JP2019066984A - Control device - Google Patents

Control device Download PDF

Info

Publication number
JP2019066984A
JP2019066984A JP2017189513A JP2017189513A JP2019066984A JP 2019066984 A JP2019066984 A JP 2019066984A JP 2017189513 A JP2017189513 A JP 2017189513A JP 2017189513 A JP2017189513 A JP 2017189513A JP 2019066984 A JP2019066984 A JP 2019066984A
Authority
JP
Japan
Prior art keywords
state information
storage area
control device
control
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017189513A
Other languages
Japanese (ja)
Other versions
JP6461272B1 (en
Inventor
松井 俊憲
Toshinori Matsui
俊憲 松井
俊樹 池頭
Toshiki Ikegashira
俊樹 池頭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2017189513A priority Critical patent/JP6461272B1/en
Application granted granted Critical
Publication of JP6461272B1 publication Critical patent/JP6461272B1/en
Publication of JP2019066984A publication Critical patent/JP2019066984A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide a control device capable of being started at high speed while securing safety by eliminating a secure boot process performed every time of the startup, under a determined condition.SOLUTION: A control device comprises: state information acquisition means 112 for acquiring state information related to control; a first storage area 120 storing control data; a second storage area 121 storing the state information; a third storage area 122 storing an expectation value generated based on data of the first storage area; verification value generation means 114 for generating a verification value based on the data of the first storage area; first determination means 115 for determining whether to perform control means 110 from the expectation value and the verification value; and second determination means 116 for determining whether to perform the first determination means on the basis of the state information. When stopping the control means, the state information is obtained and stored in the second storage area, and before starting the control means, the state information is obtained again, and the second determination means determines whether to perform the first determination means on the basis of the state information at the time of stop and the state information at the time of startup.SELECTED DRAWING: Figure 1

Description

この発明は、セキュリティに対する安全を確保しつつ、高速に起動できる制御装置に関するものである。   The present invention relates to a control device that can be activated at high speed while securing security for security.

車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数搭載されており、ECUは他のECUや車両外の通信機器と通信によって接続されるため、不正に侵入される恐れがある。不正に侵入されると、ECUのプログラムデータが改ざんされ、遠隔操作される可能性がある。   A plurality of control devices called ECUs (Electronic Control Units) are mounted on a vehicle, and since the ECUs are connected to other ECUs and communication devices outside the vehicles by communication, there is a possibility that the vehicle may be illegitimately invaded. If it is illegitimately invaded, the program data of the ECU may be falsified and remotely controlled.

ECUのデータ改ざんへの対策の一つとして、セキュアブートが知られている。セキュアブートは、暗号技術を用いて事前にデータから作成しておいた期待値と、データからその時点で作成した検証値との完全性を検証し、データの改ざんを検知する技術である。ECUの制御に関する処理が起動する前にECUが前回終了時からデータが改ざんされていないか検証することにより、制御を正常な状態で起動できるか判断することができる。   Secure boot is known as one of measures against data alteration of ECU. Secure Boot is a technology that verifies integrity of an expected value created in advance from data using cryptographic technology and a verification value created at that time from data, and detects data tampering. It is possible to determine whether the control can be started in a normal state by verifying whether the data has not been tampered with since the last time before the processing relating to the control of the ECU is started.

一方で、ECUは起動時間の制約が厳しく、セキュアブートの処理時間はECUの起動時間の制約(制御が開始するまでの要求時間)内に収めなければならない。そのため、ECUを安全に起動するためには、セキュアブート処理時間の短縮化が求められる。   On the other hand, the ECU is severely restricted in start-up time, and the processing time of the secure boot must be within the restriction of the start-up time of the ECU (the required time until control starts). Therefore, in order to start the ECU safely, shortening of the secure boot process time is required.

特許文献1では、上記の課題を解決するために、保存しておいたプログラムリストを参照して、対象のプログラムまたはデータが、検証が必要なプログラムまたはデータであるか否かを判定し、検証が必要なプログラムまたはデータである場合に、対象のプログラムまたはデータの検証を実施することで、検証範囲を最小限に留め、セキュアブート処理を高速に安全に起動することができる。   In Patent Document 1, in order to solve the above problems, it is determined whether or not a target program or data is a program or data that requires verification, with reference to a stored program list, and verification If the program or data required is the verification of the program or data in question, the scope of verification can be minimized and the secure boot process can be launched safely and quickly.

特開2017−33248号公報JP, 2017-33248, A

しかしながら、特許文献1の技術を適用すると、次のような課題がある。セキュアブートにおいて、検証範囲を最小限に留めたところで、起動の度にセキュアブート処理が実施されるため、処理時間がかかり、セキュアブートを実施しない場合に比べて処理時間が増加してしまう。   However, when the technology of Patent Document 1 is applied, there are the following problems. In the secure boot, when the verification range is minimized, the secure boot process is performed each time the boot is performed, so the processing time is increased, and the processing time is increased compared to the case where the secure boot is not performed.

この発明は、上記のような課題を解決するためになされたものであり、決められた条件下では、起動の度に実施するセキュアブート処理を無くすことで、セキュアブート処理が実施されない通常起動時間に近いECUの起動時間にした制御装置を得ることを目的とするものである。   The present invention has been made to solve the above problems, and under the determined conditions, the normal boot time in which the secure boot process is not performed by eliminating the secure boot process performed each time the boot is performed. It is an object of the present invention to obtain a control device with an ECU start time close to

この発明の制御装置は、制御対象を制御する制御手段と、制御手段の起動を制御する制御起動手段と、制御に関わる状態情報を入手する状態情報入手手段と、制御手段が制御に必要とするデータを格納する第一の記憶領域と、状態情報入手手段が入手した状態情報を格納する第二の記憶領域と、第一の記憶領域のデータから生成された期待値を格納する第三の記憶領域と、第一の記憶領域のデータから検証値を生成する検証値生成手段と、第三の記憶領域に格納される期待値と検証値生成手段による検証値から制御手段を実施するかを判定する第一の判定手段と、一つ以上の状態情報から第一の判定手段を実施するかを判定する第二の判定手段とを備え、制御手段を停止する際に、状態情報入手手段から状態情報を入手して第二の記憶領域に格納し、制御手段の起動前に、再び状態情報を入手し、第二の判定手段は、停止時の状態情報と起動時の状態情報から第一の判定手段を実施するかどうかを判定するものである。   According to the control device of the present invention, the control means needs the control means for controlling the control object, the control start means for controlling the start of the control means, the state information obtaining means for obtaining the state information related to the control, and the control means A first storage area for storing data, a second storage area for storing state information acquired by the state information acquiring means, and a third storage for storing an expected value generated from data of the first storage area It is determined whether to execute the control means from the area and the verification value generation means for generating the verification value from the data of the first storage area, and the verification value by the expectation value and verification value generation means stored in the third storage area And second judging means for judging whether to execute the first judging means from one or more state information, and when the control means is stopped, the state from the state information acquiring means is provided. Get information and make it to the second storage area The second determination means determines whether to implement the first determination means from the state information at the time of stopping and the state information at the time of starting, before obtaining the state of the control means. It is.

この発明によれば、制御装置の起動時に行われるセキュアブートの処理時間を特定の条件下では検証を実施しないことで、制御装置の起動時間をセキュアブート処理が実施されない通常起動時間と同等にすることができるため、安全かつ高速にECUを起動させることができる。   According to the present invention, the processing time of the secure boot performed at startup of the control device is not verified under a specific condition, thereby making the startup time of the control device equal to the normal startup time when the secure boot processing is not performed. Therefore, the ECU can be started safely and at high speed.

Figure 2019066984
この発明の実施の形態1における制御システムの構成を示すブロック図である。 この発明の実施の形態1による制御装置の終了時の処理の流れを示す図である。 この発明の実施の形態1による制御装置の起動時の処理の流れを示す図である。 この発明の実施の形態2における制御システムの構成を示すブロック図である。 この発明の実施の形態2による制御装置の終了時の処理の流れを示す図である。 この発明の実施の形態2による制御装置の起動時の処理の流れを示す図である。
Figure 2019066984
It is a block diagram which shows the structure of the control system in Embodiment 1 of this invention. It is a figure which shows the flow of a process at the time of completion | finish of the control apparatus by Embodiment 1 of this invention. It is a figure which shows the flow of a process at the time of starting of the control apparatus by Embodiment 1 of this invention. It is a block diagram which shows the structure of the control system in Embodiment 2 of this invention. It is a figure which shows the flow of a process at the time of completion | finish of the control apparatus by Embodiment 2 of this invention. It is a figure which shows the flow of a process at the time of starting of the control apparatus by Embodiment 2 of this invention.

以下、この発明の制御装置を各実施の形態に従って図面を用いて説明する。なお、各実施の形態において、同一もしくは相当部分は同一符号で示し、重複する説明は省略する。   Hereinafter, a control device of the present invention will be described according to each embodiment with reference to the drawings. In each of the embodiments, the same or corresponding parts are indicated by the same reference numerals, and duplicate explanations are omitted.

実施の形態1.
図1はこの発明の実施の形態1に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。ここで、車両制御システムはモータ制御装置100と制御対象となる駆動用モータ101で構成するものとする。車両制御システムには、図1に示す以外の構成物も備えているが、この実施の形態1に直接関係しないものについては図示を省略している。 Embodiment 1
As an example of a control device according to Embodiment 1 of the present invention, FIG. 1 shows a configuration of a vehicle control system in which a starting method capable of starting safely and at high speed is implemented. Here, it is assumed that the vehicle control system includes the motor control device 100 and the drive motor 101 to be controlled. The vehicle control system also includes components other than those shown in FIG. 1, but illustration of components not directly related to the first embodiment is omitted.

モータ制御装置100は、駆動用モータ101に接続され、これを制御する。モータ制御装置100の構成と機能について簡単に説明する。制御手段110は、駆動用モータ101の制御に関わる制御量や各種処理値を演算する。停止手段111は、モータ制御装置100への電源の供給を停止することで動作を終了させる。状態情報入手手段112は、モータ制御装置100自体がもつ制御に関わる状態を示す状態情報のデータを収集する。ここでは、カウント手段117がカウントするカウント値を収集する。制御起動手段113は、第一の判定手段115と第二の判定手段116の結果に基づき、制御手段110を起動させる。   The motor control device 100 is connected to the drive motor 101 to control it. The configuration and function of the motor control device 100 will be briefly described. The control unit 110 calculates control amounts and various processing values related to control of the drive motor 101. The stopping unit 111 ends the operation by stopping the supply of power to the motor control device 100. The state information acquiring unit 112 collects data of state information indicating a state related to control of the motor control device 100 itself. Here, the count value which counting means 117 counts is collected. The control activation unit 113 activates the control unit 110 based on the results of the first determination unit 115 and the second determination unit 116.

検証値生成手段114は、第一の記憶領域120に格納されているデータから検証値を生成する。第一の判定手段115は、第三の記憶領域122に格納される期待値と検証値生成手段114による検証値から制御手段110を実施するか否かを判定する。第二の判定手段116は、第二の記憶領域121に格納されている状態情報(カウント値)と、状態情報入手手段112が入手した状態情報(カウント値)とを比較し、比較結果が所定の範囲内に収まっているかにより、第一の判定手段115を実施するか否かを判定する。カウント手段117は、モータ制御装置100が起動するたびに保有するカウンタ値をインクリメントする。   The verification value generation unit 114 generates a verification value from the data stored in the first storage area 120. The first determination unit 115 determines whether to execute the control unit 110 based on the expected value stored in the third storage area 122 and the verification value of the verification value generation unit 114. The second determination means 116 compares the state information (count value) stored in the second storage area 121 with the state information (count value) obtained by the state information obtaining means 112, and the comparison result is predetermined. It is determined whether or not the first determination means 115 is to be implemented depending on whether it is within the range of The counting means 117 increments the counter value held each time the motor control device 100 is activated.

ここでは、モータ制御装置100は、車両のIG(イグニッション)スイッチの状態に応じて電源が供給されたり、制御装置がリセットされたりすれば起動するものとする。起動モード確認手段118は、起動時に要求される起動モードを確認する。ここでは、起動モードとして、駆動用モータ101の制御をおこなう制御モードと、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードが用意される。書き換えモードへの要求は制御装置の外部からテスター等が接続されたときに実施される。記憶領域書き換え手段119は、第一の記憶領域120と第三の記憶領域122の格納データを実際に書き換える手段となる。   Here, the motor control device 100 is activated when power is supplied or the control device is reset according to the state of an IG (ignition) switch of the vehicle. The start mode confirmation unit 118 confirms the start mode requested at the time of start. Here, as the start mode, a control mode for controlling the drive motor 101 and a rewrite mode for rewriting data stored in the first storage area 120 and the third storage area 122 are prepared. The request for the rewrite mode is performed when a tester or the like is connected from the outside of the control device. The storage area rewriting means 119 is a means for actually rewriting the data stored in the first storage area 120 and the third storage area 122.

次に第一の記憶領域120は、制御手段110が制御に必要とするデータを格納する。第二の記憶領域121は、状態情報入手手段112が入手した状態情報を格納する。第三の記憶領域122は、第一の記憶領域120に格納するデータからあらかじめ生成しておいた期待値を格納する。これらの記憶領域はデバイスごと分けることが望ましいが、一つのデバイス上で別領域として定義してもよい。   Next, the first storage area 120 stores data required for control by the control means 110. The second storage area 121 stores the state information acquired by the state information acquiring unit 112. The third storage area 122 stores an expected value generated in advance from data stored in the first storage area 120. Although it is desirable to separate these storage areas for each device, they may be defined as separate areas on one device.

次に、実施の形態1に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図2および図3のフローチャートを用いて説明する。図2の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときの最後の処理として実行される。図3の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。   Next, the flow of processing when the motor control device 100 of the vehicle control system according to the first embodiment is stopped and started will be described using the flowcharts of FIG. 2 and FIG. 3 respectively. The process at the time of stop in FIG. 2 is executed as the last process when the motor control device 100 is stopped with the detection that the IG switch in the vehicle is turned off as a trigger. The process at the time of startup of FIG. 3 is first executed when power is supplied to the motor control device 100 or is reset and started with the IG switch in the vehicle turned on or the like as a trigger.

まず、モータ制御装置100の停止時の処理について図2を用いて説明する。
図2において、ステップS201は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS202へ進み、制御が終了していない場合(No)は、終了まで待機する。続いて、ステップS202において、状態情報入手手段112が、カウント手段117が保有するカウント値を状態情報として収集する。ステップS203において、状態情報入手手段112は、収集したカウント値を第二の記憶領域121に格納を試みる。続いて、ステップS204において、格納が完了していれば(Yes)、ステップS205へ進み、格納が完了していない場合(No)は、ステップS203へ戻る。
ステップS205において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。 First, processing when the motor control device 100 is stopped will be described with reference to FIG.
In FIG. 2, step S201 confirms whether the control means 110 has stopped the process concerning motor control. If the control has ended (Yes), the process proceeds to step S202, and if the control has not ended (No), the process waits until the end. Subsequently, in step S202, the state information obtaining means 112 collects the count value held by the counting means 117 as state information. In step S 203, the state information acquisition unit 112 attempts to store the collected count value in the second storage area 121. Subsequently, in step S204, if the storage is completed (Yes), the process proceeds to step S205, and if the storage is not completed (No), the process returns to step S203.
In step S205, the stopping means 111 stops the supply of power to the motor control device 100 to stop the motor control device 100 by controlling a power supply relay or the like.

次に、モータ制御装置100の起動時の処理について図3を用いて説明する。
図3において、ステップS301は、カウント手段117は自信が保有するカウント値を更新する。ここでは保有しているカウント値を+1とする。
ステップS302において、起動モード確認手段118が起動モードを確認する。駆動用モータ101の制御をおこなう制御モードであれば、ステップS303へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS310へ進む。 Next, processing at the time of startup of the motor control device 100 will be described with reference to FIG.
In FIG. 3, in step S301, the counting means 117 updates the count value held by the self. Here, the held count value is assumed to be +1.
In step S302, the start mode confirmation unit 118 confirms the start mode. If it is a control mode for controlling the drive motor 101, the process proceeds to step S303, and if it is a rewrite mode for rewriting data stored in the first storage area 120 and the third storage area 122, the process proceeds to step S310.

ステップS303において、状態情報入手手段112は、カウント手段117が保有するカウント値を状態情報として収集する。続いて、ステップS304において、カウント値の収集が完了していれば(Yes)、ステップS305へ進み、カウント値の収集が完了していない場合(No)は、完了まで待機する。
ステップS305において、第二の判定手段116が、第二の記憶領域121に格納されているカウント値と、ステップS202で状態情報入手手段112が入手したカウント値とを比較する。続いて、ステップS306において、カウント値の比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS311へ進み、範囲に入っていない場合(No)は、ステップS307へ進む。 In step S303, the state information obtaining means 112 collects the count value held by the counting means 117 as state information. Subsequently, in step S304, if collection of the count value is completed (Yes), the process proceeds to step S305. If collection of the count value is not completed (No), the process waits until completion.
In step S305, the second determination unit 116 compares the count value stored in the second storage area 121 with the count value acquired by the state information acquisition unit 112 in step S202. Subsequently, in step S306, it is determined whether the comparison result of the count value is within the range of +1 as a predetermined value. If it is in the range (Yes), the process proceeds to step S311. If it is not in the range (No), the process proceeds to step S307.

ステップS307において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS308において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS307で生成した検証値を比較判定する。
続いて、ステップS309において、期待値と検証値の比較結果が同じであれば(Yes)、ステップS311へ進み、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS307、ステップS308、ステップS309がセキュアブート処理として処理時間を要する部分となる。 In step S307, the verification value generation unit 114 generates a verification value from the data stored in the first storage area 120. In step S308, the first determination unit 115 compares the expected value stored in the third storage area 122 with the verification value generated in step S307.
Subsequently, in step S309, if the comparison result of the expected value and the verification value is the same (Yes), the process proceeds to step S311. If the comparison result is different (No), the process is ended without implementing the control unit 110. . Steps S307, S308, and S309 are portions requiring a processing time as the secure boot processing.

ステップS310において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、記憶領域書き換え手段119に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS311において、制御起動手段113は制御手段110を起動させる。 In step S310, the storage area rewriting unit 119 rewrites the storage data of the first storage area 120 and writes the expected value generated in advance from the data stored in the first storage area 120 in the third storage area 122. Thereafter, the processing is ended without implementing the control means 110. The storage area rewriting unit 119 is not particularly limited because it does not affect the operation and effects of the embodiment.
In step S311, the control activation unit 113 activates the control unit 110.

以上のように、図1の構成で、モータ制御装置100は、停止時に図2に示すフローに従って、状態情報として自身が持つカウンタ値を格納しておく。その後、モータ制御装置100を起動するときには、図3に示すフローに従って、格納しておいたカウンタ値と、再度収集したカウンタ値との差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、モータ制御装置100を終了してから本起動までに一度も起動されていないと判断し、処理時間が発生する検証値作成(ステップS307)、第一の判定手段の実施(ステップS308)、判定結果の確認(ステップS309)を実施せずに制御手段110を起動させることができる。   As described above, in the configuration of FIG. 1, the motor control device 100 stores the counter value of itself as the state information according to the flow shown in FIG. 2 at the time of stop. After that, when the motor control device 100 is started, it is confirmed whether the difference between the stored counter value and the counter value collected again falls within a predetermined range according to the flow shown in FIG. If it is included, it is determined that the motor control apparatus 100 has not been started up since the termination of the motor control apparatus 100 until the main start, and the processing time is generated (step S307). Step S308) The control means 110 can be activated without carrying out confirmation of the determination result (step S309).

このような車両制御システムによれば、モータ制御装置100の停止時の状態情報と、起動時の状態情報の比較によって、停止中に書き換えの為等で起動されていないことや、意図せず起動されていないことが確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。   According to such a vehicle control system, the motor control device 100 is not started due to rewriting or the like during stop by comparison of state information at the time of stop of the motor control device 100 and state information at the time of start, or unintentionally If it can be confirmed that this is not the case, then the verification processing at startup is omitted, so that the control device can be activated at high speed while securing security for security.

なお、実施の形態1において、状態情報をカウンタ値として説明したがこれに限るものではない。モータ制御装置100が保有するバックアップ用に保有する電池の電圧値などのアナログ値を用いても、ステップS306で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないこと、短時間での再起動であることを検出し、起動時の検証処理を割愛するので、安全かつ高速に制御装置を起動することができる。   Although the state information is described as the counter value in the first embodiment, the present invention is not limited to this. Even when using analog values such as the voltage value of the battery held for backup that the motor control device 100 holds, by appropriately determining the range at the time of verification used in step S306, it is not unintentionally started during stop Since it is detected that the restart is performed in a short time and the verification process at the time of start is omitted, the control device can be started safely and quickly.

また、状態情報は、第二の記憶領域121に格納するときに暗号化し、状態情報を比較するときに復号化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。   Also, state information is encrypted when stored in the second storage area 121, and if it is decrypted when comparing state information, the possibility of falsifying the state information itself is reduced and security is enhanced for security. be able to.

実施の形態2.
次にこの発明の実施の形態2に係る制御装置を図4から図6に基づいて説明する。
図4はこの発明の実施の形態2に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。実施の形態2に係る車両制御システムは、上記実施の形態1で記したモータ制御装置100と駆動用モータ101で構成される車両制御システムに加えて、ドア制御装置410を含んで構成される。
なお、図4において、各制御装置100、410は、図4に示す以外の構成物も備えているが、実施の形態2に直接関係しないものについては図示を省略し、図1に示す実施の形態1において説明したものについては、同じ符号を付して説明を省略する。 Second Embodiment
Next, a control device according to Embodiment 2 of the present invention will be described based on FIG. 4 to FIG.
FIG. 4 shows, as an example of a control device according to Embodiment 2 of the present invention, a configuration of a vehicle control system in which a starting method capable of starting safely and at high speed is implemented. The vehicle control system according to the second embodiment includes a door control device 410 in addition to the vehicle control system including the motor control device 100 and the drive motor 101 described in the first embodiment.
Although each control device 100, 410 in FIG. 4 also includes components other than those shown in FIG. 4, illustration of components not directly related to the second embodiment is omitted, and the embodiment shown in FIG. About what was demonstrated in form 1, the same numerals are attached and explanation is omitted.

実施の形態2に係る車両制御システムにおいては、モータ制御装置100とドア制御装置410は、車両の通信線としてCAN(Controller Area Network)ネットワーク400を介して互いに通信可能に接続されている。
まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信手段401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。 In the vehicle control system according to the second embodiment, the motor control device 100 and the door control device 410 are communicably connected to each other via a CAN (Controller Area Network) network 400 as a communication line of the vehicle.
First, the added configuration and functions of the motor control device 100 according to the second embodiment will be briefly described. The data transmission / reception means 401 transmits / receives data to / from the connected door control device 410 via the CAN network 400.

ドア制御装置410は、車両のドアモジュール411に接続され、ドアのロック/アンロックを制御する。ドア制御装置410の構成と機能について簡単に説明する。第二の制御手段420は、ドアモジュール411に関わる制御を実施する。記憶領域421は、第二の制御手段420が制御に必要とするデータを格納する。状態検出手段422は、ドアに関する状態情報として、ここでは運転席のドア開閉回数を収集する。ただし、状態情報は、これに限るものではない。第二のデータ送受信手段423は、CANネットワーク400を介して接続されたモータ制御装置100のデータ送受信手段401とデータを送受信する。   The door control device 410 is connected to the door module 411 of the vehicle and controls locking / unlocking of the door. The configuration and function of the door control device 410 will be briefly described. The second control means 420 implements control related to the door module 411. The storage area 421 stores data required for control by the second control unit 420. Here, the state detection unit 422 collects the number of times of opening and closing of the door of the driver's seat as state information on the door. However, the state information is not limited to this. The second data transmission / reception unit 423 transmits / receives data to / from the data transmission / reception unit 401 of the motor control device 100 connected via the CAN network 400.

次に、実施の形態2に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図5および図6のフローチャートを用いて説明する。図5の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときに最後の処理として実行される。図6の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。   Next, the flow of processing when the motor control device 100 of the vehicle control system according to Embodiment 2 is stopped and started will be described using the flowcharts of FIG. 5 and FIG. 6, respectively. The process at the time of stop in FIG. 5 is executed as the final process when the motor control device 100 is stopped with the detection that the IG switch in the vehicle is turned off or the like as a trigger. The process at the time of startup of FIG. 6 is first executed when power is supplied to the motor control device 100 or is reset and started with the IG switch in the vehicle turned on or the like as a trigger.

まず、モータ制御装置100の停止時の処理について図5を用いて説明する。
図5において、ステップS501は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS502へ進み、制御が終了していない場合(No)は、終了まで待機する。
続いて、ステップS502において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS503において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS504へ進み、受信が完了していない場合(No)は、受信まで待機する。 First, processing when the motor control device 100 is stopped will be described using FIG.
In FIG. 5, step S501 confirms whether the control means 110 has stopped the process related to motor control. If the control has ended (Yes), the process proceeds to step S502, and if the control has not ended (No), the process waits until the end.
Subsequently, in step S 502, the status information acquisition unit 112 requests the door control device 410 to send the status information using the data transmission / reception unit 401. Subsequently, in step S503, if reception of the door opening / closing number has been completed as status information (Yes), the process proceeds to step S504, and if reception is not completed (No), the process waits until reception.

ステップS504において、状態情報入手手段112は、受信し、収集したドア開閉回数を第二の記憶領域121に格納を試みる。続いて、ステップS505において、格納が完了していれば、ステップS506へ進み、格納が完了していない場合は、ステップS504へ戻る。
ステップS506において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。 In step S 504, the state information acquisition unit 112 attempts to store the number of times of door opening and closing that has been received and collected in the second storage area 121. Subsequently, in step S505, if the storage is completed, the process proceeds to step S506, and if the storage is not completed, the process returns to step S504.
In step S506, the stopping unit 111 stops the supply of power to the motor control device 100 to stop the motor control device 100 by controlling a power supply relay or the like.

次に、モータ制御装置100の起動時の処理について図6を用いて説明する。
図6において、ステップS601は、モータ制御装置100が、データ送受信手段401を起動させる。ステップS602において、起動モード確認手段118が、起動モードを確認する。起動モードが駆動用モータ101の制御をおこなう制御モードであれば、ステップS603へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS610へ進む。 Next, processing at the time of startup of the motor control device 100 will be described with reference to FIG.
In FIG. 6, in step S601, the motor control device 100 activates the data transmission / reception means 401. In step S602, the start mode confirmation unit 118 confirms the start mode. If the start mode is a control mode for controlling the drive motor 101, the process proceeds to step S603, and if it is a rewrite mode in which data stored in the first storage area 120 and the third storage area 122 is rewritten, the process proceeds to step S610. .

ステップS603において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS604において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS605へ進み、受信が完了していない場合(No)は、受信まで待機する。
ステップS605において、第二の判定手段116が、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手手段112が入手したドア開閉回数とを比較する。続いて、ステップS606において、比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS611へ進み、範囲に入っていない場合(No)は、ステップS607へ進む。 In step S603, the status information acquisition unit 112 requests the door control device 410 to send the status information using the data transmission / reception unit 401. Subsequently, in step S604, if reception of the door opening / closing number has been completed as status information (Yes), the process proceeds to step S605, and if reception is not completed (No), the process waits until reception.
In step S605, the second determination unit 116 compares the door opening / closing count stored in the second storage area 121 with the door opening / closing count acquired by the state information obtaining unit 112 in step S604. Subsequently, in step S606, it is determined whether the comparison result is within the range of +1 as a predetermined value. If it is in the range (Yes), the process proceeds to step S611. If it is not in the range (No), the process proceeds to step S607.

ステップS607において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS608において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS607で生成した検証値を比較判定する。
続いて、ステップS609において、比較結果が同じであれば(Yes)、ステップS611へ、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS607、ステップS608,ステップS609がセキュアブート処理として処理時間を要する部分となる。 In step S 607, the verification value generation unit 114 generates a verification value from the data stored in the first storage area 120. In step S608, the first determination unit 115 compares the expected value stored in the third storage area 122 with the verification value generated in step S607.
Subsequently, in step S609, if the comparison result is the same (Yes), the process proceeds to step S611. If the comparison result is different (No), the processing is ended without implementing the control unit 110. Steps S607, S608, and S609 are portions requiring a processing time as the secure boot processing.

ステップS610において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、書き換え手段に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS611において、制御起動手段113は、制御手段110を起動させる。 In step S 610, the storage area rewriting unit 119 rewrites the storage data of the first storage area 120 and writes the expected value generated in advance from the data stored in the first storage area 120 in the third storage area 122. Thereafter, the processing is ended without implementing the control means 110. The rewriting means is not particularly limited because it does not affect the operation and effects of the embodiment.
In step S611, the control activation unit 113 activates the control unit 110.

以上のように、図4の構成で、モータ制御装置100は、停止時に、図5に示すフローに従って、状態情報として、ドア制御装置410から受信したドア開閉回数を格納しておく。その後、モータ制御装置100を起動するときには、図6に示すフローに従って、格納しておいたア開閉回数と再度ドア制御装置410から受信したドア開閉回数とを比較し、値の差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、制御装置を終了してから本起動までに誰も車両に入っていない(制御装置にアクセスしていない)と判断し、処理時間が発生する検証値作成(ステップS607)、第一の判定手段の実施(ステップS608)、判定結果の確認(ステップS609)を実施せずに制御手段110を起動させることができる。   As described above, in the configuration of FIG. 4, at the time of stop, the motor control device 100 stores the door opening / closing number received from the door control device 410 as the state information according to the flow shown in FIG. 5. After that, when the motor control device 100 is started, the stored number of opening / closing times is again compared with the number of opening / closing times of the door received from the door control device 410 according to the flow shown in FIG. If it is within the predetermined range, it is judged that no one is in the vehicle (the control device has not been accessed) since the control device was terminated and the main start, and the processing time is It is possible to activate the control means 110 without performing verification value generation (step S607) where the error occurs, execution of the first determination means (step S608), and confirmation of the determination results (step S609).

このような車両制御システムによれば、停止時の状態情報と、起動時の状態情報を比較によって停止中に書き換えの為に起動されていないことや、意図せず起動されていないことを確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。   According to such a vehicle control system, by comparing the state information at the time of stopping and the state information at the time of starting, if it can be confirmed that it is not activated for rewriting while stopped or if it is not activated unintentionally Since the verification process at the time of startup is omitted, the control device can be started up at high speed while securing security for security.

なお、実施の形態2において、状態情報をドア制御装置410が持つドアの開閉回数として説明したがこれに限るものではない。他の制御装置が持つ車両にアクセスを示せる状態情報を用いて、ステップS606で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないことを検出し起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。また他の制御装置が持つ時間情報などを用いて、ステップS606で用いる検証時の範囲を適切に定めることで短時間での再起動であることを検出し、その場合には、セキュリティに対する安全を確保されているとみなし起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。   In the second embodiment, the state information is described as the number of times of opening and closing of the door possessed by the door control device 410, but the present invention is not limited to this. By appropriately defining the range at the time of verification used in step S606 using the state information that can show the access to the vehicle possessed by the other control device, it is detected that it is not unintentionally started during stop, and verification processing at startup Can be started safely and at high speed. In addition, it is detected that the restart is performed in a short time by appropriately setting the range at the time of verification used in step S606 using time information etc. possessed by other control devices, and in that case, the security against security is It is possible to start the control device safely and at high speed by omitting the verification process at the time of start-up, which is regarded as secured.

また、状態情報は、第二の記憶領域121に格納するときに、暗号化し、状態情報を比較するときに複合化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
さらに、状態情報を送受するときに暗号化し、受信後に複合化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。 Also, if the state information is encrypted when stored in the second storage area 121 and compounded when comparing the state information, the possibility of falsification of the state information itself is reduced, and security against security is reduced. It can be enhanced.
Furthermore, by encrypting when transmitting / receiving status information and decrypting after reception, the possibility of tampering with status information on the CAN network 400 can be reduced, and security with respect to security can be enhanced.
In the second embodiment, the CAN network 400 is described as the communication line, but the type of network is not limited to this.

以上、この発明の実施の形態を記述したが、この発明は実施の形態に限定されるものではなく、種々の設計変更を行うことが可能であり、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。   As mentioned above, although the embodiment of this invention was described, this invention is not limited to the embodiment, It is possible to make various design changes, and within the scope of the invention, each embodiment Can be combined freely, and each embodiment can be appropriately modified or omitted.

この発明は、車両制御システムのモータ制御装置として利用できる他、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証手段としてどのような制御装置にも利用することができる。   The present invention can be used not only as a motor control device of a vehicle control system but also as any verification device of a storage area at start-up as long as it is a system including a control device controlled by an ECU. it can.

100:モータ制御装置、101:駆動用モータ、110:制御手段、111:停止手段、112:状態情報入手手段、113:制御起動手段、114:検証値生成手段、115:第一の判定手段、116:第二の判定手段、117:カウント手段、118:起動モード確認手段、119:記憶領域書き換え手段、120:第一の記憶領域、121:第二の記憶領域、122:第三の記憶領域、400:CANネットワーク、401:データ送受信手段、410:ドア制御装置、411:ドアモジュール、420:第二の制御手段、421:記憶領域、422:状態検出手段、423:第二のデータ送受信手段。   100: Motor control device, 101: Drive motor, 110: Control means, 111: Stop means, 112: State information acquisition means, 113: Control start means, 114: Verification value generation means, 115: First judgment means, 116: second determination means, 117: count means, 118: start mode confirmation means, 119: storage area rewriting means, 120: first storage area, 121: second storage area, 122: third storage area , 400: CAN network, 401: data transmission / reception means, 410: door control device, 411: door module, 420: second control means, 421: storage area, 422: state detection means, 423: second data transmission / reception means .

この発明の実施の形態1における制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system in Embodiment 1 of this invention. この発明の実施の形態1による制御装置の終了時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of completion | finish of the control apparatus by Embodiment 1 of this invention. この発明の実施の形態1による制御装置の起動時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of starting of the control apparatus by Embodiment 1 of this invention. この発明の実施の形態2における制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the control system in Embodiment 2 of this invention. この発明の実施の形態2による制御装置の終了時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of completion | finish of the control apparatus by Embodiment 2 of this invention. この発明の実施の形態2による制御装置の起動時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of starting of the control apparatus by Embodiment 2 of this invention.

Claims (4)

制御対象を制御する制御手段と、前記制御手段の起動を制御する制御起動手段と、制御に関わる状態情報を入手する状態情報入手手段と、前記制御手段が制御に必要とするデータを格納する第一の記憶領域と、前記状態情報入手手段が入手した状態情報を格納する第二の記憶領域と、前記第一の記憶領域のデータから生成された期待値を格納する第三の記憶領域と、前記第一の記憶領域のデータから検証値を生成する検証値生成手段と、前記第三の記憶領域に格納される期待値と前記検証値生成手段による検証値から前記制御手段を実施するかを判定する第一の判定手段と、一つ以上の状態情報から前記第一の判定手段を実施するかを判定する第二の判定手段とを備え、
前記制御手段を停止する際に、前記状態情報入手手段から状態情報を入手して前記第二の記憶領域に格納し、前記制御手段の起動前に、再び状態情報を入手し、前記第二の判定手段は、停止時の前記状態情報と起動時の前記状態情報から前記第一の判定手段を実施するかどうかを判定することを特徴とする制御装置。 Control means for controlling a control target, control activation means for controlling activation of the control means, state information obtaining means for acquiring state information related to control, and data required for control by the control means A first storage area, a second storage area for storing state information acquired by the state information acquisition means, and a third storage area for storing an expected value generated from data of the first storage area; Verification value generation means for generating a verification value from data of the first storage area, and whether the control means is to be implemented from the expected value stored in the third storage area and the verification value by the verification value generation means And a second determination unit that determines whether to execute the first determination unit from one or more pieces of status information.
When stopping the control means, the state information is obtained from the state information obtaining means and stored in the second storage area, and the state information is obtained again before the control means is activated, The control device determines whether or not the first determination means is to be implemented from the state information at the time of stop and the state information at the time of start. 前記制御装置の第二の判定手段は、停止時の前記状態情報と起動時の前記状態情報との差分が所定の範囲内であるときに、前記第一の判定手段を実施しないと判定することを特徴とする請求項1に記載の制御装置。   The second determination means of the control device determines that the first determination means is not implemented when the difference between the state information at the time of stop and the state information at the time of start is within a predetermined range. The control device according to claim 1, characterized in that 前記状態情報入手手段は、制御装置内の情報から状態情報を入手することを特徴とする請求項1または請求項2に記載の制御装置。   The control device according to claim 1 or 2, wherein the state information obtaining means obtains state information from information in the control device. 前記制御装置は他の制御装置と通信線で接続され、前記通信線を介してデータの送受信を実施する送受信手段を備え、前記状態情報入手手段は、前記送受信手段により他の制御装置から状態情報を入手することを特徴とする請求項1に記載の制御装置。   The control device is connected to another control device via a communication line, and includes transmission / reception means for performing transmission / reception of data via the communication line, and the state information obtaining means receives state information from another control device by the transmission / reception means The controller according to claim 1, wherein the controller is obtained.
JP2017189513A 2017-09-29 2017-09-29 Control device Active JP6461272B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017189513A JP6461272B1 (en) 2017-09-29 2017-09-29 Control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017189513A JP6461272B1 (en) 2017-09-29 2017-09-29 Control device

Publications (2)

Publication Number Publication Date
JP6461272B1 JP6461272B1 (en) 2019-01-30
JP2019066984A true JP2019066984A (en) 2019-04-25

Family

ID=65228933

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017189513A Active JP6461272B1 (en) 2017-09-29 2017-09-29 Control device

Country Status (1)

Country Link
JP (1) JP6461272B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020187504A (en) * 2019-05-14 2020-11-19 三菱電機株式会社 Control device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009013831A1 (en) * 2007-07-26 2009-01-29 Panasonic Corporation Information processing terminal and falsification verification method
JP2017156945A (en) * 2016-03-01 2017-09-07 株式会社東芝 Information processor and control method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009013831A1 (en) * 2007-07-26 2009-01-29 Panasonic Corporation Information processing terminal and falsification verification method
JP2017156945A (en) * 2016-03-01 2017-09-07 株式会社東芝 Information processor and control method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020187504A (en) * 2019-05-14 2020-11-19 三菱電機株式会社 Control device

Also Published As

Publication number Publication date
JP6461272B1 (en) 2019-01-30

Similar Documents

Publication Publication Date Title
US11907698B2 (en) Vehicle electronic control system, vehicle master device, method for controlling transmission of data storage bank information and computer program product for controlling transmission of data storage bank information
US11683197B2 (en) Vehicle master device, update data distribution control method, computer program product and data structure of specification data
US20210182049A1 (en) Vehicle program rewrite system, vehicle master device, progress synchronization method and computer program product
CN108536118B (en) Vehicle ECU, system and method for ECU to provide diagnostic information
US20220179644A1 (en) Vehicle electronic control system, vehicle master device, and rewrite instruction program product under specific mode
US11960875B2 (en) Vehicle master device, vehicle electronic control system, configuration setting information rewrite instruction method, and configuration setting information rewrite instruction program product
US11671498B2 (en) Vehicle master device, update data verification method and computer program product
US11822366B2 (en) Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data
CN110109443B (en) Safe communication method and device for vehicle diagnosis, storage medium and equipment
US20210155177A1 (en) Vehicle electronic control system, distribution package download determination method and computer program product
US11604637B2 (en) Electronic control unit, vehicle electronic control system, difference data consistency determination method and computer program product
US11467821B2 (en) Vehicle master device, installation instruction determination method and computer program product
US20210155173A1 (en) Vehicle master device, vehicle electronic control system, activation request instruction method and computer program product
US11182485B2 (en) In-vehicle apparatus for efficient reprogramming and controlling method thereof
CN111480141A (en) Method and device for updating software of a motor vehicle control device
US11941384B2 (en) Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data
US20220179643A1 (en) Vehicle master device, vehicle electronic control system, configuration setting information rewrite instruction method, and configuration setting information rewrite instruction program product
CN101855111B (en) Method of unlocking an engine control computer
JP2019185575A (en) Controller and control method
US11656771B2 (en) Electronic control unit, vehicle electronic control system, activation execution control method and computer program product
US11907697B2 (en) Vehicle electronic control system, center device, vehicle master device, display control information transmission control method, display control information reception control method, display control information transmission control program, and display control information reception control program
US20210160064A1 (en) Vehicle master device, security access key management method, security access key management program and data structure of specification data
JP2019066984A (en) Control device
JP6639615B1 (en) Control device
US10789365B2 (en) Control device and control method

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181225

R151 Written notification of patent or utility model registration

Ref document number: 6461272

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250