JP2019066984A - Control device - Google Patents
Control device Download PDFInfo
- Publication number
- JP2019066984A JP2019066984A JP2017189513A JP2017189513A JP2019066984A JP 2019066984 A JP2019066984 A JP 2019066984A JP 2017189513 A JP2017189513 A JP 2017189513A JP 2017189513 A JP2017189513 A JP 2017189513A JP 2019066984 A JP2019066984 A JP 2019066984A
- Authority
- JP
- Japan
- Prior art keywords
- state information
- storage area
- control device
- control
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 claims abstract description 39
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 6
- 230000004913 activation Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 abstract description 52
- 238000012545 processing Methods 0.000 description 24
- 238000012790 confirmation Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Images
Abstract
Description
この発明は、セキュリティに対する安全を確保しつつ、高速に起動できる制御装置に関するものである。 The present invention relates to a control device that can be activated at high speed while securing security for security.
車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数搭載されており、ECUは他のECUや車両外の通信機器と通信によって接続されるため、不正に侵入される恐れがある。不正に侵入されると、ECUのプログラムデータが改ざんされ、遠隔操作される可能性がある。 A plurality of control devices called ECUs (Electronic Control Units) are mounted on a vehicle, and since the ECUs are connected to other ECUs and communication devices outside the vehicles by communication, there is a possibility that the vehicle may be illegitimately invaded. If it is illegitimately invaded, the program data of the ECU may be falsified and remotely controlled.
ECUのデータ改ざんへの対策の一つとして、セキュアブートが知られている。セキュアブートは、暗号技術を用いて事前にデータから作成しておいた期待値と、データからその時点で作成した検証値との完全性を検証し、データの改ざんを検知する技術である。ECUの制御に関する処理が起動する前にECUが前回終了時からデータが改ざんされていないか検証することにより、制御を正常な状態で起動できるか判断することができる。 Secure boot is known as one of measures against data alteration of ECU. Secure Boot is a technology that verifies integrity of an expected value created in advance from data using cryptographic technology and a verification value created at that time from data, and detects data tampering. It is possible to determine whether the control can be started in a normal state by verifying whether the data has not been tampered with since the last time before the processing relating to the control of the ECU is started.
一方で、ECUは起動時間の制約が厳しく、セキュアブートの処理時間はECUの起動時間の制約(制御が開始するまでの要求時間)内に収めなければならない。そのため、ECUを安全に起動するためには、セキュアブート処理時間の短縮化が求められる。 On the other hand, the ECU is severely restricted in start-up time, and the processing time of the secure boot must be within the restriction of the start-up time of the ECU (the required time until control starts). Therefore, in order to start the ECU safely, shortening of the secure boot process time is required.
特許文献1では、上記の課題を解決するために、保存しておいたプログラムリストを参照して、対象のプログラムまたはデータが、検証が必要なプログラムまたはデータであるか否かを判定し、検証が必要なプログラムまたはデータである場合に、対象のプログラムまたはデータの検証を実施することで、検証範囲を最小限に留め、セキュアブート処理を高速に安全に起動することができる。 In Patent Document 1, in order to solve the above problems, it is determined whether or not a target program or data is a program or data that requires verification, with reference to a stored program list, and verification If the program or data required is the verification of the program or data in question, the scope of verification can be minimized and the secure boot process can be launched safely and quickly.
しかしながら、特許文献1の技術を適用すると、次のような課題がある。セキュアブートにおいて、検証範囲を最小限に留めたところで、起動の度にセキュアブート処理が実施されるため、処理時間がかかり、セキュアブートを実施しない場合に比べて処理時間が増加してしまう。 However, when the technology of Patent Document 1 is applied, there are the following problems. In the secure boot, when the verification range is minimized, the secure boot process is performed each time the boot is performed, so the processing time is increased, and the processing time is increased compared to the case where the secure boot is not performed.
この発明は、上記のような課題を解決するためになされたものであり、決められた条件下では、起動の度に実施するセキュアブート処理を無くすことで、セキュアブート処理が実施されない通常起動時間に近いECUの起動時間にした制御装置を得ることを目的とするものである。 The present invention has been made to solve the above problems, and under the determined conditions, the normal boot time in which the secure boot process is not performed by eliminating the secure boot process performed each time the boot is performed. It is an object of the present invention to obtain a control device with an ECU start time close to
この発明の制御装置は、制御対象を制御する制御手段と、制御手段の起動を制御する制御起動手段と、制御に関わる状態情報を入手する状態情報入手手段と、制御手段が制御に必要とするデータを格納する第一の記憶領域と、状態情報入手手段が入手した状態情報を格納する第二の記憶領域と、第一の記憶領域のデータから生成された期待値を格納する第三の記憶領域と、第一の記憶領域のデータから検証値を生成する検証値生成手段と、第三の記憶領域に格納される期待値と検証値生成手段による検証値から制御手段を実施するかを判定する第一の判定手段と、一つ以上の状態情報から第一の判定手段を実施するかを判定する第二の判定手段とを備え、制御手段を停止する際に、状態情報入手手段から状態情報を入手して第二の記憶領域に格納し、制御手段の起動前に、再び状態情報を入手し、第二の判定手段は、停止時の状態情報と起動時の状態情報から第一の判定手段を実施するかどうかを判定するものである。 According to the control device of the present invention, the control means needs the control means for controlling the control object, the control start means for controlling the start of the control means, the state information obtaining means for obtaining the state information related to the control, and the control means A first storage area for storing data, a second storage area for storing state information acquired by the state information acquiring means, and a third storage for storing an expected value generated from data of the first storage area It is determined whether to execute the control means from the area and the verification value generation means for generating the verification value from the data of the first storage area, and the verification value by the expectation value and verification value generation means stored in the third storage area And second judging means for judging whether to execute the first judging means from one or more state information, and when the control means is stopped, the state from the state information acquiring means is provided. Get information and make it to the second storage area The second determination means determines whether to implement the first determination means from the state information at the time of stopping and the state information at the time of starting, before obtaining the state of the control means. It is.
この発明によれば、制御装置の起動時に行われるセキュアブートの処理時間を特定の条件下では検証を実施しないことで、制御装置の起動時間をセキュアブート処理が実施されない通常起動時間と同等にすることができるため、安全かつ高速にECUを起動させることができる。 According to the present invention, the processing time of the secure boot performed at startup of the control device is not verified under a specific condition, thereby making the startup time of the control device equal to the normal startup time when the secure boot processing is not performed. Therefore, the ECU can be started safely and at high speed.
以下、この発明の制御装置を各実施の形態に従って図面を用いて説明する。なお、各実施の形態において、同一もしくは相当部分は同一符号で示し、重複する説明は省略する。 Hereinafter, a control device of the present invention will be described according to each embodiment with reference to the drawings. In each of the embodiments, the same or corresponding parts are indicated by the same reference numerals, and duplicate explanations are omitted.
実施の形態1.
図1はこの発明の実施の形態1に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。ここで、車両制御システムはモータ制御装置100と制御対象となる駆動用モータ101で構成するものとする。車両制御システムには、図1に示す以外の構成物も備えているが、この実施の形態1に直接関係しないものについては図示を省略している。
Embodiment 1
As an example of a control device according to Embodiment 1 of the present invention, FIG. 1 shows a configuration of a vehicle control system in which a starting method capable of starting safely and at high speed is implemented. Here, it is assumed that the vehicle control system includes the
モータ制御装置100は、駆動用モータ101に接続され、これを制御する。モータ制御装置100の構成と機能について簡単に説明する。制御手段110は、駆動用モータ101の制御に関わる制御量や各種処理値を演算する。停止手段111は、モータ制御装置100への電源の供給を停止することで動作を終了させる。状態情報入手手段112は、モータ制御装置100自体がもつ制御に関わる状態を示す状態情報のデータを収集する。ここでは、カウント手段117がカウントするカウント値を収集する。制御起動手段113は、第一の判定手段115と第二の判定手段116の結果に基づき、制御手段110を起動させる。
The
検証値生成手段114は、第一の記憶領域120に格納されているデータから検証値を生成する。第一の判定手段115は、第三の記憶領域122に格納される期待値と検証値生成手段114による検証値から制御手段110を実施するか否かを判定する。第二の判定手段116は、第二の記憶領域121に格納されている状態情報(カウント値)と、状態情報入手手段112が入手した状態情報(カウント値)とを比較し、比較結果が所定の範囲内に収まっているかにより、第一の判定手段115を実施するか否かを判定する。カウント手段117は、モータ制御装置100が起動するたびに保有するカウンタ値をインクリメントする。
The verification
ここでは、モータ制御装置100は、車両のIG(イグニッション)スイッチの状態に応じて電源が供給されたり、制御装置がリセットされたりすれば起動するものとする。起動モード確認手段118は、起動時に要求される起動モードを確認する。ここでは、起動モードとして、駆動用モータ101の制御をおこなう制御モードと、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードが用意される。書き換えモードへの要求は制御装置の外部からテスター等が接続されたときに実施される。記憶領域書き換え手段119は、第一の記憶領域120と第三の記憶領域122の格納データを実際に書き換える手段となる。
Here, the
次に第一の記憶領域120は、制御手段110が制御に必要とするデータを格納する。第二の記憶領域121は、状態情報入手手段112が入手した状態情報を格納する。第三の記憶領域122は、第一の記憶領域120に格納するデータからあらかじめ生成しておいた期待値を格納する。これらの記憶領域はデバイスごと分けることが望ましいが、一つのデバイス上で別領域として定義してもよい。
Next, the
次に、実施の形態1に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図2および図3のフローチャートを用いて説明する。図2の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときの最後の処理として実行される。図3の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。
Next, the flow of processing when the
まず、モータ制御装置100の停止時の処理について図2を用いて説明する。
図2において、ステップS201は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS202へ進み、制御が終了していない場合(No)は、終了まで待機する。続いて、ステップS202において、状態情報入手手段112が、カウント手段117が保有するカウント値を状態情報として収集する。ステップS203において、状態情報入手手段112は、収集したカウント値を第二の記憶領域121に格納を試みる。続いて、ステップS204において、格納が完了していれば(Yes)、ステップS205へ進み、格納が完了していない場合(No)は、ステップS203へ戻る。
ステップS205において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
First, processing when the
In FIG. 2, step S201 confirms whether the control means 110 has stopped the process concerning motor control. If the control has ended (Yes), the process proceeds to step S202, and if the control has not ended (No), the process waits until the end. Subsequently, in step S202, the state information obtaining means 112 collects the count value held by the counting means 117 as state information. In
In step S205, the stopping means 111 stops the supply of power to the
次に、モータ制御装置100の起動時の処理について図3を用いて説明する。
図3において、ステップS301は、カウント手段117は自信が保有するカウント値を更新する。ここでは保有しているカウント値を+1とする。
ステップS302において、起動モード確認手段118が起動モードを確認する。駆動用モータ101の制御をおこなう制御モードであれば、ステップS303へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS310へ進む。
Next, processing at the time of startup of the
In FIG. 3, in step S301, the counting means 117 updates the count value held by the self. Here, the held count value is assumed to be +1.
In step S302, the start
ステップS303において、状態情報入手手段112は、カウント手段117が保有するカウント値を状態情報として収集する。続いて、ステップS304において、カウント値の収集が完了していれば(Yes)、ステップS305へ進み、カウント値の収集が完了していない場合(No)は、完了まで待機する。
ステップS305において、第二の判定手段116が、第二の記憶領域121に格納されているカウント値と、ステップS202で状態情報入手手段112が入手したカウント値とを比較する。続いて、ステップS306において、カウント値の比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS311へ進み、範囲に入っていない場合(No)は、ステップS307へ進む。
In step S303, the state
In step S305, the
ステップS307において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS308において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS307で生成した検証値を比較判定する。
続いて、ステップS309において、期待値と検証値の比較結果が同じであれば(Yes)、ステップS311へ進み、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS307、ステップS308、ステップS309がセキュアブート処理として処理時間を要する部分となる。
In step S307, the verification
Subsequently, in step S309, if the comparison result of the expected value and the verification value is the same (Yes), the process proceeds to step S311. If the comparison result is different (No), the process is ended without implementing the control unit 110. . Steps S307, S308, and S309 are portions requiring a processing time as the secure boot processing.
ステップS310において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、記憶領域書き換え手段119に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS311において、制御起動手段113は制御手段110を起動させる。
In step S310, the storage
In step S311, the
以上のように、図1の構成で、モータ制御装置100は、停止時に図2に示すフローに従って、状態情報として自身が持つカウンタ値を格納しておく。その後、モータ制御装置100を起動するときには、図3に示すフローに従って、格納しておいたカウンタ値と、再度収集したカウンタ値との差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、モータ制御装置100を終了してから本起動までに一度も起動されていないと判断し、処理時間が発生する検証値作成(ステップS307)、第一の判定手段の実施(ステップS308)、判定結果の確認(ステップS309)を実施せずに制御手段110を起動させることができる。
As described above, in the configuration of FIG. 1, the
このような車両制御システムによれば、モータ制御装置100の停止時の状態情報と、起動時の状態情報の比較によって、停止中に書き換えの為等で起動されていないことや、意図せず起動されていないことが確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。
According to such a vehicle control system, the
なお、実施の形態1において、状態情報をカウンタ値として説明したがこれに限るものではない。モータ制御装置100が保有するバックアップ用に保有する電池の電圧値などのアナログ値を用いても、ステップS306で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないこと、短時間での再起動であることを検出し、起動時の検証処理を割愛するので、安全かつ高速に制御装置を起動することができる。
Although the state information is described as the counter value in the first embodiment, the present invention is not limited to this. Even when using analog values such as the voltage value of the battery held for backup that the
また、状態情報は、第二の記憶領域121に格納するときに暗号化し、状態情報を比較するときに復号化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
Also, state information is encrypted when stored in the
実施の形態2.
次にこの発明の実施の形態2に係る制御装置を図4から図6に基づいて説明する。
図4はこの発明の実施の形態2に係る制御装置の一例として、安全かつ高速に起動可能とする起動方法が実施される車両制御システムの構成を示す。実施の形態2に係る車両制御システムは、上記実施の形態1で記したモータ制御装置100と駆動用モータ101で構成される車両制御システムに加えて、ドア制御装置410を含んで構成される。
なお、図4において、各制御装置100、410は、図4に示す以外の構成物も備えているが、実施の形態2に直接関係しないものについては図示を省略し、図1に示す実施の形態1において説明したものについては、同じ符号を付して説明を省略する。
Second Embodiment
Next, a control device according to Embodiment 2 of the present invention will be described based on FIG. 4 to FIG.
FIG. 4 shows, as an example of a control device according to Embodiment 2 of the present invention, a configuration of a vehicle control system in which a starting method capable of starting safely and at high speed is implemented. The vehicle control system according to the second embodiment includes a
Although each
実施の形態2に係る車両制御システムにおいては、モータ制御装置100とドア制御装置410は、車両の通信線としてCAN(Controller Area Network)ネットワーク400を介して互いに通信可能に接続されている。
まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信手段401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。
In the vehicle control system according to the second embodiment, the
First, the added configuration and functions of the
ドア制御装置410は、車両のドアモジュール411に接続され、ドアのロック/アンロックを制御する。ドア制御装置410の構成と機能について簡単に説明する。第二の制御手段420は、ドアモジュール411に関わる制御を実施する。記憶領域421は、第二の制御手段420が制御に必要とするデータを格納する。状態検出手段422は、ドアに関する状態情報として、ここでは運転席のドア開閉回数を収集する。ただし、状態情報は、これに限るものではない。第二のデータ送受信手段423は、CANネットワーク400を介して接続されたモータ制御装置100のデータ送受信手段401とデータを送受信する。
The
次に、実施の形態2に係る車両制御システムのモータ制御装置100の停止時、起動時の処理の流れについて、それぞれ図5および図6のフローチャートを用いて説明する。図5の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときに最後の処理として実行される。図6の起動時の処理は、車両内のIGスイッチがONにされるなどをトリガーとして、モータ制御装置100へ電源が供給されたり、リセットされたりして起動したときに最初に実行される。
Next, the flow of processing when the
まず、モータ制御装置100の停止時の処理について図5を用いて説明する。
図5において、ステップS501は、制御手段110がモータ制御に係る処理を停止しているかを確認する。制御が終了していれば(Yes)、ステップS502へ進み、制御が終了していない場合(No)は、終了まで待機する。
続いて、ステップS502において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS503において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS504へ進み、受信が完了していない場合(No)は、受信まで待機する。
First, processing when the
In FIG. 5, step S501 confirms whether the control means 110 has stopped the process related to motor control. If the control has ended (Yes), the process proceeds to step S502, and if the control has not ended (No), the process waits until the end.
Subsequently, in step S 502, the status
ステップS504において、状態情報入手手段112は、受信し、収集したドア開閉回数を第二の記憶領域121に格納を試みる。続いて、ステップS505において、格納が完了していれば、ステップS506へ進み、格納が完了していない場合は、ステップS504へ戻る。
ステップS506において、停止手段111が、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。
In step S 504, the state
In step S506, the stopping unit 111 stops the supply of power to the
次に、モータ制御装置100の起動時の処理について図6を用いて説明する。
図6において、ステップS601は、モータ制御装置100が、データ送受信手段401を起動させる。ステップS602において、起動モード確認手段118が、起動モードを確認する。起動モードが駆動用モータ101の制御をおこなう制御モードであれば、ステップS603へ進み、第一の記憶領域120と第三の記憶領域122の格納データを書き換える書き換えモードであれば、ステップS610へ進む。
Next, processing at the time of startup of the
In FIG. 6, in step S601, the
ステップS603において、状態情報入手手段112が、データ送受信手段401を用いて、ドア制御装置410へ状態情報の送付を依頼する。続いて、ステップS604において、状態情報としてドア開閉回数の受信が完了していれば(Yes)、ステップS605へ進み、受信が完了していない場合(No)は、受信まで待機する。
ステップS605において、第二の判定手段116が、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手手段112が入手したドア開閉回数とを比較する。続いて、ステップS606において、比較結果が所定値として+1の範囲に入っているか否かを判断する。範囲に入っている場合(Yes)は、ステップS611へ進み、範囲に入っていない場合(No)は、ステップS607へ進む。
In step S603, the status
In step S605, the
ステップS607において、検証値生成手段114が、第一の記憶領域120に格納されているデータから検証値を生成する。ステップS608において、第一の判定手段115が、第三の記憶領域122に格納される期待値とステップS607で生成した検証値を比較判定する。
続いて、ステップS609において、比較結果が同じであれば(Yes)、ステップS611へ、比較結果が異なれば(No)、制御手段110を実施せずに処理を終了する。なお、ステップS607、ステップS608,ステップS609がセキュアブート処理として処理時間を要する部分となる。
In step S 607, the verification
Subsequently, in step S609, if the comparison result is the same (Yes), the process proceeds to step S611. If the comparison result is different (No), the processing is ended without implementing the control unit 110. Steps S607, S608, and S609 are portions requiring a processing time as the secure boot processing.
ステップS610において、記憶領域書き換え手段119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に第一の記憶領域120に格納したデータからあらかじめ生成した期待値を書き込む。その後、制御手段110を実施せずに処理を終了する。なお、書き換え手段に関しては実施の形態の動作、効果には影響しないため特に限定しない。
ステップS611において、制御起動手段113は、制御手段110を起動させる。
In step S 610, the storage
In step S611, the
以上のように、図4の構成で、モータ制御装置100は、停止時に、図5に示すフローに従って、状態情報として、ドア制御装置410から受信したドア開閉回数を格納しておく。その後、モータ制御装置100を起動するときには、図6に示すフローに従って、格納しておいたア開閉回数と再度ドア制御装置410から受信したドア開閉回数とを比較し、値の差分が所定の範囲に入っているかを確認し、所定の範囲に入っているときには、制御装置を終了してから本起動までに誰も車両に入っていない(制御装置にアクセスしていない)と判断し、処理時間が発生する検証値作成(ステップS607)、第一の判定手段の実施(ステップS608)、判定結果の確認(ステップS609)を実施せずに制御手段110を起動させることができる。
As described above, in the configuration of FIG. 4, at the time of stop, the
このような車両制御システムによれば、停止時の状態情報と、起動時の状態情報を比較によって停止中に書き換えの為に起動されていないことや、意図せず起動されていないことを確認できれば、起動時の検証処理を割愛するので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。 According to such a vehicle control system, by comparing the state information at the time of stopping and the state information at the time of starting, if it can be confirmed that it is not activated for rewriting while stopped or if it is not activated unintentionally Since the verification process at the time of startup is omitted, the control device can be started up at high speed while securing security for security.
なお、実施の形態2において、状態情報をドア制御装置410が持つドアの開閉回数として説明したがこれに限るものではない。他の制御装置が持つ車両にアクセスを示せる状態情報を用いて、ステップS606で用いる検証時の範囲を適切に定めることで停止中に意図せず起動されていないことを検出し起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。また他の制御装置が持つ時間情報などを用いて、ステップS606で用いる検証時の範囲を適切に定めることで短時間での再起動であることを検出し、その場合には、セキュリティに対する安全を確保されているとみなし起動時の検証処理を割愛して、安全かつ高速に制御装置を起動することができる。
In the second embodiment, the state information is described as the number of times of opening and closing of the door possessed by the
また、状態情報は、第二の記憶領域121に格納するときに、暗号化し、状態情報を比較するときに複合化すれば、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
さらに、状態情報を送受するときに暗号化し、受信後に複合化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。
また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。
Also, if the state information is encrypted when stored in the
Furthermore, by encrypting when transmitting / receiving status information and decrypting after reception, the possibility of tampering with status information on the
In the second embodiment, the
以上、この発明の実施の形態を記述したが、この発明は実施の形態に限定されるものではなく、種々の設計変更を行うことが可能であり、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。 As mentioned above, although the embodiment of this invention was described, this invention is not limited to the embodiment, It is possible to make various design changes, and within the scope of the invention, each embodiment Can be combined freely, and each embodiment can be appropriately modified or omitted.
この発明は、車両制御システムのモータ制御装置として利用できる他、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証手段としてどのような制御装置にも利用することができる。 The present invention can be used not only as a motor control device of a vehicle control system but also as any verification device of a storage area at start-up as long as it is a system including a control device controlled by an ECU. it can.
100:モータ制御装置、101:駆動用モータ、110:制御手段、111:停止手段、112:状態情報入手手段、113:制御起動手段、114:検証値生成手段、115:第一の判定手段、116:第二の判定手段、117:カウント手段、118:起動モード確認手段、119:記憶領域書き換え手段、120:第一の記憶領域、121:第二の記憶領域、122:第三の記憶領域、400:CANネットワーク、401:データ送受信手段、410:ドア制御装置、411:ドアモジュール、420:第二の制御手段、421:記憶領域、422:状態検出手段、423:第二のデータ送受信手段。 100: Motor control device, 101: Drive motor, 110: Control means, 111: Stop means, 112: State information acquisition means, 113: Control start means, 114: Verification value generation means, 115: First judgment means, 116: second determination means, 117: count means, 118: start mode confirmation means, 119: storage area rewriting means, 120: first storage area, 121: second storage area, 122: third storage area , 400: CAN network, 401: data transmission / reception means, 410: door control device, 411: door module, 420: second control means, 421: storage area, 422: state detection means, 423: second data transmission / reception means .
Claims (4)
前記制御手段を停止する際に、前記状態情報入手手段から状態情報を入手して前記第二の記憶領域に格納し、前記制御手段の起動前に、再び状態情報を入手し、前記第二の判定手段は、停止時の前記状態情報と起動時の前記状態情報から前記第一の判定手段を実施するかどうかを判定することを特徴とする制御装置。 Control means for controlling a control target, control activation means for controlling activation of the control means, state information obtaining means for acquiring state information related to control, and data required for control by the control means A first storage area, a second storage area for storing state information acquired by the state information acquisition means, and a third storage area for storing an expected value generated from data of the first storage area; Verification value generation means for generating a verification value from data of the first storage area, and whether the control means is to be implemented from the expected value stored in the third storage area and the verification value by the verification value generation means And a second determination unit that determines whether to execute the first determination unit from one or more pieces of status information.
When stopping the control means, the state information is obtained from the state information obtaining means and stored in the second storage area, and the state information is obtained again before the control means is activated, The control device determines whether or not the first determination means is to be implemented from the state information at the time of stop and the state information at the time of start.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017189513A JP6461272B1 (en) | 2017-09-29 | 2017-09-29 | Control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017189513A JP6461272B1 (en) | 2017-09-29 | 2017-09-29 | Control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6461272B1 JP6461272B1 (en) | 2019-01-30 |
JP2019066984A true JP2019066984A (en) | 2019-04-25 |
Family
ID=65228933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017189513A Active JP6461272B1 (en) | 2017-09-29 | 2017-09-29 | Control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6461272B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020187504A (en) * | 2019-05-14 | 2020-11-19 | 三菱電機株式会社 | Control device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009013831A1 (en) * | 2007-07-26 | 2009-01-29 | Panasonic Corporation | Information processing terminal and falsification verification method |
JP2017156945A (en) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | Information processor and control method |
-
2017
- 2017-09-29 JP JP2017189513A patent/JP6461272B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009013831A1 (en) * | 2007-07-26 | 2009-01-29 | Panasonic Corporation | Information processing terminal and falsification verification method |
JP2017156945A (en) * | 2016-03-01 | 2017-09-07 | 株式会社東芝 | Information processor and control method |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020187504A (en) * | 2019-05-14 | 2020-11-19 | 三菱電機株式会社 | Control device |
Also Published As
Publication number | Publication date |
---|---|
JP6461272B1 (en) | 2019-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11907698B2 (en) | Vehicle electronic control system, vehicle master device, method for controlling transmission of data storage bank information and computer program product for controlling transmission of data storage bank information | |
US11683197B2 (en) | Vehicle master device, update data distribution control method, computer program product and data structure of specification data | |
US20210182049A1 (en) | Vehicle program rewrite system, vehicle master device, progress synchronization method and computer program product | |
CN108536118B (en) | Vehicle ECU, system and method for ECU to provide diagnostic information | |
US20220179644A1 (en) | Vehicle electronic control system, vehicle master device, and rewrite instruction program product under specific mode | |
US11960875B2 (en) | Vehicle master device, vehicle electronic control system, configuration setting information rewrite instruction method, and configuration setting information rewrite instruction program product | |
US11671498B2 (en) | Vehicle master device, update data verification method and computer program product | |
US11822366B2 (en) | Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data | |
CN110109443B (en) | Safe communication method and device for vehicle diagnosis, storage medium and equipment | |
US20210155177A1 (en) | Vehicle electronic control system, distribution package download determination method and computer program product | |
US11604637B2 (en) | Electronic control unit, vehicle electronic control system, difference data consistency determination method and computer program product | |
US11467821B2 (en) | Vehicle master device, installation instruction determination method and computer program product | |
US20210155173A1 (en) | Vehicle master device, vehicle electronic control system, activation request instruction method and computer program product | |
US11182485B2 (en) | In-vehicle apparatus for efficient reprogramming and controlling method thereof | |
CN111480141A (en) | Method and device for updating software of a motor vehicle control device | |
US11941384B2 (en) | Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data | |
US20220179643A1 (en) | Vehicle master device, vehicle electronic control system, configuration setting information rewrite instruction method, and configuration setting information rewrite instruction program product | |
CN101855111B (en) | Method of unlocking an engine control computer | |
JP2019185575A (en) | Controller and control method | |
US11656771B2 (en) | Electronic control unit, vehicle electronic control system, activation execution control method and computer program product | |
US11907697B2 (en) | Vehicle electronic control system, center device, vehicle master device, display control information transmission control method, display control information reception control method, display control information transmission control program, and display control information reception control program | |
US20210160064A1 (en) | Vehicle master device, security access key management method, security access key management program and data structure of specification data | |
JP2019066984A (en) | Control device | |
JP6639615B1 (en) | Control device | |
US10789365B2 (en) | Control device and control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181225 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6461272 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |