JP6662657B2 - 車両用監視システム - Google Patents

車両用監視システム Download PDF

Info

Publication number
JP6662657B2
JP6662657B2 JP2016032732A JP2016032732A JP6662657B2 JP 6662657 B2 JP6662657 B2 JP 6662657B2 JP 2016032732 A JP2016032732 A JP 2016032732A JP 2016032732 A JP2016032732 A JP 2016032732A JP 6662657 B2 JP6662657 B2 JP 6662657B2
Authority
JP
Japan
Prior art keywords
control unit
replaced
vehicle
monitoring system
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016032732A
Other languages
English (en)
Other versions
JP2017149234A (ja
Inventor
光徳 石井
光徳 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Subaru Corp
Original Assignee
Subaru Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Subaru Corp filed Critical Subaru Corp
Priority to JP2016032732A priority Critical patent/JP6662657B2/ja
Publication of JP2017149234A publication Critical patent/JP2017149234A/ja
Application granted granted Critical
Publication of JP6662657B2 publication Critical patent/JP6662657B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Combined Controls Of Internal Combustion Engines (AREA)

Description

本発明は、ネットワークに接続された複数の制御ユニットを監視する車両用監視システムに関する。
車両には、エンジン、トランスミッションなどを制御する複数の制御ユニットが搭載されている。車両が市場に出荷された後に制御ユニットが不正に交換(ソフトウエアの書き換えなども含む)されると、車両の安全性、耐久性、燃費などが低下する虞がある。そのため、制御ユニットが交換されたことを検出することが望まれている。
特許文献1には、識別情報を無線で送信する識別チップが車両部品に取り付けられ、検出装置でその識別情報を受信して、この識別情報により正規の車両部品か否かを検出する方法が開示されている。
特開2007−22467号公報
しかしながら、特許文献1に開示の検出方法では、車両部品毎に識別チップを取り付ける必要がある。そのため、検出対象の車両部品が多くなるほど、コストや重量の増加を招く。
本発明は、上記問題点を解消する為になされたものであり、検出用の専用部品を別途に追加することなく、制御ユニットが交換されたことを検出することが可能な車両用監視システムを提供することを目的とする。
本発明に係る車両用監視システムは、車両に搭載され、ネットワークに接続された複数の制御ユニットを監視する車両用監視システムであって、複数の制御ユニットの各々は、ネットワークを介して情報を送受信する通信手段と、不揮発性メモリと、相互監視手段と、を備え、複数の制御ユニットの各々の相互監視手段は、車両始動スイッチのオフ時に、自己の照合情報を設定し、当該設定した自己の照合情報を不揮発性メモリに記憶させると共に通信手段により他の制御ユニットに送信させ、通信手段で受信した他の制御ユニット毎の照合情報を不揮発性メモリに記憶させ、車両始動スイッチのオン時に、車両始動スイッチのオフ時に記憶させた自己の照合情報及び他の制御ユニット毎の照合情報を不揮発性メモリから読み出し、当該読み出した自己の照合情報を通信手段により他の制御ユニットに送信させ、他の制御ユニット毎に、通信手段で受信した他の制御ユニットの照合情報と読み出した他の制御ユニットの照合情報とが一致しているか否かを判定し、一致していないと判定した場合に当該照合情報が一致していない制御ユニットが交換されたと判定することを特徴とする。
本発明に係る車両用監視システムでは、複数の制御ユニットがネットワークに接続されており、各制御ユニットが通信手段によりネットワークを介して他の制御ユニットと情報を送受信する。また、本発明に係る車両用監視システムの各制御ユニットでは、不揮発性メモリを備えており、電源電圧が供給されていない場合でも不揮発性メモリに情報を保持できる。また、本発明に係る車両用監視システムでは、各制御ユニットが相互監視手段を備えており、複数の制御ユニット間で相互監視する。この各制御ユニットの相互監視手段では、車両始動スイッチのオフ時にネットワークを介して受信した他の制御ユニット毎の照合情報を不揮発性メモリに記憶しておき、車両始動スイッチのオン時に他の制御ユニット毎にネットワークを介して受信した他の制御ユニットの照合情報と不揮発性メモリに保持していた他の制御ユニットの照合情報(車両始動スイッチのオフ時に受信した照合情報)とが一致するか否かを判定し、照合情報が異なっている場合には制御ユニットが交換されたと判定する。このように、本発明に係る車両用監視システムによれば、制御ユニットに一般に搭載されているネットワーク用の通信手段及び不揮発性メモリを利用すると共にネットワークに接続されている複数の制御ユニット間で相互監視することで、検出用の専用部品を別途に追加することなく、制御ユニットが交換されたことを検出することが可能となる。
本発明に係る車両用監視システムでは、相互監視手段は、車両始動スイッチのオフ時に、車両始動スイッチの前回のオフ時に設定した自己の照合情報と異なる自己の照合情報を設定することが好ましい。このようにすることで、制御ユニットのソフトウエアの書き換えが行われた場合も、制御ユニットの交換として検出できる。
本発明に係る車両用監視システムでは、相互監視手段は、制御ユニットが交換されたと判定した場合に制御ユニットが交換されたことを示す信号を出力することが好ましい。この信号を用いることで、制御ユニットが交換されたときの対応処置を容易に行うことができる。
本発明に係る車両用監視システムでは、複数の制御ユニットのうちの何れかの制御ユニットで信号を出力した場合に制御ユニットが交換されたことを示す情報提供を行うことが好ましい。この情報提供により、車両のユーザなどが制御ユニットが交換されたことを容易に認識できる。
本発明に係る車両用監視システムでは、相互監視手段は、制御ユニットが交換されたと判定した場合に当該交換された制御ユニットを示す情報を不揮発性メモリに記憶させることが好ましい。この不揮発性メモリに記憶された情報により、車両のディーラなどで交換された制御ユニットを容易に特定できる。
本発明に係る車両用監視システムでは、複数の制御ユニットの不揮発性メモリにそれぞれ記憶されている情報を用いて、交換された制御ユニットがあるか否か判断し、交換された制御ユニットがある場合には交換された制御ユニットを特定する診断手段を備える構成としてもよい。この診断手段により、交換された制御ユニットを容易に特定できる。
本発明に係る車両用監視システムでは、車両が駆動源としてエンジンを備える場合、車両始動スイッチはイグニッションスイッチである。
なお、本発明に係る車両用監視システムで検出できる制御ユニットの交換には、制御ユニット本体の交換の他にも、制御ユニットのソフトウエアの書き換えなども含む。
本発明によれば、検出用の専用部品を別途に追加することなく、制御ユニットが交換されたことを検出することが可能となる。
実施形態に係る車両用監視システムの構成を示すブロック図である。 実施形態に係る車両用監視システムでの制御ユニットの交換を検出した場合の対応処置の例であり、(a)が警告灯を点灯する場合であり、(b)がエンジンの始動を禁止する場合である。 実施形態に係る車両用監視システムの各制御ユニットにおけるイグニッションスイッチのオフ時の処理の流れを示すフローチャートである。 実施形態に係る車両用監視システムの各制御ユニットにおけるイグニッションスイッチのオン時の処理の流れを示すフローチャートである。
以下、図面を参照して本発明の好適な実施形態について詳細に説明する。なお、図中、同一又は相当部分には同一符号を用いることとする。また、各図において、同一要素には同一符号を付して重複する説明を省略する。
図1を参照して、実施形態に係る車両用監視システム1について説明する。図1は、実施形態に係る車両用監視システム1の構成を示すブロック図である。なお、本実施形態では、車両用監視システム1は駆動源としてエンジンを備える車両に搭載されている。
車両用監視システム1は、複数の制御ユニット10,・・・と、この複数の制御ユニット10,・・・が接続されたネットワーク20と、を備えている。図1には、一例として、5個の制御ユニット10A,10B,10C,10D,10Eを示している。車両用監視システム1では、この複数の制御ユニット10,・・・間で相互監視する。この相互監視により、車両用監視システム1では、イグニッションスイッチ30(特許請求の範囲に記載の車両始動スイッチに相当)のオフ中に複数の制御ユニット10,・・・のうちの何れかの制御ユニット10が交換されたかを検出する。なお、制御ユニット10の交換には、制御ユニット10本体の交換の他にも、制御ユニット10のソフトウエア(制御プログラム、制御用データ、制御用マップなど)の書き換えなども含む。
ネットワーク20は、複数の制御ユニット(ノード)10,・・・を繋ぐ車載のLAN[Local Area Network]である。ネットワーク20は、例えば、CAN[Controller Area Network]である。以下では、ネットワーク20をCANとして説明する。
ネットワーク(CAN)20は、一対の通信線(CAN−H)20a、通信線(CAN−L)20bを有しており、この通信線20aと通信線20bとの間の電位差で信号を伝達する。ネットワーク20を利用した通信では、CANプロトコルに従って通信が行われる。CANプロトコルでは、データ(情報)を送信する場合、データフレームが用いられる。データフレームは、SOF[Start Of Frame]、ID[Identifier](アービトレーションフィールド)、RTR[Remote Transmission Request]、コントロールフィールド、データフィールド、CRC[Cyclic Redundancy Check]フィールド、ACK[Acknowledgement]フィールド、EOF[End Of Frame]からなる。IDは、データ内容や送信ノード(制御ユニット10)の識別に用いられ、標準フォーマットでは11ビット長である。このIDにより通信調停の優先順位が決定され、IDの値が小さいものほど優先順位が高くなる。データフィールドは、送信データが格納され、送信データ長が0〜8バイト(0〜64ビット)である。
イグニッションスイッチ30は、車両のエンジンを始動させるためのスイッチである。イグニッションスイッチ30では、車両の運転者の操作によりオフ(OFF)、アクセサリ(ACC)、オン(ON)、スタート(START)を切り替えることができる。イグニッションスイッチ30は、スイッチの状態を示すイグニッション信号を特定の制御ユニット10(図1に示す例では制御ユニット10A)に送信する。この特定の制御ユニット10以外の制御ユニット10には、イグニッション信号がネットワーク20を介して送信される。以下では、特に、イグニッション信号がイグニッションスイッチ30のオフ状態を示している場合にはイグニッションオフ信号と呼び、イグニッション信号がイグニッションスイッチ30のオン状態を示している場合にはイグニッションオン信号と呼ぶ。
制御ユニット10は、車両に搭載され、車両の各種制御を行うECU[Electronic Cotrol Unit]である。車両に搭載される制御ユニット10には、例えば、エンジン用、トランスミッション用、ブレーキ用、ステアリング用、エアバック用、エアコン用、メータ用、パワーウィンドウ用、ライト用、カーナビゲーション用などの多数の制御ユニットがある。
制御ユニット10について具体的に説明する前に、制御ユニット10のセルフシャット機能について説明しておく。セルフシャット機能では、イグニッションオフ信号を受信するとシャットダウン処理を開始すると共にセルフシャットリレーのオンを維持して電源から制御ユニット10への電圧(電力)供給を保持し、シャットダウン処理が終了するとセルフシャットリレーをオフして電源から制御ユニット10への電圧供給を停止する。このようにイグニッションスイッチ30がオフされた後も所定時間の間、制御ユニット10には電源電圧が供給される。なお、イグニッションオン信号の受信時には、セルフシャットリレーをオンすることで電源から制御ユニット10に電圧が供給される。
制御ユニット10について具体的に説明する。制御ユニット10は、演算を行うマイクロプロセッサ、マイクロプロセッサに各処理を実行させるためのプログラムなどを記憶するROM及び演算結果などの各種データを記憶するRAMなどを備えている。また、制御ユニット10は、通信部11(特許請求の範囲に記載の通信手段に相当)と、不揮発性メモリ12とを備えている。
特に、制御ユニット10は、ネットワーク20に接続されている他の全ての制御ユニット10,・・・を監視する機能を有しており、相互監視処理部13(特許請求の範囲に記載の相互監視手段に相当)を備えている。制御ユニット10では、ROMに記憶されているプログラムがマイクロプロセッサによって実行されることで、相互監視処理部13が構成される。
通信部11は、ネットワーク20のCANプロトコルに従ってネットワーク20へのデータ(情報)の送信とネットワーク20からのデータ(情報)の受信を行う。通信部11は、例えば、CANプロトコルによる通信制御を行うCANコントローラと、通信線20a,20bとの間で送受信を行うCANトランシーバとからなる。
不揮発性メモリ12は、制御ユニット10に電源電圧が供給されていない状態でも記憶された情報を保持できるメモリである。不揮発性メモリ12は、例えば、フラッシュメモリ、EEPROMである。
特に、不揮発性メモリ12には、以下で説明する照合キーを記憶するための領域が確保されている。この照合キーの領域は、制御ユニット10で設定した自己の照合キーの領域と、ネットワーク20に接続されている他の全ての制御ユニット10毎の照合キーの領域とがある。
また、不揮発性メモリ12には、以下で説明する制御ユニット10の交換履歴を記憶するための領域が確保されている。この交換履歴は、例えば、ネットワーク20に接続されている他の制御ユニット10毎の識別情報(例えば、上述したデータフレームのID(送信ノードの識別情報))と未交換/交換を示す情報(例えば、0(未交換)/1(交換)の情報)とを対応付けた情報である。この不揮発性メモリ12に保持される交換履歴は、例えば、ディーラでのみリセット(全ての制御ユニット10を未交換に設定)することが可能である。
相互監視処理部13は、ネットワーク20に接続されている他の全ての制御ユニット10について、各制御ユニット10でそれぞれ設定される照合キー(特許請求の範囲に記載の照合情報に相当)を用いてイグニッションスイッチ30のオフ中に交換されたか否かを検出する処理部である。相互監視処理部13の処理には、イグニッションオフ信号を受信したとき(イグニッションスイッチ30がオフされたとき)の処理と、イグニッションオン信号を受信したとき(イグニッションスイッチ30がオンされたとき)の処理とがある。なお、イグニッションオフ信号を受信したときの処理は、上述したシャットダウン処理の一部である。
照合キーについて説明する。照合キーの構成は、例えば、数字のみで構成されてよいし、アルファベットのみで構成されてもよいし、数字とアルファベットを組み合わせて構成されてもよい。照合キーは、所定のビット数(バイト数)で構成され、ビット数(バイト数)が多いほどセキュリティ性が高くなる。照合キーの設定は、例えば、乱数表などを用いてランダムに設定されてもよいし、特定のルールに従って設定されてもよい。照合キーは、イグニッションオフ信号を受信する毎に設定される。照合キーは、少なくとも前回のイグニッションオフ信号受信時に設定された照合キーと異なる照合キーが設定され、イグニッションオフ信号を受信する毎に異なる照合キーが設定されてもよい。任意の制御ユニット10で設定される照合キーは、他の制御ユニット10で設定される照合キーと同じ照合キーでもよい。
イグニッションオフ信号を受信したときの処理を説明する。イグニッションオフ信号を受信すると、相互監視処理部13は、少なくともイグニッションオフ信号の前回受信時に設定した自己の照合キーとは異なる自己の照合キーを設定する。相互監視処理部13は、この設定した自己の照合キーを通信部11によりネットワーク20を介して送信させる。この送信された自己の照合キーは、他の全ての制御ユニット10で受信される。また、相互監視処理部13は、この設定した自己の照合キーを不揮発性メモリ12の所定の領域に記憶させる。この際、イグニッションオフ信号の前回受信時に不揮発性メモリ12の所定の領域に記憶させた自己の照合キーと書き換えられ、不揮発性メモリ12に記憶される自己の照合キーが更新されることになる。この不揮発性メモリ12に記憶された自己の照合キーは、イグニッションスイッチ30がオフされているときも(電源電圧が供給されていないときも)保持される。
通信部11で他の制御ユニット10からそれぞれ送信された照合キーを受信すると、相互監視処理部13は、他の制御ユニット10毎の照合キーを不揮発性メモリ12の所定の領域に記憶させる。この際、イグニッションオフ信号の前回受信時に不揮発性メモリ12の所定の領域にそれぞれ記憶させた他の制御ユニット10毎の照合キーと書き換えられ、不揮発性メモリ12に記憶される他の制御ユニット10毎の照合キーが更新されることになる。この不揮発性メモリ12に記憶された他の制御ユニット10毎の照合キーは、イグニッションスイッチ30がオフされているときも保持される。
イグニッションオン信号を受信したときの処理を説明する。イグニッションオン信号を受信すると、相互監視処理部13は、前トリップ(前回のイグニッションスイッチ30のオン(スタート)からオフまで)のイグニッションオフ信号受信時に記憶させた自己の照合キー及び他の制御ユニット10毎の照合キーを不揮発性メモリ12から読み出す。相互監視処理部13は、この読み出した自己の照合キーを通信部11によりネットワーク20を介して送信させる。この送信された自己の照合キーは、他の全ての制御ユニット10で受信される。
通信部11で他の制御ユニット10からそれぞれ送信された照合キーを受信すると、相互監視処理部13は、他の制御ユニット10毎に、不揮発性メモリ12から読み出した他の制御ユニット10の照合キー(つまり、前トリップのイグニッションオフ信号受信時に受信した照合キー)と今回受信した他の制御ユニット10の照合キーとが一致するか否かを判定する。照合キーが一致している場合、相互監視処理部13は、その照合キーが一致している他の制御ユニット10が交換されていないと判定する。照合キーが一致していない場合、相互監視処理部13は、その照合キーが一致していない他の制御ユニット10が交換されたと判定する。この場合、相互監視処理部13は、他の制御ユニット10が交換されたことを示す警告信号を通信部11によりネットワーク20を介して送信させると共に、不揮発性メモリ12の交換履歴を照合キーが一致していない他の制御ユニット10が交換されたことを示す情報に書き換える。この送信された警告信号は、他の制御ユニット10で受信される。
例えば、図1に示す例においてイグニッションスイッチ30のオフ中(車両のエンジン停止中)に制御ユニット10Eが交換された場合、イグニッションスイッチ30がオンされたときには、交換後の制御ユニット10Eの不揮発性メモリ12には前トリップのイグニッションオフ信号受信時に更新された正常な自己の照合キー及び他の制御ユニット10毎の照合キーが記憶されていない。この場合、交換後の制御ユニットEでは他の制御ユニット10A〜10D全ての照合キーが一致せず、制御ユニット10A〜10Dでは制御ユニットEのみの照合キーが一致しない。また、イグニッションスイッチ30がオフされている間に制御ユニット10Eのソフトウエアが書き換えられた場合、ソフトウエアの書き換え中に、制御ユニット10Eには電圧供給されるので、相互監視処理部13での処理が実行される。これにより、制御ユニット10Eの不揮発性メモリ12に記憶される自己の照合キー及び他の制御ユニット10毎の照合キーが更新されるので、イグニッションスイッチ30がオンされたときには、不揮発性メモリ12には前トリップのイグニッションオフ信号受信時に更新された正常な自己の照合キー及び他の制御ユニット10毎の照合キーが記憶されていない。この場合も、ソフトウエア書き換え後の制御ユニットEでは他の制御ユニット10A〜10D全ての照合キーが一致せず、制御ユニット10A〜10Dでは制御ユニットEのみの照合キーが一致しない。
したがって、交換後の制御ユニット10E(ソフトウエアが書き換えられた場合も含む)では、他の全ての制御ユニット10A〜10Dが交換されたと判定し、警告信号を出力すると共に不揮発性メモリ12の交換履歴を他の全ての制御ユニット10A〜10Dが交換されたことを示す情報に書き換える。一方、交換されていない制御ユニット10A〜10Dでは、制御ユニット10Eのみが交換されたと判定し、警告信号を出力すると共に不揮発性メモリ12の交換履歴を制御ユニット10Eのみが交換されたことを示す情報に書き換える。したがって、全ての制御ユニット10A〜10Eから警告信号が出力され、制御ユニット10Eの不揮発性メモリ12の交換履歴には他の全ての制御ユニット10A〜10Dが交換されたことを示す情報が残され、制御ユニット10A〜10Dの各不揮発性メモリ12の交換履歴には制御ユニット10Eのみが交換されたことを示す情報が残される。
なお、例えば、イグニッションスイッチ30のオフ中に制御ユニット10Eが外された場合、イグニッションオン信号受信時に、制御ユニット10A〜10Dには制御ユニット10Eからの照合キーが送信されない。そのため、制御ユニット10A〜10Dでは制御ユニットEについて照合キーによる正常な照合ができず、照合キーが一致しない。この場合も、制御ユニット10A〜10Dでは、制御ユニット10Eが交換されたと判定し、警告信号を出力すると共に不揮発性メモリ12の交換履歴を制御ユニット10Eのみが交換されたことを示す情報に書き換える。このように、何れかの制御ユニット10が外された場合も検出でき、不揮発性メモリ12の交換履歴に外された制御ユニット10を示す情報を残すことができる。
図2を参照して、制御ユニット10から警告信号が出力された場合の対応処置の例を説明する。図2は、実施形態に係る車両用監視システム1での制御ユニット10の交換を検出した場合の対応処置の例であり、(a)が警告灯を点灯する場合であり、(b)がエンジンの始動を禁止する場合である。図2には、一例として、5個の制御ユニット10A,10B,10C,10D,10Eを示している。
例えば、メータ用の制御ユニット10では、ネットワーク20に接続された複数の制御ユニット10のうちの少なくとも1つの制御ユニット10から警告信号が出力されると(ネットワーク20を介して警告信号を受信したり、メータ用の制御ユニット10自身が警告信号を出力すると)、図2(a)に示すように警告灯(例えば、制御ユニット10の異常を示す警告灯)を点灯させる。この警告灯の点灯により、例えば、車両のユーザが、車両をディーラや修理工場などに持ち込む。なお、警告灯の点灯以外にも制御ユニット10が交換されたことを示す他の情報提供を行ってもよく、例えば、カーナビゲーション用の制御ユニット10において、制御ユニットが交換されたことを示す情報をディスプレイに表示させたり、制御ユニットが交換されたことを示す音声をスピーカから出力させたりしてもよい。
例えば、エンジン用の制御ユニット10では、ネットワーク20に接続された複数の制御ユニット10のうちの少なくとも1つの制御ユニット10から警告信号が出力されると、図2(b)に示すようにエンジンの始動を禁止する。これにより、車両の走行が禁止される。なお、エンジンの始動禁止以外にも各装置の制御を禁止してもよく、例えば、トランスミッション用、ブレーキ用、ステアリング用などの車両の走行に関して重要な制御ユニット10において、各装置の制御を禁止するようにしてもよい。このような禁止処置については、車両の走行に関して重要な制御ユニット10の交換が検出された場合にのみ行われることが好ましい。
各制御ユニット10の不揮発性メモリ12に残る交換履歴の利用方法の一例を説明する。ここでは、車両のディーラで利用される場合について説明する。ディーラでは、例えば、診断ツールを用いる。本実施形態では、この診断ツールが特許請求の範囲に記載する診断手段に相当する。
診断ツールでは、各制御ユニット10の不揮発性メモリ12に記憶されているデータ(特に、交換履歴)を読み出し、各制御ユニット10の交換履歴を用いて交換された制御ユニット10があるか否かを判断し、交換された制御ユニット10がある場合には交換された制御ユニット10を特定する。例えば、図1に示す例において制御ユニット10Eが交換された場合、制御ユニット10A〜10Dの各不揮発性メモリ12の交換履歴には制御ユニット10Eのみが交換されたことを示す情報が残され、制御ユニット10Eの不揮発性メモリ12の交換履歴には他の全ての制御ユニット10A〜10Dが交換されたことを示す情報が残されている。この場合、診断ツールでは、交換された制御ユニット10があると判断する。さらに、診断ツールでは、5つの制御ユニット10A〜10Eのうちの4つの制御ユニット10A〜10Dで交換されたことを示しているので、多数決により制御ユニット10Eが交換されたと特定する。あるいは、診断ツールでは、制御ユニット10Eのみが他の全ての制御ユニット10A〜10Dが交換されたことを示しているので、制御ユニット10Eが交換されたと特定する。なお、ディーラの作業者が、各制御ユニット10の不揮発性メモリ12から読み出された交換履歴を見て、交換された制御ユニット10があるか否かの判断や交換された制御ユニット10の特定を行ってもよい。
ちなみに、複数の制御ユニット10が交換された場合、交換された複数の制御ユニット10の不揮発性メモリ12の交換履歴には他の全ての制御ユニット10が交換されたことを示す情報が残され、交換されていない制御ユニット10の不揮発性メモリ12の交換履歴には交換された複数の制御ユニット10が交換されたことを示す情報が残される。この場合も、各制御ユニット10の交換履歴を比較することで、交換された複数の交換ユニット10を特定できる。
なお、ディーラで任意の制御ユニット10が正規に交換された場合も、交換後にイグニッションスイッチ30がオンされると、正規交換された制御ユニット10の不揮発性メモリ12の交換履歴には他の全ての制御ユニット10が交換されたことを示す情報が残され、交換されていない制御ユニット10の不揮発性メモリ12の交換履歴には正規交換された制御ユニット10が交換されたことを示す情報が残されてしまう。そこで、ディーラにおいて全ての制御ユニット10の不揮発性メモリ12の交換履歴がリセットされた後に、ディーラからユーザに車両が返される。
図1を参照して、車両用監視システム1の各制御ユニット10での処理の流れについて説明する。特に、イグニッションスイッチ30がオフされたときの各制御ユニット10での処理の流れを図3に沿って説明し、イグニッションスイッチ30がオンされたときの各制御ユニット10での処理の流れを図4に沿って説明する。図3は、実施形態に係る車両用監視システム1の各制御ユニット10におけるイグニッションスイッチ30のオフ時の処理の流れを示すフローチャートである。図4は、実施形態に係る車両用監視システム1の各制御ユニット10におけるイグニッションスイッチ30のオン時の処理の流れを示すフローチャートである。
各制御ユニット10では、イグニッションオフ信号を受信したか否かを判定する(ステップS10)。ステップS10にてイグニッションオフ信号を受信していないと判定した場合、各制御ユニット10では、所定時間後に、ステップS10の判定を再度行う。
ステップS10にてイグニッションオフ信号を受信した(イグニッションスイッチ30がオフされた)と判定した場合、各制御ユニット10では、自己の照合キーを設定する(ステップS12)。そして、各制御ユニット10では、他の制御ユニット10に自己の照合キーをネットワーク(CAN)20を介して送信する(ステップS14)。また、各制御ユニット10では、自己の照合キーを不揮発性メモリ12に記憶する(ステップS16)。
各制御ユニット10では、他の各制御ユニット10からそれぞれ送信された照合キーをネットワーク20を介して受信する(ステップS18)。そして、各制御ユニット10では、他の制御ユニット10毎の照合キーを不揮発性メモリ12に記憶する(ステップS20)。ここまでの処理で、イグニッションオフ信号受信時の処理を終了する。イグニッションスイッチ30がオフ中でも(制御ユニット10に電源電圧が供給されていないときでも)、各制御ユニット10の不揮発性メモリ12には制御ユニット10の自己の照合キー及び他の制御ユニット10毎の照合キーが保持されている。
イグニッションオン信号を受信すると(イグニッションスイッチ30がオンされると)、各制御ユニット10では、前トリップのイグニッションオフ信号受信時に記憶した自己の照合キー及び他の制御ユニット10毎の照合キーを不揮発性メモリ12から読み出す(ステップS30)。そして、各制御ユニット10では、他の制御ユニット10に読み出した自己の照合キーをネットワーク20を介して送信する(ステップS32)。
各制御ユニット10では、他の各制御ユニット10からそれぞれ送信された照合キーをネットワーク20を介して受信する(ステップS34)。そして、各制御ユニット10では、他の照合ユニット10について、前トリップのイグニッションオフ信号受信時に記憶した照合キーと今回受信した照合キーとが一致しているか否かを判定する(ステップS36)。ステップS36にて一致していないと判定した場合、各制御ユニット10では、警告信号を出力し(ステップS38)、不揮発性メモリ12の交換履歴を照合キーが一致していない制御ユニット10が交換されたことを示す情報に書き換える(ステップS40)。
ステップS36にて一致したと判定した場合またはステップS40の処理が終了すると、各制御ユニット10では、他の全ての制御ユニット10について照合が終了したか否かを判定する(ステップS42)。ステップS42にて終了していないと判定した場合、各制御ユニット10では、次の他の制御ユニット10についてステップS36の照合を行う。一方、ステップS42にて終了したと判定した場合、各制御ユニット10では、イグニッションオン信号受信時の処理を終了する。
実施形態に係る車両用監視システム1によれば、制御ユニット10に一般に搭載されているCAN用の通信部11及び不揮発性メモリ12を利用すると共にネットワーク20に接続されている全ての制御ユニット10間で相互監視することにより、検出用の専用部品を別途に追加することなく、制御ユニット10が交換されたことを確実に検出できる。このように、別途に専用部品(ハードウエア)が必要ないので、コストや重量が増加しない。また、イグニッションスイッチ30のオフ時とオン時に受信した照合キーを照合する方法なので、処理負荷が低く、処理時間を短くできる。また、各種の制御ユニット10について同じ方法で交換されたことを検出できるので、拡張性が高い。また、複数の制御ユニット10間で相互監視するので、監視性能が高い。なお、この実施形態に係る車両用監視システム1では、制御ユニット10が外された場合も検出できる。
実施形態に係る車両用監視システム1によれば、イグニッションスイッチ30の前回のオフ時に設定した自己の照合キーと異なる照合キーを自己の照合キーとして設定するので、制御ユニット10のソフトウエアの書き換えが行われた場合も、制御ユニット10の交換として検出できる。
実施形態に係る車両用監視システム1によれば、制御ユニット10が交換されたと判定した場合に交換されたことを示す警告信号を出力するので、この警告信号を用いることで制御ユニット10が交換されたときの対応処置を容易に行うことができる。特に、実施形態に係る車両用監視システム1によれば、何れかの制御ユニット10で警告信号を出力した場合に制御ユニット10が交換されたことを示す情報提供(例えば、警告灯の点灯)することで、車両のユーザなどが制御ユニット10が交換されていることを容易に認識できる。また、実施形態に係る車両用監視システム1によれば、何れかの制御ユニット10で警告信号を出力した場合には車両の始動禁止も可能である。特に、イグニッションスイッチ30がオンした直後に検出できるので、制御ユニット10が不正交換された車両の走行を禁止でき、安全性を高めることができる。
実施形態に係る車両用監視システム1によれば、制御ユニット10が交換されたと判定した場合に不揮発性メモリ12の交換履歴を交換された制御ユニット10を示す情報に書き換えるので、車両のディーラの診断ツールなどで交換された制御ユニットを容易に特定できる。特に、交換されていない制御ユニット10では交換された制御ユニット10のみが交換されたことを示す交換履歴を残し、交換された制御ユニット10では他の全ての制御ユニット10が交換されたことを示す交換履歴を残すので、多数決などにより、交換された制御ユニットを特定できる。この特定できた交換された制御ユニットを正規の制御ユニット10に再交換することで、不正交換された制御ユニットによる安全性、耐久性、燃費などの低下を防止できる。
なお、制御ユニット10の不正交換に起因する事故や不具合が発生した後に正規の制御ユニット10に戻された場合でも、交換されていない他の制御ユニット10の不揮発性メモリ12には交換履歴が残っているので、制御ユニット10が不正交換されていたことを証明できる。
以上、本発明の実施形態について説明したが、本発明は、上記実施形態に限定されるものではなく種々の変形が可能である。例えば、上記実施形態ではネットワーク20としてCANを適用したが、ネットワーク20としてはCAN以外も適用可能であり、例えば、LIN[Local Interconnect Network]、FlexRayなどに適用可能であり、また、通信プロトコルの異なる複数のネットワークがゲートウェイなどを介して接続されるネットワークにも適用可能である。
上記実施形態では制御ユニット10が交換されたことを検出した場合には警告信号を出力する構成としたが、警告信号を出力せずに、交換された制御ユニット10を示す情報を不揮発性メモリ12に記憶させておくだけでもよい。
上記実施形態ではネットワーク20に接続される全ての制御ユニット10に相互監視処理部13が備えられ、全ての制御ユニット10間で相互監視を行う構成としたが、ネットワーク20に接続される一部の制御ユニット10(例えば、エンジン用などの重要な制御ユニット)だけに相互監視処理部13を備え、一部の制御ユニット10間で相互監視を行う構成としてもよい。
上記実施形態ではエンジンを駆動源として備える車両において車両始動スイッチとしてイグニッションスイッチ30を適用したが、車両始動スイッチとしては他のスイッチも適用可能であり、例えば、電動モータを駆動源として備える電気自動車の場合にはパワースイッチを適用する。なお、電動モータを駆動源として備える電気自動車の場合にはエンジン用の制御ユニットに代わって電動モータ用の制御ユニット10などが設けられ、電動モータとエンジンを駆動源として備えるハイブリッドカーの場合にはエンジン用、電動モータ用、ハイブリッド用の各制御ユニット10などが設けられる。
1 車両用監視システム
10(10A,10B,10C,10D,10E) 制御ユニット
11 通信部(通信手段)
12 不揮発性メモリ
13 相互監視処理部(相互監視手段)
20 ネットワーク
30 イグニッションスイッチ(車両始動スイッチ)

Claims (9)

  1. 車両に搭載され、ネットワークに接続された複数の制御ユニットを監視する車両用監視システムであって、
    複数の前記制御ユニットの各々は、
    前記ネットワークを介して情報を送受信する通信手段と、
    不揮発性メモリと、
    相互監視手段と、
    を備え、
    複数の前記制御ユニットの各々の前記相互監視手段は、
    車両始動スイッチのオフ時に、自己の照合情報を設定し、当該設定した自己の照合情報を前記不揮発性メモリに記憶させると共に前記通信手段により他の全ての前記制御ユニットに送信させ、前記通信手段で受信した他の全ての前記制御ユニット毎の照合情報を前記不揮発性メモリに記憶させ、
    前記車両始動スイッチのオン時に、前記車両始動スイッチのオフ時に記憶させた前記自己の照合情報及び他の全ての前記制御ユニット毎の前記照合情報を前記不揮発性メモリから読み出し、当該読み出した自己の照合情報を前記通信手段により他の全ての前記制御ユニットに送信させ、他の全ての前記制御ユニット毎に、前記通信手段で受信した他の全ての前記制御ユニットの照合情報と前記読み出した他の全ての前記制御ユニットの前記照合情報とがそれぞれ一致しているか否かを判定し、一致していないと判定した場合に当該照合情報が一致していない制御ユニットが交換されたと判定することを特徴とする車両用監視システム。
  2. 前記相互監視手段は、前記車両始動スイッチのオフ時に、前記車両始動スイッチの前回のオフ時に設定した自己の照合情報と異なる前記自己の照合情報を設定することを特徴とする請求項1に記載の車両用監視システム。
  3. 前記相互監視手段は、前記制御ユニットが交換されたと判定した場合に制御ユニットが交換されたことを示す信号を出力することを特徴とする請求項1又は請求項2に記載の車両用監視システム。
  4. 複数の前記制御ユニットのうちの何れかの前記制御ユニットで前記信号を出力した場合に制御ユニットが交換されたことを示す情報提供を行うことを特徴とする請求項3に記載の車両用監視システム。
  5. 前記相互監視手段は、前記制御ユニットが交換されたと判定した場合に当該交換された制御ユニットを示す情報を前記不揮発性メモリに記憶させることを特徴とする請求項1〜請求項4の何れか一項に記載の車両用監視システム。
  6. 複数の前記制御ユニットの前記不揮発性メモリにそれぞれ記憶されている情報を用いて、交換された制御ユニットがあるか否か判断し、交換された制御ユニットがある場合には交換された制御ユニットを特定する診断手段を備えることを特徴とする請求項5に記載の車両用監視システム。
  7. 前記診断手段は、他の全ての制御ユニットが交換されたことを示す情報が記憶されている制御ユニットは交換された制御ユニットであると特定するとともに、当該制御ユニットに交換されたことを示す情報が記憶されている他の制御ユニットは交換されていない制御ユニットであると特定することを特徴とする請求項6に記載の車両用監視システム。
  8. 前記診断手段は、全ての制御ユニットそれぞれに記憶されている交換されことを示す情報に基づく多数決により、交換された制御ユニットを特定することを特徴とする請求項6又は7に記載の車両用監視システム。
  9. 前記車両は、駆動源としてエンジンを備え、
    前記車両始動スイッチは、イグニッションスイッチであることを特徴とする請求項1〜請求項の何れか一項に記載の車両用監視システム。
JP2016032732A 2016-02-24 2016-02-24 車両用監視システム Active JP6662657B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016032732A JP6662657B2 (ja) 2016-02-24 2016-02-24 車両用監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016032732A JP6662657B2 (ja) 2016-02-24 2016-02-24 車両用監視システム

Publications (2)

Publication Number Publication Date
JP2017149234A JP2017149234A (ja) 2017-08-31
JP6662657B2 true JP6662657B2 (ja) 2020-03-11

Family

ID=59741383

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016032732A Active JP6662657B2 (ja) 2016-02-24 2016-02-24 車両用監視システム

Country Status (1)

Country Link
JP (1) JP6662657B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020111090A1 (ja) * 2018-11-28 2020-06-04 株式会社オートネットワーク技術研究所 監視装置、監視プログラム及び監視方法

Also Published As

Publication number Publication date
JP2017149234A (ja) 2017-08-31

Similar Documents

Publication Publication Date Title
US9002534B2 (en) System for identifying the components of a vehicle
JP6414568B2 (ja) 車両用装置
JP6782446B2 (ja) 監視装置、通信システム、車両、監視方法、およびコンピュータプログラム
JP6201962B2 (ja) 車載通信システム
CN111480314A (zh) 安全的车辆控制单元更新
US11084462B2 (en) Method for modifying safety and/or security-relevant control devices in a motor vehicle
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
US9371051B2 (en) Collision determination apparatus
JP2013193598A (ja) 車両用認証装置、及び車両用認証システム
CN104071117B (zh) 防盗装置以及防盗方法
WO2020066693A1 (ja) 中継装置システム及び中継装置
CN111247038A (zh) 程序更新装置、程序更新系统及程序更新方法
WO2019225258A1 (ja) 異常検出装置、異常検出システム及び制御方法
US10237899B2 (en) Wireless terminal and instruction processing method thereof
JP2006253921A (ja) 車両用ネットワークシステム
JP2008084120A (ja) 電子制御装置
JP6662657B2 (ja) 車両用監視システム
JP2012242900A (ja) 車載制御ユニット
JP4921947B2 (ja) 車両用盗難防止システム
JP2010023556A (ja) 電子制御装置
JP6783578B2 (ja) 車両制御システム
JP5783013B2 (ja) 車載通信システム
WO2017122402A1 (ja) 車両用データ通信システム
WO2021025061A1 (ja) 電池管理システム、電池装置、電池管理方法、及びコンピュータプログラム
KR20100115965A (ko) 차량용 자기진단 제어 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190805

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190813

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200213

R150 Certificate of patent or registration of utility model

Ref document number: 6662657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250