JP2024000586A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2024000586A
JP2024000586A JP2022099325A JP2022099325A JP2024000586A JP 2024000586 A JP2024000586 A JP 2024000586A JP 2022099325 A JP2022099325 A JP 2022099325A JP 2022099325 A JP2022099325 A JP 2022099325A JP 2024000586 A JP2024000586 A JP 2024000586A
Authority
JP
Japan
Prior art keywords
amplitude
communication circuit
signal
electronic control
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022099325A
Other languages
English (en)
Inventor
雄三 田口
Yuzo Taguchi
将造 神▲崎▼
Shozo Kanzaki
裕 竹内
Yutaka Takeuchi
秀如 高濱
Hideyuki Takahama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2022099325A priority Critical patent/JP2024000586A/ja
Publication of JP2024000586A publication Critical patent/JP2024000586A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】簡単な構成で、容易に不正なアクセスを防止できる電子制御装置を提供する。【解決手段】電子制御装置(100)は、制御プログラムを格納するメモリに外部からアクセス可能な第1の通信端子(12a)を有する演算器(10)と、演算器(10)の状態を監視する演算器監視手段(20)とを備え、演算器監視手段(20)による演算器(10)の監視に基づいて、演算器(10)と演算器監視手段(20)のうちの少なくとも一方から第1の制御信号を出力し、第1の制御信号があらかじめ定められた状態のとき、第1の通信端子(12a)に接続された第1の第1の通信回路(13a)の信号の振幅を低下させて第1の通信回路(13a)による通信を停止させる。【選択図】図1

Description

本願は、電子制御装置に関するものである。
一般に、車両に搭載される電子制御装置は、回路基板に実装されたマイコン(Microcontroller)の内部メモリに書き込まれた制御プログラムに基づき、被制御対象の制御を行う演算器を備えているが、制御の改良、あるいはバージョンアップとして、制御プログラムの書き換えであるリプログラミング(Reprogramming)が行われることがある。また、車両の動作に不具合が生じた際には、不具合発生時の動作状態に関する情報をマイコンの内部メモリに記録し、外部からその情報を読み出して解析を行う場合がある。
従来、マイコンに対するリプログラミング機能、もしくはマイコンからの情報の読み出し機能を実現するため、電子制御装置には、リプログラミングもしくは情報の読み出しを行なうための通信回路が備えられている。この通信回路は、ワイヤハーネス(Wire Harness)を介し、車両のダイアグノシスコネクタ(Diagnosis Connector)に接続される。車両の製造業者、販売業者、整備業者は、車両のダイアグノシスコネクタを利用して、電子制御装置のマイコンの内部メモリにアクセスを行うことができる。
前述のマイコンに対するリプログラミング機能、もしくはマイコンからの情報の読み出し機能は、車両に搭載される電子制御装置だけでなく、航空機搭載の電子制御装置、船舶搭載の電子制御装置、エレベータ、もしくはエスカレータに搭載の電子制御装置、ビル管理システムにおける電子制御装置、事務機器に搭載の電子制御装置、あるいは家庭用電化製品に搭載の電子制御装置、など様々な分野の電子制御装置に応用することが可能である。
車両に取り付けられたダイアグノシスコネクタは、広く知られたものであることから、正規の車両の製造業者、販売業者、整備業者、以外の第三者による不正なアクセスが行われる可能性がある。このような不正なアクセスにより制御プログラムの書き換えが行われると、予期せぬ車両トラブルを招く恐れがある。
また、遠隔操作により車両の制御が奪われる場合も想定でき、財産権の侵害、稼働率の低下(可用性の低下)、個人情報の流失、など、いわゆる、SFOP(Safety Financial Operational Privacy)として想定される広範囲な分野における被害のリスクが生じる。また、前述の不正なアクセスにより、制御プログラムがメモリから抽出され、複製されてしまう恐れもある。
従来、不正アクセスを防止するため、セキュリティ性の改良として、通信に際しパスワードによるアクセス制限を課すことが行われている。しかし、車両の高機能化に伴い、不正アクセスが行われた際のリスクが大きくなってきていることから、多重のセキュリティ対策が求められている。
特許文献1には、前述の不正アクセスによるリスクを解決する方法として、対象装置に接続する第1の通信インターフェイスと、操作用外部機器に接続する第2の通信インターフェイスと、処理部と、不揮発性メモリとを備え、対象装置から保護コードを受信すると、処理部は、保護コード受信情報を不揮発性メモリに格納し、不揮発性メモリに保護コード受信情報が保存されていることを条件として、処理部により、第1の通信インターフェイスおよび第2の通信インターフェイスを用いた対象装置と、操作用外部機器と、の間の通信を遮断する技術が開示されている。
また、特許文献2には、秘匿信号が流れる信号線と、その信号線に端子が接続される部品と、を回路基板の部品内蔵層にレイアウトし、回路基板の表面に設けられた観測点に、所定の部品を介して暗号化された秘匿信号のみを出力する構成とし、観測点に現れる信号に対して上記所定の部品により施された暗号を解読することで、外部からの秘匿信号の観測および制御を行うようにした技術が開示されている。
特開2016―139338号公報 特開2005-136391号公報
しかしながら、特許文献1には、通信を遮断する具体的な手段もしくは方法について言及されておらず、また、特許文献1に開示された従来の技術は、通信を遮断する条件が外部に接続された対象機器に依存する構成であることから、通信経路は通常時に開放されることとなり、セキュリティとしては不十分であるという課題があった。
また、特許文献2に開示された従来の技術は、回路基板の内部に暗号化を行う部品を内蔵する必要があり、電子制御装置の小型化、軽量化、コスト低減に対する妨げとなるという課題があった。
本願は、上記のような課題を解決するための技術を開示するものであり、簡単な構成で、容易に不正なアクセスを防止することができる電子制御装置を提供することを目的とする。
本願に開示される電子制御装置は、
制御プログラムを格納するメモリに外部からアクセス可能な第1の通信端子と、前記第1の通信端子からアクセス可能な領域とは異なる領域にアクセス可能な第2の通信端子と、を備え、前記制御プログラムに基づいて動作する演算器、
前記第1の通信端子を介して、外部機器と前記演算器との間で信号の伝達を行なう第1の通信回路、
前記第2の通信端子を介して、外部機器と前記演算器との間で信号の伝達を行なう第2の通信回路、
前記演算器が正常か否かを監視する演算器監視手段、
前記第1の通信回路により伝達される前記信号の振幅を低下させることにより、前記第1の通信回路による前記信号の伝達を停止させ得る第1の振幅低下手段、および、
少なくとも、前記演算器と、前記第1の通信回路と、前記第2の通信回路と、を搭載した回路基板、
を備え、
前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、
前記演算器監視手段による前記監視に基づいて第1の制御信号を発生し、前記第1の振幅低下手段に前記第1の制御信号を入力するように構成され、
前記第1の振幅低下手段は、
前記入力された前記第1の制御信号があらかじめ定められた状態にあるとき、前記第1の通信回路により伝達される前記信号の振幅を低下させて前記第1の通信回路による前記信号の伝達を停止させるように構成されている、
ことを特徴とする、
ものである。
本願に開示される電子制御装置によれば、簡単な構成で、容易に不正なアクセスを防止することができる電子制御装置が得られる。
実施の形態1による電子制御装置の全体構成を示す機能ブロック図である。 実施の形態1による電子制御装置における、第1の通信回路の構成を示す説明図である。 実施の形態1による電子制御装置における、第2の通信回路の構成を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の概略構成を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の変形例の概略構成を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の別の変形例の概略構成を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成、および第1の振幅低下手段と第1の通信回路との接続を示す説明図である。 実施の形態1による電子制御装置における、論理結合回路を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成の変形例を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成の別の変形例を示す説明図である。 実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成のさらに別の変形例を示す説明図である。 実施の形態2による電子制御装置における、第1の振幅低下手段の回路構成、および第1の振幅低下手段と第1の通信回路との接続を示す説明図である。 実施の形態3による電子制御装置の全体構成を示す機能ブロック図である。 実施の形態4による電子制御装置の全体構成を示す機能ブロック図である。 実施の形態4による電子制御装置における、計数カウンタの構成を示す説明図である。 図11Aに示す係数カウンタの動作を示す説明図である。 実施の形態5による電子制御装置の全体構成を示す機能ブロック図である。 実施の形態5による電子制御装置における、通信端子無効化手段の構成を示す説明図である。 実施の形態5による電子制御装置における、演算器の第1の通信端子の内部構成を示す説明図である。 実施の形態1による電子制御装置の動作を示す説明図である。 実施の形態2による電子制御装置における、第1の開閉器としてのアナログスイッチの動作を示す説明図である。 実施の形態2による電子制御装置の動作を示す説明図である。
実施の形態1.
以下、実施の形態1による電子制御装置について、図を参照して説明する。図1は、実施の形態1による電子制御装置の全体構成を示す機能ブロック図である。図1に示す実施の形態1による電子制御装置は、外部機器との通信機能を備えている。図1において、電子制御装置100は、回路基板90を主体として構成されている。回路基板90には、メモリ11を有する演算器10と、演算器監視手段20と、第1の通信回路13aと、第2の通信回路13bと、第1の開閉器31aを有する第1の振幅低下手段30aと、が実装されている。
演算器10は、例えばマイコン、FPGA(Field-Programmable Gate Array)、などのような、任意のプログラムに基づいて演算処理を行うように構成されている。上記プログラムは、一般的には演算器10の内部に設け有れたメモリ11に書き込まれているが、プログラムの規模が大きく大容量のメモリが必要な場合などでは、演算器10の外部に設けられたメモリに書き込まれることもある。
第1の通信回路13aは、たとえばJTAG(Joint Test Action Group)通信を行うJTAGインターフェイスであり、電子制御装置100の外部からパルス信号である信号により、演算器10に設けられた第1の通信端子12aを介して、メモリ11を含むプログラム領域に対して、もしくは演算器10の外部にメモリを備えた場合にはそのメモリに対して、アクセスが可能に構成されている。
図2は、実施の形態1による電子制御装置における、第1の通信回路の構成を示す説明図である。図2において、第1の通信回路13aは、バッファ13a1と抵抗13a2との直列接続体により構成されている。なお、図2では、バッファ13a1を用いた構成としているが、電圧変換が必要な場合には、バッファ13a1に代えてレベルシフタ(Level Shifter)を用いてもよい。このことは、後述の実施の形態2から実施の形態5においても同様である。
図1において、第2の通信回路13bは、あらかじめ定められたプログラムに基づき、電子制御装置100の外部機器とパルス信号により通信を行い、演算器10に設けられた第2の通信端子12bを介して、第1の通信回路13aがアクセスする演算器10の領域とは異なる領域に、アクセスする際のインターフェイスである。
図3は、実施の形態1による電子制御装置における、第2の通信回路の構成を示す説明図である。図3において、第2の通信回路13bは、汎用のCAN(Controller Area Network)通信用ICとしてのCANトランシーバ(CAN Transceiver)13b1と、その周辺回路13b2と、で構成されたいわゆるCANインターフェイスである。CAN通信、CANインターフェイス、については広く知られたものであることからその説明は省略する。CANトランシーバ13b1は、バス入出力端子CANHと、CANLと、送信データ入力端子Txと、受信データ入出力端子Rxとを有する。
なお、第2の通信回路13bは、通信方式、およびそのインターフェイスをCANに限定されるものではなく、LIN(Local Interconnect Network)、SENT(Single Edge Nibble Transmission)、などの他の方式であってもよい。このことは、後述の実施の形態2から実施の形態5においても同様である。
以上のことから、第2の通信回路13bを介したアクセスは、あらかじめ定められたプログラムに基づくものであることから、アクセス範囲を任意に設定可能であるが、第1の通信回路13aを介したアクセス範囲は、演算器10の有する機能に依存するため、不正アクセスが行われた際のリスクも大きくなることがあり得るので、第1の通信回路13aに基づく通信に対してはセキュリティ面での対策が求められることとなる。
図1において、演算器監視手段20は、演算器10が正常か否か、特に、演算器10が外部から不正なアクセスを受けている正常ではない状態であるか否か、を検出するものである。例えば、相応するコード表を演算器10、演算器監視手段20の双方に保有しておき、演算器10から無作為のコードを演算器監視手段20に送信を行い、無作為のコードを受信した演算器監視手段20は、相応したコードを演算器10に返信する。この返信されたコードが正常であるか否かにより、演算器10が正常であるか否か判定を行うことが可能である。
なお、演算器10が外部から不正なアクセスを受けているか否かの検出の仕方は、演算器監視手段20がコードを送信し、演算器10から返信されるまでの時間に制限を設け、制限時間内に返信がない場合は、不正アクセスを受けている最中であると判定する、などの他の方法であってもよい。このことは後述の実施の形態2から実施の形態5においても同様である。
演算器10と、演算器監視手段20と、のうちの少なくとも一方は、第1の制御信号S1aを出力し、第1の振幅低下手段30aに入力する。第1の制御信号S1aは、演算器10が正常であれば、ローレベル(以下、Lレベルと称する)となり、演算器10が異常もしくは不正アクセスを受けているなどで正常ではないと判定すれば、あらかじめ定められた出力状態としての、ハイレベル(以下、Hレベルと称する)又は無信号となる。
第1の振幅低下手段30aは、演算器10又は演算器監視手段20から出力される第1の制御信号S1aが、あらかじめ定められた出力状態としてのHレベル又は無信号のとき、第1の通信回路13aの内部の信号の振幅を低下させて、第1の通信回路13aによる通信を遮断する。
第1の振幅低下手段30aは、例えば、図4A、又は図4B、又は図4C、に示すように構成されている。すなわち、図4Aは、実施の形態1による電子制御装置における、第1の振幅低下手段の概略構成を示す説明図、図4Bは、実施の形態1による電子制御装置における、第1の振幅低下手段の変形例の概略構成を示す説明図、図4Cは、実施の形態1による電子制御装置における、第1の振幅低下手段の別の変形例の概略構成を示す説明図である。
図4Aにおいて、第1の通信回路13aに接続された第1の振幅低下手段30aは、抵抗52と、第1の通信回路13aのノードからGNDノードに至る第1の通電経路の導通および遮断を行う第1の開閉器31aと、の直列接続体により構成されている。図4Bに示す第1の振幅低下手段30aの変形例では、ダイオード57と、第1の通信回路13aのノードからGNDノードに至る第1の通電経路の導通および遮断を行う第1の開閉器31aと、の直列接続体により構成されている。図4Cに示す第1の振幅低下手段30aの別の変形例では、回路基板に配線されたパターン571と、第1の通信回路13aのノードからGNDノードに至る第1の通電経路の導通および遮断を行う第1の開閉器31aと、の直列接続体により構成されている。
図4Aと図4Bと図4Cにそれぞれ示す第1の振幅低下手段30aのうちの何れを用いるかは、第1の開閉器31aの内部の回路の構成、第1の通信回路13aの内部回路の構成、などに合わせて選択可能である。
なお、図4Aと図4Bと図4Cにそれぞれ示す第1の振幅低下手段30aの何れの場合も、ジャンパ(Jumper)を追加した構成としてもよい。このことは後述の実施の形態2から実施の形態5においても同様である。
また、図4A、図4B、図4Cでは、第1の開閉器31aが閉じるもしくは導通することにより、第1の通信回路13aのノードをGNDノードに接続するよう構成しているが、第1の通信回路13aの内部の信号の振幅を低下させるものであれば、第1の通信回路13aのノードを、他の電位を有するノードもしくは交流電源、に接続するよう構成してもよい。このことは後述の実施の形態3から実施の形態5においても同様である。
第1の開閉器31aは、外部から印加される電気信号に基づいて第1の通電経路の導通および遮断を切り替えるものであり、トランジスタ、電界効果型トランジスタ(FET:Field Effect Transistor)といった半導体素子、あるいは半導体素子を組み合わせた開閉回路、もしくはリレーのような機械式開閉器であってもよい。このことは後述の実施の形態2から実施の形態5においても同様である。
図5は、実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成、および第1の振幅低下手段と第1の通信回路との接続を示す説明図である。なお、第1の通信回路13aは、説明のため簡略化し、抵抗51のみとして表現しており、電子制御装置100の外部から入力された第1の通信回路13aによる通信の信号を、第1の通信端子12aに伝達するだけの構成としている。
図5において、第1の通信回路13aは、電子制御装置100の外部に存在する外部機器から抵抗51を介し、演算器10の第1の通信端子12aに接続するよう構成されている。第1の振幅低下手段30aは、抵抗52、GNDノード、第1の開閉器31aにより構成されている。第1の通信回路13aを構成する抵抗51における第1の通信端子12a側の端部は、第1の振幅低下手段30aを構成する抵抗52の一端にも接続されている。抵抗52の他端は、第1の振幅低下手段30aの内部に配置された第1の開閉器31aを介して、GNDノードに接続されている。
第1の開閉器31aは、電源ノードVccと、抵抗53と、抵抗54と、NPN型トランジスタ55と、により構成されている。電源ノードVccは、抵抗53の一端に接続されている。抵抗53の他端は、抵抗54を介しNPN型トランジスタ55のベース端子に接続されるとともに、演算器監視手段20にも接続されており、演算器10と演算器監視手段20とのうちの少なくとも一方が出力する第1の制御信号S1aが、第1の開閉器31aに入力されるよう構成されている。
NPN型トランジスタ55のコレクタ端子は、第1の振幅低下手段30aを構成する抵抗52に接続されており、NPN型トランジスタ55のエミッタ端子は、第1の振幅低下手段30aのGNDノードに接続されている。
つぎに、第1の振幅低下手段30aの動作について説明する。第1の制御信号S1aがHレベルのときは、抵抗54を介し、NPN型トランジスタ55にベース電流が供給され、NPN型トランジスタ55は導通する。これにより、第1の通信回路13aを構成する抵抗51から、抵抗52を介し、GNDノードに至る第1の通電経路が導通することとなる。
NPN型トランジスタ55が導通することにより、電子制御装置100の外部から入力された信号は、第1の通信回路13aを構成する抵抗51と、第1の振幅低下手段30aを構成する抵抗52とにより分圧され、その振幅を低下させた上で演算器10の第1の通信端子12aに伝達されることとなる。このとき、抵抗51の抵抗値をR51、抵抗52の抵抗値をR52、とおけば、電子制御装置100の外部から入力された信号の振幅低下率Aは、下記の式(1)で表される。
A=R51/(R51+R52)・・・・・式(1)
ここで、振幅低下率Aを、演算器10が認識不能となるように大きく設定することにより、第1の通信回路13aによる通信を停止させることができる。
なお、抵抗51の許容電力、およびNPN型トランジスタ55の許容電流、に十分余裕がある場合は、抵抗52をジャンパもしくは配線パターンに置き換え、[振幅低下率A=100%]とし、第1の通信端子12aの電位をGND電位に固定するようにしてもよい。このことは後述の実施の形態3から実施の形態5においても同様である。
一方、第1の制御信号S1aがLレベルのときは、第1の開閉器31aを構成するNPN型トランジスタ55にベース電流が供給されず、NPN型トランジスタ55は非導通となり、抵抗51から、抵抗52を介し、GNDノードに至る第1の通電経路が遮断されることとなる。つまり、電子制御装置100の外部に存在する外部機器から入力された信号は、その振幅を低下させることなく、第1の通信端子12aに伝達されて第1の通信回路13aによる通信を行うことができる。
第1の制御信号S1aが無信号であるときは、電源ノードVccから抵抗53、抵抗54を介し、NPN型トランジスタ55にベース電流が供給され、NPN型トランジスタ55が導通し、第1の制御信号S1aがHレベルのときと同じ動作を行い、第1の通信回路13aによる通信を停止することができる。
図15は、実施の形態1による電子制御装置の動作を示す説明図であって、第1の開閉器31aおよび第1の振幅低下手段30aの動作と、第1の通信回路13aによる通信との関係を示している。図15に示すように、第1の制御信号S1aがHレベルのときは、第1の開閉器31aが導通して第1の振幅低下手段30aが動作し、第1の通信回路13aによる通信は停止する。
一方、第1の制御信号S1aがLレベルのときは、第1の開閉器31aが非導通となって前述の第1の通電経路が遮断され、第1の振幅低下手段30aが非動作となり、第1の通信回路13aによる通信が可能となる。また、第1の制御信号S1aが無信号のときは、第1の開閉器31aが導通して第1の振幅低下手段30aが動作し、第1の通信回路13aによる通信は停止する。
このように、演算器10と演算器監視手段20とのうちの少なくとも一方、から出力される第1の制御信号S1aにより、通信を可能にし又は停止させる、ように第1の通信回路13aによる通信を制御することが可能となっている。また、演算器監視手段20の故障、演算器監視手段20と第1の振幅低下手段30aとを接続する配線の断線、などの不具合が生じた場合の異常時にも、第1の制御信号S1aが無信号となることで、第1の通信回路13aによる通信を停止させることができる。
図6は、実施の形態1による電子制御装置における、論理結合回路を示す説明図である。図1においては、演算器10と演算器監視手段20とのうちの少なくとも一方から、第1の制御信号S1aを出力する構成としているが、図6に示すように、演算器10から制御信号10aを出力するとともに演算器監視手段20から制御信号20aを出力し、論理結合回路ORにより制御信号10a、20aの論理和をとり、その論理和を第1の制御信号S1aとする、などにより第1の振幅低下手段30aの動作条件を任意に設定することが可能である。
また、図5においては、抵抗53の一端を電源ノードVccに接続し、第1の制御信号S1aが無信号であった際に、NPN型トランジスタ55のベース電流を電源ノードVccから供給するように構成しているが、第1の通信回路13aの内部でその振幅を低下できる構成であれば、外部機器から入力される通信信号からベース電流を供給するようにしてもよい。このことは後述の実施の形態3から実施の形態5においても同様である。
さらに、図5では、第1の振幅低下手段30aは、第1の開閉器31aにおけるNPN型トランジスタ55に常時ベース電流を供給して、GNDノードへの第1の通電経路が常閉となるように構成されているが、第1の振幅低下手段30aおよび第1の開閉器31aは、この構成に限定されるものではなく、以下述べるように様々な形態での構成が可能である。
図7Aは、実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成の変形例を示す説明図である。図7Aにおいて、第1の振幅低下手段30aは、第1の開閉器31a、GNDノードにより構成されている。第1の開閉器31aは、常閉型リレー56と電源ノードVccにより構成されている。第1の通信回路13aを構成する抵抗51の第1の通信端子12a側は、第1の開閉器31aを構成する常閉型リレー56の接点561を介して、GNDノードに接続されている。常閉型リレー56のコイル562の一端は、電源ノードVccに接続されている。コイル562の他端には、第1の制御信号S1aが入力される。
図7Aに示す第1の振幅低下手段30aによれば、第1の制御信号S1aがLレベルのとき以外は、第1の通信回路13aを構成する抵抗51の第1の通信端子12a側は、GNDノードに接続されることとなり、前述の図5に示す第1の振幅低下手段30aおよび第1の開閉器31aと同様に、図15に示す動作を行うことができる。
図7Bは、実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成の別の変形例を示す説明図である。図7Bにおいて、第1の振幅低下手段30aは、第1の開閉器31a、GNDノード、抵抗58により構成されている。第1の開閉器31aは、電源ノードVcc、ダイオード57、抵抗59、PNP型トランジスタ60により構成されている。第1の通信回路13aを構成する抵抗51の第1の通信端子12a側は、第1の開閉器31aを構成するダイオード57のアノード側に接続されている。ダイオード57のカソード側は、抵抗58を介し、GNDノードに接続されている。
PNP型トランジスタ60のエミッタ端子は、電源ノードVccに接続され、コレクタ端子は、ダイオード57と抵抗58との接続点に接続されている。PNP型トランジスタ60のベース端子には、抵抗59を介して第1の制御信号S1aが入力される。
図7Bに示す第1の振幅低下手段30aによれば、第1の制御信号S1aがLレベルのとき以外は、第1の開閉器31aを構成するPNP型トランジスタ60が非導通となり、第1の通信回路13aを構成する抵抗51から、ダイオード57と抵抗58を介し、GNDノードに流れる第1の通電経路が導通することとなる。
一方、第1の制御信号S1aがLレベルのときは、第1の開閉器31aを構成するPNP型トランジスタ60が導通し、電源ノードVccの電源電圧を通信波形のHレベルより高く設定しておくことで、第1の通信回路13aを構成する抵抗51から、ダイオード57と抵抗58を介して、GNDノードに流れる第1の通電経路が遮断されることとなる。
したがって、図7Bに示す第1の振幅低下手段30aによれば、図5に示す第1の振幅低下手段30aと同様に、図15に示す動作を行うことができる。
図7Cは、実施の形態1による電子制御装置における、第1の振幅低下手段の回路構成のさらに別の変形例を示す説明図である。図7Cにおいて、第1の振幅低下手段30aは、第1の開閉器31aにより構成されている。第1の開閉器31aは、ダイオード61、バッファ62、抵抗63により構成されている。
なお、バッファ62は、入力信号のレベルがHレベルのときは、Hレベルの信号を出力し、入力信号がLレベルのときは、Lレベルの信号を出力する。出力するHレベルの信号の電圧値、及びLレベルの信号の電圧値は、バッファ62の電源電圧の値に依存する。
第1の通信回路13aを構成する抵抗51の第1の通信端子12a側は、第1の開閉器31aにおけるダイオード61のカソード側に接続されている。ダイオード61のアノード側は、バッファ62の出力端子に接続されている。バッファ62の入力端子は、抵抗63を介して電源ノードVccに接続されている。また、バッファ62の入力端子には、第1の制御信号S1aが入力される。
図7Cに示す第1の振幅低下手段30aによれば、第1の制御信号S1aがLレベルのとき以外は、第1の開閉器31aを構成するバッファ62の出力がHレベルとなり、バッファ62の出力端子からダイオード61を介して第1の通信回路13aを構成する抵抗51に至る第1の通電経路が導通することとなる。
一方、第1の制御信号S1aがLレベルのときは、第1の開閉器31aを構成するバッファ62の出力がLレベルとなるものの、ダイオード61の整流作用により、バッファ62の出力端子からダイオード61を介して第1の通信回路13aを構成する抵抗51に至る第1の通電経路が遮断される。
したがって、第1の振幅低下手段30aによれば、図5に示す第1の振幅低下手段30aと同様に、図15に示す動作を行うことができる。
このように、第1の振幅低下手段30aおよび第1の開閉器31aは、様々な形態で実現が可能である。このことは、後述の実施の形態3から実施の形態5においても同様である。
以上述べたように、実施の形態1による電子制御装置によれば、簡単な構成で、容易に、不正なアクセスを防止することができる。
実施の形態2.
つぎに、実施の形態2による電子制御装置について説明する。前述の実施の形態1では、第1の制御信号S1aにより常閉型の第1の開閉器31aを導通させ、第1の通信回路13aの内部のノードをあらかじめ定められた電位を有するノードに接続するか又は第1の通電経路を遮断することにより、第1の通信回路13aの内部の信号伝達経路のインピーダンスを上昇させて、第1の通信回路13aの内部の信号の振幅を低下させるよう構成していたが、実施の形態2では、第1の制御信号S1aにより制御される常開型の第1の開閉器31aにより、第1の通信回路13aの内部経路のインピーダンスを上昇させることで、第1の通信回路13aの内部の信号の振幅を低下させるよう構成したものである。
図8は、実施の形態2による電子制御装置における、第1の振幅低下手段の回路構成、および第1の振幅低下手段と第1の通信回路との接続を示す説明図である。実施の形態2による電子制御装置の全体構成は、図1に示す実施の形態1による電子制御装置の全体構成と同一である。
図8において、第1の通信回路13aは、電子制御装置100の外部から抵抗51と第1の振幅低下手段30aとの直列接続体を介して、演算器10の第1の通信端子12aに接続されるように構成されている。第1の振幅低下手段30aは、抵抗64、GNDノード、第1の開閉器31aにより構成されている。
なお、図8では、第1の開閉器31aは、制御端子CONTに入力される信号に応じて、入出力端子I/Oと入出力端子O/Iとの間の経路を導通又は遮断する、いわゆるアナログスイッチにより構成されており、図16に示す動作を行なう。すなわち、図16は、実施の形態2による電子制御装置における、第1の開閉器としてのアナログスイッチの動作を示す説明図である。
図16において、制御端子CONTがHレベルのときは、入出力端子I/Oと入出力端子O/Iの間は導通し、制御端子CONTがLレベルのときは、入出力端子I/Oと入出力端子O/Iの間は遮断される。
なお、第1の開閉器31aは、図16に示す動作もしくはそれと同様の動作となるように、機械式リレー又は半導体リレーで構成してもよい。このことは後述の実施の形態3から実施の形態5においても同様である。
図8において、第1の開閉器31aを構成するアナログスイッチの制御端子CONTは、抵抗64を介してGNDノードに接続されるとともに、演算器監視手段20にも接続されており、演算器監視手段20が出力する第1の制御信号S1aが第1の開閉器31aに入力される。
第1の制御信号S1aがHレベルのときは、第1の開閉器31aを構成するアナログスイッチの制御端子CONTはHレベルとなり、入出力端子I/Oと入出力端子O/Iとの間が導通し、電子制御装置100の外部に存在する外部機器から入力された信号は、その振幅を低下させることなく、第1の通信端子12aに伝達され、通信を行うことができる。
一方、第1の制御信号S1aがLレベルのときは、第1の開閉器31aを構成するアナログスイッチの制御端子CONTはLレベルとなり、入出力端子I/Oと入出力端子O/Iとの間が遮断され、電子制御装置100の外部に存在する外部機器から入力された信号は、第1の通信端子12aに伝達されず、その振幅はゼロとなり、第1の通信回路13aによる通信を停止させることができる。
また、第1の制御信号S1aが無信号のときは、抵抗64により、第1の開閉器31aを構成するアナログスイッチの制御端子CONTはLレベルとなり、第1の制御信号S1aがLレベルのときと同じ動作となり、通信を停止することができる。図16は、実施の形態2による電子制御装置における、第1の開閉器としてのアナログスイッチの動作を示す説明図であって、前述の動作を示している。
図17は、実施の形態2による電子制御装置の動作を示す説明図である。図17に示すように、第1の制御信号S1aがHレベルのときは、第1の開閉器31aが導通し、第1の振幅低下手段30aは非動作となり、第1の通信回路13aによる通信は可能となる。一方、第1の制御信号S1aがLレベルのときは、第1の開閉器31aが遮断され、第1の振幅低下手段30aが動作し、第1の通信回路13aによる通信が停止される。また、第1の制御信号S1aが無信号のときは、第1の開閉器31aが遮断され、第1の振幅低下手段30aが動作し、第1の通信回路13aによる通信は停止する。
このように、演算器10と演算器監視手段20とのうちの少なくとも一方、から出力される第1の制御信号S1aにより、通信を可能又は停止するように第1の通信回路13aによる通信を制御することが可能となっている。また、演算器監視手段20の故障、演算器監視手段20と第1の振幅低下手段30aとを接続する配線の断線、などの不具合が生じた場合の異常時にも、第1の制御信号S1aが無信号となることで、第1の通信回路13aによる通信を停止させることができる。
以上のように、実施の形態2による電子制御装置によれば、簡単な回路で、且つ容易に、不正なアクセスを防止することができる。
実施の形態3.
つぎに、実施の形態3による電子制御装置について説明する。前述の実施の形態1による電子制御装置では、第1の通信回路13aの内部の信号の振幅を低下させる第1の振幅低下手段30aを備える構成としていたが、実施の形態3による電子制御装置では、第1の振幅低下手段の他に、さらに第2の通信回路13bの内部の信号の振幅を低下させる第2の振幅低下手段30bを備える構成としたものである。
図9は、実施の形態3による電子制御装置の全体構成を示す機能ブロック図である。図9において、図1と同一符号は、同一又は相当部分を示し、以下の説明では、実施の形態1との相違点を中心に説明する。
図9において、第2の振幅低下手段30bは、実施の形態1および実施の形態2に示す第1の振幅低下手段30aと同一構成である。また、第2の開閉器31bは、実施の形態1および実施の形態2に示す第1の開閉器31aと同一の構成となっている。第2の振幅低下手段30bは、演算器10又は演算器監視手段20から出力される第2の制御信号S1bに基づき、第2の通信回路13bの内部の信号の振幅を低下させるものである。
演算器10と演算器監視手段20とのうちの少なくとも一方は、演算器監視手段20による演算器10の監視結果に基づき第2の制御信号S1bを出力して、第2の振幅低下手段30bに入力する。第2の振幅低下手段30bは、第2の制御信号S1bがあらかじめ定められた状態にあるとき、第2の通信回路13bの内部の信号の振幅を低下させるものであって、第2の通信回路13bによる通信の可否の制御を行うことが可能となっている。
したがって、実施の形態3による電子制御装置100は、第1の通信回路13a、第2の通信回路13b、のそれぞれに対し、任意に通信を停止させることができる構成となっている。
以上のように、実施の形態3による電子制御装置によれば、簡単な回路で、且つ容易に、不正なアクセスを防止することができる。
実施の形態4.
つぎに、実施の形態4による電子制御装置について説明する。図10は、実施の形態4による電子制御装置の全体構成を示す機能ブロック図である。図10において、図9と同一符号は同一又は相当部分を示す。前述の実施の形態3による電子制御装置では、第1の通信回路13a、第2の通信回路13b、のそれぞれに内部の信号の振幅を低下させる第1の振幅低下手段30a、および第2の振幅低下手段30bを備える構成としたが、実施の形態4による電子制御装置では、さらに演算器監視手段20が検出した演算器10の異常、すなわち演算器10に対する外部からの不正なアクセス、の回数を計数する、計数カウンタ80を備える構成としている。その他の構成は、実施の形態3の構成と同一である。
図10において、計数カウンタ80は、入力端子および出力端子を備え、演算器監視手段20との信号のやり取りを行うように構成されている。図11Aは、実施の形態4による電子制御装置における、計数カウンタの構成を示す説明図である。
図11Aにおいて、計数カウンタ80は、演算器監視手段20からのパルス信号がCP端子に入力される第1のDフリップフロップ801と、第1のDフリップフロップ801のQ端子がCP端子に接続された第2のDフリップフロップ802と、第2のDフリップフロップ802の反転Q端子がCP端子に入力された第3のDフリップフロップ803と、により構成されている。
また、第1のDフリップフロップ801と、第2のDフリップフロップ802と、第3のDフリップフロップ803の反転Q端子は、それぞれ自身のD端子に接続されている。第1のDフリップフロップ801のCP端子は、計数カウンタ80の入力端子を構成し、第3のDフリップフロップ803のQ端子は、計数カウンタ80の出力端子を構成する。
図11Bは、図11Aに示す計数カウンタの動作を示す説明図であって、Aは入力信号、Bは出力信号、横軸は時刻t、をそれぞれ示している。図11A、図11Bにおいて、計数カウンタ80の入力端子には、演算器監視手段20から、Aに示す入力信号P1、P2、P3、P4が入力されると、入力信号P1から4個目の入力信号P4の立ち上がりエッジに同期して、第3のDフリップフロップ802のQ端子である出力端子から、出力信号Q1が立ち上がり、この出力信号Q1が計数カウンタ80の出力となる。
なお、図11Aでは、Dフリップフロップを用いたパルスカウンタにより計数カウンタ80を構成しているが、他の構成であってもよい。
図10において、演算器監視手段20が、演算器10に対する外部からの不正アクセスを検出したとき、演算器監視手段20から計数カウンタ80に対し、図11BのAに示すように、不正アクセスが行なわれる毎に、Hレベルのパルス状の入力信号P1、P2、P3、P4を順次入力する。計数カウンタ80は、演算器監視手段20から4回目の入力信号P4が入力されたとき、つまり4回目の不正アクセスが行われたとき、計数カウンタ80の出力がLレベルからHレベルの出力信号Q1を発生する。
演算器監視手段20は、計数カウンタ80から出力されたHレベルの出力信号Q1を受け、第2の振幅低下手段30bに対し、通信の信号の振幅を低下させるように第2の制御信号S1bを出力する。第2の制御信号S1bが入力された第2の振幅低下手段30bは、第2の制御信号S1bに基づき、第2の通信回路13bの内部の信号の振幅を低下させる動作を行い、第2の通信回路13bを介した通信を停止させる。
また、演算器監視手段20は、計数カウンタ80から出力されたHレベルの出力信号Q1を受け、第1の振幅低下手段30aに対し、通信信号の振幅を低下させるように第1の制御信号S1aを出力する。第1の制御信号S1aが入力された第1の振幅低下手段30aは、第1の制御信号S1aに基づき、第1の通信回路13aの内部の信号の振幅を低下させる動作を行い、第1の通信回路13aを介した通信を停止させる。
さらに、通信を停止させる時間は任意に設定することが可能であり、演算器監視手段20にタイマを設けてもよいし、計数カウンタ80にリセット機能を持たせ、あらかじめ定められた時間が経過したのちに計数カウンタ80をリセットさせるよう構成してもよい。これらのことは後述の実施の形態5においても同様である。
また、演算器10は、計数カウンタ80による演算器の異常を検出した累積回数があらかじめ定められた回数を超過したとき、演算器監視手段20による演算器10の異常検出の有無に関わらず、第1の振幅低下手段30aによる第1の通信回路13aの内部の信号の振幅を低下させる振幅低下動作を停止させるとともに、第2の振幅低下手段30bによる第2の通信回路13bの内部の信号の振幅を低下させる振幅低下動作を停止させるように構成されている。
一方、演算器監視手段20が、演算器10に対する外部からの不正アクセスを検出していない場合は、第2の通信回路13bを介した通信が可能である。また、外部機器から第2の通信回路13bを介して、第1の通信端子12aによる通信を許可する正規の通信許可信号を受信したとき、第1の振幅低下手段30aによる第1の通信回路13aの内部の信号の振幅を低下させる振幅低下動作、を停止するように構成されており、これにより第1の通信端子12aを介した第1の通信回路13aによる通信が可能となる。
なお、図10においては、計数カウンタ80を単独で構成するようにしているが、計数カウンタ80を演算器監視手段20、第1の振幅低下手段30a、などの他の構成要素と統合してもよい。また、図11A、図11Bでは、4回目の不正アクセスにより、計数カウンタ80の出力がLレベルからHレベルとなるよう構成しているが、出力レベルが切り替わる不正アクセスの回数は4回に限るものではなく、任意に設定可能であることは勿論である。次に述べる実施の形態5においても同様である。
以上のように、実施の形態4による電子制御装置によれば、簡単な回路で、且つ容易に、不正なアクセスを防止することができ、不正なアクセスが繰り返し行われた際は、複数の通信回路による通信を停止し、正規の通信許可信号を受信した際は、それらの通信回路によるアクセスを可能とすることができる。
実施の形態5.
つぎに、実施の形態5による電子制御装置について説明する。前述の実施の形態4による電子制御装置では、計数カウンタ80を備え、演算器監視手段20が検出した演算器10に対する外部からの不正なアクセスの回数を計数カウンタ80により計数し、不正アクセスがあらかじめ定められた回数となったときに、第1の通信回路13aを介した通信、および第2の通信回路13bを介した通信、を停止するよう構成としたが、実施の形態5による電子制御装置では、さらに通信端子無効化手段81を備える構成としたものである。
図12は、実施の形態5による電子制御装置の全体構成を示す機能ブロック図である。図12において、図10と同一符号は、同一又は相当部分を示す。以下の説明では、実施の形態4と異なる点を主体に説明する。図12において、通信端子無効化手段81は、計数カウンタ80から出力される信号を受け、第1の通信端子12aに過電圧を印加するように構成されている。ここで、過電圧とは、第1の通信端子12aの絶対最大定格範囲外の電圧のことである。
図13は、実施の形態5による電子制御装置における、通信端子無効化手段の構成を示す説明図である。図13において、通信端子無効化手段81は、電源ノードVB、GNDノード、抵抗68、NPN型トランジスタ65、抵抗66、PNP型トランジスタ67により構成されている。電源ノードVBは、第1の通信端子12aの絶対最大定格範囲外の高電圧を供給する。
PNP型トランジスタ67のエミッタ端子は、電源ノードVBに接続され、ベース端子は、抵抗66を介して、NPN型トランジスタ65のコレクタ端子に接続されている。PNP型トランジスタ67のコレクタ端子は、第1の通信端子12aに接続されている。NPN型トランジスタ65のエミッタ端子は、GNDノードに接続され、ベース端子は、抵抗68の一端に接続されている。抵抗68の他端は、計数カウンタ80から出力された信号が入力されるように構成されている。
ここで、計数カウンタ80が、前述の実施の形態4と同様に不正アクセスをあらかじめ定められた回数だけ検出し、その出力がLレベルからHレベルとなったときに、通信端子無効化手段81は、Hレベルの信号により抵抗68を介しNPN型トランジスタ65にベース電流が供給され、NPN型トランジスタ65が導通することとなる。これにより、PNP型トランジスタ67にベース電流が供給され、PNP型トランジスタ67も導通する。したがって、電源ノードVBから第1の通信端子12aに絶対最大定格範囲外である高電圧が印加される。
図14は、実施の形態5による電子制御装置における、演算器の第1の通信端子の内部構成を示す説明図である。一般に、マイコン、もしくはFPGAの第1の通信端子12aには、図14に示すように、その内部に2つのダイオード121、122の直列接続体が備えられており、過電圧を印加することでダイオード121,122に過電流が流れ、ショート故障に至るため、絶対最大定格電圧が規定されているが、実施の形態5では、不正アクセスが行われたときには、意図的に絶対最大定格範囲外の電圧を印加し、第1の通信端子12aを不可逆的に無効化するよう構成している。
なお、通信端子無効化手段81は、図13に示す構成に限るものではなく、また絶対最大定格範囲外の低電圧を印加する構成であってもよい。また、通信端子無効化手段81は、演算器監視手段20、第1の振幅低下手段30a、第2の振幅低下手段30b、などの他の構成要素と統合されてもよい。
以上述べたように、実施の形態5による電子制御装置によれば、簡単な回路で、且つ容易に、不正なアクセスを防止することができ、不正なアクセスが繰り返し行われた際は、不可逆的に通信端子を無効化して、通信を不能とすることができる。
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、又は複数の実施の形態に記載された様々な特徴、態様、および機能は特定の実施の形態の適用に限られるのではなく、単独で、又は様々な組み合わせで実施の形態に適用可能である。したがって、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。たとえば、少なくとも1つの構成要素を変形する場合、追加する場合、又は省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
つぎに、本願に開示した電子制御装置の態様を、以下に付記として記載する。
(付記1)
制御プログラムを格納するメモリに外部からアクセス可能な第1の通信端子と、前記第1の通信端子からアクセス可能な領域とは異なる領域にアクセス可能な第2の通信端子と、を備え、前記制御プログラムに基づいて動作する演算器、
前記第1の通信端子を介して、外部機器と前記演算器との間で信号の伝達を行なう第1の通信回路、
前記第2の通信端子を介して、外部機器と前記演算器との間で信号の伝達を行なう第2の通信回路、
前記演算器が正常か否かを監視する演算器監視手段、
前記第1の通信回路により伝達される前記信号の振幅を低下させることにより、前記第1の通信回路による前記信号の伝達を停止させ得る第1の振幅低下手段、および、
少なくとも、前記演算器と、前記第1の通信回路と、前記第2の通信回路と、を搭載した回路基板、
を備え、
前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、
前記演算器監視手段による前記監視に基づいて第1の制御信号を発生し、前記第1の振幅低下手段に前記第1の制御信号を入力するように構成され、
前記第1の振幅低下手段は、
前記入力された前記第1の制御信号があらかじめ定められた状態にあるとき、前記第1の通信回路により伝達される前記信号の振幅を低下させて前記第1の通信回路による前記信号の伝達を停止させるように構成されている、
ことを特徴とする電子制御装置。
(付記2)
前記第1の振幅低下手段は、前記第1の制御信号が無信号の状態にあるとき、前記第1の通信回路により伝達される前記信号の振幅を低下させるように構成されている、
ことを特徴とする付記1に記載の電子制御装置。
(付記3)
前記第1の振幅低下手段は、
ジャンパと、抵抗と、ダイオードと、前記回路基板に配線されたパターンと、のうちの少なくとも一つを含む第1の通電経路と、
前記第1の通電経路を導通又は遮断する第1の開閉器と、
を備え、
前記第1の開閉器は、
前記第1の通電経路を導通することにより、前記第1の通信回路のあらかじめ定められたノードを、前記第1の通電経路を介して前記回路基板におけるあらかじめ定められた電位を有するノードに接続するか、又は、
前記第1の通電経路を遮断することにより、前記第1の通信回路のインピーダンスを上昇させて、前記第1の通信回路により伝達される信号の振幅を低下させる、
ように構成されている、
ことを特徴とする付記1又は2に記載の電子制御装置。
(付記4)
前記第1の開閉器は、半導体素子により構成されている、
ことを特徴とする付記3に記載の電子制御装置。
(付記5)
前記第1の開閉器は、複数の電子部品により構成されている、
ことを特徴とする付記3に記載の電子制御装置。
(付記6)
前記第1の開閉器は、機械式開閉器により構成されている、
ことを特徴とする付記3に記載の電子制御装置。
(付記7)
前記第2の通信回路により伝達される前記信号の振幅を低下させることにより、前記第2の通信回路による前記信号の伝達を停止させ得る第2の振幅低下手段、
を備え、
前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、前記監視に基づく第2の制御信号を発生して前記第2の振幅低下手段に入力するように構成され、
前記第2の振幅低下手段は、前記入力された前記第2の制御信号があらかじめ定められた状態にあるとき、前記第2の通信回路により伝達される前記信号の振幅を低下させるように構成されている、
ことを特徴とする付記1から6のうちの何れか一つに記載の電子制御装置。
(付記8)
前記第2の振幅低下手段は、前記第2の制御信号が無信号の状態にあるとき、前記第2の通信回路により伝達される前記信号の振幅を低下させるように構成されている、
ことを特徴とする付記7に記載の電子制御装置。
(付記9)
前記第2の振幅低下手段は、
ジャンパと、抵抗と、ダイオードと、前記回路基板に配線されたパターンと、のうちの少なくとも一つを含む第2の通電経路と、
前記第2の通電経路を導通又は遮断する第2の開閉器と、
を備え、
前記第2の開閉器は、
前記第2の通電経路を導通することにより、前記第2の通信回路のあらかじめ定められたノードを、前記第2の通電経路を介して前記回路基板におけるあらかじめ定められた電位を有するノードに接続するか、又は、
前記第2の通電経路を遮断することにより、前記第2の通信回路のインピーダンスを上昇させて、前記信号の振幅を低下させるように構成されている、
ことを特徴とする付記7又は8に記載の電子制御装置。
(付記10)
前記第2の開閉器は、半導体素子により構成されている、
ことを特徴とする付記9に記載の電子制御装置。
(付記11)
前記第2の開閉器は、複数の電子部品により構成されている、
ことを特徴とする付記9に記載の電子制御装置。
(付記12)
前記第2の開閉器は、機械式開閉器により構成されている、
ことを特徴とする付記9に記載の電子制御装置。
(付記13)
前記演算器監視手段が前記演算器の異常を検出した回数を計数する計数カウンタを備え、
前記計数カウンタが計数した回数があらかじめ定められた回数に達したとき、
前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、
前記第1の制御信号を発生して前記第1の振幅低下手段に入力するとともに、前記第2の制御信号を発生して前記第2の振幅低下手段に入力し、前記第1の振幅低下手段により、前記第1の通信回路により伝達される前記信号の振幅を、あらかじめ定められた時間低下させるとともに、前記第2の振幅低下手段により、前記第2の通信回路により伝達される前記信号の振幅を前記あらかじめ定められた時間低下させる、
ように構成されている、
ことを特徴とする、付記7から12のうちの何れか一つに記載の電子制御装置。
(付記14)
前記演算器は、
前記演算器監視手段により前記演算器の異常が検出されておらず、かつ、前記外部機器から前記第2の通信端子に前記第1の通信端子による通信を許可する信号を受信しているときにのみ、前記第1の振幅低下手段による前記第1の通信回路の信号の振幅を低下させる動作を停止させる、ように構成されている、
ことを特徴とする、付記13に記載の電子制御装置。
(付記15)
前記演算器は、
前記計数カウンタによる演算器の異常を検出した累積回数があらかじめ定められた回数を超過したとき、前記演算器監視手段による前記演算器の異常検出の有無に関わらず、前記第1の振幅低下手段による前記第1の通信回路の信号の振幅を低下させる振幅低下動作を停止させるとともに、前記第2の振幅低下手段による前記第2の通信回路の信号の振幅を低下させる振幅低下動作を停止させる、ように構成されている。
ことを特徴とする付記13又は14に記載の電子制御装置。
(付記16)
通信端子無効化手段を備え、
前記通信端子無効化手段は、前記計数カウンタによる前記演算器の異常を検出した回数があらかじめ定められた回数を超過したとき、前記第1の通信端子に、前記第1の通信端子の絶対最大定格範囲外の電圧を印加して、前記第1の通信端子の機能を無効化するように構成されている、
ことを特徴とする付記13に記載の電子制御装置。
100 電子制御装置、10 演算器、11 メモリ、20 演算器監視手段、
51、52、53、54、58、59、63、64、66、68、13a2 抵抗、
571 パターン、55、65 NPN型トランジスタ、56 常閉型リレー、
561 接点、562 コイル、57、61、121,122 ダイオード、
60、67 PNP型トランジスタ、62、13a1 バッファ、80 計数カウンタ、
81 通信端子無効化手段、90 回路基板、12a 第1の通信端子、
12b 第2の通信端子、13a 第1の通信回路、13b 第2の通信回路、
13b1 CANトランシーバ、13b2 周辺回路、30a 第1の振幅低下手段、
30b 第2の振幅低下手段、31a 第1の開閉器、31b 第2の開閉器、
S1a 第1の制御信号、S1b 第2の制御信号

Claims (17)

  1. 制御プログラムを格納するメモリに外部からアクセス可能な第1の通信端子と、前記第1の通信端子からアクセス可能な領域とは異なる領域にアクセス可能な第2の通信端子と、を備え、前記制御プログラムに基づいて動作する演算器、
    前記第1の通信端子を介して、外部機器と前記演算器との間で信号の伝達を行なう第1の通信回路、
    前記第2の通信端子を介して、外部機器と前記演算器との間で信号の伝達を行なう第2の通信回路、
    前記演算器が正常か否かを監視する演算器監視手段、
    前記第1の通信回路により伝達される前記信号の振幅を低下させることにより、前記第1の通信回路による前記信号の伝達を停止させ得る第1の振幅低下手段、および、
    少なくとも、前記演算器と、前記第1の通信回路と、前記第2の通信回路と、を搭載した回路基板、
    を備え、
    前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、
    前記演算器監視手段による前記監視に基づいて第1の制御信号を発生し、前記第1の振幅低下手段に前記第1の制御信号を入力するように構成され、
    前記第1の振幅低下手段は、
    前記入力された前記第1の制御信号があらかじめ定められた状態にあるとき、前記第1の通信回路により伝達される前記信号の振幅を低下させて前記第1の通信回路による前記信号の伝達を停止させるように構成されている、
    ことを特徴とする電子制御装置。
  2. 前記第1の振幅低下手段は、前記第1の制御信号が無信号の状態にあるとき、前記第1の通信回路により伝達される前記信号の振幅を低下させるように構成されている、
    ことを特徴とする請求項1に記載の電子制御装置。
  3. 前記第1の振幅低下手段は、
    ジャンパと、抵抗と、ダイオードと、前記回路基板に配線されたパターンと、のうちの少なくとも一つを含む第1の通電経路と、
    前記第1の通電経路を導通又は遮断する第1の開閉器と、
    を備え、
    前記第1の開閉器は、
    前記第1の通電経路を導通することにより、前記第1の通信回路のあらかじめ定められたノードを、前記第1の通電経路を介して前記回路基板におけるあらかじめ定められた電位を有するノードに接続するか、又は、
    前記第1の通電経路を遮断することにより、前記第1の通信回路のインピーダンスを上昇させて、前記第1の通信回路により伝達される信号の振幅を低下させる、
    ように構成されている、
    ことを特徴とする請求項1又は2に記載の電子制御装置。
  4. 前記第1の開閉器は、半導体素子により構成されている、
    ことを特徴とする請求項3に記載の電子制御装置。
  5. 前記第1の開閉器は、複数の電子部品により構成されている、
    ことを特徴とする請求項3に記載の電子制御装置。
  6. 前記第1の開閉器は、機械式開閉器により構成されている、
    ことを特徴とする請求項3に記載の電子制御装置。
  7. 前記第2の通信回路により伝達される前記信号の振幅を低下させることにより、前記第2の通信回路による前記信号の伝達を停止させ得る第2の振幅低下手段、
    を備え、
    前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、前記監視に基づく第2の制御信号を発生して前記第2の振幅低下手段に入力するように構成され、
    前記第2の振幅低下手段は、前記入力された前記第2の制御信号があらかじめ定められた状態にあるとき、前記第2の通信回路により伝達される前記信号の振幅を低下させるように構成されている、
    ことを特徴とする請求項1又は2に記載の電子制御装置。
  8. 前記第2の振幅低下手段は、前記第2の制御信号が無信号の状態にあるとき、前記第2の通信回路により伝達される前記信号の振幅を低下させるように構成されている、
    ことを特徴とする請求項7に記載の電子制御装置。
  9. 前記第2の振幅低下手段は、
    ジャンパと、抵抗と、ダイオードと、前記回路基板に配線されたパターンと、のうちの少なくとも一つを含む第2の通電経路と、
    前記第2の通電経路を導通又は遮断する第2の開閉器と、
    を備え、
    前記第2の開閉器は、
    前記第2の通電経路を導通することにより、前記第2の通信回路のあらかじめ定められたノードを、前記第2の通電経路を介して前記回路基板におけるあらかじめ定められた電位を有するノードに接続するか、又は、
    前記第2の通電経路を遮断することにより、前記第2の通信回路のインピーダンスを上昇させて、前記信号の振幅を低下させるように構成されている、
    ことを特徴とする請求項7に記載の電子制御装置。
  10. 前記第2の振幅低下手段は、
    ジャンパと、抵抗と、ダイオードと、前記回路基板に配線されたパターンと、のうちの少なくとも一つを含む第2の通電経路と、
    前記第2の通電経路を導通又は遮断する第2の開閉器と、
    を備え、
    前記第2の開閉器は、
    前記第2の通電経路を導通することにより、前記第2の通信回路のあらかじめ定められたノードを、前記第2の通電経路を介して前記回路基板におけるあらかじめ定められた電位を有するノードに接続するか、又は、
    前記第2の通電経路を遮断することにより、前記第2の通信回路のインピーダンスを上昇させて、前記信号の振幅を低下させるように構成されている、
    ことを特徴とする請求項8に記載の電子制御装置。
  11. 前記第2の開閉器は、半導体素子により構成されている、
    ことを特徴とする請求項9に記載の電子制御装置。
  12. 前記第2の開閉器は、複数の電子部品により構成されている、
    ことを特徴とする請求項9に記載の電子制御装置。
  13. 前記第2の開閉器は、機械式開閉器により構成されている、
    ことを特徴とする請求項9に記載の電子制御装置。
  14. 前記演算器監視手段が前記演算器の異常を検出した回数を計数する計数カウンタを備え、
    前記計数カウンタが計数した回数があらかじめ定められた回数に達したとき、
    前記演算器と、前記演算器監視手段と、のうちの少なくとも一方は、
    前記第1の制御信号を発生して前記第1の振幅低下手段に入力するとともに、前記第2の制御信号を発生して前記第2の振幅低下手段に入力し、前記第1の振幅低下手段により、前記第1の通信回路により伝達される前記信号の振幅を、あらかじめ定められた時間低下させるとともに、前記第2の振幅低下手段により、前記第2の通信回路により伝達される前記信号の振幅を前記あらかじめ定められた時間低下させる、
    ように構成されている、
    ことを特徴とする、請求項7に記載の電子制御装置。
  15. 前記演算器は、
    前記演算器監視手段により前記演算器の異常が検出されておらず、かつ、前記外部機器から前記第2の通信端子に前記第1の通信端子による通信を許可する信号を受信しているときにのみ、前記第1の振幅低下手段による前記第1の通信回路の信号の振幅を低下させる動作を停止させる、ように構成されている、
    ことを特徴とする、請求項14に記載の電子制御装置。
  16. 前記演算器は、
    前記計数カウンタによる演算器の異常を検出した累積回数があらかじめ定められた回数を超過したとき、前記演算器監視手段による前記演算器の異常検出の有無に関わらず、前記第1の振幅低下手段による前記第1の通信回路の信号の振幅を低下させる振幅低下動作を停止させるとともに、前記第2の振幅低下手段による前記第2の通信回路の信号の振幅を低下させる振幅低下動作を停止させる、ように構成されている、
    ことを特徴とする請求項14に記載の電子制御装置。
  17. 通信端子無効化手段を備え、
    前記通信端子無効化手段は、前記計数カウンタによる前記演算器の異常を検出した回数があらかじめ定められた回数を超過したとき、前記第1の通信端子に、前記第1の通信端子の絶対最大定格範囲外の電圧を印加して、前記第1の通信端子の機能を無効化するように構成されている、
    ことを特徴とする請求項14に記載の電子制御装置。
JP2022099325A 2022-06-21 2022-06-21 電子制御装置 Pending JP2024000586A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022099325A JP2024000586A (ja) 2022-06-21 2022-06-21 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022099325A JP2024000586A (ja) 2022-06-21 2022-06-21 電子制御装置

Publications (1)

Publication Number Publication Date
JP2024000586A true JP2024000586A (ja) 2024-01-09

Family

ID=89451642

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022099325A Pending JP2024000586A (ja) 2022-06-21 2022-06-21 電子制御装置

Country Status (1)

Country Link
JP (1) JP2024000586A (ja)

Similar Documents

Publication Publication Date Title
RU2665890C2 (ru) Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами
CN107870584B (zh) 一种业务板输入电源工作状态检测方法及机框式设备
US11372796B2 (en) Bus subscriber and method for operating a bus subscriber
US6633998B1 (en) Multiple communications port unit and computer architecture
CN104101831A (zh) 继电器故障检测系统
JP2016054617A (ja) 電力供給システムおよび異常検出方法
JP2024000586A (ja) 電子制御装置
EP1953063B1 (en) Field vital output device and system for directly interfacing a control logic unit with at least one or more wayside units
US6912678B1 (en) System for identifying valid connections between electrical system components and responding to invalid connections
CN100505668C (zh) 在基于时分多址的网络节点中的差错检测和抑制
US20070255969A1 (en) Device for Controlling the Energy Flow Between an Energy Supply Network and an Electric Device Connected Thereto
CN107210937A (zh) 在数据总线中的总线监控器
US6483317B1 (en) System for identifying valid connections between electrical system components and responding to invalid connections
CN112578890B (zh) 可由远程控制节点电源的服务器装置
US6988157B2 (en) Hot insertion of a service processor card in a system
KR101631631B1 (ko) 보호계전기의 고장진단 및 복구방법
CN108965314B (zh) 基于飞腾处理器的网络通信装置
JPH1165603A (ja) 二重化プロセス入出力装置
JP2008228465A (ja) 電装装置
JP7405709B2 (ja) 車両通信装置接続判定システム
JP2978622B2 (ja) 無停止型コンピュータ
US20240094761A1 (en) Safe digital input circuit for decoupling diagnostic outputs
CN115276923B (zh) 冗余通信电路和故障确定方法
JP2006209618A (ja) デジタル出力装置およびデジタル出力装置を用いた診断方法
KR101570711B1 (ko) 차량용 게이트웨이, 차량용 게이트웨이의 mcu 불능 시 진단통신 방법 및 차량용 게이트웨이의 리프로그램 방법