JP6603505B2 - 車両及び車両の不正アクセス判定方法 - Google Patents

車両及び車両の不正アクセス判定方法 Download PDF

Info

Publication number
JP6603505B2
JP6603505B2 JP2015147899A JP2015147899A JP6603505B2 JP 6603505 B2 JP6603505 B2 JP 6603505B2 JP 2015147899 A JP2015147899 A JP 2015147899A JP 2015147899 A JP2015147899 A JP 2015147899A JP 6603505 B2 JP6603505 B2 JP 6603505B2
Authority
JP
Japan
Prior art keywords
communication data
vehicle
control unit
unauthorized access
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015147899A
Other languages
English (en)
Other versions
JP2017026105A (ja
Inventor
美樹 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JATCO Ltd
Original Assignee
JATCO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by JATCO Ltd filed Critical JATCO Ltd
Priority to JP2015147899A priority Critical patent/JP6603505B2/ja
Publication of JP2017026105A publication Critical patent/JP2017026105A/ja
Application granted granted Critical
Publication of JP6603505B2 publication Critical patent/JP6603505B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Control Of Transmission Device (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車両及び車両の不正アクセス判定方法に関する。
エンジンやモータ等の駆動力源と自動変速機を備える車両は、例えば故障診断テスタなどの外部機器と車両のコントロールユニットとの間でOBDコネクタ等のインターフェースを介して通信可能に構成されている。
このように構成された車両では、OBDコネクタを介して車両のコントロールユニットに第三者がアクセスできてしまうため、車両開発に必要なデータを取得できたり、車両の挙動に関わるデータを書き換えることで車両が意図しない動作となる可能性がある。
このように第三者による不正なアクセスを防止するものとして、モニタツールと接続する通信線の少なくとも一つの通信線の電圧を検出して、モニタツールが正規なものかを判定する不正接続検出方法が開示されている(特許文献1参照)。
特開2014−143631号公報
特許文献1に記載の従来の技術は、モニタツールにより通信線の電圧を変更することで正規のものか否かを判定するように構成している。このように構成すると、通信線及びモニタツールに物理的な変更やセンサ等の追加のハードウェアが必要となり、コストが増加すると共に、専用の構成を備えない車両では不正接続が判定できないという問題があった。
本発明はこのような問題点に鑑みてなされたものであり、コントロールユニットにより不正アクセスを判定できる車両を提供することを目的とする。
本発明のある実施態様によると、車両を駆動する駆動装置と、前記駆動装置を制御する二以上のコントロールユニットと、二以上の前記コントロールユニットを通信可能に接続する通信経路と、前記通信経路における通信データ量が所定量を超えた場合に、当該通信データが他の前記コントロールユニットで発生したイベントによるものであるかを判定するイベント判定手段と、を備え、他の前記コントロールユニットでイベントが発生していないとき、前記コントロールユニットのうち少なくとも一つは、前記通信経路における所定期間の通信データ量が所定量を超える場合は、当該通信データが不正なアクセスによるものであると判定し、他の前記コントロールユニットでイベントが発生しているとき、前記コントロールユニットのうち少なくとも一つは、前記通信経路における前記所定期間の通信データ量が前記所定量を超え、かつ当該通信データ量の増大が他の前記コントロールユニットで発生したイベントによるものでない場合は、当該通信データが不正なアクセスによるものであると判定することを特徴とする車両が提供される。
上記態様によると、通信経路において、通信データに意図しない増大が発生した場合に、不正なアクセスが行なわれたと判定するので、不正なアクセスに対する適切な処置を行なうことができる。
また、通信データ量が所定量を超えた場合であっても、当該通信データが他のコントロールユニットで発生したイベントによるものである場合は、当該通信データは正規なものであると判定する。このような制御を行なうことによって、通常の他のコントロールユニットの動作によるものである場合は、不正なアクセスとはしないことで、不正アクセスと、そうでない通信とを正確に判断することができる。
本発明の実施形態の自動変速機を中心とした車両の構成の一例を示す説明図である。 本発明の実施形態の車両ネットワークを示す説明図である。 本発明の実施形態のECUが実行する制御のフローチャートである。 本発明の実施形態のECUが実行する制御のフローチャートである。
以下に、本発明の実施形態を、図面を参照して説明する。
図1は、本発明の実施形態の自動変速機3を中心とした車両100の構成の一例を示す説明図である。
車両100は、エンジン1、自動変速機3等からなる駆動装置、エンジン1の動作を制御するエンジンコントロールユニット30、及び、自動変速機3の動作を制御する変速機コントロールユニット40を備える。
エンジン1により駆動されるクランク軸11の回転は、前後進切替機構5、トルクコンバータ2及び入力軸12を介して自動変速機3に伝達される。自動変速機3は、入力された回転を変速して出力軸13に出力する。出力軸13の回転は、終減速装置4及び車軸14を介して車輪6に伝達されることにより、車両100が前後進する。
トルクコンバータ2は、ロックアップクラッチを備えており、油圧によりコンバータ状態及びロックアップ状態に制御される。
自動変速機3は、入力軸12に連結されるプライマリプーリ31と、入力軸12と並列に配置される出力軸13に連結されるセカンダリプーリ32と、プライマリプーリ31とセカンダリプーリ32との間に掛け渡される無端のベルト(Vベルト)33とを備えるベルト式の無段変速機構として構成される。
プライマリプーリ31及びセカンダリプーリ32には油圧室が備えられ、油圧制御装置20から供給される油圧を調整することにより、V溝の幅が変化してVベルト33とプライマリプーリ31及びセカンダリプーリ32との接触半径が変化して、自動変速機3の変速比が無段階に変化する。
油圧制御装置20は、オイルポンプを備え、自動変速機3のプライマリプーリ31及びセカンダリプーリ32の各油圧室に図1で点線で示すように油圧を供給する。油圧制御装置20は、トルクコンバータ2や自動変速機3の軸受、歯車等にも作動油を供給する。
エンジンコントロールユニット30は、イグニションスイッチ54から送られるイグニションON信号、アクセルペダル52から送られるアクセル開度信号(AOP信号)、及び、ブレーキペダル53から送られるブレーキ信号(BRK信号)を受信し、受信した信号に基づいて、エンジン1を駆動する。
変速機コントロールユニット40は、油圧制御装置20により供給される油圧を制御して自動変速機3の動作を制御する。変速機コントロールユニット40は、運転者によるシフトレバー50の操作に連動して信号を出力するインヒビタスイッチ51から送られるレンジ信号とエンジンコントロールユニット30から送られるエンジンの動作信号に基づいて、自動変速機3の変速比を決定して、油圧制御装置20に制御信号を送信する。
エンジンコントロールユニット30及び変速機コントロールユニット40には、CAN(CONTROLLER AREA NETWORK)70を介して他のコントロールユニット(ABSコントロールユニット41、インパネモジュールコントロールユニット42、通信コントロールユニット43等)にも接続される。ABSコントロールユニット41は、制動時のABSの状態を制御する。
インパネモジュールコントロールユニット42は、インパネモジュールにおけるスピードメータ、タコメータ燃料計、水温計等の状態の表示を制御する。通信コントロールユニット43は、例えばOBDコネクタを備え、OBDコネクタに接続される診断装置との通信を制御する。これら各コントロールユニット及びCAN70により車両ネットワーク10が構成される。
次に、本実施形態の車両ネットワーク10について説明する。
図2は、本実施形態の車両ネットワーク10を示す説明図である。
車両100には、複数のコントロールユニットが接続された車両ネットワーク10が構成される。
図2に示す車両ネットワークでは、コントロールユニットの機能、種類を区別せずECU(ELECTRIC CONTROL UNIT)と標記する。複数のECU(ECU1〜ECU5)が、CAN70により互いに通信可能に接続される。
CAN70は、CAN−H線71及びCAN−L線72からなる一組の配線により構成される。CAN70の終端に位置するECU1、ECU5には、それぞれ終端抵抗61、62が備えられる。
次に、このように構成された車両ネットワーク10の動作を説明する。
図3は、本実施形態の車両ネットワーク10のECU1が実行する制御のフローチャートである。
図3に示す処理は、ECU1において、所定の周期(例えば10ms)間隔で実行される。
図3に示す処理は、図2に示される複数のECU(ECU1〜5)のうち、CAN70の負荷を取得できる機能を持つECU1が実行する。
ECU1は、CAN70により送受信される通信データ量を取得している(ステップS10)。そして、通信データ量が変化して、CAN70の負荷が増大したか否かを判定する(ステップS20)。
負荷は、特定の時間当たりにCAN70で送受信される通信データ量が所定量を超えたか否かにより判定する。所定量は、例えば、1分当たりの通信データ量が通常時の平均値よりも50%上昇した場合とする。
負荷が上昇していない場合はステップS10に戻り処理を繰り返す。負荷が上昇したと判定した場合はステップS30に進み、ECU1は、負荷の変動の原因となったCAN70における通信の識別子(例えばCAN_ID)を判定する。
次に、ECU1は、ステップS40において、判定した識別子に基づいて、負荷の変動がCAN70に接続されるECU1〜5において発生したイベント等が原因であるか否かを判定する。
例えば、ECU1が車両のドアの開閉を検出するセンサを備える場合に、ドアの開閉が行なわれたときに一時的にCAN70の通信データ量が増大する。また、通信コントロールユニット43に診断装置が接続された場合に、当該診断装置からの診断コマンド等による通信データ量が増大する。これらの通信データはCAN_ID等の識別子を含むので、識別子を判定することにより、通信データ量が増大した原因を判別することができる。
ステップS40において、通信データの増大の原因がECU1〜5が発生するイベント又は診断装置が接続されて診断コマンドが発生したことが原因であると判定した場合は、ステップS10に戻る。通信データの増大がこれらの原因でない場合、例えばCAN_IDを判定できない、想定されるCAN_IDでない場合は、ステップS50に移行し、ECU1は、不正なアクセスが行なわれていると判断する。
そして、ステップS60において、ECU1は、不正なアクセスが行なわれていると判断したことを、CAN70を通じて他のECU2〜5に通知する。
次に、ステップS70において、ECU1は、他のECU2〜5から、不正なアクセスが行なわれていると判断した通知を受けたか否かを判定する。通知を受けていない場合はステップS70の処理を繰り返す。
他のECU2〜5から通知を受けたと判定した場合は、ステップS80に移行してECU1は、現在、車両が不正アクセスが行なわれている状態であることを確定する。そしてステップS90に移行して、車両を安全状態に移行する。
ステップS90における安全状態は、不正なアクセスによって車両の挙動に影響を与えることを防止する制御を行なう。例えば、ECU1が自動変速機3を制御する変速機コントロールユニット40である場合は、前後進切替機構5のクラッチを解放して、エンジン1の駆動力が伝達されない状態(動力制御状態)に制御する。このような制御により、エンジン1を含む駆動装置を動作するECUに対して不正なアクセスが行なわれたとしても、車両の挙動に影響を与えることが防止される。
なお、安全状態は、前後進切替機構5のクラッチの解放に限られず、トルクコンバータ2のロックアップクラッチの解放、自動変速機3の変速比の変更等の制御を行なってもよい。また、ECU1がエンジン1を制御するエンジンコントロールユニット30である場合は、エンジン1の駆動力を減少させるように制御して、車両の挙動に影響を与えることを防止するように制御してもよい。また、ECU1が他のECU2〜5に指示を送信して、車両の駆動力の伝達を制御することで、動力制御状態としてもよい。
このように、図3に示す制御を実行することで、CAN70の通信データに意図しない増大が発生した場合に不正なアクセスが行なわれたと判断し、さらに、複数のECU1〜5が不正なアクセスを判断した場合に、不正なアクセスに対して車両の挙動に影響を与えることを防止する制御を行なうことができる。
図4は、本実施形態の車両ネットワーク10のECU5が実行する制御のフローチャートである。
図4に示す処理は、ECU5において、所定の周期(例えば10sm)間隔で実行される。
図4に示す処理は、図2に示される複数のECU(ECU1〜5)のうち、CAN70の負荷を取得する機能を持たないECU5が実行する。
ステップS110において、ECU2は、他のECU(ECU1〜4)から、不正なアクセスが行なわれていると判断した通知を受けたか否かを判定する。通知を受信していない、及び、通知を1回だけ受信した場合は、ステップS110を繰り返し、待機する。
ステップS110で、他のECU2〜5から、不正なアクセスが行なわれていると判断した通知を2回受けた場合は、ステップS120に移行して、ECU5は、現在、車両が不正アクセスが行なわれている状態であることを確定する。そして、ステップS130に移行して、ECU1は、車両を安全状態に移行する。
このステップS130の処理は、前述した図3のステップS90の処理と同様である。すなわち、ECU1が自動変速機3を制御する変速機コントロールユニット40である場合は、前後進切替機構5のクラッチを解放して、エンジン1の駆動力が伝達されないように制御する。
この図4のような制御を実行することで、CAN70の通信データ量を検出する機能を持たないECU5においても、複数のECU1〜4が不正なアクセスを判断した場合に、不正なアクセスに対して車両の挙動に影響を与えることを防止する制御を行なうことができる。
以上説明したように、本発明の実施形態は、車両を駆動するエンジン1、自動変速機3からなる駆動装置と、駆動装置を制御する二以上のコントロールユニット(ECU1〜5)と、二以上のコントロールユニットを通信可能に接続する通信経路としてのCAN70と、備え、ECU1は、CAN70における通信データ量が所定量を超えた場合は、当該通信データが不正なアクセスによるものであると判定する。
このような制御を行なうことで、CAN70の通信データに意図しない増大が発生した場合に、不正なアクセスが行なわれたと判定することで、不正なアクセスに対する処置を行なうことができる。この効果は請求項1及びに対応する。
また、本発明の実施形態では、ECU1は、CAN70における通信データ量が所定量を超えた場合であっても、当該通信データが他のコントロールユニット(ECU2〜5)で発生したイベントによるものである場合は、当該通信データは正規なものであると判定する。
このような制御を行なうことによって、通常のECU1〜5の動作によるものである場合は、不正なアクセスとはしないことで、不正アクセスと、そうでない通信とを正確に判断することができる。この効果は請求項に対応する。
また、本発明の実施形態では、ECU1が不正なアクセスによるものであると判定した場合であって、さらに、他のECU2〜5が不正なアクセスによるものであると判定した場合、すなわち、二以上のECU1〜5が不正なアクセスによるものであると判定した場合は、車両を安全状態に制御する。このように制御することにより、複数のECU1〜5により不正なアクセスであることを確実に判定できると共に、不正なアクセスに対して車両の挙動に影響を与えることを防止する制御を行なうことができる。この効果は請求項に対応する。
また、本発明の実施形態では、安全状態とは、駆動装置による動力の伝達を制御する動力制御状態を含むので、不正なアクセスに対して駆動装置を制御することで、車両の挙動に影響を与えることを防止できる。この効果は請求項に対応する。
以上、本発明の実施形態について説明したが、上記実施形態は本発明の適用例の一つを示したものに過ぎず、本発明の技術的範囲を上記実施形態の具体的構成に限定する主旨ではない。
本実施形態では、自動変速機3は、一組のプーリにベルトを掛け渡して構成したベルト式無段変速機を例に説明したが、これに限られない。自動変速機3は、有段の変速機であってもよいし、無段変速機と有段変速機とを組み合わせた構成であってもよい。
また、本実施形態では、駆動装置がエンジン1からなる車両を例に説明したが、これに限られない。車両は、エンジン及びモータにより駆動するHEV(Hybrid Electric Vehicle)であってもよいし、モータにより駆動するEV(Electric Vehicle)であってもよい。
1 エンジン
3 自動変速機
5 前後進切替機構
10 車両ネットワーク
20 油圧制御装置
30 エンジンコントロールユニット
40 変速機コントロールユニット
41 ABSコントロールユニット
42 インパネモジュールコントロールユニット
43 通信コントロールユニット
61 終端抵抗
70 CAN(通信経路)
100 車両
ECU1〜5 コントロールユニット

Claims (4)

  1. 車両を駆動する駆動装置と、
    前記駆動装置を制御する二以上のコントロールユニットと、
    二以上の前記コントロールユニットを通信可能に接続する通信経路と、
    前記通信経路における通信データ量が所定量を超えた場合に、当該通信データが他の前記コントロールユニットで発生したイベントによるものであるかを判定するイベント判定手段と、
    を備え、
    他の前記コントロールユニットでイベントが発生していないとき、前記コントロールユニットのうち少なくとも一つは、前記通信経路における所定期間の通信データ量が所定量を超える場合は、当該通信データが不正なアクセスによるものであると判定し、
    他の前記コントロールユニットでイベントが発生しているとき、前記コントロールユニットのうち少なくとも一つは、前記通信経路における前記所定期間の通信データ量が前記所定量を超え、かつ当該通信データ量の増大が他の前記コントロールユニットで発生したイベントによるものでない場合は、当該通信データが不正なアクセスによるものであると判定することを特徴とする車両
  2. 請求項1に記載の車両において、
    前記コントロールユニットは、通信データが不正なアクセスによるものであると判定した場合であって、さらに、他の前記コントロールユニットが当該通信データが不正なアクセスによるものであると判定した場合は、車両を安全状態へと制御することを特徴とする車両。
  3. 請求項2に記載の車両において、
    前記安全状態は、前記駆動装置による駆動力の伝達を制御する動力制御状態を含むことを特徴とする車両。
  4. 車両を駆動する駆動装置と、前記駆動装置を制御する二以上のコントロールユニットと、二以上の前記コントロールユニットを通信可能に接続する通信経路と、を備える車両の不正アクセス判定方法であって、
    前記通信経路における通信データ量が所定量を超えた場合に、当該通信データが他の前記コントロールユニットで発生したイベントによるものであるかを判定し、
    他の前記コントロールユニットでイベントが発生していないとき、前記コントロールユニットのうち少なくとも一つは、前記通信経路における所定期間の通信データ量が所定量を超えた場合は、当該通信データが不正なアクセスによるものであると判定し、
    他の前記コントロールユニットでイベントが発生しているとき、前記コントロールユニットのうち少なくとも一つは、前記通信経路における前記所定期間の通信データ量が前記所定量を超え、かつ当該通信データ量の増大が他の前記コントロールユニットで発生したイベントによるものでない場合は、当該通信データが不正なアクセスによるものであると判定する、
    ことを特徴とする車両の不正アクセス判定方法。
JP2015147899A 2015-07-27 2015-07-27 車両及び車両の不正アクセス判定方法 Active JP6603505B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015147899A JP6603505B2 (ja) 2015-07-27 2015-07-27 車両及び車両の不正アクセス判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015147899A JP6603505B2 (ja) 2015-07-27 2015-07-27 車両及び車両の不正アクセス判定方法

Publications (2)

Publication Number Publication Date
JP2017026105A JP2017026105A (ja) 2017-02-02
JP6603505B2 true JP6603505B2 (ja) 2019-11-06

Family

ID=57945787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015147899A Active JP6603505B2 (ja) 2015-07-27 2015-07-27 車両及び車両の不正アクセス判定方法

Country Status (1)

Country Link
JP (1) JP6603505B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110754068A (zh) * 2017-06-14 2020-02-04 住友电气工业株式会社 车外通信装置、通信控制方法和通信控制程序
KR102665328B1 (ko) * 2021-12-23 2024-05-09 주식회사 현대케피코 엔진 시동 제어 장치 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4152182B2 (ja) * 2002-12-24 2008-09-17 ダイハツ工業株式会社 ハイブリッド車両
JP2009211293A (ja) * 2008-03-03 2009-09-17 Nec Corp 通信制御システム、通信制御方法、及び通信制御用プログラム
JP5594255B2 (ja) * 2011-08-10 2014-09-24 トヨタ自動車株式会社 車両ネットワークの通信管理装置
JP2014226946A (ja) * 2013-05-17 2014-12-08 トヨタ自動車株式会社 車両用通信装置の異常対応システム及び車両用通信装置の異常対応方法

Also Published As

Publication number Publication date
JP2017026105A (ja) 2017-02-02

Similar Documents

Publication Publication Date Title
KR102060910B1 (ko) 클러치 오체결 대응 제어 장치
EP2770234B1 (en) Vehicle control device
US10549761B2 (en) Automatic transmission and control method of the same
JPWO2012140731A1 (ja) 車両用駆動装置の制御装置
CN104149787A (zh) 一种自动挡汽车的故障匹配方法及系统
JP6603505B2 (ja) 車両及び車両の不正アクセス判定方法
CN103354880A (zh) 车辆的控制装置
JP2016008616A (ja) 車両の制御装置
KR101776524B1 (ko) 엔진클러치 체결상태 판단방법
CN110753807B (zh) 换档装置的异常诊断装置及换档装置的异常诊断方法
WO2018206572A1 (en) Safety mode control apparatus and method for dual clutch transmission in vehicle
JPH11235938A (ja) 車両の駆動制御装置
KR101673673B1 (ko) 차량용 변속기의 페일 세이프 제어 방법
CN112867653B (zh) 响应于发动机通信丢失来控制变速器档位的方法及其系统
KR101703598B1 (ko) 차량의 구동시스템 및 이것의 제어방법
JP6266496B2 (ja) 無段変速機の変速制御装置
JP2016031631A (ja) 車両の制御装置
KR20110011438A (ko) 클러치의 유압제어 방법
US8762016B2 (en) Method and control device for controlling a positively locking shift element of a transmission
JP6518158B2 (ja) 車両及び車両の通信方法
KR20200071893A (ko) 자동변속기의 유압 제어장치 및 그 제어방법
CN106660550A (zh) 车辆的控制装置及控制方法
JP6447428B2 (ja) 車両用制御装置
JP2020034020A (ja) 変速制御装置および変速制御方法
CN115247699B (zh) 双离合变速器故障预测方法及装置、车辆和存储介质

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20161207

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180326

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191011

R150 Certificate of patent or registration of utility model

Ref document number: 6603505

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150