Memory)12、フラッシュメモリ13、入出力部14、RAM(Random Access Memory)15及びイーサネットコントローラ20等を備えて構成されている。プロセッサ11は、CPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置である。プロセッサ11は、マスクROM12に記憶されたブートプログラム12a及びフラッシュメモリ13に記憶されたアプリケーションプログラム13a等を読み出して実行することにより、種々の演算処理及び制御処理等を行う。
マスクROM12は、記憶されている情報(プログラム及びデータ等)を書き換えることができない不揮発性のメモリ素子である。本実施の形態においてマスクROM12には、プロセッサ11が実行するブートプログラム12aが予め記憶されている。ブートプログラム12aは、ECU10の起動後にプロセッサ11によって最初に実行されるプログラムである。プロセッサ11は、ブートプログラム12aを実行することにより、ECU10が有するハードウェア及びソフトウェアのリソースの初期化並びに動作条件の設定等の処理を行う。なおECU10の起動には、ECU10に対する電力供給が開始され、例えばパワーオンリセットの解除などがなされて各部の動作が開始されること、及び、例えばユーザがリセットスイッチなどに対する操作を行うことによってECU10の動作を初期化し、その後にリセットが解除されて各部の動作が開始されること(いわゆる再起動)等を含む。
フラッシュメモリ13は、データ書き換えが可能な不揮発性のメモリ素子である。本実施の形態においてフラッシュメモリ13には、プロセッサ11が実行するアプリケーションプログラム13aが記憶される。アプリケーションプログラム13aは、各ECU10に特有の機能を実現するための処理を行うプログラムであり、例えばバージョンアップ又は不具合の修正等によりプログラムの一部又は全部が書き換えられ得る。プロセッサ11は、起動後にブートプログラム12aの処理を行い、その後にアプリケーションプログラム13aの処理を行う。
入出力部14は、例えば車両に搭載された各種のセンサ3などから入力される信号の受け付け、及び、各種のアクチュエータ4などへの制御信号などの出力等を行う。入出力部14は、センサ3及びアクチュエータ4等と信号線を介してそれぞれ接続され、この信号線を介して信号の入出力を行う。入出力部14は、例えばセンサ3からのアナログの入力信号をサンプリングしてデジタルのデータに変換してプロセッサ11へ与える。また入出力部14は、プロセッサ11から与えられた制御命令に応じてアクチュエータ4に対する制御信号を出力する。なおECU10は、センサ3及びアクチュエータ4等との間の信号入出力の両機能を備えている必要はなく、入力又は出力のいずれか一方のみの機能を備える構成であってもよく、入出力の機能を備えていない構成であってもよい。
RAM15は、例えばSRAM(Static Random Access Memory)又はDRAM(Dynamic Random Access Memory)等の揮発性のメモリ素子である。RAM15は、プロセッサ11の処理過程において発生した各種のデータを一時的に記憶する。
イーサネットコントローラ20は、プロセッサ11の制御に応じて、車両に搭載された他のECU10との間で中継装置2を介したメッセージの送受信を行う。イーサネットコントローラ20は、例えばプロセッサ11から与えられた送信用のメッセージをイーサネットの通信規格に従った信号として通信線へ出力することにより、メッセージ送信を行う。イーサネットコントローラ20は、通信線の電位をサンプリングすることで通信線上の信号を取得し、メッセージの受信を行う。プロセッサ11は、イーサネットコントローラ20が受信したメッセージを取得して処理を行うことができる。
図2は、実施の形態1に係るイーサネットコントローラ20の構成を示すブロック図である。本実施の形態に係るイーサネットコントローラ20は、制御部21、レジスタ群22、入出力部23、送信キュー24、受信バッファ25、送信部26及び受信部27等を備えて構成されている。制御部21は、イーサネットコントローラ20内の各部の動作を制御することによって、他のECU10とのメッセージの送受信に係る処理を行う。
レジスタ群22は、イーサネットコントローラ20によるイーサネットの通信規格に応じたメッセージ送受信に関する設定値を記憶する。レジスタ群22は、設定値を記憶するレジスタを複数備えたものであり、アドレスを指定することによって一のレジスタに対する設定値の読み出し及び書き込みをプロセッサ11が直接的に行うことが可能である。またレジスタ群22は、揮発性のメモリであり、イーサネットコントローラ20への電力供給が断たれた場合などには設定値が消失する。このため、ECU10の起動後などには、まずプロセッサ11によりレジスタ群22への設定値の書き込みを行う必要があり、レジスタ群22に適切な設定値が設定された後、イーサネットコントローラ20によるメッセージの送受信が可能となる。
入出力部23は、プロセッサ11との間で、制御命令及び送受信メッセージ等の各種の情報の入出力を行う。制御部21は、プロセッサ11から入出力部23へ入力される制御命令に応じて、レジスタ群22の各レジスタへの設定値の記憶、レジスタからの設定値の読み出し、他のECU10へのメッセージ送信、及び、受信したメッセージのプロセッサ11への出力等の処理を行う。
送信キュー24は、プロセッサ11から与えられた送信用のメッセージを一時的に蓄積する、ファースト・イン・ファーストアウト型のメモリ(キュー)である。本実施の形態において送信キュー24は複数のキューを有しており、制御部21は、プロセッサ11から入力された送信用のメッセージの優先度などに応じて、このメッセージをいずれかのキューに蓄積する。また制御部21は、複数のキューから適宜に一のメッセージを選択して他のECU10への送信を行う。受信バッファ25は、他のECU10からの受信メッセージを一時的に蓄積するメモリである。制御部21は、受信メッセージを受信バッファ25に記憶すると共に、適宜のタイミングで受信バッファから読み出した受信メッセージをプロセッサ11へ出力する。
送信部26は、制御部21からデジタル情報として与えられる送信用のメッセージを、イーサネットの通信規格に応じた電気信号に変換して通信線へ出力することによって、メッセージを送信する。受信部27は、通信線の信号レベルをサンプリングして取得することによってメッセージを受信し、受信したメッセージを制御部21へ与える。なおイーサネットの通信規格では、1つの通信線に接続されたECU10及び中継装置2の2つの装置が同時的にメッセージを送信することが可能である。このため受信部27は、通信線の信号レベルをサンプリングして取得したデータから、自装置の送信部26が送信したメッセージを差し引くことによって、中継装置2が送信したメッセージを取得することができる。
また本実施の形態に係るイーサネットコントローラ20の制御部21には、モード切替部21a及び送信メッセージ選択部21b等が設けられている。モード切替部21aは、レジスタ群22の一部又は全部のレジスタに対する値の設定(書き込み)を許可するフルコントロールモードと、レジスタに対する値の書き込みを制限(禁止)する制限モードとを切り替える処理を行う。例えばイーサネットコントローラ20にはリセット信号(図示は省略する)が入力されており、このリセット信号によりイーサネットコントローラ20がリセットされ、更にリセットが解除された場合に、モード切替部21aは、イーサネットコントローラ20の動作モードをフルコントロールモードとする。その後、モード切替部21aは、タイマによる計時を行って、フルコントロールモードへの切り替えから所定時間が経過した場合に、イーサネットコントローラ20の動作モードを制限モードとする。なおイーサネットコントローラ20へ入力されるリセット信号は、ECU10に対する電源投入によるパワーオンリセットの信号、及び、ECU10に設けられたリセットスイッチなどに対するユーザの操作に応じて出力されるリセットの信号等を含み得る。
モード切替部21aがフルコントロールモードから制限モードへの切り替えを行う所定時間は、プロセッサ11がマスクROM12に記憶されたブートプログラム12aを実行する時間に応じて定めることができる。プロセッサ11は、リセット信号によりリセットされ、更にリセットが解除された場合に、マスクROM12からブートプログラム12aを読み出して実行する。モード切替の所定時間は、例えばこのブートプログラム12aの実行時間と同じとすることができる。またモード切替の所定時間は、ブートプログラム12aの実行時間よりも短い時間に設定されていてもよく、この場合にはモード切替までの所定時間がブートプログラム12aの作成に対する制約条件として機能することとなる。またモード切替の所定時間は、ブートプログラム12aの実行時間よりも長い時間に設定されていてもよく、この場合にはブートプログラム12aの実行の最終段階においてプロセッサ11からイーサネットコントローラ20へモード切替の命令などを与えることが好ましい。これらにより、プロセッサ11がブートプログラム12aを実行している間のみイーサネットコントローラ20がフルコントロールモードとなってレジスタ群22に対する値の書き込みが可能となり、ブートプログラム12aの実行が終了した後はイーサネットコントローラ20を制限モードとしてレジスタ群22に対する値の書き込みを禁止することができる。
送信メッセージ選択部21bは、送信キュー24に蓄積された複数のメッセージの中から、送信部26にて送信する一のメッセージを選択する処理を行う。キューは、ファースト・イン・ファーストアウト型のメモリであるため、先に蓄積されたメッセージから順に読み出される。ただし本実施の形態に係る送信キュー24は、複数のキューを有している。このため送信メッセージ選択部21bは、いずれのキューの先頭に蓄積されているメッセージを送信するかの選択、換言すればキューの選択を行う。本実施の形態において送信メッセージ選択部21bは、CBS又はBLSのアルゴリズムに従って選択を行う。
図3は、イーサネットコントローラ20のレジスタ群22の一構成例を示す模式図である。本実施の形態に係るイーサネットコントローラ20が有するレジスタ群22には、例えば最大フレーム長、最小フレーム長、MACアドレス、最低送信要求周期1〜4、CBS増加量、CBS減少量、CBS上限値、CBS下限値及びモードレジスタ等の複数のレジスタを含んでいる。なお図3に示すレジスタは一例であって、これに限るものではなく、イーサネットコントローラ20は図示しない種々のレジスタを有していてよく、図示したレジスタのいくつかを有していない構成であってもよい。また図3においては、レジスタに対する読み出しのみが可能であるものを"R可"と示し、読み出し及び書き込みが可能であるものを"R/W可"と示してある。
イーサネットコントローラ20のレジスタ群22は、一次元のアドレスが各レジスタに付されている。図示の例では、16進数で0x00000000〜0x00000414のアドレスが各レジスタに対して付されている。ただし図示の例は、レジスタ群22の一部のみを抜き出したものであり、レジスタ群22のアドレス空間は0x0000000〜0xFFFFFFFである。プロセッサ11は、アドレスを指定して読出命令をイーサネットコントローラ20に対して与えることにより、アドレスで指定されたレジスタに格納された値の読み出しを行うことができる。またプロセッサ11は、アドレス及びデータを指定して書込命令をイーサネットコントローラ20に対して与えることにより、アドレスで指定されたレジスタに対するデータの書き込みを行うことができる。ただし本実施の形態においては、レジスタに対する書き込みが許可されていない場合があり、このようなレジスタに対する書き込み命令に対してイーサネットコントローラ20はプロセッサ11へエラーを通知する。
また、本実施の形態に係るイーサネットコントローラ20は、フルコントロールモード及び制限モードの2種の動作モードで動作する。フルコントロールモードは、レジスタ群22の全てのレジスタに対する読み出し及び書き込みをプロセッサ11が行うことが可能なモードである。これに対して制限モードは、レジスタ群22の一部のレジスタ(少なくとも図3に示すレジスタ)に対するプロセッサ11による書き込みが制限され(不可能となり)、許可されたレジスタのみ書き込みを行うことができるモードである。
レジスタ群22の最大フレーム長は、イーサネットコントローラ20が送信するメッセージ(フレーム)の長さ(ビット数又はバイト数等)の最大値を設定するためのレジスタである。最小フレーム長は、送信するメッセージの長さの最小値を設定するためのレジスタである。MACアドレスは、自装置に対して付される識別情報を設定するためのレジスタであり、このレジスタに設定された値が自装置のMACアドレスとして送信するメッセージに付される。
レジスタ群22のCBS増加量、CBS減少量、CBS上限値及びCBS下限値は、送信メッセージ選択部21bによるメッセージの選択に係る設定値を記憶するレジスタである。本例では、送信メッセージ選択部21bがCBSのアルゴリズムに従ってメッセージ選択を行うものとしてある。もし送信メッセージ選択部21bがBLSのアルゴリズムに従ってメッセージ選択を行う場合、CBS増加量、CBS減少量、CBS上限値及びCBS下限値に代えて、例えばBLS増加量、BLS減少量、BLS最大値(max level)及びBLS再開値(resume level)等の設定値を記憶するレジスタを設ければよい。
レジスタ群22の最低送信要求周期1〜4は、送信キュー24に対するプロセッサ11からのメッセージ送信要求を受け付けることができる最低の周期を設定するためのレジスタである。本例では、送信キュー24が4つのキューを有しているものとし、各キューについて個別に最低送信要求周期を定めることができる。イーサネットコントローラ20は、1つのキューに対してプロセッサ11からメッセージ送信要求を受け付けた後、対応するレジスタにて定められた最低送信要求周期が経過するまで、このキューに対するプロセッサ11からのメッセージ送信要求を受け付けない。イーサネットコントローラ20がフルコントロールモードで動作している際に、プロセッサが最低送信要求周期1〜4のレジスタに対して設定値を書き込むことによって、上述のような周期によるメッセージ送信の制限が実施される。なおイーサネットコントローラ20は、動作モードに関わらず設定された周期によるメッセージ送信の制限を行ってもよく、制限モードにおいてのみ制限を行ってもよい。
例えば、フルコントロールモードにて最低送信要求周期1のレジスタに100ミリ秒の設定値が書き込まれた場合、イーサネットコントローラ20は、制限モードへ切り替えられた後、プロセッサ11から第1のキューに係るメッセージの送信要求を受け付ける都度に内部のタイマ機能によって経過時間を計時し、設定された100msが経過するまで、プロセッサ11からの第1のキューに係る送信要求を受け付けない。なお最低送信要求周期1〜4には4つのキュー毎に異なる設定値を書き込むことができ、イーサネットコントローラ20はキュー毎に経過時間を計時することができる。
レジスタ群22のモードレジスタは、イーサネットコントローラ20の動作モードの切り替えを行うためのレジスタである。プロセッサ11がモードレジスタに対して所定の値を書き込むことによって、イーサネットコントローラ20の動作モードがフルコントロールモードから制限モードへ切り替えられる。また制限モードにおいては、モードレジスタに対する値の書き込みを行うことができない。このため、プロセッサ11は、イーサネットコントローラ20の動作モードをフルコントロールモードから制限モードへ切り替えることはできるが、制限モードからフルコントロールモードへ切り替えることはできない。
このように、本実施の形態に係るイーサネットコントローラ20は、制限モードにおいてレジスタ群22に対する設定値の書き込みを制限する。例えばECU10の起動直後、イーサネットコントローラ20はフルコントロールモードで動作を開始すると共に、プロセッサ11はマスクROM12に記憶されたブートプログラム12aを読み出して実行する。このときにブートプログラム11aを実行しているプロセッサ11は、イーサネットコントローラ20のレジスタ群22に対する設定値の書き込みを制限なしで行うことができる。ブートプログラム12aはECU10の初期設定などを行うためのプログラムであり、これを実行することによってプロセッサ11は、イーサネットコントローラ20のレジスタ群22に対する設定値の書き込みを行う。即ちブートプログラム12aの実行によりプロセッサ11は、最大フレーム長及び最小フレーム長のレジスタに対するフレーム長の設定、MACアドレスのレジスタに対する自身のMACアドレスの設定、CBSアルゴリズムに関連するレジスタに対する設定、及び、送信キュー24の最低送信要求周期に関する周期の設定等を行う。
これらのレジスタに対する設定を終えた後、ブートプログラム12aを実行するプロセッサ11は、レジスタ群22のモードレジスタに対する書き込みを行ってイーサネットコントローラ20の動作モードをフルコントロールモードから制限モードへ切り替える。又は、モードレジスタに対する書き込みを行わなくてよく、この場合には所定時間の経過によりイーサネットコントローラ20はフルコントロールモードから制限モードへ切り替わる。その後、プロセッサ11はフラッシュメモリ13に記憶されたアプリケーションプログラム13aの実行を開始する。アプリケーションプログラム13aの実行中は、イーサネットコントローラ20は制限モードで動作するため、レジスタ群22に対する設定値の書き込みを行うことはできない。イーサネットコントローラ20は、制限モードへ切り替えられた後、フルコントロールモードへの切り替えを行うことはできない。例えばECU10が電源オフ状態となった後に電源を再投入された場合、又は、リセット操作などがなされて再起動された場合等にのみ、イーサネットコントローラ20はフルコントロールモードとなる。
図4は、イーサネットコントローラ20の送信キュー24の一構成例を示す模式図である。本実施の形態に係るイーサネットコントローラ20の送信キュー24は、第1キュー〜第4キューの4つのキューを有している。また本実施の形態に係るイーサネットコントローラ20は、イーサネットの規格のうち、車載向けの規格であるイーサネットAVB(Audio/Video Bridging)又はこれを拡張したイーサネットTSN(Time Sensitive Networking)を採用している。これらの規格に従って、本実施の形態に係るプロセッサ11は、「AVB Class A」、「AVB Class B」及び「Best Effort」の3種のメッセージを生成してイーサネットコントローラ20へ与える。イーサネットコントローラ20の第1キューは「AVB Class A」のメッセージを蓄積するキューであり、第2キューは「AVB Class B」のメッセージを蓄積するキューであり、第3キュー及び第4キューは「Best Effort」のメッセージを蓄積するキューである。イーサネットコントローラ20の制御部21は、プロセッサ11から「AVB Class A」のメッセージを与えられた場合にこのメッセージを第1キューに蓄積し、「AVB Class B」のメッセージを与えられた場合にこのメッセージを第2キューに蓄積し、「Best Effort」のメッセージを与えられた場合にこのメッセージを第3キュー又は第4キューに蓄積する。「Best Effort」のメッセージを第3キュー又は第4キューのいずれに蓄積するかは、プロセッサ11が判断して指示する構成とするが、イーサネットコントローラ20が判断する構成としてもよい。
イーサネットコントローラ20の制御部21の送信メッセージ選択部21bは、送信キュー24の4つのキューに蓄積されたメッセージの中から、次に送信するメッセージを1つ選択する処理を行っている。送信メッセージ選択部21bは、第1キュー及び第2キューのそれぞれについて、CBSのアルゴリズムによりキューの先頭に蓄積されたメッセージを送信するか否かの判断を行う。また送信メッセージ選択部21bは、第1キュー及び第2キューについて送信すると判断したメッセージと、第3キュー又は第4キューの先頭に蓄積されたメッセージとについて、優先度に基づくメッセージ選択を行う。本実施の形態において送信メッセージ選択部21bは、第1キューから第4キューまでこの順に、第1キューが最も優先度が高く、第4キューが最も優先度が低いものとして、優先度に基づくメッセージの選択を行う。
図5は、CBSのアルゴリズムの概略を説明するための模式図であり、送信キュー24の第1キューに蓄積されたメッセージが送信されるまでをタイミングチャートにて示してある。図5の上段には第1キューに対する送信用のメッセージの蓄積状態を示しており、本例では第1キューに対して時刻t1にてメッセージA1が蓄積され、時刻t2にてメッセージA2が蓄積され、時刻t5にてメッセージA3が蓄積されている。
図5の中段には第1キューに対して与えられる「クレジット」の変化を示している。CBSのアルゴリズムで用いられるクレジットは、定められた量で増減する数値情報であり、正負の値を取り得る。クレジットは、例えば制御部21内のカウンタなどを用いて実現される。クレジットの初期値は0である。クレジットの値は、第1キューに蓄積されたメッセージが送信されている期間に所定量で減少していく。このときの減少量は、レジスタ群22のCBS減少量として設定された値が用いられる。またクレジットの値は、第1キュー以外のキューに蓄積されたメッセージが送信されている期間、及び、メッセージが送信されていない期間に所定量で増加していく。このときの増加量は、レジスタ群22のCBS増加量として設定された値が用いられる。更にクレジットの値の増減には上限及び下限が設けられている。クレジットの上限はレジスタ群22のCBS上限値として設定された値が用いられ、クレジットの下限はレジスタ群22のCBS下限値として設定された値が用いられる。
図5の下段にはイーサネットコントローラ20が送信したメッセージを示している。CBSのアルゴリズムにおいてイーサネットコントローラ20は、クレジットの値が0以上である場合に、第1キューの先頭に蓄積されたメッセージの送信を開始することができる。
本例では、時刻t0において第1キューにはメッセージが蓄積されておらず、他のキューに蓄積されたメッセージの送信が開始されたものとする。他のメッセージの送信が行われている間、第1キューのクレジットは設定された増加量に従って増加していく。その後、時刻t1において第1キューにメッセージA1が蓄積され、更に時刻t2においてメッセージA2が蓄積されたものとする。しかし他のメッセージの送信が完了するまでは、第1キューに蓄積されたメッセージA1及びA2の送信が開始されることはなく、クレジットの値は増加し続ける。
時刻t3において他のメッセージの送信が完了したものとする。このときに第1キューのクレジットは0以上であるため、第1キューの先頭に蓄積されたメッセージA1の送信が開始される。メッセージA1が送信されている間、第1キューのクレジットは設定された減少量に従って減少していく。その後、時刻t4にてメッセージA1の送信が完了した場合、第1キューからはメッセージA1が取り除かれ、メッセージA2が先頭となる。時刻t4においてクレジットの値は0未満まで減少しているため、この時点でメッセージA2の送信は行われない。また本例では、このときに他のキューにはメッセージは蓄積されておらず、他のメッセージ送信は行われないものとし、メッセージが送信されていない状態であるためクレジットは増加していく。
時刻t5にて第1キューにメッセージA3が蓄積されるが、この時点でもクレジットの値は0未満であるため、メッセージの送信は行われず、クレジットの増加が継続される。そして時刻t6においてクレジットの値が0に達したとき、第1キューの先頭に蓄積されたメッセージA2の送信が開始される。メッセージA2が送信されている間、第1キューのクレジットは減少していく。その後、時刻t7にてメッセージA2の送信が完了した場合、第1キューからはメッセージA2が取り除かれ、メッセージA3が先頭となる。時刻t7においてクレジットの値は0未満であるため、この時点でメッセージA3の送信は行われない。
このように、CBSのアルゴリズムを採用するイーサネットコントローラ20は、第1キューに蓄積されたメッセージを送信しているか否かに応じてクレジットの値を増減させ、クレジットの値が0以上である場合に第1キューの先頭に蓄積されたメッセージの送信を行う。なお本実施の形態において送信キュー24には4つのキューが存在しているが、第1キューは送信の優先度が最も高いため、クレジットの値が0以上であれば第1キューに蓄積されたメッセージは送信される。これに対して第2キューは第1キューよりも優先度が低いため、第2キューのクレジットの値が0以上であっても、第1キューのクレジットの値が同様に0以上であれば、第1キューのメッセージ送信が完了するまで第2キューのメッセージ送信を行うことはできない。また第3キュー及び第4キューについてはCBSのアルゴリズムは適用されず、第1キュー及び第2キューのメッセージ送信が行われていない際に、第3キュー又は第4キューに蓄積されたメッセージが送信される。
また、送信メッセージ選択部21bは、CBSのアルゴリズムに代えて、BLSのアルゴリズムに従ってメッセージを選択してもよい。図6は、BLSのアルゴリズムの概略を説明するための模式図である。なお本例では、説明を簡略化するために、送信キュー24の第1キュー及び第3キューのみが用いられる場合を示す。図6の1段目には第1キューに対する送信用のメッセージの蓄積状態を示しており、第1キューに蓄積されるメッセージをA1,A2,A3,A4…で表す。同様に、図6の2段目には第3キューに対する送信用のメッセージの蓄積状態を示しており、第3キューに蓄積されるメッセージをX1,X2,X3,X4…で表す。本例では、時刻t0において第1キューにメッセージA1及びA2が蓄積され、第2キューにメッセージX1が蓄積されているものとする。
図6の3段目には第1キューに対して与えられるクレジットの変化を示している。BLSのアルゴリズムで用いられるクレジットは、定められた量で増減する数値情報であり、0以上の値を取り得る。クレジットは、例えば制御部21内のカウンタなどを用いて実現される。クレジットの初期値は0である。クレジットの値は、第1キューに蓄積されたメッセージが送信されている期間に所定量で増加していく。このときの増加量は、レジスタ群22のBLS増加量として設定された値が用いられる。またクレジットの値は、第1キュー以外のキューに蓄積されたメッセージが送信されている期間、及び、メッセージが送信されていない期間に所定量で減少していく。このときの減少量は、レジスタ群22のBLS減少量として設定された値が用いられる。クレジットの値の増減には上限及び下限が設けられており、クレジットの上限はレジスタ群22のBLS最大値として設定された値が用いられ、クレジットの下限は0である。またBLSのアルゴリズムでは、0から最大値までの間に、再開値が設定される。再開値は、第1キューに蓄積されたメッセージを送信する期間と、他のキューに蓄積されたメッセージを送信する期間との切替を行うか否かを判定する閾値として用いられる値である。
図6の4段目にはイーサネットコントローラ20が送信したメッセージを示している。BLSのアルゴリズムにおいてイーサネットコントローラ20は、クレジットの値に応じて、第1キューに蓄積されたメッセージを送信する期間(以下、送信期間と言う)と、他のキューに蓄積されたメッセージを送信する期間(以下非送信期間と言う)とを切り替える。イーサネットコントローラ20は、クレジットの値が再開値以下となった場合に非送信期間から送信期間への切り替えを行い、クレジットの値が最大値に達した場合に送信期間から非送信期間への切り替えを行う。イーサネットコントローラ20は、送信期間において第1キューに蓄積されたメッセージを先頭から順に送信し、非送信期間において他のキューに蓄積されたメッセージを送信する。
本例では、時刻t0において第1キューにはメッセージA1及びA2が蓄積され、第3キューにはメッセージX1が蓄積されている。このときクレジットの値は0であり、第1キューに蓄積されたメッセージを送信することが可能な送信期間であるため、イーサネットコントローラ20は第1キューの先頭に蓄積されたメッセージA1の送信を開始する。メッセージA1が送信されている間、第1キューのクレジットは設定された増加量に従って増加していく。その後、時刻t1にてメッセージA1の送信が完了した場合、第1キューからはメッセージA1が取り除かれ、メッセージA2が先頭となる。また本例では時刻t1においてクレジットが最大値に達していないため、第1キューのメッセージ送信期間が継続されており、イーサネットコントローラ20は第1キューの先頭に蓄積されたメッセージA2の送信を開始する。メッセージA2が送信されている間、クレジットは継続的に増加していく。
時刻t2にてメッセージA2の送信が完了した場合、第1キューからメッセージA2が取り除かれ、第1キューは空となる。またこの時点で第1キューのクレジットは最大値に達し、これによって送信期間から非送信期間への切り替えが行われ、イーサネットコントローラ20は第3キューに蓄積されたメッセージX1の送信を開始する。メッセージX1が送信されている間、第1キューのクレジットは設定された減少量に従って減少していく。その後、時刻t3にてメッセージX1の送信が完了した場合、第3キューからメッセージX1が取り除かれ、第3キューは空となる。第1キュー及び第3キューにはメッセージが蓄積されていないため、イーサネットコントローラ20によるメッセージ送信が行われない状態が時刻t4まで続く。ただしこの間も第1キューのクレジットは減少していく。
時刻t4にて第3キューに新たなメッセージX2が蓄積されたものとする。この時点ではクレジットの値が再開値まで減少していないため非送信期間が維持されており、イーサネットコントローラ20は第3キューに蓄積されたメッセージX2の送信を開始する。その後、メッセージX2の送信が完了していない時刻t5において第1キューにメッセージA3が蓄積され、更にその後の時刻t6にて第3キューにメッセージX3が蓄積されたものとする。また時刻t6においてクレジットの値が再開値まで減少し、これによって非送信期間から送信期間への切り替えが行われるが、既に送信を開始しているメッセージX2の送信が完了するまでは、メッセージX2の送信が継続して行われ、クレジットの値は減少し続ける。
時刻t7にてメッセージX2の送信が完了した場合、第3キューからメッセージX2が取り除かれ、メッセージX3が先頭となる。この時点では第1キューのメッセージを送信できる送信期間となっているため、イーサネットコントローラ20は、第1キューの先頭に蓄積されたメッセージA3の送信を開始する。メッセージA3が送信されている間、第1キューのクレジットは増加していく。その後、時刻t8にてメッセージA3の送信が完了した場合、第1キューからはメッセージA3が取り除かれ、第1キューは空となる。この時点においてクレジットの値は最大値に達しておらず、第1キューに蓄積されたメッセージの送信期間が継続されているが、第1キューにはメッセージが蓄積されていないため、イーサネットコントローラ20は第3キューに蓄積されているメッセージX3の送信を開始する。メッセージX3が送信されている間、クレジットは減少していく。その後、メッセージX3の送信が完了する前の時刻t9にて、第1キューにメッセージA4が蓄積され、第3キューにメッセージX4が蓄積されたものとする。
時刻t10にてメッセージX3の送信が完了した場合、第3キューからメッセージX3が取り除かれ、メッセージX4が先頭となる。この時点では第1キューのメッセージを送信できる送信期間となっているため、イーサネットコントローラ20は、第1キューの先頭に蓄積されたメッセージA4の送信を開始する。メッセージA4が送信されている間、第1キューのクレジットは増加していく。その後、時刻t11にてメッセージA4の送信が完了した場合、第1キューからはメッセージA4が取り除かれ、第1キューは空となる。またこのときに第1キューのクレジットは最大値に達し、これによって送信期間から非送信期間への切り替えが行われ、イーサネットコントローラ20は第3キューに蓄積されているメッセージX4の送信を開始する。メッセージX4が送信されている間、第1キューのクレジットは減容していく。その後、時刻t12にてメッセージX4の送信が完了した場合、第3キューからはメッセージX4が取り除かれ、第3キューは空となる。
このように、BLSのアルゴリズムを採用するイーサネットコントローラ20は、クレジットの値が最大値又は再開値に達した場合に第1キューに蓄積されたメッセージの送信期間と非送信期間との切替を行う。送信期間には第1キューに蓄積されたメッセージが優先的に送信され、非送信期間には他のキューに蓄積されたメッセージが優先的に送信される。
イーサネットコントローラ20の制御部21の送信メッセージ選択部21bは、CBSのアルゴリズム又はBLSのアルゴリズムに従って、送信キュー24の第1キュー〜第4キューに蓄積されたメッセージの中から、次に送信するメッセージを1つ選択する。いずれのアルゴリズムを採用する場合であっても、例えばクレジットの増加量及び減少量等はレジスタ群22に記憶された設定値が用いられる。このため、例えば不正なプログラムによりこれらのレジスタの設定値が不正に書き換えられた場合、イーサネットコントローラ20による送信メッセージの選択が適切に行われなくなり、重要な情報が送信できなくなるなどの不具合が発生する虞がある。本実施の形態に係るイーサネットコントローラ20は、フルコントロールモード及び制限モードの切り替えを行い、レジスタ群22の設定値の変更を制限することによって、このような不具合が発生することを防止している。
図7は、ECU10の起動時にプロセッサ11が行う処理の手順を示すフローチャートである。本実施の形態に係るECU10のプロセッサ11は、ECU10の起動又は再起動等がなされることにより、例えばリセットICなどによるパワーオンリセットが行われ、その後にリセットが解除される(ステップS1)ことにより、処理を開始する。まずプロセッサ11は、マスクROM12に記憶されたブートプログラム12aを読み出して実行を開始する(ステップS2)。ブートプログラム12aを実行するプロセッサ11は、イーサネットコントローラ20のレジスタ群22の各レジスタに対する設定値の書き込みを行う(ステップS3)。
レジスタ群22への設定値の書き込みを終了した後、ブートプログラム12aを実行するプロセッサ11は、イーサネットコントローラ20のレジスタ群22に含まれるモードレジスタに対する書き込みを行うことにより、フルコントロールモードから制限モードへのモード切替を行う(ステップS4)。イーサネットコントローラ20のモード切替の完了後、プロセッサ11は、ブートプログラム12aの実行を終了し、フラッシュメモリ13に記憶されたアプリケーションプログラム13aを読み出して実行を開始し(ステップS5)、処理を終了する。
図8は、ECU10のイーサネットコントローラ20が行うモード切替処理の手順を示すフローチャートである。本実施の形態に係るECU10のイーサネットコントローラ20は、ECU10の起動又は再起動等がなされることにより、例えばリセットICなどによるパワーオンリセットが行われ、その後にリセットが解除される(ステップS11)ことにより、処理を開始する。イーサネットコントローラ20の制御部21は、内部に備えるタイマ機能などにより、起動からの経過時間の計時を開始する(ステップS12)。また起動後のイーサネットコントローラ20は、フルコントロールモードで動作する(ステップS13)。
制御部21は、レジスタ群22のモードレジスタに対して制限モードへの切り替えを行う値が書き込まれたか否かに基づいて、モード切替の指示がプロセッサ11から与えられたか否かを判定する(ステップS14)。モード切替の指示が与えられていない場合(S14:NO)、制御部21は、ステップS12にて計時を開始した起動からの経過時間が所定時間を経過したか否かを更に判定する(ステップS15)。起動から所定時間が経過していない場合(S15:NO)、制御部21は、ステップS13へ処理を戻し、フルコントロールモードでの動作を継続して行う。
モード切替の指示が与えられた場合(S14:YES)、又は、起動から所定時間が経過した場合(S15:YES)、制御部21は、フルコントロールモードから制限モードへの切り替えを行う(ステップS16)。また制御部21は、ステップS12にて開始した計時を終了する(ステップS17)。その後、イーサネットコントローラ20は、制限モードでの動作を継続的に行う(ステップS18)。
図9は、イーサネットコントローラ20が行うレジスタ群22への設定値書込制限処理の手順を示すフローチャートである。イーサネットコントローラ20の制御部21は、レジスタ群22の各レジスタに対する設定値の書込要求がプロセッサ11から与えられたか否かを判定する(ステップS21)。レジスタへの設定値の書込要求が与えられていない場合(S21:NO)、制御部21は、書込要求が与えられるまで待機する。設定値の書込要求が与えられた場合(S21:YES)、制御部21は、自身の動作モードが制限モードであるか否かを判定する(ステップS22)。
動作モードが制限モードである場合(S22:YES)、制御部21は、プロセッサ11から書き込みを要求されたレジスタ群22のアドレスが、制限モードでの書き込み制限を行うべきアドレス範囲であるか否かを判定する(ステップS23)。動作モードが制限モードでない場合(S22:NO)、又は、書込要求に係るアドレスが制限アドレス範囲内でない場合(S23:NO)、制御部21は、プロセッサ11から要求されたレジスタ群22のアドレスに対して、プロセッサ11から与えられたデータを書き込んで(ステップS24)、ステップS21へ処理を戻す。これに対して、書込要求に係るアドレスが制限アドレス範囲内である場合(S23:YES)、制御部21は、プロセッサ11に対してエラーを通知し(ステップS25)、レジスタ群22への書き込みを行わずにステップS21へ処理を戻す。
図10は、イーサネットコントローラ20が行うメッセージ送信要求時の制限処理の手順を示すフローチャートである。なおイーサネットコントローラ20は、本図に示す処理を、送信キュー24の各キューについてそれぞれ行っている。またイーサネットコントローラ20は、自身のタイマ機能により、プロセッサ11からメッセージの送信要求を受け付けた場合に、この送信要求受付からの経過時間を計時する処理を、各キューに対して行っているものとする。イーサネットコントローラ20の制御部21は、他のECU10に対するメッセージの送信要求がプロセッサ11から与えられたか否かを判定する(ステップS31)。送信要求が与えられていない場合(S31:NO)、制御部21は、送信要求が与えられるまで待機する。送信要求が与えられた場合(S31:YES)、制御部21は、イーサネットコントローラ20の動作モードが制限モードであるか否かを判定する(ステップS32)。
動作モードが制限モードである場合(S32:YES)、制御部21は、プロセッサ11による前回の送信要求からの経過時間を取得する(ステップS33)。制御部21は、ステップS33にて取得した前回要求からの経過時間が、レジスタ群22に設定された最低送信要求周期を経過しているか否かを判定する(ステップS34)。最低送信要求周期を経過している場合(S34:YES)、制御部21は、プロセッサ11からの送信要求と共に与えられたメッセージを、送信キュー24に蓄積し(ステップS35)、ステップS31へ処理を戻す。最低送信要求周期を経過していない場合(S34:NO)、制御部21は、プロセッサ11にエラーを通知し(ステップS36)、送信要求と共に与えられたメッセージを破棄して、ステップS31へ処理を戻す。
また、動作モードが制限モードでない場合(S32:NO)、即ち動作モードがフルコントロールモードである場合、制御部21は、プロセッサ11からの送信要求と共に与えられたメッセージを、送信キュー24に蓄積し(ステップS35)、ステップS31へ処理を戻す。ステップS35にて送信キュー24に蓄積されたメッセージは、制御部21の送信メッセージ選択部21bにより適宜に選択されて送信部26へ与えられ、送信部26から通信線に対して送信される。
以上の構成の実施の形態1に係るECU10は、フラッシュメモリ13に記憶されたアプリケーションプログラム13aを読み出して実行することにより通信に係る処理を行うプロセッサ11と、プロセッサ11の通信処理に応じて通信線に対するメッセージの送受信を行うイーサネットコントローラ20とを備え、イーサネット(例えばイーサネットAVB又はイーサネットTSN)の通信規格に応じた通信を行う。例えばプロセッサ11は、センサ3による検出結果又はアクチュエータ4の制御情報等のように、他のECU10へ送信すべき情報が得られた場合、この情報を含む送信用のメッセージを生成し、生成した送信用のメッセージをイーサネットコントローラ20へ与える。イーサネットコントローラ20は、プロセッサ11から与えられた送信用のメッセージを電気信号に変換して通信線へ出力することによって、他のECU10へのメッセージ送信を行う。またイーサネットコントローラ20は、イーサネットの通信に係る設定値を記憶するレジスタ群22を有している。このレジスタ群22には、例えば送受信するメッセージの最大フレーム長及び最小フレーム長、並びに、自装置のMACアドレス等の設定値が記憶される。プロセッサ11は、イーサネットコントローラ20のレジスタ群22に対する設定値の書き込みを行った後、このイーサネットコントローラ20を利用した他のECU10とのメッセージ送信を行うことが可能となる。
このような構成において、例えばECU10のアプリケーションプログラム13aが不正に書き換えられた場合、不正なアプリケーションプログラム13aを実行したプロセッサ11がイーサネットコントローラ20のレジスタ群22の設定値を不正に変更する虞がある。これにより、例えばイーサネットコントローラ20が不正なメッセージを最優先で送信するなど、不正なメッセージ送信が行われる虞がある。
そこで本実施の形態に係るイーサネットコントローラ20は、レジスタ群22に対する値の設定を許可するフルコントロールモードと、設定を制限する制限モードとの切替を行う。このモード切替を適切に行うことによって、不正なアプリケーションプログラム13aによるレジスタ群22の設定値の変更を制限することができる。
また本実施の形態に係るイーサネットコントローラ20は、プロセッサ11から与えられる送信用のメッセージを蓄積する複数のキューで構成された送信キュー24を備える。プロセッサ11から与えられた送信用のメッセージは送信キュー24のいずれかのキューに蓄積され、イーサネットコントローラ20の送信メッセージ選択部21bは、送信キュー24の複数のキューから一のメッセージを選択して送信する。上記の制限モードにより設定値の変更が制限されるレジスタ群22のレジスタには、送信キュー24からのメッセージ選択を規定する設定値を記憶するレジスタを含む。
例えば送信するメッセージの選択をCBS又はBLSのアルゴリズムに従って行う場合、イーサネットコントローラ20は、このアルゴリズムの処理を規定する設定値を記憶するレジスタに対する設定変更を制限モードにて制限する構成とすることができる。アルゴリズムの処理を規定する設定値は、例えばCBSの場合にクレジットの増減量、上限及び下限等の値とすることができ、また例えばBLSの場合にクレジットの増減量、最大値及び再開値等の値とすることができる。このように、送信キュー24からの送信すべきメッセージの選択に係る設定値に対する変更を制限することによって、例えば不正なメッセージを最優先で送信するようイーサネットコントローラ20の設定値を変更するなどの不正な処理を防止できる。
また本実施の形態に係るイーサネットコントローラ20には、プロセッサ11からの送信用のメッセージを蓄積する送信キュー24の複数のキューに対してそれぞれ最低送信要求周期を設定することができる。イーサネットコントローラ20は、各キューに対してプロセッサ11が送信用のメッセージを与える頻度、即ち各キューに対するプロセッサ11からの送信要求の周期が、キュー毎に設定された最低送信要求周期より短い場合、プロセッサ11からの送信要求を受け付けず、送信要求と共に与えられたメッセージの送信を行わない。これにより、例えば不正なアプリケーションプログラム13aが短い周期で不正なメッセージ送信を繰り返すことを防止できる。
また本実施の形態に係るイーサネットコントローラ20は、ECU10内の他の構成要素(例えばリセットICなど)から入力されるリセット信号に応じて、レジスタ群22に対する設定が可能なフルコントロールモードへの切り替えを行う。リセット信号には、ユーザによるECU10のリセット操作による信号、及び、ECU10の電源投入などによるパワーオンリセットの信号等を含む。またイーサネットコントローラ20は、フルコントロールモードとなった後、所定時間が経過した場合に、レジスタ群22に対する設定が制限される制限モードへの切り替えを行う。ECU10ではリセット直後にマスクROM12に記憶されたブートプログラム12aの実行がプロセッサ11により行われるが、リセット後の所定時間のみイーサネットコントローラ20をフルコントロールモードとすることによって、ブートプログラム12aの実行中にのみレジスタ群22の設定を許可し、その後に実行されるアプリケーションプログラム13aの実行中にはレジスタ群22の設定を制限することができる。
なお本実施の形態においては、車両に搭載されるECU10を例に説明を行ったが、これに限るものではなく、航空機若しくは船舶等の移動体に搭載される通信装置、又は、工場若しくはオフィス等に設置される通信装置等のように、車載以外の通信装置に対して本技術を適用してもよい。また通信システムに含まれる全てのECU10について、本実施の形態に示したレジスタ群22の制限を行う機能が備えられていることが好ましいが、このような制限機能を含まないECUが通信システムに含まれていてもよい。またECU10は、書き換え不可能な記憶部としてマスクROM12を備える構成としたが、これに限るものではない。例えば、紫外線照射によりデータの消去を行うことはできるが電気的なデータ書き換えを行うことができないEPROM(Erasable Programmable Read Only Memory)、又は、ヒューズの切断など物理的な構成によりデータ書き換えが不可能となるEEPROM若しくはフラッシュメモリ等の不揮発性のメモリ素子等を、マスクROM12に代えて採用してもよい。
またイーサネットコントローラ20が制限モードにて書き込みを制限するレジスタの例を図3に示したが、書き込みを制限するレジスタは図示のものに限らず、様々な設定値を記憶するレジスタを制限の対象としてよい。またイーサネットコントローラ20は、制限モードにおいて、レジスタ群22の全てのレジスタの書き込みを制限してもよく、一部のレジスタのみ書き込みを制限してもよい。また制限モードにおいて書き込みを制限するのみでなく、レジスタからの設定値の読み出しをも制限する構成としてよい。またイーサネットコントローラ20は、CBS又はBLSのアルゴリズムに従って送信キュー24から送信メッセージを選択する構成としたが、これに限るものではなく、これ以外のアルゴリズムを採用して送信メッセージの選択を行ってよい。
(実施の形態2)
図11は、実施の形態2に係る通信システムの構成を示すブロック図である。なお図11においては、図1において示した他のECU10、中継装置2、センサ3及びアクチュエータ4等の図示を省略してある。実施の形態2に係る通信システムは、ECU210に対して通信線を介して接続される設定装置207を備えている。設定装置207は、例えば車両1のディーラ又は整備工場等において整備又は点検等を行う際に用いられる装置である。設定装置207をECU210に接続することによって、イーサネットコントローラ20のレジスタ群22に対する設定値の書き込みを行うことができる。設定装置207は、液晶パネルなどの表示部271と、スイッチ又はタッチパネル等の操作部272とを有している。
実施の形態2に係るECU210は、ブートプログラム12aをフラッシュメモリ13に記憶している。ECU210のフラッシュメモリ13には、ブートプログラム12a及びアプリケーションプログラム13a等が記憶されている。また実施の形態2に係るECU210は、通信線を介して設定装置207を接続するためのコネクタ216を備えている。実施の形態2に係るECU210は、コネクタ216を介して認証された設定装置207が接続された場合、イーサネットコントローラ20のレジスタ群22に対して、設定値の書き込みを行うことが可能となる。
また実施の形態2に係るECU210のマスクROM12には、認証プログラム212b及び認証情報212c等が記憶されている。認証プログラム212bは、コネクタ216に設定装置207が接続された場合にプロセッサ11が実行するプログラムであり、設定装置207との間で認証処理を行う。認証情報212cは、認証プログラム212bが設定装置207との間で認証処理を行うための情報であり、例えば装置のID及びパスワード等の情報である。
実施の形態2に係るECU210は、通常動作において、常に制限モードでの動作を行っている。即ち電源投入などにより起動したECU210は、起動後に制限モードで動作を開始し、通常の動作を行っている限りにおいて、その後にフルコントロールモードへ切り替えられることはない。よってECU210は、ブートプログラム12a及びアプリケーションプログラム13aの実行を制限モードで行うため、ブートプログラム12aにはイーサネットコントローラ20のレジスタ群22に対する設定処理は含まれていない。実施の形態2に係るECU210は、コネクタ216に設定装置207が接続された場合にのみ、イーサネットコントローラ20をフルコントロールモードで動作させることが可能となる。
実施の形態2に係るECU210は、コネクタ216に設定装置207が接続されたことを検出した場合、プロセッサ11がマスクROM12から認証プログラム212bを読み出して実行することにより、設定装置207との間で認証処理を行う。ECU210は、マスクROM12に記憶された認証情報212cに基づいて認証処理を行い、認証処理に成功した場合にのみ、イーサネットコントローラ20の動作モードを制限モードからフルコントロールモードへ切り替える操作を受け付ける。
認証処理に成功した場合、設定装置207を操作する操作者は、ECU210に関する各種の情報を取得して表示部271に表示させることができ、ECU210に関する各種の設定変更の操作を操作部272にて行うことができる。また実施の形態2に係る設定装置207は、ECU210のイーサネットコントローラ20の動作モードの切り替えを行うことができ、フルコントロールモードへの切り替えを行うことでレジスタ群22への値の書き込みを行うことができる。
設定装置207の操作部272に対してモード切替の操作がなされた場合、この操作内容が設定装置207からコネクタ216を介してECU210のプロセッサ11へ与えられる。これによりECU210のプロセッサ11は、モードの切替操作を受け付ける。ECU210は、設定装置207からフルコントロールモードへの切替操作を受け付けた場合に、制限モードからフルコントロールモードへの切り替えを行う。フルコントロールモードにおいてECU210は、設定装置207との間で通信線を介した通信を行い、イーサネットコントローラ20のレジスタ群22に対する値の書込要求を受け付けて、要求された値をレジスタ群22のレジスタに対して書き込む。
またECU210は、設定装置207から制限モードへの切替操作を受け付けた場合に、フルコントロールモードから制限モードへの切り替えを行う。なおECU210は、例えば設定装置207の接続が解除された場合、又は、フルコントロールモードへの切り替えから所定時間が経過した場合等に、設定装置207から制限モードへの切替操作を受け付けていなくとも、フルコントロールモードから制限モードへの切り替えを自動的に行う構成としてよい。
図12は、実施の形態2に係るECU210が行うモード切替処理の手順を示すフローチャートである。実施の形態2に係るECU210のプロセッサ11は、コネクタ216に対する設定装置207の接続を検知したか否かを判定する(ステップS51)。接続を検知していない場合(S51:NO)、プロセッサ11は、接続を検知するまで待機する。設定装置207の接続を検知した場合(S51:YES)、プロセッサ11は、マスクROM12に記憶された認証プログラム212bを実行し、マスクROM12に記憶された認証情報212cを用いて、設定装置207との間で認証処理を行う(ステップS52)。プロセッサ11は、認証処理に成功したか否かを判定する(ステップS53)。認証処理に成功していない場合(S53:NO)、プロセッサ11は、設定装置207に対してエラーを通知し(ステップS54)、処理を終了する。
認証処理に成功した場合(S53:YES)、プロセッサ11は、コネクタ216に対する設定装置207の接続が解除されたか否かを判定する(ステップS55)。接続が解除された場合(S55:YES)、プロセッサ11は、イーサネットコントローラ20の動作モードを制限モードに切り替えて(ステップS56)、処理を終了する。接続が解除されていない場合(S55:NO)、プロセッサ11は、設定装置207の操作部272に対する操作の有無を検知することにより、フルコントロールモード及び制限モードの切替操作がなされたか否かを判定する(ステップS57)。切替操作がなされていない場合(S57:NO)、プロセッサ11は、ステップS55へ処理を戻す。切替操作がなされた場合(S57:YES)、プロセッサ11は、イーサネットコントローラ20の動作モードを、切替操作に応じたモードに切り替えて(ステップS58)、ステップS55へ処理を戻す。
以上の構成の実施の形態2に係るECU210は、外部装置として設定装置207を接続することができるコネクタ216を備えている。ECU210は、コネクタ216に通信線を介して設定装置207を接続した場合に、イーサネットコントローラ20の動作モードを制限モードからフルコントロールモードへと切り替えることが可能となる。ECU210は、コネクタ216に設定装置207が接続されていない場合には、イーサネットコントローラ20の動作モードを制限モードとする。ECU210は、コネクタ216に設定装置207が接続された場合、設定装置207との間で認証処理を行い、認証処理に成功した後で設定装置207の操作部272にてイーサネットコントローラ20の動作モードの切替操作を受け付ける。これにより、例えば車両1の検査又は修理等を行う際に、ディーラ又は修理工場等に備えられた設定装置207をECU210に接続してレジスタ群22に設定値を書き込むことができるため、イーサネットコントローラ20の設定変更を容易に行うことが可能となる。
なお実施の形態2においては、ブートプログラム12aをマスクROM12ではなくフラッシュメモリ13に記憶する構成としたが、これに限るものではない。ECU210は、実施の形態1に係るECU10と同様に、ブートプログラム12aをマスクROM12に記憶する構成としてもよい。この構成の場合、ECU210は、実施の形態1にて説明した起動時及び起動から所定時間経過後のモード切替と、実施の形態2にて説明した設定装置207に対する切替操作に基づくモード切替との両方を行う構成としてもよい。
またECU210は、設定装置207の接続検知に応じて認証処理を行い、認証処理に成功した場合には自動的に制限モードからフルコントロールモードへ切り替えを行う構成としてもよい。この構成の場合には、設定装置207をECU210に接続するという操作は、モード切替のための明示的な操作に相当する。また認証処理後にモードの切替操作を受け付けるプログラムは、認証プログラム212bであってもよく、これ以外のプログラムであってもよい。ただしモードの切替操作を受け付けてモード切替を行うプログラムは、マスクROM12に記憶されていることが好ましい。
またECU210は、コネクタ216に通信線を介して設定装置207を接続する構成としたが、これに限るものではない。例えばECU210は、設定装置207との間で無線通信を行う構成としてもよい。また例えば、設定装置207を接続するのではなく、ECU210に操作部を設けてモード切替の操作を受け付ける構成としてもよい。
また、実施の形態2に係る通信システムのその他の構成は、実施の形態1に係る通信システムの構成と同様であるため、同様の箇所には同じ符号を付して詳細な説明を省略する。
1 車両
2 中継装置
3 センサ
4 アクチュエータ
10 ECU(通信装置)
11 プロセッサ
12 マスクROM(第2の記憶部)
12a ブートプログラム
13 フラッシュメモリ(記憶部)
13a アプリケーションプログラム(プログラム)
14 入出力部
15 RAM
20 イーサネットコントローラ(通信コントローラ)
21 制御部
21a モード切替部(切替部)
21b 送信メッセージ選択部
22 レジスタ群(複数のレジスタ)
23 入出力部
24 送信キュー(複数のキュー)
25 受信バッファ
26 送信部
27 受信部
207 設定装置
210 ECU
212b 認証プログラム
212c 認証情報
216 コネクタ(接続部)
271 表示部
272 操作部

Claims (8)

  1. 記憶部に記憶されたプログラムを実行することによって通信に係る処理を行うプロセッサと、該プロセッサの処理に応じて通信線に対するメッセージの送受信を行う通信コントローラとを備え、イーサネット(登録商標)の通信規格に応じた通信を行う通信装置において、
    前記通信コントローラは、
    前記プロセッサにより値が設定され、イーサネットの通信に係る設定値を記憶する複数のレジスタと、
    前記複数のレジスタに対する値の設定を許可する第1モード、及び、前記複数のレジスタに対する値の設定を制限する第2モードを切り替える切替部と
    を有することを特徴とする通信装置。
  2. 前記通信コントローラは、
    前記プロセッサから与えられた送信用のメッセージを蓄積する複数のキューと、
    前記複数のキューに蓄積されたメッセージから、送信すべき一のメッセージを選択する送信メッセージ選択部と
    を有し、
    前記複数のレジスタには、前記送信メッセージ選択部によるメッセージの選択を規定する設定値を記憶するレジスタを含むこと
    を特徴とする請求項1に記載の通信装置。
  3. 前記送信メッセージ選択部は、CBS(Credit Based Shaper)又はBLS(Burst Limiting Shaper)のアルゴリズムに従ってメッセージを選択し、
    前記複数のレジスタには、前記アルゴリズムにおける処理を規定する設定値を記憶するレジスタを含むこと
    を特徴とする請求項2に記載の通信装置。
  4. 前記複数のレジスタには、前記キューに対する送信を要求することが可能な最低の周期である最低送信要求周期を設定するレジスタを含み、
    前記通信コントローラは、前記最低送信要求周期よりも短い周期で前記プロセッサから送信用のメッセージが与えられた場合、該メッセージの送信を制限すること
    を特徴とする請求項2に記載の通信装置。
  5. 前記切替部は、
    前記通信コントローラへのリセット信号の入力に応じて、前記第1モードへの切り替えを行い、
    前記第1モードへの切り替え後、所定時間が経過した場合に前記第2モードへの切り替えを行うこと
    を特徴とする請求項1乃至請求項4のいずれか1つに記載の通信装置。
  6. 前記リセット信号の入力から前記所定時間が経過するまでの間に前記プロセッサが実行するプログラムを記憶する第2の記憶部を備え、
    前記第2の記憶部は、データの書き換えが不可能であること
    を特徴とする請求項5に記載の通信装置。
  7. 外部装置を接続する接続部を備え、
    前記切替部は、
    前記接続部に所定の外部装置が接続された場合に、前記第1モードへの切り替えを行い、
    前記接続部に外部装置が接続されていない場合、又は、前記接続部に前記所定の外部装置以外の外部装置が接続されている場合に、前記第2モードへの切り替えを行うこと
    を特徴とする請求項1乃至請求項6のいずれか1つに記載の通信装置。
  8. プロセッサの処理に応じて通信線に対するメッセージの送受信をイーサネットの通信規格に従って行う通信コントローラにおいて、
    前記プロセッサにより値が設定され、イーサネットの通信に係る設定値を記憶する複数のレジスタと、
    前記複数のレジスタに対する値の設定を許可する第1モード、及び、前記複数のレジスタに対する値の設定を制限する第2モードを切り替える切替部と
    を備えることを特徴とする通信コントローラ。
JP2017009633A 2017-01-23 2017-01-23 通信装置及び通信コントローラ Pending JP2018121120A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017009633A JP2018121120A (ja) 2017-01-23 2017-01-23 通信装置及び通信コントローラ
PCT/JP2018/000002 WO2018135300A1 (ja) 2017-01-23 2018-01-04 通信装置及び通信コントローラ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017009633A JP2018121120A (ja) 2017-01-23 2017-01-23 通信装置及び通信コントローラ

Publications (1)

Publication Number Publication Date
JP2018121120A true JP2018121120A (ja) 2018-08-02

Family

ID=62908653

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017009633A Pending JP2018121120A (ja) 2017-01-23 2017-01-23 通信装置及び通信コントローラ

Country Status (2)

Country Link
JP (1) JP2018121120A (ja)
WO (1) WO2018135300A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022121525A (ja) * 2019-03-15 2022-08-19 株式会社東芝 処理装置、処理方法及びプログラム
JP2022548522A (ja) * 2019-09-20 2022-11-21 ホアウェイ・テクノロジーズ・カンパニー・リミテッド パケット転送方法およびパケット転送装置、システム、デバイス、並びに記憶媒体

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6284903B2 (ja) * 2015-05-18 2018-02-28 国立大学法人名古屋大学 通信装置及び通信制限プログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022121525A (ja) * 2019-03-15 2022-08-19 株式会社東芝 処理装置、処理方法及びプログラム
JP7354361B2 (ja) 2019-03-15 2023-10-02 株式会社東芝 処理装置、処理方法及びプログラム
JP2022548522A (ja) * 2019-09-20 2022-11-21 ホアウェイ・テクノロジーズ・カンパニー・リミテッド パケット転送方法およびパケット転送装置、システム、デバイス、並びに記憶媒体
US11831554B2 (en) 2019-09-20 2023-11-28 Huawei Technologies Co., Ltd. Packet forwarding method and apparatus, system, device, and storage medium
JP7388646B2 (ja) 2019-09-20 2023-11-29 ホアウェイ・テクノロジーズ・カンパニー・リミテッド パケット転送方法およびパケット転送装置、システム、デバイス、並びにプログラム

Also Published As

Publication number Publication date
WO2018135300A1 (ja) 2018-07-26

Similar Documents

Publication Publication Date Title
JP6284903B2 (ja) 通信装置及び通信制限プログラム
US10397212B2 (en) Information device, data processing system, data processing method, and non-transitory storage medium for executing content upon authentication
US10778696B2 (en) Vehicle-mounted relay device for detecting an unauthorized message on a vehicle communication bus
KR102347703B1 (ko) 정보 처리 장치, 그 제어 방법 및 저장 매체
US9792440B1 (en) Secure boot for vehicular systems
US20160224806A1 (en) Rewrite detection system, rewrite detection device and information processing device
WO2018135300A1 (ja) 通信装置及び通信コントローラ
US11558404B2 (en) On-board communication system, switching device, verification method, and verification program
US11728990B2 (en) Control apparatus
JP2018073245A (ja) 検査装置、検査システム、情報処理装置、検査方法およびコンピュータプログラム
JP2020047992A (ja) 車両用中継装置
WO2016080417A1 (ja) CAN(Controller Area Network)通信システム及びエラー情報記録装置
KR20140070203A (ko) 임베디드 시스템의 펌웨어 무결성 검증 장치 및 방법
WO2017122402A1 (ja) 車両用データ通信システム
JP2006244164A (ja) ソフトウェア更新装置、ソフトウェア更新システム、ソフトウェア更新方法、および機器管理装置
US11550619B2 (en) Information processing device and processing method
JP2005276113A (ja) 擬似乱数生成方法、セキュリティチェック方法および制御装置
US11537717B2 (en) Information processing apparatus
CN112106330B (zh) 车载通信系统、判定装置及方法、通信装置及计算机程序
JP6463435B1 (ja) 制御装置および制御方法
JP2020086516A (ja) 情報処理装置、情報処理装置の制御方法、及び、プログラム
WO2018037894A1 (ja) 車両用認証装置
US11843612B2 (en) Communication device management device, system, method, and non-transitory computer-readable recording medium
JP4225264B2 (ja) 通信装置
US20230244789A1 (en) Method for booting an electronic device