JP2018173721A - 車載通信システム、車両制御装置、通信管理装置 - Google Patents

車載通信システム、車両制御装置、通信管理装置 Download PDF

Info

Publication number
JP2018173721A
JP2018173721A JP2017070082A JP2017070082A JP2018173721A JP 2018173721 A JP2018173721 A JP 2018173721A JP 2017070082 A JP2017070082 A JP 2017070082A JP 2017070082 A JP2017070082 A JP 2017070082A JP 2018173721 A JP2018173721 A JP 2018173721A
Authority
JP
Japan
Prior art keywords
repro
vehicle
unit
reprogramming
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2017070082A
Other languages
English (en)
Inventor
友宏 村瀬
Tomohiro Murase
友宏 村瀬
直幸 石原
Naoyuki Ishihara
直幸 石原
洋輔 富田
Yosuke Tomita
洋輔 富田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nidec Mobility Corp
Original Assignee
Omron Automotive Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Automotive Electronics Co Ltd filed Critical Omron Automotive Electronics Co Ltd
Priority to JP2017070082A priority Critical patent/JP2018173721A/ja
Priority to US15/912,462 priority patent/US10214182B2/en
Priority to DE102018203966.6A priority patent/DE102018203966A1/de
Publication of JP2018173721A publication Critical patent/JP2018173721A/ja
Abandoned legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/307Detection related to theft or to other events relevant to anti-theft systems using data concerning maintenance or configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/302Detection related to theft or to other events relevant to anti-theft systems using recording means, e.g. black box
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】車両制御装置の不正なリプログラミングを防止する。
【解決手段】車載通信システム101は、バス4A、4Bのネットワークに接続されて車載機器40を制御する複数のローカルECU2(車両制御装置)と、外部との通信口であるOBDIIポート5と、車両に対する不正行為を検出する不正行為検出センサ3とを有する。各ローカルECU2には、リプロ受信部23aとリプロ制御部21aとが備わっている。リプロ受信部23aは、OBDIIポート5に接続されたリプロ装置50からリプロ要求信号とリプロデータとを受信し、これらに基づいて、対象のローカルECU2のソフトウェアプログラムを書き換えるリプログラミングが実行される。不正行為検出センサ3により不正行為が検出された場合は、リプロ制御部21aがリプログラミングの実行を禁止する。
【選択図】図3

Description

本発明は、車両のネットワークに接続された車両制御装置のソフトウェアプログラムを書き換えるリプログラミング機能を有した車載通信システムに関する。
たとえば自動四輪車や自動二輪車などの車両には、複数の車両制御装置が搭載されている。車両制御装置は、ECU(Electronic Control Unit)から構成されている。各車両制御装置は、CAN(Controller Area Network)やLIN(Local Interconnect Network)などの、車両に構築されたネットワークの所定のノードに接続されている。各車両制御装置は、制御対象の車載機器の制御などに必要な情報を、他の車両制御装置に対して送受信する。そして、車両制御装置同士は相互に通信することにより、協調動作する。
車両のネットワークには、車両制御装置間の通信を管理する通信管理装置が接続されている場合もある。通信管理装置も、各車両制御装置と通信を行う。
また、車両に複数のネットワークが構築されている場合、通信管理装置を複数のネットワークに接続して、異なるネットワークにそれぞれ接続された車両制御装置間の通信を、通信管理装置を経由させることにより実現することもある。具体的には、異なるネットワークにそれぞれ接続された車両制御装置間の通信時に、通信管理装置は、一方のネットワーク上の車両制御装置から受信した情報をフィルタリング処理して、該情報を他方のネットワーク上の車両制御装置に転送したり、または該情報を除外(非送信)したりする。また、一方のネットワークと他方のネットワークとで通信プロトコルが異なる場合は、これらのネットワークを跨る車両制御装置間の通信時に、情報の通信プロトコルが通信管理装置により変換処理される。
そのような通信管理装置によるフィルタリング処理および/または通信プロトコル変換処理は、まとめてゲートウェイ処理と呼ばれている。通信管理装置もECUから構成されている。通信管理装置は、ゲートウェイ装置やゲートウェイECUや通信管理ECUなどと呼ばれている。これに対して、車両制御装置は、ローカル装置やローカルECUなどと呼ばれている。
車両から車両制御装置を取り外すことなく、車両制御装置のソフトウェアプログラムを書き換えるリプログラミング機能を有した車載通信システムがある(以下では便宜上、「リプログラミング」を「リプロ」と略記することもある)。具体的には、車両のネットワーク、車両制御装置、または通信管理装置に、外部との通信口である通信ポートを設ける。そして、通信ポートにリプログラミング用の外部装置を接続して、該外部装置により車両制御装置へリプログラミングの要求信号やデータを送信し、車両制御装置のリプログラミングを実行する。
しかし、不正行為の意図を持った者(以下、「不正者」という。)が不正な装置を通信ポートに接続して、該不正な装置により車両制御装置へ不正なリプログラミングの要求信号やデータを送信し、車両制御装置を不正にリプログラミングするという問題がある。車両制御装置が不正にリプログラミングされると、車両制御装置や車両が誤動作して、盗難などの危険を招いてしまう。
それに対して、特許文献1では、車両制御装置が、書換指令を受信すると、該要求信号の配信元の書換実施局に対して、要求信号が正当であるか否かの問い合わせを行う。書換実施局は、当該問い合わせに応じて、自身の書換指令の配信履歴を検索し、その有無を車両制御装置に回答する。車両制御装置は、当該回答に基づいて、書換指令が正当であるか否かを判断し、正当でないと判断すると、書換指令に基づくリプログラミングの実行を禁止する。
また、特許文献2では、GW(ゲートウェイ)−ECUが、正規のOBDII(On Board Diagnosis second generation)ポートを介してリプログラミングのデータを受信した場合は、該データを対象のECUに転送する。対して、不正な装置がOBDIIポートを介さずに、車両のネットワークに不正なリプログラミングのデータを送出し、該データをネットワークを介してGW−ECUが受信した場合は、GW−ECUが該データの受信を無効にするための強制コマンドを対象のECUに送信する。
また、特許文献3では、GW−ECUが、通信ポートを介してリプログラミングの要求信号を受信すると、該要求信号に含まれている識別コードと、予め登録された登録コードとを照合する。そして、両コードが一致すれば、当該要求信号を対象の車両制御装置に転送し、両コードが不一致であれば、所定の期間だけ要求信号の転送を禁止する。
特開2008−276663号公報 特開2013−141947号公報 特開2013−141948号公報
従来、たとえば、不正者が不正な装置により、リプログラミングの要求信号の配信履歴が有ることなどを示す偽の情報を、車両制御装置に送信した場合には、車両制御装置の不正なリプログラミングを防ぐことができなかった。また、不正者が不正な装置をOBDIIポートなどの正規の通信ポートに接続した場合にも、車両制御装置の不正なリプログラミングを防ぐことができなかった。さらに、正規のリプログラミングの要求信号に含まれている認証コードなどの認証情報が、不正者により盗み読まれて、該認証情報が不正な要求信号に含められた場合にも、車両制御装置の不正なリプログラミングを防ぐことができなかった。
本発明の課題は、車両制御装置の不正なリプログラミングを防止することである。
本発明による車載通信システムは、車両のネットワークに接続されて互いに通信を行い、制御対象の車載機器を制御する複数の車両制御装置と、外部との通信口である通信ポートと、通信ポートに接続された外部装置からリプログラミングの要求信号とデータとを受信するリプロ受信部とを備える。リプロ受信部により受信した要求信号とデータとに基づいて、複数の車両制御装置のうち対象の車両制御装置のソフトウェアプログラムを書き換えるリプログラミングが実行される。そして、車両に対する不正行為を検出する不正行為検出部と、不正行為検出部により不正行為が検出された場合に、リプログラミングの実行を禁止するリプロ制御部とがさらに設けられる。
また、本発明の車両制御装置は、車両のネットワークに複数接続されて互いに通信を行い、制御対象の車載機器を制御する車両制御装置であって、外部との通信口である通信ポートに接続された外部装置から、リプログラミングの要求信号とデータとを受信するリプロ受信部を備え、リプロ受信部により受信した要求信号とデータとに基づいて、自身のソフトウェアプログラムを書き換えるリプログラミングを実行する。そして、車両に設けられた不正行為検出部により車両に対する不正行為が検出された場合に、リプログラミングの実行を禁止するリプロ制御部がさらに設けられる。
また、本発明の通信管理装置は、車両のネットワークに接続されて、該ネットワークに複数接続された車両制御装置と通信を行い、いずれかの車両制御装置から受信した信号を他の車両制御装置へ転送し、車両制御装置間の通信を管理する通信管理装置であって、外部との通信口である通信ポートに接続された外部装置から、車両制御装置のソフトウェアプログラムを書き換えるリプログラミングを実行するための要求信号とデータとを受信するリプロ受信部を備え、リプロ受信部により受信した要求信号とデータとを車両制御装置へ転送する。そして、車両に設けられた不正行為検出部により車両に対する不正行為が検出された場合に、リプログラミングの実行を禁止するために、リプロ受信部により受信した要求信号とデータとを、車両制御装置へ転送せずに破棄する。
本発明によると、不正行為検出部により車両に対する不正行為が検出された場合に、車両制御装置のリプログラミングが実行されなくなる。このため、たとえば、不正者が車両に侵入しようとして、車両に対して不正行為を行ったときに、該不正行為が不正行為検出部により検出される。そして、不正者が不正な装置を通信ポートに接続して、該不正な装置により正規のリプログラミングの要求信号やデータを真似た不正なリプログラミングの要求信号やデータを送信しても、車両制御装置のリプログラミングが実行されないので、車両制御装置の不正なリプログラミングを防止することができる。
本発明では、上記車載通信システムにおいて、リプロ受信部により受信した要求信号に含まれる認証情報に基づいて認証を行うリプロ認証部をさらに備えていてもよい。リプロ認証部による認証が成功しなかった場合に、リプロ制御部は、リプログラミングの実行を禁止し、不正行為検出部により不正行為が検出されずに、リプロ認証部による認証が成功した場合に、リプロ制御部は、リプログラミングの実行を許可する。
また、本発明では、上記車載通信システムにおいて、通信ポートは、ネットワークまたは各車両制御装置に接続され、リプロ受信部、リプロ制御部、およびリプロ認証部は、各車両制御装置に設けられ、不正行為検出部は、複数の車両制御装置のうち特定の車両制御装置に接続されてもよい。また、特定の車両制御装置は、不正行為検出部により不正行為が検出されると、内部の記憶部に不正検出フラグをセットするとともに、不正行為が検出されたことを示す不正検出通知を、ネットワークを介して他の車両制御装置に送信し、他の車両制御装置は、不正検出通知を受信すると、内部の記憶部に不正検出フラグをセットしてもよい。そして、各車両制御装置は、リプロ受信部により要求信号を受信したときに、不正検出フラグがセットされていれば、またはリプロ認証部による認証が成功しなければ、リプロ制御部によりリプログラミングの実行を禁止し、不正検出フラグがセットされておらず、リプロ認証部による認証が成功すれば、リプロ制御部によりリプログラミングの実行を許可し、リプロ受信部により受信した要求信号とデータとに基づいて、リプログラミングを実行してもよい。
また、本発明では、上記車載通信システムにおいて、ネットワークに接続されて各車両制御装置と通信を行い、いずれかの車両制御装置から受信した信号を他の車両制御装置へ転送し、車両制御装置間の通信を管理する通信管理装置をさらに備え、通信ポートは、通信管理装置に接続され、リプロ受信部は、通信管理装置と各車両制御装置に設けられ、リプロ制御部とリプロ認証部とは、各車両制御装置に設けられ、不正行為検出部は、複数の車両制御装置のうち特定の車両制御装置に接続されてもよい。また、特定の車両制御装置は、不正行為検出部により不正行為が検出されると、不正行為が検出されたことを示す不正検出通知を、ネットワークを介して通信管理装置に送信し、通信管理装置は、不正検出通知を受信すると、内部の記憶部に不正検出フラグをセットしてもよい。そして、通信管理装置は、リプロ受信部により要求信号を受信したときに、不正検出フラグがセットされていれば、リプロ受信部により受信した要求信号とデータとを破棄し、不正検出フラグがセットされていなければ、リプロ受信部により受信した要求信号とデータとをネットワークを介して車両制御装置に転送してもよい。車両制御装置は、通信管理装置から要求信号をリプロ受信部により受信したときに、リプロ認証部による認証が成功しなければ、リプロ制御部によりリプログラミングの実行を禁止し、リプロ認証部による認証が成功すれば、リプロ制御部によりリプログラミングの実行を許可して、リプロ受信部により受信した要求信号とデータとに基づいて、リプログラミングを実行してもよい。
また、本発明では、上記車載通信システムにおいて、車両の電源は、車両に設けられた電源スイッチの操作または車両に登録された電子キーの信号に基づいてオフからオンに切り替わり、車両の電源のオン・オフ状態を検出する電源検出部をさらに備え、電源検出部により車両の電源のオフ状態が検出されているときは、リプロ受信部が無効化され、電源検出部により車両の電源のオン状態が検出されているときは、リプロ受信部が有効化されてもよい。
また、本発明では、上記車載通信システムにおいて、不正行為検出部は、車両の盗難のおそれがある車両に対する不正行為を検出してもよい。
さらに、本発明では、上記車載通信システムにおいて、セットされた不正検出フラグは、所定の解除条件の成立により自動的にクリアされてもよい。
本発明によれば、車両制御装置の不正なリプログラミングを防止することができる。
本発明の第1実施形態による車載通信システムの構成図である。 図1の車載通信システムのリプログラミング時の構成図である。 図1のローカルECUの構成図である。 図1の車載通信システムの不正行為検出時の動作を示したフローチャートである。 図1の車載通信システムのリプログラミング時の動作を示した図である。 本発明の第2実施形態による車載通信システムの構成図である。 図6の車載通信システムのリプログラミング時の構成図である。 図6のゲートウェイECUとローカルECUの構成図である。 図6の車載通信システムの不正行為検出時の動作を示したフローチャートである。 図6の車載通信システムのリプログラミング時の動作を示した図である。 本発明の第3実施形態による車載通信システムの構成図である。 図11の車載通信システムのリプログラミング時の構成図である。 図11のローカルECUの構成図である。
以下、本発明の実施形態につき、図面を参照しながら説明する。各図において、同一の部分または対応する部分には、同一符号を付してある。
まず、第1実施形態の車載通信システム101の構成を、図1および図2を参照しながら説明する。
図1は、車載通信システム101の構成図である。車載通信システム101は、たとえば自動四輪車から成る車両31に搭載されている。車載通信システム101には、複数のローカルECU2(1)〜ECU2(7)、不正行為検出センサ3、およびOBDII(On Board Diagnosis second generation)ポート5が備わっている。以下では、ローカルECU2(1)〜ECU2(7)を、まとめてローカルECU2と表記する。
車両31には、CAN(controller area network)やLIN(Local Interconnect Network)などのバス型のネットワークが複数構築されている。各バス4A、4Bのネットワークには、複数のローカルECU2が接続されている。
たとえば、図1では、バス4Aのネットワークに設けられた各所定の接続ノードには、ローカルECU2(1)〜ECU2(3)がそれぞれ接続されている。また、バス4Bのネットワークに設けられた各所定の接続ノードには、ローカルECU2(4)〜ECU2(7)がそれぞれ接続されている。
各ローカルECU2は、車両31の各部を制御する。詳しくは、ローカルECU2(2)〜ECU2(7)は、車両31に搭載されたエアバック、エアコン、ブレーキ、変速機、エンジン、パワーステアリング装置などの制御対象の車載機器ごとに割り当てられており、該車載機器の動作を制御する。
ローカルECU2(1)は、たとえばBCM(Body Control Module)から成り、車両31に搭載されたその他の車載機器の動作を制御する。また、ローカルECU2(1)は、たとえば、車両31の電源状態、セキュリティ状態、およびドアの施解錠状態などを監視し、車両31に登録された携帯機60(図3)と無線で通信する。
ローカルECU2(1)には、不正行為検出センサ3が接続されている。不正行為検出センサ3は、たとえば、車両31の傾斜を検知する傾斜センサから成り、車両31の盗難のおそれがある車両31に対する不正行為を検出する。
具体的には、たとえば、車両31が停止状態(エンジンなどの走行駆動源も停止状態)にあるときに、不正者が車両31に侵入しようとして、ドアロックを無理やり解除するなどの車両31に対する不正行為を行うと、車両31が揺れる。すると、不正行為検出センサ3が車両31の傾斜を検知することにより、車両31に対する不正行為を検出し、該検出結果を特定のローカルECU2(1)に出力する。
各ローカルECU2は通信を行い、車載機器の動作の制御などに必要な情報を、他のローカルECU2に対して送受信する。また、ローカルECU2同士は相互に通信することにより、協調動作する。ローカルECU2は、本発明の「車両制御装置」の一例である。また、ローカルECU2(1)は、本発明の「特定の車両制御装置」の一例である。不正行為検知センサ3は、本発明の「不正行為検出部」の一例である。
バス4A、4Bには、OBDIIポート5が接続されている。OBDIIポート5は、外部との通信口である。OBDIIポート5には、図示しない故障診断装置や図2に示すリプロ装置50などの外部装置が、コネクタやケーブルを介して接続される。OBDIIポート5に外部装置を接続することにより、外部装置とローカルECU2とがバス4A、4Bのネットワークを経由して通信可能となる。具体的には、たとえば、故障診断装置がバス4A、4Bのネットワークを経由して、各ローカルECU2と通信し、ローカルECU2から車載機器の故障診断情報を取得することができる。OBDIIポート5は、本発明の「通信ポート」の一例である。
図2は、車載通信システム101のリプログラミング時の構成図である。図2に示すリプロ装置50は、各ローカルECU2のソフトウェアプログラムを書き換えるリプログラミングを実行するための正規の装置である。リプロ装置50をOBDIIポート5に接続することにより、リプロ装置50とローカルECU2とが、OBDIIポート5とバス4A、4Bのネットワークを経由して通信可能となる。
リプロ装置50は、リプログラミングの要求信号とデータを、OBDIIポート5から各バス4A、4B上に送信する。以下、リプログラミングの要求信号をリプロ要求信号と表記し、リプログラミングのデータをリプロデータと表記する。
各ローカルECU2は、接続されているバス4A、4Bに送信されて来るリプロ要求信号とリプロデータとを受信する。そして、リプロ要求信号に含まれる情報に基づいて、自身がリプログラミングの対象であるか否かを判断する。自身がリプログラミングの対象であると判断したローカルECU2は、受信したリプロ要求信号とリプロデータとに基づいて、リプログラミングを実行する。
図2では、代表的に、リプロ装置50からローカルECU2(1)へのリプログラミング経路を矢印で示している。
次に、車載通信システム101のローカルECU2の構成を、図3を参照しながら説明する。
図3は、車載通信システム101のローカルECU2の構成図である。図3では、ローカルECU2(1)と、その他のローカルECU2(2)〜ECU2(7)の構成を分けて示している。
各ローカルECU2には、制御部21、記憶部22、ネットワーク用通信部23、および車載機器用インタフェイス24が備わっている。これらの構成に加えて、ローカルECU2(1)には、携帯機用通信部25が備わっている。
制御部21は、CPUとメモリなどから構成されている。制御部21は、制御対象の車載機器40の動作を制御する。各ローカルECU2が制御する車載機器40は、1つの場合もあるし、複数の場合もある。
各ローカルECU2の制御部21には、リプロ制御部21a、リプロ認証部21b、および電源検出部21dが備わっている。これらの構成に加えて、ローカルECU2(1)には、電源認証部21cとエントリ認証部21eとが備わっている。
記憶部22は、不揮発性のメモリから構成されている。記憶部22には、各バス4A、4Bのネットワークに関する情報や、記憶部22を備えたローカルECU2が動作するためのソフトウェアプログラムと情報などが、予め記憶されている。記憶部22に記憶されたソフトウェアプログラムは、制御対象の車載機器40の制御などに必要なものであって、リプロ装置50により書き換えることが可能である。制御部21は、記憶部22に対して情報を読み出したり、情報を記憶させたりする。また、制御部21は、記憶部22に記憶されたソフトウェアプログラムを、リプロ装置50から受信したリプロ要求信号とリプロデータに基づいて書き換えるリプログラミングを実行する。
記憶部22の所定の記憶領域には、車両31に対する不正行為があったことを記録するための不正検出フラグ22fが設けられている。不正検出フラグ22fは、制御部21によりセットされたり、クリアされたりする。
ネットワーク用通信部23は、バス4Aまたはバス4Bのネットワークで通信するための回路から成る。各ローカルECU2の制御部21は、ネットワーク用通信部23によりバス4A、4Bのネットワークを介して、他のローカルECU2に対して信号など(データと情報も含む)を送受信する。また、制御部21は、OBDIIポート5に接続された外部装置と、OBDIIポート5とバス4A、4Bのネットワークとを介して、ネットワーク用通信部23により信号などを送受信する。
ネットワーク用通信部23には、リプロ受信部23aが設けられている。制御部21は、図2に示したようにOBDIIポート5に接続されたリプロ装置50から、OBDIIポート5とバス4A、4Bのネットワークとを介して、リプロ受信部23aによりリプロ要求信号とリプロデータとを受信する。また、制御部21は、ネットワーク用通信部23によりバス4A、4BのネットワークとOBDIIポート5とを介して、リプロ装置50に対し信号などを送信することも可能である。
車載機器用インタフェイス24は、制御対象の車載機器40と通信するための回路から成る。ローカルECU2(1)の車載機器用インタフェイス24には、車載機器40の他に、不正行為検出センサ3と電源スイッチ41も接続されている。ローカルECU2(1)は、不正行為検出センサ3の検出結果と、電源スイッチ41の操作に応じた出力信号を、車載機器用インタフェイス24により受信する。不正行為検出センサ3と電源スイッチ41も車載機器の1つである。
ローカルECU2(1)の携帯機用通信部25は、車両31に登録された携帯機60と無線で通信するための回路から成る。携帯機60は、本発明の「電子キー」の一例である。
各ローカルECU2の制御部21において、リプロ制御部21aは、記憶部22に記憶されたソフトウェアプログラムのリプログラミングの実行を許可または禁止する。リプロ認証部21bは、リプロ受信部23aにより受信したリプロ要求信号に含まれる認証情報に基づいて認証を行う。具体的には、リプロ認証部21bは、リプロ要求信号に含まれる認証コードと、予め登録された登録コードとを照合し、両コードが一致すると、認証が成功したと判断する。また、リプロ認証部21bは、認証コードと登録コードとが一致しなければ、認証が成功しなかったと判断する。
電源検出部21dは、車両31の図示しない電源ライン上にあるリレーの動作状態に基づいて、車両31の電源のオン・オフ状態を検出する。具体的には、車両31のACC(アクセサリ)電源ライン上には、ACC用リレーが設けられ、ACC用リレーがオン・オフすることにより、ACC電源ラインが接続・切断されて、ACC電源がオン・オフする。また、車両31のIG(イグニッション)電源ライン上には、IG用リレーが設けられ、IG用リレーがオン・オフすることにより、IG電源ラインが接続・切断されて、IG電源がオン・オフする。電源検出部21dは、ACC用リレーやIG用リレーのオン・オフ状態を監視して、車両31のACC電源やIG電源のオン・オフ状態を検出する。ACC用リレーやIG用リレーのオン・オフの切り替えは、ローカルECU2(1)の制御部21が制御する。
ローカルECU2(1)の制御部21に設けられた電源認証部21cは、車両31のACC電源やIG電源をオンするための認証を行う。車両31のACC電源やIG電源は、車両31の車室内に設けられた電源スイッチ41のオン操作や、車両31に登録された携帯機60からの電源オン信号に基づいて、オフからオンに切り替わる。
たとえば、携帯機60が車両31の車室内にある状態で、車室内に設けられた電源スイッチ41がACCオン操作またはIGオン操作されたときに、ローカルECU2(1)の制御部21が携帯機用通信部25により携帯機60と通信を行う。そして、携帯機用通信部25により携帯機60から受信した信号に含まれる認証情報に基づいて、電源認証部21cが認証を行う。
このとき、電源認証部21cは、携帯機60から受信した信号に含まれる携帯機のID(認証情報)と、予め登録された登録IDとを照合し、両IDが一致すると、認証が成功したと判断する。この場合、ローカルECU2(1)の制御部21が、前述したACC用リレーやIG用リレーをオフからオンに切り替えて、車両31のACC電源やIG電源をオンする。また、電源認証部21cは、携帯機のIDと登録IDとが一致しなければ、認証が成功しなかったと判断する。この場合、前述したACC用リレーやIG用リレーはオフ状態のままとなり、車両31のACC電源やIG電源もオフ状態のままとなる。
また、たとえば、携帯機60が車両31の車室外にある状態で、携帯機60から送信された電源オン信号をローカルECU2(1)の携帯機用通信部25により受信したときにも、電源認証部21cは、該電源オン信号に含まれる携帯機60のIDと登録IDとに基づいて、上記のように認証を行う。そして、電源認証部21cによる認証結果に基づいて、上記のようにローカルECU2(1)の制御部21が、車両31のACC電源やIG電源のオン・オフ状態を制御する。
ローカルECU2(1)の制御部21に設けられたエントリ認証部21eは、使用者が車両31にエントリ(接近または接触など)したときに、携帯機60の認証を行う。具体的には、たとえば、車両31のドアが施錠された状態で、車両31に設けられた図示しないパッシブリクエストスイッチが操作されたときに、ローカルECU2(1)の制御部21が携帯機用通信部25により携帯機60と通信を行う。そして、携帯機用通信部25により携帯機60から受信した信号に含まれる認証情報に基づいて、エントリ認証部21eが認証を行う。
このとき、エントリ認証部21eは、携帯機60から受信した信号に含まれる当該携帯機のIDと、予め登録された登録IDとを照合し、両IDが一致すると、認証が成功したと判断する。この場合、ローカルECU2(1)の制御部21が、図示しないドアロック装置を制御して、車両31のドアを解錠する。また、エントリ認証部21eは、携帯機60のIDと登録IDとが一致しなければ、認証が成功しなかったと判断する。この場合、車両31のドアは施錠されたままとなる。
また、たとえば、車両31のドアが施錠された状態で、携帯機60からのリクエスト信号を携帯機用通信部25により受信したときにも、エントリ認証部21eは、リクエスト信号に含まれる携帯機60のIDと登録IDとに基づいて、上記のように携帯機60の認証を行う。そして、エントリ認証部21eによる認証結果に基づいて、上記のようにローカルECU2(1)の制御部21が、車両31のドアの施解錠を制御する。
携帯機60は、車両31の正当な使用者が携帯するので、電源認証部21cやエントリ認証部21eによる認証が成功した場合は、正当な使用者が車両31を使用しようとしていると判断できる。対して、電源認証部21cやエントリ認証部21eによる認証が成功しなかった場合は、携帯機60を携帯していない不正者が車両31を不正に使用しようとしていると判断できる。
次に、車載通信システム101の不正行為検出時の動作を、図4を参照しながら説明する。
図4は、車載通信システム101の不正行為検出時の動作を示したフローチャートである。各処理は、不正行為検出センサ3またはローカルECU2が実行する。
まず、特定のローカルECU2(1)の制御部21が、不正行為検出センサ3の出力を監視する(図4のステップS1)。たとえば、不正者が車両31に侵入しようとして、車両31に対して不正行為を行った場合、不正行為検出センサ3が車両31に対する不正行為を検出し、該検出結果を示す信号をローカルECU2(1)に出力する。この出力信号を車載機器用インタフェイス24により受信すると、特定のローカルECU2(1)の制御部21は、不正行為検出センサ3により車両31に対する不正行為が検出されたと判断する(図4のステップS2:YES)。
そして、特定のローカルECU2(1)において、制御部21が、記憶部22に不正検出フラグ22fをセットする(図4のステップS3)。また、制御部21は、不正行為が検出されたことを示す不正検出通知を、ネットワーク用通信部23によりバス4A、4Bのネットワークを介して、他のローカルECU2に送信する(図4のステップS4)。
他のローカルECU2では、バス4A、4Bのネットワークを介して、ネットワーク用通信部23により不正検出通知を受信すると(図4のステップS5)、制御部21が、記憶部22に不正検出フラグ22fをセットする(図4のステップS6)。
一方、不正者による不正行為が車両31に対して行わなければ、不正行為検出センサ3が、不正行為を検出せず、ローカルECU2(1)に対して不正行為を検出したことを示す信号を出力することはない。このため、当該出力信号を不正行為検出センサ3から受信しなければ、特定のローカルECU2(1)の制御部21は、不正行為検出センサ3により車両31に対する不正行為が検出されていないと判断する(図4のステップS2:NO)。
この場合、特定のローカルECU2(1)において、制御部21が、所定の不正行為解除条件が成立したか否かを確認する(図4のステップS7)。
不正行為解除条件としては、たとえば、不正行為検出センサ3により不正行為を検出してから、一定時間が経過したこと、電源認証部21cやエントリ認証部21eによる認証が成功したこと、またはOBDIIポート5に接続された外部装置から送信された所定の解除コマンドを受信したことなどが考えられる。これら以外の条件を、不正行為解除条件として設定してもよい。
不正行為解除条件が成立した場合(図4のステップS7:YES)、特定のローカルECU2(1)の制御部21が、記憶部22の不正検出フラグ22fをクリアする(図4のステップS8)。また、当該制御部21は、不正解除通知をネットワーク用通信部23によりバス4A、4Bのネットワークを介して、他のローカルECU2に送信する(図4のステップS9)。
他のローカルECU2では、バス4A、4Bのネットワークを介して、ネットワーク用通信部23により不正解除通知を受信すると(図4のステップS10)、制御部21が、記憶部22の不正検出フラグ22fをクリアする(図4のステップS11)。
次に、車載通信システム101のリプログラミング時の動作を、図5を参照しながら説明する。
図5は、車載通信システム101のリプログラミング時の動作を示したフローチャートである。各処理は、ローカルECU2が実行する。
たとえば、車両31の保守員などの正当な使用者が、OBDIIポート5にリプロ装置50を接続し、電源スイッチ41または携帯機60により車両31の電源(ACC電源またはIG電源)をオンする。そして、正当な使用者が、リプロ装置50により、対象のローカルECU2をリプログラミングするためのリプロ要求信号またはリプロデータを送信する。
上記のような正規の作業が行われた場合は、各ローカルECU2において、電源検出部21dが車両31の電源のオン状態を検出するので(図5のステップS21:YES)、制御部21が、リプロ受信部23aを有効化する(図5のステップS22)。これにより、リプロ装置50から送信されたリプロ要求信号とリプロデータが、OBDIIポート5とバス4A、4Bのネットワークとを介して、リプロ受信部23aにより受信されて、以降の処理で有効に使用される。
一方、不正者が不正な装置をOBDIIポート5に接続し、車両31の電源がオフ状態のまま、不正者が不正な装置により不正なリプロ要求信号またはリプロデータを送信したとする。この場合、各ローカルECU2において、電源検出部21dが車両31の電源のオフ状態を検出するので(図5のステップS21:NO)、制御部21が、リプロ受信部23aを無効化する(図5のステップS23)。これにより、不正な装置から送信された不正なリプロ要求信号とリプロデータが、OBDIIポート5とバス4A、4Bのネットワークとを介して各ローカルECU2に送信されて来ても、リプロ受信部23aにより受信が拒否される。または、不正なリプロ要求信号とリプロデータとが一旦リプロ受信部23aにより受信された後、制御部21が、これらを無効な信号およびデータとして破棄してもよい。
図5のステップS22の後、リプロ受信部23aによりリプロ要求信号が受信されると(図5のステップS24:YES)、各ローカルECU2の制御部21は、記憶部22に不正検出フラグ22fがセットされているか否かを確認する(図5のステップS25)。
記憶部22に不正検出フラグ22fがセットされている場合は(図5のステップS25:YES)、リプロ制御部21aが、リプログラミングの実行を禁止し(図5のステップS30)、制御部21が、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとを破棄する(図5のステップS31)。これにより、事前に不正行為検出センサ3により車両31に対する不正行為が検出された場合には、ローカルECU2においてリプログラミングが実行されることはない。
また、記憶部22に不正検出フラグ22fがセットされていない場合には(図5のステップS25:NO)、制御部21は、リプロ要求信号に基づいて、自身の属するローカルECU2がリプログラミング対象であるか否かを判断する(図5のステップS26)。
制御部21は、リプログラミング対象でないと判断した場合(図5のステップS26:NO)、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとを破棄する(図5のステップS31)。これにより、リプログラミング対象でないローカルECU2において、リプログラミングが実行されることはない。
対して、制御部21がリプログラミング対象であると判断した場合(図5のステップS26:YES)、リプロ認証部21bがリプロ要求信号に含まれる認証コードに基づいて認証を行う。
図5のステップS24で受信したリプロ要求信号が、正規のリプロ装置50から送信された正当な信号であれば、前述したようにリプロ認証部21bによる認証が成功する(図5のステップS27:YES)。この場合、リプロ制御部21aがリプログラミングの実行を許可し(図5のステップS28)、制御部21が、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとに基づいて、リプログラミングを実行する(図5のステップS29)。これにより、リプログラミング対象のローカルECU2において、リプログラミングが正当に実行される。
対して、図5のステップS24で受信したリプロ要求信号が、不正な装置から送信された不正な信号であれば、前述したようにリプロ認証部21bによる認証が成功しない(図5のステップS27:NO)。この場合、リプロ制御部21aが、リプログラミングの実行を禁止し(図5のステップS30)、制御部21が、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとを破棄する(図5のステップS31)。これにより、ローカルECU2において、不正なリプロ要求信号などに基づいて、リプログラミングが実行されることはない。
上述した第1実施形態によると、不正行為検出センサ3により車両31に対する不正行為が検出された場合には、ローカルECU2のリプログラミングの実行が禁止される。このため、たとえば、不正者が車両31に侵入しようとして、車両31に対して不正行為を行ったときに、該不正行為が不正行為検出センサ3により検出される。そして、不正者が不正な装置をOBDIIポート5に接続して、該不正な装置により正規のリプログラミングの要求信号やデータを真似た不正なリプログラミングの要求信号やデータを送信しても、ローカルECU2のリプログラミングの実行が禁止されている。このため、ローカルECU2において不正なリプログラミングが実行されることはなく、該不正なリプログラミングを防止することができる。
また、上述した第1実施形態では、リプロ受信部23aにより受信したリプロ要求信号に含まれる認証コードに基づいて、リプロ認証部21bが認証を行う。そして、リプロ認証部21bによる認証が成功しなかった場合に、リプロ制御部21aによりリプログラミングの実行を禁止する。また、リプロ認証部21bによる認証が成功し、かつ不正行為検出センサ3により不正行為が検出されなかった場合には、リプロ制御部21aによりリプログラミングの実行が許可される。このため、正規のリプロ装置50からOBDIIポート5と4A、4Bのネットワークを介して、正当なリプロ要求信号をローカルECU2が受信した場合にのみ、対象のローカルECU2のリプログラミングを正常に実行することができる。
また、上述した第1実施形態では、不正行為検出センサ3により不正行為が検出されると、特定のローカルECU(1)が、内部の記憶部22に不正検出フラグ22fをセットするとともに、バス4A、4Bのネットワークを介して他のローカルECU2(2)〜2(7)へ不正検出通知を送信する。他のローカルECU2(2)〜2(7)は、不正検出通知を受信すると、内部の記憶部22に不正検出フラグ22fをセットする。このため、車両31に対して不正行為が行われたことを、バス4A、4Bのネットワーク上の全てのローカルECU2が把握して、当該不正行為を記録することができる。
そして、各ローカルECU2において、リプロ受信部23aによりリプロ要求信号を受信したときに、不正検出フラグ22fがセットされていること、またはリプロ認証部21bによる認証が成功しないことを確認して、リプログラミングの実行が禁止されるので、不正なリプログラミングを防止することができる。また、各ローカルECU2において、不正検出フラグ22fがセットされていないことと、リプロ認証部21bによる認証が成功したこととを確認すると、リプログラミングの実行が許可される。そして、対象のローカルECU2において、リプロ受信部23aにより受信したリプロ要求信号およびリプロデータに基づいて、リプログラミングが実行されるので、リプログラミングを正当に行うことができる。
また、上述した第1実施形態では、各ローカルECU2において、電源スイッチ41の操作または携帯機60からの信号に基づいて、電源認証部21cにより認証を行い、該認証が成功した場合にのみ、車両31の電源がオンされる。そして、電源検出部21dにより車両31の電源のオン状態を検出しているときにのみ、リプロ受信部23aが有効化される。このため、車両31の正当な使用者が、車両31の電源を正当にオンさせた後、OBDIIポート5に接続したリプロ装置50によりリプロ要求信号とリプロデータとを送信すると、ローカルECU2において、リプロ受信部23aによりリプロ要求信号とリプロデータとが有効に受信される。そして、該リプロ要求信号とリプロデータとに基づいて、対象のローカルECU2のリプログラミングを正当に実行することができる。また、不正者により正当に車両31の電源がオンされる可能性は低いので、車両31の電源がオフの状態で、不正者がOBDIIポート5に接続した不正な装置により送信した不正なリプロ要求信号とリプロデータを、各ローカルECU2で無効化し、ローカルECU2の不正なリプログラミングを防止することができる。
また、上述した第1実施形態では、不正行為検出センサ3は、車両31の盗難のおそれがある車両31に対する不正行為を検出する。このため、各ローカルECU2において、リプロ要求信号などを受信する前に、車両31の盗難のおそれがある不正行為を不正行為検出センサ3により検出して、リプログラミングの実行を禁止し、不正なリプログラミングをより効果的に防止することができる。
さらに、上述した第1実施形態では、各ローカルECU2において、セットされた不正検出フラグ22fが、所定の解除条件の成立により自動的にクリアされる。このため、不正行為検出センサ3により不正行為が検出された後、車両31の正当な使用者がリプロ装置50により対象のローカルECU2をリプログラミングする場合に、対象のローカルECU2において、リプロ装置50からの正当なリプロ要求信号とリプロデータを受信し、該リプロ要求信号とリプロデータとに基づいて、リプログラミングを正当に実行することができる。
なお、他の例として、たとえば保守員がリプロ装置50を操作することにより、セットされた不正検出フラグ22fを手動でクリアしてもよい。
次に、第2実施形態の車載通信システム102の構成を、図6および図7を参照しながら説明する。
図6は、車載通信システム102の構成図である。車載通信システム102は、たとえば自動四輪車から成る車両32に搭載されている。車載通信システム102には、ゲートウェイECU1、複数のローカルECU2(1)〜ECU2(7)、不正行為検出センサ3、およびOBDIIポート5が備わっている。
各ローカルECU2は、図6に示すように、車両32に構築された複数のバス4A、4Bのネットワークに接続されている。また、各ローカルECU2は、第1実施形態と同様に、車載機器の動作を制御する。
バス4A、4Bのネットワークには、単一で共通のゲートウェイECU1が接続されている。ゲートウェイECU1は、各バス4A、4Bの所定の接続ノードに接続されている。ゲートウェイECU1は、ローカルECU2間の通信を管理する。ゲートウェイECU1による通信の管理は、同一ネットワーク内に限らず、異なるネットワーク間でも行われる。
ゲートウェイECU1は、バス4A、4Bのネットワークを介して、各ローカルECU2と通信を行い、各ローカルECU2に対して情報を送受信する。同一ネットワークにそれぞれ接続されたローカルECU2間の通信時に、いずれかのローカルECU2から送信された情報が、直接他のローカルECU2で受信される場合と、ゲートウェイECU1を経由して、他のローカルECU2で受信される場合とがある。異なるネットワークにそれぞれ接続されたローカルECU2間の通信時には、いずれかのローカルECU2から送信された情報が、ゲートウェイECU1を経由して、他のローカルECU2で受信される。つまり、ローカルECU2間の通信は、直接またはゲートウェイECU1を介して可能になっている。
ゲートウェイECU1を介したローカルECU2間の通信時に、ゲートウェイECU1は、いずれかのローカルECU2から受信した情報をフィルタリング処理して、該情報を他のローカルECU2に対して転送したり、または該情報を除外(非送信および破棄)したりする。
同一のネットワークに接続された複数のローカルECU2の通信プロトコルは同一であるが、異なるネットワークに接続された複数のローカルECU2の通信プロトコルは、同一である場合と、異なっている場合とがある。異なるネットワークに接続された複数のローカルECU2の通信プロトコルが異なっている場合は、該ローカルECU2間の通信時に、ゲートウェイECU1により通信プロトコルが変換処理される。
上記のようなゲートウェイECU1によるフィルタリング処理および/または通信プロトコル変換処理は、まとめてゲートウェイ処理と呼ばれている。ゲートウェイECU1は、本発明の「通信管理装置」の一例である。
不正行為検出センサ3は、第1実施形態と同様に、特定のローカルECU2(1)に接続されている。OBDIIポート5は、バス4A、4Bのネットワークではなく、ゲートウェイECU1に接続されている。
図7は、車載通信システム102のリプログラミング時の構成図である。リプロ装置50をOBDIIポート5に接続することにより、リプロ装置50とゲートウェイECU1とが、OBDIIポート5を経由して通信可能となる。また、リプロ装置50とローカルECU2とが、OBDIIポート5、ゲートウェイECU1、およびバス4A、4Bのネットワークを経由して通信可能となる。
リプロ装置50は、リプロ要求信号とリプロデータを、OBDIIポート5を介してゲートウェイECU1に送信する。ゲートウェイECU1は、リプロ要求信号とリプロデータを受信すると、これらをバス4A、4Bのネットワークを介して各ローカルECU2に転送する。このとき、ゲートウェイECU1において、リプロ要求信号とリプロデータとに対してゲートウェイ処理を行ってもよい。
各ローカルECU2は、バス4A、4Bのネットワークを介してリプロ要求信号とリプロデータとを受信する。そして、リプロ要求信号に含まれる情報に基づいて、自身がリプログラミングの対象であるか否かを判断する。自身がリプログラミングの対象であると判断したローカルECU2は、受信したリプロ要求信号とリプロデータとに基づいて、リプログラミングを実行する。
図7では、代表的に、リプロ装置50からローカルECU2(5)へのリプログラミング経路を矢印で示している。
次に、車載通信システム102のゲートウェイECU1とローカルECU2の構成を、図8を参照しながら説明する。
図8は、車載通信システム102のゲートウェイECU1とローカルECU2の構成図である。なお、図8では、ローカルECU2(2)〜2(6)の図示を省略しているが、ローカルECU2(2)〜2(6)の構成は、ローカルECU2(7)の構成と同様である。
ゲートウェイECU1には、制御部11、記憶部12、ネットワーク用通信部13、およびOBDIIインタフェイス14が備わっている。
制御部11は、CPUとメモリなどから構成されている。制御部11には、ゲートウェイ部11aと電源検出部11dが備わっている。
記憶部12は、不揮発性のメモリから構成されている。記憶部12には、各バス4A、4Bのネットワークに関する情報や、各バス4A、4Bのネットワーク接続された各ローカルECU2のID(識別情報)、およびゲートウェイECU1のIDなどが、予め記憶されている。制御部11は、記憶部12に対して情報を読み出したり、情報を記憶させたりする。
記憶部12の所定の記憶領域には、車両32に対する不正行為があったことを記録するための不正検出フラグ12fが設けられている。不正検出フラグ12fは、制御部11によりセットされたり、クリアされたりする。
ネットワーク用通信部13は、バス4Aまたはバス4Bのネットワークで通信するための回路から成る。制御部11は、ネットワーク用通信部13によりバス4A、4Bのネットワークを介して、各ローカルECU2に対して信号など(データと情報も含む)を送受信する。また、制御部11は、ネットワーク用通信部13によりバス4A、4Bのネットワークを介して、いずれかのローカルECU2から受信した信号などを、他のローカルECU2へ転送する。
制御部11のゲートウェイ部11aは、ゲートウェイECU1を経由したローカルECU2間の通信時に、ネットワーク用通信部13によりいずれかのローカルECU2から受信した信号などに対してゲートウェイ処理を行う。
詳しくは、ゲートウェイ部11aは、ネットワーク用通信部13によりいずれかのローカルECU2から受信した信号などをフィルタリング処理して、該信号などを他のローカルECU2に送信するか否かを判断する。そして、ゲートウェイ部11aは、いずれかのローカルECU2から受信した信号などを送信すると判断した場合、該信号などをネットワーク用通信部13により他のローカルECU2に送信する(転送処理)。また、ゲートウェイ部11aは、いずれかのローカルECU2から受信した情報を送信しないと判断した場合、該情報を他のローカルECU2に送信せずに、破棄する(除外処理)。
また、通信プロトコルが異なるローカルECU2間の通信時に、ゲートウェイ部11aは、ネットワーク用通信部13によりいずれかのローカルECU2から受信した信号などの通信プロトコルを、他のローカルECU2が受信可能な通信プロトコルに変換する(通信プロトコル変換処理)。
OBDIIインタフェイス14は、OBDIIポート5を介して、外部装置と通信するための回路から成る。OBDIIインタフェイス14には、リプロ受信部14aが設けられている。
制御部11は、OBDIIポート5に接続されたリプロ装置50から、OBDIIポート5を介して、リプロ受信部14aによりリプロ要求信号とリプロデータとを受信する。また、制御部11は、OBDIIポート5に接続されたリプロ装置50に対して、OBDIIポート5を介して、OBDIIインタフェイス14により信号などを送信することも可能である。
さらに、制御部11は、リプロ受信部14aにより受信したリプロ要求信号とリプロデータとを、ネットワーク用通信部13によりバス4A、4Bのネットワークを介して、ローカルECU2へ転送する。この際、ゲートウェイ部11aが、リプロ受信部14aにより受信したリプロ要求信号とリプロデータとに対してゲートウェイ処理を行ってもよい。
制御部11の電源検出部11dは、車両32の図示しない電源ライン上にあるリレーの動作状態に基づいて、車両32の電源のオン・オフ状態を検出する。または、いずれかのローカルECU2の電源検出部21dの検出結果を、該ローカルECU2からバス4A、4Bのネットワークを介して、ネットワーク用通信部13により受信することにより、電源検出部11dが車両32の電源のオン・オフ状態を検出してもよい。
図8のローカルECU2の構成は、記憶部22に不正検出フラグが設けられていないこと以外は、第1実施形態の構成(図3)と同様である。このため、たとえば、車両32の電源は、電源スイッチ41のオン操作または携帯機60からの電源オン信号に応じて、ローカルECU2(1)の電源認証部21cが携帯機60のIDの認証に成功した場合に、オフからオンに切り替わる。
次に、車載通信システム102の不正行為検出時の動作を、図9を参照しながら説明する。
図9は、車載通信システム102の不正行為検出時の動作を示したフローチャートである。各処理は、不正行為検出センサ3、ゲートウェイECU1、または特定のローカルECU2(1)が実行する。
まず、特定のローカルECU2(1)において、制御部21が不正行為検出センサ3の出力を監視する(図9のステップS1)。不正行為検出センサ3は、車両32に対する不正行為を検出すると、該検出結果を示す信号をローカルECU2(1)に出力する。当該出力信号がローカルECU2(1)の車載機器用インタフェイス24により受信されると、制御部21が、不正行為検出センサ3により車両32に対する不正行為が検出されたと判断する(図9のステップS2:YES)。
そして、特定のローカルECU2(1)の制御部21は、不正行為が検出されたことを示す不正検出通知を、ネットワーク用通信部23によりバス4A、4Bのネットワークを介して、ゲートウェイECU1に送信する(図9のステップS4a)。
ゲートウェイECU1では、バス4A、4Bのネットワークを介して、ネットワーク用通信部13により不正検出通知を受信すると(図9のステップS5a)、制御部11が、記憶部12に不正検出フラグ12fをセットする(図9のステップS6a)。
一方、特定のローカルECU2(1)において、制御部21が、不正行為検出センサ3により車両31に対する不正行為が検出されていないと判断すると(図9のステップS2:NO)、次に制御部21は、所定の不正行為解除条件が成立したか否かを確認する(図9のステップS7)。
そして、不正行為解除条件が成立した場合(図9のステップS7:YES)、特定のローカルECU2(1)の制御部21は、ネットワーク用通信部23によりバス4A、4Bのネットワークを介して、不正解除通知をゲートウェイECU1に送信する(図9のステップS9a)。
ゲートウェイECU1では、バス4A、4Bのネットワークを介して、ネットワーク用通信部13により不正解除通知を受信すると(図9のステップS10a)、制御部11が、記憶部12の不正検出フラグ12fをクリアする(図9のステップS11a)。
次に、車載通信システム102のリプログラミング時の動作を、図10を参照しながら説明する。
図10は、車載通信システム102のリプログラミング時の動作を示したフローチャートである。各処理は、ゲートウェイECU1またはローカルECU2が実行する。
ゲートウェイECU1において、電源検出部11dが車両32の電源のオン状態を検出した場合は(図10のステップS21a:YES)、制御部11が、リプロ受信部14aを有効化する(図10のステップS22a)。また、電源検出部11dが車両32の電源のオフ状態を検出した場合は(図10のステップS21a:NO)、制御部11が、リプロ受信部14aを無効化する(図10のステップS23a)。
図10のステップS22aの後、ゲートウェイECU1において、リプロ受信部14aによりリプロ要求信号が受信されると(図10のステップS24a:YES)、制御部11は、記憶部12に不正検出フラグ12fがセットされているか否かを確認する(図10のステップS25a)。
記憶部12に不正検出フラグ12fがセットされている場合には(図10のステップS25a:YES)、制御部11が、リプロ受信部14aにより受信したリプロ要求信号とリプロデータとを、ローカルECU2に転送せずに破棄する(図10のステップS32)。これにより、事前に不正行為検出センサ3により車両32に対する不正行為が検出された場合には、ローカルECU2においてリプログラミングが実行されることはない。
また、記憶部12に不正検出フラグ12fがセットされていない場合には(図10のステップS25a:NO)、制御部11は、リプロ受信部14aにより受信したリプロ要求信号とリプロデータとを、ネットワーク用通信部13によりバス4A、4Bのネットワークを介して、各ローカルECU2に転送する(図10のステップS25b)。
各ローカルECU2では、バス4A、4Bのネットワークを介して、ネットワーク用通信部23のリプロ受信部23aによりリプロ要求信号を受信する(図10のステップS25c)。すると、制御部21が、リプロ要求信号に基づいて、自身の属するローカルECU2がリプログラミング対象であるか否かを判断する(図10のステップS26)。
制御部21は、リプログラミング対象でないと判断した場合(図10のステップS26:NO)、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとを破棄する(図10のステップS31)。また、制御部21がリプログラミング対象であると判断した場合(図10のステップS26:YES)、リプロ認証部21bがリプロ要求信号に含まれる認証コードに基づいて認証を行う。
リプロ認証部21bによる認証が成功した場合(図10のステップS27:YES)、リプロ制御部21aがリプログラミングの実行を許可する(図10のステップS28)。そして、制御部21が、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとに基づいて、リプログラミングを実行する(図10のステップS29)。
対して、リプロ認証部21bによる認証が成功しなかった場合(図10のステップS27:NO)。リプロ制御部21aが、リプログラミングの実行を禁止する(図10のステップS30)。そして、制御部21が、リプロ受信部23aにより受信したリプロ要求信号とリプロデータとを破棄する(図10のステップS31)。これにより、ローカルECU2において、不正なリプロ要求信号などに基づいて、リプログラミングが実行されることはない。
上述した第2実施形態によると、不正行為検出センサ3により車両32に対する不正行為が検出された場合に、ゲートウェイECU1がリプロ受信部14aにより受信したリプロ要求信号とリプロデータを破棄するので、ローカルECU2のリプログラミングが実行されなくなる。このため、たとえば、不正者が車両32に侵入しようとして、車両32に対して不正行為を行ったときに、該不正行為が不正行為検出センサ3により検出される。そして、不正者が不正な装置をOBDIIポート5に接続して、該不正な装置により不正なリプログラミングの要求信号やデータを送信しても、ローカルECU2のリプログラミングが実行されないので、ローカルECU2の不正なリプログラミングを防止することができる。
また、上述した第2実施形態では、不正行為検出センサ3により不正行為が検出されると、特定のローカルECU(1)が、バス4A、4Bのネットワークを介してゲートウェイECU1へ不正検出通知を送信する。ゲートウェイECU1は、不正検出通知を受信すると、内部の記憶部12に不正検出フラグ12fをセットする。このため、車両32に対して不正行為が行われたことを、ゲートウェイECU1が把握して、当該不正行為を記録することができる。
また、ゲートウェイECU1において、リプロ要求信号を受信したときに、不正検出フラグ12fがセットされていれば、リプロ受信部14aにより受信したリプロ要求信号とリプロデータとを破棄するので、ローカルECU2の不正なリプログラミングを防止することができる。対して、不正検出フラグ12fがセットされていなければ、リプロ受信部14aにより受信したリプロ要求信号とリプロデータとを、バス4A、4Bのネットワークを介してローカルECU2に転送することができる。
そして、ローカルECU2において、ゲートウェイECU1からリプロ要求信号を受信したときに、リプロ認証部21bによる認証が成功しなければ、リプロ制御部21aによりリプログラミングの実行を禁止するので、不正なリプロ要求信号に基づく、不正なリプログラミングを防止することができる。また、リプロ認証部21bによる認証が成功すれば、リプロ制御部21aによりリプログラミングの実行が許可される。そして、対象のローカルECU2において、ゲートウェイECU1から転送されたリプロ要求信号およびリプロデータに基づいて、リプログラミングが実行されるので、リプログラミングを正当に行うことができる。
また、上述した第2実施形態では、ローカルECU2(1)の電源認証部21cにより携帯機60のIDの認証が成功した場合にのみ、車両32の電源がオンされる。そして、ゲートウェイECU1において、電源検出部11dにより車両32の電源のオン状態を検出しているときにのみ、リプロ受信部14aが有効化される。このため、たとえば、不正者により正当に車両32の電源がオンされる可能性は低いので、車両32の電源がオフの状態で、不正者がOBDIIポート5に接続した不正な装置により送信した不正なリプロ要求信号とリプロデータを、ゲートウェイECU1で無効化し、ローカルECU2の不正なリプログラミングを防止することができる。
次に、第3実施形態の車載通信システム103の構成を、図11および図12を参照しながら説明する。
図11は、車載通信システム103の構成図である。車載通信システム103は、たとえば自動二輪車から成る車両33に搭載されている。車載通信システム103には、複数のローカルECU2(11)〜ECU2(15)、不正行為検出センサ3、および複数の外部通信ポート7が備わっている。以下では、ローカルECU2(11)〜ECU2(15)を、まとめてローカルECU2と表記する。
各ローカルECU2は、車両33に構築されたバス4Cのネットワークに接続されている。詳しくは、バス4Cのネットワークに設けられた各所定の接続ノードに、ローカルECU2がそれぞれ接続されている。
各ローカルECU2は、車両33の各部を制御する。詳しくは、ローカルECU2(12)〜ECU2(15)は、車両33に搭載されたナビゲーション装置、ブレーキ、変速機、エンジンなどの制御対象の車載機器ごとに割り当てられており、該車載機器の動作を制御する。
ローカルECU2(11)は、車両33に搭載されたエントリシステムを構成する装置の動作を制御する。ローカルECU2(11)は、たとえば、車両33の電源状態やセキュリティ状態を監視し、車両33に登録された携帯機60(図13)と無線で通信する。ローカルECU2(11)には、不正行為検出センサ3が接続されている。
各ローカルECU2には、外部通信ポート7がそれぞれ設けられている。外部通信ポート7は、外部との通信口であって、コネクタなどから構成されている。外部通信ポート7には、図示しない故障診断装置や図12に示すリプロ装置50などの外部装置が、コネクタやケーブルを介して接続される。外部通信ポート7に外部装置を接続することにより、外部装置とローカルECU2とが外部通信ポート7を介して通信可能となる。
ローカルECU2は、本発明の「車両制御装置」の一例である。また、ローカルECU2(11)は、本発明の「特定の車両制御装置」の一例である。外部通信ポート7は、本発明の「通信ポート」の一例である。
図12は、車載通信システム103のリプログラミング時の構成図である。いずれかの外部通信ポート7にリプロ装置50を接続することにより、該外部通信ポート7が設けられたローカルECU2とリプロ装置50とが、電気的に接続された状態となり、外部通信ポート7を介して通信可能となる。
リプロ装置50は、リプロ要求信号とリプロデータを、外部通信ポート7を介して、接続先のローカルECU2へ送信する。リプロ装置50からリプロ要求信号とリプロデータとを受信したローカルECU2は、該リプロ要求信号とリプロデータとに基づいて、リプログラミングを実行する。
図12では、リプロ装置50から各ローカルECU2に対するリプログラミング経路を、それぞれ矢印で示している。なお、図12では、リプロ装置50をローカルECU2に対応させて複数台示しているが、リプロ装置50の台数は、1台でもよいし2台以上でもよい。但し、リプロ装置50を複数台設けた場合は、2つ以上のローカルECU2のリプログラミングを同時に実行することができる。
次に、車載通信システム103のローカルECU2の構成を、図13を参照しながら説明する。
図13は、車載通信システム103のローカルECU2の構成図である。図13では、ローカルECU2(11)と、その他のローカルECU2(12)〜ECU2(15)の構成を分けて示している。
各ローカルECU2には、制御部21、記憶部22、ネットワーク用通信部23、車載機器用インタフェイス24、および外部インタフェイス27が備わっている。これらの構成に加えて、ローカルECU2(11)には、携帯機用通信部25が備わっている。
各ローカルECU2の制御部21には、リプロ制御部21a、リプロ認証部21b、および電源検出部21dが備わっている。これらの構成に加えて、ローカルECU2(11)には、電源認証部21cとエントリ認証部21eとが備わっている。
記憶部22には、バス4Cのネットワークに関する情報や、記憶部22を備えたローカルECU2が動作するためのソフトウェアプログラムと情報などが、予め記憶されている。記憶部22に記憶されたソフトウェアプログラムは、制御対象の車載機器40の制御などに必要なものであって、リプロ装置50により書き換えることが可能である。記憶部22の所定の記憶領域には、不正検出フラグ22fが設けられている。
ネットワーク用通信部23は、バス4Cのネットワークで通信するための回路から成る。各ローカルECU2の制御部21は、ネットワーク用通信部23によりバス4Cのネットワークを介して、他のローカルECU2に対して信号などを送受信する。
車載機器用インタフェイス24は、制御対象の車載機器40と通信するための回路から成る。ローカルECU2(11)の車載機器用インタフェイス24には、車載機器40の他に、不正行為検出センサ3と電源スイッチ41も接続されている。ローカルECU2(11)は、不正行為検出センサ3の検出結果と、電源スイッチ41の操作に応じた出力信号を、車載機器用インタフェイス24により受信する。
外部インタフェイス27は、リプロ装置50などの外部装置と通信するための回路から成る。外部インタフェイス27には、外部通信ポート7とリプロ受信部27aとが設けられている。制御部21は、図12に示したように外部通信ポート7に接続されたリプロ装置50から、外部通信ポート7を介して、リプロ受信部27aによりリプロ要求信号とリプロデータとを受信する。また、制御部21は、ネットワーク用通信部23により外部通信ポート7を介して、リプロ装置50に対し信号などを送信することも可能である。
ローカルECU2(11)の携帯機用通信部25は、車両33に登録された携帯機60と無線で通信するための回路から成る。
各ローカルECU2の制御部21において、リプロ制御部21aは、記憶部22に記憶されたソフトウェアプログラムのリプログラミングの実行を許可または禁止する。リプロ認証部21bは、リプロ受信部27aにより受信したリプロ要求信号に含まれる認証コードに基づいて認証を行う。電源検出部21dは、車両33の図示しない電源ライン上にあるリレーの動作状態に基づいて、車両33の電源のオン・オフ状態を検出する。車両33の電源のオン・オフの切り替えは、ローカルECU2(11)の制御部21が制御する。
ローカルECU2(11)の制御部21に設けられた電源認証部21cは、車両33の電源をオンするための認証を行う。電源スイッチ41のオン操作または携帯機60からの電源オン信号に応じて、電源認証部21cが認証を行い、該認証が成功すると、車両33の電源がオフからオンに切り替わる。
ローカルECU2(11)の制御部21に設けられたエントリ認証部21eは、使用者が車両33にエントリ(接近または接触)したときに、携帯機60の認証を行う。具体的には、ローカルECU2(11)の制御部21が携帯機用通信部25により携帯機60と通信を行って、携帯機用通信部25により携帯機60から受信した信号に含まれる認証情報(ID)に基づいて、エントリ認証部21eが認証を行う。エントリ認証部21eによる認証が成功すると、たとえば車両33の照明類が点灯したり、エンジンが始動したりする。
携帯機60は、車両33の正当な使用者が携帯するので、電源認証部21cやエントリ認証部21eによる認証が成功した場合は、正当な使用者が車両33を使用しようとしていると判断できる。対して、電源認証部21cやエントリ認証部21eによる認証が成功しなかった場合は、携帯機60を携帯していない不正者が車両33を不正に使用しようとしていると判断できる。
次に、車載通信システム103の動作を説明する。
車載通信システム103の不正行為検出時の動作は、図4に示した第1実施形態の動作と同様である。
すなわち、不正行為検出センサ3により車両33に対する不正行為が検出されると、特定のローカルECU2(11)が、記憶部22に不正検出フラグ22fをセットし、不正検出通知をネットワーク用通信部23により他のローカルECU2に送信する。他のローカルECU2は、ネットワーク用通信部23により不正検出通知を受信すると、記憶部22に不正検出フラグ22fをセットする。
対して、不正行為検出センサ3により車両33に対する不正行為が検出されなければ、特定のローカルECU2(11)が、不正行為解除条件の成否を確認する。そして、不正行為解除条件が成立していれば、不正検出フラグ22fをクリアし、不正解除通知をネットワーク用通信部23により他のローカルECU2に送信する。他のローカルECU2は、ネットワーク用通信部23により不正解除通知を受信すると、不正検出フラグ22fをクリアする。
車載通信システム103のリプログラミング時の動作は、図5に示した第1実施形態の動作と同様である。
すなわち、各ローカルECU2において、電源検出部21dが車両33の電源のオン状態を検出しているときは、リプロ受信部27aが有効化される。対して、電源検出部21dが車両33の電源のオフ状態を検出しているときは、リプロ受信部27aが無効化される。
有効化されているリプロ受信部27aによりリプロ要求信号が受信されたときに、記憶部22に不正検出フラグ22fがセットされていれば、リプロ制御部21aによりプログラミングの実行が禁止され、リプロ受信部27aにより受信したリプロ要求信号とリプロデータとが破棄される。対して、不正検出フラグ22fがセットされていなければ、リプロ要求信号に基づいて、リプログラミング対象のローカルECU2であるか否かが判断される。このとき、リプログラミング対象でないと判断したローカルECU2においては、リプロ受信部27aにより受信されたリプロ要求信号とリプロデータとが破棄される。
対して、リプログラミング対象であると判断したローカルECU2においては、リプロ要求信号に基づいてリプロ認証部21bにより認証が行われる。このリプロ認証部21bによる認証が成功すると、リプロ制御部21aによりリプログラミングの実行が許可される。このため、リプログラミング対象のローカルECU2において、リプロ受信部27aにより受信されたリプロ要求信号とリプロデータとに基づいて、リプログラミングが実行される。
一方、リプログラミング対象のローカルECU2において、リプロ認証部21bによる認証が成功しなければ、リプロ制御部21aによりリプログラミングの実行が禁止される。そして、リプロ受信部27aにより受信されたリプロ要求信号とリプロデータとが破棄される。
上述した第3実施形態によると、不正者が車両33に対して不正行為を行ったときに、該不正行為が不正行為検出センサ3により検出されて、ローカルECU2のリプログラミングの実行が禁止される。このため、その後、不正者が不正な装置を外部通信ポート7に接続して、該不正な装置により不正なリプログラミングの要求信号やデータを送信しても、ローカルECU2においてリプログラミングが実行されることはなく、該不正なリプログラミングを防止することができる。
また、上述した第3実施形態では、不正行為検出センサ3により不正行為が検出されると、特定のローカルECU(11)が、記憶部22に不正検出フラグ22fをセットするとともに、バス4Cのネットワークを介して他のローカルECU2(12)〜2(15)へ不正検出通知を送信する。他のローカルECU2(12)〜2(15)は、不正検出通知を受信すると、記憶部22に不正検出フラグ22fをセットする。このため、車両33に対して不正行為が行われたことを、バス4Cのネットワーク上の全てのローカルECU2が把握して、当該不正行為を記録することができる。
そして、各ローカルECU2において、リプロ受信部27aによりリプロ要求信号を受信したときに、不正検出フラグ22fがセットされていれば、またはリプロ認証部21bによる認証が成功しなければ、リプログラミングの実行が禁止され、不正なリプログラミングを防止することができる。また、不正検出フラグ22fがセットされておらず、リプロ認証部21bによる認証が成功した場合には、リプログラミングの実行が許可され、対象のローカルECU2において、リプロ受信部27aにより受信したリプロ要求信号およびリプロデータに基づいて、リプログラミングを正当に実行することができる。
本発明は、上述した以外にも種々の実施形態を採用することができる。たとえば、以上の実施形態では、傾斜センサから成る不正行為検出センサ3を、不正行為検出部として用いた例を示したが、本発明はこれのみに限定されるものではない。これ以外に、たとえば、車両のドアやハンドルのロックが無理やり解除されたことを検出可能なドアロック装置やハンドルロック装置や警報装置や他のセンサなどを、不正行為検出部として用いてもよい。また、たとえば、携帯機60を認証できない不正なエントリを検出可能な通信回路などを、不正行為検出部として用いてもよい。つまり、不正行為検出部は、車両に対する不正者の不正行為を検出可能な装置、回路、センサなどであればよい。
また、以上の実施形態では、不正検出センサ3を特定のローカルECU2に接続した例を示したが、本発明はこれのみに限定されるものではない。不正検出センサ3のような不正検出部は、複数のローカルECU2に接続してもよいし、ゲートウェイECU1に接続してもよいし、ネットワーク上の既存のドメインに接続してもよい。
また、以上の実施形態では、リプロ制御部21aやリプロ認証部21bをローカルECU2に設けた例を示したが、本発明はこれのみに限定されるものではない。リプロ制御部やリプロ認証部は、ゲートウェイECU1に設けてもよい。この場合、ゲートウェイECU1から各ローカルECU2に、リプロ制御部の制御データ(リプログラミングの禁止や許可の指令)やリプロ認証部の認証結果を送信すればよい。
また、図5や図10に示した実施形態では、不正検出フラグの有無を確認してから、リプログラミング対象の判断を行い、この後リプロ要求信号に基づく認証を行った例を示したが、本発明はこれのみに限定されるものではない。不正検出フラグ有無の確認、リプログラミング対象の判断、およびリプロ要求信号に基づく認証の各処理の実行順は、適宜設定すればよい。
また、第1実施形態では、リプロ装置50が、バス4A、4Bのネットワークに接続された全ローカルECU2が受信可能なように、リプロ要求信号とリプロデータとを送信した例を示した。また、第2実施形態では、ゲートウェイECU1が、バス4A、4Bのネットワークに接続された全ローカルECU2が受信可能なように、リプロ要求信号とリプロデータとを転送した例を示した。然るに、本発明はこれらのみに限定されるものではない。たとえば、送信元のリプロ装置やゲートウェイECUが送信するリプロ要求信号やリプロデータに、送信先(宛先)のローカルECUまたはネットワークを示すデータ(IDやポートやバスなどの識別情報)を含めてもよい。そして、リプロ要求信号やリプロデータを受信したローカルECUが、それらに含まれる送信先のデータに基づいて、自身宛のリプロ要求信号やリプロデータであるか否かを判断してもよい。また、リプロ要求信号やリプロデータを受信したゲートウェイECUが、リプロ要求信号やリプロデータに送信先のデータに基づいて、送信先のローカルECUまたはネットワークだけに情報を転送してもよい。
また、以上の実施形態では、車両制御装置としてローカルECU2を用い、通信管理装置としてゲートウェイECU1を用いた例を示したが、本発明はこれのみに限定されるものではない。その他の通信可能な装置を通信管理装置や車両制御装置として用いてもよい。
さらに、以上の実施形態では、自動四輪車または自動二輪車から成る車両31〜33に搭載される車載通信システム101〜103に、本発明を適用した例を挙げた。然るに、たとえば大型自動車などの他の車両に搭載される車載通信システムに対しても、本発明は適用が可能である。
1 ゲートウェイECU(通信管理装置)
2、2(1)〜2(7)、2(11)〜2(15) ローカルECU(車両制御装置)
3 不正行為検出センサ(不正行為検出部)
5 OBDIIポート(通信ポート)
7 外部通信ポート(通信ポート)
11d、21d 電源検出部
12、22 記憶部
12f、22f 不正検出フラグ
14a、23a、27a リプロ受信部
21a リプロ制御部
21b リプロ認証部
31、32、33 車両
40 車載機器
41 電源スイッチ
50 リプロ装置(外部装置)
60 携帯機(電子キー)
101、102、103 車載通信システム

Claims (10)

  1. 車両のネットワークに接続されて互いに通信を行い、制御対象の車載機器を制御する複数の車両制御装置と、
    外部との通信口である通信ポートと、
    前記通信ポートに接続された外部装置からリプログラミングの要求信号とデータとを受信するリプロ受信部と、を備え、
    前記リプロ受信部により受信した前記要求信号と前記データとに基づいて、前記複数の車両制御装置のうち対象の車両制御装置のソフトウェアプログラムを書き換えるリプログラミングが実行される車載通信システムにおいて、
    前記車両に対する不正行為を検出する不正行為検出部と、
    前記不正行為検出部により前記不正行為が検出された場合に、前記リプログラミングの実行を禁止するリプロ制御部と、をさらに備えた、ことを特徴とする車載通信システム。
  2. 請求項1に記載の車載通信システムにおいて、
    前記リプロ受信部により受信した前記要求信号に含まれる認証情報に基づいて認証を行うリプロ認証部をさらに備え、
    前記リプロ認証部による認証が成功しなかった場合に、前記リプロ制御部は、前記リプログラミングの実行を禁止し、
    前記不正行為検出部により前記不正行為が検出されずに、前記リプロ認証部による認証が成功した場合に、前記リプロ制御部は、前記リプログラミングの実行を許可する、ことを特徴とする車載通信システム。
  3. 請求項2に記載の車載通信システムにおいて、
    前記通信ポートは、前記ネットワークまたは前記各車両制御装置に接続され、
    前記リプロ受信部、前記リプロ制御部、および前記リプロ認証部は、前記各車両制御装置に設けられ、
    前記不正行為検出部は、前記複数の車両制御装置のうち特定の車両制御装置に接続され、
    前記特定の車両制御装置は、前記不正行為検出部により前記不正行為が検出されると、内部の記憶部に不正検出フラグをセットするとともに、前記不正行為が検出されたことを示す不正検出通知を、前記ネットワークを介して他の前記車両制御装置に送信し、
    前記他の車両制御装置は、前記不正検出通知を受信すると、内部の記憶部に不正検出フラグをセットし、
    前記各車両制御装置は、
    前記リプロ受信部により前記要求信号を受信したときに、
    前記不正検出フラグがセットされていれば、または前記リプロ認証部による認証が成功しなければ、前記リプロ制御部により前記リプログラミングの実行を禁止し、
    前記不正検出フラグがセットされておらず、前記リプロ認証部による認証が成功すれば、前記リプロ制御部により前記リプログラミングの実行を許可し、前記リプロ受信部により受信した前記要求信号と前記データとに基づいて、前記リプログラミングを実行する、ことを特徴とする車載通信システム。
  4. 請求項2に記載の車載通信システムにおいて、
    前記ネットワークに接続されて前記各車両制御装置と通信を行い、いずれかの前記車両制御装置から受信した信号を他の前記車両制御装置へ転送し、前記車両制御装置間の通信を管理する通信管理装置をさらに備え、
    前記通信ポートは、前記通信管理装置に接続され、
    前記リプロ受信部は、前記通信管理装置と前記各車両制御装置に設けられ、
    前記リプロ制御部と前記リプロ認証部とは、前記各車両制御装置に設けられ、
    前記不正行為検出部は、前記複数の車両制御装置のうち特定の車両制御装置に接続され、
    前記特定の車両制御装置は、前記不正行為検出部により前記不正行為が検出されると、前記不正行為が検出されたことを示す不正検出通知を、前記ネットワークを介して前記通信管理装置に送信し、
    前記通信管理装置は、
    前記不正検出通知を受信すると、内部の記憶部に不正検出フラグをセットし、
    前記リプロ受信部により前記要求信号を受信したときに、
    前記不正検出フラグがセットされていれば、前記リプロ受信部により受信した前記要求信号と前記データとを破棄し、
    前記不正検出フラグがセットされていなければ、前記リプロ受信部により受信した前記要求信号と前記データとを前記ネットワークを介して前記車両制御装置に転送し、
    前記車両制御装置は、
    前記通信管理装置から前記要求信号を前記リプロ受信部により受信したときに、
    前記リプロ認証部による認証が成功しなければ、前記リプロ制御部により前記リプログラミングの実行を禁止し、
    前記リプロ認証部による認証が成功すれば、前記リプロ制御部により前記リプログラミングの実行を許可して、前記リプロ受信部により受信した前記要求信号と前記データとに基づいて、前記リプログラミングを実行する、ことを特徴とする車載通信システム。
  5. 請求項1ないし請求項4のいずれかに記載の車載通信システムにおいて、
    前記車両の電源は、前記車両に設けられた電源スイッチの操作または前記車両に登録された電子キーの信号に基づいてオフからオンに切り替わり、
    前記車両の電源のオン・オフ状態を検出する電源検出部をさらに備え、
    前記電源検出部により前記車両の電源のオフ状態が検出されているときは、前記リプロ受信部が無効化され、
    前記電源検出部により前記車両の電源のオン状態が検出されているときは、前記リプロ受信部が有効化される、ことを特徴とする車載通信システム。
  6. 請求項1ないし請求項5のいずれかに記載の車載通信システムにおいて、
    前記不正行為検出部は、前記車両の盗難のおそれがある前記車両に対する不正行為を検出する、ことを特徴とする車載通信システム。
  7. 請求項1ないし請求項6のいずれかに記載の車載通信システムにおいて、
    前記セットされた不正検出フラグは、所定の解除条件の成立により自動的にクリアされる、ことを特徴とする車載通信システム。
  8. 車両のネットワークに複数接続されて互いに通信を行い、制御対象の車載機器を制御する車両制御装置であって、
    外部との通信口である通信ポートに接続された外部装置から、リプログラミングの要求信号とデータとを受信するリプロ受信部を備え、
    前記リプロ受信部により受信した前記要求信号と前記データとに基づいて、自身のソフトウェアプログラムを書き換えるリプログラミングを実行する車両制御装置において、
    前記車両に設けられた不正行為検出部により前記車両に対する不正行為が検出された場合に、前記リプログラミングの実行を禁止するリプロ制御部をさらに備えた、ことを特徴とする車両制御装置。
  9. 請求項8に記載の車両制御装置において、
    前記リプロ受信部により受信した前記要求信号に含まれる認証情報に基づいて認証を行うリプロ認証部をさらに備え、
    前記不正行為検出部は、複数の車両制御装置のうち特定の車両制御装置に接続され、
    前記特定の車両制御装置は、前記不正行為検出部により前記不正行為が検出されると、内部の記憶部に不正検出フラグをセットするとともに、前記不正行為が検出されたことを示す不正検出通知を、前記ネットワークを介して他の車両制御装置に送信し、
    前記他の車両制御装置は、前記不正検出通知を受信すると、内部の記憶部に不正検出フラグをセットし、
    前記各車両制御装置は、
    前記リプロ受信部により前記要求信号を受信したときに、
    前記不正検出フラグがセットされていれば、または前記リプロ認証部による認証が成功しなければ、前記リプロ制御部により前記リプログラミングの実行を禁止し、
    前記不正検出フラグがセットされておらず、前記リプロ認証部による認証が成功すれば、前記リプロ制御部により前記リプログラミングの実行を許可して、前記リプロ受信部により受信した前記要求信号と前記データとに基づいて、前記リプログラミングを実行する、ことを特徴とする車両制御装置。
  10. 車両のネットワークに接続されて、該ネットワークに複数接続された車両制御装置と通信を行い、いずれかの前記車両制御装置から受信した信号を他の前記車両制御装置へ転送し、前記車両制御装置間の通信を管理する通信管理装置であって、
    外部との通信口である通信ポートに接続された外部装置から、前記車両制御装置のソフトウェアプログラムを書き換えるリプログラミングを実行するための要求信号とデータとを受信するリプロ受信部を備え、
    前記リプロ受信部により受信した前記要求信号と前記データとを前記車両制御装置へ転送する通信管理装置において、
    前記車両に設けられた不正行為検出部により前記車両に対する不正行為が検出された場合に、前記リプログラミングの実行を禁止するために、前記リプロ受信部により受信した前記要求信号と前記データとを、前記車両制御装置へ転送せずに破棄する、ことを特徴とする通信管理装置。
JP2017070082A 2017-03-31 2017-03-31 車載通信システム、車両制御装置、通信管理装置 Abandoned JP2018173721A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017070082A JP2018173721A (ja) 2017-03-31 2017-03-31 車載通信システム、車両制御装置、通信管理装置
US15/912,462 US10214182B2 (en) 2017-03-31 2018-03-05 In-vehicle communication system, vehicle control device, and communication management device
DE102018203966.6A DE102018203966A1 (de) 2017-03-31 2018-03-15 Fahrzeugbordkommunikationssystem, Fahrzeugsteuergerät und Kommunikationsmanagementgerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017070082A JP2018173721A (ja) 2017-03-31 2017-03-31 車載通信システム、車両制御装置、通信管理装置

Publications (1)

Publication Number Publication Date
JP2018173721A true JP2018173721A (ja) 2018-11-08

Family

ID=63524703

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017070082A Abandoned JP2018173721A (ja) 2017-03-31 2017-03-31 車載通信システム、車両制御装置、通信管理装置

Country Status (3)

Country Link
US (1) US10214182B2 (ja)
JP (1) JP2018173721A (ja)
DE (1) DE102018203966A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021100723A1 (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
WO2022220024A1 (ja) * 2021-04-14 2022-10-20 株式会社デンソー 車両用電子制御装置、書換えプログラム及びデータ構造

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP6852604B2 (ja) * 2017-07-12 2021-03-31 住友電気工業株式会社 車載装置、管理方法および管理プログラム
JP6907803B2 (ja) * 2017-08-16 2021-07-21 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム
DE102017218654A1 (de) * 2017-10-19 2019-04-25 Robert Bosch Gmbh Sicherheitssystem für ein elektronisches Gerät eines Fahrzeugs, elektronisches Gerät, Fahrzeug, Verfahren
JP7024765B2 (ja) * 2018-08-10 2022-02-24 株式会社デンソー 車両用マスタ装置、更新データの配信制御方法及び更新データの配信制御プログラム
FR3109347B1 (fr) * 2020-04-20 2022-05-06 Blockbox Dispositif antivol d’un véhicule automobile intégrant un organe de dégradation d’un port femelle

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4720781B2 (ja) 2007-05-07 2011-07-13 株式会社デンソー 車両制御装置のデータ書換システム
JP5772609B2 (ja) 2012-01-12 2015-09-02 株式会社デンソー 車両通信システム
JP5696669B2 (ja) 2012-01-12 2015-04-08 株式会社デンソー ゲートウェイ装置、及び、車両通信システム
JP2017070082A (ja) 2015-09-30 2017-04-06 株式会社小糸製作所 モータの駆動制御装置及び駆動制御方法
US10218753B2 (en) * 2016-05-27 2019-02-26 GM Global Technology Operations LLC Video activation button
US20170347002A1 (en) * 2016-05-27 2017-11-30 GM Global Technology Operations LLC Video transmission control
US10017155B1 (en) * 2017-02-21 2018-07-10 International Business Machines Corporation Cross correlation between connected vehicles and other online devices

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021100723A1 (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
JP2021079856A (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
JP7370003B2 (ja) 2019-11-20 2023-10-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
WO2022220024A1 (ja) * 2021-04-14 2022-10-20 株式会社デンソー 車両用電子制御装置、書換えプログラム及びデータ構造

Also Published As

Publication number Publication date
US10214182B2 (en) 2019-02-26
DE102018203966A1 (de) 2018-10-04
US20180281748A1 (en) 2018-10-04

Similar Documents

Publication Publication Date Title
JP2018173721A (ja) 車載通信システム、車両制御装置、通信管理装置
US11064348B2 (en) In-vehicle communication system
JP6670801B2 (ja) カーシェアリングシステム及びカーシェアリング用プログラム
JP5729337B2 (ja) 車両用認証装置、及び車両用認証システム
JP5472466B2 (ja) 車両用電子制御装置
EP1564691B1 (en) Security controller for use with a portable device and a management apparatus, and corresponding security control method
JP5772609B2 (ja) 車両通信システム
CN107067563A (zh) 车辆共享附件设备和系统
JP2018157463A (ja) 車載通信システム、通信管理装置、車両制御装置
JP4035719B2 (ja) 車両盗難防止システム及び方法
US11938898B2 (en) Vehicle control system
JP2003148019A (ja) スマートカードシステムのカード無効化装置及びその方法
JP2006164706A (ja) コネクタおよび車載用コネクタシステム
JP2013103611A (ja) 車載中継装置及び外部通信装置
JP2013107454A (ja) 車載中継装置
JP6284514B2 (ja) 車載機器制御システム、携帯機
JP2009293283A (ja) 車両の電子キーシステム
JP5164798B2 (ja) 車両認証制御装置
JP2004122990A (ja) 通信システム
JP2005231592A (ja) 車両用盗難防止装置および車両用盗難防止システム
CN111464969B (zh) 车载联网电子系统的控制方法
KR102291916B1 (ko) 과전압/과전류 제어를 통한 차량용 리모컨 불능화 장치
JP6663886B2 (ja) カーシェアリングシステム
JP2005191734A (ja) 車両通信システム及び中継装置
TWI699987B (zh) 車載聯網電子系統的控制方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191007

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20200609