WO2021205655A1

WO2021205655A1 - 車載制御システムおよび異常診断方法

Info

Publication number: WO2021205655A1
Application number: PCT/JP2020/016141
Authority: WO
Inventors: 裕司奥山
Original assignee: 三菱電機株式会社
Priority date: 2020-04-10
Filing date: 2020-04-10
Publication date: 2021-10-14
Also published as: DE112020007051T5; JP7229426B2; CN115398432A; US20230069461A1; JPWO2021205655A1

Abstract

車載機器を制御する複数のＥＣＵが相互に通信可能に接続された車載制御システムであって、複数のＥＣＵそれぞれが健全なときの、制御機能に関連する元情報（Ｄｓｏ）を保管する元情報データベース（２２１）、元情報（Ｄｓｏ）のなかから、異なるＥＣＵを対象とした情報を組み合わせた情報組を設定する情報組設定部（２１７）、元情報（Ｄｓｏ）に対応する現在情報を情報組で対象としたＥＣＵそれぞれから収集する情報収集部（２１１）、および情報組を引数として評価関数ｆで算出した正解情報Ｄｃと、情報組に対応する現在情報を引数として評価関数ｆで算出した評価値Ｖｅとの一致度が基準よりも低い場合に、対象としたＥＣＵのいずれかに異常があることを検知する異常検知部（２１３）、を備えるように構成した。

Description

車載制御システムおよび異常診断方法

　本願は、車載制御システムおよび異常診断方法に関するものである。

　車両には、ＥＣＵ（Electronic Control Unit）と呼ばれる複数の車載制御装置が搭載され、他のＥＣＵ、または車両外の通信機器と有線または無線によって接続されている。そして、単独あるいは連携により、車載機器を制御し、車両の走る、曲がる、止まるといった走行に関わる基本的な機能、車内環境の制御機能、ナビゲーションなどの情報提供機能を実現している。

　一方、悪意のある者が、不正な情報をＥＣＵへ搭載させるようなセキュリティ攻撃を行うことがあり、このセキュリティ攻撃が、車載機器に異常な挙動を引き起こす可能性がある。それに対し、新規サービスの提供を開始する前に、実施したテスト結果に応じて新規サービスの提供をするか否かを決定することにより、不正な新規サービスがプラグインされるのを防止できる技術が開示されている（例えば、特許文献１参照。）。

特開２０１６－１６３２４４号公報（段落００３９～００８３、図７～図９）

　しかしながら、開示された技術は、ＥＣＵの追加、あるいはＥＣＵへの機能変更によって追加されるサービスの認証を対象としている。そのため、サービスを実行するためのプラットフォームを改ざんする攻撃、あるいはサービスを悪用されることによって不正なサービスを実行させるような攻撃など、サービスの認証のみでは防ぐことができない攻撃への対応は想定されていない。もちろん、個々のＥＣＵをセキュアブートさせることも考えられるが、セキュアブート用の暗号鍵の保管が必要になるとともに、起動時間が長くなり、かえって車両制御を妨げる可能性がある。

　本願は、上記のような課題を解決するための技術を開示するものであり、車両制御に関するセキュリティ攻撃を受けても、健全に車両制御を実行できることを目的とする。

　本願に開示される車載制御システムは、車載機器を制御する複数の制御装置が相互に通信可能に接続された車載制御システムであって、前記複数の制御装置それぞれが健全なときの、制御機能を実現するためのプログラムと前記制御機能における動作仕様のいずれかに関連する元情報を保管する元情報保管部、前記元情報のなかから、異なる制御装置を対象とした情報を組み合わせ、関数の引数として用いる情報組を設定する情報組設定部、前記元情報に対応する現在の情報を前記情報組で対象とした制御装置それぞれから現在情報として収集する情報収集部、および前記情報組を引数として前記関数で算出した正解値と、前記情報組に対応する前記現在情報を引数として前記関数で算出した評価値との一致度が基準よりも低い場合に、前記対象とした制御装置のいずれかに異常があることを検知する異常検知部、を備えたことを特徴とする。

　本願に開示される異常診断方法は、車載機器を制御する複数の制御装置が相互に通信可能に接続された車載制御システムの異常を診断する方法であって、前記複数の制御装置それぞれが健全なときの、制御機能を実現するためのプログラムと前記制御機能における動作仕様のいずれかに関連する元情報を保管する元情報保管ステップ、前記元情報のなかから、異なる制御装置を対象とした情報を組み合わせ、関数の引数として用いる情報組を設定する情報組設定ステップ、前記元情報に対応する現在の情報を前記情報組で対象とした制御装置それぞれから現在情報として収集する情報収集ステップ、および前記情報組を引数として前記関数で算出した正解値と、前記情報組に対応する前記現在情報を引数として前記関数で算出した評価値との一致度が基準よりも低い場合に、前記対象とした制御装置のいずれかに異常があることを検知する異常検知ステップ、を含むことを特徴とする。

　本願に開示される車載制御システム、あるいは異常診断方法によれば、複数のＥＣＵが有する情報の組み合わせに基づいて、ＥＣＵの健全性を確認するので、車両制御に関するセキュリティ攻撃を受けても、健全に車両制御を実行することができる。

実施の形態１にかかる車載制御システムの構成を説明するための、ドメインＥＣＵとその下位のＥＣＵそれぞれに形成した機能、および並列するドメインＥＣＵ等との接続関係を説明するためのブロック図である。実施の形態１にかかる車載制御システムの構成を説明するための、車両に搭載された複数のＥＣＵの接続関係を説明するための全体ブロック図である。実施の形態１にかかる車載制御システムの構成を説明するための、中央ＥＣＵと２つのドメインＥＣＵ、および下位のＥＣＵとの接続関係を説明するためのブロック図である。実施の形態１にかかる車載制御システムを構築するＥＣＵが備えるプログラム構成を説明するための模式図である。実施の形態１にかかる車載制御システムの動作を説明するためのフローチャートである。実施の形態１にかかる車載制御システムの構成を説明するための、ドメインＥＣＵと下位のＥＣＵとの間でのデータの送受信を示す模式図である。実施の形態１にかかる車載制御システムにおける、異常の有無の判断に用いる複数のデータの組み合わせ（情報組）と、判定結果の例を示す表形式の図である。実施の形態１にかかる車載制御システムを構成する各ＥＣＵの演算処理を実行する部分の構成例を示すブロック図である。

実施の形態１．
　図１～図８は、実施の形態１にかかる車載制御システムの構成、および動作について説明するためのものであり、図１は車載制御システムの構成を説明するための、中継装置であるドメインＥＣＵと、その下位に位置し、個別の制御機能を発現するＥＣＵそれぞれに形成した機能、および並列するドメインＥＣＵとの接続関係を説明するためのブロック図である。また、図２は車両に搭載された複数のＥＣＵの接続関係を説明するための全体ブロック図、図３は複数のＥＣＵのうち、中央ＥＣＵに連なる２つのドメインＥＣＵ、およびその下位のＥＣＵとの通信バスによる接続関係を説明するためのブロック図、図４はＥＣＵそれぞれが備えるプログラム構成を説明するための模式図である。

　そして、図５は車載制御システムの動作、つまり異常診断方法を説明するためのフローチャートである。また、図６はドメインＥＣＵと、その下位のＥＣＵとの間でのデータの送受信を示す模式図、図７は異常ＥＣＵを特定するために設定した複数のデータの組み合わせ（情報組）と、判定結果の例を示す表形式の図である。さらに、図８は車載制御システムを構成する各ＥＣＵの演算処理を実行する部分のハードウエア構成例を示すブロック図である。

　車両の制御を行う車載制御システムは、背景技術で述べたように、ＥＣＵと呼ばれる複数の制御装置それぞれが、他のＥＣＵ、または車両外の通信機器と有線または無線によって接続されることで構成される。本実施の形態１にかかる車載制御システムは、そのうち、図２に示すように、車両１００内に搭載された複数の制御装置（ＥＣＵ）で構成した車載制御システムを例にして説明する。なお、図２に示す車載制御システムは、実際には、図示していない構成も含まれているが、本実施の形態１の説明、とくに異常診断方法に直接関係しないものについては記載を省略している。

　車両１００内には、最上位の中央ＥＣＵ４００ａ、中継装置たるドメインＥＣＵ２００ａ～２００ｄ、ドメインＥＣＵ２００ａ～２００ｄに接続されるＥＣＵ３００ａ～３０４ａ、３００ｂ～３０２ｂ、３００ｃ～３０２ｃ、３００ｄ～３０２ｄが搭載されている。各ＥＣＵは、中央ＥＣＵ４００ａからツリー構造で接続され、例えば、図３に示すように、ＥＣＵｐ－１～ＥＣＵｐ－ｉは通信バスｐで、ＥＣＵｑ－１～ＥＣＵｑ－ｊは通信バスｑで、それぞれドメインＥＣＵ２００ａと接続され、相互に通信可能となっている。

　さらに、中継装置として機能するドメインＥＣＵ２００ａ～２００ｄは、例えば、ドメインＥＣＵ２００ａとドメインＥＣＵ２００ｂのように、中央ＥＣＵ４００ａを介さず、直接通信が可能な接続が施されている場合がある。なお、図示していないが車両１００は、車外にあるサーバー、あるいは車両１００とは異なる他の車両とも通信することができる。

　ドメインＥＣＵ２００ａ、あるいはドメインＥＣＵ２００ｂは、車両の前後左右中央のいずれかの領域にあるＥＣＵであり、車両左前方に配置された場合は、車両左前方にあるＥＣＵに接続されている。またドメインＥＣＵ２００ｂも同様に、配置される領域にあるＥＣＵと接続される。

　つぎに、各ＥＣＵに付与された車両制御、およびセキュリティ攻撃に対処するための構成要素の機能と動作について図１を用い、ドメインＥＣＵ２００ａとその直下のＥＣＵ３００ａを例にして説明する。一方、他のドメインＥＣＵ２００ｂ～２００ｄ、およびＥＣＵ３０１ａ～３０４とＥＣＵ３００ｂ～３０２ｂとＥＣＵ３００ｃ～３０２ｃとＥＣＵ３００ｄ～３０２ｄも、それぞれドメインＥＣＵ２００ａとＥＣＵ３００ａで説明したのと同様の機能を備えるものとする。そこで、個別のドメインＥＣＵ２００ａ～２００ｄを区別しない場合、まとめてドメインＥＣＵ２００と記載する。また、下位のＥＣＵについても個別に区別しない場合、これらをまとめて以降はＥＣＵ３００と記載する。さらには、ツリー構造における上下関係も区別しない場合、単にＥＣＵと表記する。

　＜ＥＣＵ３００ａ＞
　ＥＣＵ３００ａには、ＥＣＵ３００ごとに割り当てられた機能の発揮に用いられる最新のプログラムＤｐを保持する機能保持部３２０と、制御機能を発揮して車両制御を行う主制御部３１３を備えている。さらに、プログラムＤｐによる機能発揮の際の処理時間等を管理する動作管理部３１２と、プログラムＤｐの構成に関連するＥＣＵ３００ごとの個別現在情報Ｄｓｅを取得する情報取得部３１０と、取得した情報を他ＥＣＵに送信する送信部３１１を備えている。

　主制御部３１３は、機能保持部３２０に保持されたプログラムＤｐに基づき、自ＥＣＵ３００それぞれに割り当てられた車両制御に必要な機能を発現させる。例えば、ＥＣＵ３００ａが、車両のヘッドライトの制御を司るＥＣＵである場合、主制御部３１３はヘッドライトのオン／オフ、配光等を操作する。

　情報取得部３１０は、機能保持部３２０に現時点で保持されている最新のプログラムＤｐ、またはそれらを加工した情報を自ＥＣＵ３００の個別現在情報Ｄｓｅとして取得する機能を有する。プログラムＤｐについては、例えば、図４に示すようなプログラムＤｐの構成すべて、あるいは、スタートアップ、ブート、アプリケーションのいずれか、あるいはそれらを組み合わせたものでもよい。さらに、加工した情報としては、プログラムＤｐのチェックサム、ＣＲＣ（Cyclic Redundancy Check）、ハッシュ、暗号化した値、ＭＡＣ（Message Authentication Code：認証用の符号）、デジタル署名などでもよい。

　動作管理部３１２は、プログラムＤｐを実行した際の所定時刻ｔＡからｔＢ（＞ｔＡ）までの処理、その処理開始時刻、処理時間、複数の処理のシーケンス等、自己ＥＣＵでの動作に関する情報（動作情報Ｄｂ）を取得する機能を有する。また、このとき、処理あるいは処理群の時刻、または処理内容に紐づけて、その時点での車両状態をあわせて管理するようにしてもよい。

　送信部３１１は、情報取得部３１０が取得した自己ＥＣＵ３００の個別現在情報Ｄｓｅ、あるいは動作管理部３１２が取得した自己ＥＣＵ３００での動作情報ＤｂをドメインＥＣＵ２００ａ、および他ＥＣＵ３００に送信する機能を有する。

　＜ドメインＥＣＵ２００ａ＞
　中継装置として機能するドメインＥＣＵ２００ａには、２つのデータベースと、健全性を評価するための動作時機の制御、演算等を実行するための８つの機能部（正解管理部２１０～情報組設定部２１７）が形成されている。

　２つのデータベースのうち、ひとつは、後述する正解管理部２１０が管理する正解情報Ｄｃを保持する正解情報データベース２２０である。また、もうひとつは、他のＥＣＵ３００それぞれが健全時に保持していたプログラムＤｐ、あるいはその一部を復元用の元情報Ｄｓｏとして保持する元情報データベース２２１である。なお、図１では、「データベース」を、簡略化のため、「ＤＢ」と略号表記している。

　構成管理部２１５は、他の複数のＥＣＵそれぞれが車両に搭載される前のソフトウェアまたはその一部、あるいは車両運用中に更新されるソフトウェアまたはその一部をバックアップ用の元情報Ｄｓｏとして管理する。さらに、後述する正解情報Ｄｃ生成に必要なデータとして、複数のＥＣＵの個別現在情報Ｄｓｅ、動作情報Ｄｂそれぞれに対応する健全時の状態を示す情報もあわせて管理し、元情報データベース２２１への保管と読み出しを行う機能を有している。

　情報組設定部２１７は、後述する正解管理部２１０、情報収集部２１１、異常特定部２１６等が必要とする、健全性の評価に用いる異なるＥＣＵを対象とした情報を組み合わせた情報組を設定する。

　正解管理部２１０は、情報組設定部２１７により設定された異なるＥＣＵ３００それぞれのソフトウェア構成または動作に関する情報組に基づいて、所定の計算式（基本的に後述する評価関数ｆ）から導かれる期待値（正解情報Ｄｃ）を管理する機能を有している。正解情報Ｄｃは、構成管理部２１５が管理する元情報Ｄｓｏのうち、ＥＣＵそれぞれが車両に搭載される前のソフトウェアまたは設計仕様から算出、あるいは車両運用中に更新されるソフトウェアまたは設計仕様から算出する。さらに、動作情報Ｄｂに対応する健全時の状態を示す情報（例えば、初期値、設計値）を数値化し、それに対する許容範囲を合わせて算出してもよい。なお、これらの算出は、ドメインＥＣＵ２００ａ内（例えば、正解管理部２１０自体）で行われてもよいし、車外のサーバー等で行われてから、ドメインＥＣＵ２００ａへ送信されるようにしてもよい。ただし、基本的には、後述する評価値Ｖｅを算出するための評価関数ｆと同じ関数を使用する。

　情報収集部２１１は、健全性を評価する際、他のＥＣＵ（特にＥＣＵ３００）から情報（個別現在情報Ｄｓｅ、動作情報Ｄｂ）を収集して集約し、評価値算出部２１２へ送信する機能を有している。

　異常検知部２１３は、健全性の確認のため、後述する評価値算出部２１２が算出した評価値Ｖｅが、正解情報Ｄｃと一致、あるいは所定範囲内に入っているか否かを判断する機能を有している。

　評価値算出部２１２は、情報組設定部２１７によって設定された組み合わせのなかから情報収集部２１１が選定した組み合わせで対象としたＥＣＵそれぞれから受信した情報を式（１）に示すように、評価関数ｆにインプットして、評価値Ｖｅを算出する機能を有している。なお、個別現在情報Ｄｓｅ、動作情報Ｄｂ等の情報の種類を区別しない場合、単に「情報Ａ，情報Ｂ，・・・」と表記する。また、後述する関数等の種類を区別しない場合も、単に評価関数ｆ、評価値Ｖｅと記す。
　　　Ｖｅ＝ｆ（情報Ａ，情報Ｂ，・・・）　　　　（１）

　ここで、評価関数ｆには、１種類の固定した関数ではなく、情報の種類に応じて、種類の異なる評価値Ｖｅを算出する複数種の関数を設定できる。例えば、各ＥＣＵが有するプログラムの一部を抜き出した値またはプログラムのハッシュ値（個別現在情報Ｄｓｅ）を引数とする関数を評価関数ｆ１とすると、評価関数ｆ１は、正解情報Ｄｃと一致するか否かを判定するための評価値Ｖｅ１を算出する。

　また、ＥＣＵ３００の処理の時刻、所要時間、複数処理のシーケンス（動作情報Ｄｂ）を引数とする関数を評価関数ｆ２とすると、評価関数ｆ２は、正解情報Ｄｃに対して設けた許容範囲に入っているか否かを判定するための評価値Ｖｅ２を算出する。例えば、道路状況に応じて配光量または角度を自動的に変更するようなヘッドライトの制御を担うＥＣＵ３００（例えば、ＥＣＵ３００ａ、ＥＣＵ３００ｂ）に対して評価関数ｆ２を適用する場合を例示する。

　夜間の道路のカーブを走行したり、対向車両が現れたりした場合、自車両に備わる左右のヘッドライトの配光を自動的に変更するシステムがある。本来であれば、左右のヘッドライトは周囲状況に応じて同じタイミングで配光が変更されなければならないが、プログラムが改ざんされたような場合、ある時刻における配光量または角度が設計値どおりにならず、同期しないことがありうる。

　そのような場合を想定して、情報組設定部２１７が設定する組み合わせパターンには、ＥＣＵ３００ａとＥＣＵ３００ｂそれぞれの、ヘッドライトの制御に関する動作情報Ｄｂの組み合わせ（情報組）が含まれている。すると、ドメインＥＣＵ２００ａでは、情報収集部２１１が、ＥＣＵ３００ａとＥＣＵ３００ｂから、車両左前に搭載されたヘッドライトと車両右前に搭載されたヘッドライトの動作情報Ｄｂを取得する。評価値算出部２１２は、設定された情報組に従い、例えば、左右のヘッドライトそれぞれの処理ＩＤ、配光量、角度等の組み合わせを引数（情報Ａ，情報Ｂ，・・・）として選定し、評価関数ｆ２を用いて評価値Ｖｅ２を算出する。なお、各ＥＣＵ３００からの動作情報Ｄｂに限らず、車両１００の図示しない制御部から測定値、あるいは制御値（目標値）等を取得するようにしてもよい。

　ここで、正解管理部２１０は、正解情報データベース２２０に保存されている、情報Ａ，情報Ｂ，・・・で対象としたＥＣＵ３００ａとＥＣＵ３００ｂの動作情報Ｄｂから導出された正解情報Ｄｃを読み出す。異常検知部２１３は、評価値算出部２１２が算出した評価値Ｖｅ２が、読み出した正解情報Ｄｃの範囲（例えば、同期における時間差の範囲）内に入っているか否かを判定することで、健全か否かを判断する。さらに、別途カメラあるいはミリ波レーダーなど、周囲状況を把握することが可能な他の機器を制御するＥＣＵ３００からの情報を合わせることでも、より精度よくヘッドライトの処理の正当性を確認できる。

　つまり、情報組設定部２１７が設定した組み合わせのうち、少なくとも動作情報Ｄｂに関する組み合わせについては、同期を必要とするＥＣＵ、あるいはシーケンス上、車両制御における動作に関連性があるＥＣＵどうしの組み合わせが設定されている。一方、プログラムＤｐの構成自体に関する個別現在情報Ｄｓｅに関しては、必ずしも動作の関連性を必要としないが、後述する異常特定部２１６により、異常ＥＣＵを効率よく特定できる組み合わせパターンを設定することが望ましい。

　時機管理部２１４は、時刻を管理して、健全性を確認するタイミングを管理する機能を有している。例えば、時機管理部２１４が所定のタイミングとなったと判断すると、情報収集部２１１による、上述したＥＣＵ３００からの情報収集を開始させるようにしてもよい。

　異常特定部２１６は、情報組設定部２１７が設定した複数のＥＣＵ３００からの情報組のなかから、異常を検出した情報組に含まれるＥＣＵ３００を含む異なる複数種の情報組を選択する。そして、選択した情報組に応じて算出される評価値Ｖｅと正解情報Ｄｃとの比較結果に基づき、どのＥＣＵ３００が異常かを特定する機能を有する。

　このような機能を、車両機器を実際に制御する各ＥＣＵ３００、および中継装置であるドメインＥＣＵ２００に配置して構築した車載制御システムの動作、つまり異常診断方法について図５のフローチャートを参考に説明する。

　はじめに、正解管理部２１０は、正解情報Ｄｃを取得し、正解情報データベース２２０に保管する（ステップＳ１００）。このとき、上述したように、元情報データベース２２１に保管されている元情報Ｄｓｏを用い、評価関数ｆに対応する関数で正解情報Ｄｃを演算してもよいし、車両１００の外部から入手するようにしてもよい。また、必要な正解情報Ｄｃが限られている場合、予め異常検知部２１３に出力しておいてもよい。

　正解情報Ｄｃが準備できれば、時機管理部２１４が所定のタイミングになったか否かを判断する。所定のタイミングは、起動時、走行時、停車時、電源オフ時などから選択される。期待するタイミングになった場合（ステップＳ１１０で「Ｙｅｓ」）は、健全線を評価するために次のステップＳ１２０に進む。そうでない場合（ステップＳ１１０で「Ｎｏ」）は、そのタイミングになるまで待機する。

　ステップＳ１２０では、正解情報Ｄｃのなかから、異なるＥＣＵを対象とした情報を組み合わせた情報組を設定する（ステップＳ１２０）。そして、ステップＳ１３０では、設定された情報組で対象としたＥＣＵ３００それぞれの情報取得部３１０が、自ＥＣＵ３００の情報（個別現在情報Ｄｓｅ、動作情報Ｄｂ）を取得する。そして、各ＥＣＵ３００では、送信部３１１が、ステップＳ１３０で取得した情報をドメインＥＣＵ２００ａに送信する（ステップＳ１４０）。各ＥＣＵ３００から情報を受け取ると、ドメインＥＣＵ２００ａでは、情報収集部２１１が、受信した情報のうち、設定された組み合わせに基づき、評価値算出部２１２で使う情報のみを集約する（ステップＳ１５０）。

　評価値算出部２１２は、情報収集部２１１から受け取った情報から、情報に応じた評価関数ｆを選択し、評価値Ｖｅを算出し（ステップＳ１６０）、異常検知部２１３に出力する。異常検知部２１３は、正解情報データベース２２０から、評価値算出部２１２から出力された評価値Ｖｅに対応する正解情報Ｄｃを読み出し、評価値Ｖｅと正解情報Ｄｃを比較する（ステップＳ１７０）。

　そして、評価値Ｖｅの種類に応じ、評価値Ｖｅが正解情報Ｄｃと一致しているか否か、または正解情報Ｄｃが示す範囲内に入っているか否かを確認する（ステップＳ１８０）。評価値Ｖｅが正解情報Ｄｃと一致、または正解情報Ｄｃが示す範囲内に入っていた場合（ステップＳ１８０で「Ｙｅｓ」）、各ＥＣＵ３００は正常であると判定し、健全性の確認フローを終了する。ただし、後述する異常ＥＣＵを特定する際に追加設定した情報組に対しては、異常ＥＣＵの特定が完了するまでは、その情報組で正常であっても、ステップＳ２００へ進むように、例えば、ＮＧのフラグを付けて工程を回すようにする。

　一方、評価値Ｖｅが正解情報Ｄｃと不一致、または正解情報Ｄｃが示す範囲外である場合（ステップＳ１８０で「Ｎｏ」）、情報組で対象としたＥＣＵ３００のなかに異常が発生していると判定する。

　異常が発生していると判定したら、異常がどのＥＣＵ３００で発生したのかを特定する（ステップＳ２００）。具体的には、設定された組み合わせパターンに基づき、はじめに異常であると判定した情報組とは異なる情報組のＥＣＵ３００に対して、改めて、ステップＳ１３０からはじめて、対象としたＥＣＵ３００の情報取得部３１０の処理を開始する。そして、評価値算出部２１２により評価値Ｖｅを導出して、正解情報Ｄｃとの一致性を確認する。これを繰り返すことで、どのＥＣＵ３００が異常であったかを特定する。

　例えば、図６と図７に示すようにＥＣＵ３００のうち、はじめはＥＣＵｒ－１からの情報ＡとＥＣＵｒ－２からの情報Ｂの組み合わせでＮＧとなった場合、つぎにＥＣＵｒ－１からの情報ＡとＥＣＵｒ―ｋからの情報Ｃの組み合わせで評価し、ＯＫとなったとする。その場合、ＥＣＵｒ－１とＥＣＵｒ－ｋはともに正常であるから、残りのＥＣＵｒ－２に異常が発生していると特定することができる。つまり、ひとつの情報組にｎ種のＥＣＵが対応している場合、最低、ｎ通りの組み合わせで情報組を設定すれば、異常を特定することができる。

　このようにして、特定が完了すると（ステップＳ２１０で「Ｙｅｓ」）、特定した異常なＥＣＵ３００（ここでは、ＥＣＵｒ―２）に対して、構成管理部２１５は、元情報Ｄｓｏから対応するプログラムを読み出す。そして、ＥＣＵ３００へ送信し、プログラムを書き換え（ステップＳ３００）、健全性の確認フローを終了する。なお、このとき、書き換えに用いる元情報Ｄｓｏは、元情報データベース２２１に保管されたデータのうち、ＥＣＵ３００が車両に搭載される前のソフトウェアかその一部、車両運用中に更新されるＥＣＵ３００のソフトウェアかその一部である。

　上記のように動作させることで、ドメインＥＣＵ２００ａに接続されているＥＣＵ３００の健全性を判断することができる。そして、異常があった場合も異常が発生したＥＣＵ３００を特定し、元のプログラムへ書き戻すことによって、健全な状態に復帰させることができる。

　また、評価関数ｆによって算出した評価値Ｖｅを、健全な状態に対して算出された正解情報Ｄｃとの一致性によって、健全性を評価するようにしたので、ＥＣＵ３００個々がプログラムまたは処理の正当性を確認するよりも、低コストに健全性を確認することができる。とくに、一般的に個々のＥＣＵが自身の正当性を確認するためには、個々のプログラムに対して改ざんされていないことを確認するべく個々のＥＣＵ３００がセキュアブートをすることが考えられる。ただしセキュアブートを行うと、起動時間が長くなったり、セキュアブート用の暗号鍵の保管を行わなければならなかったりする。しかしながら、プログラム（個別現在情報Ｄｓｅ）についても、複数のＥＣＵからの情報組を引数として評価することで、セキュリティ鍵が必要でなくなるため、これらに要するコストを削減することができる。

　また、一般的なセキュリティ対策では、追加されたＥＣＵが、正規のサービスを備えていたとしても、正規のＥＣＵであることまたは正規のプログラムを備えていることを保証していなければ、車両へ不正なＥＣＵまたはプログラムの搭載が可能となる。その結果、ＥＣＵあるいは車両へ悪影響（ＥＣＵを不正実行させる、など）を防止することが困難であった。しかし、本願開示の車載制御システムあるいは異常診断方法では、正規のプログラムであるかの保証がなくても、健全性を評価できるため、これらを検知し、車両の正常な制御が可能となる。

　なお、ドメインＥＣＵ２００ａが起動する前に、正解情報Ｄｃが予め保管されている場合、図５で説明したステップＳ１２０からの処理を、ドメインＥＣＵ２００ａが起動した時点で開始することとしてもよい。そのようにすることで、車両の起動（ＥＣＵの起動）直後は、走行中よりも機能をチェックする時間をとれるため、より多くのＥＣＵ、より広範囲のプログラムの異常有無をチェックできる。

　さらに、ステップＳ１２０における情報組の設定処理において、動作周期が長い機能を備えるＥＣＵ、特定のイベントでのみ起動される発動条件が特殊なＥＣＵを優先して選択することとしてもよい。例えば、緊急時のみ動作するエアバッグを制御するＥＣＵ、車両への出入り時のみ制御する鍵を制御するＥＣＵ、ＥＴＣ（Electronic Toll Collection）のためのＥＣＵなどである。これらのＥＣＵは動作する頻度が少ないためＥＣＵの異常に気付きにくいという点があった。また、ＥＣＵが機器の故障を検知する機能、およびセキュリティ攻撃を検知したり、対処したりするセキュリティ機能も、異常時のみの動作あるいは監視周期が長いことがあるため、対象とすることが望ましい。このようにすることで、動作頻度の少ないＥＣＵが正常か否かを確実に判定することができるため、利便性を損なうことなく、車両を正確に制御することができる。

　なお、上述した実施の形態１にかかる車載制御システムを構成する各制御装置（ＥＣＵ）は、図８に示すようにプロセッサ１１と記憶装置１２を備えたひとつのハードウエア１０によって構成することも考えられる。記憶装置１２は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ１１は、記憶装置１２から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ１１にプログラムが入力される。また、プロセッサ１１は、演算結果等のデータを記憶装置１２の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。

　なお、本願は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、および機能は、例示した実施の形態への適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態としての適用が可能である。従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも１つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。

　例えば、本実施の形態においては、ドメインＥＣＵ２００ａに各制御処理を配置させた例を示したが、この限りでなく、同様の機能を実現することができれば、他のドメインＥＣＵ２００ｂあるいは下位のＥＣＵなどと制御処理を分担させても構わない。また、車両１００のネットワーク構成についても、図１に例示した構成に限ることはない。ＥＣＵの数、ＥＣＵ間の通信線の結線方法はこの限りでなく、ドメインＥＣＵ２００ａにつながる複数の通信線から得た情報を用いてもよく、複数のドメインＥＣＵ２００にまたがってこれらの処理を実行するようにしてもよい。

　以上のように、本願の実施の形態にかかる車載制御システムによれば、車載機器を制御する複数の制御装置（ＥＣＵ）が相互に通信可能に接続された車載制御システムであって、複数の制御装置（ＥＣＵ）それぞれが健全なときの、制御機能を実現するためのプログラムと制御機能における動作仕様のいずれかに関連する元情報Ｄｓｏを保管する元情報保管部（元情報データベース２２１）、元情報Ｄｓｏのなかから、異なる制御装置（ＥＣＵ）を対象とした情報を組み合わせ、関数（評価関数ｆ）の引数として用いる情報組を設定する情報組設定部２１７、元情報Ｄｓｏに対応する現在の情報を情報組で対象とした制御装置（ＥＣＵ）それぞれから現在情報（個別現在情報Ｄｓｅ、動作情報Ｄｂ）として収集する情報収集部２１１、および情報組を引数として関数（評価関数ｆ）で算出した正解値（正解情報Ｄｃ）と、情報組に対応する現在情報（個別現在情報Ｄｓｅ、動作情報Ｄｂ）を引数として関数（評価関数ｆ）で算出した評価値Ｖｅとの一致度が基準よりも低い場合に、対象とした制御装置（ＥＣＵ）のいずれかに異常があることを検知する異常検知部２１３、を備えるように構成したので、車両制御に関するセキュリティ攻撃を受けても、セキュアブートを必要とせず、健全に車両制御を実行することができる。

　さらに、異常があることが検出された際、設定した情報組で対象とした制御装置（ＥＣＵ）のいずれかを対象とし、かつ設定した情報組とは異なる情報組を情報組設定部２１７に追加設定させ、設定を変えた複数の情報組での異常の有無の組み合わせから、異常がある制御装置（ＥＣＵ）を特定する異常特定部２１６を備えれば、異常のあるＥＣＵを容易に特定できる。

　この場合、元情報保管部（元情報データベース２２１）には、複数の制御装置（ＥＣＵ）それぞれを機能させるプログラム構成のすべてまたは一部が保管されており、異常があると特定された制御装置（ＥＣＵ）のプログラム構成のすべてまたは一部を、元情報保管部に保管されている内容に書き換える構成管理部２１５を備えるように構成すれば、異常を特定したＥＣＵを容易に元の正常な状態に戻すことができる。

　情報組が、プログラムに分類される情報（プログラムＤｐまたはその一部）を組み合わせて設定されたとき、異常検知部２１３は、正解値（正解情報Ｄｃ）と、評価値Ｖｅ１が一致することを基準とすれば、セキュリティ鍵を使用することなく、容易にプログラムの改変を検知できる。

　情報組設定部２１７は、対象とする制御装置（ＥＣＵ）として、制御動作が互いに関連する（同期性、実行順序関連、同様の動き等）制御装置（ＥＣＵ）を選定し、動作仕様に分類される情報（動作情報Ｄｂ）を組み合わせて情報組を設定したとき、異常検知部２１３は、評価値Ｖｅが正解値（正解情報Ｄｃ）に対して設けた許容範囲内に入っていることを基準とすれば、プログラム自体を検査することなく、容易にプログラムの改変、または異常を検知することができる。

　とくに、情報組設定部２１７は、動作周期が長いほど、あるいは動作の発動条件の特殊性が高い（例えば、緊急時に作動するエアバック用のＥＣＵ）ほど、対象とする制御装置として優先的に選定するようにすれば、見落とされがちなＥＣＵを漏らすことなく異常を検知できる。

　以上のように、本願の実施の形態にかかる異常診断方法によれば、車載機器を制御する複数の制御装置（ＥＣＵ）が相互に通信可能に接続された車載制御システムの異常を診断する方法であって、複数の制御装置（ＥＣＵ）それぞれが健全なときの、制御機能を実現するためのプログラムと制御機能における動作仕様のいずれかに関連する元情報Ｄｓｏを保管する元情報保管ステップ（正解情報保管ステップＳ１００）、元情報Ｄｓｏのなかから、異なる制御装置（ＥＣＵ）を対象とした情報を組み合わせ、関数（評価関数ｆ）の引数に用いる情報組を設定する情報組設定ステップ（ステップＳ１２０）、元情報Ｄｓｏに対応する現在の情報を情報組で対象とした制御装置（ＥＣＵ）それぞれから現在情報（個別現在情報Ｄｓｅ、動作情報Ｄｂ）として収集する情報収集ステップ（ステップＳ１３０～Ｓ１５０）、および情報組を引数として関数（評価関数ｆ）で算出した正解値（正解情報Ｄｃ）と、情報組に対応する現在情報（個別現在情報Ｄｓｅ、動作情報Ｄｂ）を引数として関数（評価関数ｆ）で算出した評価値Ｖｅとの一致度が基準よりも低い場合に、対象とした制御装置（ＥＣＵ）のいずれかに異常があることを検知する異常検知ステップ（ステップＳ１６０～Ｓ１８０）、を含むように構成したので、車両制御に関するセキュリティ攻撃を受けても、セキュアブートを必要とせず、健全に車両制御を実行した状態で異常を診断することができる。

　さらに、異常があることが検出された際、設定した情報組で対象とした制御装置（ＥＣＵ）のいずれかを対象とし、かつ設定した情報組とは異なる情報組を情報組設定ステップ（ステップＳ１２０）で追加設定させ、設定を変えた複数の情報組での異常の有無の組み合わせから、異常がある制御装置（ＥＣＵ）を特定する異常特定ステップ（ステップＳ２００～Ｓ２１０）を含むようにすれば、異常のあるＥＣＵを容易に特定できる。

　元情報保管ステップ（ステップＳ１００、あるいは、車載時、または新規インストール時））では、複数の制御装置（ＥＣＵ）それぞれを機能させるプログラム構成のすべてまたは一部が保管されており、異常があると特定された制御装置（ＥＣＵ）のプログラム構成のすべてまたは一部を元情報保管ステップで保管された内容に書き換える構成管理ステップ（ステップＳ３００）を含むようにすれば、異常を特定したＥＣＵを容易に元の正常な状態に戻すことができる。

　１００：車両、　２００：ドメインＥＣＵ、　２１０：正解管理部、　２１１：情報収集部、　２１２：評価値算出部、　２１３：異常検知部、　２１４：時機管理部、　２１５：構成管理部、　２１６：異常特定部、　２１７：情報組設定部、　２２０：正解情報データベース、　２２１：元情報データベース（元情報保管部）、　３００：ＥＣＵ、　３１０：情報取得部、　３１１：送信部、　３１２：動作管理部、　３１３：主制御部、　３２０：機能保持部、　４００ａ：中央ＥＣＵ、　Ｄｂ：動作情報（現在情報）、　Ｄｃ：正解情報（正解値）、　Ｄｐ：プログラム、　Ｄｓｅ：個別現在情報（現在情報）、Ｄｓｏ：元情報、　ｆ：評価関数（関数）、　Ｖｅ：評価値。

Claims

　車載機器を制御する複数の制御装置が相互に通信可能に接続された車載制御システムであって、
　前記複数の制御装置それぞれが健全なときの、制御機能を実現するためのプログラムと前記制御機能における動作仕様のいずれかに関連する元情報を保管する元情報保管部、
　前記元情報のなかから、異なる制御装置を対象とした情報を組み合わせ、関数の引数として用いる情報組を設定する情報組設定部、
　前記元情報に対応する現在の情報を前記情報組で対象とした制御装置それぞれから現在情報として収集する情報収集部、および
　前記情報組を引数として前記関数で算出した正解値と、前記情報組に対応する前記現在情報を引数として前記関数で算出した評価値との一致度が基準よりも低い場合に、前記対象とした制御装置のいずれかに異常があることを検知する異常検知部、
　を備えたことを特徴とする車載制御システム。
　前記異常があることが検出された際、前記設定した情報組で対象とした制御装置のいずれかを対象とし、かつ前記設定した情報組とは異なる情報組を前記情報組設定部に追加設定させ、設定を変えた複数の情報組での異常の有無の組み合わせから、異常がある制御装置を特定する異常特定部を備えたことを特徴とする請求項１に記載の車載制御システム。
　前記元情報保管部には、前記複数の制御装置それぞれを機能させるプログラム構成のすべてまたは一部が保管されており、
　前記異常があると特定された制御装置のプログラム構成のすべてまたは一部を、前記元情報保管部に保管されている内容に書き換える構成管理部を備えたことを特徴とする請求項２に記載の車載制御システム。
　前記情報組が、前記プログラムに分類される情報を組み合わせて設定されたとき、
　前記異常検知部は、前記正解値と、前記評価値が一致することを前記基準とすることを特徴とする請求項１から３のいずれか１項に記載の車載制御システム。
　前記情報組設定部が、前記対象とする制御装置として、制御動作が互いに関連する制御装置を選定し、前記動作仕様に分類される情報を組み合わせて前記情報組を設定したとき、
　前記異常検知部は、前記評価値が、前記正解値に対して設けた許容範囲内に入っていることを前記基準とすることを特徴とする請求項１から４のいずれか１項に記載の車載制御システム。
　前記情報組設定部は、動作周期が長いほど、あるいは動作の発動条件の特殊性が高いほど、前記対象とする制御装置として優先的に選定することを特徴とする請求項１から５のいずれか１項に記載の車載制御システム。
　車載機器を制御する複数の制御装置が相互に通信可能に接続された車載制御システムの異常を診断する方法であって、
　前記複数の制御装置それぞれが健全なときの、制御機能を実現するためのプログラムと前記制御機能における動作仕様のいずれかに関連する元情報を保管する元情報保管ステップ、
　前記元情報のなかから、異なる制御装置を対象とした情報を組み合わせ、関数の引数として用いる情報組を設定する情報組設定ステップ、
　前記元情報に対応する現在の情報を前記情報組で対象とした制御装置それぞれから現在情報として収集する情報収集ステップ、および
　前記情報組を引数として前記関数で算出した正解値と、前記情報組に対応する前記現在情報を引数として前記関数で算出した評価値との一致度が基準よりも低い場合に、前記対象とした制御装置のいずれかに異常があることを検知する異常検知ステップ、
　を含むことを特徴とする異常診断方法。
　前記異常があることが検出された際、前記設定した情報組で対象とした制御装置のいずれかを対象とし、かつ前記設定した情報組とは異なる情報組を前記情報組設定ステップで追加設定させ、設定を変えた複数の情報組での異常の有無の組み合わせから、異常がある制御装置を特定する異常特定ステップを含むことを特徴とする請求項７に記載の異常診断方法。
　前記元情報保管ステップでは、前記複数の制御装置それぞれを機能させるプログラム構成のすべてまたは一部が保管されており、
　前記異常があると特定された制御装置のプログラム構成のすべてまたは一部を前記元情報保管ステップで保管された内容に書き換える構成管理ステップを含むことを特徴とする請求項８に記載の異常診断方法。