JP2019191063A - 検査システム - Google Patents
検査システム Download PDFInfo
- Publication number
- JP2019191063A JP2019191063A JP2018086066A JP2018086066A JP2019191063A JP 2019191063 A JP2019191063 A JP 2019191063A JP 2018086066 A JP2018086066 A JP 2018086066A JP 2018086066 A JP2018086066 A JP 2018086066A JP 2019191063 A JP2019191063 A JP 2019191063A
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- ecu
- information
- control device
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Abstract
【課題】車両に搭載される制御装置が、運用時においても、正常に動作するか否かを検査できる検査システムを得る。【解決手段】サーバー1001の検査情報生成手段1012により、ECUの設計情報およびセキュリティ情報に基づき、ECUの機能の検査に用いるセキュリティ検査情報を生成して、ECU_GW201に送信し、これを受信したECU_GW201は、ECU_GW制御手段202により、変換処理をして、変換処理済みの情報をECU_A301とECU_B401へ送信し、これを受けて、ECU_A301とECU_B401では、予め保有している判定指標を用いて、それぞれ、受信した情報が正常か異常かを判定する。【選択図】図1
Description
本願は、車両に搭載された制御装置を検査する検査システムに関するものである。
車両には、ECU(Electronic Control Unit)と呼ばれる電子制御装置が複数搭載されており、そのECU間は無線通信または有線通信が可能なネットワークで接続されている。
ECUのいくつかは自身が備える無線通信手段を用いて、車両外部に存在する道路、住居、他の車両、カーメーカまたは車載部品供給メーカの備えるサーバーなどと無線通信を行うことにより、機器間の情報共有を実現している。
この情報共有の一部として、車両外部からECUの状態を取得して車両の故障診断を行ったり、ECUの機能を変更するために新たなソフトウェアを車両外部からECUへ送信して更新したり(たとえば、ナビゲーションなどのECUが備えるマップの更新)、することが可能となり、エンドユーザへ有益な機能を提供できるようになっている。
ECUのいくつかは自身が備える無線通信手段を用いて、車両外部に存在する道路、住居、他の車両、カーメーカまたは車載部品供給メーカの備えるサーバーなどと無線通信を行うことにより、機器間の情報共有を実現している。
この情報共有の一部として、車両外部からECUの状態を取得して車両の故障診断を行ったり、ECUの機能を変更するために新たなソフトウェアを車両外部からECUへ送信して更新したり(たとえば、ナビゲーションなどのECUが備えるマップの更新)、することが可能となり、エンドユーザへ有益な機能を提供できるようになっている。
一方で、情報共有手段を悪用し、悪意のある者が異常な車両挙動を引き起こすために、不正な情報を車両へ送信することも可能となる。このような場合の対策のために、車両またはECUの設計者は、把握し得る不正な情報へ対応できるよう、機能要求あるいはセキュリティなどの非機能要求を満たす機器の設計を行う。
この不正な情報は、ECUが車両に搭載されたのちに、演算能力の向上、新たな攻撃手口などにより更新され得る。更新された情報が車両に送信された場合に、ECUが異常な動作にならないようにするのが理想的である。しかし、更新された不正な情報の中には、設計時に対応しきれない情報も存在するため、そのような情報は車両の動作に悪影響を与えることになる。
この不正な情報は、ECUが車両に搭載されたのちに、演算能力の向上、新たな攻撃手口などにより更新され得る。更新された情報が車両に送信された場合に、ECUが異常な動作にならないようにするのが理想的である。しかし、更新された不正な情報の中には、設計時に対応しきれない情報も存在するため、そのような情報は車両の動作に悪影響を与えることになる。
また、車両を構成する一部のECUの機能更新時においても、車両搭載前後における不正な情報に正しく対応できる必要がある。
特許文献1には、ECUの動作を検査するために、ECUの設計情報に基づいて予め生成されるデータとそのデータの一部または全部をランダムデータに置き換えたデータをECUに送信し、運用時におけるECUの動作を正確に検査し得る検査装置が記載されている。
特許文献1には、ECUの動作を検査するために、ECUの設計情報に基づいて予め生成されるデータとそのデータの一部または全部をランダムデータに置き換えたデータをECUに送信し、運用時におけるECUの動作を正確に検査し得る検査装置が記載されている。
しかしながら、特許文献1の技術を適用すると、以下のような問題がある。
特許文献1の設計情報は「設計段階」のみが対象であり、運用段階に更新・追加される設計情報への対応が記載されていない。エンドユーザが車両を入手したのちの運用段階では、様々な要因で設計情報が変化することが想定される。その変化を考慮せずにセキュリティ上の異常を引き起こすようなデータを、設計段階の情報を基に作成して送信すると、正常にもかかわらず異常と判定する虞がある。
また、ゲートウェイあるいはサーバーでのECUの検査が前提とされており、ゲートウェイ自体の検査に対応できる構成となっていない。ゲートウェイが正常に機能しているかどうかを正しく把握できない虞がある。
特許文献1の設計情報は「設計段階」のみが対象であり、運用段階に更新・追加される設計情報への対応が記載されていない。エンドユーザが車両を入手したのちの運用段階では、様々な要因で設計情報が変化することが想定される。その変化を考慮せずにセキュリティ上の異常を引き起こすようなデータを、設計段階の情報を基に作成して送信すると、正常にもかかわらず異常と判定する虞がある。
また、ゲートウェイあるいはサーバーでのECUの検査が前提とされており、ゲートウェイ自体の検査に対応できる構成となっていない。ゲートウェイが正常に機能しているかどうかを正しく把握できない虞がある。
本願は、上記のような課題を解決するための技術を開示するものであり、車両に搭載される制御装置が、運用時においても、正常に動作するか否かを検査できる検査システムを提供することを目的とする。
本願に開示される検査システムは、車両に搭載され、互いに通信可能な複数の制御装置、およびこの複数の制御装置の機能の検査を、車外からネットワークを介して行なう検査装置を備え、検査装置は、複数の制御装置の設計情報および別途収集したセキュリティ情報に基づき、第一の制御装置の機能の検査に用いるセキュリティ検査情報を生成する検査情報生成手段を有し、検査情報生成手段により生成されたセキュリティ検査情報を第一の制御装置に送信し、第一の制御装置は、検査装置から送信されたセキュリティ検査情報を、第二の制御装置向けの第一の検査データに変換するゲートウェイ制御手段を有し、ゲートウェイ制御手段によって変換された第一の検査データを第二の制御装置に送信し、第二の制御装置は、第一の制御装置から送信された第一の検査データが、正常範囲内にあるかどうかを判定するための判定指標を格納した指標データベースと、第一の検査データを判定指標と比較して、第一の検査データの正常または異常を判定する第一の判定手段とを有するようにしたものである。
本願に開示される検査システムによれば、車両に搭載される制御装置が、運用時においても、正常に動作するか否かを検査することができる。
実施の形態1.
図1は、実施の形態1による検査システムの概略構成を示すブロック図である。
図1において、車両101は、ECU_GW201、ECU_A301、ECU_B401の制御装置を搭載し、これらの制御装置は、有線通信501で接続されている。
車両101の外部には、サーバー1001が設けられており、車両101とサーバー1001は、無線通信502と通信網601とを介して、および無線通信503と通信網601とを介して接続されている。
図1は、実施の形態1による検査システムの概略構成を示すブロック図である。
図1において、車両101は、ECU_GW201、ECU_A301、ECU_B401の制御装置を搭載し、これらの制御装置は、有線通信501で接続されている。
車両101の外部には、サーバー1001が設けられており、車両101とサーバー1001は、無線通信502と通信網601とを介して、および無線通信503と通信網601とを介して接続されている。
サーバー1001(検査装置)は、次のように構成されている。
サーバー1001は、車両101に搭載されたECUを検査するために、ある時点でのECUの設計情報1010と、別途収集したセキュリティ情報1011から生成される検査データであるセキュリティ検査情報を、無線通信502を介して車両101に送信する。
検査情報生成手段1012は、ある時点でのECUの設計情報1010とセキュリティ情報1011から、セキュリティ検査情報を生成する。サーバー送受信手段1013は、通信網601および無線通信502を介して、車両との間で、セキュリティ検査情報を含む車内外通信情報の送受信を行なう。
検査制御手段1014は、サーバー送受信手段1013を通じて、セキュリティ検査情報を車両に送信するための制御を行なう。
サーバー1001は、車両101に搭載されたECUを検査するために、ある時点でのECUの設計情報1010と、別途収集したセキュリティ情報1011から生成される検査データであるセキュリティ検査情報を、無線通信502を介して車両101に送信する。
検査情報生成手段1012は、ある時点でのECUの設計情報1010とセキュリティ情報1011から、セキュリティ検査情報を生成する。サーバー送受信手段1013は、通信網601および無線通信502を介して、車両との間で、セキュリティ検査情報を含む車内外通信情報の送受信を行なう。
検査制御手段1014は、サーバー送受信手段1013を通じて、セキュリティ検査情報を車両に送信するための制御を行なう。
また、サーバー1001は、車両101の各ECUのプログラムあるいは機能仕様を有する。プログラムあるいは機能仕様は、現在組み込まれているバージョンに加えて、今後更新予定の新バージョンを含む。
更新ソフト生成手段1015は、車両101のECUに関わる更新プログラムを自動的に生成する、またはサーバー1001の管理者が更新プログラムを格納する。更新ソフト送信制御手段1016は、サーバー送受信手段1013を通じて、更新ソフトを車両に送信するための制御を行なう。
なお、実施の形態1では、セキュリティ検査情報を、ECU_GW201を検査するためのものとして説明する。
更新ソフト生成手段1015は、車両101のECUに関わる更新プログラムを自動的に生成する、またはサーバー1001の管理者が更新プログラムを格納する。更新ソフト送信制御手段1016は、サーバー送受信手段1013を通じて、更新ソフトを車両に送信するための制御を行なう。
なお、実施の形態1では、セキュリティ検査情報を、ECU_GW201を検査するためのものとして説明する。
ここで、設計情報1010とセキュリティ情報1011について、詳細に説明する。
設計情報1010は、車両101に搭載される各ECUとECU間の物理的・論理的なネットワークアーキテクチャ、機能を構成するソフトウェアおよびハードウェアについて、処理、機器の設計の際に考慮した確定できない前提条件などを蓄積した情報であり、データベースに格納されている。
セキュリティ情報1011は、自動車業界に限らず、様々な業界にて報告される公知の脆弱性情報またはインシデント、あるいはサーバーまたはECUにペネトレーションテストを実施して明らかになる機器の脆弱性情報などを蓄積した情報である。セキュリティ情報1011は、設計情報1010とは異なるデータベースに格納されている。
車両101がエンドユーザの手に渡ったのちに新たな脅威または脆弱性情報が発見され次第、セキュリティ情報1011は更新される。
設計情報1010は、車両101に搭載される各ECUとECU間の物理的・論理的なネットワークアーキテクチャ、機能を構成するソフトウェアおよびハードウェアについて、処理、機器の設計の際に考慮した確定できない前提条件などを蓄積した情報であり、データベースに格納されている。
セキュリティ情報1011は、自動車業界に限らず、様々な業界にて報告される公知の脆弱性情報またはインシデント、あるいはサーバーまたはECUにペネトレーションテストを実施して明らかになる機器の脆弱性情報などを蓄積した情報である。セキュリティ情報1011は、設計情報1010とは異なるデータベースに格納されている。
車両101がエンドユーザの手に渡ったのちに新たな脅威または脆弱性情報が発見され次第、セキュリティ情報1011は更新される。
サーバー1001から出力されるのは、設計情報1010とセキュリティ情報1011の両方を考慮したセキュリティ検査情報である。セキュリティ検査情報は、無線通信502を介して送信される。セキュリティ検査情報は、ECU_GW201の無線通信502に関わる受信機能に加えて、ECU_GW201のセンシング情報および受信情報をゲートウェイする機能などの検査を行うためのものである。
ECU_GW201(第一の制御装置)は、次のように構成されている。
ECU_GW201は、車内にあるゲートウェイであり、運転者の状態監視を行ったり、エンターテインメント系のナビゲーションあるいはスマートフォンなどの持込み機器に対する入出力を有し、コンビネーションメータに情報を表示させたりするECUである。
ECU_GW制御手段202(ゲートウェイ制御手段)は、ゲートウェイ機能を有し、受信したデータを転送し、または、このデータを加工して送信する。すなわち、サーバー1001または車内のECUから受信したデータを、有線通信501または無線通信502を介して、そのまま転送し、また、受信したデータを自身の制御を介して変更を加えた結果を、別のECUまたは車外機器に送信する。
ECU_GW201は、サーバー1001から受信したセキュリティ検査情報を、ECU_A301(第二の制御装置)用、およびECU_B401(第三の制御装置)用のデータ(第一の検査データ、第二の検査データ)に変換して、それぞれ、ECU_A301、ECU_B401に送信するようになっている。
ECU_GW201は、車内にあるゲートウェイであり、運転者の状態監視を行ったり、エンターテインメント系のナビゲーションあるいはスマートフォンなどの持込み機器に対する入出力を有し、コンビネーションメータに情報を表示させたりするECUである。
ECU_GW制御手段202(ゲートウェイ制御手段)は、ゲートウェイ機能を有し、受信したデータを転送し、または、このデータを加工して送信する。すなわち、サーバー1001または車内のECUから受信したデータを、有線通信501または無線通信502を介して、そのまま転送し、また、受信したデータを自身の制御を介して変更を加えた結果を、別のECUまたは車外機器に送信する。
ECU_GW201は、サーバー1001から受信したセキュリティ検査情報を、ECU_A301(第二の制御装置)用、およびECU_B401(第三の制御装置)用のデータ(第一の検査データ、第二の検査データ)に変換して、それぞれ、ECU_A301、ECU_B401に送信するようになっている。
ECU_GW車外通信手段203は、無線通信502を介して通信網601に接続される。ECU_GW車内通信手段204は、有線通信501により、車内のECU_A301、ECU_B401に接続されている。
ECU_GW更新制御手段205は、サーバー1001から受信する各ECUの更新ソフトウェアを更新対象となる車内ECUに送信するための制御を行なう。
ECU_GW更新制御手段205は、サーバー1001から受信する各ECUの更新ソフトウェアを更新対象となる車内ECUに送信するための制御を行なう。
ECU_A301(第二の制御装置)は、次のように構成されている。
ECU_A301は、運転支援を行うADAS(Advanced Driver Assistant System)ECUであったり、V2X(Vehicle to X:Xは車、家、交通インフラなどに配置される車外の機器)ECUであったりする。
ECU_A301は、車内の有線通信501に流れるデータを受信する。
また、本実施の形態1では、より好適な形態として、車両101の外部へ自身のもつデータを送信する無線通信503の通信経路をもつ。
ECU_A301は、運転支援を行うADAS(Advanced Driver Assistant System)ECUであったり、V2X(Vehicle to X:Xは車、家、交通インフラなどに配置される車外の機器)ECUであったりする。
ECU_A301は、車内の有線通信501に流れるデータを受信する。
また、本実施の形態1では、より好適な形態として、車両101の外部へ自身のもつデータを送信する無線通信503の通信経路をもつ。
ECU_A制御手段302は、自制御装置の制御を行なう。ECU_A車内通信手段303は、車内の有線通信501を介して、データを送受信する。ECU_A車外通信手段304は、無線通信503の通信経路を介して、車両101の外部との間でデータの送受信を行なう。
ECU_A正常通信情報305は、ECU_GW201から送信されるデータが正常範囲内にあるか否かを判断するための判定指標である正常通信情報をデータベース(指標データベース)に格納したものである。
ECU_A検査結果判定手段306(第一の判定手段)は、ECU_GW201から送信されるセキュリティ検査情報を変換した情報(第一の検査データ)を、ECU_A正常通信情報305と比較することで、当該情報が正常範囲内にあるか否かを判断する。
ECU_A正常通信情報305は、ECU_GW201から送信されるデータが正常範囲内にあるか否かを判断するための判定指標である正常通信情報をデータベース(指標データベース)に格納したものである。
ECU_A検査結果判定手段306(第一の判定手段)は、ECU_GW201から送信されるセキュリティ検査情報を変換した情報(第一の検査データ)を、ECU_A正常通信情報305と比較することで、当該情報が正常範囲内にあるか否かを判断する。
ECU_B401(第三の制御装置)は、次のように構成されている。
ECU_B401は、ボディ系、シャシー系などのECUであって、他の機器の中継なしに、車外へ無線通信503を介して情報を送信しないECUである。
ECU_B401は、ECU_A301およびECU_GW201と、有線通信501で接続されており、車内の他のECUとも通信が可能になっている。
ECU_B制御手段402、ECU_B車内通信手段403、ECU_B正常通信情報405およびECU_B検査結果判定手段406(第二の判定手段)は、それぞれ、ECU_A301のECU_A制御手段302、ECU_A車内通信手段303、ECU_A正常通信情報305およびECU_A検査結果判定手段306と同じものである。
ECU_B正常通信情報405は、ECU_GW201から送信されるセキュリティ検査情報を変換した情報(第二の検査データ)が、正常範囲内にあるか否かを判定するための判定指標であり、データベース(別指標データベース)に格納されている。
ECU_B401は、ボディ系、シャシー系などのECUであって、他の機器の中継なしに、車外へ無線通信503を介して情報を送信しないECUである。
ECU_B401は、ECU_A301およびECU_GW201と、有線通信501で接続されており、車内の他のECUとも通信が可能になっている。
ECU_B制御手段402、ECU_B車内通信手段403、ECU_B正常通信情報405およびECU_B検査結果判定手段406(第二の判定手段)は、それぞれ、ECU_A301のECU_A制御手段302、ECU_A車内通信手段303、ECU_A正常通信情報305およびECU_A検査結果判定手段306と同じものである。
ECU_B正常通信情報405は、ECU_GW201から送信されるセキュリティ検査情報を変換した情報(第二の検査データ)が、正常範囲内にあるか否かを判定するための判定指標であり、データベース(別指標データベース)に格納されている。
ECU_B401では、ECU_GW201から送信されるデータが正常範囲内にあるか否かを判断することができる、ECU_A301とは異なる判定指標をもつ。
ECU_A301とECU_B401の判定指標の候補は、ECU_GW201のフェイルセーフ機能またはセキュリティ対策機能の結果から出力されるデータの受信間隔あるいは取り得る値である。
通常制御状態となる範囲に加えて、フェイルセーフまたはセキュリティ対策が動作している範囲を定義し、受信間隔または取り得る値が、その範囲から逸脱していないかどうかという判定を行う。
正常と異常のいずれにも該当しない場合が、セキュリティ検査情報によって想定しない動作となっていると判定できる。
ECU_A301とECU_B401の判定指標の候補は、ECU_GW201のフェイルセーフ機能またはセキュリティ対策機能の結果から出力されるデータの受信間隔あるいは取り得る値である。
通常制御状態となる範囲に加えて、フェイルセーフまたはセキュリティ対策が動作している範囲を定義し、受信間隔または取り得る値が、その範囲から逸脱していないかどうかという判定を行う。
正常と異常のいずれにも該当しない場合が、セキュリティ検査情報によって想定しない動作となっていると判定できる。
また、ECU_A301とECU_B401の持つ、受信間隔と取り得る値の範囲の判定指標には所定の関係(所定の関係性)が成り立つ。
ここでは、ECU_A301が車線維持機能を持つADASECUとして機能する場合、かつECU_B401がECU_A301から受信したデータに基づき、操舵量を決める電動パワーステアリングECUとした場合において、受信間隔の判定指標に成り立つ関係性に注目して説明する。
ここでは、ECU_A301が車線維持機能を持つADASECUとして機能する場合、かつECU_B401がECU_A301から受信したデータに基づき、操舵量を決める電動パワーステアリングECUとした場合において、受信間隔の判定指標に成り立つ関係性に注目して説明する。
GPS(Global Positioning System)などの車外通信から、車両101の絶対位置を特定する信号をECU_GW201が受信し、受信データに基づいて、ADASECUと電動パワーステアリングECUへデータを送信する。
このときのADASECUと電動パワーステアリングECUのデータ受信間隔は、車両101に搭載された運転者の状態を検知するセンサ検出値を、ECU_GW201から受信するときの受信間隔よりも一般的に長い。
このことから、このケースにおいては、ECU_A301とECU_B401のデータ受信間隔は、両方とも所定の時間より長いという関係性を持つ。ECU_GW201がECU_A301とECU_B401へ送信する間隔が、一方は所定の時間より短く、もう一方が所定の時間よりも長い場合は、その関係性が崩れてしまっており、ECU_GW201が何らかの異常を抱えていることが分かる。
このときのADASECUと電動パワーステアリングECUのデータ受信間隔は、車両101に搭載された運転者の状態を検知するセンサ検出値を、ECU_GW201から受信するときの受信間隔よりも一般的に長い。
このことから、このケースにおいては、ECU_A301とECU_B401のデータ受信間隔は、両方とも所定の時間より長いという関係性を持つ。ECU_GW201がECU_A301とECU_B401へ送信する間隔が、一方は所定の時間より短く、もう一方が所定の時間よりも長い場合は、その関係性が崩れてしまっており、ECU_GW201が何らかの異常を抱えていることが分かる。
次に、動作について説明する。
実施の形態1の検査システムの動作について、図2のシーケンスチャートに従って説明する。
実施の形態1の検査システムの動作について、図2のシーケンスチャートに従って説明する。
ステップST1001では、サーバー1001がECU_GW201を検査するためのセキュリティ検査情報を生成する。
ステップST1002では、サーバー1001が生成したセキュリティ検査情報を、ECU_GW201に送信する。
ステップST1003では、ECU_GW201がセキュリティ検査情報を受信する。
ステップST1002では、サーバー1001が生成したセキュリティ検査情報を、ECU_GW201に送信する。
ステップST1003では、ECU_GW201がセキュリティ検査情報を受信する。
ステップST1004では、ECU_GW201が、受信したセキュリティ検査情報をサーバー1001に送信する。このとき、ECU_GW201は、セキュリティ検査情報に共通鍵暗号または公開鍵暗号を用いた暗号化、あるいはハッシュ関数を用いた一方向変換などの変換処理(所定の処理)を施す。
ステップST1005では、サーバー1001は、ECU_GW201から送信された情報が、サーバー1001が送信したものと相違ないかどうかを判定する。
相違なしと判定した場合、ECU_GW201の検査を継続し、ステップST1006にすすむ。
相違ありと判定した場合、無線通信502、あるいはECU_GW201の受信処理または送信処理に、異常があると推定できるので、検査を停止する。
相違なしと判定した場合、ECU_GW201の検査を継続し、ステップST1006にすすむ。
相違ありと判定した場合、無線通信502、あるいはECU_GW201の受信処理または送信処理に、異常があると推定できるので、検査を停止する。
ステップST1006では、ECU_GW201がセキュリティ検査情報から、ECU_GW201の機能に基づいて、各ECU向けの検査データに変換する。
ステップST1007とステップST1008では、セキュリティ検査情報を変換した検査データを、ECU_A301、ECU_B401へ送信する。
ステップST1007とステップST1008では、セキュリティ検査情報を変換した検査データを、ECU_A301、ECU_B401へ送信する。
(パターン2−1:ECU_A301、ECU_B401それぞれで、検査データを判定する場合)
ステップST1009では、ECU_A301、ECU_B401が検査データを受信する。
ステップST1010とステップST1011では、ECU_A301およびECU_B401は、それぞれ、受信した検査データと判定指標とを照らし合わせることで、受信した検査データが指標を満足するか否かを判断する。(以上、パターン2−1)
ステップST1009では、ECU_A301、ECU_B401が検査データを受信する。
ステップST1010とステップST1011では、ECU_A301およびECU_B401は、それぞれ、受信した検査データと判定指標とを照らし合わせることで、受信した検査データが指標を満足するか否かを判断する。(以上、パターン2−1)
(パターン2−2:ECU_A301およびECU_B401の間で、検査データの関係性を判定する場合)
また、ECU_A301は、自身が受信した検査データと、そのときECU_B401が受信するべき検査データとの関係性を判定指標(関係性判定指標)の1つとして持つ。このとき、
ステップST1012では、ECU_A301、ECU_B401が、検査データを受信し、ECU_B401が、ステップST1006と同様の処理を行なう。
ステップST1013では、ECU_B401は、受信し、ECU_A301向けに変換した検査データをECU_A301へ送信する。
ステップST1014とステップST1015では、ECU_A301が、自身の持つ検査データとECU_B401から受信した検査データとの2つの検査データに対して、判定指標となる関係性を照合する。(以上、パターン2−2)
また、ECU_A301は、自身が受信した検査データと、そのときECU_B401が受信するべき検査データとの関係性を判定指標(関係性判定指標)の1つとして持つ。このとき、
ステップST1012では、ECU_A301、ECU_B401が、検査データを受信し、ECU_B401が、ステップST1006と同様の処理を行なう。
ステップST1013では、ECU_B401は、受信し、ECU_A301向けに変換した検査データをECU_A301へ送信する。
ステップST1014とステップST1015では、ECU_A301が、自身の持つ検査データとECU_B401から受信した検査データとの2つの検査データに対して、判定指標となる関係性を照合する。(以上、パターン2−2)
次ぎに、ECU_A301から、サーバー1001への判定結果送信について説明する。ECU_A301は、ECU_GW201がもつ無線通信502とは異なる無線通信503で、サーバー1001と通信可能であり、この構成におけるシーケンスについて、以下に説明する。
ステップST1016では、ステップST1011、ステップST1015の判定で、相関またはその他の判定指標を満足しなかった場合に、その結果を生成する。
ステップST1017では、その判定結果をサーバー1001に送信する。
ステップST1018では、サーバー1001がその判定結果を受信する。
ステップST1019では、受信した判定結果に基づいて、判定指標を満足するように修正されたプログラム(更新ソフト)および機能仕様を作成する。
ステップST1020では、修正されたプログラムすなわち更新ソフトをECU_GW201に送信する。
ステップST1021では、ECU_GW201が修正されたプログラムに更新する。
ステップST1017では、その判定結果をサーバー1001に送信する。
ステップST1018では、サーバー1001がその判定結果を受信する。
ステップST1019では、受信した判定結果に基づいて、判定指標を満足するように修正されたプログラム(更新ソフト)および機能仕様を作成する。
ステップST1020では、修正されたプログラムすなわち更新ソフトをECU_GW201に送信する。
ステップST1021では、ECU_GW201が修正されたプログラムに更新する。
実施の形態1によれば、ECU_GW201の機能として、サーバー1001とECU_GW201との間でやりとりされる情報に欠損がないことを確認できるとともに、ECU_GW201の無線通信502での送受信機能、およびECU_A301とECU_B401へのデータの送信機能の動作が正しいか、異常かを正確に確認することができる。
すなわち、車内に備えた可変の判定指標に基づき、ECU_GW201の動作を検査することで、運用中においても、車両に搭載されるECUが正常に動作するか否かを正確に確認することができる。
すなわち、車内に備えた可変の判定指標に基づき、ECU_GW201の動作を検査することで、運用中においても、車両に搭載されるECUが正常に動作するか否かを正確に確認することができる。
また、ECU_A301には正しく送信されたが、ECU_B401には正しく送信されていない場合、偶然、ECU_A301とECU_B401の判定指標の許容範囲内のデータとなっている場合にも、両方のECUのデータの相関を考慮することにより、異常に対して頑強な判定をすることが可能となる。
また、セキュリティ検査情報によって、異常となるデータを発見した場合に、即座にソフトを修正することが可能となる。
なお、上述の実施の形態1の説明では、検査対象をECU_GW201とした一例を示したが、他のECUについても同様のことが適用できる。
すなわち、車両101に搭載されている他のECUであって、受信したデータに基づいて他ECUに送信する機能を備えていれば、適用可能である。
すなわち、車両101に搭載されている他のECUであって、受信したデータに基づいて他ECUに送信する機能を備えていれば、適用可能である。
また、上述の説明では、サーバー1001から無線通信502経由で、セキュリティ検査情報を送信する構成としたが、この限りではなく、セキュリティ検査情報を送信する構成であればよく、サーバー1001以外の機器からの送信でもよいし、無線に限らず有線通信を使ってもよい。
たとえば、有線通信の一例として、DLC(Data Link Coupler)にディーラーなどが利用する検査用ツールを接続し、検査用ツールで生成したセキュリティ検査情報を送信してもよい。
たとえば、有線通信の一例として、DLC(Data Link Coupler)にディーラーなどが利用する検査用ツールを接続し、検査用ツールで生成したセキュリティ検査情報を送信してもよい。
また、上述の説明では、検査システムの構成は、図1のとおりとしたが、ECUの数およびECU間の通信線の結線方法はこの限りでなく、セキュリティ検査情報を受信したECUが、その他のECUにセキュリティ検査情報に基づいたデータを送信する構成であれば、適用可能である。
実施の形態2.
図3は、実施の形態2による検査システムの概略構成を示すブロック図である。
図3において、符号101、201〜205、301〜306、401〜403、405、406、501〜503、601、1001、1010〜1016は図1におけるものと同一のものである。図3では、ECU_GW201に、車両機能管理手段210とECU_GW最適化手段211を設けている。また、サーバー1001に、最適化情報1021とサーバー最適化手段1022を設けている。
図3は、実施の形態2による検査システムの概略構成を示すブロック図である。
図3において、符号101、201〜205、301〜306、401〜403、405、406、501〜503、601、1001、1010〜1016は図1におけるものと同一のものである。図3では、ECU_GW201に、車両機能管理手段210とECU_GW最適化手段211を設けている。また、サーバー1001に、最適化情報1021とサーバー最適化手段1022を設けている。
ECU_GW201の車両機能管理手段210は、所定のタイミングにおけるECU_GW制御手段202を構成する機能、およびECU_A301とECU_B401の制御手段を構成する機能を管理する。すなわち、時刻tnにおけるECU_GW制御手段202およびECU_A制御手段302とECU_B制御手段402による制御を行う機能一覧と詳細を有する。
ECU_GW最適化手段211(機能変更手段)は、ECU_GW201が検出しているセンシング情報、および通信を介して得られる通信情報(自制御装置に入力される情報)に基づいて、設計情報1010から学習を行い、ECU_GW201の機能変更を行なう。すなわち、ECU_GW制御手段202を構成する処理時間、処理周期または処理内容を変更する。
ECU_GW最適化手段211(機能変更手段)は、ECU_GW201が検出しているセンシング情報、および通信を介して得られる通信情報(自制御装置に入力される情報)に基づいて、設計情報1010から学習を行い、ECU_GW201の機能変更を行なう。すなわち、ECU_GW制御手段202を構成する処理時間、処理周期または処理内容を変更する。
サーバー1001の最適化情報1021は、ECU_GW201から送信された、ECU_GW201のセンシング情報およびECU_GW201に入力された通信情報の一部または全てを、設計情報1010に基づいて学習するための情報として、データベースに格納している。
サーバー最適化手段1022は、ECU_GW201から送信された最適化情報1021に基づき、学習を行ない、サーバー1001の機能変更を行なう。
サーバー最適化手段1022は、ECU_GW201から送信された最適化情報1021に基づき、学習を行ない、サーバー1001の機能変更を行なう。
次に、動作について説明する。
ECU_GW201の車両機能管理手段210は、ある時刻tnにおけるゲートウェイ制御および自制御装置の制御を行う機能一覧と詳細を有している。時刻tnよりも後の時刻tn+1における同機能一覧と詳細も、合せて車両機能管理手段210が有する。
車両機能管理手段210は、ECU_GW201が備える機能の処理周期、処理時間、形式的に記載された処理内容が、時刻tnから時刻tn+1の間に、変化があったかどうかを不定期または定期的に確認を行う。変更があった場合には、ECU_A301またはECU_B401に機能変更内容を通知する。
ECU_GW201の車両機能管理手段210は、ある時刻tnにおけるゲートウェイ制御および自制御装置の制御を行う機能一覧と詳細を有している。時刻tnよりも後の時刻tn+1における同機能一覧と詳細も、合せて車両機能管理手段210が有する。
車両機能管理手段210は、ECU_GW201が備える機能の処理周期、処理時間、形式的に記載された処理内容が、時刻tnから時刻tn+1の間に、変化があったかどうかを不定期または定期的に確認を行う。変更があった場合には、ECU_A301またはECU_B401に機能変更内容を通知する。
ECU_A301またはECU_B401は、通知された機能変更内容に応じて、判定指標を更新する機能を有する。
次に、実施の形態2の検査システムを、図4のシーケンスチャートに従って説明する。
次に、実施の形態2の検査システムを、図4のシーケンスチャートに従って説明する。
ステップST2001では、ECU_GW201のECU_GW制御手段202の機能が更新されたことを検知する。
(パターン4−1:機能変更をECU_A301、ECU_B401に通知する場合)
ステップST2002では、時刻tnから時刻tn+1において、更新された機能が所定値以上であったかどうかを確認し、変更がない場合は処理を終了する。
一方、変更があった場合には、ステップST2003へ進む。
ステップST2003では、機能変更および変更内容を他のECUへ通知するために、機能変更内容通知データ(機能変更内容)を作成する。
ステップST2004とステップST2005では、車両101に搭載される各ECUへ機能変更内容通知データを送信する。
ステップST2006では、機能変更内容通知データに基づき、各ECUが備えている判定指標(正常通信情報)を更新する。(以上、パターン4−1)
(パターン4−1:機能変更をECU_A301、ECU_B401に通知する場合)
ステップST2002では、時刻tnから時刻tn+1において、更新された機能が所定値以上であったかどうかを確認し、変更がない場合は処理を終了する。
一方、変更があった場合には、ステップST2003へ進む。
ステップST2003では、機能変更および変更内容を他のECUへ通知するために、機能変更内容通知データ(機能変更内容)を作成する。
ステップST2004とステップST2005では、車両101に搭載される各ECUへ機能変更内容通知データを送信する。
ステップST2006では、機能変更内容通知データに基づき、各ECUが備えている判定指標(正常通信情報)を更新する。(以上、パターン4−1)
(パターン4−2:ECU_GW201が、機能変更をサーバー1001にも通知する場合)
ECU_GW201は、車両機能管理手段210が、ECU_GW制御手段202の機能の変更を検出した場合、サーバー1001にも機能変更を通知する。この場合の動作について、以下に説明する。
ECU_GW201は、車両機能管理手段210が、ECU_GW制御手段202の機能の変更を検出した場合、サーバー1001にも機能変更を通知する。この場合の動作について、以下に説明する。
ステップST2007は、ステップST2002の処理と同様であるため、その説明を省略する。
ステップST2008では、機能変更があったことを通知するための機能変更内容通知データを生成する。
ステップST2009では、サーバー1001へ生成した機能変更内容通知データを送信する。
ステップST2010では、サーバー1001は、この機能変更内容通知データを受信して、車両101を構成するECUの機能構成に変更があったことを検知して、セキュリティ検査情報を生成する。
ステップST2011では、生成したセキュリティ検査情報を、再度ECU_GW201へ送信する。(以上、パターン4−2)
以降は、図2のステップST1003以下の動作と同じである。
ステップST2008では、機能変更があったことを通知するための機能変更内容通知データを生成する。
ステップST2009では、サーバー1001へ生成した機能変更内容通知データを送信する。
ステップST2010では、サーバー1001は、この機能変更内容通知データを受信して、車両101を構成するECUの機能構成に変更があったことを検知して、セキュリティ検査情報を生成する。
ステップST2011では、生成したセキュリティ検査情報を、再度ECU_GW201へ送信する。(以上、パターン4−2)
以降は、図2のステップST1003以下の動作と同じである。
実施の形態2のECU_GW201は、機能変更の要因として、外部から新たなソフトウェアを入力する方法以外に、ECU_GW201が検出しているセンシング情報および通信情報に基づいて、設計情報1010から学習を行い、機能変更を行なうようになっている。
サーバー1001においても、ECU_GW201に搭載されている学習アルゴリズムと同様に、学習可能なサーバー最適化手段1022を有する。
次に、このサーバー最適化手段1022の動作について、ステップST2012以降で説明する。
サーバー1001においても、ECU_GW201に搭載されている学習アルゴリズムと同様に、学習可能なサーバー最適化手段1022を有する。
次に、このサーバー最適化手段1022の動作について、ステップST2012以降で説明する。
ステップST2012では、ECU_GW201が学習に用いているデータである学習用通信情報を収集・蓄積する。ステップST2013では、ECU_GW201は、学習用通信情報を収集したタイミングで、サーバー1001に、この学習用通信情報を送信する。
ステップST2014では、サーバー1001がデータを受信し、最適化情報1021として保持している学習用データベースへ追加する。
ステップST2015では、時刻tnにおける設計情報1010から、学習によって変更された機能(設計情報の差分)を、サーバー最適化手段1022によって解析する。
ステップST2016では、設計情報1010とセキュリティ情報1011に加え、学習によって変更された箇所のみに注目して生成されたセキュリティ検査情報となるように、セキュリティ検査情報を更新する。
ステップST2017では、更新されたセキュリティ検査情報をECU_GW201に送信する。
以降は、図2のステップST1003以下の動作と同じである。
ステップST2014では、サーバー1001がデータを受信し、最適化情報1021として保持している学習用データベースへ追加する。
ステップST2015では、時刻tnにおける設計情報1010から、学習によって変更された機能(設計情報の差分)を、サーバー最適化手段1022によって解析する。
ステップST2016では、設計情報1010とセキュリティ情報1011に加え、学習によって変更された箇所のみに注目して生成されたセキュリティ検査情報となるように、セキュリティ検査情報を更新する。
ステップST2017では、更新されたセキュリティ検査情報をECU_GW201に送信する。
以降は、図2のステップST1003以下の動作と同じである。
次に、実施の形態2における学習の例について説明する。
学習に用いるデータは、運転者の状態を検出するセンシングデータと、走行時のECUのデータであり、運転者の状態に応じて、ECU_A301およびECU_B401へ送信する指示が、運転者にとって違和感のない運転支援となるように学習する。
運転者の満足度をECU_GW201へ入力するようにし、それを教師データとして評価値が最適値になるように学習しつづけることで、ECU_A301およびECU_B401へ送信する処理周期、処理時間、処理内容が変化してゆく。
学習に用いるデータは、運転者の状態を検出するセンシングデータと、走行時のECUのデータであり、運転者の状態に応じて、ECU_A301およびECU_B401へ送信する指示が、運転者にとって違和感のない運転支援となるように学習する。
運転者の満足度をECU_GW201へ入力するようにし、それを教師データとして評価値が最適値になるように学習しつづけることで、ECU_A301およびECU_B401へ送信する処理周期、処理時間、処理内容が変化してゆく。
実施の形態2によれば、各ECUの機能が更新された場合にも、更新された機能に基づくECUの最新情報を使った判定指標で、セキュリティ検査情報を評価できる。
また、更新された機能がセキュリティ検査情報に正しく対応できているかどうかを即座に確認することができる。
また、サーバー最適化手段1022が、検査すべき機能変更を予想し、限定することで、セキュリティ検査情報による検査を短時間で終了させることができる。
また、更新された機能がセキュリティ検査情報に正しく対応できているかどうかを即座に確認することができる。
また、サーバー最適化手段1022が、検査すべき機能変更を予想し、限定することで、セキュリティ検査情報による検査を短時間で終了させることができる。
なお、実施の形態2においては、学習を、教師あり学習として記載しているが、この限りではなく、学習し、機能に変更が加えられることを満足していれば、どの学習方式であっても構わない。
また、実施の形態2においては、ECU_GW201が学習するデータを運転者のセンシング情報としたが、学習するデータは、この限りではなく、ECU_GW201が学習し、その学習に基づき、有線通信501で接続されるECUに対して出力するデータが変更されることを満足していれば、どの学習データであっても構わない。
実施の形態3.
図5は、実施の形態3による検査システムの概略構成を示すブロック図である。
図5において、符号101、201〜205、210、211、301〜306、401〜403、405、406、501〜503、601、1001、1010〜101016、1021、1022は図1におけるものと同一のものである。図5では、サーバー1001に、車両状態履歴情報1031、車両状態予測手段1032、検査計画手段1033および動作許可制御手段1034を設けている。
図5は、実施の形態3による検査システムの概略構成を示すブロック図である。
図5において、符号101、201〜205、210、211、301〜306、401〜403、405、406、501〜503、601、1001、1010〜101016、1021、1022は図1におけるものと同一のものである。図5では、サーバー1001に、車両状態履歴情報1031、車両状態予測手段1032、検査計画手段1033および動作許可制御手段1034を設けている。
車両状態履歴情報1031は、車両101側から送信される車両101の状態等の履歴とユーザの予定などの履歴をデータベース(履歴データベース)に蓄積している。
車両状態予測手段1032は、車両状態履歴情報1031のデータを基に、所定時間先の車両101の状態を予測する予測アルゴリズムを有する。
検査計画手段1033は、車両状態予測手段1032の予測に基づき、セキュリティ検査情報を、車両に送信する時刻を計画し、ユーザ(運転者または所有者)に提示する機能(検査予告手段)を有する。
動作許可制御手段1034は、運転者および所有者が、セキュリティ検査情報による検査を許可しない場合、または車両状態履歴情報1031から検査計画が立てられない場合に、ECUの処理の一部または全てを停止するように、当該ECUに指示する。
車両状態予測手段1032は、車両状態履歴情報1031のデータを基に、所定時間先の車両101の状態を予測する予測アルゴリズムを有する。
検査計画手段1033は、車両状態予測手段1032の予測に基づき、セキュリティ検査情報を、車両に送信する時刻を計画し、ユーザ(運転者または所有者)に提示する機能(検査予告手段)を有する。
動作許可制御手段1034は、運転者および所有者が、セキュリティ検査情報による検査を許可しない場合、または車両状態履歴情報1031から検査計画が立てられない場合に、ECUの処理の一部または全てを停止するように、当該ECUに指示する。
次に、動作について説明する。
実施の形態3では、車両101のECU_GW201は、過去の車両101状態、そのときの時刻、位置などのデータを検知し、サーバー1001に送信するようにしている。
サーバー1001は、車両101側から送信される車両101の状態等の履歴と、ユーザの予定などの履歴を、車両状態履歴情報1031としてデータベースに蓄積し、この蓄積した車両状態履歴情報1031のデータを基にして、車両状態予測手段1032により、今後の車両101の状態を予測する。
そして、検査計画手段1033により、予測した今後の車両101の状態から、セキュリティ検査情報の送信が可能な検査計画を立案し、ユーザに提示する。
万が一、検査を実施しなければならないにもかかわらず、ユーザの許可が下りない、または車両状態履歴情報1031から検査計画が立てられない場合に、動作許可制御手段1034により、車両101の動作を限定する指示を生成する。
実施の形態3では、車両101のECU_GW201は、過去の車両101状態、そのときの時刻、位置などのデータを検知し、サーバー1001に送信するようにしている。
サーバー1001は、車両101側から送信される車両101の状態等の履歴と、ユーザの予定などの履歴を、車両状態履歴情報1031としてデータベースに蓄積し、この蓄積した車両状態履歴情報1031のデータを基にして、車両状態予測手段1032により、今後の車両101の状態を予測する。
そして、検査計画手段1033により、予測した今後の車両101の状態から、セキュリティ検査情報の送信が可能な検査計画を立案し、ユーザに提示する。
万が一、検査を実施しなければならないにもかかわらず、ユーザの許可が下りない、または車両状態履歴情報1031から検査計画が立てられない場合に、動作許可制御手段1034により、車両101の動作を限定する指示を生成する。
次に、実施の形態3の検査システムの動作を、図6のシーケンスチャートに従って説明する。
ステップST3001では、ECU_GW201が、時刻と車両101の状態、位置を関連付けた、車両状態情報を生成する。
ステップST3002では、ECU_GW201は、生成した車両状態情報をサーバー1001へ送信する。
ステップST3003では、サーバー1001は、受信した車両101状態、位置とそのときの時刻情報に加えて、ユーザが登録している予定表から日時と予定の情報を関連付けて、車両状態履歴情報1031として、データベースに保管する。
ステップST3001では、ECU_GW201が、時刻と車両101の状態、位置を関連付けた、車両状態情報を生成する。
ステップST3002では、ECU_GW201は、生成した車両状態情報をサーバー1001へ送信する。
ステップST3003では、サーバー1001は、受信した車両101状態、位置とそのときの時刻情報に加えて、ユーザが登録している予定表から日時と予定の情報を関連付けて、車両状態履歴情報1031として、データベースに保管する。
ステップST3004では、車両状態予測手段1032が、データベースに保管している過去の車両状態履歴情報1031に基づき、ユーザの予定表の確からしさ・実行可能性を確認し、検査可能と予測される日時を決定する。
次いで、検査計画手段1033が、セキュリティ情報1011から、脅威によって脆弱性がつかれる可能性が高く、脆弱性をつかれたときの影響が大きいリスクのあるECUを優先的に検査できるように計画し、検査情報生成手段1012により、セキュリティ検査情報を生成する。
検査計画手段1033は、特に各ECUのリスクに差が無い場合は、全ECUを対象にセキュリティ検査情報を生成するように、検査計画を立案する。
ステップST3005では、検査可能である日時に検査を実行する旨をユーザに通知する。
次いで、検査計画手段1033が、セキュリティ情報1011から、脅威によって脆弱性がつかれる可能性が高く、脆弱性をつかれたときの影響が大きいリスクのあるECUを優先的に検査できるように計画し、検査情報生成手段1012により、セキュリティ検査情報を生成する。
検査計画手段1033は、特に各ECUのリスクに差が無い場合は、全ECUを対象にセキュリティ検査情報を生成するように、検査計画を立案する。
ステップST3005では、検査可能である日時に検査を実行する旨をユーザに通知する。
ステップST3006では、ユーザが提示された検査日時で問題ないかどうかを判断する。検査日時で問題ない場合は、その検査日時に検査を実行する。しかし、検査日時を変更・とりやめをユーザが選択した場合は、ステップST3007に進み、サーバー1001に検査日時が否認されたことが通知される。
ステップST3008では、動作許可制御手段1034は、検査されないことによる危険性を考慮して、セキュリティ情報1011の影響を受けない、または受けにくいと予想される箇所のみ動作することを許可する通知を生成する。
ステップST3009では、動作許可制御手段1034の通知をECU_GW201に送信する。
ステップST3008では、動作許可制御手段1034は、検査されないことによる危険性を考慮して、セキュリティ情報1011の影響を受けない、または受けにくいと予想される箇所のみ動作することを許可する通知を生成する。
ステップST3009では、動作許可制御手段1034の通知をECU_GW201に送信する。
ステップST3010では、ECU_GW201は、ECU_GW201の有線通信501に接続されるECUのうち、影響を受ける可能性があるECUまたはECUの一部機能(ここではECU_B401の一部機能)に対して、制御停止指示を生成する。
ステップST3011にて、ECU_GW201は、対象となるECU_B401に制御停止指示を送信する。
ステップST3012では、ECU_B401は、次の検査が行われるまで、制御動作の一部を停止する。
ステップST3011にて、ECU_GW201は、対象となるECU_B401に制御停止指示を送信する。
ステップST3012では、ECU_B401は、次の検査が行われるまで、制御動作の一部を停止する。
実施の形態3によれば、上記のようにすることで、ユーザの習慣またはユーザの予定表に基づき、検査するタイミングを計画することで、ユーザが車両101を利用することを制限しない。
また、未検査の状態において、車両101での移動が必要となった場合においても、検査対象のECU以外であれば、動作させることが可能であり、走る・曲がる・止まるに関係ないECUが検査対象の場合は、走行も可能となり得る。
また、未検査の状態において、車両101での移動が必要となった場合においても、検査対象のECU以外であれば、動作させることが可能であり、走る・曲がる・止まるに関係ないECUが検査対象の場合は、走行も可能となり得る。
なお、実施の形態1〜実施の形態3で説明した各ECUである制御装置10は、ハードウェアの一例を図7に示すように、少なくともプロセッサ11と記憶装置12から構成される。
記憶装置12は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。
プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
また、サーバー1001も、制御装置10と同様のハードウェア構成である。
記憶装置12は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。
プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
また、サーバー1001も、制御装置10と同様のハードウェア構成である。
本開示は、様々な例示的な実施の形態および実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、および機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
10 制御装置、11 プロセッサ、12 記憶装置、
101 車両、201 ECU_GW、202 ECU_GW制御手段、
203 ECU_GW車外通信手段、204 ECU_GW車内通信手段、
205 ECU_GW更新制御手段、210 車両機能管理手段、
211 ECU_GW最適化手段、301 ECU_A、302 ECU_A制御手段、
303 ECU_A車内通信手段、304 ECU_A車外通信手段、
305 ECU_A正常通信情報、306 ECU_A検査結果判定手段、
401 ECU_B、402 ECU_B制御手段、403 ECU_B車内通信手段、
405 ECU_B正常通信情報、406 ECU_B検査結果判定手段、
501 有線通信、502 無線通信、503 無線通信、601 通信網、
1001 サーバー、1010 設計情報、1011 セキュリティ情報、
1012 検査情報生成手段、1013 サーバー送受信手段、1014 検査制御手段、
1015 更新ソフト生成手段、1016 更新ソフト送信制御手段、
1021 最適化情報、1022 サーバー最適化手段、1031 車両状態履歴情報、
1032 車両状態予測手段、1033 検査計画手段、1034 動作許可制御手段
101 車両、201 ECU_GW、202 ECU_GW制御手段、
203 ECU_GW車外通信手段、204 ECU_GW車内通信手段、
205 ECU_GW更新制御手段、210 車両機能管理手段、
211 ECU_GW最適化手段、301 ECU_A、302 ECU_A制御手段、
303 ECU_A車内通信手段、304 ECU_A車外通信手段、
305 ECU_A正常通信情報、306 ECU_A検査結果判定手段、
401 ECU_B、402 ECU_B制御手段、403 ECU_B車内通信手段、
405 ECU_B正常通信情報、406 ECU_B検査結果判定手段、
501 有線通信、502 無線通信、503 無線通信、601 通信網、
1001 サーバー、1010 設計情報、1011 セキュリティ情報、
1012 検査情報生成手段、1013 サーバー送受信手段、1014 検査制御手段、
1015 更新ソフト生成手段、1016 更新ソフト送信制御手段、
1021 最適化情報、1022 サーバー最適化手段、1031 車両状態履歴情報、
1032 車両状態予測手段、1033 検査計画手段、1034 動作許可制御手段
Claims (10)
- 車両に搭載され、互いに通信可能な複数の制御装置、
およびこの複数の制御装置の機能の検査を、車外からネットワークを介して行なう検査装置を備え、
上記検査装置は、
上記複数の制御装置の設計情報および別途収集したセキュリティ情報に基づき、第一の制御装置の機能の検査に用いるセキュリティ検査情報を生成する検査情報生成手段を有し、
上記検査情報生成手段により生成された上記セキュリティ検査情報を上記第一の制御装置に送信し、
上記第一の制御装置は、
上記検査装置から送信された上記セキュリティ検査情報を、第二の制御装置向けの第一の検査データに変換するゲートウェイ制御手段を有し、
上記ゲートウェイ制御手段によって変換された第一の検査データを上記第二の制御装置に送信し、
上記第二の制御装置は、
上記第一の制御装置から送信された上記第一の検査データが、正常範囲内にあるかどうかを判定するための判定指標を格納した指標データベースと、
上記第一の検査データを上記判定指標と比較して、上記第一の検査データの正常または異常を判定する第一の判定手段とを有することを特徴とする検査システム。 - 上記第一の制御装置は、上記検査装置から送信された上記セキュリティ検査情報を、所定の処理を行なったのち、上記検査装置に送信することを特徴とする請求項1に記載の検査システム。
- 上記第一の制御装置は、上記セキュリティ検査情報を、上記ゲートウェイ制御手段により、上記第二の制御装置とは別の第三の制御装置向けの第二の検査データに変換し、この変換された第二の検査データを上記第三の制御装置に送信し、
上記第三の制御装置は、
上記第一の制御装置から送信された上記第二の検査データが、正常範囲内にあるかどうかを判定するための判定指標で、かつ 上記第二の制御装置の判定指標とは異なる判定指標を格納した別指標データベースと、
上記第二の検査データを上記別指標データベースの判定指標と比較して、上記第二の検査データの正常または異常を判定する第二の判定手段とを有することを特徴とする請求項1または請求項2に記載の検査システム。 - 上記第二の制御装置は、上記ゲートウェイ制御手段により、上記セキュリティ検査情報から自制御装置向けに変換された第一の検査データと、上記第三の制御装置向けに変換された第二の検査データとの間に所定の関係性があるかどうかを判定するための関係性判定指標を有し、
上記第三の制御装置は、上記第二の検査データを、上記第二の制御装置向けの第三の検査データに変換して、上記第二の制御装置に送信し、
上記第二の制御装置は、上記第一の判定手段により、上記第三の制御装置から送信された上記第三の検査データについて、上記関係性判定指標を用いて、上記所定の関係性があるかどうかを判定することを特徴とする請求項3に記載の検査システム。 - 上記第二の制御装置は、上記第三の制御装置から送信された上記第三の検査データが、上記所定の関係性をもたない場合は、その判定結果を上記検査装置に送信することを特徴とする請求項4に記載の検査システム。
- 上記第一の制御装置は、上記複数の制御装置の機能を管理する車両機能管理手段を有し、
上記車両機能管理手段により上記ゲートウェイ制御手段の機能が変更されたことが検知された場合は、上記第二の制御装置および上記第三の制御装置に機能変更内容を送信し、
上記第二の制御装置および上記第三の制御装置は、それぞれ、上記第一の制御装置から送信された上記機能変更内容に基づき、自制御装置の上記判定指標を更新することを特徴とする請求項3から請求項5のいずれか一項に記載の検査システム。 - 上記第一の制御装置は、上記車両機能管理手段により、上記ゲートウェイ制御手段の機能が変更されたことを検知した場合には、上記機能変更内容を上記検査装置へ送信し、
上記検査装置は、上記機能変更内容を反映させた上記セキュリティ検査情報を生成して、上記第一の制御装置へ送信することを特徴とする請求項6に記載の検査システム。 - 上記第一の制御装置は、自制御装置に入力された情報に基づき、上記ゲートウェイ制御手段の機能の変更を行なう機能変更手段を有するとともに、
上記入力された情報を上記検査装置に送信し、
上記検査装置は、上記第一の制御装置から受信した上記入力された情報を解析して、上記検査情報生成手段による上記セキュリティ検査情報の生成に反映させることを特徴とする請求項1から請求項7のいずれか一項に記載の検査システム。 - 上記検査装置は、
上記車両から車両状態に係わる情報を収集し、この収集した車両状態情報を蓄積した車両状態履歴情報を記憶する履歴データベースと、
上記車両状態履歴情報から所定時間先の車両状態を予測する車両状態予測手段と、
この車両状態予測手段により予測された車両状態に基づき、上記セキュリティ検査情報を上記車両に送信する時刻を計画する検査計画手段とを有することを特徴とする請求項1から請求項8のいずれか一項に記載の検査システム。 - 上記検査装置は、
上記セキュリティ検査情報を上記車両に送信する時刻を、上記車両の運転者または所有者に予告通知する検査予告手段と、
この検査予告手段の予告通知に応じて、返信された情報に基づき、上記制御装置の機能の一部または全てについて、実行許可または実行停止を指示する動作許可制御手段とを有することを特徴とする請求項1から請求項9のいずれか一項に記載の検査システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018086066A JP6552674B1 (ja) | 2018-04-27 | 2018-04-27 | 検査システム |
| US16/253,441 US11126730B2 (en) | 2018-04-27 | 2019-01-22 | Inspection system |
| DE102019205700.4A DE102019205700B4 (de) | 2018-04-27 | 2019-04-18 | Prüfsystem |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018086066A JP6552674B1 (ja) | 2018-04-27 | 2018-04-27 | 検査システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6552674B1 JP6552674B1 (ja) | 2019-07-31 |
| JP2019191063A true JP2019191063A (ja) | 2019-10-31 |
Family
ID=67473400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018086066A Active JP6552674B1 (ja) | 2018-04-27 | 2018-04-27 | 検査システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11126730B2 (ja) |
| JP (1) | JP6552674B1 (ja) |
| DE (1) | DE102019205700B4 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021060778A (ja) * | 2019-10-07 | 2021-04-15 | 三菱電機株式会社 | 制御装置および制御方法 |
| WO2021075339A1 (ja) | 2019-10-18 | 2021-04-22 | 株式会社Nttドコモ | 端末及び無線通信方法 |
| JP2021076949A (ja) * | 2019-11-06 | 2021-05-20 | 三菱電機株式会社 | 車両用制御装置 |
| JP2021157338A (ja) * | 2020-03-25 | 2021-10-07 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112277843B (zh) * | 2020-09-21 | 2022-04-01 | 江铃汽车股份有限公司 | 一种汽车雷达的配置方法及系统 |
| JP7217767B2 (ja) * | 2021-03-19 | 2023-02-03 | 本田技研工業株式会社 | 更新管理サーバ、更新管理方法、及びプログラム |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102893574A (zh) * | 2010-02-22 | 2013-01-23 | 大陆汽车有限责任公司 | 防止攻击联网车辆的系统和方法 |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
| JP2015214169A (ja) * | 2014-05-07 | 2015-12-03 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
| JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| JP2017050845A (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
| US20170093866A1 (en) * | 2015-09-25 | 2017-03-30 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| JP2017094869A (ja) * | 2015-11-20 | 2017-06-01 | 本田技研工業株式会社 | 通信システム、及び制御装置 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP6270965B1 (ja) * | 2016-11-16 | 2018-01-31 | 三菱電機株式会社 | プログラムの更新制御システムおよびプログラムの更新制御方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8155829B2 (en) * | 2007-11-21 | 2012-04-10 | Denso Corporation | Common control apparatus and vehicle control system |
| EP2403186B1 (en) * | 2010-07-02 | 2017-12-27 | Vodafone IP Licensing limited | Telecommunication networks |
| JP5479408B2 (ja) * | 2011-07-06 | 2014-04-23 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| JP2013103611A (ja) | 2011-11-14 | 2013-05-30 | Denso Corp | 車載中継装置及び外部通信装置 |
| US9282110B2 (en) * | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
| JP6201962B2 (ja) | 2014-11-06 | 2017-09-27 | トヨタ自動車株式会社 | 車載通信システム |
| US10185547B2 (en) * | 2015-06-26 | 2019-01-22 | Intel Corporation | Techniques for distributed operation of secure controllers |
| EP3407050A4 (en) * | 2016-01-19 | 2019-08-21 | IUCF-HYU (Industry-University Cooperation Foundation Hanyang University) | NETWORK DEVICE FOR VEHICLE SAFETY AND METHOD FOR CONTROLLING THEREOF |
| US11044260B2 (en) * | 2016-04-01 | 2021-06-22 | The Regents Of The University Of Michigan | Fingerprinting electronic control units for vehicle intrusion detection |
| EP3521124A4 (en) * | 2016-09-30 | 2020-06-17 | Pioneer Corporation | VEHICLE MOUNTED DEVICE, CONTROL METHOD AND PROGRAM |
| EP3554015B1 (en) * | 2016-12-06 | 2020-12-30 | Panasonic Intellectual Property Corporation of America | Information processing method, information processng system, and program |
| US11055615B2 (en) * | 2016-12-07 | 2021-07-06 | Arilou Information Security Technologies Ltd. | System and method for using signal waveform analysis for detecting a change in a wired network |
| JP6696417B2 (ja) * | 2016-12-20 | 2020-05-20 | 株式会社オートネットワーク技術研究所 | 車載更新装置、更新システム及び可搬型通信器 |
| US10496398B2 (en) * | 2017-07-25 | 2019-12-03 | Aurora Labs Ltd. | Hot updates to ECU software using tool chain |
| US20200228988A1 (en) * | 2017-09-29 | 2020-07-16 | Lg Electronics Inc. | V2x communication device and method for inspecting forgery/falsification of key thereof |
| KR102506931B1 (ko) * | 2018-02-27 | 2023-03-07 | 현대자동차 주식회사 | 전자화 장비 보안 검사 시스템 및 그 방법 |
| US11321462B2 (en) * | 2018-04-10 | 2022-05-03 | Raytheon Company | Device behavior anomaly detection |
| JP6964277B2 (ja) * | 2018-03-30 | 2021-11-10 | パナソニックIpマネジメント株式会社 | 通信遮断システム、通信遮断方法及びプログラム |
| DE102018212657A1 (de) * | 2018-07-30 | 2020-01-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz |
| JP6995726B2 (ja) * | 2018-09-26 | 2022-01-17 | フォルシアクラリオン・エレクトロニクス株式会社 | 脆弱性評価装置、脆弱性評価システム及びその方法 |
| US11019084B2 (en) * | 2018-12-14 | 2021-05-25 | Intel Corporation | Controller, a context broadcaster and an alert processing device |
| US11423145B2 (en) * | 2019-12-26 | 2022-08-23 | Intel Corporation | Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization |
-
2018
- 2018-04-27 JP JP2018086066A patent/JP6552674B1/ja active Active
-
2019
- 2019-01-22 US US16/253,441 patent/US11126730B2/en active Active
- 2019-04-18 DE DE102019205700.4A patent/DE102019205700B4/de active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102893574A (zh) * | 2010-02-22 | 2013-01-23 | 大陆汽车有限责任公司 | 防止攻击联网车辆的系统和方法 |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
| JP2015214169A (ja) * | 2014-05-07 | 2015-12-03 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
| JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| JP2017050845A (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
| US20170093866A1 (en) * | 2015-09-25 | 2017-03-30 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| JP2017094869A (ja) * | 2015-11-20 | 2017-06-01 | 本田技研工業株式会社 | 通信システム、及び制御装置 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP6270965B1 (ja) * | 2016-11-16 | 2018-01-31 | 三菱電機株式会社 | プログラムの更新制御システムおよびプログラムの更新制御方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021060778A (ja) * | 2019-10-07 | 2021-04-15 | 三菱電機株式会社 | 制御装置および制御方法 |
| WO2021075339A1 (ja) | 2019-10-18 | 2021-04-22 | 株式会社Nttドコモ | 端末及び無線通信方法 |
| JP2021076949A (ja) * | 2019-11-06 | 2021-05-20 | 三菱電機株式会社 | 車両用制御装置 |
| JP2021157338A (ja) * | 2020-03-25 | 2021-10-07 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
| JP7283427B2 (ja) | 2020-03-25 | 2023-05-30 | トヨタ自動車株式会社 | 車両制御システム、攻撃判定方法及びプログラム |
| US11713058B2 (en) | 2020-03-25 | 2023-08-01 | Toyota Jidosha Kabushiki Kaisha | Vehicle control system, attack judging method, and recording medium on which program is recorded |
Also Published As
| Publication number | Publication date |
|---|---|
| US11126730B2 (en) | 2021-09-21 |
| JP6552674B1 (ja) | 2019-07-31 |
| DE102019205700A1 (de) | 2019-10-31 |
| US20190332778A1 (en) | 2019-10-31 |
| DE102019205700B4 (de) | 2023-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6552674B1 (ja) | 検査システム | |
| US11380197B2 (en) | Data analysis apparatus | |
| JP7139257B2 (ja) | 車両セキュリティ監視装置、方法及びプログラム | |
| US8060285B2 (en) | System and method of intelligent agent management using an overseer agent for use in vehicle diagnostics | |
| BR112012006981A2 (pt) | métodos para monitorar operação de um veículo e para detectar impactos em um veículo | |
| US11178164B2 (en) | Data analysis apparatus | |
| KR20180105850A (ko) | 차량 고장 진단 시스템 및 그 진단방법 | |
| KR20200020003A (ko) | 자동차 운전자 보조 시스템에 관련된 방법 | |
| US11292480B2 (en) | Remote safe driving methods and systems | |
| WO2020075809A1 (ja) | 情報処理装置、データ分析方法及びプログラム | |
| CN110325410B (zh) | 数据分析装置及存储介质 | |
| US20210150830A1 (en) | Center device, identification result display system for vehicle state, non-transitory tangible computer readable storage medium, and identification result transmission method for vehicle state | |
| Moukahal et al. | Security vulnerability metrics for connected vehicles | |
| KR20150112049A (ko) | 모바일 기기를 이용한 전기자동차 긴급구난 시스템 | |
| US11763609B2 (en) | Predictive maintenance and diagnostics using modular condition monitoring | |
| US10325423B1 (en) | Method and system for validating states of components of vehicle | |
| JP5682388B2 (ja) | 障害診断方法及び障害診断システム | |
| JP6483461B2 (ja) | 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法 | |
| US20230153765A1 (en) | Maintenance system | |
| Zhang | Distributed Fault Diagnosis of Interconnected Nonlinear Uncertain Systems | |
| Azzoni et al. | Applying SHIELD in New Domains | |
| CN117991750A (zh) | 基于数据采集分析的车载网络总线信息传输车管系统及方法 | |
| JP2021165891A (ja) | 車両管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180427 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190522 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190604 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190702 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6552674 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |