JP6968137B2 - 車両用制御装置 - Google Patents
車両用制御装置 Download PDFInfo
- Publication number
- JP6968137B2 JP6968137B2 JP2019201194A JP2019201194A JP6968137B2 JP 6968137 B2 JP6968137 B2 JP 6968137B2 JP 2019201194 A JP2019201194 A JP 2019201194A JP 2019201194 A JP2019201194 A JP 2019201194A JP 6968137 B2 JP6968137 B2 JP 6968137B2
- Authority
- JP
- Japan
- Prior art keywords
- control unit
- protection control
- vehicle
- unit
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004224 protection Effects 0.000 claims description 232
- 238000000034 method Methods 0.000 claims description 183
- 230000008569 process Effects 0.000 claims description 177
- 238000012545 processing Methods 0.000 claims description 99
- 238000012795 verification Methods 0.000 claims description 98
- 238000012544 monitoring process Methods 0.000 claims description 89
- 238000012790 confirmation Methods 0.000 claims description 44
- 238000004891 communication Methods 0.000 claims description 40
- 238000001514 detection method Methods 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 20
- 230000007958 sleep Effects 0.000 claims description 9
- 230000004913 activation Effects 0.000 claims 6
- 230000005856 abnormality Effects 0.000 description 47
- 230000006870 function Effects 0.000 description 32
- 230000002159 abnormal effect Effects 0.000 description 22
- 238000007781 pre-processing Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 238000004092 self-diagnosis Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
確認部は攻撃検知部の検出結果に基づいて検証処理を実行するタイミングを決定するものである。
図1は、実施の形態1に係る、車両用制御装置201と車両101の内外の他の制御装置との接続を示す全体構成図である。車両101は、車両用制御装置201、202、203を備えている。車両101の搭載する車両用制御装置201、202、203は有線通信501で接続されている。車両101の外部とは、車両用制御装置202を介して、無線通信502で接続されている。他の車両102およびサーバ1001と無線通信502で接続されている。このサーバ1001には、例えば車両メーカ、制御装置のサプライヤなどが設けるサーバが用いられる。そのほか車両101に搭載された車両用制御装置201、202、203は、車両101と同様の車両用制御装置を備える他の車両102の車両用制御装置とも無線通信502を介して接続される。このほか、有線通信501または無線通信502を介して、車両内の制御装置を診断する車両外の診断装置とも接続可能である(不図示)。車両102にも、車両101と同様の構成要素、または一部の構成要素を有する車両用制御装置が搭載されている。また、車外との無線通信502を行う車両用制御装置202は、主制御部を有しない、交換機であってもよい。
図2は、実施の形態1に係る車両用制御装置201のハードウェア構成図である。本実施の形態では、車両用制御装置201は、エンジン制御、変速機制御、ステアリング制御、ブレーキ制御、オーディオ制御、ビデオ制御、衝突予防制御、車間距離制御、ヘッドライト制御、ドア制御、パワーウィンドウ制御、無線キーロック制御、などの車載機器を制御する制御装置である。車両用制御装置201の各機能は、車両用制御装置201が備えた処理回路により実現される。具体的には、車両用制御装置201は、図2に示すように、処理回路として、CPU(Central Processing Unit)等の演算処理装置90(コンピュータ)、演算処理装置90とデータのやり取りをする記憶装置91、演算処理装置90に外部の信号を入力する入力回路92、及び演算処理装置90から外部に信号を出力する出力回路93等を備えている。
主制御部401は、車両101の車載機器を操作する機能を果たす。例示的には、車両の走る・曲がる・止まるに関わる機能である、エンジン制御、変速機制御、ステアリング制御、ブレーキ制御などの機能、ユーザに車内エンターテインメントを提供するオーディオ制御、ビデオ制御などの機能、車両101がより安全に走行するための衝突予防制御、車間距離制御などの機能、車両101のライト、ドア、窓と物理的な鍵を操作するヘッドライト制御、ドア制御、パワーウィンドウ制御、無線キーロック制御などの機能の少なくともひとつを実施する。車両用制御装置201、202、203は、単一の主制御部または複数の主制御部を有する。また、車両用制御装置202は、無線通信502の送受信制御の機能を有するが、これを車両用制御装置202の主制御部の機能としてもよい。
第一の保護制御部402は、主制御部401の入出力の監視処理を実施する。監視処理は、主制御部401の入力が異常であるか否かを判定する処理、主制御部401の処理が異常か否かを判定する処理、主制御部401の出力が異常であるか否かを判定する処理の全部または一部からなる。
呼び出しテーブル403は、第一の保護制御部402で実施される監視処理と、その他の処理の実施順序を規定するテーブルである。第一の保護制御部402で実施する監視処理は、所定の事前処理の後に呼ばれることが呼び出しテーブル403によって規定されている。呼び出しテーブル403は、車両用制御装置201内部の記憶装置91に登録されているものであり、たとえばワンチップマイコンが内蔵するフラッシュメモリ、外付けのEEPROMなどで実現される。
計時部404は、第一の保護制御部402の監視処理の実行時間を計測するものであり、監視処理の実行開始から実行終了までの時間を計測する。第一の保護制御部402の監視処理が複数の処理で構成されている場合は、最初の処理の実行開始から最後の処理の実行終了までの時間を計測する。第一の保護制御部402の監視処理の実行が、他の処理の空き時間を利用して細切れで行われている場合は、実際に監視処理が実行されている時間を積算して、実行時間の計測値としてもよい。
第二の保護制御部406は、第一の保護制御部402の健全性の検証処理を実施する。
具体的には、第二の保護制御部は、所定の検証用データを入力し、第一の保護制御部402の監視処理を実行させる。第一の保護制御部402の監視処理の実行後の出力が妥当かどうかを確認して、第一の保護制御部402の健全性を検証する。第二の保護制御部406から第一の保護制御部402の監視処理を呼び出すことを呼び出しテーブル403に規定しておく。
通信部407は、車両用制御装置201が、車両101に搭載される他の車両用制御装置202、203と有線通信501を介してデータを送受信する機能であり、例えば各種の自動車用LAN、車内通信プロトコルを用いることができる。さらに、車両用制御装置202を介して、車外の通信網601とも無線通信502で通信することができるものである。無線通信として、携帯電話用の電波網、衛星通信回線、無線LAN回線を利用してもよい。
攻撃検知部408は、車両101へのセキュリティ攻撃を検知、あるいは推測する処理を実施する。通信部407が、予め定められた通信データ以外のデータで主制御部に直接影響があるデータを受信した場合、予め定められたタイミングで通信データを受信しなかった場合、予め定められたタイミング以外で通信データを受信した場合、予め定められた異常な受信データを受信した場合、暗号技術を施したデータを正しく処理できなかった場合、などにセキュリティ攻撃を受けたと判断し、攻撃検知部408はセキュリティ攻撃の検知を出力する。そのほか、車両用制御装置201が備えるべき機能以外の動作を実行したことを確認した場合、車両101の走行状態等から想定される車両用制御装置201の処理を外れる処理が実行されていることを確認した場合に、セキュリティ攻撃を受けたと判断し、攻撃検知部408はセキュリティ攻撃の検知を出力する。
確認部405は、第二の保護制御部406に対し、第一の保護制御部402の健全性の検証処理を行うタイミングを指示する。そのタイミングは、主制御部401が稼働中に第一の保護制御部402を利用することがないタイミングであり、例えば車両101の電源オフ直前、スリープ機能により車両用制御装置201がスリープする直前に、第二の保護制御部406に対し、第一の保護制御部402の健全性の検証処理を行うよう指示する。
車両101の電源オフ直前であれば、主制御部401が車載機器を緊急に操作しなければならない可能性が低く、主制御部401の稼働を妨げることなく、第一の保護制御部402の健全性の検証処理を行うことができるからである。スリープ機能により車両用制御装置201がスリープする直前についても、同様であり、主制御部401の稼働を妨げることなく、第一の保護制御部402の健全性の検証処理を行うことができる。
車両用制御装置201の管理部409は、プログラム更新依頼の通知を受けて、車両用制御装置201の処理を更新する機能を備える。プログラム更新依頼の通知は、車両用制御装置201の内部、または外部から送信される。管理部409は、少なくとも第一の保護制御部402の処理が記載されたプログラムを更新して最新化する。この時、管理部409は、第一の保護制御部402の処理を記述した現在のプログラムおよびそれ以前に格納されていたプログラムを保持している。
図3にて、車両用制御装置201の主制御部401の処理が実行される流れを説明する。図3の処理は、所定時間ごと(例えば10msごと)に実行され、車載機器が操作される。実行タイミングは所定時間ごとではなく、クランク角信号、車輪回転信号、トルクセンサ信号などの信号をトリガとして処理が開始されることにしてもよい。
図4は、図3で呼び出される処理である、第一の保護制御部402の監視処理ステップS400の処理内容を展開したフローチャートである。ステップS401で開始された処理は、次に入力チェックステップS402で、主制御部401の入力値をチェックする。ステップS403で主制御部401の入力値が、予想できる範囲外かどうかを判定する。範囲内の場合はステップS404で入力異常フラグをクリアする。範囲外の場合は、不正な入力がされていると判断でき、ステップS405で入力異常フラグをセットする。
図5、図6にて、車両用制御装置201の第二の保護制御部406の処理が実行される流れについて説明する。図5、図6の処理は、所定時間ごと(例えば10msごと)に実行される。実行タイミングは所定時間ごとではなく、センサ信号などをトリガとして処理が開始されることとしてもよい。加えて、車両101の電源オフ直前、スリープ機能により車両用制御装置201がスリープする直前、攻撃検知部408がセキュリティ攻撃を検知あるいは推測した時点、停車、エンジンストップなどのイベント発生時に実施してもよい。
図7にて実施の形態1に係る異常処理の流れについて説明する。図7は、図6のステップS600で呼び出される異常処理の内容を示すフローチャートである。ステップS601で異常処理を開始し、次にステップS602で、通信部407を介して、異常状態を通知する。車両101に搭載される他の車両用制御装置202、203に有線通信501を介して異常状態を送信する。また、車両用制御装置202を介して、無線通信で別の車両102とサーバ1001に通知する。また、有線通信501または無線通信502を介して診断装置にも異常状態を送信する、
図8は、実施の形態2に係る、第二の保護制御部406の処理の第一のフローチャートである。図9は、実施の形態2に係る、第二の保護制御部406の処理の第二のフローチャートであり、図8の続きである。実施の形態1では、車両用制御装置201の確認部405が、健全性の検証処理の実行タイミングを指示すべき対象の、第一の保護制御部402が一つである場合について、図5、図6にて説明した。実施の形態2に係る、図8、図9の第二の保護制御部406の処理のフローチャートが、図5、図6と異なるのは、車両用制御装置201の確認部405が、車両用制御装置201の第一の保護制御部402だけでなく、車両用制御装置202の第一の保護制御部と、車両用制御装置203の第一の保護制御部の、監視処理の健全性を検証するタイミングを決定する点である。
403 呼び出しテーブル、402 第一の保護制御部、405 確認部、
406 第二の保護制御部、407 通信部、408 攻撃検知部、409 管理部
Claims (10)
- 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部と、
他の制御装置と接続する通信部と、
前記通信部を介した通信データからセキュリティ攻撃を検出する攻撃検知部を備えた車両用制御装置であって、
前記確認部は前記攻撃検知部の検出結果に基づいて前記タイミングを決定する車両用制御装置。 - 前記確認部は、前記攻撃検知部が前記セキュリティ攻撃を検出した時に前記第二の保護制御部に前記検証処理の実行を指示する請求項1に記載の車両用制御装置。
- 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部を備えた車両用制御装置であって、
前記確認部は前記車両用制御装置がスリープ状態となる直前または電源遮断される直前に、前記第二の保護制御部に前記検証処理の実行を指示する車両用制御装置。 - 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部と、
前記監視処理の、呼び出し順序または呼び出し元の処理を規定する呼び出しテーブルを備えた車両用制御装置であって、
前記確認部は前記車両用制御装置の起動後の作動状態に応じて前記タイミングを決定し、
前記第二の保護制御部は、前記監視処理の呼び出し順序または呼び出し元の処理が前記呼び出しテーブルに規定された前記順序または前記呼び出し元の処理と一致するかどうかに基づいて前記第一の保護制御部の健全性を検証する車両用制御装置。 - 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部を備えた車両用制御装置であって、
前記確認部は前記車両用制御装置の起動後の作動状態に応じて前記タイミングを決定し、
前記第二の保護制御部は、前記監視処理の実行時間に基づいて前記第一の保護制御部の健全性を検証する車両用制御装置。 - 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部と、
他の制御装置と接続する通信部を備えた車両用制御装置であって、
前記確認部は前記車両用制御装置の起動後の作動状態に応じて前記タイミングを決定し、
前記第二の保護制御部が前記検証処理を実行して前記第一の保護制御部の健全性が否定的と判断した場合は、他の制御装置へ通知する車両用制御装置。 - 前記第一の保護制御部の実行するプログラムを書き換える管理部を備え、
前記攻撃検知部が前記セキュリティ攻撃を検知した場合は、前記管理部は前記第一の保護制御部の実行するプログラムを以前に書き込まれていたプログラムまたはセキュリティ攻撃対応プログラムに書き換える請求項1または2に記載の車両用制御装置。 - 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部と、
前記第一の保護制御部の実行するプログラムを書き換える管理部を備えた車両用制御装置であって、
前記確認部は前記車両用制御装置の起動後の作動状態に応じて前記タイミングを決定し、
前記第二の保護制御部が前記検証処理を実行して前記第一の保護制御部の健全性が否定的と判断した場合は、前記管理部は前記第一の保護制御部の実行するプログラムを、以前に書き込まれていたプログラムにまたは異常対応プログラムに書き換える車両用制御装置。 - 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部を備えた車両用制御装置であって、
前記確認部は前記車両用制御装置の起動後の作動状態に応じて前記タイミングを決定し、
前記第二の保護制御部は、前記第一の保護制御部に検証用のデータを入力して前記監視処理を実行させ、前記監視処理の実行後の出力に基づいて健全性を検証する車両用制御装置。 - 車載機器の制御を行う主制御部と
前記主制御部の入出力の監視処理を実行する第一の保護制御部と、
前記第一の保護制御部の健全性の検証処理を実行する第二の保護制御部と、
前記第二の保護制御部が前記検証処理を実行するタイミングを指示する確認部を備えた車両用制御装置であって、
前記確認部は前記車両用制御装置の起動後の作動状態に応じて前記タイミングを決定し、
前記第一の保護制御部は、前記主制御部の出力を制限する車両用制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019201194A JP6968137B2 (ja) | 2019-11-06 | 2019-11-06 | 車両用制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019201194A JP6968137B2 (ja) | 2019-11-06 | 2019-11-06 | 車両用制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021076949A JP2021076949A (ja) | 2021-05-20 |
JP6968137B2 true JP6968137B2 (ja) | 2021-11-17 |
Family
ID=75900084
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019201194A Active JP6968137B2 (ja) | 2019-11-06 | 2019-11-06 | 車両用制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6968137B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024071049A1 (ja) * | 2022-09-30 | 2024-04-04 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10177499A (ja) * | 1996-12-16 | 1998-06-30 | Fujitsu Ten Ltd | ダイアグ通信方法 |
JP2014031077A (ja) * | 2012-08-02 | 2014-02-20 | Toyota Motor Corp | 車両動作検証システム |
JP6552674B1 (ja) * | 2018-04-27 | 2019-07-31 | 三菱電機株式会社 | 検査システム |
-
2019
- 2019-11-06 JP JP2019201194A patent/JP6968137B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2021076949A (ja) | 2021-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7250411B2 (ja) | モータ車両運転者支援システムに関する方法 | |
CN110612527A (zh) | 信息处理装置以及异常应对方法 | |
JP7074004B2 (ja) | 中継装置システム及び中継装置 | |
US10944775B2 (en) | Authentication device for a vehicle | |
EP3249855B1 (en) | Invalid frame handling method, invalidity detection electronic-control unit and vehicle-mounted network system | |
JP2019071572A (ja) | 制御装置及び制御方法 | |
JP4253979B2 (ja) | 車載制御ユニットの検査方法 | |
JP6968137B2 (ja) | 車両用制御装置 | |
JP2008276749A (ja) | プログラミング可能なデータ処理装置用の保護ユニット | |
US11713058B2 (en) | Vehicle control system, attack judging method, and recording medium on which program is recorded | |
US12039050B2 (en) | Information processing device | |
US12050691B2 (en) | Security processing device | |
CN107196897B (zh) | 监视装置及通信系统 | |
CN112219186B (zh) | 用于将程序代码包安装到设备中的方法以及设备和机动车 | |
WO2020008872A1 (ja) | 車載セキュリティシステムおよび攻撃対処方法 | |
US20230052852A1 (en) | Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle | |
KR102001420B1 (ko) | 전자제어유닛, 차량 통신 보안시스템 및 보안방법 | |
JP2020096320A (ja) | 不正信号処理装置 | |
JP2006195739A (ja) | 電子制御装置 | |
JP2020096322A (ja) | 不正信号処理装置 | |
US11932269B2 (en) | Control system | |
WO2022249677A1 (ja) | 安全管理システム、および、自律制御システム | |
JP2024041392A (ja) | 電子制御装置 | |
CN118354228A (zh) | 基于传感器系统的通信方法、电子设备 | |
GB2592830A (en) | Electronic control units for vehicles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191106 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210302 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210409 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210928 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211026 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6968137 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |