JP2020072431A - Control device - Google Patents

Control device Download PDF

Info

Publication number
JP2020072431A
JP2020072431A JP2018206968A JP2018206968A JP2020072431A JP 2020072431 A JP2020072431 A JP 2020072431A JP 2018206968 A JP2018206968 A JP 2018206968A JP 2018206968 A JP2018206968 A JP 2018206968A JP 2020072431 A JP2020072431 A JP 2020072431A
Authority
JP
Japan
Prior art keywords
unit
control device
state information
storage area
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018206968A
Other languages
Japanese (ja)
Other versions
JP6639615B1 (en
Inventor
松井 俊憲
Toshinori Matsui
俊憲 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2018206968A priority Critical patent/JP6639615B1/en
Application granted granted Critical
Publication of JP6639615B1 publication Critical patent/JP6639615B1/en
Publication of JP2020072431A publication Critical patent/JP2020072431A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

To provide a control device that can shorten a processing time of secure boot processing.SOLUTION: A motor control device 100 includes a status information acquisition unit 112 that acquires status information relating to control, a first storage area 120 that stores control data, a second storage area 121 that stores state information, a third storage area 122 that stores an expected value generated from the data in the first storage area, a verification value generation unit 114 that generates a verification value from the data in the first storage area, a first determination unit 115 that determines whether to activate the control unit 110 on the basis of the expected value and the verification value, and a first selection unit 116 that selects an area for performing determination by the first determination unit on the basis of a difference between the state information stored in the second storage area when the control unit is stopped and the state information reacquired when the control unit is activated.SELECTED DRAWING: Figure 1

Description

この発明は、起動時に期待値と検証値とを比較して検証を行う制御装置に関する。   The present invention relates to a control device that performs verification by comparing an expected value and a verification value at startup.

一般に、車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数台搭載されている。ECUは、他のECUまたは車両外の通信機器と有線または無線によって接続される。そのため、ECUは、不正に侵入される恐れがある。ECUは、不正に侵入されると、ECUのプログラムデータが改ざんされる、または、遠隔操作される可能性がある。   Generally, a plurality of control devices called ECUs (Electronic Control Units) are mounted on a vehicle. The ECU is connected to another ECU or a communication device outside the vehicle by wire or wirelessly. Therefore, the ECU may be illegally intruded. When the ECU is illegally intruded, the program data of the ECU may be falsified or may be remotely operated.

ECUのデータ改ざんへの対策の一つとして、セキュアブートが知られている。セキュアブートは、暗号技術を用いて事前にデータから作成した期待値と、データからその時点で作成した検証値との完全性を検証することで、データの改ざんを検知する技術である。ECUは、制御に関する処理を起動する前に、前回終了時からデータが改ざんされていないかをセキュアブート処理を行って検証することにより、ECUを正常な状態で起動できるか否かを判定することができる。   Secure boot is known as one of the countermeasures against data tampering of the ECU. Secure boot is a technique for detecting tampering of data by verifying the integrity between an expected value created from data in advance using cryptographic technology and a verification value created at that time from the data. The ECU determines whether or not the ECU can be started in a normal state by performing a secure boot process and verifying whether the data has been tampered with since the last time before starting the process related to the control. You can

一方で、ECUは、起動時間の制約が厳しい。そのため、セキュアブート処理の処理時間も、ECUの起動時間の制約内に収めなければならない。すなわち、ECUによる制御が開始するまでの要求時間内に、セキュアブート処理を完了する必要がある。そのため、データの改ざんがないことを保証した上でECUを起動させるためには、セキュアブート処理の処理時間の短縮化が求められる。   On the other hand, the ECU has severe restrictions on the startup time. Therefore, the processing time of the secure boot processing must be within the constraint of the ECU startup time. That is, it is necessary to complete the secure boot process within the required time until the control by the ECU is started. Therefore, in order to start the ECU after ensuring that the data has not been tampered with, it is necessary to shorten the processing time of the secure boot processing.

特許文献1では、上記の課題を解決するために、処理装置が、保存しておいたプログラムリストを参照して、対象のプログラムまたはデータが、検証が必要なプログラムまたはデータであるか否かを判定する。対象のプログラムまたはデータが、検証が必要なプログラムまたはデータである場合にのみ、処理装置は、対象のプログラムまたはデータの検証を実行する。これにより、検証範囲を最小限に留めることができるため、セキュアブート処理を高速に安全に実行することができる。   In Patent Document 1, in order to solve the above problems, the processing device refers to the stored program list to determine whether the target program or data is a program or data that requires verification. judge. The processing device performs the verification of the target program or data only when the target program or data is the program or data that needs to be verified. As a result, the verification range can be minimized, so that the secure boot process can be executed at high speed and safely.

特開2017−33248号公報JP, 2017-33248, A

しかしながら、特許文献1の技術においては、次のような課題がある。特許文献1では、制御装置が、セキュアブート処理において、処理のイベント発生ごとの検証範囲が予め決定されているリストを元に、検証範囲を段階的に設定する。しかしながら、起動時には、同一のイベントが特定の順番で発生してしまうため、それらのイベントに応じたセキュアブート処理を段階的に実施する必要がある。その結果、セキュアブート処理全体が完了するまでの処理時間は、セキュアブート処理を実施しない通常起動時間に比べて大幅に増加してしまう。   However, the technique of Patent Document 1 has the following problems. In Patent Document 1, in the secure boot process, the control device sets the verification range step by step based on a list in which the verification range for each event occurrence of the process is predetermined. However, at the time of activation, the same events occur in a specific order, so it is necessary to perform the secure boot processing in accordance with those events in stages. As a result, the processing time until the entire secure boot processing is completed is significantly increased as compared with the normal startup time when the secure boot processing is not performed.

この発明は、かかる課題を解決するためになされたものであり、起動時のセキュアブート処理の処理時間の短縮を図る制御装置を得ることを目的としている。   The present invention has been made to solve the above problems, and an object of the present invention is to obtain a control device that shortens the processing time of the secure boot processing at the time of startup.

この発明は、制御対象の制御を行う制御部と、前記制御に関わる状態情報を取得する状態情報入手部と、2以上の領域を有し、データの重要度に応じて各領域に分けて前記制御部の前記制御に必要なデータを格納する第一の記憶部と、前記制御部の停止時に前記状態情報入手部が入手した前記状態情報が格納される第二の記憶部と、前記第一の記憶部の各領域のデータから生成された期待値を予め格納する第三の記憶部と、前記制御部の起動時に前記状態情報入手部によって入手される前記状態情報と、前記第二の記憶部に格納された前記停止時の前記状態情報との差分に基づいて、前記第一の記憶部の各領域の中から検証値の生成に用いる領域を選択する、第一の選択部と、前記第一の選択部によって選択された前記領域のデータに基づいて前記検証値を生成する検証値生成部と、前記検証値生成部によって生成された前記検証値を、前記検証値の生成に用いた領域と同一の領域のデータから生成されて前記第三の記憶部に格納された前記期待値と比較することにより、前記制御部を起動するか否かを判定する第一の判定部と、前記第一の判定部が前記制御部を起動すると判定した場合に、前記制御部を起動させる制御起動部とを備えた、制御装置である。   The present invention has a control unit that controls a controlled object, a state information acquisition unit that acquires state information related to the control, and two or more regions, and the regions are divided into respective regions according to the importance of data. A first storage unit that stores data required for the control of the control unit; a second storage unit that stores the state information acquired by the state information acquisition unit when the control unit is stopped; A third storage unit that stores in advance expected values generated from the data of each area of the storage unit, the state information acquired by the state information acquisition unit when the control unit is activated, and the second storage unit. A region to be used for generating a verification value from each region of the first storage unit based on a difference from the state information at the time of the stop stored in a unit; Based on the data of the area selected by the first selection unit A verification value generation unit that generates the verification value, the verification value generated by the verification value generation unit is generated from data in the same region as the region used for generating the verification value, and the third storage By comparing with the expected value stored in the unit, the first determination unit for determining whether to activate the control unit, and when the first determination unit determines to activate the control unit And a control start-up unit for starting the control unit.

この発明にかかる制御装置によれば、起動時のセキュアブート処理の処理時間の短縮を図ることができる。   According to the control device of the present invention, it is possible to reduce the processing time of the secure boot processing at the time of activation.

この発明の実施の形態1に係る制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the control apparatus which concerns on Embodiment 1 of this invention. この発明の実施の形態1に係る制御装置の第一の記憶領域を示す図である。It is a figure which shows the 1st storage area of the control apparatus which concerns on Embodiment 1 of this invention. この発明の実施の形態1に係る制御装置の停止時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of a stop of the control apparatus which concerns on Embodiment 1 of this invention. この発明の実施の形態1に係る制御装置の起動時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of starting of the control apparatus which concerns on Embodiment 1 of this invention. この発明の実施の形態2に係る制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the control apparatus which concerns on Embodiment 2 of this invention. この発明の実施の形態2に係る制御装置の第一の記憶領域を示す図である。It is a figure which shows the 1st memory area of the control apparatus which concerns on Embodiment 2 of this invention. この発明の実施の形態2に係る制御装置の停止時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of stop of the control apparatus which concerns on Embodiment 2 of this invention. この発明の実施の形態2に係る制御装置の起動時の処理の流れを示す図である。It is a figure which shows the flow of a process at the time of starting of the control apparatus which concerns on Embodiment 2 of this invention. この発明の実施の形態1に係るモータ制御装置のハードウェア構成、および、この発明の実施の形態2に係るドア制御装置のハードウェア構成の一例を示した図である。It is the figure which showed an example of the hardware constitutions of the motor control apparatus which concerns on Embodiment 1 of this invention, and the hardware constitutions of the door control apparatus which concerns on Embodiment 2 of this invention. この発明の実施の形態1に係るモータ制御装置のハードウェア構成、および、この発明の実施の形態2に係るドア制御装置のハードウェア構成の一例を示した図である。It is the figure which showed an example of the hardware constitutions of the motor control apparatus which concerns on Embodiment 1 of this invention, and the hardware constitutions of the door control apparatus which concerns on Embodiment 2 of this invention.

以下、この発明に係る制御装置の実施の形態について、図面を用いて説明する。なお、各実施の形態において、同一もしくは相当する部分は同一符号で示し、重複する説明は省略する。   Hereinafter, an embodiment of a control device according to the present invention will be described with reference to the drawings. In each of the embodiments, the same or corresponding parts are designated by the same reference numerals, and overlapping description will be omitted.

実施の形態1.
図1は、この発明の実施の形態1に係る制御装置の構成の一例を示した図である。図1では、制御装置として、車両制御システムの場合を例に挙げて示している。本実施の形態1に係る制御装置は、安全かつ高速な起動動作を可能とする起動方法が実施される。 Embodiment 1.
FIG. 1 is a diagram showing an example of a configuration of a control device according to Embodiment 1 of the present invention. In FIG. 1, a vehicle control system is shown as an example of the control device. The control device according to the first embodiment implements a startup method that enables safe and high-speed startup operation.

図1に示す車両制御システムは、制御装置としてのモータ制御装置100と駆動用モータ101とを備えて構成されている。駆動用モータ101は、モータ制御装置100の制御対象である。なお、図1に示す車両制御システムは、実際には、図1に示す以外の構成も含まれているが、図1においては、本実施の形態1に直接関係しないものについては図示を省略している。   The vehicle control system shown in FIG. 1 includes a motor control device 100 as a control device and a drive motor 101. The drive motor 101 is a control target of the motor control device 100. The vehicle control system shown in FIG. 1 actually includes a configuration other than that shown in FIG. 1. However, in FIG. 1, components not directly related to the first embodiment are omitted from the illustration. ing.

モータ制御装置100は、駆動用モータ101に接続され、駆動用モータ101を制御する。モータ制御装置100は、制御部110と、停止部111と、状態情報入手部112と、制御起動部113と、検証値生成部114と、第一の判定部115と、第一の選択部116と、カウント部117と、起動モード確認部118と、記憶領域書き換え部119と、第一の記憶領域120と、第二の記憶領域121と、第三の記憶領域122とを備えて構成されている。   The motor control device 100 is connected to the drive motor 101 and controls the drive motor 101. The motor control device 100 includes a control unit 110, a stop unit 111, a state information acquisition unit 112, a control activation unit 113, a verification value generation unit 114, a first determination unit 115, and a first selection unit 116. A counting section 117, a startup mode confirming section 118, a storage area rewriting section 119, a first storage area 120, a second storage area 121, and a third storage area 122. There is.

以下、モータ制御装置100の各構成要素とその機能について簡単に説明する。   Hereinafter, each component of the motor control device 100 and its function will be briefly described.

制御部110は、駆動用モータ101の制御を行う。具体的には、制御部110は、駆動用モータ101の制御に関わる制御量または各種処理値を演算する。   The control unit 110 controls the drive motor 101. Specifically, the control unit 110 calculates a control amount or various processing values related to the control of the drive motor 101.

停止部111は、車両内のIG(ignition)スイッチのOFFへの切り替えを検知したことなどをトリガーとして、モータ制御装置100の動作を終了させる。停止部111は、電源リレー等を制御することにより、モータ制御装置100への電源の供給を停止することで、モータ制御装置100の動作を終了させる。   The stop unit 111 terminates the operation of the motor control device 100 by using, for example, detection of turning off the IG (ignition) switch in the vehicle as a trigger. The stopping unit 111 stops the supply of power to the motor control device 100 by controlling the power supply relay or the like, thereby ending the operation of the motor control device 100.

状態情報入手部112は、駆動用モータ101の状態情報を入手する。状態情報とは、モータ制御装置100自体が有する、駆動用モータ101の制御に関わる状態を示す情報である。本実施の形態1では、状態情報として、カウント部117が保有するカウント値を用いる。カウント値については、後述する。そのため、本実施の形態1では、状態情報入手部112が、状態情報として、カウント部117からカウント値を入手する。なお、状態情報入手部112は、モータ制御装置100を停止時に、カウント部117から入手した駆動用モータ101の状態情報を第二の記憶領域121に格納する。   The status information acquisition unit 112 acquires status information of the drive motor 101. The state information is information that the motor control device 100 itself has and that indicates a state related to control of the drive motor 101. In the first embodiment, the count value held by the counting unit 117 is used as the state information. The count value will be described later. Therefore, in the first embodiment, the state information acquisition unit 112 acquires the count value from the counting unit 117 as the state information. The state information acquisition unit 112 stores the state information of the drive motor 101 acquired from the counting unit 117 in the second storage area 121 when the motor control device 100 is stopped.

制御起動部113は、第一の判定部115の判定結果に基づき、制御部110を起動させる。具体的には、第一の判定部115の判定結果が「正常」の場合には、制御部110を起動させ、判定結果が「異常」の場合には、制御部110を起動させない。   The control activation unit 113 activates the control unit 110 based on the determination result of the first determination unit 115. Specifically, when the determination result of the first determination unit 115 is “normal”, the control unit 110 is activated, and when the determination result is “abnormal”, the control unit 110 is not activated.

検証値生成部114は、第一の記憶領域120の領域Aまたは領域Bに格納されているデータに基づいて、検証値を生成する。領域Aまたは領域Bについては後述する。   The verification value generation unit 114 generates a verification value based on the data stored in the area A or the area B of the first storage area 120. The area A or the area B will be described later.

第一の判定部115は、第三の記憶領域122に予め格納されている期待値と、検証値生成部114によって生成された検証値とに基づいて、制御部110を起動させるか否かを判定する。   The first determination unit 115 determines whether to activate the control unit 110 based on the expected value stored in advance in the third storage area 122 and the verification value generated by the verification value generation unit 114. judge.

第一の選択部116は、第二の記憶領域121に格納されている状態情報と、状態情報入手部112が今回入手した状態情報とを比較する。なお、ここで、第二の記憶領域121に格納されている状態情報は、前回、モータ制御装置100を停止させるときに、状態情報入手部112が第二の記憶領域121に格納したものである。本実施の形態1では、上述したように、状態情報は、カウント部117によって保有されるカウント値である。従って、第一の選択部116は、第二の記憶領域121に格納されているカウント値と、状態情報入手部112が今回入手したカウント値とを比較する。第一の選択部116は、当該比較により、第二の記憶領域121に格納されているカウント値と、状態情報入手部112が今回入手したカウント値との差分が、予め設定された範囲内に収まっているか否かを判定する。第一の選択部116は、判定結果に基づいて、第一の記憶領域120の領域Aまたは領域Bのどちらのデータを用いて検証値生成部114が検証値を生成するかを選択する。   The first selection unit 116 compares the status information stored in the second storage area 121 with the status information acquired this time by the status information acquisition unit 112. Here, the state information stored in the second storage area 121 is the one stored in the second storage area 121 by the state information acquisition unit 112 when the motor control device 100 was stopped last time. .. In the first embodiment, as described above, the state information is the count value held by the counting unit 117. Therefore, the first selection unit 116 compares the count value stored in the second storage area 121 with the count value acquired this time by the state information acquisition unit 112. By the comparison, the first selection unit 116 determines that the difference between the count value stored in the second storage area 121 and the count value acquired this time by the state information acquisition unit 112 falls within a preset range. It is determined whether it is within the range. Based on the determination result, the first selection unit 116 selects which data of the area A or the area B of the first storage area 120 is used by the verification value generation unit 114 to generate the verification value.

カウント部117は、モータ制御装置100が起動する度に、自身が保有しているカウント値をインクリメントする。   The count unit 117 increments the count value held by itself every time the motor control device 100 is activated.

起動モード確認部118は、モータ制御装置100の起動時に、ユーザから要求される起動モードの種別を確認する。ここでは、起動モードとして、駆動用モータ101の制御を行う「制御モード」と、第一の記憶領域120と第三の記憶領域122との格納データを書き換える「書き換えモード」とが、予め用意されている。なお、通常時は、制御モードに設定されている。書き換えモードへの切替は、ユーザが予め設定された或る動作を行った場合に実行される。ここでは、例えば、モータ制御装置100に対して、ユーザが、テスター等の機器を外部から接続したことを検知した場合、当該検知を切替要求として認識して、書き換えモードへの切替が実行される。   The startup mode confirmation unit 118 confirms the type of the startup mode requested by the user when the motor control device 100 is started up. Here, as the start-up modes, a “control mode” for controlling the drive motor 101 and a “rewrite mode” for rewriting the stored data in the first storage area 120 and the third storage area 122 are prepared in advance. ing. The control mode is normally set. The switching to the rewrite mode is executed when the user performs a certain preset operation. Here, for example, when the user detects that the device such as a tester is externally connected to the motor control device 100, the detection is recognized as a switching request, and switching to the rewriting mode is executed. ..

記憶領域書き換え部119は、第一の記憶領域120と第三の記憶領域122とのそれぞれに格納されているデータを実際に書き換える。   The storage area rewriting unit 119 actually rewrites the data stored in each of the first storage area 120 and the third storage area 122.

第一の記憶領域120は、制御部110が制御に必要とするデータを格納している。第一の記憶領域120は、図2に示すように、第一の領域としての領域Aと第二の領域としての領域Bとに分類されている。領域Aのサイズは、領域Bのサイズより小さい。特に重要なデータを領域Aに格納し、重要度の低いデータを領域Bに格納する。第一の記憶領域120は、例えばメモリデバイスの記憶領域から構成される。第一の記憶領域120は、第一の記憶部を構成している。   The first storage area 120 stores data required by the control unit 110 for control. As shown in FIG. 2, the first storage area 120 is classified into an area A as a first area and an area B as a second area. The size of the area A is smaller than the size of the area B. Particularly important data is stored in area A, and less important data is stored in area B. The first storage area 120 is composed of a storage area of a memory device, for example. The first storage area 120 constitutes a first storage unit.

第二の記憶領域121は、状態情報入手部112が入手した状態情報を格納する。第二の記憶領域121は、例えばメモリデバイスの記憶領域から構成される。第二の記憶領域121は、第二の記憶部を構成している。   The second storage area 121 stores the status information acquired by the status information acquisition unit 112. The second storage area 121 is composed of a storage area of a memory device, for example. The second storage area 121 constitutes a second storage unit.

第三の記憶領域122は、予め生成された期待値を格納している。期待値は、第一の判定部115によって、検証値生成部114が生成した検証値と比較される。期待値は、予め、記憶領域書き換え部119によって、第一の記憶領域120に格納されたデータから生成されて、第三の記憶領域122に格納される。ここでは、第三の記憶領域122は、第一の記憶領域120の領域Aと領域Bとに格納されたデータのそれぞれから作成された期待値Aと期待値Bとを格納していることとする。なお、第三の記憶領域122は、例えばメモリデバイスの記憶領域から構成される。第三の記憶領域122は、第三の記憶部を構成している。   The third storage area 122 stores an expected value generated in advance. The expected value is compared with the verification value generated by the verification value generation unit 114 by the first determination unit 115. The expected value is generated in advance by the storage area rewriting unit 119 from the data stored in the first storage area 120 and stored in the third storage area 122. Here, the third storage area 122 stores the expected value A and the expected value B created from the data stored in the areas A and B of the first storage area 120, respectively. To do. The third storage area 122 is composed of a storage area of a memory device, for example. The third storage area 122 constitutes a third storage unit.

なお、第一の記憶領域120、第二の記憶領域121、および、第三の記憶領域122は、別々のメモリデバイスに分けて設けることが望ましいが、一つのメモリデバイス上で別領域として定義してもよい。   Note that the first storage area 120, the second storage area 121, and the third storage area 122 are preferably provided separately in different memory devices, but they are defined as different areas on one memory device. May be.

次に、実施の形態1に係る車両制御システムのモータ制御装置100の停止時および起動時の処理の流れについて、それぞれ、図3および図4のフローチャートを用いて説明する。図3の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときの最後の処理として実行される。
図4の起動時の処理は、車両内のIGスイッチがONにされたことなどをトリガーとして、モータ制御装置100へ電源が供給されたとき、あるいは、リセットにより再起動されたときに、最初に実行される。 Next, the flow of processing when the motor control device 100 of the vehicle control system according to the first embodiment is stopped and started will be described with reference to the flowcharts of FIGS. 3 and 4, respectively. The process at the time of stop in FIG. 3 is executed as a final process when the motor control device 100 is stopped, triggered by detection of turning off the IG switch in the vehicle.
The process at the time of start-up in FIG. 4 is first performed when power is supplied to the motor control device 100 or when it is restarted by a reset, triggered by turning on the IG switch in the vehicle. Executed.

まず、モータ制御装置100の停止時の処理について、図3を用いて説明する。   First, the process when the motor control device 100 is stopped will be described with reference to FIG.

図3において、ステップS201において、制御部110は、モータ制御に係る自身の処理が停止しているか否かを判定する。制御部110のモータ制御に係る処理が終了していれば、ステップS202へ進む。制御部110のモータ制御に係る処理が終了していない場合は、終了するまで待機する。   In FIG. 3, in step S201, control unit 110 determines whether or not its own processing related to motor control is stopped. If the processing related to the motor control of the control unit 110 is completed, the process proceeds to step S202. When the process related to the motor control of the control unit 110 is not completed, the process stands by until it is completed.

続いて、ステップS202において、状態情報入手部112は、カウント部117から、カウント部117が保有するカウント値を状態情報として入手する。   Subsequently, in step S202, the state information acquisition unit 112 acquires the count value held by the counting unit 117 from the counting unit 117 as the state information.

ステップS203において、状態情報入手部112は、カウント部117から入手したカウント値を第二の記憶領域121に対して格納することを試みる。   In step S203, the state information acquisition unit 112 attempts to store the count value acquired from the count unit 117 in the second storage area 121.

続いて、ステップS204において、状態情報入手部112は、当該カウント値の格納が完了した場合は、ステップS205へ進む。一方、当該カウント値の格納が完了していない場合は、ステップS203へ戻る。   Then, in step S204, the state information acquisition part 112 progresses to step S205, when storage of the said count value is completed. On the other hand, if the storage of the count value is not completed, the process returns to step S203.

ステップS205において、停止部111は、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止してモータ制御装置100を停止させる。   In step S205, the stop unit 111 controls the power relay or the like to stop the power supply to the motor control device 100 and stop the motor control device 100.

次に、モータ制御装置100の起動時の処理について図4を用いて説明する。   Next, a process at the time of starting the motor control device 100 will be described with reference to FIG.

図4において、ステップS301において、カウント部117は、自身が保有するカウント値を更新する。具体的には、カウント部117が、自身保有しているカウント値を+1とする。   In FIG. 4, in step S301, the counting unit 117 updates the count value held by itself. Specifically, the count unit 117 sets the count value held by itself to +1.

ステップS302において、起動モード確認部118が起動モードの種別を確認する。起動モードが、駆動用モータ101の制御を行う「制御モード」であれば、ステップS303へ進む。一方、起動モードが、第一の記憶領域120と第三の記憶領域122との格納データを書き換える「書き換えモード」であれば、ステップS310へ進む。   In step S302, the startup mode confirmation unit 118 confirms the type of startup mode. If the startup mode is the "control mode" for controlling the drive motor 101, the process proceeds to step S303. On the other hand, if the activation mode is the “rewrite mode” in which the stored data in the first storage area 120 and the third storage area 122 is rewritten, the process proceeds to step S310.

ステップS303において、状態情報入手部112は、カウント部117が保有するカウント値を状態情報として、カウント部117から入手する。   In step S303, the state information acquisition unit 112 acquires the count value held by the counting unit 117 from the counting unit 117 as the state information.

続いて、ステップS304において、カウント部117によるカウント値の入手が完了していれば、ステップS305へ進み、カウント部117によるカウント値の入手が完了していない場合は、完了まで待機する。   Succeedingly, in step S304, if acquisition of the count value by the counting unit 117 is completed, the process proceeds to step S305, and if acquisition of the count value by the counting unit 117 is not completed, the process waits until completion.

ステップS305において、第一の選択部116は、ステップS303で状態情報入手部112が入手したカウント値から、第二の記憶領域121に格納されているカウント値を差し引いた差分を求める。   In step S305, the first selection unit 116 obtains a difference by subtracting the count value stored in the second storage area 121 from the count value acquired by the state information acquisition unit 112 in step S303.

続いて、ステップS306において、第一の選択部116は、ステップS305で求められた差分が、予め設定された設定範囲に入っているか否かを判定する。ここでは、設定範囲を、+1以下の範囲とする。当該差分が設定範囲に入っている場合は、すなわち、当該差分が+1以下の場合は、ステップS307へ進み、当該差分が設定範囲に入っていない場合は、ステップS312へ進む。   Subsequently, in step S306, the first selection unit 116 determines whether or not the difference calculated in step S305 is within a preset setting range. Here, the set range is set to be +1 or less. If the difference is within the setting range, that is, if the difference is +1 or less, the process proceeds to step S307, and if the difference is not within the setting range, the process proceeds to step S312.

ステップS307においては、検証値生成部114は、第一の記憶領域120に格納されている領域Aのデータから検証値を生成する。   In step S307, the verification value generation unit 114 generates a verification value from the data in the area A stored in the first storage area 120.

ステップS312において、検証値生成部114は、第一の記憶領域120に格納されている領域Bのデータから検証値を生成する。   In step S312, the verification value generation unit 114 generates a verification value from the data in the area B stored in the first storage area 120.

ステップS308において、第一の判定部115は、第三の記憶領域122に格納される期待値、すなわち、期待値Aまたは期待値Bと、ステップS307またはステップS312で生成された検証値、すなわち、検証値Aまたは検証値Bとを比較して判定を行う。つまり、領域Aから検証値を生成した場合は、検証値Aと期待値Aとを比較して判定し、領域Bから検証値を生成した場合は、検証値Bと期待値Bとを比較判定する。   In step S308, the first determination unit 115 causes the expected value stored in the third storage area 122, that is, the expected value A or expected value B, and the verification value generated in step S307 or step S312, that is, The determination is made by comparing the verification value A or the verification value B. That is, when the verification value is generated from the area A, the verification value A and the expected value A are compared to make a determination, and when the verification value is generated from the area B, the verification value B and the expected value B are compared and determined. To do.

続いて、ステップS309において、ステップS308の比較判定の結果、期待値と検証値とが同じであれば、ステップS311へ進む。一方、期待値と検証値とが異なれば、制御部110を起動せずに、図4の処理フローを終了する。   Subsequently, in step S309, if the expected value and the verification value are the same as a result of the comparison determination in step S308, the process proceeds to step S311. On the other hand, if the expected value and the verification value are different, the processing flow in FIG. 4 is terminated without activating the control unit 110.

ステップS311において、制御起動部113は、制御部110を起動させる。   In step S311, the control activation unit 113 activates the control unit 110.

なお、ステップS307、ステップS308、ステップS309、および、ステップS312が、セキュアブート処理として処理時間を要する部分となる。   In addition, step S307, step S308, step S309, and step S312 are portions that require processing time as the secure boot processing.

一方、ステップS310においては、記憶領域書き換え部119は、第一の記憶領域120の格納データを書き換える。また、記憶領域書き換え部119は、第一の記憶領域120に格納したデータから期待値を生成し、生成した期待値を第三の記憶領域122に書き込む。その後、制御部110を起動させずに、図4の処理フローを終了する。なお、記憶領域書き換え部119の動作に関しては、本実施の形態1の動作および効果には影響しないため、特に限定しない。   On the other hand, in step S310, the storage area rewriting unit 119 rewrites the stored data in the first storage area 120. The storage area rewriting unit 119 also generates an expected value from the data stored in the first storage area 120, and writes the generated expected value in the third storage area 122. After that, the processing flow of FIG. 4 is terminated without activating the control unit 110. The operation of the storage area rewriting unit 119 is not particularly limited because it does not affect the operation and effect of the first embodiment.

以上のように、本実施の形態1においては、モータ制御装置100は、停止時に、図3に示す処理フローに従って、状態情報として、自身が持つカウント値を第二の記憶領域121に格納しておく。その後、モータ制御装置100を起動するときには、図4に示す処理フローに従って、第二の記憶領域121に格納しておいたカウント値と、起動時に再度入手したカウント値との差分が、予め設定された設定範囲に入っているかを確認する。当該差分が設定範囲に入っているときには、モータ制御装置100を終了してから本起動までに一度も起動されていないと判断し、領域Aのデータから生成した検証値を用いて検証を行う。これにより、検証する範囲は、領域Aのみとなる。ここで、上述したように、領域Aは、領域Bより小さいため、上記差分が設定範囲に入っている場合には、検証する範囲を狭めて制御部110を起動させることができる。一方、差分が設定範囲に入っていないときには、モータ制御装置100を終了してから本起動までに起動された可能性が高いと判断し、領域Bのデータから生成した検証値を用いて検証を行う。これにより、検証する範囲は、領域Aよりも広い領域Bとなる。   As described above, in the first embodiment, when stopped, the motor control device 100 stores the count value of itself in the second storage area 121 as the state information according to the processing flow shown in FIG. deep. After that, when the motor control device 100 is activated, the difference between the count value stored in the second storage area 121 and the count value obtained again at the time of activation is preset according to the processing flow shown in FIG. Check that it is within the setting range. When the difference is within the set range, it is determined that the motor control device 100 has not been activated after the termination of the motor control device 100, and the verification is performed using the verification value generated from the data of the area A. As a result, the range to be verified is only the area A. Here, as described above, since the area A is smaller than the area B, when the difference is within the set range, the verification range can be narrowed and the control unit 110 can be activated. On the other hand, when the difference is not within the set range, it is determined that there is a high possibility that the motor control device 100 has been started up until the main startup, and the verification is performed using the verification value generated from the data in the area B. To do. As a result, the range to be verified becomes the area B wider than the area A.

このように、本実施の形態1に係る制御装置によれば、モータ制御装置100の停止時の状態情報と、起動時の状態情報とを比較することによって、停止中に書き換えの為等で起動されていないこと、および、意図せず起動されていないことが確認できた場合には、起動時に検証する範囲を狭めることが出来る。その結果、セキュアブート処理の処理時間が短縮でき、セキュリティに対する安全性を確保しつつ高速にモータ制御装置100を起動することができる。   As described above, according to the control device of the first embodiment, by comparing the state information when the motor control device 100 is stopped and the state information when the motor control device 100 is started, the motor control device 100 is started for rewriting during stop. If it is confirmed that it has not been activated and that it has not been activated unintentionally, the range of verification at the time of activation can be narrowed. As a result, the processing time of the secure boot processing can be shortened, and the motor control device 100 can be activated at high speed while ensuring safety for security.

なお、上記の本実施の形態1においては、状態情報としてカウント値を用いる場合を例に挙げて説明したが、これに限るものではない。例えば、モータ制御装置100がバックアップ用に保有する電池の電圧値などのアナログ値を、状態情報として用いてもよい。この場合、図4のステップS306で用いる検証時の設定範囲を適切に定めることで、停止中に意図せず起動されていないか否か、および、短時間での再起動であるか否かを検出することができる。その結果、停止中に意図せず起動されていない場合、または、短時間での再起動であった場合には、起動時の検証領域を狭めることで、安全かつ高速にモータ制御装置100を起動することができる。   In the first embodiment, the case where the count value is used as the state information has been described as an example, but the present invention is not limited to this. For example, an analog value such as a voltage value of a battery held by the motor control device 100 for backup may be used as the status information. In this case, by appropriately setting the setting range at the time of verification used in step S306 of FIG. 4, it is determined whether or not the vehicle is unintentionally started during the stop and whether or not the restart is performed in a short time. Can be detected. As a result, in the case where the motor control device 100 is not unintentionally started during the stop or is restarted in a short time, the verification region at the time of start is narrowed, so that the motor control device 100 can be started safely and at high speed. can do.

また、図3のステップS203で、状態情報を第二の記憶領域121に格納するときに、状態情報を暗号化するようにしてもよい。その場合には、図4のステップS305で、第二の記憶領域121に格納されている暗号化された状態情報を復号化する。このように、状態情報を第二の記憶領域121に格納するときに状態情報を暗号化することにより、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。   Further, in step S203 of FIG. 3, when storing the state information in the second storage area 121, the state information may be encrypted. In that case, in step S305 of FIG. 4, the encrypted state information stored in the second storage area 121 is decrypted. As described above, by encrypting the state information when storing the state information in the second storage area 121, the possibility that the state information itself is tampered with is reduced, and the security for security can be improved.

さらに、本実施の形態1では、第一の記憶領域120を領域Aと領域Bとの2つに分ける場合を例にあげて説明したが、これに限るものではない。第一の記憶領域120における、領域の個数、および、領域の分け方はこれに限るものではない。   Further, in the first embodiment, the case where the first storage area 120 is divided into the two areas A and B has been described as an example, but the present invention is not limited to this. The number of areas and how to divide the areas in the first storage area 120 are not limited to this.

実施の形態2.
次に、この発明の実施の形態2に係る制御装置について、図5から図8までに基づいて説明する。図5は、この発明の実施の形態2に係る制御装置の構成の一例を示した図である。図5では、制御装置として、車両制御システムを例に挙げて示している。本実施の形態2に係る制御装置は、安全かつ高速な起動動作を可能とする起動方法が実施される。 Embodiment 2.
Next, a control device according to Embodiment 2 of the present invention will be described based on FIGS. 5 to 8. FIG. 5 is a diagram showing an example of the configuration of the control device according to the second embodiment of the present invention. In FIG. 5, a vehicle control system is shown as an example of the control device. The control device according to the second embodiment implements a startup method that enables safe and high-speed startup operation.

上記の実施の形態1においては、車両制御システムは、モータ制御装置100と駆動用モータ101とを備えて構成されていたが、本実施の形態2に係る車両制御システムは、図5に示されるように、モータ制御装置100と、駆動用モータ101と、他の制御装置である第二の制御装置としてのドア制御装置410とを備えて構成される。   In the above-described first embodiment, the vehicle control system is configured to include the motor control device 100 and the drive motor 101, but the vehicle control system according to the second embodiment is shown in FIG. Thus, the motor control device 100, the drive motor 101, and the door control device 410 as the second control device which is another control device are configured.

本実施の形態2においては、モータ制御装置100が、図1に示したカウント部117の代わりに、データ送受信部401を備えている点が、図1と異なる。   The second embodiment differs from FIG. 1 in that the motor control device 100 includes a data transmission / reception unit 401 instead of the counting unit 117 shown in FIG.

他の構成については、実施の形態1と同じであるため、ここでは、その説明を省略する。   Since other configurations are the same as those in the first embodiment, the description thereof will be omitted here.

なお、図5において、モータ制御装置100およびドア制御装置410は、図5に示す以外の構成も備えているが、実施の形態2に直接関係しないものについては図示を省略している。また、図1に示す上記の実施の形態1において説明したものについては、同じ符号を付して、ここではその説明を省略する。   In FIG. 5, the motor control device 100 and the door control device 410 have configurations other than those shown in FIG. 5, but those not directly related to the second embodiment are not shown. Further, the same reference numerals are given to those described in the first embodiment shown in FIG. 1, and the description thereof will be omitted here.

本実施の形態2に係る車両制御システムにおいては、モータ制御装置100とドア制御装置410とは、車両の通信線として、CAN(Controller Area Network)ネットワーク400を介して互いに通信可能に接続されている。   In the vehicle control system according to the second embodiment, motor control device 100 and door control device 410 are communicably connected to each other via a CAN (Controller Area Network) network 400 as a vehicle communication line. ..

まず、実施の形態2に係るモータ制御装置100の追加された構成と機能について簡単に説明する。データ送受信部401は、CANネットワーク400を介して、接続されたドア制御装置410とデータを送受信する。   First, the added configuration and function of the motor control device 100 according to the second embodiment will be briefly described. The data transmission / reception unit 401 transmits / receives data to / from the connected door control device 410 via the CAN network 400.

図6に示すように、モータ制御装置100の第一の記憶領域120は、第一の領域としての領域Aと第二の領域としての領域Bと第三の領域として領域Cに分類されている。第一の記憶領域120には、制御部110が制御に必要とするデータが格納されている。領域Aのサイズは領域Bのサイズより小さくし、領域Bのサイズは領域Cのサイズより小さくする。データの重要度に応じて、特に重要なデータから順に、領域A、領域B、領域Cの順で格納するようにする。従って、領域Aのデータの重要度が最も高く、領域Bのデータの重要度は、領域Aのデータよりも低く、領域Cのデータよりも高く、領域Cのデータの重要度が最も低い。   As shown in FIG. 6, the first storage area 120 of the motor control device 100 is classified into an area A as a first area, an area B as a second area, and an area C as a third area. .. The first storage area 120 stores data required by the control unit 110 for control. The size of the area A is smaller than the size of the area B, and the size of the area B is smaller than the size of the area C. Areas A, B, and C are stored in this order from the most important data in accordance with the importance of the data. Therefore, the importance of the data in the area A is the highest, the importance of the data in the area B is lower than the data in the area A, is higher than the data in the area C, and the importance of the data in area C is the lowest.

図5の説明に戻る。   Returning to the explanation of FIG.

第二の記憶領域121は、状態情報入手部112が入手した状態情報を格納する。   The second storage area 121 stores the status information acquired by the status information acquisition unit 112.

第三の記憶領域122は、第一の記憶領域120に格納するデータから予め生成した期待値を格納する。ここでは、第一の記憶領域120のうち、領域A、領域B、および、領域Cのそれぞれから作成された期待値Aと期待値Bと期待値Cとが格納される。これらの記憶領域は、メモリデバイスごと分けることが望ましいが、一つのメモリデバイス上で別領域として定義してもよい。   The third storage area 122 stores an expected value generated in advance from the data stored in the first storage area 120. Here, the expected value A, the expected value B, and the expected value C created from each of the area A, the area B, and the area C in the first storage area 120 are stored. These storage areas are preferably divided for each memory device, but may be defined as separate areas on one memory device.

ドア制御装置410は、車両のドアモジュール411に接続されている。ドア制御装置410は、車両のドアのロック/アンロックを制御する。   The door control device 410 is connected to the door module 411 of the vehicle. The door control device 410 controls locking / unlocking of the vehicle door.

ドア制御装置410の構成と機能について簡単に説明する。ドア制御装置410は、第二の制御部420、記憶領域421、状態検出部422、および、第二のデータ送受信部423を備えて構成されている。   The configuration and function of the door control device 410 will be briefly described. The door control device 410 includes a second control unit 420, a storage area 421, a state detection unit 422, and a second data transmission / reception unit 423.

第二の制御部420は、ドアモジュール411の動作の制御を実施する。   The second controller 420 controls the operation of the door module 411.

記憶領域421は、第二の制御部420が制御に必要とするデータを格納する。   The storage area 421 stores data required by the second control unit 420 for control.

状態検出部422は、ドアに関する状態情報として、ここでは、車両の運転席のドア開閉回数を収集する。ただし、状態情報は、これに限るものではなく、他のデータでもよい。   The state detection unit 422 collects the number of times of opening and closing the door of the driver's seat of the vehicle as the state information regarding the door. However, the status information is not limited to this, and may be other data.

第二のデータ送受信部423は、CANネットワーク400を介して、モータ制御装置100のデータ送受信部401とデータを送受信する。   The second data transmission / reception unit 423 transmits / receives data to / from the data transmission / reception unit 401 of the motor control device 100 via the CAN network 400.

次に、実施の形態2に係る車両制御システムのモータ制御装置100の停止時および起動時の処理の流れについて、それぞれ、図7および図8のフローチャートを用いて説明する。図7の停止時の処理は、車両内のIGスイッチがOFFにされたことの検知などをトリガーとして、モータ制御装置100を停止させるときに最後の処理として実行される。図8の起動時の処理は、車両内のIGスイッチがONにされたことなどをトリガーとして、モータ制御装置100へ電源が供給されたとき、あるいは、リセットにより再起動されたときに、最初に実行される。   Next, the flow of processing when the motor control device 100 of the vehicle control system according to the second embodiment is stopped and started will be described with reference to the flowcharts of FIGS. 7 and 8, respectively. The process at the time of stop in FIG. 7 is executed as the last process when the motor control device 100 is stopped, triggered by detection that the IG switch in the vehicle is turned off. The processing at the time of startup in FIG. 8 is first performed when power is supplied to the motor control device 100 or when the motor controller 100 is restarted by a reset, triggered by turning on the IG switch in the vehicle. Executed.

まず、モータ制御装置100の停止時の処理について図7を用いて説明する。   First, the processing when the motor control device 100 is stopped will be described with reference to FIG. 7.

図7において、ステップS501において、制御部110は、モータ制御に係る自身の処理が停止しているか否かを判定する。制御部110のモータ制御に係る処理が終了していれば、ステップS502へ進み、モータ制御に係る処理が終了していない場合は、終了するまで待機する。   In FIG. 7, in step S501, control unit 110 determines whether or not its own processing related to motor control is stopped. If the process related to the motor control of the control unit 110 is completed, the process proceeds to step S502, and if the process related to the motor control is not completed, the process waits until the process is completed.

続いて、ステップS502において、状態情報入手部112が、データ送受信部401を用いて、ドア制御装置410へ状態情報の送付を依頼する。   Subsequently, in step S502, the state information acquisition unit 112 requests the door control device 410 to send the state information using the data transmission / reception unit 401.

続いて、ステップS503において、状態情報入手部112は、ドア制御装置410から、状態情報として、ドア開閉回数の受信を完了させていれば、ステップS504へ進み、ドア開閉回数の受信が完了していない場合は、受信まで待機する。   Subsequently, in step S503, if the state information acquisition unit 112 has completed reception of the number of times of opening and closing the door from the door control device 410 as the state information, the process proceeds to step S504, and reception of the number of times of opening and closing the door is completed. If not, wait until reception.

ステップS504において、状態情報入手部112は、ドア制御装置410から受信したドア開閉回数を、第二の記憶領域121に対して格納を試みる。   In step S 504, the state information acquisition unit 112 tries to store the number of times of opening and closing the door received from the door control device 410 in the second storage area 121.

続いて、ステップS505において、状態情報入手部112のドア開閉回数の格納が完了していれば、ステップS506へ進み、ドア開閉回数の格納が完了していない場合は、ステップS504へ戻る。   Subsequently, in step S505, if the storage of the number of times of opening and closing the door of the state information acquisition unit 112 is completed, the process proceeds to step S506, and if the storage of the number of times of opening and closing the door is not completed, the process returns to step S504.

ステップS506において、停止部111は、電源リレー等を制御することにより、モータ制御装置100への電源供給を停止して、モータ制御装置100を停止させる。   In step S506, the stop unit 111 controls the power relay or the like to stop the power supply to the motor control device 100 and stop the motor control device 100.

次に、モータ制御装置100の起動時の処理について図8を用いて説明する。   Next, a process at the time of starting the motor control device 100 will be described with reference to FIG.

図8において、ステップS601において、モータ制御装置100は、データ送受信部401を起動させる。   In FIG. 8, in step S601, the motor control device 100 activates the data transmission / reception unit 401.

ステップS602において、起動モード確認部118は、起動モードの種別を確認する。起動モードが、駆動用モータ101の制御を行う「制御モード」であれば、ステップS603へ進み、起動モードが、第一の記憶領域120と第三の記憶領域122との格納データを書き換える「書き換えモード」であれば、ステップS610へ進む。   In step S602, the startup mode confirmation unit 118 confirms the type of startup mode. If the startup mode is the “control mode” for controlling the drive motor 101, the process proceeds to step S603, and the startup mode rewrites the stored data in the first storage area 120 and the third storage area 122. Mode ”, the process proceeds to step S610.

ステップS603において、状態情報入手部112が、データ送受信部401を用いて、ドア制御装置410へ状態情報の送付を依頼する。   In step S603, the state information acquisition unit 112 uses the data transmission / reception unit 401 to request the door control device 410 to send the state information.

続いて、ステップS604において、状態情報としてドア開閉回数の受信が完了していれば、ステップS605へ進み、ドア開閉回数の受信が完了していない場合は、受信が完了するまで待機する。   Then, in step S604, if the reception of the number of times of opening and closing the door is completed as the state information, the process proceeds to step S605, and if the reception of the number of times of opening and closing the door is not completed, the process waits until the reception is completed.

ステップS605において、第一の選択部116は、第二の記憶領域121に格納されているドア開閉回数と、ステップS604で状態情報入手部112が今回入手したドア開閉回数とを比較する。具体的には、第一の選択部116が、第二の記憶領域121に格納されているドア開閉回数から、ステップS604で状態情報入手部112が今回入手したドア開閉回数を差し引いた差分を求める。   In step S605, the first selection unit 116 compares the number of times of opening and closing the door stored in the second storage area 121 with the number of times of opening and closing of the door that the state information acquisition unit 112 has acquired this time in step S604. Specifically, the first selection unit 116 obtains a difference obtained by subtracting the number of times of opening and closing the door acquired this time by the state information obtaining unit 112 in step S604 from the number of times of opening and closing the door stored in the second storage area 121. ..

続いて、ステップS606において、第一の選択部116は、ステップS605で求められた差分が、予め設定されたどの設定範囲に入っているかを確認する。差分の値が1より小さい範囲に入っている場合は、ステップS607へ進み、差分の値が1以上2以下の範囲に入っている場合は、ステップS612へ進み、差分の値が2より大きい範囲に入っている場合は、ステップS613へ進む。   Then, in step S606, the first selection unit 116 confirms which preset range the difference calculated in step S605 falls within. If the difference value is within the range of less than 1, the process proceeds to step S607. If the difference value is within the range of 1 or more and 2 or less, the process proceeds to step S612 and the difference value is greater than 2. If yes, go to step S613.

ステップS607において、検証値生成部114は、第一の記憶領域120に格納されている領域Aのデータから検証値Aを生成する。   In step S607, the verification value generation unit 114 generates the verification value A from the data in the area A stored in the first storage area 120.

ステップS612において、検証値生成部114は、第一の記憶領域120に格納されている領域Bのデータから検証値Bを生成する。   In step S612, the verification value generation unit 114 generates the verification value B from the data in the area B stored in the first storage area 120.

ステップS613において、検証値生成部114は、第一の記憶領域120に格納されている領域Cのデータから検証値Cを生成する。   In step S613, the verification value generation unit 114 generates the verification value C from the data in the area C stored in the first storage area 120.

ステップS608において、第一の判定部115は、第三の記憶領域122に格納される期待値、すなわち、期待値Aまたは期待値Bまたは期待値Cと、ステップS607、ステップS612、または、ステップS613で生成した検証値、すなわち、検証値Aまたは検証値Bまたは検証値Cとを比較判定する。   In step S608, the first determination unit 115, the expected value stored in the third storage area 122, that is, the expected value A or the expected value B or the expected value C, and step S607, step S612, or step S613. The verification value generated in step 1, that is, the verification value A, the verification value B, or the verification value C is compared and determined.

つまり、領域Aから検証値Aを生成した場合は、検証値Aと期待値Aとを比較判定し、領域Bから検証値Bを生成した場合は、検証値Bと期待値Bとを比較判定し、領域Cから検証値Cを生成した場合は、検証値Cと期待値Cとを比較判定する。   That is, when the verification value A is generated from the area A, the verification value A and the expected value A are compared and determined, and when the verification value B is generated from the area B, the verification value B and the expected value B are compared and determined. If the verification value C is generated from the area C, the verification value C and the expected value C are compared and determined.

続いて、ステップS609において、ステップS608の比較判定の結果、期待値と検証値とが同じであれば、ステップS611へ進み、期待値と検証値とが異なれば、制御部110を起動せずに、図8の処理フローを終了する。なお、ステップS607、ステップS608、ステップS609、ステップS612、および、ステップS613が、セキュアブート処理として処理時間を要する部分となる。   Subsequently, in step S609, if the result of the comparison determination in step S608 is that the expected value and the verification value are the same, the process proceeds to step S611, and if the expected value and the verification value are different, the control unit 110 is not activated. The processing flow of FIG. 8 ends. In addition, step S607, step S608, step S609, step S612, and step S613 are portions that require processing time as secure boot processing.

ステップS611において、制御起動部113は、制御部110を起動させる。   In step S611, the control activation unit 113 activates the control unit 110.

一方、ステップS610において、記憶領域書き換え部119は、第一の記憶領域120の格納データを書き換えるとともに、第三の記憶領域122に対して、第一の記憶領域120に格納したデータから予め生成した期待値を書き込む。その後、制御部110を実施せずに処理を終了する。なお、記憶領域書き換え部119に関しては、本実施の形態2の動作および効果には影響しないため、ここでは特に限定しない。   On the other hand, in step S610, the storage area rewriting unit 119 rewrites the stored data in the first storage area 120 and also pre-generates the third storage area 122 from the data stored in the first storage area 120. Write the expected value. After that, the process ends without executing the control unit 110. Note that the storage area rewriting unit 119 is not particularly limited here because it does not affect the operation and effect of the second embodiment.

以上のように、本実施の形態2においては、モータ制御装置100は、停止時に、図7に示す処理フローに従って、状態情報として、ドア制御装置410から受信したドア開閉回数を第二の記憶領域121に格納しておく。その後、モータ制御装置100を起動するときには、図8に示す処理フローに従って、第二の記憶領域121に格納しておいたドア開閉回数と、再度ドア制御装置410から受信したドア開閉回数とを比較して、それらの差分を求める。次に、当該差分の値が、どの範囲に入っているかを確認する。その範囲に基づいて、モータ制御装置100を終了してから本起動までにモータ制御装置100にアクセスされている可能性の大小を考慮し、検証する範囲を最小限に狭めて、制御部110を起動させることができる。   As described above, in the second embodiment, when the motor control device 100 is stopped, the number of times of opening and closing the door received from the door control device 410 as the status information is stored in the second storage area according to the processing flow shown in FIG. 7. It is stored in 121. After that, when the motor control device 100 is started, the number of times of opening and closing the door stored in the second storage area 121 is compared with the number of times of opening and closing the door received from the door control device 410 again according to the processing flow shown in FIG. Then, the difference between them is obtained. Next, it is confirmed which range the difference value falls within. Based on the range, considering the size of the possibility that the motor control device 100 is accessed from the time when the motor control device 100 is terminated to the time when the main activation is performed, the verification range is narrowed to the minimum and the control unit 110 is set. Can be activated.

本実施の形態2によれば、停止時の状態情報と、起動時の状態情報との比較によって、停止中に書き換えの為に起動されていないこと、あるいは、意図せず起動されていないことの可能性を考慮して、起動時の検証処理範囲を最小限に狭めることが出来るので、セキュリティに対する安全を確保しつつ高速に制御装置を起動することができる。   According to the second embodiment, by comparing the state information at the time of stop with the state information at the time of start, it is confirmed that the state information has not been started for rewriting during stop, or has not been unintentionally started. In consideration of the possibility, the verification processing range at the time of activation can be narrowed to the minimum, so that the control device can be activated at high speed while ensuring safety for security.

なお、上記の実施の形態2の説明において、状態情報を、ドア制御装置410が有するドアの開閉回数として説明したが、これに限るものではない。例えば、モータ制御装置100が保有する車両に対するアクセス回数が示せる他の状態情報を用いても、同様に、検証する領域を狭めて、安全かつ高速に制御装置を起動することができる。また、他の制御装置が保有する時間情報などを状態情報として用いて、ステップS606で用いる検証時の設定範囲を適切に定めることで、短時間での再起動であることを検出し、同様に、検証する領域を狭めて、安全かつ高速に制御装置を起動することができる。   In the above description of the second embodiment, the state information is described as the number of times the door of the door control device 410 is opened and closed, but the present invention is not limited to this. For example, by using other state information that the motor control device 100 has that indicates the number of times of access to the vehicle, the control device can be activated safely and at high speed by narrowing the area to be verified. Further, by using the time information or the like held by another control device as the state information and appropriately setting the setting range at the time of verification used in step S606, it is detected that the restart is performed in a short time, and similarly. It is possible to start the control device safely and at high speed by narrowing the verification area.

また、図7のステップS504で、状態情報を第二の記憶領域121に格納するときに、状態情報を暗号化するようにしてもよい。その場合には、図8のステップS605で、第二の記憶領域121に格納されている暗号化された状態情報を復号化する。このように、状態情報を第二の記憶領域121に格納するときに状態情報を暗号化することにより、状態情報そのものを改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。   Further, in step S504 of FIG. 7, when storing the state information in the second storage area 121, the state information may be encrypted. In that case, in step S605 of FIG. 8, the encrypted state information stored in the second storage area 121 is decrypted. As described above, by encrypting the state information when storing the state information in the second storage area 121, the possibility that the state information itself is tampered with is reduced, and the security for security can be improved.

さらに、ドア制御装置410が状態情報を送信するときに暗号化し、モータ制御装置100が状態情報を受信した後に復号化することで、CANネットワーク400上で状態情報を改ざんされる可能性が下がり、セキュリティに対する安全性を高めることができる。   Furthermore, by encrypting the door control device 410 when transmitting the state information and decrypting the state information after the motor control device 100 receives the state information, the possibility that the state information will be tampered with on the CAN network 400 decreases. The safety for security can be improved.

また、実施の形態2では、通信線としてCANネットワーク400を挙げて説明したが、ネットワークの種類はこれに限るものではない。   Although the CAN network 400 is described as the communication line in the second embodiment, the type of network is not limited to this.

さらに、本実施の形態2では、第一の記憶領域120を、領域A、領域B、および、領域Cの3つに分ける場合を説明したが、これに限るものではない。第一の記憶領域120における、領域の個数、および、領域の分け方はこれに限るものではない。   Furthermore, in the second embodiment, the case where the first storage area 120 is divided into three areas A, B, and C has been described, but the present invention is not limited to this. The number of areas and how to divide the areas in the first storage area 120 are not limited to this.

ここで、上述した実施の形態1および2に係るモータ制御装置100、および、実施の形態2に係るドア制御装置410のハードウェア構成について説明する。   Here, the hardware configurations of the motor control device 100 according to the first and second embodiments and the door control device 410 according to the second embodiment described above will be described.

上述した実施の形態1および2に係るモータ制御装置100における各機能は、処理回路によって実現される。同様に、実施の形態2に係るドア制御装置410における各機能は、それぞれ、処理回路によって実現される。各機能を実現する処理回路は、専用のハードウェアであってもよく、メモリに格納されるプログラムを実行するプロセッサであってもよい。図9は、本発明の実施の形態1および2に係るモータ制御装置100の各機能を専用のハードウェアである処理回路1000で実現する場合を示した構成図である。また、同様に、本発明の実施の形態2に係るドア制御装置410の各機能についても、図9に示す専用のハードウェアである処理回路1000で実現してよい。また、図10は、本発明の実施の形態1および2に係るモータ制御装置100の各機能をプロセッサ2001およびメモリ2002を備えた処理回路2000により実現する場合を示した構成図である。また、同様に、本発明の実施の形態2に係るドア制御装置410の各機能についても、図10に示すプロセッサ2001およびメモリ2002を備えた処理回路2000により実現してもよい。   Each function in the motor control device 100 according to the first and second embodiments described above is realized by a processing circuit. Similarly, each function in the door control device 410 according to the second embodiment is realized by a processing circuit. The processing circuit that realizes each function may be dedicated hardware or a processor that executes a program stored in the memory. FIG. 9 is a configuration diagram showing a case where each function of motor control device 100 according to the first and second embodiments of the present invention is realized by processing circuit 1000 that is dedicated hardware. Similarly, each function of the door control device 410 according to the second embodiment of the present invention may be realized by the processing circuit 1000 which is dedicated hardware shown in FIG. FIG. 10 is a configuration diagram showing a case where each function of motor control device 100 according to the first and second embodiments of the present invention is realized by processing circuit 2000 including processor 2001 and memory 2002. Similarly, each function of the door control device 410 according to the second embodiment of the present invention may be realized by the processing circuit 2000 including the processor 2001 and the memory 2002 shown in FIG.

処理回路が専用のハードウェアである場合、処理回路1000は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、またはこれらを組み合わせたものが該当する。モータ制御装置100の制御部110、停止部111、状態情報入手部112、制御起動部113、検証値生成部114、第一の判定部115、第一の選択部116、カウント部117、起動モード確認部118、記憶領域書き換え部119、第一の記憶領域120、第二の記憶領域121、第三の記憶領域122、および、データ送受信部401との各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。同様に、ドア制御装置410の第二の制御部420、記憶領域421、状態検出部422、および、第二のデータ送受信部423の各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。   When the processing circuit is dedicated hardware, the processing circuit 1000 may be, for example, a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, an ASIC (Application Specific Integrated Circuit), or an FPGA (Field Programmable Gate Array). ), Or a combination of these. The control unit 110, the stop unit 111, the state information acquisition unit 112, the control activation unit 113, the verification value generation unit 114, the first determination unit 115, the first selection unit 116, the count unit 117, the activation mode of the motor control device 100. The functions of the confirmation unit 118, the storage area rewriting unit 119, the first storage area 120, the second storage area 121, the third storage area 122, and the data transmission / reception unit 401 are individually processed by the individual processing circuits 1000. It may be realized, or the functions of each unit may be collectively realized by the processing circuit 1000. Similarly, the respective functions of the second control unit 420, the storage area 421, the state detection unit 422, and the respective units of the second data transmission / reception unit 423 of the door control device 410 may be realized by the individual processing circuits 1000. However, the functions of the respective units may be collectively realized by the processing circuit 1000.

一方、処理回路がプロセッサ2001の場合、モータ制御装置100の制御部110、停止部111、状態情報入手部112、制御起動部113、検証値生成部114、第一の判定部115、第一の選択部116、カウント部117、起動モード確認部118、記憶領域書き換え部119、第一の記憶領域120、第二の記憶領域121、第三の記憶領域122、および、データ送受信部401の各部の機能、並びに、ドア制御装置410の第二の制御部420、記憶領域421、状態検出部422、および、第二のデータ送受信部423の各部の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアおよびファームウェアは、プログラムとして記述され、メモリ2002に格納される。プロセッサ2001は、メモリ2002に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、モータ制御装置100およびドア制御装置410は、処理回路2000により実行されるときに、それぞれ、制御ステップ、停止ステップ、状態情報入手ステップ、制御起動ステップ、検証値生成ステップ、第一の判定ステップ、第一の選択ステップ、カウントステップ、起動モード確認ステップ、記憶領域書き換えステップ、データ送受信ステップ、および、第二の制御ステップ、状態検出ステップ、第二のデータ送受信部が結果的に実行されることになるプログラムを格納するためのメモリ2002を備える。   On the other hand, when the processing circuit is the processor 2001, the control unit 110, the stop unit 111, the state information acquisition unit 112, the control activation unit 113, the verification value generation unit 114, the first determination unit 115, and the first control unit of the motor control device 100. Each of the selection unit 116, the counting unit 117, the startup mode confirmation unit 118, the storage area rewriting unit 119, the first storage area 120, the second storage area 121, the third storage area 122, and the data transmission / reception unit 401. The functions and functions of the second control unit 420, the storage area 421, the state detection unit 422, and the second data transmission / reception unit 423 of the door control device 410 include software, firmware, or software and firmware. It is realized by combination. The software and firmware are described as programs and stored in the memory 2002. The processor 2001 realizes the function of each unit by reading and executing the program stored in the memory 2002. That is, the motor control device 100 and the door control device 410, when executed by the processing circuit 2000, respectively include a control step, a stop step, a state information acquisition step, a control start step, a verification value generation step, and a first determination step. The first selection step, the counting step, the startup mode confirmation step, the storage area rewriting step, the data transmission / reception step, and the second control step, the state detection step, and the second data transmission / reception unit are executed as a result. A memory 2002 for storing the program

これらのプログラムは、上述した各部の手順あるいは方法をコンピュータに実行させるものであるともいえる。ここで、メモリ2002とは、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)等の、不揮発性または揮発性の半導体メモリが該当する。また、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等も、メモリ2002に該当する。   It can be said that these programs cause a computer to execute the procedure or method of each unit described above. Here, the memory 2002 is, for example, a RAM (Random Access Memory), a ROM (Read Only Memory), a flash memory, an EPROM (Erasable Programmable Read Only Memory, etc.), an EEPROM (Electrically erasable memory), or an EEPROM (Electrically readable memory). Volatile or volatile semiconductor memory is applicable. Further, a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, a DVD, etc. also correspond to the memory 2002.

なお、上述した各部の機能について、一部を専用のハードウェアで実現し、一部をソフトウェアまたはファームウェアで実現するようにしてもよい。   Regarding the functions of the respective units described above, a part may be realized by dedicated hardware and a part may be realized by software or firmware.

このように、処理回路は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせによって、上述した各部の機能を実現することができる。   As described above, the processing circuit can realize the functions of the above-described units by hardware, software, firmware, or a combination thereof.

以上、この発明の実施の形態1および2について説明したが、この発明は、実施の形態1および2に限定されるものではなく、種々の設計変更を行うことが可能である。その発明の範囲内において、各実施の形態を自由に組み合わせたり、あるいは、各実施の形態の構成を、適宜、変形、省略することが可能である。   The first and second embodiments of the present invention have been described above, but the present invention is not limited to the first and second embodiments, and various design changes can be made. Within the scope of the invention, the respective embodiments can be freely combined, or the configurations of the respective embodiments can be appropriately modified or omitted.

この発明は、車両制御システムのモータ制御装置として利用できる他、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証部としてどのような制御装置にも利用することができる。   INDUSTRIAL APPLICABILITY The present invention can be used not only as a motor control device for a vehicle control system, but also as a system including a control device controlled by an ECU for any control device as a verification unit for a storage area at startup. it can.

100 モータ制御装置、101 駆動用モータ、110 制御部、111 停止部、112 状態情報入手部、113 制御起動部、114 検証値生成部、115 第一の判定部、116 第一の選択部、117 カウント部、118 起動モード確認部、119 記憶領域書き換え部、120 第一の記憶領域、121 第二の記憶領域、122 第三の記憶領域、400 CANネットワーク、401 データ送受信部、410 ドア制御装置、411 ドアモジュール、420 第二の制御部、421 記憶領域、422 状態検出部、423 第二のデータ送受信部。   100 motor control device, 101 drive motor, 110 control unit, 111 stop unit, 112 state information acquisition unit, 113 control activation unit, 114 verification value generation unit, 115 first determination unit, 116 first selection unit, 117 Counting unit, 118 Startup mode confirming unit, 119 Storage area rewriting unit, 120 First storage area, 121 Second storage area, 122 Third storage area, 400 CAN network, 401 Data transmission / reception unit, 410 Door control device, 411 door module, 420 second control unit, 421 storage area, 422 state detection unit, 423 second data transmission / reception unit.

Claims (5)

制御対象の制御を行う制御部と、
前記制御に関わる状態情報を取得する状態情報入手部と、
2以上の領域を有し、データの重要度に応じて各領域に分けて前記制御部の前記制御に必要なデータを格納する第一の記憶部と、
前記制御部の停止時に前記状態情報入手部が入手した前記状態情報が格納される第二の記憶部と、
前記第一の記憶部の各領域のデータから生成された期待値を予め格納する第三の記憶部と、
前記制御部の起動時に前記状態情報入手部によって入手される前記状態情報と、前記第二の記憶部に格納された前記停止時の前記状態情報との差分に基づいて、前記第一の記憶部の各領域の中から検証値の生成に用いる領域を選択する、第一の選択部と、
前記第一の選択部によって選択された前記領域のデータに基づいて前記検証値を生成する検証値生成部と、
前記検証値生成部によって生成された前記検証値を、前記検証値の生成に用いた領域と同一の領域のデータから生成されて前記第三の記憶部に格納された前記期待値と比較することにより、前記制御部を起動するか否かを判定する第一の判定部と、
前記第一の判定部が前記制御部を起動すると判定した場合に、前記制御部を起動させる制御起動部と
を備えた、
制御装置。 A control unit for controlling the controlled object,
A state information acquisition unit that acquires state information related to the control,
A first storage unit having two or more regions and storing the data required for the control of the control unit in each region according to the importance of the data;
A second storage unit in which the state information obtained by the state information obtaining unit when the control unit is stopped is stored,
A third storage unit that stores in advance an expected value generated from the data in each area of the first storage unit;
The first storage unit is based on a difference between the state information acquired by the state information acquisition unit when the control unit is activated and the state information at the time of the stop stored in the second storage unit. Selecting a region used to generate a verification value from each region of
A verification value generation unit that generates the verification value based on the data of the area selected by the first selection unit;
Comparing the verification value generated by the verification value generation unit with the expected value generated from data in the same region as the region used for generating the verification value and stored in the third storage unit. According to the first determination unit for determining whether to start the control unit,
A control start-up unit that starts the control unit when the first determination unit determines to start the control unit,
Control device. 前記状態情報入手部は、前記制御装置内の情報から前記状態情報を取得する、
請求項1に記載の制御装置。 The status information acquisition unit acquires the status information from information in the control device,
The control device according to claim 1. 前記制御装置の起動時にカウント値をインクリメントするカウント部をさらに備え、
前記状態情報入手部は、前記カウント部から、前記カウント値を前記状態情報として取得する、
請求項1または2に記載の制御装置。 Further comprising a counting unit that increments a count value when the control device is activated,
The state information acquisition unit acquires the count value as the state information from the count unit,
The control device according to claim 1. 他の制御装置である第二の制御装置と通信線を介してデータの送受信を行うデータ送受信部をさらに備え、
前記状態情報入手部は、前記データ送受信部により、前記通信線を介して、前記第二の制御装置から、前記第二の制御装置内の情報を、前記状態情報として取得する、
請求項1または2に記載の制御装置。 A second control device, which is another control device, is further provided with a data transmission / reception unit that transmits and receives data via a communication line.
The status information acquisition unit, by the data transmission / reception unit, via the communication line, from the second control device, acquires information in the second control device, as the status information,
The control device according to claim 1. 前記第一の記憶部の前記2以上の領域は、第一の領域と、前記第一の領域に格納されたデータよりも重要度の低いデータを格納する第二の領域とを含み、
前記第一の選択部は、前記差分が、予め設定された設定範囲に入っている場合には、前記第一の領域を選択し、前記差分が、前記設定範囲に入っていない場合には、前記第二の領域を選択する、
請求項1から4までのいずれか1項に記載の制御装置。 The two or more areas of the first storage unit include a first area and a second area for storing data of lower importance than the data stored in the first area,
The first selection unit, if the difference is within a preset setting range, selects the first region, and if the difference is not within the setting range, Selecting the second region,
The control device according to any one of claims 1 to 4.
JP2018206968A 2018-11-02 2018-11-02 Control device Active JP6639615B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018206968A JP6639615B1 (en) 2018-11-02 2018-11-02 Control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018206968A JP6639615B1 (en) 2018-11-02 2018-11-02 Control device

Publications (2)

Publication Number Publication Date
JP6639615B1 JP6639615B1 (en) 2020-02-05
JP2020072431A true JP2020072431A (en) 2020-05-07

Family

ID=69320881

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018206968A Active JP6639615B1 (en) 2018-11-02 2018-11-02 Control device

Country Status (1)

Country Link
JP (1) JP6639615B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7393269B2 (en) * 2020-03-25 2023-12-06 東芝テック株式会社 Terminal device, processing method and terminal control system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009009372A (en) * 2007-06-28 2009-01-15 Panasonic Corp Information terminal, client/server system, and program
WO2009090706A1 (en) * 2008-01-18 2009-07-23 Panasonic Corporation Information processing device and mobile telephone device
US20110138164A1 (en) * 2009-12-04 2011-06-09 Lg Electronics Inc. Digital broadcast receiver and booting method of digital broadcast receiver
JP2015055898A (en) * 2013-09-10 2015-03-23 富士通セミコンダクター株式会社 Secure boot method, semiconductor device, and secure boot program
JP2017156945A (en) * 2016-03-01 2017-09-07 株式会社東芝 Information processor and control method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009009372A (en) * 2007-06-28 2009-01-15 Panasonic Corp Information terminal, client/server system, and program
WO2009090706A1 (en) * 2008-01-18 2009-07-23 Panasonic Corporation Information processing device and mobile telephone device
US20110138164A1 (en) * 2009-12-04 2011-06-09 Lg Electronics Inc. Digital broadcast receiver and booting method of digital broadcast receiver
JP2015055898A (en) * 2013-09-10 2015-03-23 富士通セミコンダクター株式会社 Secure boot method, semiconductor device, and secure boot program
JP2017156945A (en) * 2016-03-01 2017-09-07 株式会社東芝 Information processor and control method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
竹森 敬祐 ほか: "セキュアブート+認証による車載制御システムの保護", 電子情報通信学会技術研究報告, vol. 114, no. 225, JPN6016000807, 12 September 2014 (2014-09-12), JP, pages 47 - 54, ISSN: 0004159910 *

Also Published As

Publication number Publication date
JP6639615B1 (en) 2020-02-05

Similar Documents

Publication Publication Date Title
US7681024B2 (en) Secure booting apparatus and method
CN111095213B (en) Secure boot method, device, equipment and storage medium for embedded program
US10509568B2 (en) Efficient secure boot carried out in information processing apparatus
US10489612B2 (en) Memory controller to verify authenticity of data
US10762177B2 (en) Method for preventing an unauthorized operation of a motor vehicle
CN105892348B (en) Method for operating a control device
JP6659180B2 (en) Control device and control method
CN107092833B (en) Component for processing data and method for implementing a security function
US8095801B2 (en) Method of protecting microcomputer system against manipulation of data stored in a memory assembly of the microcomputer system
KR101806719B1 (en) The electronic control unit possible auto setting of memory area according to secure boot and method for secure boot using the same
CN101855111B (en) Method of unlocking an engine control computer
CN110020561A (en) The method of semiconductor device and operation semiconductor device
US11366911B2 (en) Cryptography module and method for operating same
JP6639615B1 (en) Control device
JP7375201B2 (en) Device with an interface and method of operating the device with an interface
JP6622360B2 (en) Information processing device
JP6461272B1 (en) Control device
US10789365B2 (en) Control device and control method
CN105095766B (en) Method for processing software functions in a control device
CN112703703B (en) Flash memory device for storing sensitive information and other data
JP6698778B2 (en) Control system
CN114637996A (en) Method for starting a computing unit in a secure manner
US20150323919A1 (en) Method for operating a control unit
JP6800276B2 (en) Control device
EP3667533A1 (en) Method for securing a system in case of an undesired power-loss

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181102

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190917

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191224

R150 Certificate of patent or registration of utility model

Ref document number: 6639615

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250