WO2022102384A1

WO2022102384A1 - 車載ｅｃｕ、プログラム、及び情報処理方法

Info

Publication number: WO2022102384A1
Application number: PCT/JP2021/039215
Authority: WO
Inventors: 康彦野口; 秀俊宮田; 広生堀
Original assignee: 住友電装株式会社
Priority date: 2020-11-13
Filing date: 2021-10-25
Publication date: 2022-05-19
Also published as: JP7463947B2; JP2022078815A

Abstract

車載ＥＣＵは、制御部、起動する際に複数のプログラムそれぞれの検証を行う検証部、仮想化オペレーティングシステムが記憶されている記憶部を備え、仮想化オペレーティングシステムを起動することにより、プログラムの動作環境となる複数の仮想環境が生成され、検証部は、優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、第１検証結果の出力後、優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、仮想化オペレーティングシステムを管理する管理部は、第１検証結果が出力されてから第２検証結果が出力されるまでの間と、第２検証結果が出力された以降とでは、複数の仮想環境に対する制御部の割当時間帯を異ならせる。

Description

車載ＥＣＵ、プログラム、及び情報処理方法

　本開示は、車載ＥＣＵ、プログラム、及び情報処理方法に関する。
　本出願は、２０２０年１１月１３日出願の日本出願第２０２０－１８９７５０号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　車両に搭載され、当該車両に搭載された機器の制御や、車外通信、自動運転等の走行制御に関する情報処理を行う電子制御装置が知られている（例えば特許文献１）。特許文献１の電子制御装置は、複数のコアを有するマルチコアＣＰＵを備え、マルチコアＣＰＵ上で複数のプログラムシステムが、動作する。特許文献１の電子制御装置には、プログラムが実行されることによって実現される機能の構成要素として、ハイパーバイザが搭載されており、当該ハイパーバイザにより、マルチコアＣＰＵ上で複数の仮想マシンを作成して並列に動作させ、作成された仮想マシン上でＯＳを動作させる。

特開２０１９－１７９３９７号公報

　本開示の一態様に係る車載ＥＣＵは、車両に搭載される車載ＥＣＵであって、複数のプログラムを実行する制御部と、自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、前記制御部によって起動される仮想化オペレーティングシステムが記憶されている記憶部とを備え、前記仮想化オペレーティングシステムを起動することにより、前記プログラムの動作環境となる複数の仮想環境が生成され、前記複数の仮想環境は、前記プログラムに応じた異なる優先度の仮想環境を含み、前記検証部は、前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、前記仮想化オペレーティングシステムを管理する管理部は、前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対する前記制御部の割当時間帯を異ならせる。

実施形態１に係る車載ＥＣＵを含む車載システムの構成を例示する模式図である。車載ＥＣＵの物理構成を例示するブロック図である。車載ＥＣＵの論理構成（仮想ＥＣＵ）を例示するブロック図である。仮想ＥＣＵにおける機能部を例示する機能ブロック図である。第１割当時間テーブル（第１割当時間情報）を例示する説明図である。第２割当時間テーブル（第２割当時間情報）を例示する説明図である。仮想環境に対する制御部の割当時間帯に関する説明図である。制御部及び検証部によるシーケンスを例示した説明図である。車載ＥＣＵの制御部及び検証部の処理を例示するフローチャートである。

［本開示が解決しようとする課題］
　特許文献１の電子制御装置は、複数の仮想マシンに対するセキュリティ的な観点から検証を行う点について、考慮されていない。

　本開示は、仮想化オペレーティングシステムによって生成される複数の仮想環境に対する検証を効率的に行うことができる車載ＥＣＵ等を提供する。

［本開示の効果］
　本開示の一態様によれば、仮想化オペレーティングシステムによって生成される複数の仮想環境に対する検証を効率的に行うことができる車載ＥＣＵ等を提供する。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る車載ＥＣＵは、車両に搭載される車載ＥＣＵであって、複数のプログラムを実行する制御部と、自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、前記制御部によって起動される仮想化オペレーティングシステムが記憶されている記憶部とを備え、前記仮想化オペレーティングシステムを起動することにより、前記プログラムの動作環境となる複数の仮想環境が生成され、前記複数の仮想環境は、前記プログラムに応じた異なる優先度の仮想環境を含み、前記検証部は、前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、前記仮想化オペレーティングシステムを管理する管理部は、前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対する前記制御部の割当時間帯を異ならせる。

　本態様にあたっては、車載ＥＣＵ（Electronic Control Unit）が起動する際、例えばＨＳＭ（Hardware Security Module）等の検証部により複数のプログラムに対する検証が行われるものであり、すなわち、車載ＥＣＵは、当該検証部を用いたセキュアブートを行う。検証部による検証の対象となる複数のプログラムは、これらプログラムの優先度に基づき区分化されており、例えば、高い優先度のプログラム（高優先度プログラム）と、低い優先度のプログラム（低優先度プログラム）とを含む。これにより、実行するプログラムに応じて、仮想環境の優先度も決定される。すなわち、高優先度プログラムの動作環境となる仮想環境（高優先度の仮想環境）の優先度は、低優先度プログラムの動作環境となる仮想環境（低優先度の仮想環境）の優先度よりも、高いものとなる。検証部は、当該複数のプログラムに対する検証を行うにあたり、優先度の高い順番に検証を行う。従って、検証部は、高優先度プログラムの検証を行った後、低優先度プログラムの検証を行う。検証部は、高優先度プログラムの検証を行った際に第１検証結果を出力し、当該第１検証結果の出力後に低優先度プログラムの検証及び当該検証の結果となる第２検証結果を出力する。従って、検証部はプログラムの優先度に応じた順番にて、これらプログラムの検証を行うため、効率的な検証を行うことができる。当該複数のプログラムは、仮想化オペレーティングシステムによって生成されるいずれかの仮想環境（仮想ＥＣＵ）を動作環境として実行（起動）される。仮想化オペレーティングシステムを管理する管理部は、第１検証結果が出力されてから第２検証結果が出力されるまでの間と、第２検証結果が出力された以降とでは、異なるスケジューリングによって、複数の仮想環境に対する制御部の割当時間帯を割り当てるため、優先度に応じた検証結果に基づき適切なスケジューリングを行うことができる。

（２）本開示の一態様に係る車載ＥＣＵは、前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間は、前記優先度の高い仮想環境を動作環境とするプログラムの実行と、前記優先度の低い仮想環境を動作環境とするプログラムの検証とが、並行して行われる。

　本態様にあたっては、高優先度の仮想環境における高優先度プログラムの実行（起動）と並行して、低優先度の仮想環境における低優先度プログラムに対する検証部の検証を行うことができるため、効率的にセキュアブートを行うことができる。

（３）本開示の一態様に係る車載ＥＣＵは、前記仮想化オペレーティングシステムを管理する管理部は、前記第１検証結果に応じて、前記優先度の高い仮想環境に対し前記制御部の割当時間帯を割り当てる第１割当制御を開始し、前記第２検証結果が出力された以降は、前記優先度の高い仮想環境及び前記優先度の低い仮想環境に対し、前記制御部の割当時間帯を割り当てる第２割当制御を開始する。

　本態様にあたっては、管理部は、第１検証結果に応じて当該第１検証結果が出力されてから第２検証結果が出力されるまでの間は、優先度の高い仮想環境に対し制御部の割当時間帯を割り当てる第１割当制御（第１スケジュールに基づくスケジューリング）を行う。その上で、管理部は、第２検証結果が出力された以降は、優先度の高い仮想環境及び優先度の低い仮想環境に対し制御部の割当時間帯を割り当てる第２割当制御（第２スケジュールに基づくスケジューリング）を開始する。従って、第１検証結果に応じて、優先度の高い仮想環境に対し制御部の割当時間帯を割り当て、当該優先度の高い仮想環境を動作環境とする高優先度プログラムを早期に実行（起動）することができる。すなわち、検証部による全領域の検証後に起動する方法を用いた場合、優先度の高い仮想環境を動作環境とする高優先度プログラムも含め、起動に時間がかかってしまうところ、本態様による方法を用いることにより、優先度の高い仮想環境を動作環境とする高優先度プログラムを早期に実行（起動）することができる。

（４）本開示の一態様に係る車載ＥＣＵは、前記記憶部には、前記複数の仮想環境に対する前記制御部の割当時間帯を定める割当時間情報が記憶されており、前記割当時間情報は、前記第１割当制御に対応した第１割当時間情報と、前記第２割当制御に対応した第２割当時間情報とを含み、前記管理部は、参照する割当時間情報として、前記第１割当時間情報から前記第２割当時間情報に切り替えることにより、前記第１割当制御から、前記第２割当制御に変更する。

　本態様にあたっては、記憶部に記憶されている割当時間情報は、第１スケジュールに対応した第１割当時間情報と、第２スケジュールに対応した第２割当時間情報とを含む。仮想化オペレーティングシステムを管理する管理部は、当該第１割当時間情報、又は第２割当時間情報を参照して、仮想環境夫々に対し、制御部の利用時間を割り当てる。管理部は、第２検証結果が出力された以降、第１スケジュールに基づくスケジューリングから、第２スケジュールに基づくスケジューリングへの変更を行うにあたり、参照する対象（割当時間情報）を、第１割当時間情報から第２割当時間情報に切り替える。これにより、管理部は、効率的にスケジューリングの変更を行うことができる。

（５）本開示の一態様に係る車載ＥＣＵは、前記検証部は、前記第１検証結果を出力するにあたり、前記優先度の高い仮想環境にて起動されるゲストＯＳの検証を行い、前記第２検証結果を出力するにあたり、前記優先度の低い仮想環境にて起動されるゲストＯＳの検証を行う。

　本態様にあたっては、仮想化オペレーティングシステムとして、例えばハイパーバイザー方式を用いる場合、生成された仮想環境においてＵｂｕｎｔｕ（登録商標）等のゲストＯＳ（Operation System）が起動される。検証部は、高優先度プログラムの検証を行うにあたり当該高優先度プログラムの動作環境となる優先度の高い仮想環境（高優先度仮想環境）にて起動されるゲストＯＳの検証を行う。更に、検証部は、低優先度プログラムの検証を行うにあたり当該低優先度プログラムの動作環境となる優先度の低い仮想環境（低優先度仮想環境）にて起動されるゲストＯＳの検証を行う。仮想化オペレーティングシステムによって生成される複数の仮想環境それぞれに対し、車載ＥＣＵの記憶部の領域（記憶領域）が区分化されている場合、検証部は、個々の仮想環境に対応した記憶領域それぞれに対し検証を行うものであってもよい。これにより、検証部は、プログラムの検証を行う際、当該プログラムの動作環境となる仮想環境にて起動されるゲストＯＳ（Operating System）についても検証を行うため、車載ＥＣＵにおいてプログラムが実行されるにあたり、セキュアな動作環境を担保することができる。

（６）本開示の一態様に係る車載ＥＣＵは、前記優先度は、ＩＳＯ２６２６２のＡＳＩＬ（Automotive Safety Integrity Level）に基づき決定される。

　本態様にあたっては、優先度の高いプログラムの動作環境となる仮想環境は、優先度の低いプログラムの動作環境となる仮想環境よりも、早期に生成されるものであり、すなわち実行するプログラムに応じて、仮想環境の優先度も決定される。これにより、優先度の低いプログラムに対する検証部の検証が完了するよりも前に、優先度の高いプログラムを実行することができる。当該優先度は、優先度はＡＳＩＬ（Automotive Safety Integrity Level）に基づき決定されるものであり、すなわちＡＳＩＬのレベルが向上するにつれ、優先度も高くなる。従って、車載ＥＣＵの起動時にＨＳＭ等の検証部による検証を行う場合であっても、ＡＳＩＬのレベルが高いプログラムの動作環境となる仮想環境を早期に起動し、当該プログラムを早期に実行することにより、個々のプログラムに要求される機能安全を鑑みた制御部の割り当て（スケジューリング）を効率的に行うことができる。

（７）本開示の一態様に係る車載ＥＣＵは、前記制御部は、複数のコアを備えるマルチコアＣＰＵにて構成されており、前記複数の仮想環境それぞれは、前記複数のコアの内のいずれかのコアに割り当てられるものであり、前記検証部は、前記複数のコアそれぞれに割り当てられる、全ての前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき前記第１検証結果を出力し、前記第１検証結果の出力後、複数の前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき前記第２検証結果を出力し、前記管理部は、前記複数のコアそれぞれにおいて、前記複数の仮想環境に対する割当時間帯の割当を行う。

　本態様にあたっては、検証部は、全てのコアそれぞれにおいて、優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力した後、優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力する。その上で、管理部は、コアそれぞれにおいて、第１検証結果及び第２検証結果に応じて、複数の仮想環境に対する割当時間帯を割り当てるスケジューリングを行う。従って、車載ＥＣＵがマルチコアＣＰＵにて構成される制御部を含むものであっても、仮想化オペレーティングシステムによって生成される複数の仮想環境に対する検証を効率的に行い、各コアにおける高優先度プログラムを早期に実行することができる。

（８）本開示の一態様に係るプログラムは、車両に搭載され、仮想化オペレーティングシステムを起動することにより生成される複数の仮想環境において、複数のプログラムを実行するコンピュータに処理を実行させるプログラムであって、前記複数の仮想環境は、該仮想環境を動作環境とするプログラムに応じた異なる優先度の仮想環境を含み、前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対するコンピュータの制御部の割当時間帯を異ならせる。

　本態様にあたっては、コンピュータを、仮想化オペレーティングシステムによって生成される複数の仮想環境に対する検証を効率的に行うことができる車載ＥＣＵとして機能させることができる。

（９）本開示の一態様に係る情報処理方法は、車両に搭載され、仮想化オペレーティングシステムを起動することにより生成される複数の仮想環境において、複数のプログラムを実行するコンピュータに処理を実行させる情報処理方法であって、前記複数の仮想環境は、該仮想環境を動作環境とするプログラムに応じた異なる優先度の仮想環境を含み、前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対するコンピュータの制御部の割当時間帯を異ならせる。

　本態様にあたっては、コンピュータを、仮想化オペレーティングシステムによって生成される複数の仮想環境に対する検証を効率的に行うことができる車載ＥＣＵとして機能させる情報処理方法を提供することができる。

[本開示の実施形態の詳細]
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載ＥＣＵ２を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る車載ＥＣＵ２を含む車載システムＳの構成を例示する模式図である。図２は、車載ＥＣＵ２の物理構成を例示するブロック図である。車載システムＳは、車両Ｃに搭載される複数の車載ＥＣＵ２及び、当該車載ＥＣＵ２に接続される車載装置３を含む。

　複数の車載ＥＣＵ２は、車両Ｃの全体を制御する統合的な車載ＥＣＵ２（統合ＥＣＵ）、及び当該統合的な車載ＥＣＵ２と通信可能に接続され、車載装置３と直接、接続される個別的な車載ＥＣＵ２（個別ＥＣＵ）を含むものであってもよい。統合的な車載ＥＣＵ２は、車外通信装置１を介して、インターネット等の外部ネットワークに接続される外部サーバ１００と、通信可能に接続されるものであってもよい。

　本実施形態において図示においては、統合的な車載ＥＣＵ２と、複数の個別的な車載ＥＣＵ２とは、スター状のネットワークトポロジーを形成する車載ネットワーク４によって通信可能に接続され、当該統合的な車載ＥＣＵ２は、スター状のネットワークトポロジーの中心（センター）に位置して設けられている。更に、隣接する個々の個別的な車載ＥＣＵ２同士が接続され、ループ状のネットワークトポロジーを構成し、双方向通信を可能として冗長化を図るものであってもよい。

　複数の個別的な車載ＥＣＵ２は、車両Ｃにおける各エリアに配置され、イルミネーションランプ等のアクチュエータ３０、及びセンサ３１等の車載装置３が、シリアルケーブル（じか線）等のワイヤーハーネスにて、直接接続されている。個別的な車載ＥＣＵ２は、例えば、センサから出力された信号（入力信号）を取得（受信）し、取得した入力信号に基づき生成した要求信号を統合的な車載ＥＣＵ２に送信する。個別的な車載ＥＣＵ２は、統合的な車載ＥＣＵ２から送信された制御信号に基づき、自ＥＣＵに直接、接続されたイルミネーションランプ等のアクチュエータ３０の駆動制御を行う。

　個別的な車載ＥＣＵ２は、当該個別的な車載ＥＣＵ２に接続される複数の車載装置３間の通信、又は車載装置３と他の車載ＥＣＵ２との通信を中継するゲートウェイ又はイーサスイッチ等の車載中継装置として機能する中継制御ＥＣＵであってもよい。個別的な車載ＥＣＵ２は、通信に関する中継に加え、蓄電装置から出力された電力を分配及び中継し、自ＥＣＵに接続される車載装置３に供給する電力分配装置としても機能するＰＬＢ（Power Lan Box）であってもよい。

　統合的な車載ＥＣＵ２は、個別的な車載ＥＣＵ２等、他の車載ＥＣＵ２を介して中継された車載装置３からのデータに基づき、個々の車載装置３への制御信号を生成及び出力するものであり、例えばヴィークルコンピュータ等の中央制御装置である。統合的な車載ＥＣＵ２は、個別的な車載ＥＣＵ２等、他の車載ＥＣＵ２から出力（送信）される要求信号等の情報又はデータに基づき、当該要求信号の対象となるアクチュエータ３０を制御するための制御信号を生成し、生成した制御信号を他の車載ＥＣＵ２に出力（送信）する。本実施形態においては、統合的な車載ＥＣＵ２（統合ＥＣＵ）及び個別的な車載ＥＣＵ２（個別ＥＣＵ）により車載システムＳは構成されるとしたがこれに限定されない。車載システムＳは、例えばＣＡＮ（Controller Area Network）ゲートウェイ又はイーサスイッチ等の中継装置によってピアツーピアに接続された複数の車載ＥＣＵ２によって構成されるものであってもよい。

　車載装置３は、例えばＬｉＤＡＲ（Light Detection and Ranging）、ライトセンサ、ＣＭＯＳカメラ、赤外線センサ等の各種センサ３１及び、ドアＳＷ（スイッチ）、ランプＳＷ等のスイッチ、ランプ、ドア開閉装置、モータ装置等のアクチュエータ３０を含む。

　外部サーバ１００は、例えばインターネット又は公衆回線網等の車外ネットワークに接続されているサーバ等のコンピュータであり、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）又はハードディスク等による記憶部を備える。統合的な車載ＥＣＵ２（統合ＥＣＵ）は、車外通信装置１と通信可能に接続され、車外通信装置１を介して車外ネットワークを介して接続された外部サーバ１００と通信し、外部サーバ１００と、車両Ｃに搭載される他の車載ＥＣＵ２又は車載装置３との間の通信を中継するものであってもよい。

　車外通信装置１は、車外通信部（図示せず）及び、統合的な車載ＥＣＵ２（統合ＥＣＵ）と通信するための入出力Ｉ／Ｆ（図示せず）を含む。車外通信部は、４Ｇ、ＬＴＥ（Long Term Evolution／登録商標）、５Ｇ、ＷｉＦｉ等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部に接続されたアンテナ１１を介して外部サーバ１００とデータの送受信を行う。車外通信装置１と外部サーバ１００との通信は、例えば公衆回線網又はインターネット等の外部ネットワークＮを介して行われる。入出力Ｉ／Ｆ２２は、車載ＥＣＵ２と、例えばシリアル通信するための通信インターフェイスである。車外通信装置１と車載ＥＣＵ２とは、入出力Ｉ／Ｆ及び入出力Ｉ／Ｆに接続されたシリアルケーブル等のワイヤーハーネスを介して相互に通信する。本実施形態では、車外通信装置１は、車載ＥＣＵ２と別装置とし、入出力Ｉ／Ｆ等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置１は、車載ＥＣＵ２の一構成部位として、車載ＥＣＵ２に内蔵されるものであってもよい。

　車載ＥＣＵ２（統合ＥＵＣ、個別ＥＣＵ）は、制御部２０、記憶部２１、入出力Ｉ／Ｆ２２、車内通信部２３及び検証部２４を含む。制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部２１に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部２０は、例えば、シングルコアのシングルＣＰＵ、シングルコアのマルチＣＰＵ、マルチコアのシングルＣＰＵ、及びマルチコアのマルチＣＰＵを含む。制御部２０は、ＣＰＵ等のソフトウェア処理を行うソフトウェア処理部のみに限定されず、ＦＰＧＡ、ＡＳＩＣ又はＳＯＣ等のハードウェア処理にて種々の制御処理及び演算処理等を行うハードウェア処理部を含むものであってもよい。

　記憶部２１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子、又は、これら記憶デバイスの組み合わせにより構成してあり、制御プログラム及び処理時に参照するデータが予め記憶してある。当該制御プログラムは、例えば、各種の車載装置３を制御するためのプログラム（アプリケーション）、又はＬｉＤＡＲ又はＣＭＯＳカメラからの出力データ基づき自動化運転を行うための物標認識を行うプログラム（アプリケーション）等の複数のプログラム（アプリケーション）を含む。更に、車載ＥＣＵ２の記憶部２１には、例えば、Ｈｙｐｅｒｖｉｓｏｒ又はＶＭｗａｒｅ等の仮想オペレーティングシステムが記憶されている。

　入出力Ｉ／Ｆ２２は、車外通信装置１の入出力Ｉ／Ｆ２２と同様に、例えばシリアル通信するための通信インターフェイスである。入出力Ｉ／Ｆ２２及びシリアルケーブル等のワイヤーハーネスを介して、車載ＥＣＵ２は、車外通信装置１と通信可能に接続される。

　車内通信部２３は、例えばＣＡＮ（Controller Area Network）又はイーサネット（Ethernet／登録商標）の通信プロトコルを用いた入出力インターフェイスであり、制御部２０は、車内通信部２３を介して車載ネットワーク４に接続されている他の車載ＥＣＵ２と相互に通信する。

　検証部２４は、例えばＨＳＭ（Hardware Security Module）又はＳＨＥ（Secure Hardware Extension）であり、ＣＰＵ等で構成される制御部２０とは別デバイス又は別モジュールとして構成されている。ＨＳＭ等にて構成される検証部２４は、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理の一端を担うものであり、記憶部２１に記憶されている複数のプログラム等、車載ＥＣＵ２の起動において実行されるソフトウェアの適正性（完全性）又は健全性を検証する機能モジュールである。検証部２４は、例えば、暗号処理用のプロセッサを含み、例えばＣＭＡＣ（Cipher-based Message Authentication Code）等の暗号アルゴリズムを用いて、検証対象となるプログラム及びゲストＯＳ等のソフトウェアの適正性（完全性）を検証する。検証部２４は、車載ＥＣＵ２の起動時に行われるセキュアブート処理（セキュアブートシーケンス）において、検証対象となる複数のプログラム等それぞれの適正性（完全性）を検証し、プログラムそれぞれに対する検証結果を出力する。当該検証結果は、プログラム等が正当である旨を示す肯定的検証結果、又はプログラム等が例えば改竄等され不正である旨を示す否定的検証結果を含む。

　検証部２４は、全ての仮想ＥＣＵ２００（ゲストＯＳ、プログラム）に対し、２段階にて検証を行うように構成されている。検証部２４は、第１段階として、それぞれのコアに対し割り当てられている仮想ＥＣＵ２００のうち、高い優先度の仮想ＥＣＵ２００の検証を行い、第２段階として、当該高い優先度の仮想ＥＣＵ２００以外となる、低い優先度の仮想ＥＣＵ２００の検証を行う。検証部２４は、高い優先度の仮想ＥＣＵ２００に対する検証結果として、第１検証結果（リセット解除信号）を制御部２０に出力し、低い優先度の仮想ＥＣＵ２００に対する検証結果として、第２検証結果を制御部２０に出力する。検証部２４は、当該第１検証結果を出力するにあたり、制御部２０を構成するコアに対しリセット解除信号を出力するものであってもよい。又は、検証部２４は、当該第１検証結果の出力に併せて、当該コアに対しリセット解除信号を出力するものであってもよい。

　図３は、車載ＥＣＵ２の論理構成（仮想ＥＣＵ２００）を例示するブロック図である。本実施形態における図示にて車載ＥＣＵ２の論理構成を例示するものであり、制御部２０等によるハードウェア層（物理基盤）を最下層とし、仮想環境にて実行されるプログラム、及び仮想環境管理プログラム等によるソフトウェア層を最上層とした階層構造を例示するブロック図である。

　上述のとおり、車載ＥＣＵ２の記憶部２１には、例えば、Ｈｙｐｅｒｖｉｓｏｒ又はＶＭｗａｒｅ等の仮想オペレーティングシステムが記憶されており、車載ＥＣＵ２の制御部２０は、仮想オペレーティングシステムを用いて起動することにより、仮想オペレーティングシステム上にて複数の仮想環境（仮想ＥＣＵ２００）を構築することができる。各種の車載装置３を制御するためのプログラムは、これら複数の仮想環境のうちのいずれかの仮想環境を動作環境として、実行される。すなわち、これらプログラムは、いずれかの仮想環境（仮想ＥＣＵ２００）上にて、実行されるものとなる。仮想環境（仮想ＥＣＵ２００）にてプログラムが実行されることにより、当該プログラムの処理内容に応じて単一又は複数のタスクが生成される。当該タスクによって、より細分化又は区分化された処理単位が実行されるものとなる。

　仮想化の方式は、本実施形態の図示のように仮想オペレーティングシステムによって直接的に制御部２０等のハードウェアリソースにアクセスするハイパーバイザー方式、又は仮想オペレーティングシステムとハードウェアリソースとの間にＬｉｎｕｘ（登録商標）等のオペレーティングシステムが介在するホストＯＳ方式であってもよい。又は、コンテナ方式の仮想オペレーティングシステムを用いるものであってもよい。

　仮想オペレーティングシステムを用いて起動した車載ＥＣＵ２は、仮想オペレーティングシステムの機能により、複数の仮想環境を構築することができ、複数の仮想環境には、車載ＥＣＵ２が備える制御部２０等のハードウェアリソースが割り当てられる。これらハードウェアリソースが割り当てられた仮想環境それぞれは、仮想的な制御部２０（仮想制御部）、記憶部２１（仮想記憶部）及び車内通信部２３（仮想車内通信部）を備えるものとなり、仮想ＥＣＵ２００として機能する。

　仮想ＥＣＵ２００それぞれの仮想記憶部それぞれには、例えばＵｂｕｎｔｕ（登録商標）等のゲストＯＳ（Operation System）が記憶され、仮想ＥＣＵ２００それぞれはゲストＯＳを起動し、当該ゲストＯＳの上でプログラムを実行する。当該ゲストＯＳは、個々の仮想ＥＣＵ２００に応じて、異なる種類のＯＳであってもよい。上述のごとく仮想記憶部の実体は、仮想ＥＣＵ２００それぞれに割り当てられた記憶部２１の記憶領域であるため、ゲストＯＳも仮想オペレーティングシステムと同様に記憶部２１に記憶されていることは、言うまでもない。コンテナ方式の仮想オペレーティングシステムを用いる場合、ゲストＯＳを不要とし、当該仮想オペレーティングシステムの上でコンテナ（仮想環境）を生成し、当該コンテナ（仮想環境）上にてプログラムを実行するものであってもよい。

　仮想オペレーティングシステムを用いて起動した車載ＥＣＵ２の制御部２０は、構築したいずれかの仮想環境（仮想ＥＣＵ２００）のうちの一つの仮想ＥＣＵ２００にて、全ての仮想環境を管理するプログラム（仮想環境管理プログラム）を実行する。すなわち、仮想環境管理プログラムを実行する仮想ＥＣＵ２００は、仮想オペレーティングシステムのコントロールパネルとして機能するものであり、管理部２１０に相当する。又は、仮想オペレーティングシステム自体が、管理部２１０としての機能を包含するものであってもよい。制御部２０とは別個のデバイスである検証部２４は、仮想オペレーティングシステムによる仮想化の対象外となり、当該検証部２４は、管理部２１０（仮想オペレーティングシステムのコントロールパネル）又は制御部２０を構成するコアと通信するものとなる。

　記憶部２１には、後述する割当時間情報（第１割当時間テーブル２１Ａ、第２割当時間テーブル２１Ｂ）が記憶されている。管理部２１０は、検証部２４からの出力内容（第１検出結果、第２検出結果）に応じて、第１割当時間テーブル２１Ａ又は第２割当時間テーブル２１Ｂを選択し、選択したテーブルに基づき、個々の仮想環境（仮想ＥＣＵ２００）に対する制御部２０（コアそれぞれ）の利用時間の割当（スケジューリング）を行う。

　図４は、仮想ＥＣＵ２００における機能部を例示する機能ブロック図である。図５は、第１割当時間テーブル２１Ａ（第１割当時間情報）を例示する説明図である。図６は、第２割当時間テーブル２１Ｂ（第２割当時間情報）を例示する説明図である。

　仮想ＥＣＵ２００の仮想制御部（制御部２０）は、当該仮想ＥＣＵ２００の仮想記憶部（記憶部２１）に記憶されているプログラムを実行することにより、タスク生成部２０１として機能する。

　仮想オペレーティングシステムを実行する制御部２０又は、当該仮想オペレーティングシステムを管理するための仮想ＥＣＵ２００の仮想制御部（制御部２０）は、仮想記憶部（記憶部２１）に記憶されている仮想環境管理プログラムを実行することにより、仮想オペレーティングシステムのコントロールパネルとして機能し、本実施形態における管理部２１０に相当する。当該管理部２１０は、テーブル選択部２１１、及び割当実行部２１２を含む。

　制御部２０が、例えばマルチコアにて構成される場合、当該管理部２１０（仮想オペレーティングシステムのコントロールパネル）に対し利用時間が割り当てられるコアと、車載装置３等の制御を行うためのプログラムの動作環境となる仮想環境（仮想ＥＣＵ２００）に対し利用時間が割り当てられるコアとは、異なるコアであってもよい。

　管理部２１０は、例えば記憶部２１に記憶されている割当時間情報を参照することにより、仮想ＥＣＵ２００に対し、制御部２０を構成するいずれかのコアの利用時間を、割り当てる処理（スケジューリング）を継続して行っている。本実施形態における図示のとおり、管理部２１０が参照する割当時間情報は、例えば第１割当時間テーブル２１Ａ、及び第２割当時間テーブル２１Ｂとして、テーブル形式（ルックアップテーブル）にて記憶部２１に記憶されている。

　第１割当時間テーブル２１Ａ、及び第２割当時間テーブル２１Ｂの管理項目は、仮想ＥＣＵ２００の項目、割当コアの項目、割当周期の項目、割当時間の項目、プログラム種別の項目、ＡＳＩＬの項目、及び優先度の項目を含む。すなわち、第１割当時間テーブル２１Ａ及び第２割当時間テーブル２１Ｂの管理項目は、同一である。

　仮想ＥＣＵ２００の項目には、同一の制御部２０（コア）を時分割することにより共用する仮想ＥＣＵ２００の名称又は識別子が格納される。本実施形態における第１割当時間テーブル２１Ａにおいては、優先度の高い仮想ＥＣＵ２００（ＶＭ１、ＶＭ５）のみが、定義されている。第２割当時間テーブル２１Ｂにおいては、優先度の高い仮想ＥＣＵ２００及び低い仮想ＥＣＵ２００からなる全ての仮想ＥＣＵ２００（ＶＭ１からＶＭ７）が、定義されている。従って、管理部２１０は、第１割当時間テーブル２１Ａを選択することにより、優先度の高い仮想ＥＣＵ２００（ＶＭ１、ＶＭ５）のみを対象とした制御部２０（コア１、コア２）の利用時間の割り当てを行うことができる。管理部２１０は、第２割当時間テーブル２１Ｂを選択することにより、全ての仮想ＥＣＵ２００（ＶＭ１からＶＭ７）を対象とした制御部２０（コア１、コア２）の利用時間の割り当てを行うことができる。

　割当コアの項目には、対応する仮想ＥＣＵ２００（同じレコードに格納される仮想ＥＣＵ２００）に割り当てられるコアの番号又は識別子が格納される。周期的（定常的）に割当が行われる仮想ＥＣＵ２００（ＶＭ１からＶＭ６）に対しては、いずれか一つのコアの番号が、格納される。これにより、各仮想ＥＣＵ２００は、どのコア（コア番号）の利用時間が割り当てられるかが、定められている。本実施形態における第１割当時間テーブル２１Ａにおいては、仮想ＥＣＵ２００（ＶＭ１）は、コア１に割り当てられ、仮想ＥＣＵ２００（ＶＭ５）は、コア２に割り当てられている。第２割当時間テーブル２１Ｂにおいては、仮想ＥＣＵ２００（ＶＭ１、ＶＭ２、ＶＭ３、ＶＭ４）は、コア１に割り当てられ、仮想ＥＣＵ２００（ＶＭ５、ＶＭ６、ＶＭ７）は、コア２に割り当てられている。

　割当周期の項目には、周期的（定常的）に割当が行われる仮想ＥＣＵ２００における割当周期が、格納される。割当時間の項目には、周期的（定常的）に制御部２０の利用時間が割り当てられる仮想ＥＣＵ２００において、それぞれの仮想ＥＣＵ２００に割り当てられる割当時間が格納される。これら割当時間の合算値が、割当周期に相当する。

　本実施形態における第１割当時間テーブル２１Ａにおいては、単一のコアに対し割り当てられる仮想ＥＣＵ２００の個数も１つであるため、割当周期と割当時間とは、等しい値となる。第２割当時間テーブル２１Ｂにおいては、単一のコアに対し割り当てられる仮想ＥＣＵ２００の個数は２つ以上であるため、それぞれのコアにおいて、それぞれの仮想ＥＣＵ２００に割り当てられる割当時間の合算値が、割当周期に相当する。

　プログラム種別の項目には、対応する（同じレコードに格納される）各仮想ＥＣＵ２００（仮想環境）にて実行されるプログラムの種別が格納されている。ＡＳＩＬの項目には、実行されるプログラムの安全性指標を示すＡＳＩＬのレベルが格納される。優先度の項目は、プログラムの優先度を示す値（本実施形態では、高／低）が格納される。当該優先度に基づき、当該プログラムに対応する仮想ＥＣＵ２００に対する検証部２４の検証の順番、及び管理部２１０による仮想ＥＣＵ２００の生成の順番が、決定される。当該優先度は、対応する車載装置３及び実行するプログラムの機能に基づいて決定されるものであり、例えばＩＳＯ２６２６２のＡＳＩＬ（Automotive Safety Integrity Level）に基づいて決定されるものであってもよい。ＡＳＩＬのレベルは、ＱＭ、ＡＳＩＬ－Ａ，ＡＳＩＬ－Ｂ，ＡＳＩＬ－Ｃ，ＡＳＩＬ－Ｄのレベルに分類される。ＱＭレベルは、ＩＳＯ２６２６２による機能安全を適用しなくてもよい通常の品質管理である。ＡＳＩＬ－ＡからＤのレベルにおいては、ＩＳＯ２６２６２による機能安全の適用が必要となるレベルであり、ＡＳＩＬ－ＡからＡＳＩＬ－Ｄになるについて、機能安全要件が厳しくなる。すなわち、ＱＭレベルの優先度が最も低く、ＡＳＩＬ－Ｄレベルの優先度が最も高いとみなすことができる。本実施形態において、プログラムの優先度を示す指標としてＡＳＩＬを用いるとしたが、これに限定されない。当該プログラムの優先度は、ＡＳＩＬとは別個の値（優先度設定値）により決定されるものであってもよく、当該優先度設定値は、例えば、車載システムＳの利用者、管理者又は製造者によって、個々に変更可能に設定されるものであってもよい。

　本実施形態においては、コア１及びコア２にて実行されるプログラムの内、ＡＳＩＬ－Ｄのプログラム及び当該プログラムの動作環境となる仮想ＥＣＵ２００（コア１：ＶＭ１、コア２：ＶＭ５）の優先度を、高い優先度としている。これ以外の仮想ＥＣＵ２００（ＶＭ２、ＶＭ３、ＶＭ４、ＶＭ６、ＶＭ７）の優先度を、低い優先度としている。本実施形態における優先度の区分けは、一例であり、これに限定されるものでないことは、言うまでもない。

　検証部２４は、例えば記憶部２１に記憶されている第１割当時間テーブル２１Ａを参照し、制御部２０を構成するそれぞれのコアに対応する仮想ＥＣＵ２００において、高い優先度の仮想ＥＣＵ２００に対する検証を行い、第１検証結果（リセット解除信号）をテーブル選択部２１１に出力する。検証部２４は、当該第１検証結果としてリセット解除信号を、対応するそれぞれのコアに出力するものであってもよい。

　テーブル選択部２１１は、第１検証結果（リセット解除信号）に基づき、高い優先度の仮想ＥＣＵ２００に対応した第１スケジュールを定義している割当時間情報（第１割当時間テーブル２１Ａ）を選択し、当該第１割当時間テーブル２１Ａに応じた割当指示を割当実行部２１２に出力する。

　割当実行部２１２は、当該割当指示に基づき、高い優先度の仮想ＥＣＵ２００を生成し、割り当てられている制御部２０（コア）の利用時間を割り当てる。

　高い優先度の仮想ＥＣＵ２００のタスク生成部２０１は、自仮想ＥＣＵ２００に適用される高い優先度のプログラムを実行してタスクを生成し、当該タスクによって、より細分化又は区分化された処理単位が実行されるものとなる。

　検証部２４は、例えば記憶部２１に記憶されている第２割当時間テーブル２１Ｂを参照し、制御部２０を構成するそれぞれのコアに対応する仮想ＥＣＵ２００において、低い優先度の仮想ＥＣＵ２００に対する検証を行い、第２検証結果をテーブル選択部２１１に出力する。検証部２４による低い優先度の仮想ＥＣＵ２００に対する検証に関する処理と、管理部２１０による高い優先度の仮想ＥＣＵ２００に関する処理とは、並行して実行される。

　テーブル選択部２１１は、第２検証結果に基づき、全ての仮想ＥＣＵ２００（高い優先度及び低い優先度の仮想ＥＣＵ２００）に対応した第２スケジュールを定義している割当時間情報（第２割当時間テーブル２１Ｂ）を選択し、当該第２割当時間テーブル２１Ｂに応じた割当指示を割当実行部２１２に出力する。

　割当実行部２１２は、当該割当指示に基づき、低い優先度の仮想ＥＣＵ２００を生成する。これより、全ての仮想ＥＣＵ２００が生成されるものとなる。割当実行部２１２は、全ての仮想ＥＣＵ２００に対し、それぞれに仮想ＥＣＵ２００に対し割り当てられている制御部２０（コア）の利用時間を割り当てる。すなわち、割当実行部２１２は、検証部２４からの出力内容に基づき、第１スケジュール（第１割当時間テーブル２１Ａ）から第２スケジュール（第２割当時間テーブル２１Ｂ）に切り替えて再スケジュールを行う再スケジュール部として機能する。

　図７は、仮想環境に対する制御部２０の割当時間帯に関する説明図である。本実施形態における例示として、制御部２０は、２つのコアから構成されるデュアルコアＣＰＵである。

　検証部２４は、セキュアブート処理（セキュアブートシーケンス）を開始するにあたり、自部におけるファームウェア（ＦＷ）の起動後、コア１及びコア２において高い優先度の仮想ＥＣＵ２００（ＶＭ１等）の検証を行い、それぞれのコアに対し第１検出結果（リセット解除信号）を出力する。検証部２４は、当該第１検出結果（リセット解除信号）の出力後、低い優先度の仮想ＥＣＵ２００の検証を行い、第２検出結果を出力する。

　第１検出結果（リセット解除信号）が入力されたそれぞれのコアは、例えばＨｙｐｅｒｖｉｓｏｒ及びＡＵＴＯＳＡＲ等の規格によるＢＳＷ（Basic Soft Ware）の初期化を行い、当該コアの利用時間が割り当てられる高い優先度の仮想ＥＣＵ２００が、生成される。当該高い優先度の仮想ＥＣＵ２００（仮想環境）において、高い優先度のプログラムが実行（起動）される。

　仮想オペレーティングシステムのコントロールパネルとして機能する管理部２１０は、第１割当時間テーブル２１Ａに基づき、これら高い優先度の仮想ＥＣＵ２００に対する制御部２０（コア）の利用時間の割り当て（スケジューリング）を行う。

　第２検出結果が入力されたそれぞれのコアにおいては、当該コアの利用時間が割り当てられる低い優先度の仮想ＥＣＵ２００が生成される。当該低い優先度の仮想ＥＣＵ２００（仮想環境）において、低い優先度のプログラムが実行（起動）される。これにより、全ての仮想ＥＣＵ２００が生成され、それぞれの仮想ＥＣＵ２００（仮想環境）において、それぞれのプログラムが実行（起動）される。

　仮想オペレーティングシステムのコントロールパネルとして機能する管理部２１０は、第２割当時間テーブル２１Ｂに基づき、全ての仮想ＥＣＵ２００に対する制御部２０（コア）の利用時間の割り当て（スケジューリング）を行う。

　それぞれのコアにおける高優先度の仮想環境の生成及び当該高優先度の仮想環境にて高優先度のプログラムを実行（起動）する処理と、検証部２４による低優先度の仮想ＥＣＵ２００に対する検証とは、並行して行われる。これにより、高優先度のプログラムを早期に実行（起動）しつつ、検証部２４による検証を遅延させることなく、効率的にセキュアブート処理を実施することができる。

　図８は、制御部２０及び検証部２４によるシーケンスを例示した説明図である。本実施形態における図示において、制御部２０（コア１、コア２）はデュアルコアＣＰＵにより構成されるものとしている。本実施形態における制御部２０及び検証部２４の処理は、車載ＥＣＵ２の起動時に行われるセキュアブートシーケンスの一環として行われる。

　検証部２４は、コア１にて実行される高優先度の仮想ＥＣＵ２００（ゲストＯＳ、プログラム）の検証を行う（Ｓ０１）。検証部２４は、コア１における第１検証結果を制御部２０に出力（送信）する（Ｓ０２）。検証部２４は、当該第１検証結果として、コア１に対しリセット解除信号を出力するものであってもよい。又は、検証部２４は、当該第１検証結果の出力に併せて、コア１に対しリセット解除信号を出力するものであってもよい。当該リセット解除信号が入力されることにより、コア１のリセット解除が行われ、コア１は、非活性状態（ノンアクティブ）から活性状態（アクティブ）に遷移する。

　制御部２０は、コア１における第１検証結果を取得する（Ｓ０３）。制御部２０は、第１検証結果に基づき、コア１にて実行される高優先度の仮想環境（仮想ＥＣＵ２００：ＶＭ１）を生成し、当該仮想環境を動作環境として高優先度のプログラムを実行（起動）する（Ｓ０４）。制御部２０は、第１スケジュールにてコア１における割当時間のスケジューリングを行う（Ｓ０５）。本実施形態における第１スケジュール（第１割当時間テーブル２１Ａ）においては、高優先度の仮想ＥＣＵ２００（ＶＭ１）に対してのみコア１（制御部２０）の利用時間が、割り当てられる。ＨｙｐｅｒＶｉｓｏｒ等の仮想化オペレーティングシステムからの観点においては、仮想環境（仮想ＥＣＵ２００）の生成及び当該仮想環境（仮想ＥＣＵ２００）に対するコア１の利用時間の割り当てに関する制御は、仮想オペレーティングシステムのコントロールパネルとして機能する管理部２１０によって行われる。

　検証部２４は、コア２にて実行される高優先度の仮想ＥＣＵ２００（ゲストＯＳ、プログラム）の検証を行う（Ｓ０６）。検証部２４は、コア２における第１検証結果を制御部２０に出力（送信）する（Ｓ０７）。検証部２４は、当該第１検証結果として、コア２に対しリセット解除信号を出力するものであってもよい。又は、検証部２４は、当該第１検証結果の出力に併せて、コア２に対しリセット解除信号を出力するものであってもよい。当該リセット解除信号が入力されることにより、コア２のリセット解除が行われ、コア２は、非活性状態（ノンアクティブ）から活性状態（アクティブ）に遷移する。

　制御部２０は、コア２における第１検証結果を取得する（Ｓ０８）。制御部２０は、第１検証結果に基づき、コア２にて実行される高優先度の仮想環境（仮想ＥＣＵ２００：ＶＭ５）を生成し、当該仮想環境を動作環境として高優先度のプログラムを実行（起動）する（Ｓ０９）。制御部２０は、第１スケジュールにてコア２における割当時間のスケジューリングを行う（Ｓ１０）。本実施形態における第１スケジュール（第１割当時間テーブル２１Ａ）においては、高優先度の仮想ＥＣＵ２００（ＶＭ５）に対してのみコア２（制御部２０）の利用時間が、割り当てられる。ＨｙｐｅｒＶｉｓｏｒ等の仮想化オペレーティングシステムからの観点においては、仮想環境（仮想ＥＣＵ２００）の生成及び当該仮想環境（仮想ＥＣＵ２００）に対するコア２の利用時間の割り当てに関する制御は、仮想オペレーティングシステムのコントロールパネルとして機能する管理部２１０によって行われる。

　検証部２４は、コア１にて実行される低優先度の仮想ＥＣＵ２００（ゲストＯＳ、プログラム）の検証を行う（Ｓ１１）。検証部２４は、コア１における第２検証結果を制御部２０に出力（送信）する（Ｓ１２）。

　制御部２０は、コア１における第２検証結果を取得する（Ｓ１３）。制御部２０は、第２検証結果に基づき、コア１にて実行される低優先度の仮想環境（仮想ＥＣＵ２００：ＶＭ２、ＶＭ３、ＶＭ４）を生成し、当該仮想環境を動作環境として低優先度のプログラムを実行（起動）する（Ｓ１４）。制御部２０は、第２スケジュール（第２割当時間テーブル２１Ｂ）にてコア１における割当時間のスケジューリングを行う（Ｓ１５）。本実施形態における第２スケジュール（第２割当時間テーブル２１Ｂ）においては、コア１を共用する全ての仮想ＥＣＵ２００（ＶＭ１、ＶＭ２、ＶＭ３、ＶＭ４）に対し、当該コア１（制御部２０）の利用時間が、割り当てられる。

　検証部２４は、コア２にて実行される低優先度の仮想ＥＣＵ２００（ゲストＯＳ、プログラム）の検証を行う（Ｓ１６）。検証部２４は、コア２における第２検証結果を制御部２０に出力（送信）する（Ｓ１７）。

　制御部２０は、コア２における第２検証結果を取得する（Ｓ１８）。制御部２０は、第２検証結果に基づき、コア２にて実行される低優先度の仮想環境（仮想ＥＣＵ２００：ＶＭ６、ＶＭ７）を生成し、当該仮想環境を動作環境として低優先度のプログラムを実行（起動）する（Ｓ１９）。制御部２０は、第２スケジュール（第２割当時間テーブル２１Ｂ）にてコア２における割当時間のスケジューリングを行う（Ｓ２０）。本実施形態における第２スケジュール（第２割当時間テーブル２１Ｂ）においては、コア２を共用する全ての仮想ＥＣＵ２００（ＶＭ５、ＶＭ６、ＶＭ７）に対し、当該コア２（制御部２０）の利用時間が、割り当てられる。

　車載ＥＣＵ２は、制御部２０（管理部２１０）による高優先度の仮想環境の生成及び当該高優先度の仮想環境にて高優先度のプログラムを実行（起動）する処理と、検証部２４による低優先度の仮想ＥＣＵ２００に対する検証とを、並行して行う。これにより、高優先度の仮想ＥＣＵ２００（仮想環境）を早期に生成して高優先度のプログラムを早期に実行（起動）しつつ、検証部２４による全ての仮想ＥＣＵ２００（仮想環境）に対する検証を遅延させることなく、効率的にセキュアブート処理を実施することができる。

　図９は、車載ＥＣＵ２の制御部２０及び検証部２４の処理を例示するフローチャートである。車載ＥＣＵ２の制御部２０は、例えば、車両Ｃが停止状態（ＩＧスイッチがオフ）から起動状態（ＩＧスイッチがオン）に状態遷移するにあたり、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理（セキュアブートシーケンス）に基づき、以下の処理を行う。

　車載ＥＣＵ２の検証部２４は、高い優先度の仮想ＥＣＵ２００の検証を行う（Ｓ１０１）。検証部２４は、例えば記憶に記憶されている第１割当時間テーブル２１Ａを参照し、それぞれのコアに関連付けられている高い優先度の仮想ＥＣＵ２００を特定する。仮想ＥＣＵ２００に対する検証を行うにあたり、検証部２４は、当該仮想ＥＣＵ２００にて実行されるプログラム及び起動されるゲストＯＳに対する検証を行うものであってもよい。又は、仮想ＥＣＵ２００それぞれに対し、記憶部２１における記憶領域が区分化されている場合、検証部２４は、当該仮想ＥＣＵ２００に対応する記憶領域にて記憶されているプログラム又はゲストＯＳに対する検証を行うものであってもよい。車載ＥＣＵ２の制御部２０が、例えば複数のコアを含むマルチコアＣＰＵによって構成されている場合、検証部２４は、それぞれのコアにて実行される高い優先度の仮想ＥＣＵ２００（高優先度の仮想ＥＣＵ２００）に対する検証を順次に行う。

　車載ＥＣＵ２の検証部２４は、全てのコアにおける高い優先度の仮想ＥＣＵ２００の検証が完了したか否かを判定する（Ｓ１０２）。全てのコアにおける高い優先度の仮想ＥＣＵ２００の検証が完了していない場合（Ｓ１０２：ＮＯ）、車載ＥＣＵ２の検証部２４は、再度Ｓ１０１の処理を実行すべく、ループ処理を行う。

　全てのコアにおける高い優先度の仮想ＥＣＵ２００の検証が完了した場合（Ｓ１０２：ＹＥＳ）、車載ＥＣＵ２の検証部２４は、第１検証結果（リセット解除信号）を出力する（Ｓ１０３）。検証部２４は、各コアそれぞれにおける第１検証結果を出力するにあたり、検証が完了したコア毎に当該第１検証結果を出力するものであってもよい。制御部２０が、２つのコア（コア１、コア２）を含むデュアルコアＣＰＵによって構成される場合、検証部２４は、コア１における高い優先度の仮想ＥＣＵ２００の検証が完了した際にコア１に対する第１検証結果を出力し、当該第１検証結果の出力後、コア２における高い優先度の仮想ＥＣＵ２００の検証が完了した際にコア２に対する第１検証結果を出力するものであってもよい。

　車載ＥＣＵ２の検証部２４は、低い優先度の仮想ＥＣＵ２００の検証を行う（Ｓ１０４）。検証部２４は、例えば記憶部２１に記憶されている第２割当時間テーブル２１Ｂを参照し、それぞれのコアに関連付けられている低い優先度の仮想ＥＣＵ２００を特定する。

　車載ＥＣＵ２の検証部２４は、全てのコアにおける低い優先度の仮想ＥＣＵ２００の検証が完了したか否かを判定する（Ｓ１０５）。全てのコアにおける低い優先度の仮想ＥＣＵ２００の検証が完了していない場合（Ｓ１０５：ＮＯ）、車載ＥＣＵ２の検証部２４は、再度Ｓ１０５の処理を実行すべく、ループ処理を行う。

　車載ＥＣＵ２の検証部２４は、第２検証結果を出力する（Ｓ１０６）。検証部２４は、各コアそれぞれにおける第２検証結果を出力するにあたり、検証が完了したコア毎に当該第２検証結果を出力するものであってもよい。制御部２０が、２つのコア（コア１、コア２）を含むデュアルコアＣＰＵによって構成される場合、検証部２４は、コア２における低い優先度の仮想ＥＣＵ２００の検証が完了した際にコア２に対する第２検証結果を出力し、当該第２検証結果の出力後、コア２における低い優先度の仮想ＥＣＵ２００の検証が完了した際にコア２に対する第２検証結果を出力するものであってもよい。

　以下の処理が、仮想オペレーティングシステムのコントロールパネルとして機能する管理部２１０にて実行される場合、当該管理部２１０の実体は、車載ＥＣＵ２の制御部２０である。車載ＥＣＵ２の管理部２１０は、第１検証結果（リセット解除信号）を取得したか否かを判定する（Ｓ１１１）。管理部２１０は、検証部２４から出力される第１検証結果（リセット解除信号）を取得したか否かを判定する。管理部２１０の実態である制御部２０は、ＨＳＭ等により構成される検証部２４から出力される第１検証結果（リセット解除信号）を待ち受ける状態にある。従って、管理部２１０は、第１検証結果が入力された場合、車載ＥＣＵ２における起動時の処理が行われていることを認識することができる。当該第１検証結果がリセット解除信号を含む場合、又は第１検証結果がリセット解除信号に相当する場合、リセット解除信号が入力されたコアは、活性状態となる。リセット解除信号により活性状態に遷移したコアにおいて、例えばＨｙｐｅｒｖｉｓｏｒ及びＡＵＴＯＳＡＲ等の規格によるＢＳＷ（Basic Soft Ware）の初期化が行われるものであってもよい。

　第１検証結果（リセット解除信号）を取得した場合（Ｓ１１１：ＹＥＳ）、車載ＥＣＵ２の管理部２１０は、第１スケジュールを選択する（Ｓ１１２）。管理部２１０は、第１スケジュールを定義している第１割当時間テーブル２１Ａを、制御部２０（コア）の利用時間を仮想ＥＣＵ２００に割り当てるための用いるスケジュールテーブルとして選択する。第１割当時間テーブル２１Ａには、制御部２０がマルチコアＣＰＵで構成されている場合、各コアにおいて利用時間が割り当てられる高優先度の仮想ＥＣＵ２００の割当時間帯及び割当周期が定義されている。

　車載ＥＣＵ２の管理部２１０は、選択したスケジュール（第１スケジュール）に基づき、スケジューリングを実行する（Ｓ１１３）。管理部２１０は、第１割当時間テーブル２１Ａにて定義されている内容に基づき、制御部２０（コア）の利用時間を仮想ＥＣＵ２００に割り当てる。これにより、第１検証結果（リセット解除信号）において検証対象となった高い優先度の仮想ＥＣＵ２００（高優先度の仮想ＥＣＵ２００）に対し、制御部２０（コア）の利用時間が、第１スケジュール（第１割当時間テーブル２１Ａ）に基づき割り当てられ、当該高優先度の仮想ＥＣＵ２００（仮想環境）上で、高優先度のプログラムが実行（起動）される。

　車載ＥＣＵ２の管理部２１０は、Ｓ１１３の処理の実行後、又は第１検証結果（リセット解除信号）を取得していない場合（Ｓ１１１：ＮＯ）、車載ＥＣＵ２の管理部２１０は、第２検証結果を取得したか否かを判定する（Ｓ１１１１）。管理部２１０は、検証部２４からの第２検証結果が入力されたか否かに基づき、当該第２検証結果を取得したか否かを判定する。第２検証結果を取得していない場合（Ｓ１１１１：ＮＯ）、車載ＥＣＵ２の管理部２１０は、再度Ｓ１１１１の処理を実行すべく、ループ処理を行う。

　第２検証結果を取得した場合（Ｓ１１１１：ＹＥＳ）、車載ＥＣＵ２の管理部２１０は、第２スケジュールを選択する（Ｓ１１１２）。第２検証結果を取得した場合、検証部２４により、全ての仮想ＥＣＵ２００（プログラム及びゲストＯＳ）に対する検証が完了したものであり、すなわち第２検証結果は、全仮想ＥＣＵ２００の検証完了通知に相当する。管理部２１０は、第２スケジュールを定義している第２割当時間テーブル２１Ｂを、制御部２０（コア）の利用時間を仮想ＥＣＵ２００に割り当てるための用いるスケジュールテーブルとして選択する。第２割当時間テーブル２１Ｂには、制御部２０がマルチコアＣＰＵで構成されている場合、各コアにおいて利用時間が割り当てられる全ての仮想ＥＣＵ２００の割当時間帯及び割当周期が定義されている。

　車載ＥＣＵ２の管理部２１０は、選択したスケジュール（第２スケジュール）に基づき、スケジューリングを実行する（Ｓ１１１３）。管理部２１０は、第２割当時間テーブル２１Ｂにて定義されている内容に基づき、制御部２０（コア）の利用時間を仮想ＥＣＵ２００に割り当てる。これにより、全ての仮想ＥＣＵ２００（高優先度の仮想ＥＣＵ２００、及び低優先度の仮想ＥＣＵ２００）に対し、制御部２０（コア）の利用時間が、第２スケジュール（第２割当時間テーブル２１Ｂ）に基づき割り当てられ、それぞれの仮想ＥＣＵ２００（仮想環境）上で、プログラムが実行（起動）される。これにより、車載ＥＣＵ２は、自ＥＣＵに適用されている全てのプログラムを、当該プログラムそれぞれに対応する仮想環境（動作環境）にて実行し、自ＥＣＵにて定められている機能仕様に応じた動作を開始する。

　管理部２１０による処理Ｓ１１１において、トリガーとなる検証部２４の処理は、第１検証結果（リセット解除信号）の出力（Ｓ１０３）である。従って、管理部２１０における処理Ｓ１１２からＳ１１１２まで期間において、高優先度の仮想ＥＣＵ２００（仮想環境）にて高優先度のプログラムが実行（起動）されると共に、これに並行して、検証部２４によって、低い優先度の仮想ＥＣＵ２００の検証に関する処理（Ｓ１０４からＳ１０６）が行われる。管理部２１０及び検証部２４による処理を並行して行うことにより、高優先度の仮想ＥＣＵ２００（仮想環境）を早期に生成して高優先度のプログラムを早期に実行（起動）しつつ、検証部２４による全ての仮想ＥＣＵ２００（仮想環境）に対する検証を遅延させることなく、効率的にセキュアブート処理を実施することができる。

　車載ＥＣＵ２の管理部２１０は、本フローチャートにおける一連の処理（Ｓ１１１からＳ１１１３）を行うにあたり、マルチコアＣＰＵで構成されている制御部２０が有するコアの個数に応じて、当該一連の処理を行うプロセスを生成し、各コア毎にて当該一連の処理を行うものであってもよい。すなわち、車載ＥＣＵ２の管理部２１０は、例えば、制御部２０のコア数と同数のサブプロセス又はスレッドを生成し、各サブプロセス等にて、それぞれのコア（コア１、コア２）に応じた一連の処理（Ｓ１１１からＳ１１１３）を行い、各コアにおける仮想ＥＣＵ２００の生成及びスケジューリングに関する処理を並行して行うものであってもよい。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　Ｃ　車両
　Ｓ　車載システム
　１００　外部サーバ
　１　車外通信装置
　１１　アンテナ
　２　車載ＥＣＵ
　２０　制御部
　２１　記憶部
　２１Ａ　第１割当時間テーブル
　２１Ｂ　第２割当時間テーブル
　２２　入出力Ｉ／Ｆ
　２３　車内通信部
　２４　検証部
　２００　仮想ＥＣＵ（仮想環境）
　２０１　タスク生成部
　２１０　管理部
　２１１　テーブル選択部
　２１２　割当実行部
　３　車載装置
　３０　アクチュエータ（ＡＣＴ）
　３１　センサ
　４　車載ネットワーク

Claims

　車両に搭載される車載ＥＣＵであって、
　複数のプログラムを実行する制御部と、
　自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、
　前記制御部によって起動される仮想化オペレーティングシステムが記憶されている記憶部とを備え、
　前記仮想化オペレーティングシステムを起動することにより、前記プログラムの動作環境となる複数の仮想環境が生成され、
　前記複数の仮想環境は、前記プログラムに応じた異なる優先度の仮想環境を含み、
　前記検証部は、
　前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、
　前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、
　前記仮想化オペレーティングシステムを管理する管理部は、
　前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対する前記制御部の割当時間帯を異ならせる
　車載ＥＣＵ。
　前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間は、前記優先度の高い仮想環境を動作環境とするプログラムの実行と、前記優先度の低い仮想環境を動作環境とするプログラムの検証とが、並行して行われる
　請求項１に記載の車載ＥＣＵ。
　前記仮想化オペレーティングシステムを管理する管理部は、
　前記第１検証結果に応じて、前記優先度の高い仮想環境に対し前記制御部の割当時間帯を割り当てる第１割当制御を開始し、
　前記第２検証結果が出力された以降は、前記優先度の高い仮想環境及び前記優先度の低い仮想環境に対し、前記制御部の割当時間帯を割り当てる第２割当制御を開始する
　請求項１又は請求項２に記載の車載ＥＣＵ。
　前記記憶部には、前記複数の仮想環境に対する前記制御部の割当時間帯を定める割当時間情報が記憶されており、
　前記割当時間情報は、前記第１割当制御に対応した第１割当時間情報と、前記第２割当制御に対応した第２割当時間情報とを含み、
　前記管理部は、参照する割当時間情報として、前記第１割当時間情報から前記第２割当時間情報に切り替えることにより、前記第１割当制御から、前記第２割当制御に変更する
　請求項３に記載の車載ＥＣＵ。
　前記検証部は、
　前記第１検証結果を出力するにあたり、前記優先度の高い仮想環境にて起動されるゲストＯＳの検証を行い、
　前記第２検証結果を出力するにあたり、前記優先度の低い仮想環境にて起動されるゲストＯＳの検証を行う
　請求項１から請求項４のいずれか１項に記載の車載ＥＣＵ。
　前記優先度は、ＩＳＯ２６２６２のＡＳＩＬ（Automotive Safety Integrity Level）に基づき決定される
　請求項１から請求項５のいずれか１項に記載の車載ＥＣＵ。
　前記制御部は、複数のコアを備えるマルチコアＣＰＵにて構成されており、
　前記複数の仮想環境それぞれは、前記複数のコアの内のいずれかのコアに割り当てられるものであり、
　前記検証部は、
　前記複数のコアそれぞれに割り当てられる、全ての前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき前記第１検証結果を出力し、
　前記第１検証結果の出力後、複数の前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき前記第２検証結果を出力し、
　前記管理部は、前記複数のコアそれぞれにおいて、前記複数の仮想環境に対する割当時間帯の割当を行う
　請求項１から請求項６のいずれか１項に記載の車載ＥＣＵ。
　車両に搭載され、仮想化オペレーティングシステムを起動することにより生成される複数の仮想環境において、複数のプログラムを実行するコンピュータに処理を実行させるプログラムであって、
　前記複数の仮想環境は、該仮想環境を動作環境とするプログラムに応じた異なる優先度の仮想環境を含み、
　前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、
　前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、
　　前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対するコンピュータの制御部の割当時間帯を異ならせる
　処理を実行させるプログラム。
　車両に搭載され、仮想化オペレーティングシステムを起動することにより生成される複数の仮想環境において、複数のプログラムを実行するコンピュータに処理を実行させる情報処理方法であって、
　前記複数の仮想環境は、該仮想環境を動作環境とするプログラムに応じた異なる優先度の仮想環境を含み、
　前記優先度の高い仮想環境を動作環境とするプログラムの検証に基づき第１検証結果を出力し、
　前記第１検証結果の出力後、前記優先度の低い仮想環境を動作環境とするプログラムの検証に基づき第２検証結果を出力し、
　　前記第１検証結果が出力されてから前記第２検証結果が出力されるまでの間と、前記第２検証結果が出力された以降とでは、前記複数の仮想環境に対するコンピュータの制御部の割当時間帯を異ならせる
　処理を実行させる情報処理方法。