JP7183841B2 - electronic controller - Google Patents

electronic controller Download PDF

Info

Publication number
JP7183841B2
JP7183841B2 JP2019021151A JP2019021151A JP7183841B2 JP 7183841 B2 JP7183841 B2 JP 7183841B2 JP 2019021151 A JP2019021151 A JP 2019021151A JP 2019021151 A JP2019021151 A JP 2019021151A JP 7183841 B2 JP7183841 B2 JP 7183841B2
Authority
JP
Japan
Prior art keywords
log
electronic control
notification
abnormality
secure area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019021151A
Other languages
Japanese (ja)
Other versions
JP2020129238A (en
Inventor
桂太 早川
康治 菅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2019021151A priority Critical patent/JP7183841B2/en
Publication of JP2020129238A publication Critical patent/JP2020129238A/en
Application granted granted Critical
Publication of JP7183841B2 publication Critical patent/JP7183841B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、電子制御装置(ECU:Electric Control Unit)に関するものであり、主として、車両用の電子制御装置に用いるものである。 TECHNICAL FIELD The present invention relates to an electronic control unit (ECU: Electric Control Unit), and is mainly used for an electronic control unit for a vehicle.

従来より、自動車には、CAN(Controller Area Network)などの車載ネットワークで互いに接続された様々な種類の電子制御装置が搭載されている。これらの電子制御装置で何らかの異常が発生した場合、電子制御装置の動作に関する様々なログを収集して分析することにより、異常の発生原因を特定することが求められる。 2. Description of the Related Art Conventionally, automobiles are equipped with various types of electronic control units connected to each other via an in-vehicle network such as CAN (Controller Area Network). When an abnormality occurs in these electronic control devices, it is required to identify the cause of the abnormality by collecting and analyzing various logs related to the operation of the electronic control device.

例えば、特許文献1には、監視対象の装置に異常が発生した場合に、異常の原因分析に必要な情報を収集する情報収集装置が開示されている。特許文献1に記載の情報収集装置では、異常の原因分析に使用する情報を、予め設定された収集間隔で定期的に収集するとともに、異常が発生したタイミングで収集することが開示されている。 For example, Patent Literature 1 discloses an information collecting device that collects information necessary for analyzing the cause of an abnormality when an abnormality occurs in a device to be monitored. The information collection device described in Patent Literature 1 discloses that information used for cause analysis of an abnormality is collected periodically at preset collection intervals and at the timing when an abnormality occurs.

特開2010-244137号公報JP 2010-244137 A

ところで、近年、自動車に搭載される電子制御装置の仮想化技術の開発が活発になっている。このような仮想化技術を用いた電子制御装置においても、異常が発生した場合に、異常の原因分析に必要なログを収集することが望ましい。さらに、異常の原因分析に必要なログは重要性が高いため、電子制御装置の中でも特にセキュリティ性の高い領域に確実に収集することが求められる。 By the way, in recent years, the development of virtualization technology for electronic control units mounted on automobiles has been active. Even in an electronic control unit using such virtualization technology, it is desirable to collect logs necessary for analyzing the cause of an abnormality when an abnormality occurs. Furthermore, since the logs necessary for analyzing the cause of anomalies are highly important, they must be reliably collected in a particularly high-security area of the electronic control device.

そこで、本発明の目的は、仮想化技術を用いた電子制御装置に異常が発生した場合に、異常に関するログをセキュリティ性の高い領域に確実に収集することを実現することにある。 SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to reliably collect logs related to an abnormality in an area with high security when an abnormality occurs in an electronic control device using virtualization technology.

上記課題を解決するために、非セキュア領域とセキュア領域とを有する電子制御装置(1)は、前記非セキュア領域に、当該電子制御装置に発生した異常を検出し、前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信する監視部(11)と、前記異常ログおよび当該電子制御装置が取得するその他のログである通常ログを保存する第1のメモリ(20)と、を有し、前記セキュア領域に、前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集するログ収集部(41)と、前記ログ収集部が収集した前記通常ログおよび前記異常ログを保存する第2のメモリ(50)と、を有する。 In order to solve the above problems, an electronic control device (1) having a non-secure area and a secure area detects an abnormality occurring in the electronic control device and stores an abnormality log indicating the abnormality in the non-secure area. a monitoring unit (11) for generating and transmitting a notification indicating that the abnormality has been detected to the secure area; and collecting the normal log from the first memory in the secure area at a first period before receiving the notification, and collecting the normal log at the first period after receiving the notification. a log collection unit (41) that collects the error log in a second cycle shorter than the cycle of; a second memory (50) that stores the normal log and the error log collected by the log collection unit; have

本発明の電子制御装置によれば、仮想化技術を用いた電子制御装置において異常が発生した場合に、異常発生前にログを収集する周期よりも短い周期で定期的に異常ログを収集することにより、異常の原因分析に必要な異常ログが失われる可能性を低減することができる。 According to the electronic control device of the present invention, when an abnormality occurs in an electronic control device using virtualization technology, the abnormality log is collected periodically at a period shorter than the period at which the log is collected before the abnormality occurs. Therefore, it is possible to reduce the possibility of losing the error log necessary for analyzing the cause of the error.

本発明の実施形態1、2の電子制御装置の構成を説明するブロック図1 is a block diagram for explaining the configuration of an electronic control unit according to Embodiments 1 and 2 of the present invention; 本発明の実施形態1の監視部の動作を説明する図FIG. 4 is a diagram for explaining the operation of the monitoring unit according to the first embodiment of the present invention; 本発明の実施形態1のログ収集部の動作を説明する図FIG. 4 is a diagram for explaining the operation of the log collection unit according to the first embodiment of the present invention; 本発明の実施形態1のログの収集を説明する図FIG. 4 is a diagram for explaining log collection according to the first embodiment of the present invention; 本発明の実施形態1のログの収集を説明する図FIG. 4 is a diagram for explaining log collection according to the first embodiment of the present invention; 本発明の実施形態2のログの収集を説明する図FIG. 4 is a diagram for explaining log collection according to the second embodiment of the present invention; 本発明の実施形態3の電子制御装置を説明する図A diagram for explaining an electronic control unit according to Embodiment 3 of the present invention.

以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成および方法、従属項に記載の構成および方法に対応する実施形態の構成および方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成および方法は、本発明においては任意の構成および方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成および方法も、本発明の構成および方法の例示であるという意味で、本発明においては任意の構成および方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成および方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成および方法と共に発明の進歩性を肯定する事実である。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described with reference to the drawings.
It should be noted that the present invention means the invention described in the scope of claims or the section of Means for Solving the Problems, and is not limited to the following embodiments. In addition, at least the words and phrases in angle brackets mean the words and phrases described in the claims or the means for solving the problems section, and are not limited to the following embodiments.
Arrangements and methods according to dependent claims, arrangements and methods of embodiments corresponding to arrangements and methods according to dependent claims, and arrangements and methods according to embodiments only without claims are optional configurations and methods in the present invention. In the sense that the configurations and methods described in the embodiments when the description of the claims is broader than the description of the embodiments are also examples of the configurations and methods of the present invention, in the present invention, any configuration and method be. In either case, the essential features and methods of the invention are described in the independent claims.
The effects described in the embodiments are the effects when having the configuration of the embodiment as an example of the present invention, and are not necessarily the effects of the present invention.
When there are multiple embodiments, the configuration disclosed in each embodiment is not limited to each embodiment, but can be combined across the embodiments. For example, a configuration disclosed in one embodiment may be combined with another embodiment. In addition, the configurations disclosed in each of a plurality of embodiments may be collected and combined.
The problems described in the Problems to be Solved by the Invention are not known problems, but were independently discovered by the inventors, and are facts that affirm the inventive step of the invention together with the configuration and method of the present invention.

(実施形態1)
本実施形態1の電子制御装置1の構成を図1を用いて説明する。本発明の「電子制御装置」は、ハイパーバイザ型の仮想マシンを有する電子制御装置1であり、「非セキュア領域」と、非セキュア領域からはアクセスできない領域である「セキュア領域」とを有している。 (Embodiment 1)
The configuration of the electronic control unit 1 of Embodiment 1 will be described with reference to FIG. The "electronic control device" of the present invention is the electronic control device 1 having a hypervisor-type virtual machine, and has a "non-secure area" and a "secure area" which is an area inaccessible from the non-secure area. ing.

ここで、本発明の「電子制御装置」は、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、およびRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインタフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置であっても、配線基板において各半導体装置が配線接続された構成であってもよい。
本発明の「非セキュア領域」とは、「非セキュア領域」および「セキュア領域」のいずれからもアクセス可能な領域をいう。また、本発明の「セキュア領域」とは、「非セキュア領域」からはアクセスできず、同じ「セキュア領域」からのみアクセス可能な領域をいう。 Here, the "electronic control device" of the present invention is, for example, a so-called information processing device that is mainly composed of a semiconductor device and has a CPU (Central Processing Unit) and a volatile memory such as a RAM (Random Access Memory). may be configured as In this case, the information processing device may further include a non-volatile storage unit such as a flash memory, a network interface unit connected to a communication network or the like, and the like. Furthermore, such an information processing device may be a packaged semiconductor device, or may have a structure in which semiconductor devices are connected by wiring on a wiring board.
The "non-secure area" of the present invention means an area accessible from both the "non-secure area" and the "secure area". Also, the "secure area" in the present invention means an area that cannot be accessed from the "non-secure area" and can be accessed only from the same "secure area".

電子制御装置1は、非セキュア領域に、第1の仮想マシン10およびハードウェアである第1のメモリ20を備えている。また、電子制御装置1は、セキュア領域に、第2の仮想マシン40、およびハードウェアである第2のメモリ50を備えている。第1および第2の仮想マシン10、40はそれぞれ、仮想マシン上にインストールされたゲストOSと、ゲストOS上にインストールされた複数のアプリケーションを有する。電子制御装置1はさらにハイパーバイザ30を備えており、ハイパーバイザ30が、非セキュア領域、セキュア領域といった、複数の領域を構成する。なお、図1は、2つの仮想マシンを備える電子制御装置1の例を示しているが、電子制御装置1は第1および第2の仮想マシン以外の仮想マシンを備えていてもよい。 The electronic control unit 1 includes a first virtual machine 10 and a first memory 20, which is hardware, in a non-secure area. The electronic control unit 1 also includes a second virtual machine 40 and a second memory 50, which is hardware, in the secure area. The first and second virtual machines 10, 40 each have a guest OS installed on the virtual machine and multiple applications installed on the guest OS. The electronic control unit 1 further includes a hypervisor 30, and the hypervisor 30 configures multiple areas such as a non-secure area and a secure area. Although FIG. 1 shows an example of the electronic control device 1 including two virtual machines, the electronic control device 1 may include virtual machines other than the first and second virtual machines.

ハイパーバイザ30は、電子制御装置1を仮想化するソフトウェアである。第1の仮想マシン10および第2の仮想マシン40は、ハイパーバイザ30上に構築される。ハイパーバイザ30上に構築された異なる仮想マシン間の通信は、ハイパーバイザ30を介して行われる。このような仮想マシン間の通信を、本実施形態ではドメイン間通信とする。例えば、第1の仮想マシン10のアプリケーションから送信された通知は、ドメイン間通信によって、第2の仮想マシン40のアプリケーションへと送信される。 The hypervisor 30 is software that virtualizes the electronic control unit 1 . A first virtual machine 10 and a second virtual machine 40 are built on the hypervisor 30 . Communication between different virtual machines built on the hypervisor 30 is performed via the hypervisor 30 . Such communication between virtual machines is referred to as inter-domain communication in this embodiment. For example, a notification sent from an application on the first virtual machine 10 is sent to an application on the second virtual machine 40 via inter-domain communication.

以下に、非セキュア領域に設けられる各構成を説明する。
第1の仮想マシン10は、電子制御装置1を監視する監視部11を有する。監視部11は、電子制御装置1を監視することにより、電子制御装置1に発生した「異常」を「検出」する。監視部11は、例えば、第1の仮想マシン10において実行されるアプリケーションの動作、CPUの動作、電源の状態などを監視して異常を検出する。なお、監視部11は、既に発生した異常を検出するだけでなく、将来的に発生する可能性が高い異常や、このような異常の予兆を検出してもよい。例えば、ポートスキャンは、外部から攻撃対象とするポートを探し出す行為であり、不正アクセスの予備行為として知られている。監視部11が、電子制御装置1がポートスキャンを受けていること検出した場合には、電子制御装置1に不具合が発生していなくとも、異常を検出したものとして取り扱う。
ここで、本発明の「異常」とは、外部からの攻撃や、非セキュア領域のアプリやCPUの通常とは異なる動作が含まれることはもちろん、このような外部からの攻撃や、アプリやCPUの通常とは異なる動作前に発生する特定の動作も異常に含まれる。また、本発明の異常の「検出」とは、監視部が電子制御装置をモニタ等することによって異常を直接的に検出することの他、異常が発生したこと示す情報を受信することによって異常を間接的に検出してもよい。 Each configuration provided in the non-secure area will be described below.
The first virtual machine 10 has a monitoring unit 11 that monitors the electronic control unit 1 . The monitoring unit 11 “detects” an “abnormality” occurring in the electronic control unit 1 by monitoring the electronic control unit 1 . The monitoring unit 11 detects an abnormality by monitoring, for example, the operation of an application executed in the first virtual machine 10, the operation of the CPU, the state of the power supply, and the like. Note that the monitoring unit 11 may detect not only an abnormality that has already occurred, but also an abnormality that is likely to occur in the future and a sign of such an abnormality. For example, port scanning is an act of searching for ports to be attacked from the outside, and is known as an act of preparing for unauthorized access. When the monitoring unit 11 detects that the electronic control unit 1 is being subjected to a port scan, it is treated as detecting an abnormality even if the electronic control unit 1 does not malfunction.
Here, the "abnormality" of the present invention includes, of course, external attacks and abnormal operations of applications and CPUs in the non-secure area. Abnormalities also include certain behaviors that occur before the unusual behavior of the . In addition, the "detection" of an abnormality in the present invention means that an abnormality is detected directly by the monitoring unit monitoring the electronic control device or the like, or an abnormality is detected by receiving information indicating that an abnormality has occurred. It may be detected indirectly.

監視部11が電子制御装置1に発生した異常を検出すると、監視部11は「異常を示す異常ログ」を生成する。生成された異常ログは、後述する第1のメモリに書き込まれる。以下に示す実施形態では、異常ログが異常が発生したことを示すログである場合を説明している。しかしながら、異常ログは、それ以外の情報、例えば、異常発生時のアプリケーションやCPUの動作を示すログ、電子制御装置のインタフェース(図示せず)を介したデータの送受信に関するログなどを含んでもよい。例えば、異常ログは、後述する通常ログと重複する情報を含んでいてもよく、あるいは、通常ログとは異なる情報を含むものであってもよい。監視部11によって生成された異常ログは、異常の原因を分析するために使用される。
ここで、本発明の「異常を示す異常ログ」とは、異常が発生したことを示す情報が含まれていれば足り、異常が発生したことを示す情報に加えて、異常発生時の電子制御装置の動作状況を示す情報が含まれていてもよい。 When the monitoring unit 11 detects an abnormality that has occurred in the electronic control unit 1, the monitoring unit 11 generates an "abnormality log indicating the abnormality". The generated error log is written to a first memory, which will be described later. In the embodiment shown below, a case is explained in which the error log is a log indicating that an error has occurred. However, the error log may include other information, such as a log indicating the operation of the application or CPU when an error occurred, a log relating to data transmission/reception via an interface (not shown) of the electronic control unit, and the like. For example, the error log may contain information that overlaps with the normal log described later, or may contain information different from the normal log. The anomaly log generated by the monitoring unit 11 is used to analyze the cause of the anomaly.
Here, the "abnormality log indicating an abnormality" of the present invention is sufficient if it contains information indicating that an abnormality has occurred. Information indicating the operational status of the device may also be included.

監視部11はさらに、電子制御装置1に発生した異常を検出すると、異常を検出したことを示す通知をセキュア領域に送信する。なお、監視部11は、最初の異常(「第1の異常」に相当)を検出し、当該最初の異常を検出したことを示す通知を送信した後、所定の時間が経過するまでの間に最初の異常とは異なる異常(「第2の異常」に相当)を検出した場合には、この異常を検出したことを示す通知を送信しなくともよい。異常が短時間に頻発する場合、監視部11が異常を検出したことを示す通知をその度に送信すると、電子制御装置1における処理量は増加する。そこで、最初の異常を検出したことを示す通知の送信後、所定の時間が経過するまで、他の異常を検出しても通知を送信しないことにより、電子制御装置1の負荷を低減することができる。 Furthermore, when the monitoring unit 11 detects an abnormality that has occurred in the electronic control unit 1, it transmits a notification indicating that the abnormality has been detected to the secure area. In addition, after the monitoring unit 11 detects the first abnormality (corresponding to "first abnormality") and transmits a notification indicating that the first abnormality has been detected, until a predetermined time elapses, When an abnormality different from the first abnormality (corresponding to a "second abnormality") is detected, it is not necessary to send a notification indicating that this abnormality has been detected. When abnormalities occur frequently in a short period of time, the amount of processing in the electronic control unit 1 increases if the monitoring unit 11 transmits a notification indicating that an abnormality has been detected each time. Therefore, it is possible to reduce the load on the electronic control unit 1 by not transmitting a notification even if another abnormality is detected until a predetermined time has elapsed after the transmission of the notification indicating that the first abnormality has been detected. can.

第1のメモリ20は、非セキュア領域に設けられたランダムアクセスメモリである。ランダムアクセスメモリは揮発性メモリであり、SRAMやDRAMをはじめ、様々な方式のメモリを含む。第1のメモリ20は、電子制御装置1が取得するログを保存する。第1のメモリ20に保存されるログには、異常が検出された際に監視部11にて生成された異常ログも含まれる。以下の実施形態では、電子制御装置1が取得するログのうち、異常ログを除くその他のログを通常ログとして説明する。通常ログには、例えば、アプリケーションの動作を示すログ、CPUの動作を示すログ、電子制御装置のインタフェース(図示せず)を介したデータの送受信に関するログなど、電子制御装置が取得する任意のログが含まれる。 A first memory 20 is a random access memory provided in a non-secure area. Random access memory is volatile memory and includes various types of memory including SRAM and DRAM. The first memory 20 stores logs acquired by the electronic control unit 1 . The logs stored in the first memory 20 also include an error log generated by the monitoring unit 11 when an error is detected. In the following embodiments, of the logs acquired by the electronic control unit 1, logs other than the error log will be described as normal logs. The normal log includes any log acquired by the electronic control unit, such as a log showing the operation of the application, a log showing the operation of the CPU, and a log related to data transmission and reception via the interface (not shown) of the electronic control unit. is included.

次に、セキュア領域内に設けられる各構成を説明する。
ログ収集部41は、定期的に第1のメモリ20にアクセスし、第1のメモリ20に保存されている通常ログを収集する。収集された通常ログは、後述する第2のメモリ50に保存される。ログ収集部41はさらに、第1のメモリ20から通常ログを読み出した後、当該通常ログを第1のメモリ20から削除してもよい。
ログ収集部41が、セキュリティ性が低い非セキュア領域に設けられた第1のメモリ20から第2のメモリ50へと定期的に通常ログを移動させることにより、通常ログをセキュリティ性が高い領域に確保することができる。ログ収集部41が通常ログを収集する周期は、任意の周期である。以下の各実施形態では、ログ収集部41が通常ログを収集する周期を第1の周期として説明する。 Next, each configuration provided within the secure area will be described.
The log collection unit 41 periodically accesses the first memory 20 and collects normal logs stored in the first memory 20 . The collected normal logs are stored in the second memory 50, which will be described later. Further, the log collection unit 41 may delete the normal log from the first memory 20 after reading the normal log from the first memory 20 .
The log collection unit 41 periodically moves the normal log from the first memory 20 provided in the non-secure area with low security to the second memory 50, thereby transferring the normal log to the area with high security. can be secured. The period at which the log collection unit 41 collects normal logs is an arbitrary period. In each of the following embodiments, the cycle in which the log collection unit 41 collects normal logs will be described as the first cycle.

ログ収集部41はさらに、ハイパーバイザ30を介して監視部11から送信された通知を受信すると、第1のメモリ20からログを収集する周期を、第1の周期よりも短い周期に変更する。つまり、ログ収集部41は、監視部11から通知を受信する前の周期である第1の周期よりも短い周期で第1のメモリ20にアクセスし、第1のメモリ20に保存されているログを収集する。このとき、第1のメモリ20には、通常ログに加えて、異常ログが保存されている。そのため、ログ収集部41は、通常ログとともに異常ログを収集する。以下の各実施形態では、ログ収集部41が、監視部11からの通知の受信後に通常ログおよび異常ログを収集する周期を、第2の周期として説明する。なお、第2の周期は第1の周期よりも短い任意の周期であるが、電子制御装置1が接続されているCAN(Controller Area Network)やLIN(Local Interconnect Network)などの車載ネットワークを介して信号を送受信する時間間隔よりも短い周期であることが望ましく、例えば、数マイクロ乃至数十マイクロ秒程度である。なお、通知を受信する前と同様、収集された通常ログおよび異常ログは、第2のメモリ50に保存される。 Further, upon receiving the notification transmitted from the monitoring unit 11 via the hypervisor 30, the log collecting unit 41 changes the period for collecting logs from the first memory 20 to a period shorter than the first period. That is, the log collection unit 41 accesses the first memory 20 at a cycle shorter than the first cycle, which is the cycle before receiving the notification from the monitoring unit 11, and retrieves the log stored in the first memory 20. to collect. At this time, the first memory 20 stores an error log in addition to the normal log. Therefore, the log collection unit 41 collects the error log together with the normal log. In each of the embodiments below, the cycle in which the log collection unit 41 collects the normal log and the error log after receiving the notification from the monitoring unit 11 will be described as the second cycle. Although the second period is an arbitrary period shorter than the first period, the electronic control unit 1 is connected to CAN (Controller Area Network) or LIN (Local Interconnect Network) via an in-vehicle network such as It is desirable that the period is shorter than the time interval for transmitting and receiving signals, and is, for example, several microseconds to several tens of microseconds. The collected normal log and error log are saved in the second memory 50 in the same manner as before the notification is received.

ログ収集部41は、監視部11から送信された通知の受信後、「所定の時間」が経過するまで、第1のメモリ20に保存されている通常ログおよび異常ログを第2の周期で収集する。
ここで、本発明の「所定の時間」とは、条件を与えた場合に一意に定まる時間であればよく、必ずしも常に一定の時間である必要はない。 The log collection unit 41 collects the normal log and the error log stored in the first memory 20 at a second cycle until the "predetermined time" has elapsed after receiving the notification transmitted from the monitoring unit 11. do.
Here, the "predetermined time" of the present invention may be a time that is uniquely determined under given conditions, and does not necessarily have to be a constant time.

なお、監視部11が最初の異常を検出した後、他の異常を検出していない場合、第1のメモリ20には、最初の異常を示す異常ログしか保存されない。このような場合、ログ収集部41は、最初の異常を示す異常ログを収集した後は、所定の時間が経過するまで、第2の周期で、第1のメモリ20に保存されている通常ログのみを収集することになる。 Note that if the monitoring unit 11 detects no other abnormality after detecting the first abnormality, the first memory 20 stores only the abnormality log indicating the first abnormality. In such a case, the log collection unit 41 collects the normal logs stored in the first memory 20 at a second cycle until a predetermined time has elapsed after collecting the first abnormality log indicating an abnormality. will only be collected.

第2のメモリ50は、セキュア領域に設けられたランダムアクセスメモリ、もしくはフラッシュメモリであり、ログ収集部41によって収集された通常ログおよび異常ログの保存先となるメモリである。第2のメモリ50はセキュア領域に設けられており、非セキュア領域からアクセスすることができない。そのため、第2のメモリ50に保存されているデータがサイバー攻撃等によって改ざん等される可能性は低く、セキュリティ性は高くなる。
なお、第2のメモリ50に保存されたログは、電子制御装置1の外部に設けられたストレージ(図示せず)に適宜転送してもよい。 The second memory 50 is a random access memory or flash memory provided in the secure area, and serves as a storage destination for normal logs and error logs collected by the log collection unit 41 . The second memory 50 is provided in the secure area and cannot be accessed from the non-secure area. Therefore, the data stored in the second memory 50 is less likely to be tampered with by a cyberattack or the like, and security is enhanced.
The log saved in the second memory 50 may be transferred to a storage (not shown) provided outside the electronic control unit 1 as appropriate.

図2は、本実施形態の監視部11の動作を説明する図である。
監視部11は、電子制御装置1を監視する(S101)。ここで、監視部11が異常を検出すると(S102:Yes)、異常を示す異常ログを生成する(S103)。また、監視部11は、直前に異常を検出したことを示す通知をしてから、所定の時間が経過したか否かを判定する(S104)。所定の時間が経過している場合には、監視部11は、異常を検出したことを示す通知をセキュア領域に送信する(S104:Yes)。これに対し、所定の時間が経過していない場合には、監視部11は通知を送信しない(S105:No)。そして、S103にて生成された異常ログは、第1のメモリ20に保存される(S106)。 FIG. 2 is a diagram for explaining the operation of the monitoring unit 11 of this embodiment.
The monitoring unit 11 monitors the electronic control unit 1 (S101). Here, when the monitoring unit 11 detects an abnormality (S102: Yes), an abnormality log indicating the abnormality is generated (S103). In addition, the monitoring unit 11 determines whether or not a predetermined period of time has passed since the previous notification indicating that an abnormality was detected (S104). If the predetermined time has passed, the monitoring unit 11 transmits a notification indicating that an abnormality has been detected to the secure area (S104: Yes). On the other hand, if the predetermined time has not passed, the monitoring unit 11 does not send the notification (S105: No). Then, the error log generated in S103 is stored in the first memory 20 (S106).

図3は、本実施形態のログ収集部41の動作を説明する図である。
ログ収集部41は、第1のメモリ20から第1の周期で通常ログを収集し、収集した通常ログを第2のメモリ50に保存する(S201)。ここで、ハイパーバイザ30を介して、監視部11からの通知を受信すると(S202)、ログ収集部41は、第1のメモリ20にアクセスしてログを収集する周期を、第1の周期から、第1の周期よりも短い第2の周期に変更する(S203)。S203において周期が変更されると、ログ収集部41は、第1のメモリ20から、第2の周期で通常ログおよび異常ログを収集し、第2のメモリ50に保存する(S204)。ログ収集部41は、S202において通知を受信してから所定の時間が経過するまで、変更後の周期である第2の周期で通常ログおよび異常ログを収集する。その後、所定の時間が経過すると(S205)、第1のメモリ20にアクセスしてログを収集する周期を、第2の周期から第1の周期に変更して戻す(S206)。 FIG. 3 is a diagram for explaining the operation of the log collection unit 41 of this embodiment.
The log collection unit 41 collects normal logs from the first memory 20 at the first cycle, and stores the collected normal logs in the second memory 50 (S201). Here, upon receiving a notification from the monitoring unit 11 via the hypervisor 30 (S202), the log collection unit 41 changes the cycle of accessing the first memory 20 and collecting logs from the first cycle to , to a second period shorter than the first period (S203). When the period is changed in S203, the log collection unit 41 collects the normal log and the error log from the first memory 20 in the second period and stores them in the second memory 50 (S204). The log collection unit 41 collects the normal log and the error log in the second cycle, which is the cycle after the change, until a predetermined period of time has passed since the notification was received in S202. After that, when a predetermined period of time elapses (S205), the cycle of accessing the first memory 20 and collecting logs is changed from the second cycle to the first cycle (S206).

図4、5は、本実施形態1によるログの収集を概略的に説明する図である。図4(a)、図5(a)は、監視部11において異常が検出される前の状態を、図4(b)、図5(b)は、異常が検出され、ログ収集部41が監視部11からの通知を受信した後の状態を示している。図4(a)では、ログ収集部41は、第1のメモリ20から第1の周期で通常ログを収集している。これに対し、図4(b)では、ログ収集部41は、第1のメモリ20から第1の周期よりも短い第2の周期で通常ログおよび異常ログを収集している。
図4に示す例では、通常ログと異常ログは、第1のメモリ20の同じ領域に保存される例を示している。この例では、ログ収集部41は、第1のメモリ20のうち、通常ログおよび異常ログが保存されている所定の領域にアクセスし、第1の周期または第2の周期で所定の領域に保存されているログを収集する。 4 and 5 are diagrams for schematically explaining log collection according to the first embodiment. 4(a) and 5(a) show the state before an abnormality is detected by the monitoring unit 11, and FIGS. The state after receiving the notification from the monitoring unit 11 is shown. In FIG. 4A, the log collection unit 41 collects normal logs from the first memory 20 at the first cycle. On the other hand, in FIG. 4B, the log collection unit 41 collects normal logs and error logs from the first memory 20 in a second period shorter than the first period.
The example shown in FIG. 4 shows an example in which the normal log and the error log are stored in the same area of the first memory 20 . In this example, the log collection unit 41 accesses a predetermined area in the first memory 20 in which the normal log and the error log are saved, and saves the logs in the predetermined area at the first period or the second period. Collect logs that are

これに対し、図5に示す例では、図4に示す例とは異なり、第1のメモリが複数の領域を有しており、通常ログと異常ログとが、第1のメモリ20における異なる領域にそれぞれ保存される。図5(a)では、ログ収集部41は、第1のメモリ20における第1の領域のみにアクセスし、第1の領域に保存された通常ログを収集する。なお、図5(a)は異常が検出される前であるため、第2の領域には未だ異常ログは保存されていない。図5(b)では、ログ収集部41は、監視部11からの通知を受信すると、ログを収集する周期を第2の周期に変更することに加えて、ログを収集する領域に第2の領域を追加する。そして、ログ収集部41は、第1の領域および第2の領域にアクセスし、第1の領域から通常ログを、第2の領域から異常ログを、それぞれ第2の周期で収集する。
監視部11からの通知を受信してから所定の時間が経過した後は、ログを収集する周期を第2の周期から第1の周期に変更することに加えて、ログを収集する領域を第1の領域のみに変更する。 On the other hand, in the example shown in FIG. 5, unlike the example shown in FIG. , respectively. In FIG. 5A, the log collection unit 41 accesses only the first area in the first memory 20 and collects normal logs saved in the first area. Note that FIG. 5A is before an abnormality is detected, so an abnormality log has not yet been saved in the second area. In FIG. 5B, when the log collection unit 41 receives the notification from the monitoring unit 11, in addition to changing the log collection period to the second period, the log collection area is changed to the second period. Add area. Then, the log collection unit 41 accesses the first area and the second area, and collects normal logs from the first area and abnormal logs from the second area at the second cycle.
After a predetermined period of time has passed since the notification from the monitoring unit 11 was received, the log collection period is changed from the second period to the first period, and the log collection area is changed to the first period. Change to 1 region only.

以上のとおり、本実施形態によれば、ログ収集部41は、異常を検出したことを示す通知を受信すると、所定の時間が経過するまで、異常発生前よりも短い周期で異常ログを定期的に収集する。つまり、ログ収集部41は、監視部11からの通知を受信した後は、所定の時間内に発生した異常を示す異常ログを定期的に収集することができる。 As described above, according to the present embodiment, when receiving a notification indicating that an abnormality has been detected, the log collection unit 41 periodically collects an abnormality log at a shorter cycle than before the occurrence of an abnormality until a predetermined time elapses. to collect. In other words, after receiving the notification from the monitoring unit 11, the log collecting unit 41 can periodically collect an abnormality log indicating an abnormality that has occurred within a predetermined period of time.

仮に、本実施形態とは異なり、ログ収集部41が、異常を検出したことを示す通知を受信したことをトリガとして、第1のメモリ20に保存された異常ログを収集する構成とした場合を検討する。DoS攻撃のように短時間に高い頻度で異常が発生した場合、ログ収集部41は、異常が発生する度に監視部11からの通知を受信して、第1のメモリ20にアクセスして異常ログを収集する。しかしながら、第1の仮想マシン10と第2の仮想マシン40との間のドメイン間通信に時間がかかる電子制御装置の場合、ログ収集部41が監視部11から通知を受信するまでに時間を要する。そのため、ログ収集部41が監視部11からの通知を受信して、異常ログを収集するまでの間に、次の異常ログが第1のメモリに書き込まれて、上書きされるおそれがある。このような場合、異常の原因分析に必要な異常ログが失われることになる。 Suppose that unlike the present embodiment, the log collection unit 41 is configured to collect the error log stored in the first memory 20 with the reception of a notification indicating that an error has been detected as a trigger. think about. When an abnormality such as a DoS attack occurs frequently in a short period of time, the log collection unit 41 receives a notification from the monitoring unit 11 each time an abnormality occurs, and accesses the first memory 20 to detect the abnormality. Collect logs. However, in the case of an electronic control device that takes time for inter-domain communication between the first virtual machine 10 and the second virtual machine 40, it takes time for the log collection unit 41 to receive the notification from the monitoring unit 11. . Therefore, there is a possibility that the next error log will be written to the first memory and overwritten before the log collection unit 41 receives the notification from the monitoring unit 11 and collects the error log. In such a case, the error log necessary for analyzing the cause of the error is lost.

これに対し、本実施形態の発明によれば、異常が発生する度に監視部11からの通知を受信しなくとも、所定の時間内に発生した異常を示す異常ログを収集することができる。その結果、異常を検出したことを示す通知がドメイン間通信によって送受信されている間に異常ログが上書きされ、失われる可能性を低減することが可能となる。
さらに、異常発生後に異常ログを収集する周期を、電子制御装置が他の装置との間で信号を送受信する時間間隔よりも短くすることにより、DoS攻撃等の異常が発生する間隔よりも短い間隔で異常ログを収集することが可能となり、異常ログを確実に収集することができる。 In contrast, according to the invention of the present embodiment, it is possible to collect anomaly logs indicating anomalies occurring within a predetermined period of time without receiving notifications from the monitoring unit 11 each time an anomaly occurs. As a result, it is possible to reduce the possibility that the error log will be overwritten and lost while the notification indicating that an error has been detected is being sent and received through inter-domain communication.
Furthermore, by setting the period for collecting anomaly logs after the occurrence of an anomaly to be shorter than the time interval at which the electronic control unit transmits and receives signals to and from other devices, an interval shorter than the interval at which an anomaly such as a DoS attack occurs. , and the error log can be collected reliably.

(変形例)
実施形態1では、ログ収集部41が収集した全てのログが、第2のメモリ50に保存される構成を説明した。しかしながら、ログ収集部41は、第1のメモリ20から収集した異常ログの内容に応じて、収集した異常ログを第2のメモリ50に保存しなくともよい。例えば、ログ収集部41が、第1のメモリ20から収集した最初の異常ログ(以下、第1の異常ログと称する)と、当該第1の異常ログの次に収集した2番目の異常ログ(以下、第2の異常ログと称する)の値が同一のことがある。このように、ログ収集部41が時間的に連続して取得した2つのログの値が同一である場合、ログ収集部41は、これら2つの異常ログのうち、一方の異常ログのみを第2のメモリ50に保存し、他方の異常ログを廃棄してもよい。 (Modification)
In the first embodiment, all the logs collected by the log collection unit 41 are stored in the second memory 50 . However, the log collection unit 41 may not store the collected error logs in the second memory 50 depending on the contents of the error logs collected from the first memory 20 . For example, the first error log collected from the first memory 20 by the log collection unit 41 (hereinafter referred to as the first error log) and the second error log collected after the first error log ( hereinafter referred to as a second error log) may have the same value. In this way, when the values of two logs that the log collection unit 41 acquires consecutively in terms of time are the same, the log collection unit 41 selects only one of these two error logs as the second error log. , and the other error log may be discarded.

異常発生後、第1の異常ログが生成された後に、次の異常が発生しておらず、ログ収集部41が第1の異常ログを収集した後も、第1のメモリ20内に第1の異常ログが削除されずに残っていることがある。このような場合、第1の異常ログと、第1の異常ログの後に収集した第2の異常ログは全く同じである。そのため、第1の異常ログと第2の異常ログの双方を保存すると、第2のメモリ50の容量を有効に活用することはできない。また、第1の異常ログが生成された後に新たな異常が発生して、第2の異常ログが第1のメモリに保存された場合であっても、これらの異常が同じ種類の異常である場合には、一方の異常ログのみを用いて異常の原因分析ができることが考えられる。このような場合も、第1の異常ログと第2の異常ログの双方を第2のメモリ50に保存する必要性は低い。 After the occurrence of an error, after the first error log is generated, the next error does not occur, and even after the log collection unit 41 collects the first error log, the first error log is stored in the first memory 20 error logs may remain without being deleted. In such a case, the first error log and the second error log collected after the first error log are exactly the same. Therefore, if both the first error log and the second error log are saved, the capacity of the second memory 50 cannot be effectively utilized. Also, even if a new error occurs after the first error log is generated and the second error log is saved in the first memory, these errors are of the same type. In some cases, it may be possible to analyze the cause of an anomaly using only one of the anomaly logs. Even in such a case, there is little need to store both the first error log and the second error log in the second memory 50 .

そこで、ログ収集部41が時間的に連続して取得した2つのログの値が同一である場合には、一方の異常ログのみを保存することによって、メモリの容量を有効に活用してもよい。 Therefore, when the values of two logs that the log collection unit 41 acquires consecutively in terms of time are the same, the capacity of the memory may be effectively utilized by storing only one of the error logs. .

(実施形態2)
上記実施形態1では、ログ収集部41は、第1の周期で通常ログを収集し、異常を検出したことを示す通知を受信後は、第1の周期よりも短い第2の周期で通常ログおよび異常ログを収集している。これに対し、本実施形態2では、ログ収集部41が、通知を受信した後も、第1の周期のままで通常ログを収集する構成を説明する。なお、実施形態2の電子制御装置の構成は、図1に示す電子制御装置1と同じであり、図1に示す符号を用いて説明する。 (Embodiment 2)
In the first embodiment described above, the log collection unit 41 collects the normal log in the first period, and after receiving the notification indicating that an abnormality has been detected, collects the normal log in the second period, which is shorter than the first period. and anomaly logs are collected. On the other hand, in the second embodiment, a configuration will be described in which the log collection unit 41 collects normal logs with the first period remaining unchanged even after receiving a notification. Note that the configuration of the electronic control device of the second embodiment is the same as that of the electronic control device 1 shown in FIG. 1, and will be described using the reference numerals shown in FIG.

図6は、本実施形態2によるログの収集を概略的に説明する図である。図5と同様、図6(a)は、監視部11において異常が検出される前の状態を、図6(b)は、異常が検出され、ログ収集部41が監視部11からの通知を受信した後の状態を示しており、通常ログが第1のメモリ20の第1の領域に、異常ログが第2の領域にそれぞれ保存される例を示している。ただし、本実施形態2についても、実施形態1と同様、通常ログと異常ログとが、同じ領域に保存される構成としてもよい。 FIG. 6 is a diagram schematically explaining log collection according to the second embodiment. As in FIG. 5, FIG. 6A shows the state before the abnormality is detected by the monitoring unit 11, and FIG. The state after reception is shown, and an example is shown in which the normal log is stored in the first area of the first memory 20 and the error log is stored in the second area. However, in the second embodiment, as in the first embodiment, the normal log and the error log may be stored in the same area.

図5(a)と同様、図6(a)では、ログ収集部41は、第1のメモリ20における第1の領域のみにアクセスし、第1の周期で通常ログを収集している。
これに対し、図6(b)では、図5(b)とは異なり、ログ収集部41は、第1の領域から第1の周期で通常ログを収集し、第2の領域から第2の周期で異常ログを収集する。つまり、ログ収集部41は、第1のメモリ20の異なる領域に保存されたそれぞれのログを、異なる周期で収集する。 As in FIG. 5(a), in FIG. 6(a), the log collection unit 41 accesses only the first area in the first memory 20 and collects normal logs in the first cycle.
On the other hand, in FIG. 6B, unlike FIG. Collect anomaly logs periodically. That is, the log collection unit 41 collects the logs saved in different areas of the first memory 20 at different cycles.

本実施形態によれば、ログ収集部41が短い周期である第2の周期で収集するログを異常ログのみとすることにより、第2の周期で収集されるログの情報量を抑制することができる。そのため、短い周期で実行されるログ収集処理によって発生する電子制御装置の負荷を低減することが可能となる。 According to the present embodiment, the log collection unit 41 collects only error logs in the second cycle, which is a short cycle, so that the amount of information in the logs collected in the second cycle can be suppressed. can. Therefore, it is possible to reduce the load on the electronic control unit caused by the log collection process executed at short intervals.

(実施形態3)
上記実施形態1では、ログ収集部41は、異常を検出したことを示す通知の受信後、所定の時間が経過するまで第2の周期で通常ログおよび異常ログを収集し、所定の時間が経過すると、ログの収集周期を第2の周期から第1の周期に変更して戻す。これに対し、本実施形態3では、所定の時間が経過する前、あるいは、所定の時間が経過した後に、ログの収集周期を第2の周期から第1の周期に変更する構成を説明する。 (Embodiment 3)
In the first embodiment described above, the log collection unit 41 collects the normal log and the abnormality log at the second cycle until the predetermined time elapses after receiving the notification indicating that an abnormality has been detected. Then, the log collection cycle is changed back from the second cycle to the first cycle. In contrast, in the third embodiment, a configuration will be described in which the log collection cycle is changed from the second cycle to the first cycle before or after the predetermined time has passed.

図7は、実施形態1、2の電子制御装置1を車両に組み込んだ状態を概略的に示している。図7に示す電子制御装置は、図1の電子制御装置1である。なお、図7は、電子制御装置1が自動車に搭載される車載用電子制御装置である例を説明しているが、本発明の電子制御装置1は、車両用電子制御装置に限定されるものではない。 FIG. 7 schematically shows a state in which the electronic control unit 1 of Embodiments 1 and 2 is incorporated in a vehicle. The electronic control unit shown in FIG. 7 is the electronic control unit 1 in FIG. Although FIG. 7 illustrates an example in which the electronic control unit 1 is a vehicle-mounted electronic control unit mounted on a vehicle, the electronic control unit 1 of the present invention is limited to a vehicle electronic control unit. is not.

図1に示すログ収集部41によって第1のメモリ20から収集され、第2のメモリ50に保存された異常ログは、電子制御装置1に発生した異常の原因分析などに使用される。このような分析をリアルタイムで行うため、第2のメモリ50に保存された異常ログは、通信ネットワークを介して、例えば、SOC(Security Operation Center)2に転送される。なお、SOC2には、異常ログとともに通常ログを転送してもよい。 Abnormality logs collected from the first memory 20 by the log collection unit 41 shown in FIG. In order to perform such analysis in real time, the error log stored in the second memory 50 is transferred to, for example, a SOC (Security Operation Center) 2 via a communication network. Incidentally, the normal log may be transferred to the SOC2 together with the error log.

SOC2は、転送された異常ログを分析することにより、異常の発生原因を特定したり、あるいは、外部からのサイバー攻撃を発見した場合には、電子制御装置1を搭載した車両のドライバーに対して、その旨を通知する。 By analyzing the transferred error log, the SOC 2 identifies the cause of the error, or if it discovers a cyber-attack from the outside, informs the driver of the vehicle equipped with the electronic control unit 1 of , to that effect.

SOC2の分析はリアルタイムで行われるが、異常の発生原因を早期に特定できないことや、異常の内容が外部からのサイバー攻撃であって、サイバー攻撃の対処に時間を要することがある。このような場合、所定の時間が経過した後も、ログ収集部41が第2の周期で異常ログを確実に収集することが望ましい。そこで、SOC2は、電子制御装置1に対して、第2の周期で異常ログを収集することを継続させる要求を送信する。電子制御装置1のログ収集部41は、通信ネットワークを介してSOC2からの要求を受信すると、監視部11からの通知を受信してから所定の時間が経過した後も、第2の周期で異常ログを収集することを継続する。 Analysis of SOC2 is performed in real time, but there are cases where the cause of the anomaly cannot be identified at an early stage, or when the content of the anomaly is a cyber-attack from the outside, and it takes time to deal with the cyber-attack. In such a case, it is desirable that the log collection unit 41 reliably collects the error log at the second cycle even after the predetermined time has passed. Therefore, the SOC 2 transmits a request to the electronic control unit 1 to continue collecting the error log at the second cycle. When the log collection unit 41 of the electronic control unit 1 receives the request from the SOC 2 via the communication network, even after a predetermined time has passed after receiving the notification from the monitoring unit 11, the abnormality is detected in the second cycle. Continue collecting logs.

また、SOC2において、異常の原因や、監視部11が検出した異常には危険性がないことが比較的容易に特定されることがある。この場合、異常ログを収集する必要性が低くなり、ひいては、ログ収集部41が短い周期である第2の周期で収集する必要性は低くなる。そこで、SOC2は、電子制御装置1に対して、第2の周期で異常ログを収集することを停止させる要求を送信する。電子制御装置1のログ収集部41は、通信ネットワークを介してSOC2からの要求を受信すると、監視部11からの通知を受信してから所定の時間が経過していなくとも、ログを収集する周期を、第2の周期から第1の周期に変更する。
なお、ログ収集部41は、第2の周期でログを収集する所定の時間を定めず、SOC2から第2の周期で異常ログを収集することを停止させる要求を受信するまで、第2の周期でログの収集を継続する構成としてもよい。 In addition, in SOC2, the cause of the abnormality and the absence of danger in the abnormality detected by the monitoring unit 11 may be identified relatively easily. In this case, the need to collect error logs is reduced, and the need for log collection unit 41 to collect in the short second cycle is reduced. Therefore, the SOC 2 transmits a request to the electronic control unit 1 to stop collecting the error log at the second cycle. When the log collection unit 41 of the electronic control unit 1 receives the request from the SOC 2 via the communication network, even if a predetermined time has not passed since receiving the notification from the monitoring unit 11, the log collection cycle is changed from the second period to the first period.
Note that the log collection unit 41 does not set a predetermined time for collecting logs in the second cycle, and does not set the second cycle until it receives a request to stop collecting error logs in the second cycle from the SOC 2 . It is also possible to have a configuration in which log collection is continued with

上述した例では、電子制御装置1が搭載された車両の外部に設けられたSOC2からの要求に基づいて、ログ収集部41は所定の時間よりも前または後にログの収集周期を第2の周期から第1の周期に変更する処理を行っている。しかしながら、ログ収集部41は、例えば、車内に搭載された他の電子制御装置から送信された要求に基づいて、ログの収集周期を第1の周期に変更する処理をおこなってもよい。あるいは、電子制御装置1を監視している監視部11が、第2の周期で異常ログを収集することを継続させる要求や、第2の周期で異常ログを収集することを停止させる要求を生成して、ログ収集部41に送信してもよい。 In the above example, based on a request from the SOC 2 provided outside the vehicle in which the electronic control unit 1 is mounted, the log collection unit 41 changes the log collection cycle to the second cycle before or after the predetermined time. to the first period. However, the log collection unit 41 may perform a process of changing the log collection cycle to the first cycle, for example, based on a request transmitted from another electronic control device mounted in the vehicle. Alternatively, the monitoring unit 11 that monitors the electronic control unit 1 generates a request to continue collecting the error log in the second period or a request to stop collecting the error log in the second period. and may be transmitted to the log collection unit 41 .

本実施形態によれば、異常ログの分析状態に応じて、所定の時間の経過前、または、経過後であっても、ログを収集する周期を適宜変更することが可能となる。 According to the present embodiment, it is possible to appropriately change the log collection cycle before or after a predetermined period of time has elapsed, depending on the analysis state of the error log.

(総括)
以上、本発明の実施形態における各電子制御装置の特徴について説明した。 (Summary)
The features of each electronic control unit according to the embodiment of the present invention have been described above.

上記実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。 Since the terms used in the above embodiment are examples, they may be replaced with synonymous terms or terms including synonymous functions.

実施形態の説明に用いたブロック図は、装置等の構成を機能毎に分類および整理したものである。これらの機能ブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、および当該方法を実現するプログラムの発明の開示としても把握できるものである。 The block diagrams used to describe the embodiments are obtained by classifying and arranging the configurations of devices and the like for each function. These functional blocks are realized by any combination of hardware or software. Moreover, since the block diagram shows the function, it can also be understood as disclosure of the invention of the method and the invention of the program for realizing the method.

各実施形態に記載した処理、フロー、および方法として把握できる機能ブロックについては、一のステップで他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えても良い。 The order of the functional blocks that can be grasped as the processes, flows, and methods described in each embodiment may be changed unless there is a constraint such as one step using the result of another step.

各実施形態、および本発明で使用する「第1」「第2」の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。 The terms "first" and "second" used in each embodiment and the present invention are used to distinguish two or more configurations and methods of the same kind, and do not limit the order or superiority.

本発明は、各実施形態で説明した構成および機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記憶媒体に記憶した本発明を実現するためのプログラム、およびこれを実行可能な専用又は汎用CPUおよびメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。 The present invention can be realized not only by dedicated hardware having the configuration and functions described in each embodiment, but also by a program for realizing the present invention stored in a storage medium such as a memory or a hard disk, and a program capable of executing the program. It can also be realized as a combination with general-purpose hardware having a dedicated or general-purpose CPU and memory.

専用や汎用のハードウェアの記憶媒体(外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、内部記憶装置(RAM、ROM等))に格納されるプログラムは、記憶媒体を介して、あるいは記憶媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。 Programs stored in dedicated or general-purpose hardware storage media (external storage devices (hard disk, USB memory, CD/BD, etc.), internal storage devices (RAM, ROM, etc.)) It is also possible to provide dedicated or general-purpose hardware from a server via a communication line without using a medium. This allows us to always provide the latest features through program upgrades.

本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。 Although the electronic control device of the present invention has been described as an on-vehicle electronic control device that is mainly mounted on automobiles, it can be applied to general mobile objects such as motorcycles, ships, railroads, and aircraft. Moreover, it is applicable not only to mobile objects but also to general products including microcomputers.

1 電子制御装置、11 監視部、20 第1のメモリ、41 ログ収集部、50 第2のメモリ 1 Electronic Control Unit 11 Monitoring Unit 20 First Memory 41 Log Collection Unit 50 Second Memory

Claims (12)

非セキュア領域とセキュア領域とを有する電子制御装置(1)であって、
前記非セキュア領域は、
当該電子制御装置に発生した異常を検出し、前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信する監視部(11)と、
前記異常ログおよび当該電子制御装置が取得するその他のログである通常ログを保存する第1のメモリ(20)と、
を有し、
前記セキュア領域は、
前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集するログ収集部(41)と、
前記ログ収集部が収集した前記通常ログおよび前記異常ログを保存する第2のメモリ(50)と、
を有する、電子制御装置。 An electronic control device (1) having a non-secure area and a secure area,
The non-secure area is
a monitoring unit (11) that detects an abnormality occurring in the electronic control device, generates an abnormality log indicating the abnormality, and transmits a notification indicating that the abnormality has been detected to the secure area;
a first memory (20) for storing the normal log, which is the error log and other logs acquired by the electronic control device;
has
The secure area is
The normal log is collected from the first memory in a first period before receiving the notification, and the abnormal log is collected in a second period shorter than the first period after receiving the notification. a log collection unit (41);
a second memory (50) for storing the normal log and the error log collected by the log collection unit;
an electronic control unit. 前記ログ収集部は、前記通知の受信後は前記通常ログおよび前記異常ログを前記第2の周期でそれぞれ収集する、
請求項1記載の電子制御装置。 After receiving the notification, the log collection unit collects the normal log and the error log at the second cycle.
The electronic control unit according to claim 1. 前記第1のメモリは、前記通常ログを保存する第1の領域と、前記異常ログを保存する第2の領域とを有し、
前記ログ収集部は、前記通知の受信後は、前記第1の領域から前記第1の周期で前記通常ログを収集するとともに、前記第2の領域から前記第2の周期で前記異常ログを収集する、
請求項1記載の電子制御装置。 The first memory has a first area for storing the normal log and a second area for storing the error log,
After receiving the notification, the log collection unit collects the normal log from the first area in the first cycle, and collects the error log from the second area in the second cycle. do,
The electronic control unit according to claim 1. 前記監視部は、前記通知の送信後、所定の時間が経過するまで、前記異常である第1の異常とは異なる第2の異常を検出したことを示す通知を送信しない、
請求項1記載の電子制御装置。 The monitoring unit does not transmit a notification indicating that a second abnormality different from the first abnormality, which is the abnormality, is detected until a predetermined time has elapsed after transmission of the notification.
The electronic control unit according to claim 1. 前記ログ収集部は、前記通知の受信後、所定の時間が経過するまで、前記第2の周期で前記異常ログを収集する、
請求項1記載の電子制御装置。 The log collection unit collects the error log at the second cycle until a predetermined time elapses after receiving the notification.
The electronic control unit according to claim 1. 前記ログ収集部は、前記通知の受信後、前記第2の周期で前記異常ログを収集することを継続させる継続要求を受信した場合、前記所定の時間の経過後も前記第2の周期で前記異常ログを収集する、
請求項5記載の電子制御装置。 When the log collection unit receives a continuation request to continue collecting the error log in the second cycle after receiving the notification, the log collection unit keeps the second cycle even after the predetermined time has elapsed. collect anomaly logs,
6. The electronic control unit according to claim 5. 当該電子制御装置は、車両に搭載された車載電子制御装置であり、
前記継続要求は、前記車両の外部から送信される、
請求項6記載の電子制御装置。 The electronic control device is an in-vehicle electronic control device mounted on a vehicle,
the continuation request is transmitted from outside the vehicle;
7. The electronic control unit according to claim 6. 前記ログ収集部は、前記通知の受信後、前記第2の周期で前記異常ログを収集することを停止させる停止要求を受信するまで、前記第2の周期で前記異常ログを収集する、
請求項1記載の電子制御装置。 After receiving the notification, the log collection unit collects the error log in the second cycle until receiving a stop request to stop collecting the error log in the second cycle.
The electronic control unit according to claim 1. 当該電子制御装置は、車両に搭載された車載電子制御装置であり、
前停止記要求は、前記車両の外部から送信される、
請求項8記載の電子制御装置。 The electronic control device is an in-vehicle electronic control device mounted on a vehicle,
the previous stop request is sent from outside the vehicle;
The electronic control unit according to claim 8. 前記異常ログのうち、前記ログ収集部が時間的に連続して収集した第1の異常ログと第2の異常ログとが同一の場合、前記第2のメモリは前記第1の異常ログのみを保存する、
請求項1記載の電子制御装置。 If the first error log and the second error log collected successively by the log collection unit are the same among the error logs, the second memory stores only the first error log. save,
The electronic control unit according to claim 1. 非セキュア領域とセキュア領域とを有する電子制御装置で実行されるログ収集方法であって、
前記非セキュア領域において、
前記電子制御装置に発生した異常を検出し、
前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信し、
前記異常ログおよび前記電子制御装置が取得するその他のログである通常ログを、前記非セキュア領域に設けられた第1のメモリに保存し、
前記セキュア領域において、
前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集し、
収集した前記通常ログおよび前記異常ログを、前記セキュア領域に設けられた第2のメモリに保存する、
ログ収集方法。 A log collection method executed by an electronic control device having a non-secure area and a secure area,
In the non-secure area,
Detecting an abnormality that occurred in the electronic control device,
generating an anomaly log indicating the anomaly and transmitting a notification indicating that the anomaly has been detected to the secure area;
saving the normal log, which is the error log and other logs acquired by the electronic control device, in a first memory provided in the non-secure area;
In the secure area,
The normal log is collected from the first memory in a first period before receiving the notification, and the abnormal log is collected in a second period shorter than the first period after receiving the notification. ,
storing the collected normal log and the abnormal log in a second memory provided in the secure area;
Log collection method. 非セキュア領域とセキュア領域とを有する電子制御装置
前記非セキュア領域において、
前記電子制御装置に発生した異常を検出するステップと
前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信するステップと
前記異常ログおよび前記電子制御装置が取得するその他のログである通常ログを、前記非セキュア領域に設けられた第1のメモリに保存するステップと、を実行させ
前記セキュア領域において、
前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集するステップと
収集した前記通常ログおよび前記異常ログを、前記セキュア領域に設けられた第2のメモリに保存するステップとを実行させる、
ログ収集プログラム。
An electronic controller having a non-secure area and a secure area,
In the non-secure area,
a step of detecting an abnormality that has occurred in the electronic control device;
generating an anomaly log indicating the anomaly and transmitting a notification indicating that the anomaly has been detected to the secure area;
saving the normal log, which is the error log and other logs acquired by the electronic control device, in a first memory provided in the non-secure area;
In the secure area,
The normal log is collected from the first memory in a first period before receiving the notification, and the abnormal log is collected in a second period shorter than the first period after receiving the notification. a step ;
a step of storing the collected normal log and the abnormal log in a second memory provided in the secure area ;
A log collection program.
JP2019021151A 2019-02-08 2019-02-08 electronic controller Active JP7183841B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019021151A JP7183841B2 (en) 2019-02-08 2019-02-08 electronic controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019021151A JP7183841B2 (en) 2019-02-08 2019-02-08 electronic controller

Publications (2)

Publication Number Publication Date
JP2020129238A JP2020129238A (en) 2020-08-27
JP7183841B2 true JP7183841B2 (en) 2022-12-06

Family

ID=72174569

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019021151A Active JP7183841B2 (en) 2019-02-08 2019-02-08 electronic controller

Country Status (1)

Country Link
JP (1) JP7183841B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007326425A (en) 2006-06-07 2007-12-20 Fujitsu Ten Ltd Communication controlling unit, trouble analyzing center, and trouble analyzing method
JP2012198796A (en) 2011-03-22 2012-10-18 Nec Corp Log collection system, device, method and program
JP2013533556A (en) 2010-07-08 2013-08-22 シマンテック コーポレーション Techniques for interacting with guest virtual machines
WO2018079439A1 (en) 2016-10-27 2018-05-03 日本電気株式会社 Incident effect range estimation device, incident effect range estimation method, storage medium, and system
WO2018127790A2 (en) 2017-01-05 2018-07-12 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007326425A (en) 2006-06-07 2007-12-20 Fujitsu Ten Ltd Communication controlling unit, trouble analyzing center, and trouble analyzing method
JP2013533556A (en) 2010-07-08 2013-08-22 シマンテック コーポレーション Techniques for interacting with guest virtual machines
JP2012198796A (en) 2011-03-22 2012-10-18 Nec Corp Log collection system, device, method and program
WO2018079439A1 (en) 2016-10-27 2018-05-03 日本電気株式会社 Incident effect range estimation device, incident effect range estimation method, storage medium, and system
WO2018127790A2 (en) 2017-01-05 2018-07-12 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof

Also Published As

Publication number Publication date
JP2020129238A (en) 2020-08-27

Similar Documents

Publication Publication Date Title
US8601273B2 (en) Signed manifest for run-time verification of software program identity and integrity
US7917811B2 (en) Virtual computer system
US8364973B2 (en) Dynamic generation of integrity manifest for run-time verification of software program
US20060294596A1 (en) Methods, systems, and apparatus to detect unauthorized resource accesses
CN108255716B (en) Software evaluation method based on cloud computing technology
JP2009251967A (en) Multicore system
CA3111427A1 (en) Communication method, apparatus, computer-readable storage medium, and chip
CN115617610A (en) Kubernetes-based full-behavior monitoring method and system in bypass non-invasive application operation
CN101599113A (en) Driven malware defence method and device
EP3035227B1 (en) Method and device for monitoring data integrity in shared memory environment
WO2016127600A1 (en) Exception handling method and apparatus
CN111213144B (en) Single-chip system, method for operating a single-chip system and motor vehicle
US11915027B2 (en) Security and data logging of virtual machines
JP7183841B2 (en) electronic controller
US11455395B2 (en) Perform verification check in response to change in page table base register
CN111198832B (en) Processing method and electronic equipment
CN101639816A (en) Real-time tracking system of bus and corresponding tracking and debugging method
CN106030544B (en) Method for detecting memory of computer equipment and computer equipment
EP4036771A1 (en) Systems and methods for malware detection
CN115292077A (en) Kernel exception handling method and system
CN113468020A (en) Memory monitoring method and device, electronic equipment and computer readable storage medium
JP6164283B2 (en) Software safe stop system, software safe stop method, and program
JP5832408B2 (en) Virtual computer system and control method thereof
CN111240898A (en) Hypervisor-based black box implementation method and system
WO2020109252A1 (en) Test system and method for data analytics

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220628

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221107

R151 Written notification of patent or utility model registration

Ref document number: 7183841

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151