JP6972437B2 - 電子制御ユニット及びプログラム - Google Patents
電子制御ユニット及びプログラム Download PDFInfo
- Publication number
- JP6972437B2 JP6972437B2 JP2021528812A JP2021528812A JP6972437B2 JP 6972437 B2 JP6972437 B2 JP 6972437B2 JP 2021528812 A JP2021528812 A JP 2021528812A JP 2021528812 A JP2021528812 A JP 2021528812A JP 6972437 B2 JP6972437 B2 JP 6972437B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- basic
- unit
- management
- extended
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0225—Failure correction strategy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0283—Predictive maintenance, e.g. involving the monitoring of a system and, based on the monitoring results, taking decisions on the maintenance schedule of the monitored system; Estimating remaining useful life [RUL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2223/00—Indexing scheme associated with group G05B23/00
- G05B2223/06—Remote monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Small-Scale Networks (AREA)
- Hardware Redundancy (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
このため、故障確率が低く故障が発生しないと判定されたECUに故障が発生した場合には、故障が発生したECUの機能を別のECUに移動できない恐れがある。また、機能の移動が可能であっても、故障が発生したECUと別のECUとの間で、機能を移動するための通信処理の負担が大きい。
車両に搭載される電子制御ユニットにおいて、
第1のオペレーティングシステムの元で動作し、車外ネットワークと接続し、異常の発生時に停止可能である拡張ドメイン部と、
第2のオペレーティングシステムの元で動作し、前記拡張ドメイン部に接続し、異常の発生時に動作の継続を要する基本ドメイン部と、
第3のオペレーティングシステムの元で動作し、前記拡張ドメイン部の前記異常を検出した場合に、前記拡張ドメイン部の動作を停止する管理ドメイン部と、
前記第1のオペレーティングシステムと、前記第2のオペレーティングシステムと、前記第3のオペレーティングシステムとを動作させるハイパーバイザ部と、
を備え、
前記管理ドメイン部は、
別の管理ドメイン部と前記基本ドメイン部に代替する別の基本ドメイン部とを有する別の電子制御ユニットにおける前記別の管理ドメイン部に、前記ハイパーバイザ部を介する独立の仮想ネットワークで接続しており、前記基本ドメイン部の異常を検出した場合に、前記基本ドメイン部の動作を停止し、前記別の電子制御ユニットの有する前記別の管理ドメイン部に、前記別の基本ドメイン部の動作を開始させる。
(1)以下の説明では、オペレーティングシステムはOSと表記する。
(2)以下の説明では、I/O(Input/Output)装置はI/Oと表記する。
(3)以下の説明では、車載システム100は、異常として、サイバー攻撃による感染、または、故障に対処する。以下の説明で異常とは、ECUにおけるサイバー攻撃による感染、または、ECUにおける故障を意味するが、他の異常でもよい。
***構成の説明***
図1から図8を参照して実施の形態1の車載システム100を説明する。
図1は、車載システム100のハードウェア構成図である。車載システム100は複数のECUを備えている。複数のECUは車両に搭載される。ECU同士は車内ネットワーク81を介して接続される。図1では車載システム100が4台のECUを備える構成を示す。車載システム100の備える複数のECUは、2台、3台あるいは5台以上でも良い。以下では、4台のECUを、ECU(A)1、ECU(B)1、ECU(C)1及びECU(D)1のように表記して区別する。また、各ECUは、車外ネットワーク88を介して外部のシステムと接続されている。
プログラムにおいて、管理ドメイン部(A)10Aは、管理機能処理に相当し、基本ドメイン部(A)20Aは、基本機能処理に相当し、拡張ドメイン部(A)30Aは、拡張機能処理に相当し、ハイパーバイザ部40Aは、ハイパーバイザ処理に相当する。
例えば、管理ドメイン部(A)10Aは、別の管理ドメイン部(B)10Bと基本ドメイン部(A)20Aに代替する別の基本ドメイン部(A)とを有する別のECU(B)1における別の管理ドメイン部(B)10Bに、ハイパーバイザ部40Aを介する独立の仮想ネットワーク95で接続している。
代替基本ドメイン部は、通常動作においては、同じ機能を持つ基本ドメイン部の実行が停止された時に代替できるような状態で待機する。図3には、ECU(A)1の基本ドメイン部(A)20Aと同じ機能を持つ代替基本ドメイン部として、ECU(B)1が代替基本ドメイン部(A)50Bを持つ場合を示している。基本ドメイン部(A)20Aと同じ機能を持つ代替基本ドメイン部は、ECU(A)1以外の全ECUのうち、少なくとも1台のECUが持てばよい。
図4及び図5は、車載システム100の動作を示すフローチャートである。次に図4及び図5を参照して、車載システム100の動作を説明する。
まず、サイバー攻撃が発生した場合の動作について述べる。以下の動作の説明において、ECU(A)1の動作手順は、制御方法に相当する。また、ECU(A)1の動作を実現するプログラムは、制御プログラムに相当する。
ステップS104において、感染範囲特定部12Aは、基本ドメイン部(A)20A及び拡張ドメイン部(A)30Aにおける、サイバー攻撃により感染を特定する。なお、管理ドメイン部(A)10Aは、独立した専用の仮想ネットワーク95で、他のECUの管理ドメイン部とのみ接続されている。よって、車外ネットワーク88と接続された拡張ドメイン部(A)30A、あるいは拡張ドメイン部(A)30Aと接続されている基本ドメイン部(A)20Aから、サイバー攻撃で感染することはないので、管理ドメイン部(A)10Aは、感染範囲特定部12Aによる感染範囲の検出対象にはならない。
図6は、感染範囲特定部12Aが生成した、感染ドメインリスト16Aを示す。図6に示すように、感染ドメインリスト16Aは、ドメインIDと、ドメインIDに対応付けられた感染有無とからなる。感染有無は0と1で表される。感染有無が0の場合、対応付けられたドメインIDで示されるドメイン部は感染していないことを示す。感染有無が1の場合、対応付けられたドメインIDで示されるドメイン部は感染していることを示す。図6では、ドメインIDが3及び4で示されるドメイン部が、感染していることを示す。感染した範囲を特定するために「必要なデータ」が、基本ドメイン部(A)20Aまたは拡張ドメイン部(A)30Aに存在する場合、上記で述べた、サイバー攻撃が有るかどうかを検出するために「必要なデータ」と同様の方法で、感染範囲特定部12Aは、感染した範囲を特定するために「必要なデータ」を参照し、感染範囲を特定する。感染した範囲の特定方法については、実施の形態1では言及しない。
ステップS107において、管理ドメイン部(A)10Aのシステム構成部13Aは、感染範囲特定部12Aから通知された感染ドメインリスト16Aに記述されているドメイン部の実行を、ハイパーバイザ部40Aを介して停止する。感染ドメインリスト16Aに記述されているドメイン部は、基本ドメイン部(A)20Aあるいは拡張ドメイン部(A)30Aである。
図7は、ECU(B)1の有するドメイン構成情報140を示す。図7に示すように、ドメイン構成情報140は、ドメインIDと、ドメインIDに対応付けられた代替有無とからなる。代替有無は0と1で表される。代替有無が0の場合、対応付けられたドメインIDで示されるドメイン部の代替ドメイン部が存在しないことを示す。代替有無が1の場合、対応付けられたドメインIDで示されるドメイン部の代替ドメイン部が存在することを示す。図7は、ドメインIDが1及び2で示されるドメイン部の代替ドメイン部が存在することを示す。図5では、ドメイン構成情報140が、ECU(B)1の構成記憶部14Bに、格納されている状態を示す。
ステップS109において、ECU(B)1のシステム構成部13Bは、ドメイン構成情報140を参照して、通知された感染ドメインリスト16Aに、ECU(B)1の有する代替基本ドメイン部(A)50Bと対になる基本ドメイン部(A)20Aが、含まれているかどうかを判断する。
攻撃検出部11Aが、ステップS102にてサイバー攻撃の有無を判断し、その結果がサイバー攻撃無しだった場合(ステップS102でNO)、攻撃検出部11Aは、前回実施したサイバー攻撃の有無を参照する(ステップS119)。攻撃検出部11Aは、前回の結果がサイバー攻撃有りだった場合(ステップS114でYES)、前回よりも前の、1回または複数回の検出結果から、サイバー攻撃が頻度高く発生しているか否か判断する(ステップS120)。頻度が高いかどうかは、設定されている頻度の閾値との対比によって判定することができる。攻撃検出部11Aは、検出結果の回数が閾値よりも大きい場合は頻度が高いと判定し、検出結果の回数が閾値以下の場合は頻度が低いと判定する。
(1)システム構成部がサイバー攻撃により感染した拡張ドメイン部を停止する(ステップS107)。従って、拡張ドメインから基本ドメイン部へ感染するという感染の連鎖を防止できる。よって、基本ドメイン部の動作を継続できる。
(2)サイバー攻撃が止んだ場合には、システム構成部が拡張ドメイン部を再起動する(ステップS122)。よって、ECUは、拡張ドメイン部の動作を再開できる。
(3)基本ドメイン部まで感染した場合には、システム構成部が、基本ドメイン部を停止し(ステップS107)し、かつ、システム構成部は、感染ドメインリスト16Aを送信することにより、感染した基本ドメイン部の機能を、代替基本ドメイン部に代替させる。
これにより、基本ドメイン部の動作が継続できる。
(4)ECU(A)1では、サイバー攻撃が止んだ場合に、基本ドメイン部を再起動する(ステップS122)。よって、サイバー攻撃を受ける前のシステム構成に戻して動作を継続できる。
(5)管理ドメイン部同士の間は、独立した仮想ネットワーク95のみで接続する。これにより、ECUは、車外ネットワーク88から侵入する感染を、防ぐことができる。よって、サイバー攻撃または故障により機能を代行する仕組みを実現する攻撃検出部、感染範囲特定部、システム構成部及び構成記憶部の4つの機能が、サイバー攻撃で動作不良を起こすことを防ぐことができる。
(6)ECUの故障が発生した場合には、ハイパーバイザ部が、システム構成部に故障を通知する。
システム構成部が、ECU上のすべての基本ドメイン部と拡張ドメイン部がサイバー攻撃により感染した際と同様に処理する。これにより、ECUが故障した場合においても、基本ドメイン部を他のECUで代替することができるので、故障時においても、基本ドメイン部の動作を継続することができる。
(7)管理ドメイン部(A)10Aは、別の管理ドメイン部との間で、故障が発生しているかどうかを確認する生存確認を実施する。システム構成部同士がお互いに生存確認をすることで、生存確認できないECUを故障したと見なし、同様の効果を得ることができる。
(8)従来の車載システムでは、ECUの機能の一部もしくは全部を、故障に備えて予め他のECUに移動しておく。そして、故障が発生した場合には、他のECUが移動されている機能を実行しているため、ECUが故障した場合であっても、機能が停止することはない。この従来の方式は故障に対しては有効である。
しかし、従来の方式の場合、サイバー攻撃に対しては、サイバー攻撃が続いている限り、他のECUに移動された機能が、再度感染してしまう。また、機能を移動する仕組みを実現する機能そのものがサイバー攻撃により動作不良を起こした場合、機能の移動ができない。
これに対して、実施の形態1のECUは管理ドメイン部を備えているので、従来の車載システムの課題を、この実施の形態1の効果の(1)から(5)に述べたように、解決することができる。
図8から図10を参照して実施の形態2の車載システム100を説明する。実施の形態1では、システム構成部が、感染したドメイン部を対象に動作する。実施の形態2では、感染または故障によってシステム構成が変更された場合に、システム構成に応じて、基本ドメイン部及び拡張ドメイン部の動作が変更される。動作の変更は、後述のステップS201,ステップS202において、管理ドメイン部が、拡張ドメイン部と基本ドメイン部との少なくともいずれかの動作変更を指示する動作変更通知を、ハイパーバイザ部に通知することで行われる。ハイパーバイザ部は、動作変更通知に従って、拡張ドメイン部と基本ドメイン部との少なくともいずれかに、動作を変更させる。後述のシステム変更通知は動作変更通知である。
図10は、実施の形態2におけるECU(B)1の動作のフローチャートである。図10は、図5のフローチャートに、ステップS202、ステップS204及びステップS206が追加された構成である。図9では、ステップS117よりも前のステップは省略している。ステップS202は、システム構成部13Bの動作であり、ステップS204は、構成変更通知部41Bの動作であり、ステップS206は構成変更受領部24B、34Bの動作である。
まず、サイバー攻撃が発生した場合の動作を述べる。ステップS101からステップS118までの動作は、実施の形態1と同様である。ステップS116、ステップS117の後、各ECUのシステム構成部は、各OSまたはデバイスドライバを介して、ハイパーバイザ部の構成変更通知部に、システム構成が変更されたというシステム変更通知を、ハイパーバイザコールのような手段を用いて通知する(ステップS201、ステップS202)。システム構成が変更されたというシステム変更通知は、感染ドメインリスト16Aを用いて知らせる、ECU(A)の拡張ドメイン部(A)30Aを停止したというような情報である。
構成変更指示を受信した場合、構成変更受領部が各アプリに対して、例えば縮退運転を行うよう動作変更を指示する(ステップS205、ステップS206)。
ステップS102、ステップS119〜ステップS122、ステップS108、ステップS116、ステップS109〜ステップS115、ステップS117、ステップS118までの動作は実施の形態1と同様である。
構成変更指示を受信した場合、構成変更受領部が各アプリに対して、例えば通常運転を行うよう動作変更を指示する(ステップS205、ステップS206)。
以上のように、ハイパーバイザコールおよび仮想割り込みのような手段を用いて、システム構成部からシステム構成の変更が通知されることにより、ドメイン部のアプリがシステム構成が変更されたことをネットワークを介さずに知ることができる。よって、セキュリティリスクを冒すことなく、縮退運転のような動作変更を実施できる。
Claims (9)
- 車両に搭載される電子制御ユニットにおいて、
第1のオペレーティングシステムの元で動作し、車外ネットワークと接続し、異常の発生時に停止可能である拡張ドメイン部と、
第2のオペレーティングシステムの元で動作し、前記拡張ドメイン部に接続し、異常の発生時に動作の継続を要する基本ドメイン部と、
第3のオペレーティングシステムの元で動作し、前記拡張ドメイン部の前記異常を検出した場合に、前記拡張ドメイン部の動作を停止する管理ドメイン部と、
前記第1のオペレーティングシステムと、前記第2のオペレーティングシステムと、前記第3のオペレーティングシステムとを動作させるハイパーバイザ部と、
を備え、
前記管理ドメイン部は、
別の管理ドメイン部と前記基本ドメイン部に代替する別の基本ドメイン部とを有する別の電子制御ユニットにおける前記別の管理ドメイン部に、前記ハイパーバイザ部を介する独立の仮想ネットワークで接続しており、前記基本ドメイン部の異常を検出した場合に、前記基本ドメイン部の動作を停止し、前記別の電子制御ユニットの有する前記別の管理ドメイン部に、前記別の基本ドメイン部の動作を開始させる電子制御ユニット。 - 前記管理ドメイン部は、
前記基本ドメイン部の前記異常が解消した場合、前記基本ドメイン部を再起動する請求項1に記載の電子制御ユニット。 - 前記管理ドメイン部は、
前記別の管理ドメイン部との間で、故障が発生しているかどうかを確認する生存確認を実施する請求項1または請求項2に記載の電子制御ユニット。 - 前記管理ドメイン部は、
前記異常を、前記ハイパーバイザ部との通信によって検出する請求項1から請求項3のいずれか1項に記載の電子制御ユニット。 - 前記管理ドメイン部は、
前記拡張ドメイン部の前記異常が解消した場合、前記拡張ドメイン部を再起動する請求項1から請求項4のいずれか1項に記載の電子制御ユニット。 - 前記異常は、
サイバー攻撃による感染である請求項1から請求項5のいずれか1項に記載の電子制御ユニット。 - 前記異常は、
故障である請求項1から請求項5のいずれか1項に記載の電子制御ユニット。 - 前記管理ドメイン部は、
前記拡張ドメイン部と前記基本ドメイン部との少なくともいずれかの動作変更を指示する動作変更通知を、前記ハイパーバイザ部に通知し、
前記ハイパーバイザ部は、
前記動作変更通知に従って、前記拡張ドメイン部と前記基本ドメイン部との少なくともいずれかに、動作を変更させる請求項1から請求項7のいずれか1項に記載の電子制御ユニット。 - 電子制御ユニットであるコンピュータに、
第1のオペレーティングシステムの元で動作し、車外ネットワークと接続し、異常の発生時に停止可能である拡張機能処理と、
第2のオペレーティングシステムの元で動作し、前記拡張機能処理と通信し、異常の発生時に動作の継続を要する基本機能処理と、
第3のオペレーティングシステムの元で動作し、前記拡張機能処理の前記異常を検出した場合に、前記拡張機能処理の動作を停止する管理機能処理と、
第1のオペレーティングシステムと、前記第2のオペレーティングシステムと、前記第3のオペレーティングシステムとを動作させるハイパーバイザ処理と、
を実行させ、
前記管理機能処理は、
別の管理機能処理と前記基本機能処理に代替する別の基本機能処理とを有する別の電子制御ユニットにおける前記別の管理機能処理に、前記ハイパーバイザ処理を介する独立の仮想ネットワークで接続しており、前記基本機能処理の異常を検出した場合に、前記基本機能処理の動作を停止し、前記別の電子制御ユニットの有する前記別の管理機能処理に、前記別の基本機能処理の動作を開始させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/025741 WO2020261519A1 (ja) | 2019-06-27 | 2019-06-27 | 電子制御ユニット及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020261519A1 JPWO2020261519A1 (ja) | 2021-11-18 |
JP6972437B2 true JP6972437B2 (ja) | 2021-11-24 |
Family
ID=74061536
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021528812A Active JP6972437B2 (ja) | 2019-06-27 | 2019-06-27 | 電子制御ユニット及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220055637A1 (ja) |
JP (1) | JP6972437B2 (ja) |
CN (1) | CN113993752B (ja) |
DE (1) | DE112019007432B4 (ja) |
WO (1) | WO2020261519A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022168453A1 (ja) * | 2021-02-08 | 2022-08-11 | パナソニックIpマネジメント株式会社 | 車両制御システム、車両制御システムの制御方法及びプログラム |
JP2024070327A (ja) * | 2022-11-11 | 2024-05-23 | パナソニックオートモーティブシステムズ株式会社 | 情報提供方法及び情報処理装置 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4242405B2 (ja) * | 2006-09-15 | 2009-03-25 | 三菱電機株式会社 | 車載電子制御装置 |
JP2008123439A (ja) * | 2006-11-15 | 2008-05-29 | Denso Corp | オペレーティング・システム、プログラム及び移動体操縦支援装置 |
JP5045159B2 (ja) * | 2007-03-12 | 2012-10-10 | 三菱電機株式会社 | 制御用サブユニットおよび制御用メインユニット |
JP4985662B2 (ja) * | 2009-01-22 | 2012-07-25 | 株式会社デンソー | プログラム、及び制御装置 |
CN102343875A (zh) * | 2011-07-13 | 2012-02-08 | 武汉市菱电汽车电子有限责任公司 | 基于整车控制策略的电动汽车驱动器及其控制方法 |
JP5382084B2 (ja) * | 2011-10-07 | 2014-01-08 | 株式会社デンソー | 車両用装置 |
US20140309930A1 (en) | 2013-04-15 | 2014-10-16 | Flextronics Ap, Llc | Automatic camera image retrieval based on route traffic and conditions |
CN104781789B (zh) * | 2012-12-20 | 2018-06-05 | 三菱电机株式会社 | 车载装置 |
CN106068501A (zh) | 2014-03-07 | 2016-11-02 | 三菱电机株式会社 | 计算机装置和计算机机构 |
US9571279B2 (en) | 2014-06-05 | 2017-02-14 | Cavium, Inc. | Systems and methods for secured backup of hardware security modules for cloud-based web services |
JP6130612B1 (ja) * | 2015-08-25 | 2017-05-17 | 株式会社Seltech | ハイパーバイザーを有するシステム |
JP2018099972A (ja) | 2016-12-20 | 2018-06-28 | トヨタ自動車株式会社 | 車両システム |
JP6189004B1 (ja) * | 2017-01-24 | 2017-08-30 | 三菱電機株式会社 | 共用バックアップユニットおよび制御システム |
CN110192183B (zh) * | 2017-01-25 | 2023-07-07 | 三菱电机株式会社 | 计算机装置、任务启动方法以及计算机可读的存储介质 |
US20200233702A1 (en) * | 2017-03-21 | 2020-07-23 | Mitsubishi Electric Corporation | Control apparatus and computer readable medium |
JP6723955B2 (ja) * | 2017-05-12 | 2020-07-15 | 日立オートモティブシステムズ株式会社 | 情報処理装置及び異常対処方法 |
-
2019
- 2019-06-27 CN CN201980097690.8A patent/CN113993752B/zh active Active
- 2019-06-27 DE DE112019007432.6T patent/DE112019007432B4/de active Active
- 2019-06-27 WO PCT/JP2019/025741 patent/WO2020261519A1/ja active Application Filing
- 2019-06-27 JP JP2021528812A patent/JP6972437B2/ja active Active
-
2021
- 2021-11-03 US US17/518,040 patent/US20220055637A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
CN113993752A (zh) | 2022-01-28 |
JPWO2020261519A1 (ja) | 2021-11-18 |
US20220055637A1 (en) | 2022-02-24 |
DE112019007432B4 (de) | 2024-02-08 |
CN113993752B (zh) | 2023-09-08 |
DE112019007432T5 (de) | 2022-03-17 |
WO2020261519A1 (ja) | 2020-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11599349B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
US8001221B2 (en) | Method of building system and management server | |
US9235484B2 (en) | Cluster system | |
US11842185B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
WO2015169199A1 (zh) | 分布式环境下虚拟机异常恢复方法 | |
JP4529767B2 (ja) | クラスタ構成コンピュータシステム及びその系リセット方法 | |
JP6972437B2 (ja) | 電子制御ユニット及びプログラム | |
JP2010044613A (ja) | ウイルス対策方法、コンピュータ、及びプログラム | |
US20190018964A1 (en) | Secure Persistent Software Updates | |
JP2015524128A5 (ja) | ||
US9479478B2 (en) | Method for operating a communication module, and communication module | |
CN115904793B (zh) | 一种基于多核异构系统的内存转存方法、系统及芯片 | |
US10089200B2 (en) | Computer apparatus and computer mechanism | |
EP4042306B1 (en) | Secure installation of baseboard management controller firmware via a physical interface | |
CN107179980B (zh) | 用于监视计算系统的方法和相应的计算系统 | |
CN107423113B (zh) | 一种管理虚拟设备的方法、带外管理设备及备用虚拟设备 | |
WO2023042426A1 (ja) | 車載装置及びプログラム更新システム | |
JPWO2015072004A1 (ja) | 計算機、計算機制御方法、および計算機制御プログラム | |
US20220080989A1 (en) | Information processing apparatus, information processing method, and recording medium | |
EP4318242A1 (en) | Dynamic configuration of reaction policies in virtualized fault management system | |
US20220414207A1 (en) | Electronic device and attack detection method of electronic device | |
US11632400B2 (en) | Network device compliance | |
JP2017092933A (ja) | コントローラおよび制御システム | |
CN115828230A (zh) | 用于内核保护的系统、命令集线器以及主虚拟机 | |
KR20040093835A (ko) | 워치독 타이머를 구비한 마이크로 컴퓨터 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210721 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210721 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211005 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211102 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6972437 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |