JP7196532B2 - Control device - Google Patents

Control device Download PDF

Info

Publication number
JP7196532B2
JP7196532B2 JP2018199896A JP2018199896A JP7196532B2 JP 7196532 B2 JP7196532 B2 JP 7196532B2 JP 2018199896 A JP2018199896 A JP 2018199896A JP 2018199896 A JP2018199896 A JP 2018199896A JP 7196532 B2 JP7196532 B2 JP 7196532B2
Authority
JP
Japan
Prior art keywords
processing unit
security
security processing
information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018199896A
Other languages
Japanese (ja)
Other versions
JP2020067802A (en
Inventor
康樹 大越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018199896A priority Critical patent/JP7196532B2/en
Publication of JP2020067802A publication Critical patent/JP2020067802A/en
Application granted granted Critical
Publication of JP7196532B2 publication Critical patent/JP7196532B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本開示は、通信線を介して他の装置と情報をやり取りしながら対象機器を制御する制御装置に関する。 The present disclosure relates to a control device that controls a target device while exchanging information with another device via a communication line.

従来、この種の制御装置として、中央処理部と、当該中央処理部からの実行依頼に応じてセキュリティ情報を使用したセキュリティ処理を実施するセキュリティ処理部と、セキュリティ処理部からはアクセス可能で中央処理部からはアクセスできないセキュア領域とセキュリティ処理部および中央処理部の双方からアクセス可能なユーザ領域とを有する不揮発性メモリと、セキュリティ処理部からはアクセス可能で中央処理部からはアクセスできないセキュアメモリとを含むものが知られている(例えば、特許文献1参照)。この制御装置において、不揮発性メモリのセキュア領域には複数のセキュリティ情報が記憶されており、セキュリティ処理部は、当該セキュア領域から複数のセキュリティ情報の一部を読み出してセキュアメモリに格納し、セキュリティ処理で使用するセキュリティ情報がセキュアメモリに記憶されている場合は、セキュアメモリからセキュリティ情報を読み出して使用する。これにより、セキュリティ処理の実行に際してセキュリティ処理部により使用される情報がセキュアメモリに格納されていれば、セキュリティ処理部が不揮発性メモリのセキュア領域にアクセスする必要がなくなるので、中央処理部とセキュリティ処理部とが不揮発性メモリに同時にアクセスするのを回避することができる。 Conventionally, this type of control device includes a central processing unit, a security processing unit that performs security processing using security information in response to an execution request from the central processing unit, and a central processing unit accessible from the security processing unit. a non-volatile memory having a secure area inaccessible from the internal processing unit and a user area accessible from both the security processing unit and the central processing unit; and a secure memory accessible from the security processing unit but inaccessible from the central processing unit. Those containing are known (see, for example, Patent Document 1). In this control device, a plurality of pieces of security information are stored in the secure area of the nonvolatile memory, and the security processing unit reads part of the plurality of pieces of security information from the secure area, stores the pieces in the secure memory, and performs the security processing. If the security information used in is stored in the secure memory, the security information is read from the secure memory and used. As a result, if information used by the security processing unit when executing security processing is stored in the secure memory, the security processing unit does not need to access the secure area of the nonvolatile memory. access to the non-volatile memory at the same time.

特開2018-106628号公報JP 2018-106628 A

しかしながら、特許文献1に記載された発明は、上述のようなセキュアメモリ(揮発性メモリ)の存在を前提としたものであり、コスト低減化を図るべく当該セキュアメモリが省略された制御装置には適用され得ない。そして、上述のようなセキュアメモリを含まない制御装置では、中央処理部とセキュリティ処理部とが不揮発性メモリに同時にアクセスするのを回避し得なくなり、他の装置からの情報に対するセキュリティ処理に遅延を生じてしまうおそれがある。 However, the invention described in Patent Document 1 is premised on the presence of the secure memory (volatile memory) as described above. cannot be applied. In a control device that does not include a secure memory as described above, it is impossible to prevent the central processing unit and the security processing unit from accessing the non-volatile memory at the same time, delaying security processing for information from other devices. It may occur.

そこで、本開示は、制御装置のコストアップを抑制しつつ、他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することを主目的とする。 Accordingly, a main object of the present disclosure is to suppress a delay in security processing for information exchanged with another device while suppressing an increase in the cost of a control device.

本開示の制御装置は、通信線を介して他の装置と情報をやり取りしながら対象機器を制御する制御装置において、制御プログラムを実行する中央処理部と、セキュリティ情報を用いて前記他の装置との間でやり取りされる前記情報に対するセキュリティ処理を実行するセキュリティ処理部と、前記中央処理部および前記セキュリティ処理部の双方からアクセス可能であり、前記制御プログラムの実行に用いられる情報および前記セキュリティ情報を格納する不揮発性メモリとを含み、前記中央処理部が、少なくとも前記セキュリティ処理部により前記セキュリティ処理が実行される間、前記不揮発性メモリへのアクセスを停止することを特徴とする A control device of the present disclosure is a control device that controls a target device while exchanging information with another device via a communication line. A security processing unit that executes security processing for the information exchanged between the central processing unit and the security processing unit, and is accessible from both the central processing unit and the security processing unit, and is used to execute the control program and the security information. and a non-volatile memory for storing security information, wherein the central processing unit suspends access to the non-volatile memory at least while the security processing is being performed by the security processing unit.

本開示の制御装置では、少なくともセキュリティ処理部によりセキュリティ処理が実行される間、中央処理部が不揮発性メモリへのアクセスを停止する。これにより、セキュリティ情報を格納するセキュリティ処理部に専用のメモリが制御装置から省略されていても、中央処理部とセキュリティ処理部とが不揮発性メモリに同時にアクセスするのを回避し、セキュリティ処理部の不揮発性メモリへのアクセスを優先させることができる。この結果、制御装置のコストアップを抑制しつつ、他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することが可能となる。 In the control device of the present disclosure, the central processing unit suspends access to the nonvolatile memory at least while the security processing unit is executing security processing. This prevents the central processing unit and the security processing unit from accessing the non-volatile memory at the same time even if a dedicated memory for the security processing unit storing security information is omitted from the control device. Priority can be given to access to non-volatile memory. As a result, it is possible to suppress delays in security processing for information exchanged with other devices while suppressing an increase in the cost of the control device.

また、前記セキュリティ処理部は、一定の周期で前記セキュリティ処理の実行を開始するものであってもよく、前記中央処理部は、前記不揮発性メモリへのアクセスの終了前であっても、前記セキュリティ処理部による前記セキュリティ処理の開始タイミングの予め定められた第1の後処理時間だけ前に前記不揮発性メモリへのアクセスを中断するものであってもよい。これにより、他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延をより確実に抑制することが可能となる。 Further, the security processing unit may start executing the security processing at regular intervals, and the central processing unit may perform the security processing even before the end of the access to the nonvolatile memory. The access to the non-volatile memory may be interrupted a predetermined first post-processing time before the start timing of the security processing by the processing unit. This makes it possible to more reliably suppress delays in security processing for information exchanged with other devices.

更に、前記中央処理部は、前記不揮発性メモリへのアクセスの中断後に該アクセスを再開する場合、前記セキュリティ処理部による前記セキュリティ処理の終了タイミングから予め定められた第2の後処理時間が経過した時点で前記アクセスを再開するものであってもよい。これにより、不揮発性メモリへのアクセス再開後に中央処理部に円滑にデータ処理を実行させることが可能となる。 Further, when resuming access to the non-volatile memory after interruption of access to the non-volatile memory, the central processing unit determines that a predetermined second post-processing time has elapsed from the end timing of the security processing by the security processing unit. The access may be resumed at a point in time. This enables the central processing unit to smoothly execute data processing after resuming access to the nonvolatile memory.

本開示の制御装置を含む車両の一例を示す概略構成図である。1 is a schematic configuration diagram showing an example of a vehicle including a control device of the present disclosure; FIG. 本開示の制御装置の中央処理部により実行されるメモリアクセス許否判定ルーチンの一例を示すフローチャートである。4 is a flowchart showing an example of a memory access permission/denial determination routine executed by the central processing unit of the control device of the present disclosure; 本開示の制御装置の動作状態を例示するタイムチャートである。4 is a time chart illustrating operating states of the control device of the present disclosure;

次に、図面を参照しながら本開示の発明を実施するための形態について説明する。 Next, a mode for carrying out the invention of the present disclosure will be described with reference to the drawings.

図1は、本開示の制御装置であるモータ電子制御装置(以下、「MGECU」という。)20を含む車両1の概略構成図である。同図に示す車両1は、炭化水素系の燃料と空気との混合気の爆発燃焼により動力を発生する内燃機関であるエンジン2と、シングルピニオン式のプラネタリギヤ3と、主に発電機として作動するモータジェネレータMG1と、主に走行用の動力や回生制動力を出力するモータジェネレータMG2と、蓄電装置(バッテリ)4と、当該蓄電装置4に接続されると共にモータジェネレータMG1およびMG2を駆動する電力制御装置(PCU)5とを含むハイブリッド車両である。モータジェネレータMG1,MG2は、何れも同期発電電動機(三相交流電動機)であり、蓄電装置4は、例えばリチウムイオン二次電池あるいはニッケル水素二次電池等である。電力制御装置5は、モータジェネレータMG1を駆動する第1インバータ51やモータジェネレータMG2を駆動する第2インバータ52、図示しない昇圧コンバータ等を含む。 FIG. 1 is a schematic configuration diagram of a vehicle 1 including a motor electronic control unit (hereinafter referred to as "MGECU") 20, which is a control device of the present disclosure. A vehicle 1 shown in the figure has an engine 2 which is an internal combustion engine that generates power by explosive combustion of a mixture of hydrocarbon fuel and air, a single pinion type planetary gear 3, and mainly operates as a generator. Motor generator MG1, motor generator MG2 that mainly outputs driving power and regenerative braking force, power storage device (battery) 4, and electric power control that is connected to power storage device 4 and drives motor generators MG1 and MG2. It is a hybrid vehicle including a device (PCU) 5. Motor generators MG1 and MG2 are both synchronous generator motors (three-phase AC motors), and power storage device 4 is, for example, a lithium-ion secondary battery or a nickel-hydrogen secondary battery. Power control device 5 includes a first inverter 51 that drives motor generator MG1, a second inverter 52 that drives motor generator MG2, a boost converter (not shown), and the like.

MGECU20は、車両1の全体を制御するハイブリッド電子制御装置(以下、「HVECU」という。)10等と協働して電力制御装置5を制御するように構成されている。図1に示すように、MGECU20は、HVECU10やエンジン2を制御する図示しないエンジン電子制御装置(エンジンECU)等と共に、LoおよびHiの2本の通信線(ワイヤーハーネス)を含むCANバスである共用通信線(多重通信バス)MBに接続されており、当該共用通信線MBを介してCAN通信により制御に必要な情報(通信フレーム)を相互にやり取りする。 The MGECU 20 is configured to control the power control device 5 in cooperation with a hybrid electronic control unit (hereinafter referred to as “HVECU”) 10 that controls the vehicle 1 as a whole. As shown in FIG. 1, the MGECU 20, together with the HVECU 10 and an engine electronic control unit (engine ECU) (not shown) for controlling the engine 2, shares a CAN bus including two Lo and Hi communication lines (wire harnesses). It is connected to a communication line (multiplex communication bus) MB, and exchanges information (communication frames) required for control by CAN communication via the shared communication line MB.

また、MGECU20は、LoおよびHiの2本の通信線(ワイヤーハーネス)を含むCANバスである専用通信線(ローカル通信バス)LBを介してHVECU10に個別に接続されており、当該専用通信線LBを介してHVECU10との間でCAN通信により制御に必要な情報(通信フレーム)をやり取りする。これにより、HVECU10とMGECU20との間で重要度の高い情報を速やかにやり取りすることが可能となる。本実施形態において、共用通信線MBにおける伝送速度と専用通信線LBにおける伝送速度とは同一である。ただし、共用通信線MBにおける伝送速度と専用通信線LBにおける伝送速度とは互いに異なっていてもよい。 The MGECU 20 is individually connected to the HVECU 10 via a dedicated communication line (local communication bus) LB, which is a CAN bus including two communication lines (wire harnesses) of Lo and Hi. Information (communication frames) necessary for control is exchanged with the HVECU 10 via CAN communication. As a result, it is possible to quickly exchange highly important information between the HVECU 10 and the MGECU 20 . In this embodiment, the transmission speed on the shared communication line MB and the transmission speed on the dedicated communication line LB are the same. However, the transmission speed on the shared communication line MB and the transmission speed on the dedicated communication line LB may be different from each other.

図1に示すように、MGECU20は、CPU(中央処理部)210、何れも図示しないROMおよびRAM(揮発性メモリ)、第1CANコントローラ211、第2CANコントローラ212、セキュリティ処理部(セキュアIP)214、不揮発性メモリ215等を含むマイクロコンピュータ(以下、「マイコン」という。)21と、マイコン21の第1CANコントローラ211および共用通信線MBに接続された第1CANトランシーバ251と、マイコン21の第2CANコントローラ212および専用通信線LBに接続された第2CANトランシーバ252とを含む。 As shown in FIG. 1, the MGECU 20 includes a CPU (central processing unit) 210, ROM and RAM (volatile memory) (not shown), a first CAN controller 211, a second CAN controller 212, a security processing unit (secure IP) 214, A microcomputer (hereinafter referred to as a "microcomputer") 21 including a nonvolatile memory 215 and the like, a first CAN controller 211 of the microcomputer 21, a first CAN transceiver 251 connected to the shared communication line MB, and a second CAN controller 212 of the microcomputer 21. and a second CAN transceiver 252 connected to the dedicated communication line LB.

マイコン21のCPU210は、当該マイコン21に接続された図示しないセンサの検出値やHVECU10等からの情報に基づいて、ROMに格納された電力制御装置5を作動させるための各種制御プログラムを実行する。また、CPU210は、HVECU10等に共用通信線MBを介して情報を送信する際、当該情報に応じた信号を第1CANトランシーバ251から共用通信線MBに出力させるように第1CANコントローラ211に指令信号を与える。更に、CPU210は、HVECU10等に専用通信線LBを介して情報を送信する際、当該情報に応じた信号を第2CANトランシーバ252から専用通信線LBに出力させるように第2CANコントローラ212に指令信号を与える。第1および第2CANコントローラ211,212は、CANプロトコルの機能を実現するものであり、CPU210からの指令信号に応じたデジタル信号を第1または第2CANトランシーバ251,252に与える。 The CPU 210 of the microcomputer 21 executes various control programs stored in the ROM for operating the power control device 5 based on the detected values of sensors (not shown) connected to the microcomputer 21 and information from the HVECU 10 and the like. Further, when transmitting information to the HVECU 10 or the like via the shared communication line MB, the CPU 210 issues a command signal to the first CAN controller 211 to output a signal corresponding to the information from the first CAN transceiver 251 to the shared communication line MB. give. Furthermore, when transmitting information to the HVECU 10 or the like via the dedicated communication line LB, the CPU 210 issues a command signal to the second CAN controller 212 to output a signal corresponding to the information from the second CAN transceiver 252 to the dedicated communication line LB. give. The first and second CAN controllers 211 and 212 implement CAN protocol functions, and provide digital signals to the first and second CAN transceivers 251 and 252 according to command signals from the CPU 210 .

また、第1および第2CANトランシーバ251,252は、それぞれ対応する第1または第2CANコントローラ211,212からのデジタル信号をCAN通信プロトコルに従う差動信号に変換して共用通信線MBまたは専用通信線LBに出力する。また、第1および第2CANトランシーバ251,252は、共用通信線MBまたは専用通信線LBからの差動信号をデジタル信号に変換して第1または第2CANコントローラ211,212に与え、第1および第2CANコントローラ211,212により受信された情報は、CPU210に与えられる。本実施形態において、第1および第2CANトランシーバ251,252等を介した情報の送受信処理は、予め定められた一定の周期T(例えば、1msec)で実行(開始)される。 Also, the first and second CAN transceivers 251 and 252 convert the digital signals from the corresponding first or second CAN controllers 211 and 212 into differential signals conforming to the CAN communication protocol, and transmit them to the shared communication line MB or the dedicated communication line LB. output to Also, the first and second CAN transceivers 251 and 252 convert the differential signal from the shared communication line MB or the dedicated communication line LB into a digital signal and apply it to the first or second CAN controllers 211 and 212 to Information received by the 2CAN controllers 211 and 212 is provided to the CPU 210 . In the present embodiment, information transmission/reception processing via the first and second CAN transceivers 251, 252, etc. is executed (started) at a predetermined constant period T (for example, 1 msec).

セキュリティ処理部214は、第1および第2CANトランシーバ251,252等を介した情報の送受信処理に同期して、すなわち一定の周期TでMGECU20とHVECU10等との間で送受信される情報に対するセキュリティ処理(認証処理)を実行する。すなわち、セキュリティ処理部214は、複数のECU間で共有される共通鍵といったセキュリティ情報や乱数等を用いてMGECU20から送信される情報に付与されるメッセージ認証コード(MAC)を生成する。また、セキュリティ処理部214は、第1、第2CANトランシーバ251,252等により受信された情報をCPU210から受け取り、当該情報に付与されたMACをセキュリティ情報に基づいて検証することで、いわゆるなりすまし攻撃等による情報の改ざんの有無の判定や、不正メッセージの処理等を実行する。 The security processing unit 214 performs security processing ( authentication process). That is, the security processing unit 214 generates a message authentication code (MAC) attached to information transmitted from the MGECU 20 using security information such as a common key shared among a plurality of ECUs, random numbers, and the like. Also, the security processing unit 214 receives information received by the first and second CAN transceivers 251, 252, etc. from the CPU 210, and verifies the MAC attached to the information based on the security information. It determines whether or not information has been falsified, and processes fraudulent messages.

不揮発性メモリ215は、CPU210およびセキュリティ処理部214の双方からアクセス可能となるようにバスを介して両者に接続されたフラッシュメモリである。不揮発性メモリ215には、各種制御プログラムやセキュリティ処理の実行に際してCPU210やセキュリティ処理部214により用いられる情報が格納される作業領域と、セキュリティ処理部214により用いられるセキュリティ情報が格納(記憶)される領域とが設けられている。すなわち、本実施形態において、セキュリティ処理部214には、揮発性メモリ等の専用メモリが設けられてはおらず、当該セキュリティ処理部214は、不揮発性メモリ215に格納されたセキュリティ情報を用いて上述のようなセキュリティ処理を実行する。なお、詳細な説明は省略するが、本実施形態の車両1では、HVECU10やエンジンECU等も、MGECU20と同様のセキュリティ処理を実行するように構成されている。 The nonvolatile memory 215 is a flash memory connected to both the CPU 210 and the security processing unit 214 via a bus so as to be accessible from both. The nonvolatile memory 215 stores (memorizes) a work area for storing information used by the CPU 210 and the security processing unit 214 when executing various control programs and security processing, and security information used by the security processing unit 214. area is provided. That is, in the present embodiment, the security processing unit 214 is not provided with a dedicated memory such as a volatile memory. perform security operations such as Although detailed description is omitted, in the vehicle 1 of the present embodiment, the HVECU 10, the engine ECU, and the like are also configured to perform security processing similar to that of the MGECU 20. FIG.

次に、図2および図3を参照しながら、MGECU20の動作について説明する。図2は、MGECU20のマイコン21のCPU210によって微小時間おきに繰り返し実行されるメモリアクセス許否判定ルーチンの一例を示すフローチャートである。 Next, the operation of the MGECU 20 will be described with reference to FIGS. 2 and 3. FIG. FIG. 2 is a flow chart showing an example of a memory access permission/prohibition determination routine repeatedly executed by the CPU 210 of the microcomputer 21 of the MGECU 20 at minute intervals.

図2に示すメモリアクセス許否判定ルーチンの開始に際し、CPU210は、上記情報の送受信処理が実行される周期Tを計時する送受信タイマの計時値tを取得する(ステップS100)。送受信タイマは、計時の開始後に計時値tが周期Tになるとリセットされて再度計時を開始するようにバードウェアまたはソフトウェアにより構成されたものである。次いで、CPU210は、ステップS100にて取得した計時値tがセキュリティ処理部214によるセキュリティ処理の実行に要する時間tmと予め定められた後処理時間(遅延時間、例えば50-300μsec程度)tpaとの和を上回っているか否かを判定する(ステップS110)。後処理時間tpaは、セキュリティ処理部214が不揮発性メモリ215にアクセスした後(データの読み書きを行った後)に当該不揮発性メモリ215へのデータの格納や作業領域からのデータの削除等に要する時間としてマイコン21の仕様等に応じて予め定められた時間である。 At the start of the memory access permission determination routine shown in FIG. 2, the CPU 210 acquires the clock value t of the transmission/reception timer that counts the cycle T for executing the transmission/reception processing of the above information (step S100). The transmission/reception timer is configured by hardware or software so that it is reset when the counted value t reaches the period T after starting time counting, and restarts time counting. Next, the CPU 210 determines that the time value t obtained in step S100 is the sum of the time tm required for the security processing unit 214 to execute security processing and a predetermined post-processing time (delay time, for example, about 50 to 300 μsec) tpa. is exceeded (step S110). The post-processing time tpa is required for storing data in the non-volatile memory 215 and deleting data from the work area after the security processing unit 214 accesses the non-volatile memory 215 (after reading and writing data). This time is predetermined according to the specifications of the microcomputer 21 or the like.

ステップS110にて計時値tが時間tmと後処理時間tpaとの和を上回っていると判定した場合(ステップS110:YES)、CPU210は、ステップS100にて取得した計時値tが上記周期Tから予め定められた後処理時間(遅延時間、例えば100-300μsec程度)tpbを減じた値未満であるか否かを判定する(ステップS120)。後処理時間tpbは、CPU210が不揮発性メモリ215にアクセスした後(データの読み書きを行った後)に当該不揮発性メモリ215へのデータの格納や作業領域からのデータの削除等に要する時間としてマイコン21の仕様等に応じて予め定められた時間である。 When it is determined in step S110 that the measured value t exceeds the sum of the time tm and the post-processing time tpa (step S110: YES), the CPU 210 determines that the measured value t obtained in step S100 It is determined whether or not it is less than a value obtained by subtracting a predetermined post-processing time (delay time, eg, about 100 to 300 μsec) tpb (step S120). The post-processing time tpb is the time required for storing data in the nonvolatile memory 215 and deleting data from the work area after the CPU 210 accesses the nonvolatile memory 215 (after reading and writing data). This time is predetermined according to the specifications of V.21.

ステップS120にて計時値tが周期Tから後処理時間tpbを減じた値未満であると判定した場合(ステップS120:YES)、CPU210は、当該CPU210の不揮発性メモリ215へのアクセスを許容すべくメモリアクセス許可フラグをオンし(ステップS130)、図2のルーチンを一旦終了させる。これに対して、ステップS110にて計時値tが時間tmと後処理時間tpaとの和以下であると判定した場合(ステップS110:NO)、およびステップS120にて計時値tが周期Tから後処理時間tpbを減じた値以上であると判定した場合(ステップS120:NO)、CPU210は、当該CPU210の不揮発性メモリ215へのアクセスを禁止すべくメモリアクセス許可フラグをオフし(ステップS140)、図2のルーチンを一旦終了させる。 If it is determined in step S120 that the measured value t is less than the value obtained by subtracting the post-processing time tpb from the period T (step S120: YES), the CPU 210 permits access to the nonvolatile memory 215 by the CPU 210. The memory access permission flag is turned on (step S130), and the routine of FIG. 2 is terminated. On the other hand, if it is determined in step S110 that the measured value t is equal to or less than the sum of the time tm and the post-processing time tpa (step S110: NO), and if the measured value t is after the period T in step S120 If it is determined to be equal to or greater than the value obtained by subtracting the processing time tpb (step S120: NO), the CPU 210 turns off the memory access permission flag to prohibit the CPU 210 from accessing the nonvolatile memory 215 (step S140), The routine of FIG. 2 is terminated once.

上述のような図2のメモリアクセス許否判定ルーチンが実行される結果、MGECU20では、図3に示すように、少なくともセキュリティ処理部214によりセキュリティ処理が実行される間、CPU210が不揮発性メモリ215へのアクセスを停止する。より詳細には、CPU210は、セキュリティ処理部214によるセキュリティ処理の開始タイミングの後処理時間tpbだけ前から、当該セキュリティ処理の終了後に後処理時間tpaが経過するまでの間(図3における時刻t1-t2間、時刻t3-t4間、時刻t5-t6間)、不揮発性メモリ215へのアクセスを停止する。これにより、セキュリティ情報を格納するセキュリティ処理部214に専用のメモリがMGCEU20から省略されていても、CPU210とセキュリティ処理部214とが不揮発性メモリ215に同時にアクセスするのを回避し、セキュリティ処理部214の不揮発性メモリ215へのアクセスを優先させることができる。この結果、MGECU20のコストアップを抑制しつつ、HVECU10等の他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することが可能となる。 As a result of executing the memory access permission/denial determination routine of FIG. 2 as described above, in the MGECU 20, as shown in FIG. Stop access. More specifically, CPU 210 controls a period from a post-processing time tpb before the start timing of security processing by security processing unit 214 to a post-processing time tpa after the end of the security processing (time t1- in FIG. 3). t2, time t3-t4, and time t5-t6), access to the nonvolatile memory 215 is stopped. This prevents the CPU 210 and the security processing unit 214 from accessing the non-volatile memory 215 at the same time, even if a dedicated memory for the security processing unit 214 that stores security information is omitted from the MGCEU 20 . access to the non-volatile memory 215 of each can be prioritized. As a result, it is possible to suppress a delay in security processing for information exchanged with other devices such as the HVECU 10 while suppressing an increase in the cost of the MGECU 20 .

また、MGECU20において、CPU210は、不揮発性メモリ215へのアクセス(データの読み書き)の終了前であっても、セキュリティ処理部214によるセキュリティ処理の開始タイミングの後処理時間(第1の後処理時間)tpbだけ前(図3における時刻t1,t3,t5)に不揮発性メモリ215へのアクセスを中断する。更に、CPU210は、不揮発性メモリ215へのアクセスの中断後に当該アクセスを再開する場合、セキュリティ処理部214によるセキュリティ処理の終了タイミングから後処理時間(第2の後処理時間)tpaが経過した時点(図3における時刻t2,t4,t6)で不揮発性メモリ215へのアクセスを再開する。これにより、HVECU10等の他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延をより確実に抑制すると共に、不揮発性メモリ215へのアクセス再開後にCPU210に円滑にデータ処理を実行させることが可能となる。 Further, in the MGECU 20, the CPU 210 sets the post-processing time (first post-processing time) at the security processing start timing by the security processing unit 214 even before the end of the access to the nonvolatile memory 215 (reading and writing of data). Access to the nonvolatile memory 215 is interrupted tpb earlier (time t1, t3, t5 in FIG. 3). Furthermore, when resuming the access to the nonvolatile memory 215 after the access to the nonvolatile memory 215 has been interrupted, the CPU 210 waits until the post-processing time (second post-processing time) tpa has elapsed from the end timing of the security processing by the security processing unit 214 ( Access to the nonvolatile memory 215 is resumed at times t2, t4, and t6 in FIG. As a result, delays in security processing for information exchanged with other devices such as the HVECU 10 can be more reliably suppressed, and the CPU 210 can be caused to smoothly execute data processing after access to the nonvolatile memory 215 is resumed. It becomes possible.

以上説明したように、本開示の制御装置としてのMGECU20は、共用通信線MBや専用通信線LBを介してHVECU10等の他の装置と情報をやり取りしながら電力制御装置5(対象機器)を制御するものであり、各種制御プログラムを実行するCPU210と、セキュリティ情報を用いてHVECU10等との間でやり取りされる情報に対するセキュリティ処理を実行するセキュリティ処理部214と、CPU210およびセキュリティ処理部214の双方からアクセス可能であって制御プログラムの実行に用いられる情報やセキュリティ情報を格納する不揮発性メモリ215とを含む。そして、CPU210は、少なくともセキュリティ処理部214によりセキュリティ処理が実行される間、不揮発性メモリ215へのアクセスを停止する(図2のステップS110:NO,S120:NO)。これにより、MGECU20のコストアップを抑制しつつ、HVECU10等の他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することが可能となる。 As described above, the MGECU 20 as the control device of the present disclosure controls the power control device 5 (target device) while exchanging information with other devices such as the HVECU 10 via the shared communication line MB and the dedicated communication line LB. A CPU 210 that executes various control programs, a security processing unit 214 that executes security processing for information exchanged between the HVECU 10 and the like using security information, and both the CPU 210 and the security processing unit 214 and a non-volatile memory 215 that is accessible and stores security information and information used in the execution of the control program. Then, the CPU 210 suspends access to the nonvolatile memory 215 at least while the security processing unit 214 is executing the security processing (steps S110: NO, S120: NO in FIG. 2). This makes it possible to suppress delays in security processing for information exchanged with other devices such as the HVECU 10 while suppressing an increase in the cost of the MGECU 20 .

なお、上記実施形態において、後処理時間tpa,tpbは、それぞれ一定の値として例示されているが、これに限られるものではない。すなわち、後処理時間tpa,tpbは、CPU210の不揮発性メモリ215へのアクセスの中断回数や再開回数に応じてそれぞれ変更されてもよい。また、本開示の構成は、車両等に搭載されて共用通信線や専用通信線を介して他の装置と情報をやり取りする任意の制御装置に適用され得るものである。更に、MGECU20は、モータジェネレータMG1に対応したマイコンと、モータジェネレータMG2に対応したマイコンと含むものであってもよく、この場合、2つのマイコンの一方が上記MGECU20と同様に構成されてもよい。また、本開示の発明が適用される車両は、1モータ式のハイブリッド車両であってもよく、シリーズ式のハイブリッド車両であってもよく、プラグイン式のハイブリッド車両であってもよく、電気自動車であってもよく、走行用動力の発生源としてエンジン(内燃機関)のみを含む車両であってもよい。 In the above embodiment, the post-processing times tpa and tpb are exemplified as constant values, but they are not limited to this. That is, the post-processing times tpa and tpb may be changed according to the number of interruptions and restarts of access to the nonvolatile memory 215 by the CPU 210 . Also, the configuration of the present disclosure can be applied to any control device that is mounted on a vehicle or the like and exchanges information with other devices via a shared communication line or a dedicated communication line. Further, MGECU 20 may include a microcomputer corresponding to motor generator MG1 and a microcomputer corresponding to motor generator MG2. In this case, one of the two microcomputers may be configured in the same manner as MGECU 20. Further, the vehicle to which the invention of the present disclosure is applied may be a one-motor hybrid vehicle, a series hybrid vehicle, a plug-in hybrid vehicle, or an electric vehicle. or a vehicle that includes only an engine (internal combustion engine) as a source of power for running.

そして、本開示の発明は上記実施形態に何ら限定されるものではなく、本開示の外延の範囲内において様々な変更をなし得ることはいうまでもない。更に、上記発明を実施するための形態は、あくまで課題を解決するための手段の欄に記載された発明の具体的な一形態に過ぎず、課題を解決するための手段の欄に記載された発明の要素を限定するものではない。 It goes without saying that the invention of the present disclosure is not limited to the above-described embodiments, and various modifications can be made within the scope of the present disclosure. Furthermore, the above-described embodiment of the invention is merely a specific embodiment of the invention described in the column of Means for Solving the Problems, and is described in the column of Means for Solving the Problems. It is not intended to limit the inventive elements.

本開示の発明は、制御装置の製造産業等において利用可能である。 INDUSTRIAL APPLICABILITY The invention of the present disclosure can be used in the manufacturing industry of control devices and the like.

1 車両、2 エンジン、3 プラネタリギヤ、4 蓄電装置、5 電力制御装置(PCU)、51 第1インバータ、52 第2インバータ、10 ハイブリッド電子制御装置(HVECU)、20 モータ電子制御装置(MGECU)、21 マイクロコンピュータ(マイコン)、210 CPU(中央処理部)、211 第1CANコントローラ、212 第2CANコントローラ、214 セキュリティ処理部、215 不揮発性メモリ、251 第1CANトランシーバ、252 第2CANトランシーバ、LB 専用通信線、MB 共用通信線、MG1,MG2 モータジェネレータ。 1 Vehicle 2 Engine 3 Planetary Gear 4 Power Storage Device 5 Power Control Unit (PCU) 51 First Inverter 52 Second Inverter 10 Hybrid Electronic Control Unit (HVECU) 20 Motor Electronic Control Unit (MGECU) 21 Microcomputer (microcomputer), 210 CPU (central processing unit), 211 first CAN controller, 212 second CAN controller, 214 security processing unit, 215 nonvolatile memory, 251 first CAN transceiver, 252 second CAN transceiver, LB dedicated communication line, MB Common communication line, MG1, MG2 motor generator.

Claims (1)

通信線を介して他の装置と情報をやり取りしながら対象機器を制御する制御装置において、
制御プログラムを実行する中央処理部と、
セキュリティ情報を用いて前記他の装置との間でやり取りされる前記情報に対するセキュリティ処理を実行するセキュリティ処理部と、
前記中央処理部および前記セキュリティ処理部の双方からアクセス可能であり、前記制御プログラムの実行に用いられる情報および前記セキュリティ情報を格納する不揮発性メモリと、
を備え、
前記セキュリティ処理部は、一定の周期で前記セキュリティ処理の実行を開始し、
前記中央処理部は、少なくとも前記セキュリティ処理部により前記セキュリティ処理が実行される間、前記不揮発性メモリへのアクセスを停止すると共に、前記不揮発性メモリへのアクセスの終了前であっても、前記セキュリティ処理部による前記セキュリティ処理の開始タイミングの予め定められた後処理時間だけ前に前記不揮発性メモリへのアクセスを中断することを特徴とする制御装置。

In a control device that controls a target device while exchanging information with another device via a communication line,
a central processing unit that executes a control program;
a security processing unit that uses the security information to perform security processing on the information exchanged with the other device;
a non-volatile memory that is accessible from both the central processing unit and the security processing unit and stores information used to execute the control program and the security information;
with
The security processing unit starts executing the security processing at regular intervals,
The central processing unit suspends access to the nonvolatile memory at least while the security processing is being executed by the security processing unit , and even before the end of access to the nonvolatile memory, the security processing unit stops access to the nonvolatile memory. A control device that interrupts access to the nonvolatile memory a predetermined post-processing time before the start timing of the security processing by a processing unit.
JP2018199896A 2018-10-24 2018-10-24 Control device Active JP7196532B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018199896A JP7196532B2 (en) 2018-10-24 2018-10-24 Control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018199896A JP7196532B2 (en) 2018-10-24 2018-10-24 Control device

Publications (2)

Publication Number Publication Date
JP2020067802A JP2020067802A (en) 2020-04-30
JP7196532B2 true JP7196532B2 (en) 2022-12-27

Family

ID=70390403

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018199896A Active JP7196532B2 (en) 2018-10-24 2018-10-24 Control device

Country Status (1)

Country Link
JP (1) JP7196532B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001216284A (en) 1999-11-25 2001-08-10 Denso Corp Electronic control unit
WO2006022161A1 (en) 2004-08-25 2006-03-02 Nec Corporation Information communication device, and program execution environment control method
US20080155257A1 (en) 2006-12-20 2008-06-26 Spansion Llc Near field communication, security and non-volatile memory integrated sub-system for embedded portable applications
JP2015119357A (en) 2013-12-18 2015-06-25 トヨタ自動車株式会社 Information processor
JP2017054243A (en) 2015-09-08 2017-03-16 株式会社東芝 Driver device, information processing system, program, and method
JP2018106628A (en) 2016-12-28 2018-07-05 ルネサスエレクトロニクス株式会社 Semiconductor apparatus, security processing executing apparatus, and security processing executing method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001216284A (en) 1999-11-25 2001-08-10 Denso Corp Electronic control unit
WO2006022161A1 (en) 2004-08-25 2006-03-02 Nec Corporation Information communication device, and program execution environment control method
US20080155257A1 (en) 2006-12-20 2008-06-26 Spansion Llc Near field communication, security and non-volatile memory integrated sub-system for embedded portable applications
JP2015119357A (en) 2013-12-18 2015-06-25 トヨタ自動車株式会社 Information processor
JP2017054243A (en) 2015-09-08 2017-03-16 株式会社東芝 Driver device, information processing system, program, and method
JP2018106628A (en) 2016-12-28 2018-07-05 ルネサスエレクトロニクス株式会社 Semiconductor apparatus, security processing executing apparatus, and security processing executing method

Also Published As

Publication number Publication date
JP2020067802A (en) 2020-04-30

Similar Documents

Publication Publication Date Title
CN102265261B (en) Electronic control system, electronic control units and method of synchronization control, for vehicles
JP5671388B2 (en) Communication system and communication apparatus
US10215145B2 (en) Dual controller area network (CAN) starter
US9002533B2 (en) Message transmission control systems and methods
JP7196532B2 (en) Control device
KR101371481B1 (en) Method and system for controlling maximum speed limit of engine and motor of hybrid electrical vehicle
JP2015109752A (en) Charge control device
EP2883753B1 (en) Alternator controller
TWI569995B (en) Information gateway and its interference with vehicle operation
JP7131431B2 (en) Control device and its reset method
JP2020022019A (en) Vehicle system
JP2010113419A (en) Multicore controller
US20220353075A1 (en) System and method for establishing an in-vehicle cryptographic manager
JP3936341B2 (en) Vehicle and control method thereof
JP2022031021A (en) On-vehicle network system
JP2019216360A (en) Communication system and vehicle
KR20200041153A (en) Apparatus and method for controlling driving of vehicle, and vehicle system
JP2020061004A (en) Information processor
JP2012103802A (en) Information processor and electronic control unit
JP2007142694A (en) Lin communication apparatus and lin communication control method
JP5817252B2 (en) Control device, control system, control method, program, and medium
JP7279668B2 (en) Automotive controller
US10220832B2 (en) Vehicle and method for controlling rotary electric machine
CN103863247A (en) Vehicle anti-theft system
JP2023003574A (en) Control device, control method, and control program

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20200401

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210921

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220705

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221128

R151 Written notification of patent or utility model registration

Ref document number: 7196532

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151