WO2022102385A1

WO2022102385A1 - 車載ｅｃｕ、プログラム及び情報処理方法

Info

Publication number: WO2022102385A1
Application number: PCT/JP2021/039220
Authority: WO
Inventors: 慎一相羽
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2020-11-12
Filing date: 2021-10-25
Publication date: 2022-05-19
Also published as: CN116419871A; US20230409316A1; JP2022077803A

Abstract

車載ＥＣＵは、車両に搭載される車載ＥＣＵであって、複数のプログラムを実行する制御部と、自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、前記複数のプログラムそれぞれが記憶される第１記憶領域と、前記複数のプログラムそれぞれに対応する複数の退避プログラムそれぞれが記憶される第２記憶領域とを備え、前記制御部は、前記検証部による検証が肯定的なプログラムを実行し、前記検証部による検証が否定的なプログラムは実行せず、前記否定的なプログラムに対応する退避プログラムを実行する。

Description

車載ＥＣＵ、プログラム及び情報処理方法

　本開示は、車載ＥＣＵ、プログラム及び情報処理方法に関する。
　本出願は、２０２０年１１月１２日出願の日本出願第２０２０－１８８８１５号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　車両には、エンジン制御等のパワー・トレーン系、エアコン制御等のボディ系等の車載機器を制御するためのＥＣＵ（Electronic Control Unit）が搭載されている。ＥＣＵは、ＭＰＵ等の演算処理部、ＲＡＭ等の書換可能な不揮発性の記憶部、及び他のＥＣＵと通信するための通信部を含み、記憶部に記憶した制御プログラムを読み込んで実行することにより、車載機器の制御を行う。当該制御プログラムを実行するにあたり、ＥＣＵの起動時に制御プログラムの完全性を検証し、当該検証に成功した場合にＥＣＵの起動（ブート）を許可するセキュアブート方法が、知られている（例えば特許文献１参照）。

　特許文献１は、制御プログラムの完全性の検証において、失敗回数が規定値を超えた場合は問題のある制御プログラム（ソフトウェア）を起動しないフェールセーフを行う。

特開２０２０－１４４５３１号公報

　本開示の一態様に係る車載ＥＣＵは、車両に搭載される車載ＥＣＵであって、複数のプログラムを実行する制御部と、自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、前記複数のプログラムそれぞれが記憶される第１記憶領域と、前記複数のプログラムそれぞれに対応する複数の退避プログラムそれぞれが記憶される第２記憶領域とを備え、前記制御部は、前記検証部による検証が肯定的なプログラムを実行し、前記検証部による検証が否定的なプログラムは実行せず前記否定的なプログラムに対応する退避プログラムを実行する。

実施形態１に係る車載ＥＣＵを含む車載システムの構成を例示する模式図である。車載ＥＣＵの物理構成を例示するブロック図である。車載ＥＣＵの制御部の処理を例示するフローチャートである。実施形態２（第２記憶領域をメインメモリ）に係る車載ＥＣＵの制御部の処理を例示するフローチャートである。実施形態３（外部サーバから正規プログラムを取得）に係る車載ＥＣＵの制御部の処理を例示するフローチャートである。検証結果に基づくプログラムセットの分類を示す説明図である。実施形態４（オペレーティングシステムの検証）に係る車載ＥＣＵの制御部の処理を例示するフローチャートである。

［本開示が解決しようとする課題］
　特許文献１のＥＣＵは、セキュアブートの検証結果により起動できなかったプログラムに対する対応を行う点が考慮されていないという問題点がある。

　本開示の目的は、起動できなかったプログラムに対する対応を行うことができる車載ＥＣＵ等を提供する。

［本開示の効果］
　本開示の一態様によれば、起動できなかったプログラムに対する対応を行う車載ＥＣＵ等を提供することができる。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る車載ＥＣＵは、車両に搭載される車載ＥＣＵであって、複数のプログラムを実行する制御部と、自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、前記複数のプログラムそれぞれが記憶される第１記憶領域と、前記複数のプログラムそれぞれに対応する複数の退避プログラムそれぞれが記憶される第２記憶領域とを備え、前記制御部は、前記検証部による検証が肯定的なプログラムを実行し、前記検証部による検証が否定的なプログラムは実行せず、前記否定的なプログラムに対応する退避プログラムを実行する。

　本態様にあたっては、車載ＥＣＵ（Electronic Control Unit）が起動する際、検証部により複数のプログラムに対する検証が行われるものであり、すなわち、車載ＥＣＵは、当該検証部を用いたセキュアブートを行う。当該セキュアブートにて、第１記憶領域に記憶されているプログラムに対する検証部による検証が否定的な場合であっても、第１記憶領域とは異なる第２記憶領域には、当該プログラムに対応する退避プログラムが記憶されており、制御部は、当該退避プログラムを実行する。従って、検証部によるセキュアブートによって第１記憶領域に記憶されているいずれかのプログラムの検証結果が否定的な場合であっても、当該セキュアブートの検証結果により起動できなかったプログラムに対する対応（代替処置）として、第２記憶領域に記憶されている退避プログラムを実行し、車載ＥＣＵにおける機能保全を図ることができる。制御部は、複数のプログラムそれぞれに対する検証結果に応じて、退避プログラムを実行するか否かを判定するため、複数のプログラムにおける一部のプログラムにおいてのみ、否定的な検証結果となった場合、当該否定的なプログラムに対してのみ退避プログラムを実行する局所的な対応を行うことができる。従って、当該複数のプログラムが機能に応じた複数の機能区分に分類されている場合であっても、当該機能区分に応じた局所的な対応を行うことができる。

（２）本開示の一態様に係る車載ＥＣＵは、前記プログラムに対応する前記退避プログラムは、前記プログラムの以前のバージョンである旧バージョンプログラム、又は前記プログラムをバックアップしたバックアッププログラムである。

　本態様にあたっては、プログラムに対する検証部による検証が否定的な場合、当該否定的なプログラムに替えて制御部により実行される退避プログラムは、当該プログラムの以前のバージョンである旧バージョンプログラム、又は当該プログラムをバックアップしたバックアッププログラムであり、動作実績を有するものである。従って、車載ＥＣＵは、当該退避プログラムを実行することにより、実行できなかったプログラムと同等の機能を発揮することができる。

（３）本開示の一態様に係る車載ＥＣＵは、前記制御部は、前記退避プログラムを実行する場合、前記第２記憶領域に記憶されている前記退避プログラムを前記第１記憶領域にコピーして、前記否定的なプログラムを上書きし、前記第１記憶領域をメインメモリとして、前記退避プログラムを実行する。

　本態様にあたっては、制御部は、第２記憶領域に記憶されている退避プログラムを第１記憶領域にコピーして、否定的なプログラムを上書きし、当該第１記憶領域をメインメモリとして、退避プログラムを実行する。メインメモリは、プログラムがＣＰＵ等の制御部で実行される際、生成されるプロセスに割り当てられるメモリ空間（メモリ領域）を含む記憶領域である。従って、制御部によるプロセスの生成等において、メインメモリである第１記憶領域へのアクセス態様（メモリ制御）を変更することなく、退避プログラムを実行することができる。

（４）本開示の一態様に係る車載ＥＣＵは、前記制御部は、前記退避プログラムを実行する場合、前記退避プログラムが記憶されている前記第２記憶領域をメインメモリとして、前記退避プログラムを実行する。

　本態様にあたっては、制御部は、退避プログラムを実行する場合、退避プログラムが記憶されている第２記憶領域をメインメモリとして、退避プログラムを実行するため、当該退避プログラムを第１記憶領域にコピーする処理を不要とし、退避プログラムを実行する際における一連の処理に要する時間（所要時間）を、削減することができる。

（５）本開示の一態様に係る車載ＥＣＵは、前記検証部は、前記プログラム及び該プログラムに対応する前記退避プログラムの検証を行い、前記プログラム及び該プログラムに対応する前記退避プログラムに対する前記検証部による検証が共に否定的な場合、前記制御部は、前記車両外の外部サーバから、前記否定的なプログラムと同種の正規プログラムを取得し、取得した前記正規プログラムを実行する。

　本態様にあたっては、検証部は、第１記憶領域に記憶されているプログラム及び、第２記憶領域に記憶されており、当該プログラムに対応する退避プログラムについても、検証するため、セキュアブートにおける確実性を更に向上させることができる。プログラム及び当該プログラムに対応する退避プログラムが共に否定的な検証結果であっても、制御部は車両外の外部サーバから取得した正規プログラムを実行するため、車載ＥＣＵにおける機能保全を図ることができる。

（６）本開示の一態様に係る車載ＥＣＵは、前記制御部は、取得した前記正規プログラムを前記第１記憶領域及び前記第２記憶領域にコピーして、前記否定的なプログラム及び前記退避プログラムを上書きし、前記第１記憶領域をメインメモリとして前記正規プログラムを実行する。

　本態様にあたっては、プログラム及び当該プログラムに対応する退避プログラムが共に否定的な検証結果の場合、制御部は車両外の外部サーバから取得した正規プログラムを、第１記憶領域及び第２記憶領域にコピーして、否定的なプログラム及び退避プログラムを上書きする。当該プログラム及び退避プログラムに対する上書きを行うことにより、否定的なプログラム及び退避プログラムを実質的に消去（削除）し、車載ＥＣＵにて記憶されるプログラム及び退避プログラムの双方を正常化することができる。

（７）本開示の一態様に係る車載ＥＣＵは、前記制御部は、前記外部サーバから前記正規プログラムを取得できない場合、前記否定的なプログラムに応じた機能を発揮できないことを示す報知情報を出力する。

　本態様にあたっては、プログラム及び当該プログラムに対応する退避プログラムが共に否定的な検証結果の場合であって、更に外部サーバから正規プログラムを取得できない場合、制御部は、実行できなかったプログラム（否定的検証結果のプログラム）に応じた機能を発揮できないことを示す報知情報を、例えば外部サーバ又は、ハザードランプ等を用いた報知部に出力する。当該報知情報は、車両において少なくとも一部の機能を発揮することができない機能失陥を示す情報（レスキュー信号）に相当するものであってもよい。例えば、ハザードランプやクラクションを制御するボディＥＣＵ等の車載装置は、当該レスキュー信号を取得することにより、ハザードランプの点滅、クラクションの鳴らす等の駆動を行うものであってもよい。すなわち、これらハザードランプやクラクションを、当該車両の周辺に位置する他の車両の操作者に対し報知する報知部として機能させるものであってもよい。これにより、当該車載ＥＣＵが搭載された車両において機能失陥が発生したことを、外部サーバの管理者、又は、当該車両の周辺に位置する他の車両の操作者に対し報知することができる。

（８）本開示の一態様に係る車載ＥＣＵは、前記第１記憶領域には、前記複数のプログラムを実行するための動作環境を生成するオペレーティングシステムが記憶されており、前記第２記憶領域には、前記オペレーティングシステムに対応する退避オペレーティングシステムが記憶されており、前記検証部は、前記複数のプログラムそれぞれの検証に併せて、前記オペレーティングシステムの検証を行い、前記制御部は、前記検証部による前記オペレーティングシステムの検証が肯定的な場合、前記オペレーティングシステムを起動し、前記検証部による前記オペレーティングシステムの検証が否定的な場合、前記退避オペレーティングシステムを起動する

　本態様にあたっては、検証部は、前記複数のプログラムそれぞれの検証に併せて、前記オペレーティングシステムの検証を行い、制御部は、前記検証部による前記オペレーティングシステム（第１記憶領域に記憶）の検証が肯定的な場合、前記オペレーティングシステムを起動し、前記検証部による前記オペレーティングシステム（第２記憶領域に記憶）の検証が否定的な場合、前記退避オペレーティングシステムを起動する。当該オペレーティングシステムは、例えば、ＡＵＴＯＳＡＲに準拠したＯＳ（Operating System）、又はＬｉｎｕｘ（登録商標）等の車載用オペレーティングシステムである。第２記憶領域に記憶される退避オペレーティングシステムは、プログラムと同様に、第２記憶領域に記憶されるオペレーティングシステムの旧バージョンのオペレーティングシステム、又はバックアップした同バージョンのオペレーティングシステムであってもよい。従って、車載ＥＣＵの起動時におけるセキュアブート処理（セキュアブートシーケンス）において、オペレーティングシステムに対する検証結果に基づき、当該オペレーティングシステム又は退避オペレーティングシステムを起動し、セキュアな動作環境を構築することができる。

（９）本開示の一態様に係るプログラムは、車両に搭載され、複数のプログラムを実行するコンピュータに、自コンピュータを起動する際に、第１記憶領域に記憶されている前記複数のプログラムそれぞれの検証を行い、前記検証の結果が肯定的なプログラムを実行し、前記検証の結果が否定的なプログラムは実行せず、前記第１記憶領域とは異なる第２記憶領域に記憶されており、前記否定的なプログラムに対応する退避プログラムを実行する処理を実行させる。

　本態様にあたっては、コンピュータを、起動できなかったプログラムの対応を行うことができる車載ＥＣＵとして機能させることができる。

（１０）本開示の一態様に係る情報処理方法は、車両に搭載され、複数のプログラムを実行するコンピュータに、自コンピュータを起動する際に、第１記憶領域に記憶されている前記複数のプログラムそれぞれの検証を行い、前記検証の結果が肯定的なプログラムを実行し、前記検証の結果が否定的なプログラムは実行せず、前記第１記憶領域とは異なる第２記憶領域に記憶されており、前記否定的なプログラムに対応する退避プログラムを実行する処理を実行させる。

　本態様にあたっては、コンピュータを、起動できなかったプログラムの対応を行うことができる車載ＥＣＵとして機能させる情報処理方法を提供することができる。

[本開示の実施形態の詳細]
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載ＥＣＵ２を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る車載ＥＣＵ２を含む車載システムの構成を例示する模式図である。図２は、車載ＥＣＵ２の物理構成を例示するブロック図である。車載システムＳは、車両Ｃに搭載される複数の車載ＥＣＵ２及び、当該車載ＥＣＵ２に接続される車載装置３を含む。

　複数の車載ＥＣＵ２は、車両Ｃの全体を制御する統合的な車載ＥＣＵ２（統合ＥＣＵ）、及び当該統合的な車載ＥＣＵ２と通信可能に接続され、車載装置３と直接、接続される個別的な車載ＥＣＵ２（個別ＥＣＵ）を含むものであってもよい。統合的な車載ＥＣＵ２は、車外通信装置１を介して、インターネット等の外部ネットワークに接続される外部サーバ１００と、通信可能に接続されるものであってもよい。本実施形態において図示においては、統合的な車載ＥＣＵ２と、複数の個別的な車載ＥＣＵ２とは、スター状のネットワークトポロジーを形成する車載ネットワーク４によって通信可能に接続され、当該統合的な車載ＥＣＵ２は、スター状のネットワークトポロジーの中心（センター）に位置して設けられている。更に、隣接する個々の個別的な車載ＥＣＵ２同士が接続され、ループ状のネットワークトポロジーを構成し、双方向通信を可能として冗長化を図るものであってもよい。

　複数の個別的な車載ＥＣＵ２は、車両Ｃにおける各エリアに配置され、ハザードランプ、イルミネーションランプ又はクラクション又は等のアクチュエータ３０、及びセンサ等の車載装置３が、シリアルケーブル（じか線）等のワイヤーハーネスにて、直接接続されている。個別的な車載ＥＣＵ２は、例えば、センサから出力された信号（入力信号）を取得（受信）し、取得した入力信号に基づき生成した要求信号を統合的な車載ＥＣＵ２に送信する。個別的な車載ＥＣＵ２は、統合的な車載ＥＣＵ２から送信された制御信号に基づき、自ＥＣＵに直接、接続されたイルミネーションランプ等のアクチュエータ３０の駆動制御を行う。個別的な車載ＥＣＵ２は、当該個別的な車載ＥＣＵ２に接続される複数の車載装置３間の通信、又は車載装置３と他の車載ＥＣＵ２との通信を中継するゲートウェイ又はイーサスイッチ等の車載中継装置として機能する中継制御ＥＣＵであってもよい。個別的な車載ＥＣＵ２は、通信に関する中継に加え、蓄電装置５から出力された電力を分配及び中継し、自ＥＣＵに接続される車載装置３に供給する電力分配装置としても機能するＰＬＢ（Power Lan Box）であってもよい。

　統合的な車載ＥＣＵ２は、個別的な車載ＥＣＵ２等、他の車載ＥＣＵ２を介して中継された車載装置３からのデータに基づき、個々の車載装置３への制御信号を生成及び出力するものであり、例えばヴィークルコンピュータ等の中央制御装置である。統合的な車載ＥＣＵ２は、個別的な車載ＥＣＵ２等、他の車載ＥＣＵ２から出力（送信）される要求信号等の情報又はデータに基づき、当該要求信号の対象となるアクチュエータ３０を制御するための制御信号を生成し、生成した制御信号を他の車載ＥＣＵ２に出力（送信）する。本実施形態においては、統合的な車載ＥＣＵ２（統合ＥＣＵ）及び個別的な車載ＥＣＵ２（個別ＥＣＵ）により車載システムは構成されるとしたがこれに限定されない。車載システムは、例えばＣＡＮ（Controller Area Network）ゲートウェイ又はイーサスイッチ等の中継装置によってピアツーピアに接続された複数の車載ＥＣＵ２によって構成されるものであってもよい。

　車載装置３は、例えばＬｉＤＡＲ（Light Detection and Ranging）、ライトセンサ、ＣＭＯＳカメラ、赤外線センサ等の各種センサ３１及び、ドアＳＷ（スイッチ）、ランプＳＷ等のスイッチ、ランプ、ドア開閉装置、モータ装置等のアクチュエータ３０を含む。

　外部サーバ１００は、例えばインターネット又は公衆回線網等の車外ネットワークに接続されているサーバ等のコンピュータであり、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）又はハードディスク等による記憶部２１を備える。外部サーバ１００は、車両Ｃに対し更新プログラム等を提供（送信）するＯＴＡ（Over The Air）サーバであってもよい。統合的な車載ＥＣＵ２（統合ＥＣＵ）は、車外通信装置１と通信可能に接続され、車外通信装置１を介して車外ネットワークを介して接続された外部サーバ１００と通信し、外部サーバ１００と、車両Ｃに搭載される他の車載ＥＣＵ２又は車載装置３との間の通信を中継するものであってもよい。

　車外通信装置１は、車外通信部（図示せず）及び、統合的な車載ＥＣＵ２（統合ＥＣＵ）と通信するための入出力Ｉ／Ｆ（図示せず）を含む。車外通信部は、４Ｇ、ＬＴＥ（Long Term Evolution／登録商標）、５Ｇ、ＷｉＦｉ等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部に接続されたアンテナ１１を介して外部サーバ１００とデータの送受信を行う。車外通信装置１と外部サーバ１００との通信は、例えば公衆回線網又はインターネット等の外部ネットワークＮを介して行われる。入出力Ｉ／Ｆ２２は、車載ＥＣＵ２と、例えばシリアル通信するための通信インターフェイスである。車外通信装置１と車載ＥＣＵ２とは、入出力Ｉ／Ｆ及び入出力Ｉ／Ｆに接続されたシリアルケーブル等のワイヤーハーネスを介して相互に通信する。本実施形態では、車外通信装置１は、車載ＥＣＵ２と別装置とし、入出力Ｉ／Ｆ等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置１は、車載ＥＣＵ２の一構成部位として、車載ＥＣＵ２に内蔵されるものであってもよい。

　車載ＥＣＵ２（統合ＥＵＣ、個別ＥＣＵ）は、制御部２０、第１記憶領域２１１と第２記憶領域２１２とを含む記憶部２１、入出力Ｉ／Ｆ２２、車内通信部２３及び検証部２４を含む。制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部２１に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部２０は、ＣＰＵ等のソフトウェア処理を行うソフトウェア処理部のみに限定されず、ＦＰＧＡ、ＡＳＩＣ又はＳＯＣ等のハードウェア処理にて種々の制御処理及び演算処理等を行うハードウェア処理部を含むものであってもよい。

　記憶部２１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子、又は、これら記憶デバイスの組み合わせにより構成してあり、制御プログラム及び処理時に参照するデータが予め記憶してある。当該制御プログラムは、例えば、各種の車載装置３を制御するためのプログラム（アプリケーション）、又はＬｉＤＡＲ又はＣＭＯＳカメラからの出力データ基づき自動化運転を行うための物標認識を行うプログラム（アプリケーション）等の複数のプログラム（アプリケーション）を含む。

　記憶部２１は、第１記憶領域２１１と、第２記憶領域２１２とを含む。第１記憶領域２１１と、第２記憶領域２１２とは異なる領域として、例えば別個の記憶装置又はメモリデバイスにより、構成されている。又は、記憶部２１としては同一の記憶装置であって、当該記憶装置における内部構成において異なる物理アドレス領域となるように、例えばパーテーションを設定して第１記憶領域２１１と第２記憶領域２１２とに分割するものであってもよい。第１記憶領域２１１は、制御部２０がプログラムを実行する際にメインメモリとして用いる記憶領域であり、当該プログラムを実行するにあたり生成されるプロセス又はスレッドに割り当てられるメモリ空間（メモリ領域）は、第１記憶領域２１１におけるいずれかの領域となる。

　第１記憶領域２１１には、車載ＥＣＵ２の機能を発揮するために主として実行される複数のプログラム（アプリケーション）が、記憶されている。これら複数のプログラムを現状において車載ＥＣＵ２が実行（適用）しているプログラム（現バージョン）とした場合、第２記憶領域２１２には、現バージョンの以前に適用されていたプログラム（旧バージョン）が、退避プログラム（退避アプリケーション）として記憶されている。又は、第２記憶領域２１２には、第１記憶領域２１１に記憶されている複数のプログラムと同じプログラム（同じバージョン）が、バックアップ（退避プログラム）として記憶されているものであってもよい。

　第１記憶領域２１１に記憶されているプログラムと、第２記憶領域２１２に記憶されている退避プログラムとの対応関係は、例えばプログラム及び退避プログラムのファイル名を同じにすることにより、関係付けられたものであってもよい。又は、プログラムが記憶されている第１記憶領域２１１と、退避プログラムが記憶されている第２記憶領域２１２とのアドレス番号（先頭番地）を同じにすることにより、対応関係を設定するものであってもよい。又は、記憶部２１に記憶されているプログラム対応テーブルにより、個々のプログラムと、当該プログラムそれぞれに対応する退避プログラムそれぞれとを関連付けて、対応関係を設定するものであってもよい。

　入出力Ｉ／Ｆ２２は、車外通信装置１の入出力Ｉ／Ｆ２２と同様に、例えばシリアル通信するための通信インターフェイスである。入出力Ｉ／Ｆ２２及びシリアルケーブル等のワイヤーハーネスを介して、車載ＥＣＵ２は、車外通信装置１と通信可能に接続される。

　車内通信部２３は、例えばＣＡＮ（Controller Area Network）又はイーサネット（Ethernet／登録商標）の通信プロトコルを用いた入出力インターフェイスであり、制御部２０は、車内通信部２３を介して車載ネットワーク４に接続されている他の車載ＥＣＵ２と相互に通信する。

　検証部２４は、例えばＨＳＭ（Hardware Security Module）又はＳＨＥ（Secure Hardware Extension）であり、ＣＰＵ等で構成される制御部２０とは別デバイス又は別モジュールとして構成されている。ＨＳＭ等にて構成される検証部２４は、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理の一端を担うものであり、記憶部２１に記憶されている複数のプログラム等、車載ＥＣＵ２の起動において実行されるソフトウェアの適正性（完全性）又は健全性を検証する機能モジュールである。検証部２４は、例えば、暗号処理用のプロセッサを含み、例えばＣＭＡＣ（Cipher-based Message Authentication Code）等の暗号アルゴリズムを用いて、検証対象となるプログラム等のソフトウェアの適正性（完全性）を検証する。検証部２４は、車載ＥＣＵ２の起動時に行われるセキュアブート処理（セキュアブートシーケンス）において、検証対象となる複数のプログラムそれぞれの適正性（完全性）を検証し、プログラムそれぞれに対する検証結果を出力する。当該検証結果は、プログラムが正当である旨を示す肯定的検証結果、又はプログラムが例えば改竄等され不正である旨を示す否定的検証結果を含む。

　図３は、車載ＥＣＵ２の制御部２０の処理を例示するフローチャートである。車載ＥＣＵ２の制御部２０は、例えば、車両Ｃが停止状態（ＩＧスイッチがオフ）から起動状態（ＩＧスイッチがオン）に状態遷移するにあたり、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理（セキュアブートシーケンス）に基づき、以下の処理を行う。

　セキュアブート処理において最初の段階に行われるのは、検証部２４による複数のプログラムそれぞれに対する検証である。当該複数のプログラムは、第１記憶領域２１１に記憶されている。第１記憶領域２１１は、制御部２０がプログラムを実行する際に生成されるプロセス又はスレッドに割り当てられるメモリ空間（メモリ領域）である。当該検証部２４は、例えばＨＳＭ（Hardware Security Module）であり、ＣＰＵ等で構成される制御部２０とは別デバイス又は別モジュールとして構成されている。車載ＥＣＵ２の制御部２０による一連の処理は、検証部２４によるプログラムそれぞれに対する検証の処理後に行われる。

　車載ＥＣＵ２の制御部２０は、検証部２４から検証結果を取得する（Ｓ１０１）。検証部２４から出力される検証結果には、第１記憶領域２１１に記憶されているプログラムそれぞれに対する検証結果が肯定的な結果であるか、又は否定的な結果であるかが、含まれている。肯定的な結果である場合、肯定的なプログラムに対する改竄等の不正処理は行われおらず、当該プログラムの適正性（完全性）が保証されるものとなる。否定的な結果である場合、否定的なプログラムに対し改竄等の不正処理が行われた蓋然性があり、当該プログラムの適正性（完全性）が否定されるものとなる。車載ＥＣＵ２の制御部２０は、検証結果を参照することにより、第１記憶領域２１１に記憶されている各プログラムの検証結果が肯定的であるか否定的であるかを把握することができる。

　車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、肯定的な検証結果のプログラムを実行（起動）する（Ｓ１０２）。車載ＥＣＵ２の制御部２０は、検証結果に基づき、肯定的な検証結果のプログラムを実行可能なプログラムとして特定（判定）し、当該プログラムを実行する。プログラムを実行することにより、当該プログラムに対応したプロセス又はスレッドが生成される。これら肯定的なプログラムのプロセス等に割り当てられるメモリ空間（メモリ領域）は、第１記憶領域２１１におけるいずれかの領域であり、すなわち当該肯定的なプログラムを実行するにあたってのメインメモリは、第１記憶領域２１１となる。

　車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、否定的な検証結果のプログラムを特定する（Ｓ１０３）。検証部２４から出力される検証結果には、複数のプログラムそれぞれに対する肯定的検証結果又は否定的検証結果が含まれている。又は、当該検証結果には、肯定的な検証結果のプログラムに関する情報のみが含まれる場合であっても、車載ＥＣＵ２の制御部２０は、第１記憶領域２１１（記憶部２１）に記憶されている複数のプログラムとの対比（差分）を行うことにより、否定的な検証結果のプログラムを特定することができる。否定的なプログラムの特定においては、否定的なプログラムが皆無な場合、否定的なプログラムが一つである場合、又は否定的なプログラムが複数である場合に大別される。これら各場合において、車載ＥＣＵ２の制御部２０は、否定的な検証結果となった全てのプログラムを特定する。

　車載ＥＣＵ２の制御部２０は、否定的な検証結果のプログラムに対応する退避プログラムを、第１記憶領域２１１にコピーする（Ｓ１０４）。当該プログラム（第１記憶領域２１１に記憶）に対応する退避プログラムは、第２記憶領域２１２に記憶されており、当該プログラムの旧バージョン（前バージョン）のプログラム、又は当該プログラムのバックアップ（同バージョンのバックアッププログラム）であってもよい。第２記憶領域２１２は、第１記憶領域２１１とは異なる領域として、例えば別個の記憶装置又はメモリデバイスにより、構成されている。第１記憶領域２１１に記憶されているプログラムと、第２記憶領域２１２に記憶されている退避プログラムとの対応関係は、例えば、プログラム及び退避プログラムのファイル名が共に同じである関係、プログラム及び退避プログラムが記憶されているアドレス番号（先頭番地）が同じである関係、又は、記憶部２１に記憶されているプログラム対応テーブルによりプログラム及び当該プログラムに対応する退避プログラムが関連付けられているものであってもよい。

　車載ＥＣＵ２の制御部２０は、特定した全ての否定的な検証結果のプログラムそれぞれに対し、対応する退避プログラムそれぞれを、第２記憶領域２１２から、第１記憶領域２１１にコピーする。退避プログラムを第２記憶領域２１２から第１記憶領域２１１にコピーするにあたり、第１記憶領域２１１に記憶されているプログラム（否定的な検証結果のプログラム）を上書きし、当該否定的な検証結果のプログラムを実質的に削除（消去）するものであってもよい。

　車載ＥＣＵ２の制御部２０は、第１記憶領域２１１にコピーした退避プログラムを実行する（Ｓ１０５）。車載ＥＣＵ２の制御部２０は、第２記憶領域２１２から第１記憶領域２１１にコピーした全ての退避プログラムを、順次又は一斉に実行する。第１記憶領域２１１に記憶されているプログラムが、例えば車外からの攻撃により改竄等の不正処理がされた場合であっても、当該プログラムに対応する退避プログラムは第２記憶領域２１２に記憶されているため、改竄等がされておらず適正性（完全性）を維持している。当該対応する退避プログラムは、第１記憶領域２１１に記憶されているプログラムの旧バージョン又は同バージョン（バックアップ）のプログラムであるため既に動作実績を有する。従って、退避プログラムを用いたロールバック処理を行うことにより、否定的な検証結果のプログラムに替えて、当該退避プログラムを実行し、車載ＥＣＵ２の機能保全を行うことができる。

　第１記憶領域２１１にコピーされた退避プログラムを実行するにあたり、車載ＥＣＵ２の制御部２０は、当該第１記憶領域２１１をメインメモリとして退避プログラムを実行する。これにより、制御部２０によるプロセスの生成等において、メインメモリである第１記憶領域２１１へのアクセス態様（メモリ制御）を変更することなく、退避プログラムを実行することができる。

　本実施形態及び後述する他の実施形態において、車載ＥＣＵ２の制御部２０が一連の処理を行うとして説明したが、これに限定されない。当該一連の処理における一部の処理は、車載ＥＣＵ２と通信可能に接続される外部サーバ１００等のクラウドサーバ、又は、制御部２０とは別体で構成される検証部２４が担うものであってもよい。制御部２０は、これら外部サーバ１００又は検証部２４と協働して、一連の処理を行うものであってもよい。

　本実施形態によれば、検証部によるセキュアブートによって第１記憶領域に記憶されているいずれかのプログラムの検証結果が否定的な場合、当該否定的なプログラムは、実行されない。当該セキュアブートの検証結果により起動できなかったプログラムに対する対応（代替処置）として、第２記憶領域に記憶されている退避プログラムを実行し、車載ＥＣＵにおける機能保全を図ることができる。

　制御部は、複数のプログラムそれぞれに対する検証結果に応じて、退避プログラムを実行するか否かを判定する。これにより、複数のプログラムにおける一部のプログラムにおいてのみ、否定的な検証結果となった場合、当該否定的なプログラムに対してのみ退避プログラムを実行する局所的な対応を行うことができる。従って、当該複数のプログラムが機能に応じた複数の機能区分に分類されている場合であっても、当該機能区分に応じた局所的な対応を行うことができる。

（実施形態２）
　図４は、実施形態２（第２記憶領域２１２をメインメモリ）に係る車載ＥＣＵ２の制御部２０の処理を例示するフローチャートである。車載ＥＣＵ２の制御部２０は、実施形態１と同様に、例えば、車両Ｃが停止状態（ＩＧスイッチがオフ）から起動状態（ＩＧスイッチがオン）に状態遷移するにあたり、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理（セキュアブートシーケンス）に基づき、以下の処理を行う。実施形態１と同様に、セキュアブート処理において最初に行われるのは、検証部２４による、第１記憶領域２１１に記憶されている複数のプログラムそれぞれに対する検証である。車載ＥＣＵ２の制御部２０による一連の処理は、検証部２４によるプログラムそれぞれに対する検証の処理後に行われる。

　車載ＥＣＵ２の制御部２０は、検証部２４から検証結果を取得する（Ｓ２０１）。車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、肯定的な検証結果のプログラムを実行（起動）する（Ｓ２０２）。車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、否定的な検証結果のプログラムを特定する（Ｓ２０３）。車載ＥＣＵ２の制御部２０は、実施形態１の処理Ｓ１０１からＳ１０３と同様に、Ｓ２０１からＳ２０３の処理を行う。

　車載ＥＣＵ２の制御部２０は、否定的な検証結果のプログラムに対応する退避プログラムを、第２記憶領域２１２をメインメモリとして実行する（Ｓ２０４）。車載ＥＣＵ２の制御部２０は、特定した否定的な検証結果のプログラムそれぞれに対応する退避プログラムそれぞれを、当該退避プログラムが記憶されている第２記憶領域２１２をメインメモリとして実行する。これにより、退避プログラムのプロセス等に割り当てられるメモリ空間（メモリ領域）は、第２記憶領域２１２におけるいずれかの領域であり、すなわち当該退避プログラムプログラムを実行するにあたってのメインメモリは、第２記憶領域２１２となる。

　退避プログラムを実行するにあたってのメインメモリを第２記憶領域２１２とすることにより、当該退避プログラムを第２記憶領域２１２から第１記憶領域２１１にコピーすることを不要とし、否定的な検証結果のプログラムに替えて、退避プログラムを実行する際における一連の処理に要する時間（所要時間）を、削減することができる。

（実施形態３）
　図５は、実施形態３（外部サーバ１００から正規プログラムを取得）に係る車載ＥＣＵ２の制御部２０の処理を例示するフローチャートである。車載ＥＣＵ２の制御部２０は、実施形態１と同様に、例えば、車両Ｃが停止状態（ＩＧスイッチがオフ）から起動状態（ＩＧスイッチがオン）に状態遷移するにあたり、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理（セキュアブートシーケンス）に基づき、以下の処理を行う。

　セキュアブート処理において最初に行われるのは、検証部２４による第１記憶領域２１１に記憶されている複数のプログラムそれぞれ、及び第２記憶領域２１２に記憶されている複数の退避プログラムそれぞれに対する検証である。

　車載ＥＣＵ２の制御部２０は、検証部２４から検証結果を取得する（Ｓ４０１）。検証部２４による検証結果には、第１記憶領域２１１のプログラム、及び第２記憶領域２１２の退避プログラムのそれぞれに対する検証結果が肯定的な結果であるか、又は否定的な結果であるかが、含まれている。車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、第１記憶領域２１１のプログラム、及び第２記憶領域２１２の退避プログラムのそれぞれに対する検証結果を把握することができる。

　車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、肯定的な検証結果のプログラムを実行（起動）する（Ｓ４０２）。車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、否定的な検証結果のプログラムを特定する（Ｓ４０３）。車載ＥＣＵ２の制御部２０は、実施形態１の処理Ｓ１０２及びＳ１０３と同様にＳ４０２及びＳ４０３の処理を実行する。

　車載ＥＣＵ２の制御部２０は、否定的な検証結果のプログラムに対応する退避プログラムにおいて、肯定的な検証結果の退避プログラムを実行（起動）する（Ｓ４０４）。車載ＥＣＵ２の制御部２０は、否定的な検証結果のプログラムに対応する退避プログラムであって、かつ肯定的な検証結果の退避プログラムを実行（起動）する。当該退避プログラムを実行するにあたり、制御部２０は、実施形態１と同様に、退避プログラムを第２記憶領域２１２から第１記憶領域２１１にコピーし、第１記憶領域２１１をメインメモリとして退避プログラムを実行するものであってもよい。又は、制御部２０は、実施形態２と同様に、退避プログラムを第２記憶領域２１２から第１記憶領域２１１にコピーすることなく、第２記憶領域２１２をメインメモリとして退避プログラムを実行するものであってもよい。

　車載ＥＣＵ２の制御部２０は、否定的な検証結果のプログラムに対応する退避プログラムにおいて、否定的な検証結果の退避プログラムを特定する（Ｓ４０５）。当該否定的な検証結果のプログラムにおいては、自プログラムのみならず、自プログラムに対応する退避プログラムについても、否定的な検証結果であるとして検証部２４により検証されたものである。第１記憶領域２１１に記憶されるいずれかのプログラムと、当該プログラムに対応し第２記憶領域２１２に記憶される退避プログラムとを、プログラムセットとして定義した場合、共に否定的な検証結果であるプログラム及び退避プログラムによるプログラムセットは、否定的な検証結果のプログラムセットに相当する。

　図６は、検証結果に基づくプログラムセットの分類を示す説明図である。本実施形態の図示のとおり、プログラムセットの分類は、プログラム及び退避プログラムが共に肯定的な検証結果のプログラムセット（完全肯定的プログラムセット）、第１記憶領域２１１のプログラムのみが肯定的な検証結果のプログラムセット（一部肯定的プログラムセットＡ）、第２記憶領域２１２退避プログラムのみが肯定的な検証結果のプログラムセット（一部肯定的プログラムセットＢ）、及びプログラム及び退避プログラムが共に否定的な検証結果のプログラムセット（完全否定的プログラムセット）に大別される。本処理において特定される否定的な検証結果の退避プログラムは、完全否定的プログラムセットに含まれる退避プログラムとなる。

　完全肯定的プログラムセット及び一部肯定的プログラムセットＡにおいては、第１記憶領域２１１に記憶されているプログラムが、実行される。一部肯定的プログラムセットＢにおいては、第２記憶領域２１２に記憶されている退避プログラムが、実行される。完全否定的プログラムセットにおいては、後述のとおり、外部サーバ１００から取得した正規プログラムを実行するものとなる。

　プログラムセットの分類を示す情報は、例えば、プログラムセット分類テーブルとして記憶部２１に記憶されているものであってもよい。車載ＥＣＵ２の制御部２０は、検証部２４からの検証結果に基づき、個々のプログラム及び退避プログラムからなるプログラムセットそれぞれの分類を特定し、当該プログラムセット分類テーブルを参照（ルックアップテーブルとして使用）することにより、各プログラムセットにおける対応を行うものであってもよい。

　車載ＥＣＵ２の制御部２０は、特定した否定的な検証結果の退避プログラムに基づき、外部サーバ１００からの正規プログラムの取得を試みる（Ｓ４０６）。特定した否定的な検証結果の退避プログラムは、完全否定的プログラムセットに含まれる退避プログラムである。車載ＥＣＵ２の制御部２０は、当該完全否定的プログラムセットに含まれる退避プログラム又はプログラムに基づき、外部サーバ１００に対し、否定的な検証結果であるプログラム又は退避プログラムを代替するための正規プログラムの送信を要求する。当該正規プログラムは、例えば、否定的な検証結果であるプログラムの本来のプログラム、すなわち改竄等がされていないプログラム、又は、最新バージョンのプログラム（更新プログラム）であってもよい。車載ＥＣＵ２の制御部２０は、例えば車外通信装置１を用いて外部サーバ１００との通信（セッション確立）を試み、正規プログラムの送信を要求する要求信号を外部サーバ１００に出力（送信）する。

　車載ＥＣＵ２の制御部２０は、外部サーバ１００からの正規プログラムを取得できたか否かを判定する（Ｓ４０７）。車載ＥＣＵ２の制御部２０は、外部サーバ１００との通信結果に基づき、正規プログラムを取得できたか否かを判定する。車載ＥＣＵ２の制御部２０は、外部サーバ１００から正規プログラムを取得した際、当該正規プログラムを検証部２４に出力し、当該正規プログラムに対する検証部２４の検証結果が肯定的である場合、正規プログラムを取得できたと判定するものであってもよい。

　正規プログラムを取得できた場合（Ｓ４０７：ＹＥＳ）、車載ＥＣＵ２の制御部２０は、取得した正規プログラムを実行する（Ｓ４０８）。正規プログラムを正常に取得できた場合、車載ＥＣＵ２の制御部２０は、実施形態１と同様に、取得した正規プログラムを第１記憶領域２１１に記憶し、当該第１記憶領域２１１をメインメモリとして正規プログラムを実行するものであってもよい。又は、車載ＥＣＵ２の制御部２０は、取得した正規プログラムを第２記憶領域２１２に記憶し、実施形態２と同様に当該第２記憶領域２１２をメインメモリとして正規プログラムを実行するものであってもよい。車載ＥＣＵ２の制御部２０は、取得した正規プログラムを第１記憶領域２１１及び第２記憶領域２１２に記憶するにあたり、第１記憶領域２１１及び第２記憶領域２１２に記憶されている否定的な検証結果のプログラム及び退避プログラムを上書きし、当該否定的な検証結果のプログラム及び退避プログラムを実質的に消去（削除）するものであってもよい。

　正規プログラムを取得できなかった場合（Ｓ４０７：ＮＯ）、車載ＥＣＵ２の制御部２０は、報知情報を出力する（Ｓ４０８１）。正規プログラムを取得できなかった場合、又は取得した正規プログラムが検証部２４により否定的な検証結果となった場合、車載ＥＣＵ２の制御部２０は、例えば、外部サーバ１００に対し、実行できなかったプログラム（否定的検証結果のプログラム）に応じた機能を発揮できないことを示す報知情報を出力（送信）するものであってもよい。又は、車載ＥＣＵ２の制御部２０は、車内通信部２３を介して、ハザードランプやクラクションを制御するボディＥＣＵ等の車載装置３に対し、ハザードランプの点滅、クラクションの鳴らす等の駆動を行わせるための要求信号を、当該報知情報として出力（送信）するものであってもよい。

　これにより、これらハザードランプやクラクションを、当該車両Ｃの周辺に位置する他の車両Ｃの操作者に対し報知する報知部として機能させることができる。当該報知情報は、車両Ｃにおいて少なくとも一部の機能を発揮することができない機能失陥を示す情報（レスキュー信号）に相当するものとなり、車載ＥＣＵ２が搭載された車両Ｃにおいて機能失陥が発生したことを、外部サーバ１００の管理者、又は、当該車両Ｃの周辺に位置する他の車両Ｃの操作者に対し報知し、救助支援を喚起することができる。

（実施形態４）
　図７は、実施形態４（オペレーティングシステムの検証）に係る車載ＥＣＵ２の制御部２０の処理を例示するフローチャートである。実施形態４の車載ＥＣＵ２の第１記憶領域２１１には、複数のプログラムを実行するための動作環境を生成するオペレーティングシステムが記憶されており、第２記憶領域２１２には、前記オペレーティングシステムに対応する退避オペレーティングシステムが記憶されている点で、実施形態１とは異なる。

　第１記憶領域２１１に記憶されるオペレーティングシステムは、例えば、ＡＵＴＯＳＡＲに準拠したＯＳ（Operating System）、又はＬｉｎｕｘ（登録商標）等の車載用オペレーティングシステムである。第２記憶領域２１２に記憶される退避オペレーティングシステムは、プログラムと同様に、第２記憶領域２１２に記憶されるオペレーティングシステムの旧バージョンのオペレーティングシステム、又はバックアップした同バージョンのオペレーティングシステムであってもよい。

　車載ＥＣＵ２の制御部２０は、実施形態１と同様に、例えば、車両Ｃが停止状態（ＩＧスイッチがオフ）から起動状態（ＩＧスイッチがオン）に状態遷移するにあたり、車載ＥＣＵ２（自ＥＣＵ）が起動（ブート）される際に行われるセキュアブート処理（セキュアブートシーケンス）に基づき、以下の処理を行う。セキュアブート処理において最初に行われるのは、検証部２４による第１記憶領域２１１に記憶されている複数のプログラム及びオペレーティングシステムである。

　車載ＥＣＵ２の制御部２０は、検証部２４から、複数のプログラム及びオペレーティングシステムの検証結果を取得する（Ｓ５０１）。例えばＨＳＭにて構成される検証部２４は、実施形態１と同様に第１記憶領域２１１に記憶されている複数のプログラムに加え、オペレーティングシステムについても検証を行う。従って、検証部２４から出力される検証結果には、複数のプログラム及びオペレーティングシステムに関する検証結果が含まれている。

　車載ＥＣＵ２の制御部２０は、オペレーティングシステムの検証結果が肯定的であるか否かを判定する（Ｓ５０２）。車載ＥＣＵ２の制御部２０は、検証部２４から出力される検証結果に含まれている、オペレーティングシステムの検証結果を抽出することにより、当該オペレーティングシステムの検証結果を取得及び参照することにより、当該検証結果が肯定的であるか否定的であるかを判定する。

　オペレーティングシステムの検証結果が肯定的な場合（Ｓ５０２：ＹＥＳ）、車載ＥＣＵ２の制御部２０は、第１記憶領域２１１に記憶されるオペレーティングシステムを起動する（Ｓ５０３）。オペレーティングシステムの検証結果が肯定的な結果である場合、第１記憶領域２１１に記憶されるオペレーティングシステムに対する改竄等の不正処理は行われおらず、当該オペレーティングシステムの適正性（完全性）が保証されるものとなる。

　オペレーティングシステムの検証結果が否定的な場合（Ｓ５０２：ＮＯ）、車載ＥＣＵ２の制御部２０は、第２記憶領域２１２に記憶される退避オペレーティングシステムを起動する（Ｓ５０２１）。オペレーティングシステムの検証結果が否定的な結果である場合、否定的なオペレーティングシステムに対し改竄等の不正処理が行われた蓋然性があり、当該プオペレーティングシステムの適正性（完全性）が否定されるものとなる。そこで、車載ＥＣＵ２の制御部２０は、当該否定的なオペレーティングシステムを起動せず、第２記憶領域２１２に記憶される退避オペレーティングシステムを起動する。退避オペレーティングシステムを起動するにあたり、車載ＥＣＵ２の制御部２０は、当該退避オペレーティングシステムを、第１記憶領域２１１にコピーし、当該第１記憶領域２１１をメインメモリとして、退避オペレーティングシステムを起動するものであってもよい。又は、車載ＥＣＵ２の制御部２０は、第２記憶領域２１２をメインメモリとして、退避オペレーティングシステムを起動するものであってもよい。

　車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、肯定的な検証結果のプログラムを実行（起動）する（Ｓ５０４）。車載ＥＣＵ２の制御部２０は、取得した検証結果に基づき、否定的な検証結果のプログラムを特定する（Ｓ５０５）。車載ＥＣＵ２の制御部２０は、否定的な検証結果のプログラムに対応する退避プログラムを、第１記憶領域２１１にコピーする（Ｓ５０６）。車載ＥＣＵ２の制御部２０は、第１記憶領域２１１にコピーした退避プログラムを実行する（Ｓ５０７）。車載ＥＣＵ２の制御部２０は、実施形態１のＳ１０２からＳ１０５と同様に、Ｓ５０４からＳ５０７の処理を行う。

　本実施形態によれば、車載ＥＣＵ２の起動時におけるセキュアブート処理（セキュアブートシーケンス）において、アプリケーションに加え、オペレーティングシステムに対する検証も行い、当該検証結果に基づき、当該オペレーティングシステム又は退避オペレーティングシステムを起動する。従って、アプリケーションを実行するにあたり、オペレーティングシステムを起動して当該アプリケーションの動作環境を生成する車載ＥＣＵ２において、セキュアな動作環境を構築することができる。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　Ｃ　車両
　Ｓ　車載システム
　１００　外部サーバ
　１　車外通信装置
　１１　アンテナ
　２　車載ＥＣＵ
　２０　制御部
　２１　記憶部
　２１１　第１記憶領域
　２１２　第２記憶領域
　２２　入出力Ｉ／Ｆ
　２３　車内通信部
　２４　検証部
　３　車載装置
　３０　アクチュエータ（ＡＣＴ）
　３１　センサ
　４　車載ネットワーク

Claims

　車両に搭載される車載ＥＣＵであって、
　複数のプログラムを実行する制御部と、
　自ＥＣＵを起動する際に、前記複数のプログラムそれぞれの検証を行う検証部と、
　前記複数のプログラムそれぞれが記憶される第１記憶領域と、
　前記複数のプログラムそれぞれに対応する複数の退避プログラムそれぞれが記憶される第２記憶領域とを備え、
　前記制御部は、
　前記検証部による検証が肯定的なプログラムを実行し、
　前記検証部による検証が否定的なプログラムは実行せず、前記否定的なプログラムに対応する退避プログラムを実行する
　車載ＥＣＵ。
　前記プログラムに対応する前記退避プログラムは、前記プログラムの以前のバージョンである旧バージョンプログラム、又は前記プログラムをバックアップしたバックアッププログラムである
　請求項１に記載の車載ＥＣＵ。
　前記制御部は、前記退避プログラムを実行する場合、
　前記第２記憶領域に記憶されている前記退避プログラムを前記第１記憶領域にコピーして、前記否定的なプログラムを上書きし、
　前記第１記憶領域をメインメモリとして、前記退避プログラムを実行する
　請求項１又は請求項２に記載の車載ＥＣＵ。
　前記制御部は、前記退避プログラムを実行する場合、
　前記退避プログラムが記憶されている前記第２記憶領域をメインメモリとして、前記退避プログラムを実行する
　請求項１又は請求項２に記載の車載ＥＣＵ。
　前記検証部は、前記プログラム及び該プログラムに対応する前記退避プログラムの検証を行い、
　前記プログラム及び該プログラムに対応する前記退避プログラムに対する前記検証部による検証が共に否定的な場合、前記制御部は、
　前記車両外の外部サーバから、前記否定的なプログラムと同種の正規プログラムを取得し、
　取得した前記正規プログラムを実行する
　請求項１から請求項４のいずれか１項に記載の車載ＥＣＵ。
　前記制御部は、
　取得した前記正規プログラムを前記第１記憶領域及び前記第２記憶領域にコピーして、前記否定的なプログラム及び前記退避プログラムを上書きし、
　前記第１記憶領域をメインメモリとして前記正規プログラムを実行する
　請求項５に記載の車載ＥＣＵ。
　前記制御部は、前記外部サーバから前記正規プログラムを取得できない場合、前記否定的なプログラムに応じた機能を発揮できないことを示す報知情報を出力する
　請求項５又は請求項６に記載の車載ＥＣＵ。
　前記第１記憶領域には、前記複数のプログラムを実行するための動作環境を生成するオペレーティングシステムが記憶されており、
　前記第２記憶領域には、前記オペレーティングシステムに対応する退避オペレーティングシステムが記憶されており、
　前記検証部は、前記複数のプログラムそれぞれの検証に併せて、前記オペレーティングシステムの検証を行い、
　前記制御部は、
　前記検証部による前記オペレーティングシステムの検証が肯定的な場合、前記オペレーティングシステムを起動し、
　前記検証部による前記オペレーティングシステムの検証が否定的な場合、前記退避オペレーティングシステムを起動する
　請求項１から請求項７のいずれか１項に記載の車載ＥＣＵ。
　車両に搭載され、複数のプログラムを実行するコンピュータに、
　自コンピュータを起動する際に、第１記憶領域に記憶されている前記複数のプログラムそれぞれの検証を行い、
　前記検証の結果が肯定的なプログラムを実行し、
　前記検証の結果が否定的なプログラムは実行せず、前記第１記憶領域とは異なる第２記憶領域に記憶されており、前記否定的なプログラムに対応する退避プログラムを実行する
　処理を実行させるプログラム。
　車両に搭載され、複数のプログラムを実行するコンピュータに、
　自コンピュータを起動する際に、第１記憶領域に記憶されている前記複数のプログラムそれぞれの検証を行い、
　前記検証の結果が肯定的なプログラムを実行し、
　前記検証の結果が否定的なプログラムは実行せず、前記第１記憶領域とは異なる第２記憶領域に記憶されており、前記否定的なプログラムに対応する退避プログラムを実行する
　処理を実行させる情報処理方法。