JP2021060778A - Control unit and control method - Google Patents

Control unit and control method Download PDF

Info

Publication number
JP2021060778A
JP2021060778A JP2019184247A JP2019184247A JP2021060778A JP 2021060778 A JP2021060778 A JP 2021060778A JP 2019184247 A JP2019184247 A JP 2019184247A JP 2019184247 A JP2019184247 A JP 2019184247A JP 2021060778 A JP2021060778 A JP 2021060778A
Authority
JP
Japan
Prior art keywords
functional element
abnormality
security
unit
functional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019184247A
Other languages
Japanese (ja)
Other versions
JP6918067B2 (en
Inventor
松井 俊憲
Toshinori Matsui
俊憲 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2019184247A priority Critical patent/JP6918067B2/en
Publication of JP2021060778A publication Critical patent/JP2021060778A/en
Application granted granted Critical
Publication of JP6918067B2 publication Critical patent/JP6918067B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

To provide a control unit and a control method whereby, even when receiving a security attack, it is possible to continue controlling a vehicle as in an equivalent manner as that before the attack.SOLUTION: An ADAS control unit 100 comprises: a plurality of function elements 1 to 3; a function element retain section 120 for retaining preliminary function elements 1B to 3B which are able to execute same control functions; an abnormality detection section 111 for detecting an abnormality caused by a security attack; an abnormality occurrence source identifying section 112 for identifying a function element where the abnormality occurs; a spread location identifying section 113 for identifying a function element which is a spread destination; a function element switch section 116 for causing each of the control functions for the identified function elements to be switched and executed to the corresponding preliminary function elements; and a priority giving section 115 for, in accordance with a use status of the plurality of function elements, giving a priority order to the preliminary function elements when to start up upon being switched.SELECTED DRAWING: Figure 1

Description

本願は、制御装置および制御方法に関するものである。 The present application relates to a control device and a control method.

一般に、車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数台搭載され、それぞれ、他のECU、または車両外の通信機器と有線または無線によって接続される。そのため、通信線を経由したセキュリティ攻撃により、内部に不正侵入されてプログラムデータが改ざんされることで、車両の走行制御に不具合をきたすおそれがある。 Generally, a vehicle is equipped with a plurality of control devices called ECUs (Electronic Control Units), each of which is connected to another ECU or a communication device outside the vehicle by wire or wirelessly. Therefore, a security attack via a communication line may cause an unauthorized intrusion into the vehicle and falsify the program data, resulting in a problem in vehicle travel control.

それに対し、セキュリティ攻撃に起因した異常発生時に、異常の発生元と波及箇所を特定し、異常が発生しても利用できる運転モードに切り替えて、自動車の走行制御を継続させる情報処理装置が開示されている(例えば、特許文献1参照。)。 On the other hand, an information processing device that identifies the source and location of an abnormality when an abnormality occurs due to a security attack, switches to a driving mode that can be used even if an abnormality occurs, and continues driving control of the vehicle is disclosed. (See, for example, Patent Document 1).

特開2018−194909号公報(段落0015〜0103、図1〜図9)JP-A-2018-194909 (paragraphs 0015 to 0103, FIGS. 1 to 9)

しかしながら、切り替えた運転モードは、異常発生以前とは異なるため、車両として同じ制御ができなくなってしまう。 However, since the switched operation mode is different from that before the occurrence of the abnormality, the same control as the vehicle cannot be performed.

本願は、上記のような課題を解決するための技術を開示するものであり、セキュリティ攻撃を受けても、攻撃を受ける前と同等の車両制御を継続できる制御装置を得ることを目的としている。 The present application discloses a technique for solving the above-mentioned problems, and an object of the present application is to obtain a control device capable of continuing vehicle control equivalent to that before the attack even if the security attack is received.

本願に開示される制御装置は、車両に搭載され、通信網を介して、前記車両に搭載された機器の少なくともいずれかを制御する制御装置であって、前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持部、前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知部、前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部、前記特定された機能要素の制御機能を、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替部、および前記複数の機能要素の使用状況に応じ、前記切り替えにおける予備機能要素の起動の優先順位を付与する優先順位付与部、を備えたことを特徴とする。 The control device disclosed in the present application is a control device mounted on a vehicle and controlling at least one of the devices mounted on the vehicle via a communication network, and has a plurality of functions for executing the control. A functional element holding unit that holds an element and a preliminary functional element that corresponds to each of the plurality of functional elements and can execute the same control function as each functional element, and detects an abnormality caused by a security attack via the communication network. Anomaly detection unit, a processing target specifying unit that specifies a functional element in which an abnormality has occurred and a functional element that is a ripple destination among the plurality of functional elements when the abnormality is detected, and the specified functional element. A functional element switching unit that switches and executes the control function of each of the preliminary functional elements, and a priority assignment that gives a priority of activation of the preliminary functional element in the switching according to the usage status of the plurality of functional elements. It is characterized by having a part.

本願に開示される制御方法は、通信網を介して、車両に搭載された機器の少なくともいずれかを制御する制御方法であって、前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、を含むことを特徴とする。 The control method disclosed in the present application is a control method for controlling at least one of devices mounted on a vehicle via a communication network, and is a plurality of functional elements for executing the control, and the plurality of the control methods. A functional element holding step that holds a preliminary functional element that corresponds to each functional element and can execute the same control function as each functional element, an abnormality detection step that detects an abnormality caused by a security attack via the communication network, and the abnormality. When is detected, among the plurality of functional elements, the processing target specifying step for identifying the functional element in which the abnormality has occurred and the functional element to be the ripple destination as the processing target, and the above-mentioned according to the usage status of the plurality of functional elements. A priority assignment step for assigning a priority to each of the specified functional elements, and a functional element switching for switching and executing the control function of the specified functional element to the corresponding preliminary functional element based on the priority. It is characterized by including steps.

本願に開示される制御装置、あるいは制御方法によれば、車両の状況に応じた優先度に基づいて、影響を受ける機能要素を同等の制御機能を有する予備機能要素に切り替えるように構成したので、セキュリティ攻撃を受けても、攻撃を受ける前と同等の車両制御を継続することができる。 According to the control device or control method disclosed in the present application, the affected functional element is configured to be switched to a preliminary functional element having an equivalent control function based on the priority according to the situation of the vehicle. Even if a security attack is received, the same vehicle control as before the attack can be continued.

実施の形態1にかかる制御装置の構成を説明するためのブロック図である。It is a block diagram for demonstrating the structure of the control apparatus which concerns on Embodiment 1. FIG. 実施の形態1にかかる制御装置の動作を説明するためのフローチャートである。It is a flowchart for demonstrating the operation of the control device which concerns on Embodiment 1. FIG. 実施の形態1にかかる制御装置の構成における、異常が発生した機能要素を示すためのブロック図である。It is a block diagram for showing the functional element in which an abnormality occurred in the structure of the control device which concerns on Embodiment 1. FIG. 実施の形態2にかかる制御装置の構成を説明するためのブロック図である。It is a block diagram for demonstrating the structure of the control apparatus which concerns on Embodiment 2. FIG. 図5Aと図5Bは、実施の形態2にかかる制御装置の構成における隔離領域について説明するための、通常状態の機能要素と、隔離領域に移動した機能要素それぞれでの、入出力の状態を示すブロック図である。5A and 5B show the input / output states of the functional element in the normal state and the functional element moved to the isolated area for explaining the isolated area in the configuration of the control device according to the second embodiment. It is a block diagram. 実施の形態2にかかる制御装置の動作を説明するためのフローチャートである。It is a flowchart for demonstrating the operation of the control device which concerns on Embodiment 2. 実施の形態2にかかる制御装置の構成における、異常が発生した機能要素を示すためのブロック図である。It is a block diagram for showing the functional element in which an abnormality occurred in the structure of the control device which concerns on Embodiment 2. FIG. 各実施の形態にかかる制御装置の演算処理を実行する部分の構成例を示すブロック図である。It is a block diagram which shows the structural example of the part which executes the arithmetic processing of the control device which concerns on each embodiment.

実施の形態1.
図1〜図3は、実施の形態1にかかる制御装置の構成、および動作について説明するためのものであり、図1は制御装置の構成について、通信経路を介した他の制御装置とのつながりを含めた制御装置のブロック図、図2はセキュリティ攻撃を受けた際の対処動作、つまり制御方法について説明するためのフローチャートである。また、図3は制御装置の機能要素保持部に保持された複数の機能要素のうち、異常が発生した機能要素と波及先となる機能要素を示すためのブロック図である。 Embodiment 1.
1 to 3 are for explaining the configuration and operation of the control device according to the first embodiment, and FIG. 1 shows the configuration of the control device, which is connected to another control device via a communication path. FIG. 2 is a block diagram of the control device including the above, and FIG. 2 is a flowchart for explaining a countermeasure operation when a security attack is received, that is, a control method. Further, FIG. 3 is a block diagram for showing the functional element in which the abnormality has occurred and the functional element to which the abnormality has spread among the plurality of functional elements held in the functional element holding unit of the control device.

車両の制御を行う車両制御システムは、背景技術で述べたように、ECUと呼ばれる複数の制御装置それぞれが、他のECU、または車両外の通信機器と有線または無線によって接続されることで構成される。本実施の形態1にかかる制御装置は、そのうち、ADAS(Advanced Driver Assistance System:先進運転支援システム)と呼ばれる制御装置を例にして説明する。 As described in the background technology, a vehicle control system that controls a vehicle is composed of a plurality of control devices called ECUs, each of which is connected to another ECU or a communication device outside the vehicle by wire or wirelessly. To. The control device according to the first embodiment will be described by taking a control device called ADAS (Advanced Driver Assistance System) as an example.

本実施の形態1にかかる制御装置(ADAS制御装置100)は、図1に示すように、車載ネットワーク400により、EPS制御装置200、ブレーキ制御装置300等、他の制御装置とつながっている。例えば、EPS制御装置200は、電動パワーステアリング(Electric Power Steering)の角度、トルク等を制御する装置、ブレーキ制御装置300は、ブレーキの制御量等を制御するものである。なお、図1に示す車両制御システムは、実際には、図示していない構成も含まれているが、本実施の形態1の説明に直接関係しないものについては記載を省略している。 As shown in FIG. 1, the control device (ADAS control device 100) according to the first embodiment is connected to other control devices such as the EPS control device 200 and the brake control device 300 by the vehicle-mounted network 400. For example, the EPS control device 200 controls the angle, torque, etc. of the electric power steering, and the brake control device 300 controls the control amount of the brake. Although the vehicle control system shown in FIG. 1 actually includes a configuration (not shown), the description is omitted for those not directly related to the description of the first embodiment.

ADAS制御装置100は、図示しない自身の持つセンサー値、車載ネットワーク400経由で他の制御装置から入手した入力値に基づいて、車両内、あるいは他の車両との関係等の状況を判断する。そして、例えば、EPS制御装置200、ブレーキ制御装置300に対しては、それぞれ角度、トルク等の制御量の指示、ブレーキの制御量の指示等を実施する。 The ADAS control device 100 determines the situation inside the vehicle or in relation to another vehicle based on its own sensor value (not shown) and an input value obtained from another control device via the vehicle-mounted network 400. Then, for example, the EPS control device 200 and the brake control device 300 are instructed on the control amount of the angle, torque, etc., and instruct the control amount of the brake, respectively.

車載ネットワーク400は、車両内外と通信するための通信路となる、CAN(Controller Area Network)、Ehernet(ともに、登録商標)等が一般的に使われるが、これに限るものではない。 As the in-vehicle network 400, CAN (Controller Area Network), Ehernet (both registered trademarks) and the like, which are communication paths for communicating with the inside and outside of the vehicle, are generally used, but are not limited thereto.

ADAS制御装置100は、他の機器との送受信を行う送受信部140と、車両および他の機器を制御するための複数の機能要素iを保持する機能要素保持部120と、セキュリティ対策を行うセキュリティ対策部130と、異常時の対応を行う異常対応制御部110とを備えている。以下、各構成要素とその機能について簡単に説明する。 The ADAS control device 100 includes a transmission / reception unit 140 for transmitting / receiving to / from another device, a functional element holding unit 120 for holding a plurality of functional elements i for controlling the vehicle and other devices, and a security measure for taking security measures. It includes a unit 130 and an abnormality response control unit 110 that responds when an abnormality occurs. Hereinafter, each component and its function will be briefly described.

送受信部140は、車載ネットワーク400で接続される他の制御装置(ここでは、EPS制御装置200、ブレーキ制御装置300をあげているがこれに限るものではない)、あるいは車外の機器との間で、通信によりデータの送受信を実施する。 The transmission / reception unit 140 is connected to another control device connected by the in-vehicle network 400 (here, EPS control device 200 and brake control device 300 are mentioned, but not limited to this), or to a device outside the vehicle. , Send and receive data by communication.

機能要素保持部120は、EPS制御装置200、ブレーキ制御装置300の制御に関わる制御量または各種処理値を演算するための複数の機能要素1、機能要素2、機能要素3を保持する。また、機能要素1と同じ制御機能を有する予備機能要素1B、機能要素2と同じ制御機能を有する予備機能要素2B、機能要素3と同じ制御機能を有する予備機能要素3Bをバックアップとして保持する。つまり、ある機能要素iに対して同じ制御機能を有する要素を予備機能要素iBとして保持する。ここでは、機能要素1〜3として、ハンドルの目標角を計算する制御機能を機能要素1、ハンドルの目標角速度を決める制御機能を機能要素2、ブレーキの制御量を決める制御機能を機能要素3とするが、これらに限定されるものではない。 The functional element holding unit 120 holds a plurality of functional elements 1, a functional element 2, and a functional element 3 for calculating a control amount or various processing values related to the control of the EPS control device 200 and the brake control device 300. Further, the preliminary functional element 1B having the same control function as the functional element 1, the preliminary functional element 2B having the same control function as the functional element 2, and the preliminary functional element 3B having the same control function as the functional element 3 are held as backups. That is, an element having the same control function for a certain functional element i is held as a preliminary functional element iB. Here, as the functional elements 1 to 3, the control function for calculating the target angle of the steering wheel is referred to as the functional element 1, the control function for determining the target angular velocity of the steering wheel is referred to as the functional element 2, and the control function for determining the control amount of the brake is referred to as the functional element 3. However, it is not limited to these.

セキュリティ対策部130は、ADAS制御装置100のセキュリティ耐性を確保するための機能を保持する。ここでは、通信メッセージのなりすましへの対策となる通信認証機能131、接続される機器のなりすましへの対策となる機器認証機能132、送信するデータの秘匿性、制御装置内に保存するデータの秘匿性を確保する暗号化機能133等を記載している。 The security countermeasure unit 130 retains a function for ensuring the security resistance of the ADAS control device 100. Here, the communication authentication function 131 as a countermeasure against spoofing of communication messages, the device authentication function 132 as a countermeasure against spoofing of connected devices, the confidentiality of transmitted data, and the confidentiality of data stored in the control device. The encryption function 133 and the like for ensuring the above are described.

異常対応制御部110には、車内の機器の動作状況を確認して異常を検知する異常検知部111と、異常がセキュリティ攻撃に起因するか否かを判定し、異常の発生元を特定する異常発生元特定部112と、異常の波及先を特定する波及箇所特定部113が設けられている。そして、車両内の機能要素iの使用状況を検知する機能使用状況確認部114と、検知した機能使用状況に応じて、異常発生元、波及箇所等として特定された機能要素iに対して処理対象としての優先順位を付与する優先順位付与部115を設けている。さらに、決定した優先順位に従って、機能要素保持部120内の機能要素iの停止・切り替え等を制御する機能要素切替部116と、セキュリティ対策部130内のセキュリティ対策機能を変更する対策変更部117と、が設けられている。 The abnormality response control unit 110 includes an abnormality detection unit 111 that confirms the operating status of the equipment in the vehicle and detects the abnormality, and an abnormality that determines whether or not the abnormality is caused by a security attack and identifies the source of the abnormality. A source specifying unit 112 and a ripple location specifying unit 113 for specifying the ripple destination of the abnormality are provided. Then, the function usage status confirmation unit 114 that detects the usage status of the functional element i in the vehicle and the functional element i specified as the abnormality occurrence source, the ripple location, etc. according to the detected function usage status are processed. The priority giving unit 115 for giving the priority as is provided. Further, a functional element switching unit 116 that controls stopping / switching of the functional element i in the functional element holding unit 120 and a countermeasure changing unit 117 that changes the security countermeasure function in the security countermeasure unit 130 according to the determined priority order. , Are provided.

異常検知部111は、車両内の各機器の動作状況に関する情報を収集し、収集した情報から、車両に発生した故障、およびセキュリティ攻撃に起因する異常を検知する。ここで、異常に関するデータとしては、通常と異なるメモリの変化、動作、出力値等が考えられる。収集先としては、自機(ADAS制御装置100内)だけでなく、車載ネットワーク400を経由した、他の制御装置(EPS制御装置200、ブレーキ制御装置300等)がある。 The abnormality detection unit 111 collects information on the operating status of each device in the vehicle, and detects a failure occurring in the vehicle and an abnormality caused by a security attack from the collected information. Here, as the data related to the abnormality, an unusual memory change, operation, output value, or the like can be considered. The collection destination includes not only the own device (inside the ADAS control device 100) but also other control devices (EPS control device 200, brake control device 300, etc.) via the in-vehicle network 400.

異常発生元特定部112は、異常検知部111によって確認された情報に含まれる、異常を示す情報に基づいて、異常が故障に起因するものか、セキュリティ攻撃に起因するものかなどの異常の種類を判別する。そして、セキュリティ攻撃に起因する異常であれば、その発生元(攻撃を受けた機能要素i)を特定する。 The abnormality occurrence source identification unit 112 is based on the information indicating the abnormality included in the information confirmed by the abnormality detection unit 111, and is the type of abnormality such as whether the abnormality is caused by a failure or a security attack. To determine. Then, if the abnormality is caused by a security attack, the source (the attacked functional element i) is specified.

波及箇所特定部113は、異常発生元特定部112が特定した異常の発生元となる機能要素iから、さらに、その異常が波及している箇所(機能要素i)を特定する。 The ripple location specifying unit 113 further identifies the location (functional element i) where the abnormality has spread from the functional element i that is the source of the abnormality specified by the abnormality occurrence source identification unit 112.

機能使用状況確認部114は、車両内の各制御装置の状態、例えば、ステアリングの頻度といった車両操作、あるいは車両制御に関する機能要素iの使用状況に関する情報を収集し、機能要素iの使用状況を確認する。 The function usage status confirmation unit 114 collects information on the status of each control device in the vehicle, for example, the vehicle operation such as the frequency of steering, or the usage status of the functional element i related to the vehicle control, and confirms the usage status of the functional element i. To do.

優先順位付与部115は、異常発生元特定部112で特定された発生元となる機能要素i、波及箇所特定部113で特定された波及箇所となる機能要素iに対し、機能使用状況確認部114が確認した機能使用状況に応じて、処理対象としての優先順位を付与する。 The priority giving unit 115 has a function usage status confirmation unit 114 for the functional element i that is the source specified by the abnormality occurrence source identification unit 112 and the functional element i that is the ripple location specified by the ripple location identification unit 113. Gives priority as a processing target according to the function usage status confirmed by.

機能要素切替部116は、優先順位付与部115で付与された優先順位に基づいて、異常の発生元および波及箇所となる機能要素iを予備機能要素iBに切り替える。ここでは、機能要素保持部120が有する複数の機能要素iのうち、機能要素1ならば予備機能要素1Bに、機能要素2ならば予備機能要素2Bに、機能要素3ならば予備機能要素3Bに切り替えることとなる。 The functional element switching unit 116 switches the functional element i, which is the source and the ripple location of the abnormality, to the preliminary functional element iB based on the priority assigned by the priority assigning unit 115. Here, among the plurality of functional elements i possessed by the functional element holding unit 120, the functional element 1 is assigned to the preliminary functional element 1B, the functional element 2 is assigned to the preliminary functional element 2B, and the functional element 3 is assigned to the preliminary functional element 3B. It will be switched.

対策変更部117は、セキュリティ対策部130が管理するセキュリティ対策機能をよりセキュリティ耐性が向上するように変更する。例えば、通信認証機能131は、通信メッセージのなりすましを防止するために、通信データから算出されるMAC(Message Authentication Code:認証用の符号)を通信メッセージと一緒に送信することとなる。ここで、例えば、セキュリティ耐性を向上させるのであれば、このMACの長さを通常より長くすることがあげられる。セキュリティ対策部130に含まれる他の機能ついても使用する暗号の暗号化鍵長を長くする、認証子の長さを長くする、暗号のアルゴリズムそのものを変更するなどして、セキュリティ耐性を向上させることとなる。 The countermeasure change unit 117 changes the security countermeasure function managed by the security countermeasure unit 130 so as to further improve the security resistance. For example, the communication authentication function 131 transmits a MAC (Message Authentication Code) calculated from the communication data together with the communication message in order to prevent spoofing of the communication message. Here, for example, if the security resistance is to be improved, the length of this MAC may be made longer than usual. To improve security resistance by increasing the encryption key length of the encryption used for other functions included in the security countermeasure unit 130, increasing the length of the authenticator, and changing the encryption algorithm itself. It becomes.

次に、実施の形態1にかかる車両制御システムのADAS制御装置100の異常検出時の一連の処理の流れ、つまり制御方法について、図2のフローチャートを用いて説明する。 Next, a series of processing flows at the time of abnormality detection of the ADAS control device 100 of the vehicle control system according to the first embodiment, that is, a control method will be described with reference to the flowchart of FIG.

異常検知部111は、自身の制御装置内の状態(メモリ、入出力データ、処理内容の変化)だけでなく、車載ネットワーク400経由でEPS制御装置200、ブレーキ制御装置300等からも動作状況を示す情報を収集する(ステップS100)。 The abnormality detection unit 111 shows not only the state in its own control device (change in memory, input / output data, processing content) but also the operation status from the EPS control device 200, the brake control device 300, etc. via the in-vehicle network 400. Collect information (step S100).

そして、収集した情報のなかに、異常がある旨の情報があるか否かを判定する(ステップS110)。異常を検知していれば(「Yes」)、以降のステップS120へ進む。異常が検知されていなければ(「No」)、ステップS100に戻り、機器動作状況情報の収集を継続する。 Then, it is determined whether or not there is information indicating that there is an abnormality in the collected information (step S110). If an abnormality is detected (“Yes”), the process proceeds to the subsequent step S120. If no abnormality is detected (“No”), the process returns to step S100 and the collection of device operation status information is continued.

異常を検知した場合、異常発生元特定部112は、収集された異常情報に基づいて、異常が故障に起因するものか、セキュリティ攻撃に起因するものか否かを判別する(ステップS120)。異常が故障に起因する場合(「No」)、例えば、フェールセーフに則った、一般的な故障対処を実行し(ステップS300)、終了する。 When an abnormality is detected, the abnormality occurrence source identification unit 112 determines whether the abnormality is caused by a failure or a security attack based on the collected abnormality information (step S120). When the abnormality is caused by a failure (“No”), for example, a general failure handling according to fail-safe is executed (step S300), and the process ends.

一方、異常がセキュリティ攻撃に起因するものであれば(「Yes」)、異常の発生元となる機能要素iを特定する(ステップS130)。発生元が特定されると、波及箇所特定部113は、その異常がどの機能要素iまで波及しているか(波及先)を特定する(ステップS140)。 On the other hand, if the abnormality is caused by a security attack (“Yes”), the functional element i that is the source of the abnormality is specified (step S130). When the source is specified, the ripple location specifying unit 113 identifies to which functional element i the abnormality has spread (spread destination) (step S140).

さらに、機能使用状況確認部114は、車両操作、あるいは車両状況に応じた機能要素iの使用状況を示す情報(機能使用情報)を入手し、機能要素iの使用状況を確認する(ステップS150)。ここでは、操作履歴として、ステアリング操作と、ブレーキ操作の頻度等を確認する。そして、優先順位付与部115は、機能使用状況に応じて、異常発生元と波及箇所に対して、その機能要素iが担っていた制御機能を予備機能要素iBによって回復処理を行う際の優先順位を付与する(ステップS160)。 Further, the function usage status confirmation unit 114 obtains information (function usage information) indicating the usage status of the functional element i according to the vehicle operation or the vehicle status, and confirms the usage status of the functional element i (step S150). .. Here, as the operation history, the frequency of steering operation and brake operation is confirmed. Then, the priority giving unit 115 gives priority when the preliminary function element iB recovers the control function carried by the function element i for the abnormality occurrence source and the ripple location according to the function usage status. (Step S160).

ステップS130〜ステップS160において、処理の対象と優先順位が決定すると、機能要素切替部116は、処理対象として特定されたすべての機能要素iを停止する(ステップS170)。 When the processing target and the priority are determined in steps S130 to S160, the functional element switching unit 116 stops all the functional elements i specified as the processing target (step S170).

続いて、対策変更部117は、セキュリティ対策部130が管理する対策機能をよりセキュリティ耐性が向上するように変更する(ステップS180)。本実施の形態では、通信によりセキュリティ攻撃を受けたものとして、通信認証機能131を変更する例を示す。しかし、実際の変更対象は、セキュリティ攻撃の種類に応じて選択するように構成することで、よりセキュリティ耐性の向上が期待できる。また、セキュリティ対策機能を切り替えたことを送受信部140により他の制御装置へ通知する。ただし、自身の制御装置のみで実施するセキュリティ対策については他の制御装置には通知しない。 Subsequently, the countermeasure change unit 117 changes the countermeasure function managed by the security countermeasure unit 130 so as to further improve the security resistance (step S180). In this embodiment, an example of changing the communication authentication function 131 is shown assuming that the communication authentication function 131 has been attacked by communication. However, by configuring the actual change target to be selected according to the type of security attack, further improvement in security resistance can be expected. In addition, the transmission / reception unit 140 notifies other control devices that the security measure function has been switched. However, other control devices are not notified of security measures implemented only by their own control device.

そして、機能要素切替部116は、ステップS170で停止した機能要素iに対し、ステップS160で付与した優先順位の高い機能要素iに対応する予備機能要素iBから順に起動して、停止した機能要素iからの切り替えを行う(ステップS190)。これにより、異常時の対応を終了する。 Then, the functional element switching unit 116 is started in order from the preliminary functional element iB corresponding to the functional element i having the higher priority given in step S160 with respect to the functional element i stopped in step S170, and the functional element i is stopped. Switching from (step S190). As a result, the response in the event of an abnormality is completed.

上述した構成と、基本動作(処理フロー)を有するADAS制御装置100において、あるセキュリティ攻撃に起因する異常が発生した際の動作例について、説明する。セキュリティ攻撃に起因する異常としては、車載ネットワーク400経由でのセキュリティ攻撃により、機能要素保持部120が保持する機能要素iのうち、図3に示すように、機能要素1が改ざんされ、機能要素3に波及した場合を想定する。 An operation example when an abnormality caused by a certain security attack occurs in the ADAS control device 100 having the above-described configuration and basic operation (processing flow) will be described. As an abnormality caused by the security attack, among the functional elements i held by the functional element holding unit 120, the functional element 1 is tampered with by the security attack via the in-vehicle network 400, and the functional element 3 is altered. It is assumed that it spreads to.

ステップS100において、異常検知部111は、メモリ、入出力データ、処理内容の変化等の自身の制御装置内の動作状況情報、および車載ネットワーク400を介した他の機器の動作状況情報を収集し、各機器の動作状況を確認する。そして、収集した動作状況情報のなかに、異常が発生したことを示す異常情報が含まれるか否かで、異常の発生の有無を判定する(ステップS110)。 In step S100, the abnormality detection unit 111 collects operation status information in its own control device such as memory, input / output data, changes in processing contents, and operation status information of other devices via the in-vehicle network 400. Check the operating status of each device. Then, it is determined whether or not the abnormality has occurred based on whether or not the collected operation status information includes the abnormality information indicating that the abnormality has occurred (step S110).

この状態で、上述したセキュリティ攻撃を受けると、セキュリティ攻撃により機能要素1が改ざんされるので、それに起因して処理内容が変化しているとの異常情報が収集され、異常があることを検知し(ステップS110で「Yes」)、ステップS120へ進む。さらに、異常情報に基づいて、異常がセキュリティ攻撃に起因するものであると判別し(ステップS120で「Yes])、ステップS130へ進む。なお、改ざんの判定に関しては、予備機能要素1Bと比較するなどがあげられるが、これに限るものではない。 In this state, if the above-mentioned security attack is received, the functional element 1 is tampered with by the security attack, so that abnormal information that the processing content is changed due to the security attack is collected, and it is detected that there is an abnormality. (“Yes” in step S110), the process proceeds to step S120. Further, based on the abnormality information, it is determined that the abnormality is caused by a security attack (“Yes] in step S120), and the process proceeds to step S130. However, it is not limited to this.

ここでは、異常がセキュリティ攻撃によるものと判別されたので、さらに詳細を分析し、異常の発生元となる機能要素iが「機能要素1:ハンドルの目標角を計算する機能」であることを特定する(ステップS130)。 Here, since it was determined that the anomaly was due to a security attack, further analysis was performed and it was identified that the functional element i that caused the anomaly was "functional element 1: the function of calculating the target angle of the handle". (Step S130).

さらに、波及箇所特定部113は、特定した異常元となる機能要素1に関して、その異常が波及している機能要素iを特定する(ステップS140)。ここでは、機能要素2、機能要素3を分析し、機能要素3には異常が波及して制御機能が変更されていて、機能要素2には異常が波及していないと判定する。波及しているか否かの判定に関しては、元の機能要素2、機能要素3を、予備機能要素2B、予備機能要素3Bそれぞれと比較するなどがあげられるが、これに限るものではない。 Further, the ripple location specifying unit 113 identifies the functional element i to which the abnormality has spread with respect to the specified functional element 1 that is the source of the abnormality (step S140). Here, the functional element 2 and the functional element 3 are analyzed, and it is determined that the abnormality has spread to the functional element 3 and the control function has been changed, and that the abnormality has not spread to the functional element 2. Regarding the determination of whether or not it has spread, the original functional element 2 and the functional element 3 can be compared with the preliminary functional element 2B and the preliminary functional element 3B, respectively, but the present invention is not limited to this.

一方、機能使用状況確認部114は、車両操作、車両制御、車両状態、あるいは走行する路面状態に応じた機能要素iの使用状況に関する情報を収集する(ステップS150)。そして、機能要素1〜3のうち、ステアリング操作に関する機能要素(機能要素1)の操作頻度が他の機能要素iよりも高いと判定すると、優先順位付与部115は、機能要素1に対して、機能要素3よりも高い優先順位を付与する(ステップS160)。 On the other hand, the function usage status confirmation unit 114 collects information on the usage status of the functional element i according to the vehicle operation, the vehicle control, the vehicle condition, or the traveling road surface condition (step S150). Then, when it is determined that the operation frequency of the functional element (functional element 1) related to the steering operation among the functional elements 1 to 3 is higher than that of the other functional elements i, the priority giving unit 115 determines that the functional element 1 has a higher operation frequency. A higher priority than the functional element 3 is given (step S160).

つぎに、機能要素切替部116は、異常発生元と特定された機能要素1と、波及先として特定された機能要素3を停止する(ステップS170)。一方、他の機能要素iに関しては、これまで通り処理を続ける。 Next, the functional element switching unit 116 stops the functional element 1 specified as the source of the abnormality and the functional element 3 specified as the ripple destination (step S170). On the other hand, for the other functional element i, the processing is continued as before.

続いて対策変更部117は、セキュリティ攻撃への耐性を高めるため、セキュリティ対策部130が管理する対策機能を変更する(ステップS180)。本ケースでは、通信を介してセキュリティ攻撃されていることから、通信に対するセキュリティ対策となる通信認証機能131のMAC長を長くすることでセキュリティ耐性を向上させる。また、セキュリティ対策機能を切り替えたことを、送受信部140を介して、EPS制御装置200、ブレーキ制御装置300等、車内の各機器に通知する。 Subsequently, the countermeasure change unit 117 changes the countermeasure function managed by the security countermeasure unit 130 in order to increase the resistance to the security attack (step S180). In this case, since a security attack is made via communication, security resistance is improved by increasing the MAC length of the communication authentication function 131, which is a security measure against communication. In addition, each device in the vehicle, such as the EPS control device 200 and the brake control device 300, is notified via the transmission / reception unit 140 that the security measure function has been switched.

機能要素切替部116は、ステップS160で付与された優先順位に基づき、停止した機能要素iに対応する予備機能要素iBを起動させる(ステップS190)。本ケースでは、ステアリングに関する機能要素1の優先順位が高いため、機能要素1の予備機能要素1Bの起動処理を優先的に行い、次にブレーキに関わる機能要素3の予備機能要素3Bを起動する。 The functional element switching unit 116 activates the preliminary functional element iB corresponding to the stopped functional element i based on the priority given in step S160 (step S190). In this case, since the priority of the functional element 1 related to steering is high, the activation process of the preliminary functional element 1B of the functional element 1 is given priority, and then the preliminary functional element 3B of the functional element 3 related to the brake is activated.

以上のように、本実施の形態1においては、機能要素1に異常が発生し、機能要素3に異常が波及しても、図2に示す処理フローに従って、同等の機能を担う予備機能要素1B、予備機能要素3Bに切り替えることで、攻撃前と同等の車両制御を継続できる。その際、車両における機能要素iの使用状況を考慮した優先度に基づき、優先度の高い機能要素(予備機能要素1B)から先に起動(切替)処理を行うようにしたので、さらに、攻撃前後で、操作に対する違和感を覚えることもない。また、起動した予備機能要素iBに、機能要素iと同じ攻撃が仕掛けられたとしても、セキュリティ対策部130の通信認証機能131のMAC長を変更してセキュリティ耐性を向上させているため、攻撃を回避することが可能である。 As described above, in the first embodiment, even if an abnormality occurs in the functional element 1 and the abnormality spreads to the functional element 3, the preliminary functional element 1B carrying the same function according to the processing flow shown in FIG. By switching to the preliminary function element 3B, the same vehicle control as before the attack can be continued. At that time, based on the priority considering the usage status of the functional element i in the vehicle, the activation (switching) process is performed first from the functional element with the highest priority (preliminary functional element 1B). And I don't feel any discomfort with the operation. In addition, even if the same attack as the functional element i is launched on the activated preliminary functional element iB, the MAC length of the communication authentication function 131 of the security countermeasure unit 130 is changed to improve the security resistance, so that the attack is carried out. It is possible to avoid it.

また、セキュリティ対策を変更したことを関係する制御装置にも通知することで、セキュリティ対策の変更による車両としての影響を抑えることができる。なお、本実施の形態1においては、セキュリティ対策部130として、通信認証機能131、機器認証機能132、暗号化機能133をあげたがこれに限るものではない。 In addition, by notifying the control device related to the change of the security measure, the influence of the change of the security measure as a vehicle can be suppressed. In the first embodiment, the communication authentication function 131, the device authentication function 132, and the encryption function 133 are mentioned as the security countermeasure unit 130, but the present invention is not limited to these.

例えば、あらかじめ、車両に発生しうるセキュリティ攻撃を分析し、それに対応するセキュリティ対策部とそのセキュリティを強化させる手順を用意しておけば、セキュリティ攻撃に対する耐性を向上させることができる。また、セキュリティ対策内容、および予備機能要素を外部からのアクセスに対してのガードがより強固な記憶領域に保存しておくことで、セキュリティ攻撃に対するセキュリティ耐性を向上させることができる。 For example, if a security attack that may occur in a vehicle is analyzed in advance, and a security countermeasure unit corresponding to the security attack and a procedure for strengthening the security are prepared in advance, the resistance to the security attack can be improved. In addition, security resistance against security attacks can be improved by storing the contents of security measures and preliminary functional elements in a storage area where the guard against external access is stronger.

さらに、予備機能要素iBの内容を、異常が発生して停止させた機能要素iへ上書きすることで、停止させた機能要素iを新たな予備機能要素iBとして構築する機能要素書換部を異常対応制御部110に設けるようにしてもよい。このようにして、機能切り替え以後のセキュリティ攻撃に対しても、機能要素のバックアップを備えることで、セキュリティ攻撃に対するセキュリティ耐性をより向上させることができる。 Further, by overwriting the contents of the spare function element iB with the function element i stopped due to an abnormality, the function element rewriting part for constructing the stopped function element i as a new spare function element iB + is abnormal. It may be provided in the corresponding control unit 110. In this way, it is possible to further improve the security resistance against the security attack by providing the backup of the functional element even against the security attack after the function switching.

実施の形態2.
上記実施の形態1にかかる車両システムにおける制御装置では、攻撃を受けた機能要素を停止する例について説明した。本実施の形態2にかかる車両システムにおける制御装置では、攻撃を受けた機能要素を停止させるだけではなく、セキュリティ攻撃の解析に利用できるよう、隔離して保持するようにした例について説明する。 Embodiment 2.
In the control device in the vehicle system according to the first embodiment, an example of stopping the attacked functional element has been described. In the control device in the vehicle system according to the second embodiment, an example will be described in which the attacked functional element is not only stopped but also isolated and held so that it can be used for analysis of a security attack.

図4〜図7は、実施の形態2にかかる制御装置の構成、および動作について説明するためのものであり、図4は制御装置の構成について、通信経路を介した他の制御装置とのつながりを含めた制御装置のブロック図、図5は隔離領域について説明するための、通常状態でのある機能要素に対する入出力の状態を示すブロック図(図5A)と、隔離領域に移動した機能要素に対する入出力の状態を示すブロック図(図5B)である。図6はセキュリティ攻撃を受けた際の対処動作、つまり制御方法について説明するためのフローチャート、図7は制御装置の機能要素保持部に保持された複数の機能要素のうち、異常が発生した機能要素と波及先となる機能要素を示すためのブロック図である。なお、本実施の形態2において、実施の形態1と同一もしくは相当する部分は同一符号で示し、重複する説明は省略する。 4 to 7 are for explaining the configuration and operation of the control device according to the second embodiment, and FIG. 4 is a connection of the configuration of the control device with other control devices via a communication path. The block diagram of the control device including the above, FIG. 5 is a block diagram (FIG. 5A) showing the input / output state for a certain functional element in the normal state for explaining the isolated area, and the functional element moved to the isolated area. It is a block diagram (FIG. 5B) which shows the input / output state. FIG. 6 is a flowchart for explaining a countermeasure operation when a security attack is received, that is, a control method, and FIG. 7 is a functional element in which an abnormality has occurred among a plurality of functional elements held in the functional element holding unit of the control device. It is a block diagram for showing a functional element which becomes a spillover destination. In the second embodiment, the same or corresponding parts as those in the first embodiment are indicated by the same reference numerals, and redundant description will be omitted.

本実施の形態2においても、車両制御システムは、実施の形態1と同様に、ADAS制御装置100とEPS制御装置200、ブレーキ制御装置300が車載ネットワーク400により接続される構成とする。一方、本実施の形態2においては、図4に示すように、ADAS制御装置100が、図1で説明した構成に加えて、新たに隔離処理部118、隔離領域150を備えている点が異なる。例えば、機能要素切替部116のような隔離処理部118の動作に関与する構成以外の構成については、基本的に実施の形態1と同じであるため、ここでは、その説明を省略する。 Also in the second embodiment, the vehicle control system is configured such that the ADAS control device 100, the EPS control device 200, and the brake control device 300 are connected by the vehicle-mounted network 400, as in the first embodiment. On the other hand, in the second embodiment, as shown in FIG. 4, the ADAS control device 100 is different in that the ADAS control device 100 is newly provided with the isolation processing unit 118 and the isolation area 150 in addition to the configuration described in FIG. .. For example, the configuration other than the configuration related to the operation of the isolation processing unit 118 such as the functional element switching unit 116 is basically the same as that of the first embodiment, and thus the description thereof will be omitted here.

まず、実施の形態1にかかるADAS制御装置100に対して追加された構成と機能について簡単に説明する。隔離処理部118は、攻撃を受けた際の異常の発生元である機能要素i、あるいは異常の波及先である機能要素iを生かした状態で、他の機能要素iに影響を及ぼさないように、隔離領域150に移動させる。ここで、隔離領域150とは、他の機能要素i、あるいは記憶領域へのアクセスが制限された記憶領域として準備するものとなる。 First, the configuration and functions added to the ADAS control device 100 according to the first embodiment will be briefly described. The isolation processing unit 118 does not affect other functional elements i while making use of the functional element i that is the source of the abnormality when attacked or the functional element i that is the spread destination of the abnormality. , Move to quarantine area 150. Here, the isolated area 150 is prepared as another functional element i or a storage area in which access to the storage area is restricted.

つまり、図5Aに示すように、攻撃を受ける前の機能要素iを通常領域で動作させている場合には、入力に対して機能要素iの処理を実施し、出力を他の機能要素i、あるいは制御装置に引き渡すこととなる。しかし、図5Bに示すように、機能要素iを隔離領域150へ移した場合は、通常領域と同じ入力値を与えるが、出力に関しては、他の機能要素i、あるいは他の制御装置に影響を及ぼさないように遮断することとなる。 That is, as shown in FIG. 5A, when the functional element i before being attacked is operated in the normal area, the processing of the functional element i is performed on the input, and the output is output from the other functional element i, Alternatively, it will be handed over to the control device. However, as shown in FIG. 5B, when the functional element i is moved to the isolation area 150, the same input value as that of the normal area is given, but the output affects the other functional element i or other control device. It will be blocked so that it does not reach.

一方、遮断した出力は、例えば、診断装置に接続することで、異常をきたした機能要素iの動作を通常動作に近い形で観察することができ、セキュリティ攻撃による異常の詳細分析、あるいはセキュリティ攻撃を実施した者の意図の解明に役だてることができる。ここで、隔離領域150への移動方法としては、仮想的に同じメモリ番地を与えた隔離領域150へコピーして、元の機能要素iを削除すること等があるが、これに限るものではない。 On the other hand, by connecting the blocked output to a diagnostic device, for example, the operation of the functional element i that caused the abnormality can be observed in a form close to the normal operation, and detailed analysis of the abnormality due to a security attack or a security attack can be performed. It can be useful for clarifying the intention of the person who carried out the above. Here, as a method of moving to the quarantine area 150, there is a method of copying to the quarantine area 150 given the same memory address virtually and deleting the original functional element i, but the present invention is not limited to this. ..

上述した構成に基づき、実施の形態2にかかる車両制御システムのADAS制御装置100の異常検出時の一連の処理の流れ、つまり制御方法について、図6のフローチャートを用いて説明する。なお、図6において、実施の形態1における図2のステップS170をステップS175に変更した以外は、実施の形態1で説明した動作と同様である。 Based on the above-described configuration, a series of processing flows when an abnormality is detected in the ADAS control device 100 of the vehicle control system according to the second embodiment, that is, a control method will be described with reference to the flowchart of FIG. In FIG. 6, the operation is the same as that described in the first embodiment except that the step S170 of FIG. 2 in the first embodiment is changed to the step S175.

異常検知部111は、自身の制御装置内の状態(メモリ、入出力データ、処理内容の変化)だけでなく、車載ネットワーク400経由でEPS制御装置200、ブレーキ制御装置300等からも動作状況を示す情報を収集する(ステップS100)。 The abnormality detection unit 111 shows not only the state in its own control device (change in memory, input / output data, processing content) but also the operation status from the EPS control device 200, the brake control device 300, etc. via the in-vehicle network 400. Collect information (step S100).

そして、収集した情報のなかに、異常がある旨の情報があるか否かを判定し(ステップS110)、異常を検知すれば(「Yes」)、異常の種類を判別するステップS120へ進む。異常が検知されていなければ(「No」)、ステップS100に戻り、動作状況の情報収集を継続する。 Then, it is determined whether or not there is information indicating that there is an abnormality in the collected information (step S110), and if an abnormality is detected (“Yes”), the process proceeds to step S120 for determining the type of abnormality. If no abnormality is detected (“No”), the process returns to step S100 to continue collecting information on the operating status.

異常を検知した場合、異常発生元特定部112は、収集された異常情報に基づいて、異常が故障に起因するものか、セキュリティ攻撃に起因するものか否かを判別する(ステップS120)。そして、異常がセキュリティ攻撃に起因するものであれば(「Yes」)、さらに、異常の発生元となる機能要素iを特定する(ステップS130)。異常発生元が特定されると、波及箇所特定部113は、その異常がどの機能要素iまで波及しているかを特定する(ステップS140)。 When an abnormality is detected, the abnormality occurrence source identification unit 112 determines whether the abnormality is caused by a failure or a security attack based on the collected abnormality information (step S120). Then, if the abnormality is caused by a security attack (“Yes”), the functional element i that is the source of the abnormality is further specified (step S130). When the source of the abnormality is identified, the ripple location specifying unit 113 identifies to which functional element i the abnormality has spread (step S140).

さらに、機能使用状況確認部114は、車両操作、車両制御、車両状態、あるいは走行する路面状態に応じた機能使用情報を入手し、機能要素iの使用状況を確認する(ステップS150)。ここでは、操作履歴として、ステアリング操作と、ブレーキ操作の頻度等を確認する。そして、優先順位付与部115は、機能使用状況に応じて、異常発生元と波及箇所に対して、制御機能を回復させる処理を行う際の優先順位を付与する(ステップS160)。 Further, the function usage status confirmation unit 114 obtains function usage information according to vehicle operation, vehicle control, vehicle condition, or traveling road surface condition, and confirms the usage status of the functional element i (step S150). Here, as the operation history, the frequency of steering operation and brake operation is confirmed. Then, the priority-giving unit 115 assigns a priority when performing a process of recovering the control function to the abnormality occurrence source and the ripple location according to the function usage status (step S160).

ステップS130〜ステップS160において、処理の対象と優先順位が決定すると、機能要素切替部116は、実施の形態1で説明した処理対象の機能要素iの停止に代え、隔離処理部118に対し、処理対象の機能要素iを生かしたまま、隔離領域150へ移動させる(ステップS175)。隔離領域150に移動させた機能要素iは、車両内あるいは車外の機器への出力が遮断され、処理対象の機能要素iの制御機能は実質的に停止する。 When the processing target and the priority are determined in steps S130 to S160, the functional element switching unit 116 processes the isolation processing unit 118 instead of stopping the processing target functional element i described in the first embodiment. While keeping the target functional element i alive, it is moved to the isolated area 150 (step S175). The output of the functional element i moved to the isolated area 150 to the equipment inside or outside the vehicle is cut off, and the control function of the functional element i to be processed is substantially stopped.

続いて、対策変更部117は、セキュリティ対策部130が管理する対策機能をよりセキュリティ耐性が向上するように変更する(ステップS180)。本実施の形態2でも、通信によりセキュリティ攻撃を受けたものとして、通信認証機能131を変更する例を示すが、実際の変更対象についても、セキュリティ攻撃の種類に応じて選択するように構成することで、よりセキュリティ耐性の向上が期待できる。また、セキュリティ対策機能を切り替えたことを送受信部140により他の制御装置へ通知する。ただし、自身の制御装置のみで実施するセキュリティ対策については他の制御装置には通知しない。 Subsequently, the countermeasure change unit 117 changes the countermeasure function managed by the security countermeasure unit 130 so as to further improve the security resistance (step S180). In the second embodiment as well, an example of changing the communication authentication function 131 is shown assuming that the communication authentication function 131 has been subjected to a security attack by communication, but the actual change target is also configured to be selected according to the type of security attack. Therefore, it can be expected that the security resistance will be further improved. In addition, the transmission / reception unit 140 notifies other control devices that the security measure function has been switched. However, other control devices are not notified of security measures implemented only by their own control device.

そして、機能要素切替部116は、ステップS175で隔離した機能要素iに対し、ステップS160で付与した優先順位の高い機能要素iに対応する予備機能要素iBから順に起動して、隔離した機能要素iからの切り替えを行う(ステップS190)。これにより、異常時の対応を終了する。 Then, the functional element switching unit 116 activates the functional element i isolated in step S175 in order from the preliminary functional element iB corresponding to the functional element i having the higher priority given in step S160, and isolates the functional element i. Switching from (step S190). As a result, the response in the event of an abnormality is completed.

上述した構成と、基本動作(処理フロー)を有するADAS制御装置100において、あるセキュリティ攻撃に起因する異常が発生した際の動作例について、説明する。セキュリティ攻撃に起因する異常としては、実施の形態1と同様に、車載ネットワーク400経由でのセキュリティ攻撃により、機能要素保持部120が保持する機能要素iのうち、図7に示すように、機能要素1が改ざんされ、機能要素3に波及した場合を想定する。 An operation example when an abnormality caused by a certain security attack occurs in the ADAS control device 100 having the above-described configuration and basic operation (processing flow) will be described. As an abnormality caused by the security attack, as shown in FIG. 7, among the functional elements i held by the functional element holding unit 120 due to the security attack via the vehicle-mounted network 400, as shown in FIG. It is assumed that 1 is tampered with and spreads to the functional element 3.

ステップS100において、異常検知部111は、メモリ、入出力データ、処理内容の変化等の自身の制御装置内の動作状況情報、および車載ネットワーク400を介した他の機器の動作状況情報を収集し、各機器の動作状況を確認する。 In step S100, the abnormality detection unit 111 collects operation status information in its own control device such as memory, input / output data, changes in processing contents, and operation status information of other devices via the in-vehicle network 400. Check the operating status of each device.

ここで、想定したようなセキュリティ攻撃を受けると、機能要素1が改ざんされるので、それに起因して処理内容が変化しているとの異常情報が収集され、異常があることを検知し(ステップS110で「Yes」)、ステップS120へ進む。ステップS120では、異常情報に基づいて、異常がセキュリティ攻撃に起因するものであると判別し(「Yes])、ステップS130へ進む。なお、改ざんの判定に関しても、実施の形態1と同様に、予備機能要素1Bと比較するなどがあげられるが、これに限るものではない。 Here, when a security attack as expected is received, the functional element 1 is tampered with, so that abnormal information that the processing content is changed due to it is collected, and it is detected that there is an abnormality (step). In S110, “Yes”), the process proceeds to step S120. In step S120, it is determined that the abnormality is caused by a security attack based on the abnormality information (“Yes]), and the process proceeds to step S130. The falsification determination is also the same as in the first embodiment. Comparison with the preliminary functional element 1B can be mentioned, but the comparison is not limited to this.

ここでは、異常がセキュリティ攻撃によるものと判別されたので、さらに詳細を分析し、異常の発生元となる機能要素iが「機能要素1:ハンドルの目標角を計算する機能」であることを特定する(ステップS130)。さらに、波及箇所特定部113は、特定した異常元となる機能要素1に関して、その異常がどの機能要素iまで波及しているか機能要素iを特定する(ステップS140)。ここでは、機能要素2、機能要素3を分析し、機能要素3には異常が波及して制御機能が変更されていて、機能要素2には異常が波及していないと判定する。波及しているか否かの判定に関しても、元の機能要素2、機能要素3を、予備機能要素2B、予備機能要素3Bそれぞれと比較するなどがあげられるが、これに限るものではない。 Here, since it was determined that the anomaly was due to a security attack, further analysis was performed and it was identified that the functional element i that caused the anomaly was "functional element 1: the function of calculating the target angle of the handle". (Step S130). Further, the ripple location specifying unit 113 specifies the functional element i to which the functional element i the abnormality has spread with respect to the specified functional element 1 that is the source of the abnormality (step S140). Here, the functional element 2 and the functional element 3 are analyzed, and it is determined that the abnormality has spread to the functional element 3 and the control function has been changed, and that the abnormality has not spread to the functional element 2. Regarding the determination of whether or not it has spread, the original functional element 2 and the functional element 3 can be compared with the preliminary functional element 2B and the preliminary functional element 3B, respectively, but the present invention is not limited to this.

一方、機能使用状況確認部114は、車両内での機能要素iの使用状況に関する情報を収集する(ステップS150)。そして、機能要素1〜3のうち、ブレーキ操作に関する機能要素(機能要素3)の操作頻度が他の機能要素iよりも高いと判定すると、優先順位付与部115は、機能要素3に対して、機能要素1よりも高い優先順位を付与する(ステップS160)。 On the other hand, the function usage status confirmation unit 114 collects information on the usage status of the functional element i in the vehicle (step S150). Then, when it is determined that the operation frequency of the functional element (functional element 3) related to the brake operation among the functional elements 1 to 3 is higher than that of the other functional elements i, the priority giving unit 115 determines that the functional element 3 has a higher operation frequency. A higher priority than the functional element 1 is given (step S160).

つぎに、隔離処理部118は、機能要素切替部116による停止処理に代わって、異常発生元と特定された機能要素1と、波及先として特定された機能要素3を隔離領域150へ移動し隔離する(ステップS175)。一方、他の機能要素iに関しては、実施の形態1と同様に、これまで通りの処理を続ける。 Next, the isolation processing unit 118 moves the functional element 1 specified as the source of the abnormality and the functional element 3 specified as the ripple destination to the isolation area 150 and isolates them, instead of the stop processing by the functional element switching unit 116. (Step S175). On the other hand, with respect to the other functional element i, the same processing as before is continued as in the first embodiment.

対策変更部117については、実施の形態1と同様に、セキュリティ攻撃への耐性を高めるため、セキュリティ対策部130が管理する対策機能を変更する(ステップS180)。本ケースでも、通信を介してセキュリティ攻撃されていることから、通信に対するセキュリティ対策となる通信認証機能131のMAC長を長くすることでセキュリティ耐性を向上させる。また、セキュリティ対策機能を切り替えたことを、送受信部140を介して、EPS制御装置200、ブレーキ制御装置300等、車内の各機器に通知する。 As in the first embodiment, the countermeasure change unit 117 changes the countermeasure function managed by the security countermeasure unit 130 in order to increase the resistance to security attacks (step S180). In this case as well, since a security attack is made via communication, security resistance is improved by increasing the MAC length of the communication authentication function 131, which is a security measure for communication. In addition, each device in the vehicle, such as the EPS control device 200 and the brake control device 300, is notified via the transmission / reception unit 140 that the security measure function has been switched.

機能要素切替部116は、ステップS160で付与された優先順位に基づき、停止した機能要素iに対応する予備機能要素iBを起動させる(ステップS190)。本ケースでは、ブレーキに関する機能要素3の優先順位が高いため、機能要素3の予備機能要素3Bの起動処理を優先的に行い、次にステアリングに関わる機能要素1の予備機能要素1Bを起動する。 The functional element switching unit 116 activates the preliminary functional element iB corresponding to the stopped functional element i based on the priority given in step S160 (step S190). In this case, since the priority of the functional element 3 related to the brake is high, the activation process of the preliminary functional element 3B of the functional element 3 is given priority, and then the preliminary functional element 1B of the functional element 1 related to the steering is activated.

以上のように、本実施の形態2においては、機能要素1に異常が発生し、機能要素3に異常が波及しても、図6に示す処理フローに従って同等の機能を担う予備機能要素1B、予備機能要素3Bに切り替えることで、攻撃前と同等の車両制御を継続できる。その際、車両における機能要素iの使用状況を考慮した優先度に基づき、優先度の高い機能要素(予備機能要素3B)から先に起動(切替)処理を行うようにしたので、さらに、攻撃前後で、操作に対する違和感を覚えることもない。また、起動した予備機能要素iBに、機能要素iと同じ攻撃が仕掛けられたとしても、セキュリティ対策部130の通信認証機能131のMAC長を変更してセキュリティ耐性を向上させているため、攻撃を回避することが可能である。 As described above, in the second embodiment, even if an abnormality occurs in the functional element 1 and the abnormality spreads to the functional element 3, the preliminary functional element 1B, which has the same function according to the processing flow shown in FIG. By switching to the preliminary function element 3B, the same vehicle control as before the attack can be continued. At that time, based on the priority considering the usage status of the functional element i in the vehicle, the activation (switching) process is performed first from the functional element with the highest priority (preliminary functional element 3B). And I don't feel any discomfort with the operation. In addition, even if the same attack as the functional element i is launched on the activated preliminary functional element iB, the MAC length of the communication authentication function 131 of the security countermeasure unit 130 is changed to improve the security resistance, so that the attack is carried out. It is possible to avoid it.

とくに、本実施の形態2にかかる制御装置(ADAS制御装置100)によれば、セキュリティ攻撃に起因する異常が発生した場合には、処理対象と特定した機能要素iを生かしたまま隔離して、予備機能要素に切り替えて同等の制御を継続するようにした。そのため、セキュリティ攻撃における異常の詳細分析、あるいはセキュリティ攻撃を実施した者の意図の解明に役だてることができる。さらには、セキュリティ攻撃を受けたことの証拠保全(状態保持)にもつながる。 In particular, according to the control device (ADAS control device 100) according to the second embodiment, when an abnormality caused by a security attack occurs, the functional element i specified as the processing target is isolated while being utilized. Switched to a spare function element to continue the same control. Therefore, it can be useful for detailed analysis of abnormalities in security attacks or for clarifying the intention of the person who carried out the security attack. Furthermore, it also leads to the preservation of evidence (maintenance of state) of having received a security attack.

また、セキュリティ対策を変更したことを、関係する制御装置にも通知することで、セキュリティ対策の変更による車両としての影響を抑えることができる。なお、本実施の形態2においても、セキュリティ対策部130として、通信認証機能131、機器認証機能132、暗号化機能133をあげたがこれに限るものではない。例えば、あらかじめ、車両に発生しうるセキュリティ攻撃を分析し、それに対応するセキュリティ対策部とそのセキュリティを強化させる手順を用意しておけば、セキュリティ攻撃に対する耐性を向上させることができる。また、セキュリティ対策、および予備機能要素を外部からのアクセスに対してのガードがより強固な記憶領域に保存しておくことで、セキュリティ攻撃に対するセキュリティ耐性を向上させることができる。 In addition, by notifying the related control device that the security measure has been changed, it is possible to suppress the influence of the change in the security measure as a vehicle. Also in the second embodiment, the communication authentication function 131, the device authentication function 132, and the encryption function 133 are mentioned as the security countermeasure unit 130, but the present invention is not limited to these. For example, if a security attack that may occur in a vehicle is analyzed in advance, a security countermeasure unit corresponding to the security attack and a procedure for strengthening the security are prepared in advance, the resistance to the security attack can be improved. In addition, security measures and backup functional elements can be stored in a storage area where the guard against external access is stronger, so that the security resistance against security attacks can be improved.

また、本実施の形態2においても、攻撃を受ける前の予備機能要素iBの内容を、異常が発生して停止させた機能要素iへ上書きすることで、停止させた機能要素iを新たな予備機能要素1Bとして構築する機能要素書換部を設けるようにしてもよい。このようにして、機能切り替え以後のセキュリティ攻撃に対しても、機能要素iのバックアップを備えることで、セキュリティ攻撃に対するセキュリティ耐性をより向上させることができる。 Further, also in the second embodiment, the contents of the preliminary functional element iB before being attacked are overwritten with the functional element i stopped due to the occurrence of an abnormality, so that the stopped functional element i is newly reserved. A functional element rewriting unit constructed as a functional element 1B + may be provided. In this way, the security resistance against the security attack can be further improved by providing the backup of the functional element i even against the security attack after the function switching.

なお、上述した各実施の形態にかかる制御装置(ADAS制御装置100)における演算処理を行う部分、とくに各機能要素iは、図8に示すようにプロセッサ11と記憶装置12を備えたひとつのハードウェア10によって構成することも考えられる。記憶装置12は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。 It should be noted that the portion that performs arithmetic processing in the control device (ADAS control device 100) according to each of the above-described embodiments, particularly each functional element i, is one hardware including the processor 11 and the storage device 12 as shown in FIG. It is also conceivable that it is configured by the wear 10. Although not shown, the storage device 12 includes a volatile storage device such as a random access memory and a non-volatile auxiliary storage device such as a flash memory. Further, an auxiliary storage device of a hard disk may be provided instead of the flash memory. The processor 11 executes the program input from the storage device 12. In this case, the program is input from the auxiliary storage device to the processor 11 via the volatile storage device. Further, the processor 11 may output data such as a calculation result to the volatile storage device of the storage device 12, or may store the data in the auxiliary storage device via the volatile storage device.

なお、本願は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、および機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。 Although the present application describes an exemplary embodiment, the various features, embodiments, and functions described in the embodiments are not limited to the application of a particular embodiment, but alone. , Or in various combinations are applicable to embodiments. Therefore, innumerable variations not illustrated are envisioned within the scope of the techniques disclosed herein. For example, it is assumed that at least one component is modified, added or omitted.

また、本願で開示した制御装置は、車両制御システムのADAS制御装置100として説明したが、これに限ることはない。例えば、ECUで制御される制御装置を含むシステムであれば、起動時の記憶領域の検証部としてどのような制御装置にも利用することができる。一方、車両のように機器の動作状況が刻々と変わるシステムにおいては、異常をきたした機能要素iのうち、状況に応じて回復させる優先順位をつけることが望ましく、機能使用状況に応じて優先順位を付与する本願の構成は、車両制御システムに対して好適である。 Further, the control device disclosed in the present application has been described as the ADAS control device 100 of the vehicle control system, but the present invention is not limited to this. For example, any system including a control device controlled by an ECU can be used for any control device as a verification unit of a storage area at startup. On the other hand, in a system such as a vehicle in which the operating status of a device changes from moment to moment, it is desirable to prioritize recovery according to the situation among the functional elements i that have caused an abnormality, and the priority is given according to the function usage status. The configuration of the present application is suitable for a vehicle control system.

以上のように、各実施の形態にかかる制御装置(ADAS制御装置100)によれば、車両に搭載され、通信網(車載ネットワーク400)を介して、車両に搭載された機器(例えば、EPS制御装置200、ブレーキ制御装置300、あるいは車両内の他の機器)の少なくともいずれかを制御する制御装置であって、制御を実行するための複数の機能要素i、および複数の機能要素iそれぞれに対応し、各機能要素iと同じ制御機能を実行可能な予備機能要素iBを保持する機能要素保持部120、通信網(車載ネットワーク400)を介したセキュリティ攻撃に起因する異常を検知する異常検知部111、異常が検知されたとき、複数の機能要素iのうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部(異常発生元特定部112、波及箇所特定部113)、特定された機能要素iの制御機能を、それぞれ対応する予備機能要素iBに切り替えて実行させる機能要素切替部116、および複数の機能要素iの使用状況に応じ、切り替えにおける対応する予備機能要素iBの起動の優先順位を付与する優先順位付与部115、を備えるように構成したので、セキュリティ攻撃を受けても、車両制御に支障をきたすことなく、攻撃を受ける前と同等の車両制御を継続することができる。 As described above, according to the control device (ADAS control device 100) according to each embodiment, the device mounted on the vehicle and mounted on the vehicle (for example, EPS control) via the communication network (vehicle-mounted network 400). A control device that controls at least one of the device 200, the brake control device 300, or other device in the vehicle), and corresponds to a plurality of functional elements i for executing control and a plurality of functional elements i, respectively. Then, the functional element holding unit 120 that holds the preliminary functional element iB capable of executing the same control function as each functional element i, and the abnormality detecting unit 111 that detects an abnormality caused by a security attack via the communication network (vehicle-mounted network 400). , When an abnormality is detected, among a plurality of functional elements i, a processing target specifying unit that specifies the functional element in which the abnormality has occurred and the functional element that is the ripple destination as the processing target (abnormality occurrence source identification unit 112, ripple location identification). Part 113), the functional element switching unit 116 that switches and executes the control function of the specified functional element i to the corresponding spare functional element iB, and the corresponding spare in the switching according to the usage status of the plurality of functional elements i. Since it is configured to include a priority assigning unit 115 that assigns a priority to activate the functional element iB, even if a security attack is received, the vehicle control is not hindered and the same vehicle control as before the attack is received. Can be continued.

異常が検知されたとき、セキュリティ攻撃の種類に応じて、通信網(車載ネットワーク400)に対するセキュリティ対策の変更を行うセキュリティ対策部130を備えるように構成すれば、とくに、機能要素iと同じ構造を有する予備機能要素iBに対して、機能要素iに影響を与えたのと同じセキュリティ攻撃を受けても、耐性の向上により、影響を受けることを防止できる。 If the security countermeasure unit 130 is provided to change the security measures for the communication network (vehicle-mounted network 400) according to the type of security attack when an abnormality is detected, the same structure as the functional element i can be obtained. Even if the preliminary functional element iB has the same security attack that affected the functional element i, it can be prevented from being affected by the improvement of resistance.

セキュリティ対策部130は、セキュリティ対策の変更内容を、車両に搭載された他の制御装置(例えば、EPS制御装置200、ブレーキ制御装置300)に通知するように構成すれば、セキュリティ対策変更に伴う車両内での連携動作での障害を抑えることができる。 If the security measure unit 130 is configured to notify other control devices (for example, EPS control device 200, brake control device 300) mounted on the vehicle of the change contents of the security measure, the vehicle accompanying the change of the security measure It is possible to suppress obstacles in the cooperative operation within.

また、処理対象として特定された機能要素iそれぞれを、当該機能要素iへの入力を維持し、外部への出力を遮断した隔離領域150に移動させる隔離処理部118を有するようにすれば、セキュリティ攻撃の分析、攻撃者の意図の解析等を行うことができる。 Further, if each of the functional elements i specified as the processing target is provided with the isolation processing unit 118 that maintains the input to the functional element i and moves the output to the outside to the isolation area 150 that is blocked, security is provided. It is possible to analyze attacks, analyze the intentions of attackers, and so on.

処理対象として特定された機能要素iを無効化した後、無効化した機能要素iの内容を対応する予備機能要素iBの内容に書き換え、切り替え後の予備機能要素iBに対する予備機能要素iBとして機能要素保持部120に保持する機能要素書換部を備えることで、以降のセキュリティ攻撃に対する対応も可能になる。 After invalidating the functional element i specified as the processing target, the content of the invalidated functional element i is rewritten to the content of the corresponding preliminary functional element iB, and the function functions as the preliminary functional element iB + for the preliminary functional element iB after switching. By providing the functional element rewriting unit held in the element holding unit 120, it is possible to respond to subsequent security attacks.

以上のように、各実施の形態にかかる制御方法によれば、車両に搭載された機器の少なくともいずれかを制御する制御方法であって、制御を実行するための複数の機能要素i、および複数の機能要素iそれぞれに対応し、各機能要素iと同じ制御機能を実行可能な予備機能要素iBを保持する機能要素保持ステップ、通信網(車載ネットワーク400)を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ(ステップS100〜S120)、異常が検知されたとき、複数の機能要素iのうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ(ステップS130〜S140)、複数の機能要素iの使用状況に応じ、特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ(ステップS150〜S160)、および特定された機能要素の制御機能を、優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ(ステップS170/S175〜190)、を含むように構成したので、セキュリティ攻撃を受けても、車両制御に支障をきたすことなく、攻撃を受ける前と同等の車両制御を継続することができる。 As described above, according to the control method according to each embodiment, it is a control method for controlling at least one of the devices mounted on the vehicle, and the plurality of functional elements i and the plurality of functional elements i for executing the control. A functional element holding step that holds a preliminary functional element iB that corresponds to each of the functional elements i and can execute the same control function as each functional element i, and an abnormality caused by a security attack via the communication network (vehicle-mounted network 400). Abnormality detection step to detect (steps S100 to S120), processing target identification step to specify the functional element in which the abnormality has occurred and the functional element to be the ripple destination among the plurality of functional elements i when the abnormality is detected. (Steps S130 to S140), a priority assignment step (steps S150 to S160) for assigning a priority to each of the specified functional elements according to the usage status of the plurality of functional elements i, and a control function of the specified functional element. Is configured to include a functional element switching step (steps S170 / S175-190) for switching to and executing each corresponding preliminary functional element based on the priority, so that even if a security attack is received, the vehicle can be controlled. It is possible to continue the same vehicle control as before the attack without causing any trouble.

機能要素切替ステップにおける予備機能要素iBによる制御機能の実行前に、セキュリティ攻撃の種類に応じて、通信網(車載ネットワーク400)に対するセキュリティ対策の変更を行う、セキュリティ対策ステップ(ステップS180)を含むように構成すれば、とくに、機能要素iと同じ構造を有する予備機能要素iBに対して、機能要素iに影響を与えたのと同じセキュリティ攻撃を受けても、耐性の向上により、影響を受けることを防止できる。 Include a security measure step (step S180) that changes the security measures for the communication network (vehicle-mounted network 400) according to the type of security attack before executing the control function by the preliminary function element iB in the function element switching step. In particular, even if the preliminary functional element iB, which has the same structure as the functional element i, is subjected to the same security attack that affected the functional element i, it will be affected by the improvement of resistance. Can be prevented.

100:ADAS制御装置(制御装置)、 110:異常対応制御部、 111:異常検知部、 112:異常発生元特定部(処理対象特定部)、 113:波及箇所特定部(処理対象特定部)、 114:機能使用状況確認部、 115:優先順位付与部、 116:機能要素切替部、 117:対策変更部、 118:隔離処理部、 120:機能要素保持部、 130:セキュリティ対策部、 131:通信認証機能、 132:機器認証機能、 133:暗号化機能、 140:送受信部、 150:隔離領域、 200:EPS制御装置、 300:ブレーキ制御装置、 400:車載ネットワーク(通信網)、 i:機能要素、 iB:予備機能要素、 iB:予備機能要素。 100: ADAS control device (control device), 110: Abnormality response control unit, 111: Abnormality detection unit, 112: Abnormality source identification unit (processing target identification unit), 113: Ripple location identification unit (processing target identification unit), 114: Function usage status confirmation unit, 115: Priority assignment unit, 116: Functional element switching unit, 117: Countermeasure change unit, 118: Isolation processing unit, 120: Functional element holding unit, 130: Security countermeasure unit, 131: Communication Authentication function, 132: Device authentication function, 133: Encryption function, 140: Transmitter / receiver, 150: Isolated area, 200: EPS control device, 300: Brake control device, 400: In-vehicle network (communication network), i: Functional element , IB: Preliminary functional element, iB + : Preliminary functional element.

本願に開示される制御方法は、通信網を介して車両に搭載された機器の少なくともいずれかを制御する制御装置に対し、前記車両に搭載された制御装置が実行する制御方法であって、前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、を含むことを特徴とする。
The control method disclosed in the present application is a control method executed by a control device mounted on the vehicle with respect to a control device that controls at least one of the devices mounted on the vehicle via a communication network. A plurality of functional elements for executing control, and a functional element holding step for holding a preliminary functional element corresponding to each of the plurality of functional elements and capable of executing the same control function as each functional element, via the communication network. Anomaly detection step that detects anomalies caused by security attacks, and when the anomaly is detected, a processing target that identifies the functional element in which the anomaly occurred and the functional element that is the ripple destination among the plurality of functional elements. A specific step, a priority giving step for giving a priority to each of the specified functional elements according to the usage status of the plurality of functional elements, and a control function of the specified functional element are performed based on the priority. , Each of which includes a functional element switching step for switching to and executing a corresponding preliminary functional element.

Claims (7)

車両に搭載され、通信網を介して、前記車両に搭載された機器の少なくともいずれかを制御する制御装置であって、
前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持部、
前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知部、
前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定部、
前記特定された機能要素の制御機能を、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替部、および
前記複数の機能要素の使用状況に応じ、前記切り替えにおける予備機能要素の起動の優先順位を付与する優先順位付与部、
を備えたことを特徴とする制御装置。 A control device mounted on a vehicle and controlling at least one of the devices mounted on the vehicle via a communication network.
A plurality of functional elements for executing the control, and a functional element holding unit that holds a preliminary functional element corresponding to each of the plurality of functional elements and capable of executing the same control function as each functional element.
Anomaly detection unit that detects anomalies caused by security attacks via the communication network,
When the abnormality is detected, among the plurality of functional elements, the processing target specifying unit that specifies the functional element in which the abnormality has occurred and the functional element to which the abnormality occurs as the processing target.
A functional element switching unit that switches and executes the control function of the specified functional element to the corresponding spare functional element, and a priority of activation of the spare functional element in the switching according to the usage status of the plurality of functional elements. Priority giving department, which gives
A control device characterized by being equipped with. 前記異常が検知されたとき、前記セキュリティ攻撃の種類に応じて、前記通信網に対するセキュリティ対策の変更を行うセキュリティ対策部を備えたことを特徴とする請求項1に記載の制御装置。 The control device according to claim 1, further comprising a security countermeasure unit that changes security measures for the communication network according to the type of the security attack when the abnormality is detected. 前記セキュリティ対策部は、前記セキュリティ対策の変更内容を、前記車両に搭載された他の制御装置に通知することを特徴とする請求項2に記載の制御装置。 The control device according to claim 2, wherein the security countermeasure unit notifies other control devices mounted on the vehicle of the changed contents of the security measures. 前記特定された機能要素それぞれを、当該機能要素への入力を維持し、外部への出力を遮断した隔離領域に移動させる隔離処理部を有することを特徴とする請求項1から3のいずれか1項に記載の制御装置。 Any one of claims 1 to 3, wherein each of the specified functional elements has an isolation processing unit that maintains an input to the functional element and moves the output to the outside to an isolated area that is blocked. The control device according to the section. 前記特定された機能要素を無効化した後、前記無効化した機能要素の内容を対応する予備機能要素の内容に書き換え、切り替え後の予備機能要素に対する予備機能要素として前記機能要素保持部に保持する機能要素書換部を備えたことを特徴とする請求項1から4のいずれか1項に記載の制御装置。 After invalidating the specified functional element, the content of the invalidated functional element is rewritten to the content of the corresponding spare functional element, and the content is held in the functional element holding unit as a preliminary functional element for the spare functional element after switching. The control device according to any one of claims 1 to 4, further comprising a functional element rewriting unit. 通信網を介して、車両に搭載された機器の少なくともいずれかを制御する制御方法であって、
前記制御を実行するための複数の機能要素、および前記複数の機能要素それぞれに対応し、各機能要素と同じ制御機能を実行可能な予備機能要素を保持する機能要素保持ステップ、
前記通信網を介したセキュリティ攻撃に起因する異常を検知する異常検知ステップ、
前記異常が検知されたとき、前記複数の機能要素のうち、異常が生じた機能要素と波及先となる機能要素を処理対象として特定する処理対象特定ステップ、
前記複数の機能要素の使用状況に応じ、前記特定された機能要素それぞれに優先順位を付与する優先順位付与ステップ、および
前記特定された機能要素の制御機能を、前記優先順位に基づいて、それぞれ対応する予備機能要素に切り替えて実行させる機能要素切替ステップ、
を含むことを特徴とする制御方法。 A control method that controls at least one of the devices mounted on a vehicle via a communication network.
A functional element holding step, which holds a plurality of functional elements for executing the control, and a preliminary functional element corresponding to each of the plurality of functional elements and capable of executing the same control function as each functional element.
Anomaly detection step that detects anomalies caused by security attacks via the communication network,
When the abnormality is detected, among the plurality of functional elements, the processing target specifying step of specifying the functional element in which the abnormality has occurred and the functional element to be the ripple destination as the processing target,
According to the usage status of the plurality of functional elements, the priority assignment step for assigning a priority to each of the specified functional elements and the control function of the specified functional element are supported based on the priority. Functional element switching step to switch to the preliminary functional element to be executed,
A control method comprising. 前記機能要素切替ステップにおける前記予備機能要素による前記制御機能の実行前に、前記セキュリティ攻撃の種類に応じて、前記通信網に対するセキュリティ対策の変更を行う、セキュリティ対策ステップ、を含むことを特徴とする請求項6に記載の制御方法。 It is characterized by including a security measure step in which security measures for the communication network are changed according to the type of the security attack before the control function is executed by the preliminary function element in the functional element switching step. The control method according to claim 6.
JP2019184247A 2019-10-07 2019-10-07 Control device and control method Active JP6918067B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019184247A JP6918067B2 (en) 2019-10-07 2019-10-07 Control device and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019184247A JP6918067B2 (en) 2019-10-07 2019-10-07 Control device and control method

Publications (2)

Publication Number Publication Date
JP2021060778A true JP2021060778A (en) 2021-04-15
JP6918067B2 JP6918067B2 (en) 2021-08-11

Family

ID=75380168

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019184247A Active JP6918067B2 (en) 2019-10-07 2019-10-07 Control device and control method

Country Status (1)

Country Link
JP (1) JP6918067B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022254520A1 (en) * 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Integrity verification device and integrity verification method
WO2023112376A1 (en) * 2021-12-17 2023-06-22 パナソニックIpマネジメント株式会社 Security measure method and security measure system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018065973A1 (en) * 2016-10-06 2018-04-12 Red Bend Ltd. Systems and methods for handling a vehicle ecu malfunction
JP2018194909A (en) * 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 Information processing device and abnormality coping method
JP2019075056A (en) * 2017-10-19 2019-05-16 三菱電機株式会社 Vehicle security apparatus and security method
JP2019191063A (en) * 2018-04-27 2019-10-31 三菱電機株式会社 Inspection system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018065973A1 (en) * 2016-10-06 2018-04-12 Red Bend Ltd. Systems and methods for handling a vehicle ecu malfunction
JP2018194909A (en) * 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 Information processing device and abnormality coping method
JP2019075056A (en) * 2017-10-19 2019-05-16 三菱電機株式会社 Vehicle security apparatus and security method
JP2019191063A (en) * 2018-04-27 2019-10-31 三菱電機株式会社 Inspection system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022254520A1 (en) * 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Integrity verification device and integrity verification method
WO2022255245A1 (en) * 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Integrity verification device and integrity verification method
WO2023112376A1 (en) * 2021-12-17 2023-06-22 パナソニックIpマネジメント株式会社 Security measure method and security measure system

Also Published As

Publication number Publication date
JP6918067B2 (en) 2021-08-11

Similar Documents

Publication Publication Date Title
CN112204578B (en) Detecting data anomalies on a data interface using machine learning
JP6889296B2 (en) Gateway device, system and firmware update method
JP6723955B2 (en) Information processing apparatus and abnormality coping method
JP7231559B2 (en) Anomaly detection electronic control unit, in-vehicle network system and anomaly detection method
CN110268681A (en) Vehicle gateway device and communication cutting-off method
JP6964277B2 (en) Communication blocking system, communication blocking method and program
JP6918067B2 (en) Control device and control method
JP7485110B2 (en) Alternative device, alternative control program and alternative method
WO2021145144A1 (en) Intrusion-path analyzing device and intrusion-path analyzing method
CN111669352B (en) Method and device for preventing denial of service attack
JP2022024266A (en) Log analyzer
WO2021205633A1 (en) Control device and control method
JP7409247B2 (en) Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
JP2023170125A (en) Security method and security device
JP7318710B2 (en) Security device, incident response processing method, program, and storage medium
JP7391242B2 (en) Control device
US20230267204A1 (en) Mitigating a vehicle software manipulation
JP7466819B2 (en) Management device, management method, and program
JP7471532B2 (en) Control device
WO2019229969A1 (en) Data communication control device, data communication control program, and vehicle control system
JP6330607B2 (en) Information processing system, logging control program, and logging control method
JP7420285B2 (en) In-vehicle device, fraud detection method and computer program
US20230267213A1 (en) Mitigation of a manipulation of software of a vehicle
WO2022168453A1 (en) Vehicle control system, method for controlling vehicle control system, and program
EP4377179A1 (en) Method for operating an autonomous driving vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210622

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210720

R151 Written notification of patent or utility model registration

Ref document number: 6918067

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151